Para discutir gateways VXLAN, precisamos primeiro discutir a VXLAN em si. Lembre-se de que as VLANs (Redes Locais Virtuais) tradicionais usam IDs de VLAN de 12 bits para dividir redes, suportando até 4.096 redes lógicas. Isso funciona bem para redes pequenas, mas em data centers modernos, com seus milhares de máquinas virtuais, contêineres e ambientes multilocatários, as VLANs são insuficientes. A VXLAN nasceu, definida pela Internet Engineering Task Force (IETF) na RFC 7348. Seu objetivo é estender o domínio de broadcast da Camada 2 (Ethernet) sobre redes da Camada 3 (IP) usando túneis UDP.
Simplificando, a VXLAN encapsula quadros Ethernet em pacotes UDP e adiciona um Identificador de Rede VXLAN (VNI) de 24 bits, teoricamente suportando 16 milhões de redes virtuais. Isso equivale a dar a cada rede virtual um "cartão de identidade", permitindo que elas se movam livremente na rede física sem interferir umas nas outras. O componente principal da VXLAN é o Ponto Final do Túnel VXLAN (VTEP), responsável por encapsular e desencapsular pacotes. O VTEP pode ser de software (como o Open vSwitch) ou de hardware (como o chip ASIC do switch).
Por que a VXLAN é tão popular? Porque ela se alinha perfeitamente às necessidades da computação em nuvem e da SDN (Rede Definida por Software). Em nuvens públicas como AWS e Azure, a VXLAN permite a extensão perfeita das redes virtuais dos locatários. Em data centers privados, ela suporta arquiteturas de rede sobrepostas como VMware NSX ou Cisco ACI. Imagine um data center com milhares de servidores, cada um executando dezenas de VMs (Máquinas Virtuais). A VXLAN permite que essas VMs se percebam como parte da mesma rede de Camada 2, garantindo a transmissão fluida de broadcasts ARP e solicitações DHCP.
No entanto, a VXLAN não é uma panaceia. Operar em uma rede L3 requer conversão de L2 para L3, e é aí que o gateway entra. O gateway VXLAN conecta a rede virtual VXLAN a redes externas (como VLANs tradicionais ou redes de roteamento IP), garantindo o fluxo de dados do mundo virtual para o mundo real. O mecanismo de encaminhamento é o coração e a alma do gateway, determinando como os pacotes são processados, roteados e distribuídos.
O processo de encaminhamento VXLAN é como um balé delicado, com cada etapa, da origem ao destino, intimamente ligada. Vamos descrevê-lo passo a passo.
Primeiro, um pacote é enviado do host de origem (como uma VM). Trata-se de um quadro Ethernet padrão contendo o endereço MAC de origem, o endereço MAC de destino, a tag VLAN (se houver) e a carga útil. Ao receber esse quadro, o VTEP de origem verifica o endereço MAC de destino. Se o endereço MAC de destino estiver em sua tabela MAC (obtido por aprendizado ou inundação), ele sabe para qual VTEP remoto encaminhar o pacote.
O processo de encapsulamento é crucial: o VTEP adiciona um cabeçalho VXLAN (incluindo o VNI, sinalizadores e assim por diante), depois um cabeçalho UDP externo (com uma porta de origem baseada em um hash do quadro interno e uma porta de destino fixa de 4789), um cabeçalho IP (com o endereço IP de origem do VTEP local e o endereço IP de destino do VTEP remoto) e, por fim, um cabeçalho Ethernet externo. O pacote inteiro agora aparece como um pacote UDP/IP, assemelha-se a tráfego normal e pode ser roteado na rede L3.
Na rede física, o pacote é encaminhado por um roteador ou switch até chegar ao VTEP de destino. O VTEP de destino remove o cabeçalho externo, verifica o cabeçalho VXLAN para garantir que a VNI corresponda e, em seguida, entrega o quadro Ethernet interno ao host de destino. Se o pacote for um tráfego unicast, broadcast ou multicast (BUM) desconhecido, o VTEP o replica para todos os VTEPs relevantes usando inundação, contando com grupos multicast ou replicação de cabeçalho unicast (HER).
O núcleo do princípio de encaminhamento é a separação do plano de controle e do plano de dados. O plano de controle utiliza Ethernet VPN (EVPN) ou o mecanismo Flood and Learn para aprender mapeamentos MAC e IP. A EVPN é baseada no protocolo BGP e permite que VTEPs troquem informações de roteamento, como MAC-VRF (Roteamento e Encaminhamento Virtual) e IP-VRF. O plano de dados é responsável pelo encaminhamento propriamente dito, utilizando túneis VXLAN para uma transmissão eficiente.
No entanto, em implantações reais, a eficiência do encaminhamento impacta diretamente o desempenho. A inundação tradicional pode facilmente causar tempestades de transmissão, especialmente em redes grandes. Isso leva à necessidade de otimização de gateways: os gateways não apenas conectam redes internas e externas, mas também atuam como agentes proxy ARP, lidam com vazamentos de rotas e garantem os caminhos de encaminhamento mais curtos.
Gateway VXLAN centralizado
Um gateway VXLAN centralizado, também chamado de gateway centralizado ou gateway L3, normalmente é implantado na camada de borda ou núcleo de um data center. Ele atua como um hub central, por onde passa todo o tráfego entre VNIs ou entre sub-redes.
Em princípio, um gateway centralizado atua como o gateway padrão, fornecendo serviços de roteamento de Camada 3 para todas as redes VXLAN. Considere duas VNIs: VNI 10000 (sub-rede 10.1.1.0/24) e VNI 20000 (sub-rede 10.2.1.0/24). Se a VM A na VNI 10000 quiser acessar a VM B na VNI 20000, o pacote primeiro chega ao VTEP local. O VTEP local detecta que o endereço IP de destino não está na sub-rede local e o encaminha para o gateway centralizado. O gateway desencapsula o pacote, toma uma decisão de roteamento e, em seguida, reencapsula o pacote em um túnel para a VNI de destino.
As vantagens são óbvias:
○ Gestão simplesTodas as configurações de roteamento são centralizadas em um ou dois dispositivos, permitindo que as operadoras mantenham apenas alguns gateways para cobrir toda a rede. Essa abordagem é adequada para data centers de pequeno e médio porte ou ambientes que estejam implantando VXLAN pela primeira vez.
○Eficiência de recursosGateways geralmente são hardwares de alto desempenho (como o Cisco Nexus 9000 ou o Arista 7050) capazes de lidar com grandes volumes de tráfego. O plano de controle é centralizado, facilitando a integração com controladores SDN, como o NSX Manager.
○Forte controle de segurançaO tráfego deve passar pelo gateway, facilitando a implementação de ACLs (Listas de Controle de Acesso), firewalls e NAT. Imagine um cenário multilocatário em que um gateway centralizado pode isolar facilmente o tráfego de locatários.
Mas as deficiências não podem ser ignoradas:
○ Ponto único de falhaSe o gateway falhar, a comunicação L3 em toda a rede será paralisada. Embora o VRRP (Virtual Router Redundancy Protocol) possa ser usado para redundância, ele ainda apresenta riscos.
○Gargalo de desempenhoTodo o tráfego leste-oeste (comunicação entre servidores) deve ignorar o gateway, resultando em um caminho abaixo do ideal. Por exemplo, em um cluster de 1.000 nós, se a largura de banda do gateway for de 100 Gbps, é provável que ocorra congestionamento durante os horários de pico.
○Baixa escalabilidadeÀ medida que a escala da rede cresce, a carga do gateway aumenta exponencialmente. Em um exemplo real, vi um data center financeiro usando um gateway centralizado. Inicialmente, funcionou perfeitamente, mas depois que o número de VMs dobrou, a latência disparou de microssegundos para milissegundos.
Cenário de Aplicação: Adequado para ambientes que exigem alta simplicidade de gerenciamento, como nuvens privadas corporativas ou redes de teste. A arquitetura ACI da Cisco frequentemente utiliza um modelo centralizado, combinado com uma topologia leaf-spine, para garantir a operação eficiente dos gateways principais.
Gateway VXLAN distribuído
Um gateway VXLAN distribuído, também conhecido como gateway distribuído ou gateway anycast, transfere a funcionalidade do gateway para cada switch folha ou VTEP do hipervisor. Cada VTEP atua como um gateway local, gerenciando o encaminhamento L3 para a sub-rede local.
O princípio é mais flexível: cada VTEP é configurado com o mesmo IP virtual (VIP) do gateway padrão, usando o mecanismo Anycast. Pacotes entre sub-redes enviados por VMs são roteados diretamente no VTEP local, sem precisar passar por um ponto central. A EVPN é particularmente útil aqui: por meio da EVPN BGP, o VTEP aprende as rotas de hosts remotos e usa a vinculação MAC/IP para evitar inundações ARP.
Por exemplo, a VM A (10.1.1.10) deseja acessar a VM B (10.2.1.10). O gateway padrão da VM A é o VIP do VTEP local (10.1.1.1). O VTEP local roteia para a sub-rede de destino, encapsula o pacote VXLAN e o envia diretamente para o VTEP da VM B. Esse processo minimiza o caminho e a latência.
Vantagens notáveis:
○ Alta escalabilidadeDistribuir a funcionalidade de gateway para cada nó aumenta o tamanho da rede, o que é benéfico para redes maiores. Grandes provedores de nuvem, como o Google Cloud, usam um mecanismo semelhante para oferecer suporte a milhões de VMs.
○Desempenho superiorO tráfego leste-oeste é processado localmente para evitar gargalos. Dados de teste mostram que a taxa de transferência pode aumentar de 30% a 50% no modo distribuído.
○Recuperação rápida de falhasUma única falha de VTEP afeta apenas o host local, deixando os outros nós intactos. Combinado com a rápida convergência da EVPN, o tempo de recuperação é de segundos.
○Bom uso dos recursosUtilize o chip ASIC do switch Leaf existente para aceleração de hardware, com taxas de encaminhamento atingindo o nível de Tbps.
Quais são as desvantagens?
○ Configuração complexaCada VTEP requer configuração de roteamento, EVPN e outros recursos, tornando a implantação inicial demorada. A equipe de operações deve estar familiarizada com BGP e SDN.
○Altos requisitos de hardwareGateway distribuído: Nem todos os switches suportam gateways distribuídos; são necessários chips Broadcom Trident ou Tomahawk. Implementações de software (como OVS em KVM) não apresentam desempenho tão bom quanto hardware.
○Desafios de ConsistênciaDistribuído significa que a sincronização de estado depende da EVPN. Se a sessão BGP oscilar, pode causar um buraco negro de roteamento.
Cenário de aplicação: Perfeito para data centers de hiperescala ou nuvens públicas. O roteador distribuído do VMware NSX-T é um exemplo típico. Combinado com o Kubernetes, ele oferece suporte perfeito à rede de contêineres.
Gateway VxLAN centralizado vs. Gateway VxLAN distribuído
Agora, vamos ao clímax: qual é melhor? A resposta é "depende", mas precisamos analisar profundamente os dados e estudos de caso para convencê-lo.
Do ponto de vista do desempenho, os sistemas distribuídos apresentam desempenho claramente superior. Em um benchmark típico de data center (com base no equipamento de teste Spirent), a latência média de um gateway centralizado foi de 150 μs, enquanto a de um sistema distribuído foi de apenas 50 μs. Em termos de taxa de transferência, os sistemas distribuídos podem facilmente alcançar o encaminhamento de taxa de linha porque utilizam o roteamento Spine-Leaf Equal Cost Multi-Path (ECMP).
Escalabilidade é outro campo de batalha. Redes centralizadas são adequadas para redes com 100 a 500 nós; além dessa escala, redes distribuídas ganham vantagem. Veja o exemplo da Alibaba Cloud. Sua VPC (Virtual Private Cloud) utiliza gateways VXLAN distribuídos para oferecer suporte a milhões de usuários em todo o mundo, com latência de região única inferior a 1 ms. Uma abordagem centralizada já teria fracassado há muito tempo.
E quanto ao custo? Uma solução centralizada oferece menor investimento inicial, exigindo apenas alguns gateways de ponta. Uma solução distribuída exige que todos os nós folha suportem o offload de VXLAN, resultando em custos mais altos de atualização de hardware. No entanto, a longo prazo, uma solução distribuída oferece menores custos de O&M, já que ferramentas de automação como o Ansible permitem a configuração em lote.
Segurança e confiabilidade: Sistemas centralizados facilitam a proteção centralizada, mas apresentam alto risco de pontos únicos de ataque. Sistemas distribuídos são mais resilientes, mas exigem um plano de controle robusto para evitar ataques DDoS.
Um estudo de caso real: Uma empresa de comércio eletrônico utilizou o VXLAN centralizado para construir seu site. Durante os períodos de pico, o uso da CPU do gateway subiu para 90%, gerando reclamações dos usuários sobre latência. A mudança para um modelo distribuído resolveu o problema, permitindo que a empresa dobrasse facilmente sua escala. Por outro lado, um pequeno banco insistiu em um modelo centralizado porque priorizava auditorias de conformidade e achava a gestão centralizada mais fácil.
Em geral, se você busca desempenho e escala extremos de rede, uma abordagem distribuída é a melhor opção. Se o seu orçamento for limitado e sua equipe de gestão não tiver experiência, uma abordagem centralizada é mais prática. No futuro, com a ascensão do 5G e da computação de ponta, as redes distribuídas se tornarão mais populares, mas as redes centralizadas ainda serão valiosas em cenários específicos, como a interconexão de filiais.
Corretores de pacotes de rede Mylinking™suporte VxLAN, VLAN, GRE, remoção de cabeçalho MPLS
Suportado o cabeçalho VxLAN, VLAN, GRE, MPLS removido no pacote de dados original e saída encaminhada.
Horário da postagem: 09/10/2025
