Network Fabric là gì? Vì sao Data Center và Campus hiện đại đều chuyển sang Fabric?
Nếu bạn từng quản trị một hệ thống mạng lớn, có lẽ đã từng gặp những tình huống như:
Đó chính là lý do Network Fabric ra đời.
Thay vì xem mạng là tập hợp của hàng trăm thiết bị riêng lẻ, Fabric biến toàn bộ hạ tầng thành một hệ thống mạng thống nhất, nơi việc kết nối, phân đoạn mạng và áp dụng chính sách được thực hiện tự động và nhất quán.
Fabric hoạt động như một "siêu Switch" hoặc "siêu Router"
Slide đầu tiên có câu:
Đây là đặc điểm quan trọng nhất.
Từ góc nhìn của máy chủ, PC hoặc máy ảo, toàn bộ Fabric giống như một switch hoặc router khổng lồ.
Người quản trị không cần quan tâm:
Fabric sẽ tự lựa chọn đường đi tối ưu.
Ví dụ, trong một Data Center sử dụng kiến trúc Spine-Leaf, một máy chủ có thể giao tiếp với máy chủ khác qua nhiều tuyến khác nhau. Fabric sẽ tận dụng ECMP (Equal-Cost Multi-Path) để cân bằng tải trên tất cả các đường có chi phí bằng nhau, thay vì chỉ sử dụng một đường như nhiều thiết kế truyền thống.
Underlay – Hạ tầng truyền tải
Slide thứ hai cho thấy phần màu xanh phía dưới là:
Underlay Network
Đây là mạng IP vật lý.
Nó bao gồm:
Nhiệm vụ của Underlay rất đơn giản:
Underlay không cần biết:
Nó chỉ cần đảm bảo ba yếu tố:
Các giao thức thường được sử dụng trong Underlay gồm:
Overlay – Mạng logic
Phía trên là:
Overlay Network
Nếu Underlay giống như hệ thống đường cao tốc thì Overlay giống như các tuyến xe buýt, xe tải hoặc taxi chạy trên những con đường đó.
Overlay không xây dựng thêm cáp vật lý mà tạo ra các mạng logic bằng cách đóng gói (encapsulation) lưu lượng vào bên trong mạng IP của Underlay.
Trong EVPN-VXLAN:
Nhờ Overlay, cùng một hạ tầng vật lý có thể đồng thời phục vụ:
Encapsulation – Đóng gói để truyền tải
Trong slide thứ hai có chữ:
Encapsulation
Đây chính là quá trình:
Ethernet Frame
↓
VXLAN Header
↓
UDP
↓
IP
↓
Ethernet
Switch biên (VTEP) sẽ đóng gói Ethernet Frame gốc vào một gói VXLAN chạy trên nền UDP/IP.
Khi đến đầu bên kia, VTEP sẽ loại bỏ phần đóng gói này (decapsulation) và khôi phục lại Ethernet Frame ban đầu.
Đối với các thiết bị đầu cuối, quá trình này hoàn toàn trong suốt.
Edge Device – Cửa ngõ của Fabric
Trong hình, các Edge Device nằm giữa Underlay và các máy chủ.
Đây là nơi:
Trong Cisco Nexus EVPN-VXLAN, Edge Device thường là các Leaf Switch đóng vai trò VTEP (VXLAN Tunnel Endpoint).
Trong Cisco SD-Access, đây là các Fabric Edge Nodes.
Underlay Control Plane
Slide thứ hai còn thể hiện:
Underlay Control Plane
Đây là tập hợp các giao thức giúp hạ tầng vật lý hoạt động ổn định.
Ví dụ:
Các giao thức này chịu trách nhiệm:
Nói cách khác, Underlay Control Plane đảm bảo mọi thiết bị trong Fabric đều có thể liên lạc với nhau ở tầng IP.
Overlay Control Plane
Phía trên là:
Overlay Control Plane
Nếu Underlay Control Plane học các tuyến IP thì Overlay Control Plane học thông tin về các endpoint và mạng logic.
Trong EVPN-VXLAN, vai trò này do BGP EVPN đảm nhiệm.
Nó phân phối:
Nhờ vậy, Fabric không cần sử dụng cơ chế flood-and-learn truyền thống như trong Ethernet cổ điển.
Traffic Independent
Slide đầu tiên có một ý rất quan trọng:
Điều này có nghĩa Fabric không bị giới hạn ở một loại lưu lượng duy nhất.
Một Fabric hiện đại có thể đồng thời vận chuyển:
Tất cả đều chia sẻ chung hạ tầng Underlay.
Macro Segmentation và Micro Segmentation
Fabric còn tích hợp sẵn hai cơ chế phân đoạn mạng:
Macro Segmentation tạo ra các vùng mạng lớn để cô lập các nhóm người dùng hoặc ứng dụng, chẳng hạn:
Trong Cisco SD-Access, các vùng này thường được triển khai bằng Virtual Network (VN) hoặc VRF.
Micro Segmentation kiểm soát lưu lượng chi tiết hơn, ngay cả khi các máy nằm trong cùng một vùng mạng. Ví dụ, hai máy chủ Web và Database thuộc cùng Tenant nhưng chỉ cho phép Web Server truy cập Database qua cổng TCP 3306, còn mọi lưu lượng khác đều bị chặn. Trong môi trường EVPN-VXLAN, các chính sách này có thể được thực thi bằng Security Group Tag (SGT), Contract hoặc Distributed Firewall, tùy nền tảng triển khai.
Preserves Policy Information
Một ưu điểm nổi bật khác của Fabric là khả năng giữ nguyên thông tin chính sách từ đầu đến cuối.
Thay vì cấu hình ACL hoặc Security Policy trên từng switch dọc đường đi, chính sách được gắn với người dùng, thiết bị hoặc ứng dụng ngay tại điểm vào Fabric và được duy trì xuyên suốt quá trình truyền tải.
Ví dụ, khi một máy chủ được gắn nhãn là Finance, mọi lưu lượng của máy chủ đó vẫn mang theo thông tin phân loại này dù đi qua nhiều Leaf, Spine hay thậm chí sang một Data Center khác. Điều này giúp các chính sách bảo mật luôn được áp dụng nhất quán trên toàn bộ Fabric.
Kết luận
Network Fabric không chỉ là một cách kết nối switch mà là một kiến trúc mạng hiện đại giúp đơn giản hóa vận hành và mở rộng quy mô. Underlay cung cấp hạ tầng IP ổn định với định tuyến và cân bằng tải, trong khi Overlay xây dựng các mạng logic độc lập với hạ tầng vật lý. Edge Device là điểm kết nối các endpoint vào Fabric, còn Control Plane ở cả Underlay và Overlay đảm nhiệm việc học thông tin mạng và điều khiển lưu lượng.
Sự kết hợp giữa Underlay + Overlay + Control Plane cho phép Fabric hoạt động như một switch hoặc router khổng lồ, hỗ trợ hàng triệu endpoint, cung cấp khả năng mở rộng cao, tích hợp sẵn cơ chế phân đoạn mạng (Macro và Micro Segmentation) và duy trì chính sách bảo mật nhất quán từ đầu đến cuối. Đây chính là nền tảng của các giải pháp như Cisco EVPN-VXLAN, Cisco SD-Access, Cisco ACI, VMware NSX và nhiều hạ tầng Cloud hiện đại.
Nếu bạn từng quản trị một hệ thống mạng lớn, có lẽ đã từng gặp những tình huống như:
- Muốn tạo một VLAN mới phải cấu hình trên hàng chục switch.
- Di chuyển một máy chủ sang rack khác phải cấu hình lại nhiều thiết bị.
- Chính sách bảo mật không đồng nhất giữa các khu vực mạng.
- Càng mở rộng hệ thống, việc vận hành càng trở nên phức tạp.
Đó chính là lý do Network Fabric ra đời.
Thay vì xem mạng là tập hợp của hàng trăm thiết bị riêng lẻ, Fabric biến toàn bộ hạ tầng thành một hệ thống mạng thống nhất, nơi việc kết nối, phân đoạn mạng và áp dụng chính sách được thực hiện tự động và nhất quán.
Fabric hoạt động như một "siêu Switch" hoặc "siêu Router"
Slide đầu tiên có câu:
Behaves as one big Switch / Router for the endpoints
Đây là đặc điểm quan trọng nhất.
Từ góc nhìn của máy chủ, PC hoặc máy ảo, toàn bộ Fabric giống như một switch hoặc router khổng lồ.
Người quản trị không cần quan tâm:
- Frame sẽ đi qua bao nhiêu switch.
- Có bao nhiêu Spine.
- Có bao nhiêu Leaf.
- Gói tin đi theo đường nào.
Fabric sẽ tự lựa chọn đường đi tối ưu.
Ví dụ, trong một Data Center sử dụng kiến trúc Spine-Leaf, một máy chủ có thể giao tiếp với máy chủ khác qua nhiều tuyến khác nhau. Fabric sẽ tận dụng ECMP (Equal-Cost Multi-Path) để cân bằng tải trên tất cả các đường có chi phí bằng nhau, thay vì chỉ sử dụng một đường như nhiều thiết kế truyền thống.
Underlay – Hạ tầng truyền tải
Slide thứ hai cho thấy phần màu xanh phía dưới là:
Underlay Network
Đây là mạng IP vật lý.
Nó bao gồm:
- Router
- Spine Switch
- Leaf Switch
- Các liên kết Layer 3
Nhiệm vụ của Underlay rất đơn giản:
Chỉ cần chuyển gói IP từ điểm A đến điểm B.
Underlay không cần biết:
- Tenant nào đang sử dụng.
- VLAN nào đang chạy.
- Máy ảo nào đang di chuyển.
- Chính sách bảo mật của từng ứng dụng.
Nó chỉ cần đảm bảo ba yếu tố:
- Có kết nối IP.
- Có khả năng hội tụ nhanh khi xảy ra sự cố.
- Có nhiều đường truyền để cân bằng tải.
Các giao thức thường được sử dụng trong Underlay gồm:
- OSPF
- IS-IS
- eBGP
- ECMP
Overlay – Mạng logic
Phía trên là:
Overlay Network
Nếu Underlay giống như hệ thống đường cao tốc thì Overlay giống như các tuyến xe buýt, xe tải hoặc taxi chạy trên những con đường đó.
Overlay không xây dựng thêm cáp vật lý mà tạo ra các mạng logic bằng cách đóng gói (encapsulation) lưu lượng vào bên trong mạng IP của Underlay.
Trong EVPN-VXLAN:
- Underlay vận chuyển gói IP.
- Overlay vận chuyển Ethernet Frame.
Nhờ Overlay, cùng một hạ tầng vật lý có thể đồng thời phục vụ:
- Layer 2 Extension
- Layer 3 VPN
- Multicast
- Multi-Tenant
- Hybrid Cloud
Encapsulation – Đóng gói để truyền tải
Trong slide thứ hai có chữ:
Encapsulation
Đây chính là quá trình:
Ethernet Frame
↓
VXLAN Header
↓
UDP
↓
IP
↓
Ethernet
Switch biên (VTEP) sẽ đóng gói Ethernet Frame gốc vào một gói VXLAN chạy trên nền UDP/IP.
Khi đến đầu bên kia, VTEP sẽ loại bỏ phần đóng gói này (decapsulation) và khôi phục lại Ethernet Frame ban đầu.
Đối với các thiết bị đầu cuối, quá trình này hoàn toàn trong suốt.
Edge Device – Cửa ngõ của Fabric
Trong hình, các Edge Device nằm giữa Underlay và các máy chủ.
Đây là nơi:
- Thiết bị đầu cuối kết nối vào Fabric.
- Thực hiện đóng gói và giải đóng gói VXLAN.
- Ánh xạ VLAN với VNI.
- Áp dụng chính sách truy cập.
Trong Cisco Nexus EVPN-VXLAN, Edge Device thường là các Leaf Switch đóng vai trò VTEP (VXLAN Tunnel Endpoint).
Trong Cisco SD-Access, đây là các Fabric Edge Nodes.
Underlay Control Plane
Slide thứ hai còn thể hiện:
Underlay Control Plane
Đây là tập hợp các giao thức giúp hạ tầng vật lý hoạt động ổn định.
Ví dụ:
- OSPF
- IS-IS
- eBGP
Các giao thức này chịu trách nhiệm:
- Xây dựng bảng định tuyến IP.
- Phát hiện sự cố liên kết.
- Tính toán đường đi tối ưu.
- Hỗ trợ ECMP để cân bằng tải.
Nói cách khác, Underlay Control Plane đảm bảo mọi thiết bị trong Fabric đều có thể liên lạc với nhau ở tầng IP.
Overlay Control Plane
Phía trên là:
Overlay Control Plane
Nếu Underlay Control Plane học các tuyến IP thì Overlay Control Plane học thông tin về các endpoint và mạng logic.
Trong EVPN-VXLAN, vai trò này do BGP EVPN đảm nhiệm.
Nó phân phối:
- Địa chỉ MAC.
- Địa chỉ IP của endpoint.
- VNI.
- Thông tin Anycast Gateway.
- Chính sách Multi-Homing.
Nhờ vậy, Fabric không cần sử dụng cơ chế flood-and-learn truyền thống như trong Ethernet cổ điển.
Traffic Independent
Slide đầu tiên có một ý rất quan trọng:
Traffic independent (L2, L3, Multicast...)
Điều này có nghĩa Fabric không bị giới hạn ở một loại lưu lượng duy nhất.
Một Fabric hiện đại có thể đồng thời vận chuyển:
- Ethernet Layer 2.
- IPv4.
- IPv6.
- Multicast.
- Storage Traffic.
- VM Mobility.
- Kubernetes Pod Networking.
Tất cả đều chia sẻ chung hạ tầng Underlay.
Macro Segmentation và Micro Segmentation
Fabric còn tích hợp sẵn hai cơ chế phân đoạn mạng:
Macro Segmentation tạo ra các vùng mạng lớn để cô lập các nhóm người dùng hoặc ứng dụng, chẳng hạn:
- Engineering
- Finance
- HR
- Guest
- IoT
Trong Cisco SD-Access, các vùng này thường được triển khai bằng Virtual Network (VN) hoặc VRF.
Micro Segmentation kiểm soát lưu lượng chi tiết hơn, ngay cả khi các máy nằm trong cùng một vùng mạng. Ví dụ, hai máy chủ Web và Database thuộc cùng Tenant nhưng chỉ cho phép Web Server truy cập Database qua cổng TCP 3306, còn mọi lưu lượng khác đều bị chặn. Trong môi trường EVPN-VXLAN, các chính sách này có thể được thực thi bằng Security Group Tag (SGT), Contract hoặc Distributed Firewall, tùy nền tảng triển khai.
Preserves Policy Information
Một ưu điểm nổi bật khác của Fabric là khả năng giữ nguyên thông tin chính sách từ đầu đến cuối.
Thay vì cấu hình ACL hoặc Security Policy trên từng switch dọc đường đi, chính sách được gắn với người dùng, thiết bị hoặc ứng dụng ngay tại điểm vào Fabric và được duy trì xuyên suốt quá trình truyền tải.
Ví dụ, khi một máy chủ được gắn nhãn là Finance, mọi lưu lượng của máy chủ đó vẫn mang theo thông tin phân loại này dù đi qua nhiều Leaf, Spine hay thậm chí sang một Data Center khác. Điều này giúp các chính sách bảo mật luôn được áp dụng nhất quán trên toàn bộ Fabric.
Kết luận
Network Fabric không chỉ là một cách kết nối switch mà là một kiến trúc mạng hiện đại giúp đơn giản hóa vận hành và mở rộng quy mô. Underlay cung cấp hạ tầng IP ổn định với định tuyến và cân bằng tải, trong khi Overlay xây dựng các mạng logic độc lập với hạ tầng vật lý. Edge Device là điểm kết nối các endpoint vào Fabric, còn Control Plane ở cả Underlay và Overlay đảm nhiệm việc học thông tin mạng và điều khiển lưu lượng.
Sự kết hợp giữa Underlay + Overlay + Control Plane cho phép Fabric hoạt động như một switch hoặc router khổng lồ, hỗ trợ hàng triệu endpoint, cung cấp khả năng mở rộng cao, tích hợp sẵn cơ chế phân đoạn mạng (Macro và Micro Segmentation) và duy trì chính sách bảo mật nhất quán từ đầu đến cuối. Đây chính là nền tảng của các giải pháp như Cisco EVPN-VXLAN, Cisco SD-Access, Cisco ACI, VMware NSX và nhiều hạ tầng Cloud hiện đại.