د VXLAN دروازو په اړه د بحث لپاره، موږ باید لومړی د VXLAN په اړه بحث وکړو. په یاد ولرئ چې دودیز VLANs (مجازی سیمه ایزې شبکې) د شبکو ویشلو لپاره د 12-bit VLAN IDs کاروي، تر 4096 منطقي شبکو پورې ملاتړ کوي. دا د کوچنیو شبکو لپاره ښه کار کوي، مګر په عصري معلوماتو مرکزونو کې، د دوی د زرګونو مجازی ماشینونو، کانټینرونو، او څو کرایه دار چاپیریالونو سره، VLANs کافي ندي. VXLAN زیږیدلی، د انټرنیټ انجینرۍ ټاسک فورس (IETF) لخوا په RFC 7348 کې تعریف شوی. د دې هدف دا دی چې د UDP تونلونو په کارولو سره د پرت 2 (ایترنیټ) خپرونې ډومین د پرت 3 (IP) شبکو باندې وغځوي.
په ساده ډول، VXLAN د UDP پاکټونو دننه ایترنیټ چوکاټونه پوښي او د 24-bit VXLAN شبکې پیژندونکی (VNI) اضافه کوي، چې په تیوري کې د 16 ملیون مجازی شبکو ملاتړ کوي. دا د هرې مجازی شبکې ته د "شناخت کارت" ورکولو په څیر دی، چې دوی ته اجازه ورکوي چې په فزیکي شبکه کې په آزاده توګه حرکت وکړي پرته له دې چې یو بل سره مداخله وکړي. د VXLAN اصلي برخه د VXLAN تونل پای ټکی (VTEP) دی، کوم چې د پیکټونو پوښلو او خلاصولو مسؤلیت لري. VTEP کولی شي سافټویر (لکه Open vSwitch) یا هارډویر (لکه په سویچ کې ASIC چپ) وي.
ولې VXLAN دومره مشهور دی؟ ځکه چې دا په بشپړ ډول د کلاوډ کمپیوټینګ او SDN (سافټویر تعریف شوي شبکې) اړتیاو سره سمون لري. په عامه کلاوډونو لکه AWS او Azure کې، VXLAN د کرایه کونکو مجازی شبکو بې ساري توسیع فعالوي. په شخصي ډیټا مرکزونو کې، دا د VMware NSX یا سیسکو ACI په څیر د اوورلی شبکې معمارۍ ملاتړ کوي. د زرګونو سرورونو سره د ډیټا مرکز تصور وکړئ، هر یو یې لسګونه VMs (مجازی ماشینونه) چلوي. VXLAN دې VMs ته اجازه ورکوي چې ځانونه د ورته پرت 2 شبکې برخې په توګه درک کړي، د ARP خپرونو او DHCP غوښتنو اسانه لیږد ډاډمن کړي.
خو، VXLAN د درملنې وړ درمل نه دی. په L3 شبکه کې کار کول د L2 څخه تر L3 پورې تبادلې ته اړتیا لري، کوم چې دا دروازه راځي. د VXLAN دروازه د VXLAN مجازی شبکه د بهرنیو شبکو سره وصل کوي (لکه دودیز VLAN یا IP روټینګ شبکې)، د مجازی نړۍ څخه ریښتینې نړۍ ته د معلوماتو جریان ډاډمن کوي. د فارورډ کولو میکانیزم د دروازې زړه او روح دی، دا ټاکي چې څنګه پیکټونه پروسس کیږي، روټ کیږي او ویشل کیږي.
د VXLAN د لیږلو پروسه د یوې نازکې بیلې په څیر ده، چې له سرچینې څخه تر منزل پورې هر ګام له نږدې سره تړلی دی. راځئ چې دا ګام په ګام مات کړو.
لومړی، یو پاکټ د سرچینې کوربه (لکه VM) څخه لیږل کیږي. دا یو معیاري ایترنیټ چوکاټ دی چې د سرچینې MAC پته، د منزل MAC پته، VLAN ټګ (که کوم وي)، او پیلوډ لري. د دې چوکاټ ترلاسه کولو سره، سرچینه VTEP د منزل MAC پته ګوري. که چیرې د منزل MAC پته په خپل MAC جدول کې وي (د زده کړې یا سیلاب له لارې ترلاسه شوی)، دا پوهیږي چې کوم لرې VTEP ته پیکټ لیږل کیږي.
د انکیپسولیشن پروسه خورا مهمه ده: VTEP د VXLAN سرلیک اضافه کوي (د VNI، بیرغونو، او داسې نورو په شمول)، بیا یو بهرنی UDP سرلیک (د داخلي چوکاټ د هش پر بنسټ د سرچینې پورټ او د 4789 د ټاکل شوي منزل پورټ سره)، یو IP سرلیک (د محلي VTEP د سرچینې IP پته او د لرې پرتو VTEP د منزل IP پته سره)، او په پای کې یو بهرنی ایترنیټ سرلیک. اوس ټول پیکټ د UDP/IP پیکټ په توګه ښکاري، د نورمال ټرافیک په څیر ښکاري، او په L3 شبکه کې لیږدول کیدی شي.
په فزیکي شبکه کې، پاکټ د روټر یا سویچ لخوا لیږل کیږي تر هغه چې منزل VTEP ته ورسیږي. منزل VTEP بهرنۍ سرلیک لرې کوي، د VXLAN سرلیک ګوري ترڅو ډاډ ترلاسه کړي چې VNI میچ کوي، او بیا داخلي ایترنیټ چوکاټ منزل کوربه ته رسوي. که چیرې پاکټ نامعلوم یونیکاسټ، براډکاسټ، یا ملټي کاسټ (BUM) ټرافیک وي، VTEP پاکټ ټولو اړونده VTEPs ته د سیلاب په کارولو سره نقل کوي، د ملټي کاسټ ګروپونو یا یونیکاسټ سرلیک نقل (HER) باندې تکیه کوي.
د فارورډ کولو اصل اصلي موخه د کنټرول الوتکې او ډیټا الوتکې جلا کول دي. د کنټرول الوتکه د MAC او IP نقشې زده کولو لپاره ایترنیټ VPN (EVPN) یا د سیلاب او زده کړې میکانیزم کاروي. EVPN د BGP پروتوکول پر بنسټ والړ دی او VTEPs ته اجازه ورکوي چې د روټینګ معلومات تبادله کړي، لکه MAC-VRF (مجازی روټینګ او فارورډینګ) او IP-VRF. د ډیټا الوتکه د اصلي فارورډ کولو مسؤلیت لري، د اغیزمن لیږد لپاره د VXLAN تونلونو څخه کار اخلي.
په هرصورت، په حقیقي ځای پر ځای کولو کې، د فارورډ کولو موثریت په مستقیم ډول فعالیت اغیزه کوي. دودیز سیلاب کولی شي په اسانۍ سره د خپرونې طوفانونه رامینځته کړي، په ځانګړې توګه په لویو شبکو کې. دا د ګیټ وی اصلاح کولو اړتیا ته لار هواروي: ګیټ وی نه یوازې داخلي او بهرني شبکې سره وصل کوي بلکه د پراکسي ARP اجنټانو په توګه هم کار کوي، د لارې لیکونه اداره کوي، او د لنډې فارورډ کولو لارې ډاډمن کوي.
مرکزي شوی VXLAN دروازه
یو مرکزي VXLAN دروازه، چې د مرکزي دروازې یا L3 دروازې په نوم هم یادیږي، معمولا د معلوماتو مرکز په څنډه یا اصلي طبقه کې ځای پر ځای کیږي. دا د مرکزي مرکز په توګه کار کوي، چې له لارې یې ټول کراس-VNI یا کراس-سبنیټ ترافیک باید تیر شي.
په اصل کې، یو مرکزي دروازه د ډیفالټ دروازې په توګه کار کوي، د ټولو VXLAN شبکو لپاره د دریمې طبقې روټینګ خدمات چمتو کوي. دوه VNIs په پام کې ونیسئ: VNI 10000 (سب نیټ 10.1.1.0/24) او VNI 20000 (سب نیټ 10.2.1.0/24). که چیرې VM A په VNI 10000 کې غواړي په VNI 20000 کې VM B ته لاسرسی ومومي، نو پاکټ لومړی محلي VTEP ته رسیږي. محلي VTEP کشف کوي چې د منزل IP پته په محلي سب نیټ کې نه ده او دا مرکزي دروازې ته لیږي. دروازه پاکټ ډی کیپسول کوي، د روټینګ پریکړه کوي، او بیا پاکټ د منزل VNI ته په تونل کې بیا کیپسول کوي.
ګټې یې څرګندې دي:
○ ساده مدیریتټول روټینګ ترتیبات په یوه یا دوه وسیلو کې مرکزي شوي دي، چې آپریټرانو ته اجازه ورکوي چې یوازې یو څو دروازې وساتي ترڅو ټوله شبکه پوښي. دا طریقه د کوچنیو او منځنیو معلوماتو مرکزونو یا چاپیریالونو لپاره مناسبه ده چې د لومړي ځل لپاره VXLAN ځای په ځای کوي.
○د سرچینو موثریتګیټ ویز معمولا د لوړ فعالیت هارډویر دي (لکه سیسکو نیکسس ۹۰۰۰ یا اریسټا ۷۰۵۰) چې د لوی مقدار ترافیک اداره کولو وړتیا لري. د کنټرول الوتکه مرکزي شوې ده، د SDN کنټرولرونو لکه NSX مدیر سره یوځای کول اسانه کوي.
○قوي امنیتي کنټرولټرافیک باید د دروازې څخه تیر شي، د ACLs (د لاسرسي کنټرول لیستونو)، فایر والونو، او NAT پلي کول اسانه کوي. د څو کرایه دارانو سناریو تصور وکړئ چیرې چې یو مرکزي دروازه کولی شي په اسانۍ سره د کرایه دارانو ټرافیک جلا کړي.
خو نیمګړتیاوې له پامه نشي غورځول کېدای:
○ د ناکامۍ یوه نقطهکه چیرې ګیټ وے ناکام شي، نو په ټوله شبکه کې د L3 اړیکه فلج کیږي. که څه هم VRRP (ورچوئل روټر ریډنډنسي پروتوکول) د ریډنډنسي لپاره کارول کیدی شي، دا لاهم خطرونه لري.
○د فعالیت خنډټول ختیځ-لویدیځ ټرافیک (د سرورونو ترمنځ اړیکه) باید د دروازې څخه تیر شي، چې پایله یې یو فرعي غوره لاره وي. د مثال په توګه، په 1000-نوډ کلستر کې، که چیرې د دروازې بینډ ویت 100Gbps وي، نو د ګڼې ګوڼې احتمال د لوړ ساعت په جریان کې رامنځته کیږي.
○کمزوری پیمانه وړتیالکه څنګه چې د شبکې پیمانه وده کوي، د ګیټ وی بار په چټکۍ سره زیاتیږي. په یوه ریښتینې نړۍ مثال کې، ما د مالي معلوماتو مرکز لیدلی چې د مرکزي ګیټ وی په کارولو سره کارول کیږي. په پیل کې، دا په اسانۍ سره پرمخ لاړ، مګر وروسته له دې چې د VMs شمیر دوه چنده شو، ځنډ له مایکرو ثانیو څخه ملی ثانیو ته لوړ شو.
د غوښتنلیک سناریو: د هغو چاپیریالونو لپاره مناسب چې د مدیریت لوړې سادګۍ ته اړتیا لري، لکه د تصدۍ خصوصي کلاوډز یا د ازموینې شبکې. د سیسکو ACI جوړښت ډیری وختونه یو مرکزي ماډل کاروي، چې د پاڼی-نخاعي ټوپولوژي سره یوځای کیږي، ترڅو د اصلي دروازو اغیزمن عملیات ډاډمن کړي.
ویشل شوی VXLAN ګیټ وے
یو توزیع شوی VXLAN ګیټ وے، چې د توزیع شوي ګیټ وے یا انی کاسټ ګیټ وے په نوم هم پیژندل کیږي، د ګیټ وے فعالیت هر لیف سویچ یا هایپروایزر VTEP ته اپلوډ کوي. هر VTEP د محلي دروازې په توګه کار کوي، د محلي سب نیټ لپاره د L3 فارورډینګ اداره کوي.
اصل ډیر انعطاف منونکی دی: هر VTEP د ډیفالټ ګیټ وی په څیر ورته مجازی IP (VIP) سره تنظیم شوی، د Anycast میکانیزم په کارولو سره. د VMs لخوا لیږل شوي کراس سب نیټ پاکټونه په مستقیم ډول په محلي VTEP کې لیږدول کیږي، پرته له دې چې د مرکزي نقطې څخه تیر شي. EVPN دلته په ځانګړي ډول ګټور دی: د BGP EVPN له لارې، VTEP د لرې پرتو کوربه ګانو لارې زده کوي او د ARP سیلاب څخه مخنیوي لپاره MAC/IP تړل کاروي.
د مثال په توګه، VM A (10.1.1.10) غواړي VM B (10.2.1.10) ته لاسرسی ومومي. د VM A ډیفالټ دروازه د محلي VTEP (10.1.1.1) VIP ده. محلي VTEP د منزل سبنیټ ته لاره هواروي، د VXLAN پاکټ پوښي، او مستقیم د VM B VTEP ته لیږي. دا پروسه لاره او ځنډ کموي.
د پام وړ ګټې:
○ لوړ پیمانه وړتیاهر نوډ ته د ګیټ وی فعالیت ویشل د شبکې اندازه زیاتوي، کوم چې د لویو شبکو لپاره ګټور دی. د ګوګل کلاوډ په څیر لوی کلاوډ چمتو کونکي د ملیونونو VMs ملاتړ لپاره ورته میکانیزم کاروي.
○غوره فعالیتد ختیځ څخه تر لویدیځ پورې ترافیک په محلي کچه پروسس کیږي ترڅو د خنډونو مخه ونیول شي. د ازموینې معلومات ښیې چې په ویشل شوي حالت کې د 30٪ -50٪ پورې د بریښنا رسولو کچه لوړه کیدی شي.
○د تېروتنې چټک رغونهد VTEP یوه ناکامي یوازې محلي کوربه اغیزمنوي، او نور نوډونه یې اغیزمن نه پریږدي. د EVPN د چټک همغږۍ سره یوځای، د بیا رغونې وخت په ثانیو کې دی.
○د سرچینو ښه کارولد هارډویر سرعت لپاره د موجوده لیف سویچ ASIC چپ څخه کار واخلئ، د فارورډ کولو نرخونه د Tbps کچې ته رسیدو سره.
زیانونه یې څه دي؟
○ پیچلي ترتیبهر VTEP د روټینګ، EVPN، او نورو ځانګړتیاو ترتیب ته اړتیا لري، چې د لومړني ځای پرځای کولو وخت نیسي. د عملیاتو ټیم باید د BGP او SDN سره بلد وي.
○د هارډویر لوړې اړتیاوېویشل شوې دروازه: ټول سویچونه ویشل شوې دروازې نه ملاتړ کوي؛ د براډکام ټریډینټ یا ټوماهاک چپس اړین دي. د سافټویر پلي کول (لکه په KVM کې OVS) د هارډویر په څیر ښه فعالیت نه کوي.
○د دوامدارۍ ننګونېویشل شوی معنی دا ده چې د حالت همغږي کول په EVPN تکیه کوي. که چیرې د BGP سیشن بدلون ومومي، نو دا ممکن د روټینګ تور سوري لامل شي.
د غوښتنلیک سناریو: د هایپر سکیل ډیټا مرکزونو یا عامه کلاوډونو لپاره مناسب. د VMware NSX-T توزیع شوی روټر یو ځانګړی مثال دی. د Kubernetes سره یوځای، دا په بې ساري ډول د کانټینر شبکې ملاتړ کوي.
د مرکزي VxLAN دروازې په مقابل کې د ویشل شوي VxLAN دروازې
اوس اوج ته: کوم یو غوره دی؟ ځواب دا دی چې "دا پورې اړه لري"، مګر موږ باید د معلوماتو او قضیې مطالعاتو ژوره کتنه وکړو ترڅو تاسو قانع کړو.
د فعالیت له نظره، ویشل شوي سیسټمونه په څرګنده توګه غوره فعالیت کوي. په یوه عادي ډیټا سنټر بنچمارک کې (د سپیرینټ ازموینې تجهیزاتو پراساس)، د مرکزي شوي دروازې اوسط ځنډ 150μs و، پداسې حال کې چې د ویشل شوي سیسټم یوازې 50μs و. د تروپټ له پلوه، ویشل شوي سیسټمونه کولی شي په اسانۍ سره د لاین-ریټ فارورډینګ ترلاسه کړي ځکه چې دوی د نخاعي پاڼي مساوي لګښت څو لارې (ECMP) روټینګ څخه ګټه پورته کوي.
د پیمانه کولو وړتیا د جګړې یو بل ډګر دی. مرکزي شبکې د 100-500 نوډونو سره د شبکو لپاره مناسبې دي؛ د دې پیمانه هاخوا، ویشل شوي شبکې لوړ لاس ترلاسه کوي. د مثال په توګه، علی بابا کلاوډ واخلئ. د دوی VPC (مجازی خصوصي کلاوډ) د نړۍ په کچه د ملیونونو کاروونکو ملاتړ لپاره ویشل شوي VXLAN دروازې کاروي، د 1ms څخه کم د واحد سیمې ځنډ سره. یو مرکزي چلند به ډیر دمخه له منځه تللی وای.
د لګښت په اړه څه؟ یو مرکزي حل د ټیټې لومړنۍ پانګونې وړاندیز کوي، یوازې یو څو لوړ پای دروازې ته اړتیا لري. یو ویشل شوی حل د ټولو پاڼو نوډونو ته اړتیا لري چې د VXLAN آفلوډ ملاتړ وکړي، چې د هارډویر لوړولو لګښتونو لامل کیږي. په هرصورت، په اوږد مهال کې، یو ویشل شوی حل د O&M ټیټ لګښتونه وړاندې کوي، ځکه چې د انسیبل په څیر اتوماتیک وسایل د بیچ ترتیب فعالوي.
امنیت او اعتبار: مرکزي شوي سیسټمونه مرکزي محافظت اسانه کوي مګر د برید د واحد نقطو لوړ خطر رامینځته کوي. ویشل شوي سیسټمونه ډیر مقاومت لري مګر د DDoS بریدونو مخنیوي لپاره قوي کنټرول الوتکې ته اړتیا لري.
د حقیقي نړۍ د قضیې مطالعه: د ای کامرس شرکت د خپل سایټ د جوړولو لپاره مرکزي VXLAN کارولی. د لوړ وخت په جریان کې، د ګیټ وی CPU کارول 90٪ ته لوړ شو، چې د کاروونکو د ځنډ په اړه شکایتونه یې رامینځته کړل. ویشل شوي ماډل ته بدلول ستونزه حل کړه، شرکت ته یې اجازه ورکړه چې په اسانۍ سره خپل پیمانه دوه چنده کړي. برعکس، یو کوچني بانک په مرکزي ماډل ټینګار وکړ ځکه چې دوی د اطاعت پلټنو ته لومړیتوب ورکړ او مرکزي مدیریت یې اسانه وموند.
په عمومي توګه، که تاسو د شبکې د فعالیت او پیمانې په لټه کې یاست، نو ویشل شوی چلند د تګ لاره ده. که ستاسو بودیجه محدوده وي او ستاسو د مدیریت ټیم تجربه نلري، نو مرکزي چلند ډیر عملي دی. په راتلونکي کې، د 5G او ایج کمپیوټري ودې سره، ویشل شوي شبکې به ډیرې مشهورې شي، مګر مرکزي شبکې به لاهم په ځانګړو سناریوګانو کې ارزښتناکه وي، لکه د څانګې دفتر انټرکنکشن.
د مای لینکینګ ™ شبکې پیکټ بروکرزد VxLAN، VLAN، GRE، MPLS سرلیک سټریپینګ ملاتړ وکړئ
د VxLAN، VLAN، GRE، MPLS سرلیک ملاتړ شوی چې په اصلي ډیټا پاکټ کې لرې شوی او لیږل شوی محصول.
د پوسټ وخت: اکتوبر-۰۹-۲۰۲۵
