Untuk membahas gateway VXLAN, kita harus terlebih dahulu membahas VXLAN itu sendiri. Ingatlah bahwa VLAN (Virtual Local Area Network) tradisional menggunakan ID VLAN 12-bit untuk membagi jaringan, mendukung hingga 4096 jaringan logis. Ini berfungsi dengan baik untuk jaringan kecil, tetapi di pusat data modern, dengan ribuan mesin virtual, kontainer, dan lingkungan multi-tenant, VLAN tidak mencukupi. VXLAN lahir, didefinisikan oleh Internet Engineering Task Force (IETF) dalam RFC 7348. Tujuannya adalah untuk memperluas domain siaran Layer 2 (Ethernet) melalui jaringan Layer 3 (IP) menggunakan terowongan UDP.
Sederhananya, VXLAN membungkus frame Ethernet di dalam paket UDP dan menambahkan VXLAN Network Identifier (VNI) 24-bit, yang secara teoritis mendukung 16 juta jaringan virtual. Ini seperti memberikan setiap jaringan virtual "kartu identitas," memungkinkan mereka untuk bergerak bebas di jaringan fisik tanpa saling mengganggu. Komponen inti VXLAN adalah VXLAN Tunnel End Point (VTEP), yang bertanggung jawab untuk membungkus dan mendekapsulasi paket. VTEP dapat berupa perangkat lunak (seperti Open vSwitch) atau perangkat keras (seperti chip ASIC pada switch).
Mengapa VXLAN begitu populer? Karena VXLAN sangat sesuai dengan kebutuhan komputasi awan dan SDN (Software-Defined Networking). Di cloud publik seperti AWS dan Azure, VXLAN memungkinkan perluasan jaringan virtual penyewa secara mulus. Di pusat data pribadi, VXLAN mendukung arsitektur jaringan overlay seperti VMware NSX atau Cisco ACI. Bayangkan sebuah pusat data dengan ribuan server, masing-masing menjalankan puluhan VM (Virtual Machine). VXLAN memungkinkan VM-VM ini untuk menganggap diri mereka sebagai bagian dari jaringan Layer 2 yang sama, memastikan transmisi siaran ARP dan permintaan DHCP yang lancar.
Namun, VXLAN bukanlah solusi mujarab. Beroperasi pada jaringan L3 membutuhkan konversi L2 ke L3, di sinilah peran gateway. Gateway VXLAN menghubungkan jaringan virtual VXLAN dengan jaringan eksternal (seperti VLAN tradisional atau jaringan routing IP), memastikan aliran data dari dunia virtual ke dunia nyata. Mekanisme penerusan adalah jantung dan jiwa dari gateway, yang menentukan bagaimana paket diproses, dirutekan, dan didistribusikan.
Proses penerusan VXLAN ibarat balet yang rumit, dengan setiap langkah dari sumber ke tujuan saling terkait erat. Mari kita uraikan langkah demi langkah.
Pertama, sebuah paket dikirim dari host sumber (seperti VM). Ini adalah frame Ethernet standar yang berisi alamat MAC sumber, alamat MAC tujuan, tag VLAN (jika ada), dan payload. Setelah menerima frame ini, VTEP sumber memeriksa alamat MAC tujuan. Jika alamat MAC tujuan ada dalam tabel MAC-nya (diperoleh melalui pembelajaran atau flooding), ia mengetahui VTEP jarak jauh mana yang harus diteruskan paketnya.
Proses enkapsulasi sangat penting: VTEP menambahkan header VXLAN (termasuk VNI, flag, dan sebagainya), kemudian header UDP luar (dengan port sumber berdasarkan hash dari frame dalam dan port tujuan tetap 4789), header IP (dengan alamat IP sumber VTEP lokal dan alamat IP tujuan VTEP jarak jauh), dan akhirnya header Ethernet luar. Seluruh paket sekarang tampak sebagai paket UDP/IP, terlihat seperti lalu lintas normal, dan dapat dirutekan pada jaringan L3.
Pada jaringan fisik, paket diteruskan oleh router atau switch hingga mencapai VTEP tujuan. VTEP tujuan melepaskan header luar, memeriksa header VXLAN untuk memastikan VNI cocok, dan kemudian mengirimkan frame Ethernet bagian dalam ke host tujuan. Jika paket tersebut merupakan lalu lintas unicast, broadcast, atau multicast (BUM) yang tidak dikenal, VTEP mereplikasi paket ke semua VTEP yang relevan menggunakan flooding, dengan mengandalkan grup multicast atau replikasi header unicast (HER).
Inti dari prinsip penerusan adalah pemisahan bidang kontrol dan bidang data. Bidang kontrol menggunakan Ethernet VPN (EVPN) atau mekanisme Flood and Learn untuk mempelajari pemetaan MAC dan IP. EVPN berbasis pada protokol BGP dan memungkinkan VTEP untuk bertukar informasi perutean, seperti MAC-VRF (Virtual Routing and Forwarding) dan IP-VRF. Bidang data bertanggung jawab atas penerusan aktual, menggunakan terowongan VXLAN untuk transmisi yang efisien.
Namun, dalam implementasi sebenarnya, efisiensi penerusan secara langsung memengaruhi kinerja. Metode flooding tradisional dapat dengan mudah menyebabkan broadcast storm, terutama pada jaringan besar. Hal ini menyebabkan perlunya optimasi gateway: gateway tidak hanya menghubungkan jaringan internal dan eksternal tetapi juga bertindak sebagai agen proxy ARP, menangani kebocoran rute, dan memastikan jalur penerusan terpendek.
Gateway VXLAN Terpusat
Gateway VXLAN terpusat, juga disebut gateway terpusat atau gateway L3, biasanya ditempatkan di lapisan tepi atau inti pusat data. Gateway ini bertindak sebagai hub pusat, tempat semua lalu lintas lintas VNI atau lintas subnet harus melewatinya.
Pada prinsipnya, gateway terpusat bertindak sebagai gateway default, menyediakan layanan routing Layer 3 untuk semua jaringan VXLAN. Pertimbangkan dua VNI: VNI 10000 (subnet 10.1.1.0/24) dan VNI 20000 (subnet 10.2.1.0/24). Jika VM A di VNI 10000 ingin mengakses VM B di VNI 20000, paket tersebut pertama-tama mencapai VTEP lokal. VTEP lokal mendeteksi bahwa alamat IP tujuan tidak berada di subnet lokal dan meneruskannya ke gateway terpusat. Gateway mendekapsulasi paket, membuat keputusan routing, dan kemudian mengenkapsulasi ulang paket ke dalam terowongan ke VNI tujuan.
Keuntungannya jelas:
○ Pengelolaan sederhanaSemua konfigurasi routing terpusat pada satu atau dua perangkat, memungkinkan operator hanya perlu memelihara beberapa gateway untuk mencakup seluruh jaringan. Pendekatan ini cocok untuk pusat data kecil dan menengah atau lingkungan yang menerapkan VXLAN untuk pertama kalinya.
○Efisien dalam penggunaan sumber daya.Gateway biasanya berupa perangkat keras berkinerja tinggi (seperti Cisco Nexus 9000 atau Arista 7050) yang mampu menangani lalu lintas dalam jumlah besar. Bidang kontrol terpusat, memfasilitasi integrasi dengan pengontrol SDN seperti NSX Manager.
○Kontrol keamanan yang ketatLalu lintas harus melewati gateway, yang memfasilitasi implementasi ACL (Access Control Lists), firewall, dan NAT. Bayangkan skenario multi-tenant di mana gateway terpusat dapat dengan mudah mengisolasi lalu lintas tenant.
Namun kekurangan-kekurangan tersebut tidak dapat diabaikan:
○ Titik kegagalan tunggalJika gateway gagal, komunikasi L3 di seluruh jaringan akan lumpuh. Meskipun VRRP (Virtual Router Redundancy Protocol) dapat digunakan untuk redundansi, protokol ini tetap membawa risiko.
○Hambatan kinerjaSemua lalu lintas timur-barat (komunikasi antar server) harus melewati gateway, sehingga menghasilkan jalur yang kurang optimal. Misalnya, dalam klaster 1000 node, jika bandwidth gateway adalah 100 Gbps, kemacetan kemungkinan akan terjadi selama jam-jam sibuk.
○Skalabilitas yang burukSeiring bertambahnya skala jaringan, beban gateway meningkat secara eksponensial. Dalam contoh dunia nyata, saya pernah melihat pusat data keuangan yang menggunakan gateway terpusat. Awalnya, semuanya berjalan lancar, tetapi setelah jumlah VM berlipat ganda, latensi meroket dari mikrodetik menjadi milidetik.
Skenario Aplikasi: Cocok untuk lingkungan yang membutuhkan kesederhanaan manajemen tingkat tinggi, seperti cloud privat perusahaan atau jaringan pengujian. Arsitektur ACI Cisco sering menggunakan model terpusat, dikombinasikan dengan topologi leaf-spine, untuk memastikan pengoperasian gateway inti yang efisien.
Gateway VXLAN Terdistribusi
Gateway VXLAN terdistribusi, juga dikenal sebagai gateway terdistribusi atau gateway anycast, mengalihkan fungsi gateway ke setiap switch leaf atau VTEP hypervisor. Setiap VTEP bertindak sebagai gateway lokal, menangani penerusan L3 untuk subnet lokal.
Prinsipnya lebih fleksibel: setiap VTEP dikonfigurasi dengan IP virtual (VIP) yang sama dengan gateway default, menggunakan mekanisme Anycast. Paket lintas subnet yang dikirim oleh VM dirutekan langsung pada VTEP lokal, tanpa harus melalui titik pusat. EVPN sangat berguna di sini: melalui BGP EVPN, VTEP mempelajari rute host jarak jauh dan menggunakan pengikatan MAC/IP untuk menghindari banjir ARP.
Sebagai contoh, VM A (10.1.1.10) ingin mengakses VM B (10.2.1.10). Gateway default VM A adalah VIP dari VTEP lokal (10.1.1.1). VTEP lokal merute ke subnet tujuan, mengenkapsulasi paket VXLAN, dan mengirimkannya langsung ke VTEP VM B. Proses ini meminimalkan jalur dan latensi.
Keunggulan Luar Biasa:
○ Skalabilitas tinggiMendistribusikan fungsi gateway ke setiap node meningkatkan ukuran jaringan, yang bermanfaat untuk jaringan yang lebih besar. Penyedia layanan cloud besar seperti Google Cloud menggunakan mekanisme serupa untuk mendukung jutaan VM.
○Performa unggulLalu lintas timur-barat diproses secara lokal untuk menghindari hambatan. Data uji menunjukkan bahwa throughput dapat meningkat sebesar 30%-50% dalam mode terdistribusi.
○Pemulihan kesalahan yang cepatKegagalan VTEP tunggal hanya memengaruhi host lokal, sehingga node lain tidak terpengaruh. Dikombinasikan dengan konvergensi cepat EVPN, waktu pemulihan hanya dalam hitungan detik.
○Pemanfaatan sumber daya yang baikManfaatkan chip ASIC switch Leaf yang sudah ada untuk akselerasi perangkat keras, dengan kecepatan penerusan mencapai level Tbps.
Apa saja kekurangannya?
○ Konfigurasi kompleksSetiap VTEP memerlukan konfigurasi routing, EVPN, dan fitur lainnya, sehingga proses deployment awal memakan waktu. Tim operasional harus memahami BGP dan SDN.
○Persyaratan perangkat keras yang tinggiGateway terdistribusi: Tidak semua switch mendukung gateway terdistribusi; diperlukan chip Broadcom Trident atau Tomahawk. Implementasi perangkat lunak (seperti OVS pada KVM) tidak berkinerja sebaik perangkat keras.
○Tantangan KonsistensiIstilah "terdistribusi" berarti sinkronisasi status bergantung pada EVPN. Jika sesi BGP berfluktuasi, hal itu dapat menyebabkan "lubang hitam" perutean.
Skenario Aplikasi: Sempurna untuk pusat data hyperscale atau cloud publik. Router terdistribusi VMware NSX-T adalah contoh tipikalnya. Dikombinasikan dengan Kubernetes, ia mendukung jaringan kontainer secara mulus.
Gateway VxLAN Terpusat vs. Gateway VxLAN Terdistribusi
Sekarang kita sampai pada intinya: mana yang lebih baik? Jawabannya adalah "tergantung", tetapi kita harus menggali lebih dalam data dan studi kasus untuk meyakinkan Anda.
Dari perspektif performa, sistem terdistribusi jelas lebih unggul. Dalam benchmark pusat data tipikal (berdasarkan peralatan uji Spirent), latensi rata-rata gateway terpusat adalah 150μs, sedangkan sistem terdistribusi hanya 50μs. Dalam hal throughput, sistem terdistribusi dapat dengan mudah mencapai penerusan kecepatan jalur karena memanfaatkan routing Spine-Leaf Equal Cost Multi-Path (ECMP).
Skalabilitas adalah medan pertempuran lainnya. Jaringan terpusat cocok untuk jaringan dengan 100-500 node; di luar skala ini, jaringan terdistribusi mendapatkan keunggulan. Ambil contoh Alibaba Cloud. VPC (Virtual Private Cloud) mereka menggunakan gateway VXLAN terdistribusi untuk mendukung jutaan pengguna di seluruh dunia, dengan latensi di satu wilayah di bawah 1ms. Pendekatan terpusat pasti sudah runtuh sejak lama.
Bagaimana dengan biaya? Solusi terpusat menawarkan investasi awal yang lebih rendah, hanya membutuhkan beberapa gateway kelas atas. Solusi terdistribusi membutuhkan semua node leaf untuk mendukung offload VXLAN, yang menyebabkan biaya upgrade perangkat keras yang lebih tinggi. Namun, dalam jangka panjang, solusi terdistribusi menawarkan biaya O&M yang lebih rendah, karena alat otomatisasi seperti Ansible memungkinkan konfigurasi batch.
Keamanan dan keandalan: Sistem terpusat memfasilitasi perlindungan terpusat tetapi menimbulkan risiko tinggi terhadap titik serangan tunggal. Sistem terdistribusi lebih tangguh tetapi membutuhkan bidang kendali yang kuat untuk mencegah serangan DDoS.
Studi kasus dunia nyata: Sebuah perusahaan e-commerce menggunakan VXLAN terpusat untuk membangun situsnya. Selama periode puncak, penggunaan CPU gateway melonjak hingga 90%, menyebabkan keluhan pengguna tentang latensi. Beralih ke model terdistribusi menyelesaikan masalah tersebut, memungkinkan perusahaan untuk dengan mudah menggandakan skalanya. Sebaliknya, sebuah bank kecil bersikeras pada model terpusat karena mereka memprioritaskan audit kepatuhan dan menganggap manajemen terpusat lebih mudah.
Secara umum, jika Anda mencari performa dan skalabilitas jaringan yang ekstrem, pendekatan terdistribusi adalah pilihan yang tepat. Jika anggaran Anda terbatas dan tim manajemen Anda kurang berpengalaman, pendekatan terpusat lebih praktis. Di masa depan, dengan munculnya 5G dan edge computing, jaringan terdistribusi akan menjadi lebih populer, tetapi jaringan terpusat akan tetap berharga dalam skenario tertentu, seperti interkoneksi kantor cabang.
Broker Paket Jaringan Mylinking™Mendukung VxLAN, VLAN, GRE, MPLS Header Stripping
Mendukung penghapusan header VxLAN, VLAN, GRE, MPLS pada paket data asli dan output yang diteruskan.
Waktu posting: 09-Oktober-2025
