Om VXLAN-gateways te bespreken, moeten we eerst VXLAN zelf bespreken. Traditionele VLAN's (Virtual Local Area Networks) gebruiken 12-bits VLAN-ID's om netwerken te verdelen en ondersteunen tot 4096 logische netwerken. Dit werkt prima voor kleine netwerken, maar in moderne datacenters, met hun duizenden virtuele machines, containers en multi-tenantomgevingen, zijn VLAN's ontoereikend. VXLAN is ontstaan en gedefinieerd door de Internet Engineering Task Force (IETF) in RFC 7348. Het doel ervan is om het broadcastdomein van Layer 2 (Ethernet) uit te breiden over Layer 3 (IP)-netwerken met behulp van UDP-tunnels.
Simpel gezegd, VXLAN encapsuleert Ethernet-frames in UDP-pakketten en voegt een 24-bits VXLAN Network Identifier (VNI) toe, waardoor theoretisch 16 miljoen virtuele netwerken worden ondersteund. Dit is alsof elk virtueel netwerk een "identiteitskaart" krijgt, waardoor ze zich vrij over het fysieke netwerk kunnen bewegen zonder elkaar te storen. De kerncomponent van VXLAN is het VXLAN Tunnel End Point (VTEP), dat verantwoordelijk is voor het encapsuleren en decapsuleren van pakketten. VTEP kan softwarematig zijn (zoals Open vSwitch) of hardwarematig (zoals de ASIC-chip op de switch).
Waarom is VXLAN zo populair? Omdat het perfect aansluit op de behoeften van cloudcomputing en SDN (Software-Defined Networking). In publieke clouds zoals AWS en Azure maakt VXLAN een naadloze uitbreiding van de virtuele netwerken van tenants mogelijk. In private datacenters ondersteunt het overlay-netwerkarchitecturen zoals VMware NSX of Cisco ACI. Stel je een datacenter voor met duizenden servers, elk met tientallen virtuele machines (VM's). VXLAN zorgt ervoor dat deze VM's zichzelf als onderdeel van hetzelfde Layer 2-netwerk beschouwen, waardoor een vlotte overdracht van ARP-broadcasts en DHCP-aanvragen wordt gegarandeerd.
VXLAN is echter geen wondermiddel. Werken op een L3-netwerk vereist L2-naar-L3-conversie, en dat is waar de gateway in beeld komt. De VXLAN-gateway verbindt het virtuele VXLAN-netwerk met externe netwerken (zoals traditionele VLAN's of IP-routeringsnetwerken), waardoor de datastroom van de virtuele wereld naar de reële wereld wordt gewaarborgd. Het doorstuurmechanisme is de kern van de gateway en bepaalt hoe pakketten worden verwerkt, gerouteerd en gedistribueerd.
Het VXLAN-doorstuurproces is als een delicate balletvoorstelling, waarbij elke stap van bron tot bestemming nauw met elkaar verbonden is. Laten we het stap voor stap bekijken.
Eerst wordt er een pakket verzonden vanaf de bronhost (zoals een virtuele machine). Dit is een standaard Ethernet-frame met het MAC-adres van de bron, het MAC-adres van de bestemming, de VLAN-tag (indien aanwezig) en de payload. Na ontvangst van dit frame controleert de bron-VTEP het MAC-adres van de bestemming. Als het MAC-adres van de bestemming in de MAC-tabel staat (verkregen via learning of flooding), weet de bron naar welke externe VTEP het pakket moet worden doorgestuurd.
Het inkapselingsproces is cruciaal: de VTEP voegt een VXLAN-header toe (inclusief de VNI, vlaggen, enzovoort), vervolgens een externe UDP-header (met een bronpoort gebaseerd op een hash van het binnenste frame en een vaste bestemmingspoort van 4789), een IP-header (met het bron-IP-adres van de lokale VTEP en het bestemmings-IP-adres van de externe VTEP) en ten slotte een externe Ethernet-header. Het volledige pakket verschijnt nu als een UDP/IP-pakket, ziet eruit als normaal verkeer en kan worden gerouteerd op het L3-netwerk.
Op het fysieke netwerk wordt het pakket door een router of switch doorgestuurd totdat het de bestemmings-VTEP bereikt. De bestemmings-VTEP verwijdert de buitenste header, controleert de VXLAN-header om er zeker van te zijn dat de VNI overeenkomt, en levert vervolgens het binnenste Ethernet-frame af aan de bestemmingshost. Als het pakket onbekend unicast-, broadcast- of multicastverkeer (BUM) betreft, repliceert de VTEP het pakket naar alle relevante VTEP's met behulp van flooding, waarbij gebruik wordt gemaakt van multicastgroepen of unicast-headerreplicatie (HER).
De kern van het forwarding-principe is de scheiding van het besturingsvlak en het datavlak. Het besturingsvlak gebruikt Ethernet VPN (EVPN) of het Flood and Learn-mechanisme om MAC- en IP-adressen te leren. EVPN is gebaseerd op het BGP-protocol en stelt VTEP's in staat om routeringsinformatie uit te wisselen, zoals MAC-VRF (Virtual Routing and Forwarding) en IP-VRF. Het datavlak is verantwoordelijk voor de daadwerkelijke forwarding en maakt gebruik van VXLAN-tunnels voor efficiënte transmissie.
In de praktijk heeft de efficiëntie van de doorsturing echter een directe invloed op de prestaties. Traditionele flooding kan gemakkelijk broadcast-storms veroorzaken, vooral in grote netwerken. Dit leidt tot de noodzaak van gateway-optimalisatie: gateways verbinden niet alleen interne en externe netwerken, maar fungeren ook als proxy ARP-agents, behandelen routelekken en zorgen voor de kortste doorstuurpaden.
Gecentraliseerde VXLAN-gateway
Een gecentraliseerde VXLAN-gateway, ook wel L3-gateway genoemd, wordt doorgaans ingezet aan de rand of in de kernlaag van een datacenter. Deze fungeert als centrale hub waar al het verkeer tussen VNI's of subnetten doorheen moet.
In principe fungeert een gecentraliseerde gateway als de standaardgateway en biedt deze Layer 3-routeringsservices voor alle VXLAN-netwerken. Neem twee VNI's: VNI 10000 (subnet 10.1.1.0/24) en VNI 20000 (subnet 10.2.1.0/24). Als VM A in VNI 10000 toegang wil tot VM B in VNI 20000, bereikt het pakket eerst de lokale VTEP. De lokale VTEP detecteert dat het bestemmings-IP-adres zich niet in het lokale subnet bevindt en stuurt het door naar de gecentraliseerde gateway. De gateway decapsuleert het pakket, neemt een routeringsbeslissing en encapsuleert het pakket vervolgens opnieuw in een tunnel naar de bestemmings-VNI.
De voordelen zijn duidelijk:
○ Eenvoudig beheerAlle routeringsconfiguraties zijn gecentraliseerd op één of twee apparaten, waardoor beheerders slechts een paar gateways hoeven te onderhouden om het hele netwerk te bestrijken. Deze aanpak is geschikt voor kleine en middelgrote datacenters of omgevingen die voor het eerst VXLAN implementeren.
○HulpbronnenefficiëntGateways zijn doorgaans krachtige hardware (zoals de Cisco Nexus 9000 of Arista 7050) die enorme hoeveelheden verkeer aankunnen. Het besturingsvlak is gecentraliseerd, wat de integratie met SDN-controllers zoals NSX Manager vergemakkelijkt.
○Strikte beveiligingscontroleVerkeer moet via de gateway lopen, wat de implementatie van ACL's (Access Control Lists), firewalls en NAT mogelijk maakt. Stel je een scenario met meerdere tenants voor, waarbij een gecentraliseerde gateway het verkeer van de verschillende tenants gemakkelijk kan isoleren.
Maar de tekortkomingen kunnen niet worden genegeerd:
○ Enkelvoudig storingspuntAls de gateway uitvalt, wordt de L3-communicatie over het hele netwerk lamgelegd. Hoewel VRRP (Virtual Router Redundancy Protocol) kan worden gebruikt voor redundantie, brengt het nog steeds risico's met zich mee.
○PrestatieknelpuntAl het oost-westverkeer (communicatie tussen servers) moet de gateway omzeilen, wat resulteert in een suboptimale route. In een cluster met 1000 knooppunten is de kans bijvoorbeeld groot dat er tijdens piekuren congestie optreedt als de bandbreedte van de gateway 100 Gbps is.
○Slechte schaalbaarheidNaarmate de netwerkschaal groeit, neemt de belasting van de gateway exponentieel toe. In een praktijkvoorbeeld heb ik een financieel datacenter gezien dat een gecentraliseerde gateway gebruikte. Aanvankelijk werkte het probleemloos, maar nadat het aantal virtuele machines verdubbelde, schoot de latentie omhoog van microseconden naar milliseconden.
Toepassingsscenario: Geschikt voor omgevingen die een hoge mate van beheersbaarheid vereisen, zoals private clouds voor bedrijven of testnetwerken. Cisco's ACI-architectuur maakt vaak gebruik van een gecentraliseerd model, gecombineerd met een leaf-spine-topologie, om een efficiënte werking van de core gateways te garanderen.
Gedistribueerde VXLAN-gateway
Een gedistribueerde VXLAN-gateway, ook wel bekend als een gedistribueerde gateway of anycast-gateway, verplaatst de gatewayfunctionaliteit naar elke leaf-switch of hypervisor VTEP. Elke VTEP fungeert als een lokale gateway en verzorgt de L3-forwarding voor het lokale subnet.
Het principe is flexibeler: elke VTEP is geconfigureerd met hetzelfde virtuele IP-adres (VIP) als de standaardgateway, met behulp van het Anycast-mechanisme. Pakketten die door VM's tussen subnetten worden verzonden, worden rechtstreeks via de lokale VTEP gerouteerd, zonder dat ze via een centraal punt hoeven te gaan. EVPN is hier bijzonder nuttig: via BGP EVPN leert de VTEP de routes van externe hosts en gebruikt MAC/IP-binding om ARP-flooding te voorkomen.
Bijvoorbeeld, VM A (10.1.1.10) wil toegang krijgen tot VM B (10.2.1.10). De standaardgateway van VM A is het VIP van de lokale VTEP (10.1.1.1). De lokale VTEP routeert naar het bestemmingssubnet, encapsuleert het VXLAN-pakket en stuurt het direct naar de VTEP van VM B. Dit proces minimaliseert de padlengte en de latentie.
Uitstekende voordelen:
○ Hoge schaalbaarheidDoor gatewayfunctionaliteit over alle knooppunten te verdelen, wordt het netwerk groter, wat gunstig is voor grotere netwerken. Grote cloudproviders zoals Google Cloud gebruiken een vergelijkbaar mechanisme om miljoenen virtuele machines te ondersteunen.
○Superieure prestatiesOost-westverkeer wordt lokaal verwerkt om knelpunten te voorkomen. Testgegevens tonen aan dat de doorvoer in gedistribueerde modus met 30% tot 50% kan toenemen.
○Snel foutherstelEen enkele VTEP-storing treft alleen de lokale host, waardoor andere knooppunten onaangetast blijven. In combinatie met de snelle convergentie van EVPN bedraagt de hersteltijd slechts enkele seconden.
○Goed gebruik van middelenGebruik de bestaande Leaf-switch ASIC-chip voor hardwareversnelling, met doorvoersnelheden tot Tbps-niveau.
Wat zijn de nadelen?
○ Complexe configuratieElke VTEP vereist configuratie van routing, EVPN en andere functies, waardoor de initiële implementatie tijdrovend is. Het operationele team moet bekend zijn met BGP en SDN.
○Hoge hardwarevereistenGedistribueerde gateway: Niet alle switches ondersteunen gedistribueerde gateways; Broadcom Trident- of Tomahawk-chips zijn vereist. Software-implementaties (zoals OVS op KVM) presteren niet zo goed als hardware.
○Uitdagingen op het gebied van consistentieGedistribueerd betekent dat de statussynchronisatie afhankelijk is van EVPN. Als de BGP-sessie fluctueert, kan dit een routing black hole veroorzaken.
Toepassingsscenario: Perfect voor hyperscale datacenters of publieke clouds. De gedistribueerde router van VMware NSX-T is een typisch voorbeeld. In combinatie met Kubernetes biedt deze naadloze ondersteuning voor containernetwerken.
Gecentraliseerde VxLAN-gateway versus gedistribueerde VxLAN-gateway
En nu het hoogtepunt: wat is beter? Het antwoord is "dat hangt ervan af", maar we moeten diep in de data en casestudies duiken om u te overtuigen.
Vanuit prestatieoogpunt presteren gedistribueerde systemen duidelijk beter. In een typische benchmark voor datacenters (gebaseerd op Spirent-testapparatuur) bedroeg de gemiddelde latentie van een gecentraliseerde gateway 150 µs, terwijl die van een gedistribueerd systeem slechts 50 µs was. Qua doorvoer kunnen gedistribueerde systemen gemakkelijk lijnsnelheid bereiken omdat ze gebruikmaken van Spine-Leaf Equal Cost Multi-Path (ECMP)-routing.
Schaalbaarheid is een ander belangrijk strijdveld. Gecentraliseerde netwerken zijn geschikt voor netwerken met 100 tot 500 knooppunten; daarboven krijgen gedistribueerde netwerken de overhand. Neem bijvoorbeeld Alibaba Cloud. Hun VPC (Virtual Private Cloud) gebruikt gedistribueerde VXLAN-gateways om miljoenen gebruikers wereldwijd te ondersteunen, met een latentie van minder dan 1 ms binnen één regio. Een gecentraliseerde aanpak zou allang zijn ingestort.
En hoe zit het met de kosten? Een gecentraliseerde oplossing biedt een lagere initiële investering, omdat er slechts een paar hoogwaardige gateways nodig zijn. Een gedistribueerde oplossing vereist dat alle leaf-nodes VXLAN-offload ondersteunen, wat leidt tot hogere kosten voor hardware-upgrades. Op de lange termijn biedt een gedistribueerde oplossing echter lagere operationele en onderhoudskosten, omdat automatiseringstools zoals Ansible batchconfiguratie mogelijk maken.
Beveiliging en betrouwbaarheid: Gecentraliseerde systemen bieden gecentraliseerde bescherming, maar brengen een hoog risico op single points of attack met zich mee. Gedistribueerde systemen zijn veerkrachtiger, maar vereisen een robuust controlepaneel om DDoS-aanvallen te voorkomen.
Een praktijkvoorbeeld: Een e-commercebedrijf gebruikte gecentraliseerd VXLAN voor de bouw van zijn website. Tijdens piekuren liep het CPU-gebruik van de gateway op tot 90%, wat leidde tot klachten van gebruikers over latentie. Overstappen op een gedistribueerd model loste het probleem op, waardoor het bedrijf zijn schaal gemakkelijk kon verdubbelen. Daarentegen hield een kleine bank vast aan een gecentraliseerd model omdat ze prioriteit gaven aan compliance-audits en gecentraliseerd beheer eenvoudiger vonden.
Over het algemeen geldt dat als je op zoek bent naar extreme netwerkprestaties en schaalbaarheid, een gedistribueerde aanpak de beste optie is. Als je budget beperkt is en je managementteam weinig ervaring heeft, is een gecentraliseerde aanpak praktischer. In de toekomst, met de opkomst van 5G en edge computing, zullen gedistribueerde netwerken populairder worden, maar gecentraliseerde netwerken zullen in specifieke scenario's, zoals de interconnectie van filiaalvestigingen, nog steeds waardevol zijn.
Mylinking™ netwerkpakketbrokersOndersteuning voor VxLAN, VLAN, GRE, MPLS Header Stripping
Ondersteuning voor het verwijderen van VxLAN-, VLAN-, GRE- en MPLS-headers uit het oorspronkelijke datapakket en de doorgestuurde uitvoer.
Geplaatst op: 9 oktober 2025
