Untuk membahas gateway VXLAN, pertama-tama kita harus membahas VXLAN itu sendiri. Perlu diingat bahwa VLAN (Virtual Local Area Network) tradisional menggunakan ID VLAN 12-bit untuk membagi jaringan, mendukung hingga 4096 jaringan logis. Ini berfungsi dengan baik untuk jaringan kecil, tetapi di pusat data modern, dengan ribuan mesin virtual, kontainer, dan lingkungan multi-tenant, VLAN saja tidak cukup. VXLAN lahir, didefinisikan oleh Internet Engineering Task Force (IETF) dalam RFC 7348. Tujuannya adalah untuk memperluas domain siaran Layer 2 (Ethernet) melalui jaringan Layer 3 (IP) menggunakan terowongan UDP.
Sederhananya, VXLAN mengenkapsulasi frame Ethernet dalam paket UDP dan menambahkan VXLAN Network Identifier (VNI) 24-bit, yang secara teoritis mendukung 16 juta jaringan virtual. Hal ini seperti memberi setiap jaringan virtual sebuah "kartu identitas", yang memungkinkan mereka bergerak bebas di jaringan fisik tanpa saling mengganggu. Komponen inti VXLAN adalah VXLAN Tunnel End Point (VTEP), yang bertanggung jawab untuk mengenkapsulasi dan mendekapsulasi paket. VTEP dapat berupa perangkat lunak (seperti Open vSwitch) atau perangkat keras (seperti chip ASIC pada switch).
Mengapa VXLAN begitu populer? Karena sangat selaras dengan kebutuhan komputasi awan dan SDN (Software-Defined Networking). Di cloud publik seperti AWS dan Azure, VXLAN memungkinkan perluasan jaringan virtual penyewa yang lancar. Di pusat data privat, VXLAN mendukung arsitektur jaringan overlay seperti VMware NSX atau Cisco ACI. Bayangkan sebuah pusat data dengan ribuan server, yang masing-masing menjalankan lusinan VM (Mesin Virtual). VXLAN memungkinkan VM-VM ini menganggap diri mereka sebagai bagian dari jaringan Layer 2 yang sama, memastikan transmisi siaran ARP dan permintaan DHCP yang lancar.
Namun, VXLAN bukanlah solusi sempurna. Beroperasi pada jaringan L3 membutuhkan konversi L2 ke L3, dan di sinilah gateway berperan. Gateway VXLAN menghubungkan jaringan virtual VXLAN dengan jaringan eksternal (seperti VLAN tradisional atau jaringan perutean IP), memastikan aliran data dari dunia virtual ke dunia nyata. Mekanisme penerusan adalah inti dari gateway, yang menentukan bagaimana paket diproses, dirutekan, dan didistribusikan.
Proses penerusan VXLAN bagaikan balet yang rumit, dengan setiap langkah dari sumber ke tujuan saling terkait erat. Mari kita uraikan langkah demi langkah.
Pertama, sebuah paket dikirim dari host sumber (misalnya VM). Paket ini berupa frame Ethernet standar yang berisi alamat MAC sumber, alamat MAC tujuan, tag VLAN (jika ada), dan payload. Setelah menerima frame ini, VTEP sumber memeriksa alamat MAC tujuan. Jika alamat MAC tujuan terdapat dalam tabel MAC-nya (diperoleh melalui pembelajaran atau flooding), VTEP tersebut akan mengetahui ke VTEP mana paket akan diteruskan.
Proses enkapsulasi sangat krusial: VTEP menambahkan header VXLAN (termasuk VNI, flag, dan sebagainya), lalu header UDP luar (dengan port sumber berdasarkan hash frame dalam dan port tujuan tetap 4789), header IP (dengan alamat IP sumber VTEP lokal dan alamat IP tujuan VTEP jarak jauh), dan terakhir header Ethernet luar. Seluruh paket kini muncul sebagai paket UDP/IP, tampak seperti lalu lintas normal, dan dapat dirutekan melalui jaringan L3.
Pada jaringan fisik, paket diteruskan oleh router atau switch hingga mencapai VTEP tujuan. VTEP tujuan melepas header luar, memeriksa header VXLAN untuk memastikan kecocokan VNI, lalu mengirimkan frame Ethernet dalam ke host tujuan. Jika paket tersebut merupakan lalu lintas unicast, broadcast, atau multicast (BUM) yang tidak dikenal, VTEP akan mereplikasi paket tersebut ke semua VTEP yang relevan menggunakan flooding, dengan mengandalkan grup multicast atau replikasi header unicast (HER).
Inti dari prinsip penerusan adalah pemisahan bidang kontrol dan bidang data. Bidang kontrol menggunakan Ethernet VPN (EVPN) atau mekanisme Flood and Learn untuk mempelajari pemetaan MAC dan IP. EVPN didasarkan pada protokol BGP dan memungkinkan VTEP untuk bertukar informasi perutean, seperti MAC-VRF (Virtual Routing and Forwarding) dan IP-VRF. Bidang data bertanggung jawab atas penerusan yang sebenarnya, menggunakan terowongan VXLAN untuk transmisi yang efisien.
Namun, dalam penerapan aktual, efisiensi penerusan berdampak langsung pada kinerja. Banjir tradisional dapat dengan mudah menyebabkan badai siaran, terutama pada jaringan besar. Hal ini menyebabkan perlunya optimasi gateway: gateway tidak hanya menghubungkan jaringan internal dan eksternal, tetapi juga bertindak sebagai agen ARP proksi, menangani kebocoran rute, dan memastikan jalur penerusan terpendek.
Gerbang VXLAN Terpusat
Gateway VXLAN terpusat, juga disebut gateway terpusat atau gateway L3, biasanya diterapkan di lapisan tepi atau inti pusat data. Gateway ini bertindak sebagai hub pusat, yang harus dilalui oleh semua lalu lintas lintas VNI atau lintas subnet.
Pada prinsipnya, gateway terpusat bertindak sebagai gateway default, menyediakan layanan perutean Layer 3 untuk semua jaringan VXLAN. Pertimbangkan dua VNI: VNI 10000 (subnet 10.1.1.0/24) dan VNI 20000 (subnet 10.2.1.0/24). Jika VM A di VNI 10000 ingin mengakses VM B di VNI 20000, paket tersebut terlebih dahulu mencapai VTEP lokal. VTEP lokal mendeteksi bahwa alamat IP tujuan tidak berada di subnet lokal dan meneruskannya ke gateway terpusat. Gateway mendekapsulasi paket, membuat keputusan perutean, lalu mengenkapsulasi ulang paket ke dalam terowongan menuju VNI tujuan.
Keuntungannya jelas:
○ Manajemen sederhanaSemua konfigurasi perutean terpusat pada satu atau dua perangkat, sehingga operator hanya perlu mengelola beberapa gateway untuk mencakup seluruh jaringan. Pendekatan ini cocok untuk pusat data kecil dan menengah atau lingkungan yang baru pertama kali menerapkan VXLAN.
○Hemat sumber dayaGateway biasanya berupa perangkat keras berkinerja tinggi (seperti Cisco Nexus 9000 atau Arista 7050) yang mampu menangani lalu lintas dalam jumlah besar. Bidang kontrolnya terpusat, sehingga memudahkan integrasi dengan pengontrol SDN seperti NSX Manager.
○Kontrol keamanan yang kuatLalu lintas harus melewati gateway, sehingga memudahkan penerapan ACL (Access Control List), firewall, dan NAT. Bayangkan skenario multi-penyewa di mana gateway terpusat dapat dengan mudah mengisolasi lalu lintas penyewa.
Namun kekurangannya tidak dapat diabaikan:
○ Titik kegagalan tunggalJika gateway gagal, komunikasi L3 di seluruh jaringan akan lumpuh. Meskipun VRRP (Virtual Router Redundancy Protocol) dapat digunakan untuk redundansi, tetap saja ada risikonya.
○Hambatan kinerjaSemua lalu lintas timur-barat (komunikasi antar server) harus melewati gateway, sehingga menghasilkan jalur yang kurang optimal. Misalnya, dalam klaster 1000 node, jika bandwidth gateway adalah 100 Gbps, kemacetan kemungkinan besar akan terjadi selama jam sibuk.
○Skalabilitas yang burukSeiring meningkatnya skala jaringan, beban gateway meningkat secara eksponensial. Dalam contoh nyata, saya pernah melihat pusat data keuangan menggunakan gateway terpusat. Awalnya, prosesnya berjalan lancar, tetapi setelah jumlah VM berlipat ganda, latensi melonjak dari mikrodetik menjadi milidetik.
Skenario Aplikasi: Cocok untuk lingkungan yang membutuhkan kesederhanaan manajemen yang tinggi, seperti private cloud perusahaan atau jaringan uji. Arsitektur ACI Cisco sering kali menggunakan model terpusat, dikombinasikan dengan topologi leaf-spine, untuk memastikan pengoperasian gateway inti yang efisien.
Gerbang VXLAN Terdistribusi
Gateway VXLAN terdistribusi, juga dikenal sebagai gateway terdistribusi atau gateway anycast, memindahkan fungsionalitas gateway ke setiap switch leaf atau hypervisor VTEP. Setiap VTEP bertindak sebagai gateway lokal, menangani penerusan L3 untuk subnet lokal.
Prinsipnya lebih fleksibel: setiap VTEP dikonfigurasi dengan IP virtual (VIP) yang sama dengan gateway default, menggunakan mekanisme Anycast. Paket lintas subnet yang dikirim oleh VM dirutekan langsung ke VTEP lokal, tanpa harus melalui titik pusat. EVPN sangat berguna di sini: melalui BGP EVPN, VTEP mempelajari rute host jarak jauh dan menggunakan pengikatan MAC/IP untuk menghindari banjir ARP.
Misalnya, VM A (10.1.1.10) ingin mengakses VM B (10.2.1.10). Gateway default VM A adalah VIP dari VTEP lokal (10.1.1.1). VTEP lokal merutekan ke subnet tujuan, mengenkapsulasi paket VXLAN, dan mengirimkannya langsung ke VTEP VM B. Proses ini meminimalkan jalur dan latensi.
Keunggulan Luar Biasa:
○ Skalabilitas tinggiMendistribusikan fungsionalitas gateway ke setiap node akan meningkatkan ukuran jaringan, yang bermanfaat untuk jaringan yang lebih besar. Penyedia cloud besar seperti Google Cloud menggunakan mekanisme serupa untuk mendukung jutaan VM.
○Performa unggulLalu lintas timur-barat diproses secara lokal untuk menghindari kemacetan. Data uji menunjukkan bahwa throughput dapat meningkat 30%-50% dalam mode terdistribusi.
○Pemulihan kesalahan cepatSatu kegagalan VTEP saja hanya memengaruhi host lokal, sehingga node lain tidak terpengaruh. Dikombinasikan dengan konvergensi EVPN yang cepat, waktu pemulihan hanya dalam hitungan detik.
○Pemanfaatan sumber daya yang baikMemanfaatkan chip ASIC sakelar Leaf yang ada untuk akselerasi perangkat keras, dengan kecepatan penerusan mencapai tingkat Tbps.
Apa kerugiannya?
○ Konfigurasi yang kompleksSetiap VTEP memerlukan konfigurasi perutean, EVPN, dan fitur lainnya, sehingga penerapan awal menjadi memakan waktu. Tim operasi harus terbiasa dengan BGP dan SDN.
○Persyaratan perangkat keras yang tinggiGerbang terdistribusi: Tidak semua switch mendukung gerbang terdistribusi; diperlukan chip Broadcom Trident atau Tomahawk. Implementasi perangkat lunak (seperti OVS pada KVM) tidak berkinerja sebaik perangkat keras.
○Tantangan KonsistensiTerdistribusi berarti sinkronisasi status bergantung pada EVPN. Fluktuasi sesi BGP dapat menyebabkan lubang hitam perutean.
Skenario Aplikasi: Sempurna untuk pusat data skala besar atau cloud publik. Router terdistribusi VMware NSX-T adalah contoh tipikal. Dikombinasikan dengan Kubernetes, router ini mendukung jaringan kontainer dengan lancar.
Gerbang VxLAN Terpusat vs. Gerbang VxLAN Terdistribusi
Sekarang ke klimaksnya: mana yang lebih baik? Jawabannya adalah "tergantung", tetapi kita harus menggali lebih dalam data dan studi kasus untuk meyakinkan Anda.
Dari perspektif performa, sistem terdistribusi jelas lebih unggul. Dalam tolok ukur pusat data pada umumnya (berdasarkan peralatan uji Spirent), latensi rata-rata gateway terpusat adalah 150 μs, sementara latensi sistem terdistribusi hanya 50 μs. Dalam hal throughput, sistem terdistribusi dapat dengan mudah mencapai penerusan line-rate karena memanfaatkan perutean Spine-Leaf Equal Cost Multi-Path (ECMP).
Skalabilitas juga menjadi medan pertempuran. Jaringan terpusat cocok untuk jaringan dengan 100-500 node; di atas skala ini, jaringan terdistribusi lebih unggul. Ambil contoh Alibaba Cloud. VPC (Virtual Private Cloud) mereka menggunakan gateway VXLAN terdistribusi untuk mendukung jutaan pengguna di seluruh dunia, dengan latensi wilayah tunggal di bawah 1 ms. Pendekatan terpusat pasti sudah runtuh sejak lama.
Bagaimana dengan biaya? Solusi terpusat menawarkan investasi awal yang lebih rendah, hanya membutuhkan beberapa gateway kelas atas. Solusi terdistribusi mengharuskan semua node leaf mendukung offload VXLAN, sehingga biaya peningkatan perangkat keras menjadi lebih tinggi. Namun, dalam jangka panjang, solusi terdistribusi menawarkan biaya O&M yang lebih rendah, karena alat otomatisasi seperti Ansible memungkinkan konfigurasi batch.
Keamanan dan keandalan: Sistem terpusat memfasilitasi perlindungan terpusat tetapi menimbulkan risiko tinggi terhadap titik serangan tunggal. Sistem terdistribusi lebih tangguh tetapi membutuhkan bidang kontrol yang kuat untuk mencegah serangan DDoS.
Studi kasus dunia nyata: Sebuah perusahaan e-commerce menggunakan VXLAN terpusat untuk membangun situsnya. Selama periode puncak, penggunaan CPU gateway melonjak hingga 90%, yang menyebabkan keluhan pengguna tentang latensi. Beralih ke model terdistribusi menyelesaikan masalah tersebut, memungkinkan perusahaan untuk dengan mudah menggandakan skalanya. Sebaliknya, sebuah bank kecil bersikeras menggunakan model terpusat karena mereka memprioritaskan audit kepatuhan dan merasa manajemen terpusat lebih mudah.
Secara umum, jika Anda menginginkan kinerja dan skalabilitas jaringan yang ekstrem, pendekatan terdistribusi adalah solusinya. Jika anggaran Anda terbatas dan tim manajemen Anda kurang berpengalaman, pendekatan terpusat lebih praktis. Di masa mendatang, dengan munculnya 5G dan komputasi tepi (edge computing), jaringan terdistribusi akan semakin populer, tetapi jaringan terpusat akan tetap berharga dalam skenario tertentu, seperti interkoneksi kantor cabang.
Broker Paket Jaringan Mylinking™mendukung VxLAN, VLAN, GRE, MPLS Header Stripping
Mendukung header VxLAN, VLAN, GRE, MPLS yang dilucuti dalam paket data asli dan meneruskan keluaran.
Waktu posting: 09-Okt-2025
