Tweet
Làm sao để "kéo dài" một mạng Layer 2 xuyên qua một hạ tầng Layer 3 khổng lồ mà máy ảo (VM) vẫn giữ nguyên IP khi di chuyển?
VLAN truyền thống đã làm rất tốt nhiệm vụ của nó trong nhiều năm qua, nhưng khi đặt vào bối cảnh các Data Center hiện đại với hàng ngàn khách hàng (Tenant), VLAN bắt đầu bộc lộ những giới hạn "chí mạng". Hôm nay, mình muốn chia sẻ một chút kiến thức đúc kết được về công nghệ VXLAN – chiếc chìa khóa giải quyết bài toán Data Center Interconnect (DCI).
🚨 4 Điểm Yếu Của Kiến Trúc VLAN Truyền Thống
Nếu bạn đã quen với cấu hình mạng doanh nghiệp, chắc hẳn đều biết đến những giới hạn này:
VXLAN sinh ra để phá vỡ những giới hạn trên bằng một ý tưởng cực kỳ thông minh: Đóng gói gói tin Layer 2 vào bên trong một gói tin Layer 3 (MAC-in-UDP).
Bản chất của VXLAN là tạo ra một mạng ảo (Overlay) chạy bên trên một mạng vật lý (Underlay):
Vì VXLAN bọc thêm các lớp Header mới (Outer MAC, Outer IP, UDP, VXLAN Header) vào gói tin Ethernet gốc, nó sẽ cộng thêm từ 50 đến 54 Bytes overhead.
Do đó, một nguyên tắc "bất di bất dịch" khi thiết kế hạ tầng là phải bật Jumbo Frames (thường set MTU lên 1550 hoặc 9000) trên toàn bộ các thiết bị thuộc mạng Underlay. Nếu không, các gói tin sẽ bị phân mảnh (fragmentation) và kéo hiệu năng mạng đi xuống thê thảm.
Với các hệ thống mới hiện nay, thay vì dùng Multicast để dò tìm địa chỉ như lý thuyết sơ khai, người ta thường dùng BGP EVPN làm Control Plane cho VXLAN để tối ưu hơn.
VLAN truyền thống đã làm rất tốt nhiệm vụ của nó trong nhiều năm qua, nhưng khi đặt vào bối cảnh các Data Center hiện đại với hàng ngàn khách hàng (Tenant), VLAN bắt đầu bộc lộ những giới hạn "chí mạng". Hôm nay, mình muốn chia sẻ một chút kiến thức đúc kết được về công nghệ VXLAN – chiếc chìa khóa giải quyết bài toán Data Center Interconnect (DCI).
🚨 4 Điểm Yếu Của Kiến Trúc VLAN Truyền Thống
Nếu bạn đã quen với cấu hình mạng doanh nghiệp, chắc hẳn đều biết đến những giới hạn này:
- Cạn kiệt ID: VLAN ID chỉ dài 12-bit, nghĩa là chúng ta chỉ có tối đa 4096 mạng ảo. Con số này là quá nhỏ bé so với quy mô của các nhà cung cấp dịch vụ hay Cloud.
- Sự lãng phí mang tên STP: Spanning-Tree Protocol chống loop bằng cách "khóa" (block) các cổng dự phòng. Trong môi trường Data Center, việc vứt không những đường link quang đắt đỏ là điều không thể chấp nhận được.
- "Bức tử" bảng địa chỉ MAC: Ảo hóa tạo ra hàng tá máy ảo trên một server vật lý. Các Switch ở lớp Distribution/Core sẽ phải gồng gánh một lượng MAC Address khổng lồ, dễ dàng làm tràn bộ nhớ.
- Hạn chế di chuyển máy ảo (VM Mobility): Để tính năng như vMotion hoạt động mượt mà (VM chuyển server không rớt mạng), VM phải nằm cùng một Subnet ở cả nguồn và đích. VLAN rất khó mở rộng ở quy mô lớn để đáp ứng điều này.
VXLAN sinh ra để phá vỡ những giới hạn trên bằng một ý tưởng cực kỳ thông minh: Đóng gói gói tin Layer 2 vào bên trong một gói tin Layer 3 (MAC-in-UDP).
Bản chất của VXLAN là tạo ra một mạng ảo (Overlay) chạy bên trên một mạng vật lý (Underlay):
- Mở rộng giới hạn ID: Thay vì 12-bit, VXLAN sử dụng VNI (VXLAN Network Identifier) dài tới 24-bit. Chào mừng bạn đến với kỷ nguyên của 16 triệu mạng ảo độc lập!
- Tạm biệt STP, chào mừng ECMP: Mạng vật lý bên dưới (Underlay) của VXLAN sử dụng các giao thức định tuyến Layer 3 (OSPF, IS-IS, BGP...). Nhờ đó, nó loại bỏ hoàn toàn STP, cho phép chia tải đều trên tất cả các đường truyền (Equal-Cost Multi-Path - ECMP).
- VTEP - Người gác đổng: Các thiết bị đóng/mở gói tin VXLAN được gọi là VTEP (VXLAN Tunnel Endpoints). Nó có thể là phần mềm (vSwitch trên ESXi) hoặc phần cứng (như Cisco Nexus). Mạng Underlay ở giữa chỉ nhìn thấy IP của các VTEP đang giao tiếp với nhau bằng UDP Port 4789, hoàn toàn "mù" tịt về các địa chỉ MAC của máy ảo bên trong, giúp giải phóng gánh nặng cho bảng MAC của Core Switch.
Vì VXLAN bọc thêm các lớp Header mới (Outer MAC, Outer IP, UDP, VXLAN Header) vào gói tin Ethernet gốc, nó sẽ cộng thêm từ 50 đến 54 Bytes overhead.
Do đó, một nguyên tắc "bất di bất dịch" khi thiết kế hạ tầng là phải bật Jumbo Frames (thường set MTU lên 1550 hoặc 9000) trên toàn bộ các thiết bị thuộc mạng Underlay. Nếu không, các gói tin sẽ bị phân mảnh (fragmentation) và kéo hiệu năng mạng đi xuống thê thảm.
Với các hệ thống mới hiện nay, thay vì dùng Multicast để dò tìm địa chỉ như lý thuyết sơ khai, người ta thường dùng BGP EVPN làm Control Plane cho VXLAN để tối ưu hơn.