כדי לדון בשערי VXLAN, עלינו לדון תחילה ב-VXLAN עצמו. נזכיר שרשתות VLAN מסורתיות (Virtual Local Area Networks) משתמשות במזהי VLAN של 12 סיביות כדי לחלק רשתות, ותומכות בעד 4096 רשתות לוגיות. זה עובד מצוין עבור רשתות קטנות, אך במרכזי נתונים מודרניים, עם אלפי מכונות וירטואליות, מכולות וסביבות מרובות דיירים, רשתות VLAN אינן מספיקות. VXLAN נולדה, והוגדרה על ידי כוח המשימה להנדסת אינטרנט (IETF) ב-RFC 7348. מטרתה היא להרחיב את תחום השידור של שכבה 2 (Ethernet) על פני רשתות שכבה 3 (IP) באמצעות מנהרות UDP.
במילים פשוטות, VXLAN עוטף מסגרות Ethernet בתוך חבילות UDP ומוסיף מזהה רשת VXLAN (VNI) של 24 סיביות, התומך תיאורטית ב-16 מיליון רשתות וירטואליות. זה כמו לתת לכל רשת וירטואלית "תעודת זהות", המאפשרת להן לנוע בחופשיות ברשת הפיזית מבלי להפריע זו לזו. המרכיב המרכזי של VXLAN הוא נקודת הקצה של מנהרת VXLAN (VTEP), האחראית על עטיפה ופירוק של חבילות. VTEP יכול להיות תוכנה (כגון Open vSwitch) או חומרה (כגון שבב ASIC במתג).
מדוע VXLAN כל כך פופולרי? מכיוון שהוא תואם באופן מושלם את צרכי מחשוב הענן ו-SDN (רשתות מוגדרות תוכנה). בעננים ציבוריים כמו AWS ו-Azure, VXLAN מאפשר הרחבה חלקה של רשתות וירטואליות של דיירים. במרכזי נתונים פרטיים, הוא תומך בארכיטקטורות רשת שכבת-על כמו VMware NSX או Cisco ACI. דמיינו מרכז נתונים עם אלפי שרתים, שכל אחד מהם מפעיל עשרות מכונות וירטואליות (VMs). VXLAN מאפשר למכונות וירטואליות אלו לתפוס את עצמן כחלק מאותה רשת שכבה 2, מה שמבטיח העברה חלקה של שידורי ARP ובקשות DHCP.
עם זאת, VXLAN אינו תרופת פלא. פעולה ברשת L3 דורשת המרה מ-L2 ל-L3, וזה המקום שבו נכנס לתמונה השער. שער VXLAN מחבר את הרשת הווירטואלית של VXLAN עם רשתות חיצוניות (כגון VLAN מסורתיות או רשתות ניתוב IP), ומבטיח זרימת נתונים מהעולם הווירטואלי לעולם האמיתי. מנגנון ההעברה הוא לב ליבו של השער, והוא קובע כיצד מנות נתונים מעובדות, מנותבות ומופצות.
תהליך העברת המידע ב-VXLAN הוא כמו בלט עדין, כאשר כל שלב מהמקור ליעד קשור קשר הדוק. בואו ננתח אותו שלב אחר שלב.
ראשית, נשלחת חבילה ממארח המקור (כגון מכונה וירטואלית). זוהי מסגרת Ethernet סטנדרטית המכילה את כתובת ה-MAC של המקור, כתובת ה-MAC של היעד, תג VLAN (אם קיים) ומטען. עם קבלת מסגרת זו, VTEP המקור בודק את כתובת ה-MAC של היעד. אם כתובת ה-MAC של היעד נמצאת בטבלת ה-MAC שלו (הושגה באמצעות למידה או הצפה), הוא יודע לאיזה VTEP מרוחק להעביר את החבילה.
תהליך האנקפסולציה הוא קריטי: ה-VTEP מוסיף כותרת VXLAN (כולל את ה-VNI, דגלים וכן הלאה), לאחר מכן כותרת UDP חיצונית (עם יציאת מקור המבוססת על גיבוב של המסגרת הפנימית ויציאת יעד קבועה של 4789), כותרת IP (עם כתובת ה-IP של המקור של ה-VTEP המקומית וכתובת ה-IP של היעד של ה-VTEP המרוחק), ולבסוף כותרת Ethernet חיצונית. החבילה כולה נראית כעת כחבילת UDP/IP, נראית כמו תעבורה רגילה, וניתנת לניתוב ברשת L3.
ברשת הפיזית, החבילה מועברת על ידי נתב או מתג עד שהיא מגיעה ל-VTEP היעד. VTEP היעד מסיר את הכותרת החיצונית, בודק את כותרת ה-VXLAN כדי לוודא שה-VNI תואם, ולאחר מכן מספק את מסגרת ה-Ethernet הפנימית למארח היעד. אם החבילה היא תעבורת שידור יחיד, שידור או שידור מרובה (BUM) לא ידועה, ה-VTEP משכפל את החבילה לכל ה-VTEP הרלוונטיים באמצעות הצפה, בהסתמך על קבוצות שידור מרובות או שכפול כותרת יחיד (HER).
ליבת עקרון ההעברה היא ההפרדה בין מישור הבקרה למישור הנתונים. מישור הבקרה משתמש ב-Ethernet VPN (EVPN) או במנגנון Flood and Learn כדי ללמוד מיפויי MAC ו-IP. EVPN מבוסס על פרוטוקול BGP ומאפשר ל-VTEPs להחליף מידע ניתוב, כגון MAC-VRF (ניתוב וירטואלי) ו-IP-VRF. מישור הנתונים אחראי להעברה בפועל, תוך שימוש במנהרות VXLAN להעברה יעילה.
עם זאת, בפריסות בפועל, יעילות ההעברה משפיעה ישירות על הביצועים. הצפות מסורתיות יכולות בקלות לגרום לסופות שידור, במיוחד ברשתות גדולות. זה מוביל לצורך באופטימיזציה של שערים: שערים לא רק מחברים רשתות פנימיות וחיצוניות אלא גם משמשים כסוכני ARP פרוקסי, מטפלים בדליפות מסלול ומבטיחים את נתיבי ההעברה הקצרים ביותר.
שער VXLAN מרכזי
שער VXLAN מרכזי, המכונה גם שער מרכזי או שער L3, פרוס בדרך כלל בקצה או בשכבת הליבה של מרכז נתונים. הוא משמש כמרכז מרכזי, שדרכו כל התעבורה בין VNI או תת-רשת חייבת לעבור.
באופן עקרוני, שער מרכזי משמש כשער ברירת מחדל, ומספק שירותי ניתוב בשכבה 3 עבור כל רשתות ה-VXLAN. נבחן שני VNIs: VNI 10000 (רשת משנה 10.1.1.0/24) ו-VNI 20000 (רשת משנה 10.2.1.0/24). אם VM A ב-VNI 10000 רוצה לגשת ל-VM B ב-VNI 20000, החבילה מגיעה תחילה ל-VTEP המקומי. ה-VTEP המקומי מזהה שכתובת ה-IP של היעד אינה נמצאת ברשת המשנה המקומית ומעביר אותה לשער המרכזי. השער מפרק את החבילה, מקבל החלטת ניתוב ולאחר מכן עוטף מחדש את החבילה לתוך מנהרה ל-VNI היעד.
היתרונות ברורים מאליהם:
○ ניהול פשוטכל תצורות הניתוב מרוכזות על גבי מכשיר אחד או שניים, מה שמאפשר למפעילים לתחזק רק מספר מצומצם של שערים כדי לכסות את כל הרשת. גישה זו מתאימה למרכזי נתונים או סביבות קטנות ובינוניות הפורסות VXLAN בפעם הראשונה.
○יעילות במשאביםשערים הם בדרך כלל חומרה בעלת ביצועים גבוהים (כגון Cisco Nexus 9000 או Arista 7050) המסוגלת להתמודד עם כמויות אדירות של תעבורה. מישור הבקרה מרוכז, מה שמקל על שילוב עם בקרי SDN כגון NSX Manager.
○בקרת אבטחה חזקהתעבורה חייבת לעבור דרך השער, מה שמקל על יישום של רשימות בקרת גישה (ACL), חומות אש ו-NAT. דמיינו תרחיש מרובה דיירים שבו שער מרכזי יכול לבודד בקלות את תעבורת הדיירים.
אבל אי אפשר להתעלם מהחסרונות:
○ נקודת כשל יחידהאם השער נכשל, תקשורת L3 בכל רחבי הרשת משותקת. למרות שניתן להשתמש ב-VRRP (פרוטוקול יתירות נתב וירטואלי) לצורך יתירות, הוא עדיין טומן בחובו סיכונים.
○צוואר בקבוק ביצועיםכל התעבורה ממזרח למערב (תקשורת בין שרתים) חייבת לעקוף את השער, וכתוצאה מכך נתיב לא אופטימלי. לדוגמה, באשכול של 1000 צמתים, אם רוחב הפס של השער הוא 100 ג'יגה-ביט לשנייה, סביר להניח שיתרחש עומס בשעות השיא.
○מדרגיות גרועהככל שגודל הרשת גדל, עומס השער עולה באופן אקספוננציאלי. בדוגמה מהעולם האמיתי, ראיתי מרכז נתונים פיננסי המשתמש בשער מרכזי. בתחילה, הוא פעל בצורה חלקה, אך לאחר שמספר המכונות הווירטואליות הוכפל, ההשהיה זינקה ממיקרו-שניות לאלפיות-שניות.
תרחיש יישום: מתאים לסביבות הדורשות פשטות ניהול גבוהה, כגון עננים פרטיים ארגוניים או רשתות בדיקה. ארכיטקטורת ה-ACI של סיסקו משתמשת לעתים קרובות במודל מרכזי, בשילוב עם טופולוגיית עלים-שדרה, כדי להבטיח פעולה יעילה של שערי ליבה.
שער VXLAN מבוזר
שער VXLAN מבוזר, המכונה גם שער מבוזר או שער anycast, מעביר את פונקציונליות השער לכל מתג עלה או היפר-ויזור VTEP. כל VTEP פועל כשער מקומי, ומטפל בהעברת L3 עבור רשת המשנה המקומית.
העיקרון גמיש יותר: כל VTEP מוגדר עם אותה כתובת IP וירטואלית (VIP) כמו שער ברירת המחדל, באמצעות מנגנון Anycast. חבילות Cross-subnet הנשלחות על ידי מכונות וירטואליות מנותבות ישירות על ה-VTEP המקומי, מבלי לעבור דרך נקודה מרכזית. EVPN שימושי במיוחד כאן: באמצעות BGP EVPN, ה-VTEP לומד את המסלולים של מארחים מרוחקים ומשתמש בקישור MAC/IP כדי למנוע הצפת ARP.
לדוגמה, מכונה וירטואלית A (10.1.1.10) רוצה לגשת למכונה וירטואלית B (10.2.1.10). שער ברירת המחדל של מכונה וירטואלית A הוא ה-VIP של ה-VTEP המקומי (10.1.1.1). ה-VTEP המקומי מנתב לתת-רשת היעד, עוטף את חבילת ה-VXLAN ושולח אותה ישירות ל-VTEP של מכונה וירטואלית B. תהליך זה ממזער את הנתיב ואת זמן ההשהיה.
יתרונות בולטים:
○ מדרגיות גבוההפיזור פונקציונליות השער לכל צומת מגדיל את גודל הרשת, דבר המועיל לרשתות גדולות יותר. ספקי ענן גדולים כמו גוגל קלאוד משתמשים במנגנון דומה כדי לתמוך במיליוני מכונות וירטואליות.
○ביצועים מעוליםתעבורה ממזרח למערב מעובדת באופן מקומי כדי למנוע צווארי בקבוק. נתוני בדיקה מראים כי התפוקה יכולה לגדול ב-30%-50% במצב מבוזר.
○שחזור מהיר של תקלותכשל בודד ב-VTEP משפיע רק על המארח המקומי, ומשאיר צמתים אחרים ללא שינוי. בשילוב עם ההתכנסות המהירה של EVPN, זמן ההתאוששות הוא בשניות ספורות.
○ניצול טוב של משאביםניצול שבב ASIC הקיים של מתג Leaf להאצת חומרה, עם קצב העברה המגיע לרמת Tbps.
מהם החסרונות?
○ תצורה מורכבתכל VTEP דורש הגדרה של ניתוב, EVPN ותכונות אחרות, מה שהופך את הפריסה הראשונית לגוזלת זמן. צוות התפעול חייב להיות בקיא ב-BGP וב-SDN.
○דרישות חומרה גבוהותשער מבוזר: לא כל המתגים תומכים בשערים מבוזרים; נדרשים שבבי Broadcom Trident או Tomahawk. יישומי תוכנה (כגון OVS על KVM) אינם מתפקדים כמו חומרה.
○אתגרי עקביותמבוזר פירושו שסנכרון מצבים מסתמך על EVPN. אם סשן BGP משתנה, הדבר עלול לגרום לחור שחור בניתוב.
תרחיש יישום: מושלם עבור מרכזי נתונים בקנה מידה גדול או עננים ציבוריים. הנתב המבוזר של VMware NSX-T הוא דוגמה אופיינית. בשילוב עם Kubernetes, הוא תומך בצורה חלקה ברשתות קונטיינרים.
שער VxLAN מרכזי לעומת שער VxLAN מבוזר
ועכשיו לשיא: מה עדיף? התשובה היא "תלוי", אבל אנחנו צריכים לחפור לעומק בנתונים ובמקרי המחקרים כדי לשכנע אתכם.
מנקודת מבט של ביצועים, מערכות מבוזרות מציגות ביצועים טובים יותר באופן ברור. במדד ביצועים טיפוסי של מרכז נתונים (המבוסס על ציוד בדיקה של Spirent), זמן ההשהיה הממוצע של שער מרכזי היה 150 מיקרו-שניות, בעוד שזו של מערכת מבוזרת הייתה רק 50 מיקרו-שניות. מבחינת תפוקה, מערכות מבוזרות יכולות להשיג בקלות העברת נתונים בקצב קו מכיוון שהן ממנפות ניתוב ECMP (Spine-Leaf Equal Cost Multi-Path).
מדרגיות היא שדה קרב נוסף. רשתות מרכזיות מתאימות לרשתות עם 100-500 צמתים; מעבר לקנה מידה זה, רשתות מבוזרות זוכות ליתרון. קחו לדוגמה את Alibaba Cloud. ה-VPC (ענן פרטי וירטואלי) שלהם משתמש בשערי VXLAN מבוזרים כדי לתמוך במיליוני משתמשים ברחבי העולם, עם השהייה של פחות מ-1ms באזור בודד. גישה מרכזית הייתה קורסת מזמן.
ומה לגבי עלות? פתרון מרכזי מציע השקעה ראשונית נמוכה יותר, הדורש רק מספר קטן של שערים מתקדמים. פתרון מבוזר דורש שכל צמתי העלים יתמכו ב-VXLAN offload, מה שמוביל לעלויות שדרוג חומרה גבוהות יותר. עם זאת, בטווח הארוך, פתרון מבוזר מציע עלויות תפעול ותחזוקה נמוכות יותר, שכן כלי אוטומציה כמו Ansible מאפשרים הגדרת אצווה.
אבטחה ואמינות: מערכות מרכזיות מאפשרות הגנה מרכזית אך מהוות סיכון גבוה לנקודות תקיפה בודדות. מערכות מבוזרות עמידות יותר אך דורשות מישור בקרה חזק כדי למנוע התקפות DDoS.
ניתוח מקרה מהעולם האמיתי: חברת מסחר אלקטרוני השתמשה ב-VXLAN מרכזי לבניית האתר שלה. בתקופות שיא, ניצול המעבד של השער זינק ל-90%, מה שהוביל לתלונות משתמשים על השהייה. מעבר למודל מבוזר פתר את הבעיה, ואפשר לחברה להכפיל בקלות את גודלה. לעומת זאת, בנק קטן התעקש על מודל מרכזי מכיוון שהוא העדיף ביקורות תאימות ומצא ניהול מרכזי קל יותר.
באופן כללי, אם אתם מחפשים ביצועי רשת וקנה מידה קיצוניים, גישה מבוזרת היא הדרך הנכונה. אם התקציב שלכם מוגבל וצוות הניהול שלכם חסר ניסיון, גישה ריכוזית היא מעשית יותר. בעתיד, עם עליית ה-5G ומחשוב קצה, רשתות מבוזרות יהפכו פופולריות יותר, אך רשתות ריכוזיות עדיין יהיו בעלות ערך בתרחישים ספציפיים, כגון חיבור בין סניפים.
מתווכי חבילות רשת Mylinking™תמיכה ב-VxLAN, VLAN, GRE, MPLS Header Stripping
תמך בכותרת VxLAN, VLAN, GRE, MPLS שהופשטה בחבילת הנתונים המקורית והועברה בפלט.
זמן פרסום: 9 באוקטובר 2025
