للحديث عن بوابات VXLAN، لا بدّ من التطرق أولًا إلى VXLAN نفسه. تجدر الإشارة إلى أن شبكات VLAN التقليدية (شبكات المنطقة المحلية الافتراضية) تستخدم معرّفات VLAN ذات 12 بت لتقسيم الشبكات، وتدعم ما يصل إلى 4096 شبكة منطقية. يُعدّ هذا مناسبًا للشبكات الصغيرة، ولكن في مراكز البيانات الحديثة، التي تضمّ آلاف الأجهزة الافتراضية والحاويات وبيئات متعددة المستأجرين، تصبح شبكات VLAN غير كافية. من هنا نشأت VXLAN، التي حدّدتها فرقة عمل هندسة الإنترنت (IETF) في RFC 7348. يهدف VXLAN إلى توسيع نطاق بث الطبقة الثانية (إيثرنت) ليشمل شبكات الطبقة الثالثة (IP) باستخدام أنفاق UDP.
ببساطة، يقوم بروتوكول VXLAN بتغليف إطارات الإيثرنت داخل حزم UDP، ويضيف مُعرّف شبكة VXLAN (VNI) بطول 24 بت، مما يدعم نظريًا 16 مليون شبكة افتراضية. يُشبه هذا منح كل شبكة افتراضية "بطاقة هوية"، مما يسمح لها بالتنقل بحرية على الشبكة الفعلية دون التداخل مع بعضها البعض. المكون الأساسي لبروتوكول VXLAN هو نقطة نهاية نفق VXLAN (VTEP)، المسؤولة عن تغليف الحزم وفك تغليفها. يمكن أن تكون VTEP برمجية (مثل Open vSwitch) أو مادية (مثل شريحة ASIC الموجودة على المحول).
لماذا تحظى تقنية VXLAN بشعبية واسعة؟ لأنها تتوافق تمامًا مع احتياجات الحوسبة السحابية وشبكات SDN (الشبكات المعرفة بالبرمجيات). في السحابات العامة مثل AWS وAzure، تُمكّن VXLAN من توسيع الشبكات الافتراضية للمستأجرين بسلاسة. أما في مراكز البيانات الخاصة، فهي تدعم بنى الشبكات المتراكبة مثل VMware NSX أو Cisco ACI. تخيّل مركز بيانات يضم آلاف الخوادم، كل منها يُشغّل عشرات الأجهزة الافتراضية. تسمح VXLAN لهذه الأجهزة الافتراضية بالتعرف على نفسها كجزء من نفس شبكة الطبقة الثانية، مما يضمن نقلًا سلسًا لبث ARP وطلبات DHCP.
مع ذلك، لا يُعدّ VXLAN حلاً سحرياً. فالتشغيل على شبكة من الطبقة الثالثة يتطلب تحويل البيانات من الطبقة الثانية إلى الطبقة الثالثة، وهنا يأتي دور البوابة. تربط بوابة VXLAN الشبكة الافتراضية VXLAN بالشبكات الخارجية (مثل شبكات VLAN التقليدية أو شبكات توجيه IP)، مما يضمن تدفق البيانات من العالم الافتراضي إلى العالم الحقيقي. وتُعدّ آلية التوجيه جوهر عمل البوابة، إذ تُحدّد كيفية معالجة الحزم وتوجيهها وتوزيعها.
تُشبه عملية توجيه VXLAN رقصة باليه دقيقة، حيث ترتبط كل خطوة من المصدر إلى الوجهة ارتباطًا وثيقًا. دعونا نحللها خطوة بخطوة.
أولًا، تُرسل حزمة بيانات من المضيف المصدر (مثل جهاز افتراضي). هذه الحزمة عبارة عن إطار إيثرنت قياسي يحتوي على عنوان MAC المصدر، وعنوان MAC الوجهة، وعلامة VLAN (إن وجدت)، وبيانات الحزمة. عند استلام هذا الإطار، يتحقق VTEP المصدر من عنوان MAC الوجهة. إذا كان عنوان MAC الوجهة موجودًا في جدول عناوين MAC الخاص به (الذي تم الحصول عليه من خلال التعلم أو البث)، فإنه يعرف أي VTEP بعيد يجب إعادة توجيه الحزمة إليه.
تُعدّ عملية التغليف بالغة الأهمية: يُضيف VTEP رأس VXLAN (يتضمن VNI، والعلامات، وما إلى ذلك)، ثم رأس UDP خارجي (مع منفذ مصدر مُستند إلى تجزئة الإطار الداخلي ومنفذ وجهة ثابت 4789)، ورأس IP (مع عنوان IP المصدر لـ VTEP المحلي وعنوان IP الوجهة لـ VTEP البعيد)، وأخيرًا رأس Ethernet خارجي. تظهر الحزمة بأكملها الآن كحزمة UDP/IP، وتبدو كحركة مرور عادية، ويمكن توجيهها على شبكة الطبقة الثالثة.
في الشبكة المادية، يقوم جهاز التوجيه أو المحول بتوجيه الحزمة حتى تصل إلى نقطة نهاية النفق الافتراضية (VTEP) الوجهة. تقوم نقطة نهاية النفق الافتراضية (VTEP) الوجهة بإزالة الترويسة الخارجية، وتتحقق من ترويسة VXLAN للتأكد من تطابق معرف الشبكة الافتراضية (VNI)، ثم تُرسل إطار الإيثرنت الداخلي إلى المضيف الوجهة. إذا كانت الحزمة عبارة عن حركة مرور أحادية البث أو بث عام أو بث متعدد غير معروفة (BUM)، فإن نقطة نهاية النفق الافتراضية (VTEP) تُكرر الحزمة إلى جميع نقاط نهاية النفق الافتراضية (VTEP) ذات الصلة باستخدام تقنية الفيضان، بالاعتماد على مجموعات البث المتعدد أو تكرار ترويسة البث الأحادي (HER).
جوهر مبدأ التوجيه هو فصل مستوى التحكم عن مستوى البيانات. يستخدم مستوى التحكم شبكة VPN إيثرنت (EVPN) أو آلية "الفيض والتعلم" لتعلم تعيينات عناوين MAC وIP. تعتمد EVPN على بروتوكول BGP، وتتيح لنقاط نهاية النفق الافتراضية (VTEPs) تبادل معلومات التوجيه، مثل MAC-VRF (التوجيه والتوجيه الافتراضي) وIP-VRF. أما مستوى البيانات، فهو المسؤول عن التوجيه الفعلي، باستخدام أنفاق VXLAN لنقل البيانات بكفاءة.
مع ذلك، في التطبيقات العملية، تؤثر كفاءة التوجيه بشكل مباشر على الأداء. يمكن أن يتسبب التدفق التقليدي للبيانات بسهولة في حدوث عواصف بث، خاصة في الشبكات الكبيرة. وهذا ما يستدعي تحسين البوابات: فالبوابات لا تقتصر وظيفتها على ربط الشبكات الداخلية والخارجية فحسب، بل تعمل أيضًا كوكلاء ARP وسيطين، وتعالج تسريبات المسارات، وتضمن أقصر مسارات التوجيه.
بوابة VXLAN مركزية
تُنشر بوابة VXLAN المركزية، والتي تُسمى أيضًا بوابة مركزية أو بوابة الطبقة الثالثة، عادةً على مستوى الحافة أو الطبقة الأساسية لمركز البيانات. وهي تعمل كمركز محوري، يجب أن تمر عبره جميع حركة البيانات عبر شبكات VNI أو عبر الشبكات الفرعية.
من حيث المبدأ، تعمل البوابة المركزية كبوابة افتراضية، موفرةً خدمات توجيه الطبقة الثالثة لجميع شبكات VXLAN. لنفترض وجود معرفين افتراضيين للشبكة (VNI): VNI 10000 (الشبكة الفرعية 10.1.1.0/24) وVNI 20000 (الشبكة الفرعية 10.2.1.0/24). إذا أرادت الآلة الافتراضية A في VNI 10000 الوصول إلى الآلة الافتراضية B في VNI 20000، فإن الحزمة تصل أولاً إلى نقطة نهاية نفق VXLAN المحلية (VTEP). تكتشف VTEP المحلية أن عنوان IP الوجهة ليس ضمن الشبكة الفرعية المحلية، فتعيد توجيهها إلى البوابة المركزية. تقوم البوابة المركزية بفك تغليف الحزمة، واتخاذ قرار التوجيه، ثم إعادة تغليفها في نفق إلى VNI الوجهة.
المزايا واضحة:
○ إدارة بسيطةتُدار جميع إعدادات التوجيه مركزياً على جهاز واحد أو اثنين، مما يسمح للمشغلين بصيانة عدد قليل من البوابات لتغطية الشبكة بأكملها. يُعد هذا النهج مناسباً لمراكز البيانات الصغيرة والمتوسطة الحجم أو البيئات التي تُطبّق تقنية VXLAN لأول مرة.
○كفاءة استخدام المواردتُعدّ البوابات عادةً أجهزة عالية الأداء (مثل Cisco Nexus 9000 أو Arista 7050) قادرة على معالجة كميات هائلة من البيانات. وتتميز بلوحة تحكم مركزية، مما يُسهّل التكامل مع وحدات تحكم الشبكات المعرفة بالبرمجيات (SDN) مثل NSX Manager.
○إجراءات أمنية مشددةيجب أن تمر حركة البيانات عبر البوابة، مما يسهل تطبيق قوائم التحكم بالوصول (ACLs) وجدران الحماية وتقنية ترجمة عناوين الشبكة (NAT). تخيل سيناريو متعدد المستأجرين حيث يمكن لبوابة مركزية عزل حركة بيانات كل مستأجر بسهولة.
لكن لا يمكن تجاهل أوجه القصور:
○ نقطة فشل واحدةفي حال تعطل البوابة، يتوقف اتصال الطبقة الثالثة عبر الشبكة بأكملها. ورغم إمكانية استخدام بروتوكول VRRP (بروتوكول تكرار الموجه الافتراضي) لتحقيق التكرار، إلا أنه لا يزال ينطوي على مخاطر.
○عنق الزجاجة في الأداءيجب أن تتجاوز جميع حركة البيانات بين الخوادم (التواصل بين الخوادم) البوابة، مما ينتج عنه مسار غير مثالي. على سبيل المثال، في مجموعة تضم 1000 عقدة، إذا كانت سعة نطاق البوابة 100 جيجابت في الثانية، فمن المرجح حدوث ازدحام خلال ساعات الذروة.
○ضعف قابلية التوسعمع ازدياد حجم الشبكة، يزداد حمل البوابة بشكل هائل. في مثال واقعي، رأيت مركز بيانات مالي يستخدم بوابة مركزية. في البداية، كان يعمل بسلاسة، ولكن بعد أن تضاعف عدد الأجهزة الافتراضية، ارتفع زمن الاستجابة بشكل كبير من أجزاء من الثانية إلى أجزاء من الألف من الثانية.
سيناريو التطبيق: مناسب للبيئات التي تتطلب سهولة إدارة عالية، مثل السحابات الخاصة بالمؤسسات أو شبكات الاختبار. غالبًا ما تستخدم بنية ACI من سيسكو نموذجًا مركزيًا، مقترنًا ببنية Leaf-Spine، لضمان التشغيل الفعال للبوابات الأساسية.
بوابة VXLAN موزعة
تقوم بوابة VXLAN الموزعة، والمعروفة أيضًا باسم البوابة الموزعة أو بوابة البث المتعدد، بتفريغ وظائف البوابة إلى كل مفتاح طرفي أو نقطة نهاية VXLAN في برنامج إدارة الأجهزة الافتراضية. وتعمل كل نقطة نهاية VXLAN كبوابة محلية، حيث تتولى توجيه الطبقة الثالثة للشبكة الفرعية المحلية.
يتميز هذا المبدأ بمرونة أكبر: حيث يتم تكوين كل نقطة نهاية نفق افتراضية (VTEP) بنفس عنوان IP الافتراضي (VIP) الخاص بالبوابة الافتراضية، باستخدام آلية البث المتعدد (Anycast). يتم توجيه حزم البيانات المرسلة من الأجهزة الافتراضية عبر الشبكات الفرعية مباشرةً على نقطة نهاية النفق الافتراضية المحلية، دون الحاجة إلى المرور عبر نقطة مركزية. وتُعد شبكة EVPN مفيدة بشكل خاص هنا: فمن خلال بروتوكول BGP EVPN، تتعرف نقطة نهاية النفق الافتراضية على مسارات المضيفين البعيدين وتستخدم ربط عناوين MAC/IP لتجنب هجمات ARP.
على سبيل المثال، تريد الآلة الافتراضية A (10.1.1.10) الوصول إلى الآلة الافتراضية B (10.2.1.10). بوابة الآلة الافتراضية A هي عنوان IP الظاهري (VIP) الخاص بنقطة نهاية النفق الافتراضية المحلية (10.1.1.1). تقوم نقطة نهاية النفق الافتراضية المحلية بتوجيه البيانات إلى الشبكة الفرعية الوجهة، وتغليف حزمة VXLAN، وإرسالها مباشرةً إلى نقطة نهاية النفق الافتراضية الخاصة بالآلة الافتراضية B. تُقلل هذه العملية من طول المسار وزمن الاستجابة.
مزايا بارزة:
○ قابلية عالية للتوسعيؤدي توزيع وظائف البوابة على كل عقدة إلى زيادة حجم الشبكة، وهو أمر مفيد للشبكات الكبيرة. وتستخدم شركات الحوسبة السحابية الكبرى مثل جوجل كلاود آلية مماثلة لدعم ملايين الأجهزة الافتراضية.
○أداء متميزتتم معالجة حركة البيانات بين الشرق والغرب محلياً لتجنب الاختناقات. وتشير بيانات الاختبار إلى أن الإنتاجية يمكن أن تزيد بنسبة 30% إلى 50% في الوضع الموزع.
○استعادة الأعطال السريعةيؤثر عطل واحد في نقطة نهاية النفق الافتراضية (VTEP) على المضيف المحلي فقط، دون أن يؤثر على العقد الأخرى. وبفضل سرعة تقارب EVPN، لا يتجاوز وقت الاستعادة ثوانٍ معدودة.
○الاستخدام الأمثل للموارداستخدم شريحة ASIC الخاصة بمحول Leaf الموجودة لتسريع الأجهزة، مع معدلات إعادة توجيه تصل إلى مستوى Tbps.
ما هي العيوب؟
○ تكوين معقديتطلب كل VTEP تهيئة التوجيه، وEVPN، وميزات أخرى، مما يجعل عملية النشر الأولية تستغرق وقتًا طويلاً. يجب أن يكون فريق العمليات على دراية ببروتوكول BGP وSDN.
○متطلبات أجهزة عاليةالبوابة الموزعة: لا تدعم جميع المحولات البوابات الموزعة؛ إذ تتطلب رقاقات Broadcom Trident أو Tomahawk. ولا تُؤدي التطبيقات البرمجية (مثل OVS على KVM) أداءً مماثلاً للأجهزة.
○تحديات الاتساقيعني التوزيع أن مزامنة الحالة تعتمد على بروتوكول EVPN. إذا تذبذبت جلسة BGP، فقد يتسبب ذلك في حدوث ثغرة في التوجيه.
سيناريو التطبيق: مثالي لمراكز البيانات فائقة التوسع أو الحوسبة السحابية العامة. يُعدّ جهاز التوجيه الموزع VMware NSX-T مثالًا نموذجيًا. وبالتكامل مع Kubernetes، يدعم بسلاسة شبكات الحاويات.
بوابة VxLAN مركزية مقابل بوابة VxLAN موزعة
والآن ننتقل إلى ذروة الأحداث: أيهما أفضل؟ الإجابة هي "يعتمد الأمر"، ولكن علينا أن نتعمق في البيانات ودراسات الحالة لإقناعك.
من منظور الأداء، تتفوق الأنظمة الموزعة بشكل واضح. ففي اختبار معياري نموذجي لمركز بيانات (باستخدام معدات اختبار Spirent)، بلغ متوسط زمن الاستجابة لبوابة مركزية 150 ميكروثانية، بينما لم يتجاوز 50 ميكروثانية في النظام الموزع. أما من حيث الإنتاجية، فتستطيع الأنظمة الموزعة بسهولة تحقيق معدل نقل بيانات كامل الخط لأنها تستفيد من توجيه المسارات المتعددة متساوية التكلفة (ECMP) بتقنية Spine-Leaf.
تُعدّ قابلية التوسع ساحة معركة أخرى. تُناسب الشبكات المركزية الشبكات التي تضم ما بين 100 و500 عقدة؛ أما عند تجاوز هذا النطاق، فتتفوق الشبكات الموزعة. خذوا Alibaba Cloud مثالاً، حيث تستخدم سحابتها الخاصة الافتراضية (VPC) بوابات VXLAN موزعة لدعم ملايين المستخدمين حول العالم، مع زمن استجابة أقل من 1 مللي ثانية في المنطقة الواحدة. كان النهج المركزي سينهار منذ زمن بعيد.
ماذا عن التكلفة؟ يوفر الحل المركزي استثمارًا أوليًا أقل، إذ يتطلب عددًا قليلًا من البوابات المتطورة. أما الحل الموزع، فيتطلب من جميع العقد الطرفية دعم تفريغ VXLAN، مما يؤدي إلى ارتفاع تكاليف ترقية الأجهزة. مع ذلك، على المدى البعيد، يوفر الحل الموزع تكاليف تشغيل وصيانة أقل، حيث تُمكّن أدوات الأتمتة مثل Ansible من تهيئة النظام دفعة واحدة.
الأمن والموثوقية: تُسهّل الأنظمة المركزية الحماية المركزية، لكنها تُشكّل خطراً كبيراً للهجمات من نقاط ضعف مُحددة. أما الأنظمة الموزعة فهي أكثر مرونة، لكنها تتطلب نظام تحكم قوي لمنع هجمات الحرمان من الخدمة الموزعة (DDoS).
دراسة حالة واقعية: استخدمت شركة تجارة إلكترونية شبكة VXLAN مركزية لبناء موقعها الإلكتروني. خلال فترات الذروة، ارتفع استخدام وحدة المعالجة المركزية للبوابة إلى 90%، مما أدى إلى شكاوى المستخدمين بشأن زمن الاستجابة. وقد حلّ التحوّل إلى نموذج موزّع المشكلة، مما مكّن الشركة من مضاعفة حجمها بسهولة. في المقابل، أصرّ بنك صغير على نموذج مركزي لأنه كان يولي أهمية لعمليات تدقيق الامتثال، ووجد أن الإدارة المركزية أسهل.
بشكل عام، إذا كنت تبحث عن أداء شبكي فائق وقابلية توسع هائلة، فإنّ النهج الموزع هو الخيار الأمثل. أما إذا كانت ميزانيتك محدودة وفريق إدارتك يفتقر إلى الخبرة، فإنّ النهج المركزي أكثر عملية. في المستقبل، ومع انتشار تقنية الجيل الخامس والحوسبة الطرفية، ستزداد شعبية الشبكات الموزعة، لكن الشبكات المركزية ستظل ذات قيمة في سيناريوهات محددة، مثل ربط فروع المكاتب.
وسطاء حزم الشبكة Mylinking™يدعم VxLAN وVLAN وGRE وMPLS تجريد الرؤوس
يدعم VxLAN وVLAN وGRE وMPLS إزالة الرؤوس في حزمة البيانات الأصلية وإعادة توجيه المخرجات.
تاريخ النشر: 9 أكتوبر 2025
