لمناقشة بوابات VXLAN، يجب أولاً مناقشة VXLAN نفسها. تذكر أن شبكات VLAN التقليدية تستخدم مُعرِّفات VLAN ذات 12 بت لتقسيم الشبكات، داعمةً ما يصل إلى 4096 شبكة منطقية. يعمل هذا بشكل جيد مع الشبكات الصغيرة، ولكن في مراكز البيانات الحديثة، بما تحتويه من آلاف الأجهزة الافتراضية والحاويات والبيئات متعددة المستأجرين، لا تكفي شبكات VLAN. وُلدت VXLAN، وعرّفتها فرقة عمل هندسة الإنترنت (IETF) في RFC 7348. والغرض منها هو توسيع نطاق بث الطبقة الثانية (إيثرنت) عبر شبكات الطبقة الثالثة (IP) باستخدام أنفاق UDP.
ببساطة، تُغلِّف شبكة VXLAN إطارات Ethernet داخل حزم UDP، وتُضيف مُعرِّف شبكة VXLAN (VNI) بطول 24 بت، ما يدعم نظريًا 16 مليون شبكة افتراضية. يُشبه هذا منح كل شبكة افتراضية "بطاقة هوية"، مما يسمح لها بالتحرك بحرية على الشبكة المادية دون تداخل مع بعضها البعض. المكوِّن الأساسي لشبكة VXLAN هو نقطة نهاية نفق VXLAN (VTEP)، المسؤولة عن تغليف الحزم وفك تغليفها. يمكن أن تكون نقطة نهاية نفق VXLAN برمجية (مثل Open vSwitch) أو عتادًا (مثل شريحة ASIC على المبدِّل).
لماذا تحظى VXLAN بشعبية كبيرة؟ لأنها تتوافق تمامًا مع احتياجات الحوسبة السحابية والشبكات المُعرّفة بالبرمجيات (SDN). في السحابات العامة مثل AWS وAzure، تُمكّن VXLAN من توسيع الشبكات الافتراضية للمستأجرين بسلاسة. أما في مراكز البيانات الخاصة، فتدعم بنى الشبكات المتراكبة مثل VMware NSX أو Cisco ACI. تخيّل مركز بيانات يضم آلاف الخوادم، يُشغّل كل منها عشرات الأجهزة الافتراضية (VMs). تُمكّن VXLAN هذه الأجهزة من اعتبار نفسها جزءًا من شبكة الطبقة الثانية نفسها، مما يضمن نقلًا سلسًا لعمليات بث ARP وطلبات DHCP.
مع ذلك، لا تُعدّ شبكة VXLAN حلاً سحريًا. يتطلب العمل على شبكة من المستوى الثالث تحويلًا من المستوى الثاني إلى المستوى الثالث، وهنا يأتي دور البوابة. تربط بوابة VXLAN شبكة VXLAN الافتراضية بشبكات خارجية (مثل شبكات VLAN التقليدية أو شبكات توجيه IP)، مما يضمن تدفق البيانات من العالم الافتراضي إلى العالم الحقيقي. تُعدّ آلية التوجيه جوهر البوابة، حيث تُحدد كيفية معالجة الحزم وتوجيهها وتوزيعها.
عملية إعادة توجيه VXLAN أشبه برقص الباليه الدقيق، حيث ترتبط كل خطوة من المصدر إلى الوجهة ارتباطًا وثيقًا. دعونا نشرحها خطوة بخطوة.
أولاً، تُرسل حزمة من المضيف المصدر (مثل جهاز افتراضي). هذا الإطار عبارة عن إطار إيثرنت قياسي يحتوي على عنوان MAC المصدر، وعنوان MAC الوجهة، وعلامة VLAN (إن وجدت)، والحمولة. عند استلام هذا الإطار، يتحقق بروتوكول VTEP المصدر من عنوان MAC الوجهة. إذا كان عنوان MAC الوجهة موجودًا في جدول MAC الخاص به (الذي تم الحصول عليه من خلال التعلم أو الإغراق)، فإنه يعرف أي بروتوكول VTEP بعيد يُعاد توجيه الحزمة إليه.
عملية التغليف بالغة الأهمية: يُضيف VTEP رأس VXLAN (يتضمن VNI والأعلام وما إلى ذلك)، ثم رأس UDP خارجي (مع منفذ مصدر يعتمد على تجزئة الإطار الداخلي ومنفذ وجهة ثابت 4789)، ورأس IP (مع عنوان IP المصدر لـ VTEP المحلي وعنوان IP الوجهة لـ VTEP البعيد)، وأخيرًا رأس Ethernet خارجي. تظهر الحزمة بأكملها الآن كحزمة UDP/IP، وتبدو كحركة مرور عادية، ويمكن توجيهها على شبكة L3.
على الشبكة المادية، يُعاد توجيه الحزمة بواسطة جهاز توجيه أو مُبدِّل حتى تصل إلى نقطة اتصال VTEP الوجهة. تُزيل نقطة اتصال VTEP الوجهة الرأس الخارجي، وتتحقق من رأس VXLAN للتأكد من تطابق VNI، ثم تُسلِّم إطار Ethernet الداخلي إلى المضيف الوجهة. إذا كانت الحزمة حركة مرور أحادية البث أو بث مباشر أو متعدد البث (BUM) غير معروفة، فإن نقطة اتصال VTEP تُكرِّرها إلى جميع نقاط اتصال VTEP ذات الصلة باستخدام تقنية الإغراق، بالاعتماد على مجموعات البث المتعدد أو تكرار رأس البث الأحادي (HER).
يعتمد مبدأ التوجيه الأساسي على فصل مستوى التحكم عن مستوى البيانات. يستخدم مستوى التحكم شبكة إيثرنت الافتراضية (EVPN) أو آلية "الغمر والتعلم" لتعلم تعيينات عناوين MAC وIP. تعتمد شبكة EVPN على بروتوكول BGP، وتتيح لبروتوكولات VTEP تبادل معلومات التوجيه، مثل MAC-VRF (التوجيه والتوجيه الافتراضي) وIP-VRF. يتولى مستوى البيانات التوجيه الفعلي، باستخدام أنفاق VXLAN لضمان كفاءة الإرسال.
مع ذلك، في عمليات النشر الفعلية، تؤثر كفاءة التوجيه بشكل مباشر على الأداء. يمكن أن يؤدي الغمر التقليدي بسهولة إلى عواصف بث، خاصةً في الشبكات الكبيرة. هذا يؤدي إلى الحاجة إلى تحسين البوابات: فالبوابات لا تربط الشبكات الداخلية والخارجية فحسب، بل تعمل أيضًا كوكلاء ARP بالوكالة، وتعالج تسريبات المسارات، وتضمن أقصر مسارات التوجيه.
بوابة VXLAN المركزية
بوابة VXLAN المركزية، والتي تُسمى أيضًا بوابة مركزية أو بوابة L3، تُنشر عادةً على حافة مركز البيانات أو الطبقة الأساسية. تعمل كمركز محوري، تمر من خلاله جميع حركة المرور عبر VNI أو عبر الشبكات الفرعية.
من حيث المبدأ، تعمل البوابة المركزية كبوابة افتراضية، حيث توفر خدمات توجيه الطبقة 3 لجميع شبكات VXLAN. لنفترض وجود شبكتين افتراضيتين: VNI 10000 (الشبكة الفرعية 10.1.1.0/24) وVNI 20000 (الشبكة الفرعية 10.2.1.0/24). إذا أرادت الآلة الافتراضية A في VNI 10000 الوصول إلى الآلة الافتراضية B في VNI 20000، فإن الحزمة تصل أولاً إلى بروتوكول VTEP المحلي. يكتشف بروتوكول VTEP المحلي أن عنوان IP الوجهة غير موجود على الشبكة الفرعية المحلية، ويعيد توجيهها إلى البوابة المركزية. تقوم البوابة بفك تغليف الحزمة، وتتخذ قرار التوجيه، ثم تعيد تغليفها في نفق إلى شبكة VNI الوجهة.
المزايا واضحة:
○ إدارة بسيطةجميع تكوينات التوجيه مركزية على جهاز واحد أو جهازين، مما يسمح للمشغلين بالاحتفاظ بعدد قليل من البوابات لتغطية الشبكة بالكامل. هذا النهج مناسب لمراكز البيانات الصغيرة والمتوسطة أو البيئات التي تستخدم شبكات VXLAN لأول مرة.
○كفاءة المواردعادةً ما تكون البوابات أجهزة عالية الأداء (مثل Cisco Nexus 9000 أو Arista 7050) قادرة على التعامل مع كميات هائلة من البيانات. وتتميز وحدة التحكم بمركزيتها، مما يُسهّل التكامل مع وحدات تحكم SDN مثل NSX Manager.
○سيطرة أمنية قويةيجب أن تمر حركة المرور عبر البوابة، مما يُسهّل تنفيذ قوائم التحكم في الوصول (ACLs) وجدران الحماية وترجمة عناوين الشبكة (NAT). تخيّل سيناريو متعدد المستأجرين حيث يُمكن لبوابة مركزية عزل حركة مرور المستأجرين بسهولة.
ولكن لا يمكن تجاهل العيوب:
○ نقطة فشل واحدةفي حال تعطل البوابة، يُعطّل اتصال المستوى الثالث (L3) عبر الشبكة بأكملها. على الرغم من إمكانية استخدام بروتوكول التكرار الافتراضي للموجه (VRRP)، إلا أنه لا يزال ينطوي على مخاطر.
○عنق الزجاجة في الأداءيجب أن تتجاوز جميع حركة المرور من الشرق إلى الغرب (الاتصالات بين الخوادم) البوابة، مما يؤدي إلى مسار غير مثالي. على سبيل المثال، في مجموعة مكونة من 1000 عقدة، إذا كان عرض النطاق الترددي للبوابة 100 جيجابت في الثانية، فمن المرجح أن يحدث ازدحام خلال ساعات الذروة.
○ضعف قابلية التوسعمع اتساع نطاق الشبكة، يزداد حمل البوابة بشكل كبير. في مثال عملي، رأيتُ مركز بيانات ماليًا يستخدم بوابة مركزية. في البداية، كان يعمل بسلاسة، ولكن بعد تضاعف عدد الأجهزة الافتراضية، ارتفع زمن الوصول بشكل كبير من ميكروثانية إلى ميلي ثانية.
سيناريو التطبيق: مناسب للبيئات التي تتطلب بساطة إدارة عالية، مثل السحابات الخاصة للمؤسسات أو شبكات الاختبار. غالبًا ما تستخدم بنية ACI من Cisco نموذجًا مركزيًا، مقترنًا بطوبولوجيا تسلسلية، لضمان كفاءة تشغيل البوابات الأساسية.
بوابة VXLAN الموزعة
بوابة VXLAN الموزعة، والمعروفة أيضًا باسم البوابة الموزعة أو بوابة البث المباشر، تُحمّل وظائف البوابة إلى كل مُبدّل ورقي أو مُشرف افتراضي (VTEP). يعمل كل مُبدّل VTEP كبوابة محلية، مُعالجًا إعادة توجيه المستوى الثالث للشبكة الفرعية المحلية.
المبدأ أكثر مرونة: يُهيأ كل VTEP بنفس عنوان IP الافتراضي (VIP) للبوابة الافتراضية، باستخدام آلية Anycast. تُوجَّه حزم البيانات عبر الشبكات الفرعية المرسلة من الأجهزة الافتراضية مباشرةً إلى VTEP المحلي، دون الحاجة إلى المرور عبر نقطة مركزية. تُعد شبكة EVPN مفيدة بشكل خاص هنا: من خلال BGP EVPN، يتعرف VTEP على مسارات المضيفين البعيدين ويستخدم ربط MAC/IP لتجنب غمر ARP.
على سبيل المثال، يريد الجهاز الافتراضي أ (10.1.1.10) الوصول إلى الجهاز الافتراضي ب (10.2.1.10). البوابة الافتراضية للجهاز الافتراضي أ هي بوابة VIP لبوابة VTEP المحلية (10.1.1.1). تُوجّه بوابة VTEP المحلية إلى الشبكة الفرعية الوجهة، وتُغلّف حزمة VXLAN، ثم تُرسلها مباشرةً إلى بوابة VTEP الخاصة بالجهاز الافتراضي ب. تُقلّل هذه العملية من طول المسار وزمن الوصول.
المزايا البارزة:
○ قابلية التوسع العاليةيؤدي توزيع وظائف البوابة على كل عقدة إلى زيادة حجم الشبكة، وهو أمر مفيد للشبكات الأكبر حجمًا. يستخدم مزودو الخدمات السحابية الكبار، مثل Google Cloud، آلية مماثلة لدعم ملايين الأجهزة الافتراضية.
○أداء متفوقتتم معالجة حركة المرور من الشرق إلى الغرب محليًا لتجنب الاختناقات. تُظهر بيانات الاختبار أن معدل النقل يمكن أن يزيد بنسبة 30% إلى 50% في الوضع الموزع.
○التعافي السريع من الخطأيؤثر فشل VTEP واحد فقط على المضيف المحلي، دون التأثير على العقد الأخرى. وبفضل سرعة تقارب EVPN، يستغرق وقت التعافي ثوانٍ.
○الاستخدام الجيد للموارداستخدم شريحة ASIC الخاصة بمفتاح Leaf الحالية لتسريع الأجهزة، مع معدلات إعادة توجيه تصل إلى مستوى Tbps.
ما هي العيوب؟
○ التكوين المعقديتطلب كل VTEP تهيئة التوجيه، وشبكة VPN الإلكترونية، وميزات أخرى، مما يجعل النشر الأولي يستغرق وقتًا طويلاً. يجب أن يكون فريق العمليات على دراية بـ BGP وSDN.
○متطلبات الأجهزة العاليةبوابة موزعة: لا تدعم جميع المحولات بوابة موزعة؛ يلزم استخدام شرائح Broadcom Trident أو Tomahawk. أداء تطبيقات البرامج (مثل OVS على KVM) ليس بنفس جودة أداء الأجهزة.
○تحديات الاتساقالتوزيع يعني أن مزامنة الحالة تعتمد على EVPN. في حال تذبذب جلسة BGP، قد يُسبب ذلك فجوة توجيهية.
سيناريو التطبيق: مثالي لمراكز البيانات الضخمة أو السحابات العامة. يُعدّ جهاز التوجيه الموزع VMware NSX-T مثالاً نموذجياً. عند دمجه مع Kubernetes، يدعم شبكات الحاويات بسلاسة.
بوابة VxLAN المركزية مقابل بوابة VxLAN الموزعة
الآن نصل إلى ذروة القصة: أيهما أفضل؟ الإجابة هي "يعتمد الأمر"، ولكن علينا التعمق في البيانات ودراسات الحالة لإقناعكم.
من منظور الأداء، تتفوق الأنظمة الموزعة بوضوح. في اختبار معياري نموذجي لمركز البيانات (بناءً على معدات اختبار Spirent)، بلغ متوسط زمن الوصول لبوابة مركزية 150 ميكروثانية، بينما بلغ متوسط زمن الوصول للنظام الموزع 50 ميكروثانية فقط. أما من حيث الإنتاجية، فتستطيع الأنظمة الموزعة تحقيق إعادة توجيه بمعدل خطي بسهولة بفضل اعتمادها على توجيه متعدد المسارات متساوي التكلفة (ECMP).
قابلية التوسع تُعدّ مجالاً آخر للمنافسة. تُناسب الشبكات المركزية الشبكات التي يتراوح عدد عقدها بين 100 و500 عقدة؛ أما الشبكات الموزعة فتتفوق على هذه الشبكات. لنأخذ Alibaba Cloud مثالاً. تستخدم شبكتها السحابية الافتراضية الخاصة (VPC) بوابات VXLAN موزعة لدعم ملايين المستخدمين حول العالم، مع زمن انتقال أقل من مللي ثانية لمنطقة واحدة. كان النهج المركزي لينهار منذ زمن طويل.
ماذا عن التكلفة؟ يوفر الحل المركزي استثمارًا أوليًا أقل، إذ يتطلب عددًا قليلًا من بوابات الإنترنت عالية الأداء. أما الحل الموزع، فيتطلب من جميع العقد الورقية دعم تفريغ شبكة VXLAN، مما يؤدي إلى ارتفاع تكاليف ترقية الأجهزة. ومع ذلك، على المدى الطويل، يوفر الحل الموزع تكاليف تشغيل وصيانة أقل، حيث تتيح أدوات الأتمتة مثل Ansible تكوين الدفعات.
الأمان والموثوقية: تُسهّل الأنظمة المركزية الحماية المركزية، لكنها تُشكّل خطرًا كبيرًا من خلال نقاط هجوم واحدة. أما الأنظمة الموزعة، فهي أكثر مرونة، لكنها تتطلب نظام تحكم قويًا لمنع هجمات الحرمان من الخدمة الموزعة.
دراسة حالة واقعية: استخدمت شركة تجارة إلكترونية شبكة VXLAN مركزية لبناء موقعها الإلكتروني. خلال فترات الذروة، ارتفع استخدام وحدة المعالجة المركزية للبوابة إلى 90%، مما أدى إلى شكاوى من المستخدمين بشأن زمن الوصول. حلّ التحول إلى نموذج موزع المشكلة، مما مكّن الشركة من مضاعفة حجم أعمالها بسهولة. في المقابل، أصرّ بنك صغير على نموذج مركزي لأنه أعطى الأولوية لعمليات تدقيق الامتثال ووجد أن الإدارة المركزية أسهل.
بشكل عام، إذا كنت تبحث عن أداء ونطاق شبكة فائقين، فإن النهج الموزع هو الحل الأمثل. إذا كانت ميزانيتك محدودة وفريق إدارتك يفتقر إلى الخبرة، فإن النهج المركزي هو الأنسب. في المستقبل، مع صعود تقنيات الجيل الخامس والحوسبة الطرفية، ستزداد شعبية الشبكات الموزعة، لكن الشبكات المركزية ستظل قيّمة في حالات محددة، مثل ربط فروع الشركات.
وسطاء حزم الشبكة Mylinking™دعم تجريد الرؤوس VxLAN وVLAN وGRE وMPLS
دعم رؤوس VxLAN وVLAN وGRE وMPLS المنزوعة في حزمة البيانات الأصلية والمخرجات المعاد توجيهها.
وقت النشر: 9 أكتوبر 2025
