Para discutir gateways VXLAN, primeiro precisamos entender o próprio VXLAN. Lembre-se de que as VLANs (Redes Locais Virtuais) tradicionais usam IDs de VLAN de 12 bits para dividir redes, suportando até 4096 redes lógicas. Isso funciona bem para redes pequenas, mas em data centers modernos, com seus milhares de máquinas virtuais, contêineres e ambientes multi-inquilinos, as VLANs são insuficientes. O VXLAN surgiu, definido pela Força-Tarefa de Engenharia da Internet (IETF) na RFC 7348. Seu propósito é estender o domínio de broadcast da Camada 2 (Ethernet) sobre redes da Camada 3 (IP) usando túneis UDP.
Em termos simples, o VXLAN encapsula quadros Ethernet em pacotes UDP e adiciona um Identificador de Rede VXLAN (VNI) de 24 bits, suportando teoricamente 16 milhões de redes virtuais. É como dar a cada rede virtual um "cartão de identidade", permitindo que elas se movam livremente na rede física sem interferir umas com as outras. O componente principal do VXLAN é o Ponto de Extremidade do Túnel VXLAN (VTEP), responsável por encapsular e desencapsular pacotes. O VTEP pode ser um software (como o Open vSwitch) ou um hardware (como o chip ASIC no switch).
Por que o VXLAN é tão popular? Porque se alinha perfeitamente às necessidades da computação em nuvem e das redes definidas por software (SDN). Em nuvens públicas como AWS e Azure, o VXLAN permite a extensão perfeita das redes virtuais dos clientes. Em data centers privados, ele oferece suporte a arquiteturas de rede sobrepostas como VMware NSX ou Cisco ACI. Imagine um data center com milhares de servidores, cada um executando dezenas de VMs (máquinas virtuais). O VXLAN permite que essas VMs se percebam como parte da mesma rede de camada 2, garantindo a transmissão fluida de broadcasts ARP e solicitações DHCP.
No entanto, o VXLAN não é uma panaceia. Operar em uma rede de camada 3 requer conversão de camada 2 para camada 3, e é aí que entra o gateway. O gateway VXLAN conecta a rede virtual VXLAN com redes externas (como VLANs tradicionais ou redes de roteamento IP), garantindo o fluxo de dados do mundo virtual para o mundo real. O mecanismo de encaminhamento é a essência do gateway, determinando como os pacotes são processados, roteados e distribuídos.
O processo de encaminhamento VXLAN é como um balé delicado, onde cada passo, da origem ao destino, está intimamente ligado. Vamos analisá-lo passo a passo.
Primeiramente, um pacote é enviado do host de origem (como uma máquina virtual). Este é um quadro Ethernet padrão contendo o endereço MAC de origem, o endereço MAC de destino, a tag VLAN (se houver) e a carga útil. Ao receber este quadro, o VTEP de origem verifica o endereço MAC de destino. Se o endereço MAC de destino estiver em sua tabela MAC (obtida por meio de aprendizado ou flooding), ele saberá para qual VTEP remoto encaminhar o pacote.
O processo de encapsulamento é crucial: o VTEP adiciona um cabeçalho VXLAN (incluindo o VNI, flags, etc.), em seguida, um cabeçalho UDP externo (com uma porta de origem baseada em um hash do quadro interno e uma porta de destino fixa de 4789), um cabeçalho IP (com o endereço IP de origem do VTEP local e o endereço IP de destino do VTEP remoto) e, finalmente, um cabeçalho Ethernet externo. O pacote inteiro agora aparece como um pacote UDP/IP, parece tráfego normal e pode ser roteado na rede L3.
Na rede física, o pacote é encaminhado por um roteador ou switch até chegar ao VTEP de destino. O VTEP de destino remove o cabeçalho externo, verifica o cabeçalho VXLAN para garantir que o VNI corresponda e, em seguida, entrega o quadro Ethernet interno ao host de destino. Se o pacote for tráfego unicast, broadcast ou multicast (BUM) desconhecido, o VTEP replica o pacote para todos os VTEPs relevantes usando flooding, com base em grupos multicast ou replicação de cabeçalho unicast (HER).
O princípio fundamental do encaminhamento é a separação entre o plano de controle e o plano de dados. O plano de controle utiliza Ethernet VPN (EVPN) ou o mecanismo Flood and Learn para aprender os mapeamentos MAC e IP. O EVPN é baseado no protocolo BGP e permite que os VTEPs troquem informações de roteamento, como MAC-VRF (Virtual Routing and Forwarding) e IP-VRF. O plano de dados é responsável pelo encaminhamento propriamente dito, utilizando túneis VXLAN para uma transmissão eficiente.
No entanto, em implementações reais, a eficiência do encaminhamento impacta diretamente o desempenho. O flooding tradicional pode facilmente causar tempestades de broadcast, especialmente em redes grandes. Isso leva à necessidade de otimização de gateways: os gateways não apenas conectam redes internas e externas, mas também atuam como agentes proxy ARP, lidam com vazamentos de rotas e garantem os caminhos de encaminhamento mais curtos.
Gateway VXLAN centralizado
Um gateway VXLAN centralizado, também chamado de gateway centralizado ou gateway L3, é normalmente implantado na borda ou no núcleo de um data center. Ele atua como um hub central, através do qual todo o tráfego entre VNIs ou entre sub-redes deve passar.
Em princípio, um gateway centralizado atua como o gateway padrão, fornecendo serviços de roteamento de Camada 3 para todas as redes VXLAN. Considere duas VNIs: VNI 10000 (sub-rede 10.1.1.0/24) e VNI 20000 (sub-rede 10.2.1.0/24). Se a VM A na VNI 10000 quiser acessar a VM B na VNI 20000, o pacote primeiro chega ao VTEP local. O VTEP local detecta que o endereço IP de destino não está na sub-rede local e o encaminha para o gateway centralizado. O gateway desencapsula o pacote, toma uma decisão de roteamento e, em seguida, reencapsula o pacote em um túnel para a VNI de destino.
As vantagens são óbvias:
○ Gestão simplesTodas as configurações de roteamento são centralizadas em um ou dois dispositivos, permitindo que os operadores mantenham apenas alguns gateways para cobrir toda a rede. Essa abordagem é adequada para data centers de pequeno e médio porte ou ambientes que estejam implementando VXLAN pela primeira vez.
○Eficiência no uso de recursosOs gateways são geralmente hardware de alto desempenho (como o Cisco Nexus 9000 ou o Arista 7050) capazes de lidar com grandes volumes de tráfego. O plano de controle é centralizado, facilitando a integração com controladores SDN, como o NSX Manager.
○Controle de segurança rigorosoO tráfego deve passar pelo gateway, facilitando a implementação de ACLs (Listas de Controle de Acesso), firewalls e NAT. Imagine um cenário multi-inquilino onde um gateway centralizado pode isolar facilmente o tráfego dos inquilinos.
Mas as deficiências não podem ser ignoradas:
○ Ponto único de falhaSe o gateway falhar, a comunicação de camada 3 em toda a rede fica paralisada. Embora o VRRP (Virtual Router Redundancy Protocol) possa ser usado para redundância, ele ainda apresenta riscos.
○gargalo de desempenhoTodo o tráfego leste-oeste (comunicação entre servidores) precisa contornar o gateway, resultando em um caminho subótimo. Por exemplo, em um cluster de 1000 nós, se a largura de banda do gateway for de 100 Gbps, é provável que ocorra congestionamento durante os horários de pico.
○Baixa escalabilidadeÀ medida que a escala da rede aumenta, a carga do gateway cresce exponencialmente. Em um exemplo prático, observei um data center financeiro utilizando um gateway centralizado. Inicialmente, funcionava sem problemas, mas após o número de máquinas virtuais dobrar, a latência disparou de microssegundos para milissegundos.
Cenário de aplicação: Adequado para ambientes que exigem alta simplicidade de gerenciamento, como nuvens privadas corporativas ou redes de teste. A arquitetura ACI da Cisco geralmente utiliza um modelo centralizado, combinado com uma topologia leaf-spine, para garantir a operação eficiente dos gateways principais.
Gateway VXLAN distribuído
Um gateway VXLAN distribuído, também conhecido como gateway distribuído ou gateway anycast, delega a funcionalidade de gateway para cada switch leaf ou VTEP do hipervisor. Cada VTEP atua como um gateway local, gerenciando o encaminhamento de camada 3 para a sub-rede local.
O princípio é mais flexível: cada VTEP é configurado com o mesmo IP virtual (VIP) do gateway padrão, utilizando o mecanismo Anycast. Pacotes entre sub-redes enviados por VMs são roteados diretamente no VTEP local, sem precisar passar por um ponto central. O EVPN é particularmente útil nesse contexto: por meio do BGP EVPN, o VTEP aprende as rotas dos hosts remotos e utiliza a vinculação MAC/IP para evitar ataques de inundação ARP.
Por exemplo, a VM A (10.1.1.10) deseja acessar a VM B (10.2.1.10). O gateway padrão da VM A é o VIP do VTEP local (10.1.1.1). O VTEP local roteia para a sub-rede de destino, encapsula o pacote VXLAN e o envia diretamente para o VTEP da VM B. Esse processo minimiza o caminho e a latência.
Vantagens Excepcionais:
○ Alta escalabilidadeDistribuir a funcionalidade de gateway para cada nó aumenta o tamanho da rede, o que é benéfico para redes maiores. Grandes provedores de nuvem, como o Google Cloud, usam um mecanismo semelhante para suportar milhões de máquinas virtuais.
○Desempenho superiorO tráfego leste-oeste é processado localmente para evitar gargalos. Os dados dos testes mostram que a taxa de transferência pode aumentar de 30% a 50% no modo distribuído.
○Recuperação rápida de falhasUma única falha no VTEP afeta apenas o host local, deixando os outros nós intactos. Combinado com a rápida convergência do EVPN, o tempo de recuperação é de segundos.
○Bom uso dos recursosUtilize o chip ASIC do switch Leaf existente para aceleração de hardware, com taxas de encaminhamento que atingem o nível de Tbps.
Quais são as desvantagens?
○ Configuração complexaCada VTEP requer configuração de roteamento, EVPN e outros recursos, o que torna a implantação inicial demorada. A equipe de operações deve estar familiarizada com BGP e SDN.
○Requisitos de hardware elevadosGateway distribuído: Nem todos os switches suportam gateways distribuídos; são necessários chips Broadcom Trident ou Tomahawk. Implementações de software (como OVS em KVM) não têm o mesmo desempenho que as de hardware.
○Desafios de consistênciaO termo "distribuído" significa que a sincronização de estado depende do EVPN. Se a sessão BGP apresentar oscilações, isso pode causar um "buraco negro" de roteamento.
Cenário de aplicação: Ideal para data centers de hiperescala ou nuvens públicas. O roteador distribuído do VMware NSX-T é um exemplo típico. Combinado com o Kubernetes, ele oferece suporte perfeito a redes de contêineres.
Gateway VxLAN centralizado vs. Gateway VxLAN distribuído
Chegamos agora ao ponto crucial: qual é o melhor? A resposta é "depende", mas precisamos analisar os dados e estudos de caso a fundo para convencê-lo.
Do ponto de vista do desempenho, os sistemas distribuídos claramente superam os sistemas tradicionais. Em um benchmark típico de data center (baseado em equipamentos de teste da Spirent), a latência média de um gateway centralizado foi de 150 μs, enquanto a de um sistema distribuído foi de apenas 50 μs. Em termos de throughput, os sistemas distribuídos podem facilmente atingir a velocidade de encaminhamento de linha, pois utilizam o roteamento Spine-Leaf Equal Cost Multi-Path (ECMP).
A escalabilidade é outro campo de batalha. Redes centralizadas são adequadas para redes com 100 a 500 nós; acima dessa escala, as redes distribuídas levam vantagem. Veja o Alibaba Cloud, por exemplo. Sua VPC (Virtual Private Cloud) usa gateways VXLAN distribuídos para suportar milhões de usuários em todo o mundo, com latência de região única inferior a 1 ms. Uma abordagem centralizada teria entrado em colapso há muito tempo.
E quanto ao custo? Uma solução centralizada oferece um investimento inicial menor, exigindo apenas alguns gateways de ponta. Uma solução distribuída exige que todos os nós de borda suportem o descarregamento VXLAN, o que leva a custos mais elevados de atualização de hardware. No entanto, a longo prazo, uma solução distribuída oferece custos de operação e manutenção mais baixos, já que ferramentas de automação como o Ansible permitem a configuração em lote.
Segurança e confiabilidade: Sistemas centralizados facilitam a proteção centralizada, mas apresentam alto risco de pontos únicos de ataque. Sistemas distribuídos são mais resilientes, mas exigem um plano de controle robusto para prevenir ataques DDoS.
Um estudo de caso real: Uma empresa de comércio eletrônico utilizou VXLAN centralizado para construir seu site. Durante os horários de pico, o uso da CPU do gateway chegava a 90%, gerando reclamações dos usuários sobre a latência. A mudança para um modelo distribuído resolveu o problema, permitindo que a empresa dobrasse facilmente sua escala. Por outro lado, um pequeno banco insistiu em um modelo centralizado por priorizar auditorias de conformidade e considerar a gestão centralizada mais fácil.
Em geral, se você busca desempenho e escalabilidade extremos para sua rede, uma abordagem distribuída é o caminho a seguir. Se seu orçamento é limitado e sua equipe de gerenciamento não possui experiência, uma abordagem centralizada é mais prática. No futuro, com o surgimento do 5G e da computação de borda, as redes distribuídas se tornarão mais populares, mas as redes centralizadas ainda serão valiosas em cenários específicos, como a interconexão de filiais.
Corretores de Pacotes de Rede Mylinking™Suporte para remoção de cabeçalhos VxLAN, VLAN, GRE e MPLS.
Suportava a remoção dos cabeçalhos VxLAN, VLAN, GRE e MPLS no pacote de dados original e na saída encaminhada.
Data da publicação: 09/10/2025
