17/09/2021

MẶT PHẲNG DỮ LIỆU VÀ MẶT PHẲNG ĐIỀU KHIỂN CỦA MẠNG TRỤC FABRIC – VxLAN (Phần 1)

VxLAN trong mạng doanh nghiệp đóng vai trò là một công nghệ đóng gói dữ liệu hiện đại, giúp xây dựng các mạng ảo linh hoạt và bảo mật trên hạ tầng vật lý hiện có. Thay vì phụ thuộc hoàn toàn vào cấu trúc mạng vật lý, VxLAN cho phép tạo ra các mạng ảo (overlay) có thể truyền dữ liệu lớp 2 và lớp 3 một cách hiệu quả. Với khả năng hỗ trợ định danh mạng qua VNI và kiểm soát truy cập qua SGT, VxLAN giúp doanh nghiệp triển khai segmentation dễ dàng, đồng thời tối ưu hóa hiệu suất và bảo mật mạng nội bộ.

1. Đóng gói dữ liệu là gì?

Đóng gói (encapsulation) là kỹ thuật bao bọc gói tin của một giao thức trong gói tin của giao thức khác. Đây là cơ chế quan trọng trong việc truyền dữ liệu qua nhiều tầng mạng. Các giao thức như GRE hay MPLS đã sử dụng rộng rãi kỹ thuật này. Nhưng tại sao chúng ta cần đến đóng gói?

dong goi du lieu la gi

Lý do chính là để đảm bảo tính linh hoạt khi truyền tải dữ liệu qua các nền tảng hạ tầng khác nhau. Thông qua kỹ thuật đóng gói, ta có thể tạo nên các mạng ảo (overlay) chạy trên nền mạng vật lý thực tế (underlay).

2. Tìm hiểu về VxLAN

VxLAN (Virtual Extensible LAN) là một trong những công nghệ then chốt giúp hiện đại hóa hạ tầng mạng doanh nghiệp. Trong bối cảnh các mô hình mạng truyền thống ngày càng bộc lộ nhiều giới hạn về khả năng mở rộng, tính linh hoạt và bảo mật, VxLAN nổi lên như một giải pháp lý tưởng để xây dựng các mạng ảo linh hoạt (overlay network) trên nền hạ tầng vật lý hiện có (underlay network).

VxLAN la gi

Không giống như GRE vốn đã phổ biến, điểm mạnh của VxLAN nằm ở khả năng đóng gói cả gói tin lớp 2 và lớp 3 chỉ bằng một lần encapsulation duy nhất. Điều này cho phép truyền dữ liệu linh hoạt xuyên suốt nhiều môi trường mạng khác nhau.

Một lợi thế lớn khác của VxLAN là khả năng tích hợp hai giá trị quan trọng trong phần tiêu đề (header):

  • VNI (Virtual Network Identifier) – định danh từng mạng ảo riêng biệt. Nhờ độ dài 24-bit, VxLAN có thể hỗ trợ lên đến 16 triệu mạng ảo, giúp dễ dàng triển khai segmentation quy mô lớn.
  • SGT (Security Group Tag) – đánh dấu nhóm người dùng hoặc thiết bị, phục vụ cho việc áp dụng các chính sách bảo mật theo vai trò (role-based access control) thay vì phải phụ thuộc vào địa chỉ IP hoặc hạ tầng vật lý.

VxLAN đóng gói toàn bộ khung Ethernet gốc (bao gồm MAC nguồn, MAC đích và tiêu đề Ethernet) và đặt nó bên trong một gói IP/UDP tiêu chuẩn. Nhờ sử dụng UDP ở lớp ngoài cùng, gói tin VxLAN có thể được định tuyến qua bất kỳ thiết bị IP nào mà không cần thiết bị đó hiểu biết gì về nội dung VxLAN bên trong.

Với cách tiếp cận này, VxLAN trong mạng doanh nghiệp không chỉ là công nghệ đóng gói đơn thuần mà còn là nền tảng để xây dựng kiến trúc mạng linh hoạt, bảo mật, hiện đại và dễ mở rộng.

3. Cấu trúc gói tin VxLAN

Gói tin VxLAN có cấu trúc như sau:

  • Header UDP/IP (lớp ngoài): Đây là lớp định tuyến chính giúp gói tin VxLAN có thể đi xuyên qua mạng IP. UDP được sử dụng để tăng tính tương thích với thiết bị trung gian mà không yêu cầu thay đổi cấu hình đặc biệt.
  • Header VxLAN: Chứa thông tin quan trọng như: VNI (Virtual Network Identifier) – giá trị 24-bit định danh từng mạng ảo riêng biệt (hỗ trợ lên tới 16 triệu mạng ảo). SGT (Security Group Tag) – phân loại người dùng/thiết bị theo nhóm bảo mật, hỗ trợ xây dựng chính sách truy cập linh hoạt mà không phụ thuộc vào địa chỉ IP.
  • Khung dữ liệu bên trong: Là toàn bộ frame Ethernet gốc bao gồm MAC nguồn, MAC đích và payload IP nếu có.
Cấu trúc gói tin VxLAN

Trong đó:

  • Địa chỉ IP nguồn: là địa chỉ của thiết bị đóng gói VxLAN (gọi là VTEP – VxLAN Tunnel Endpoint).
  • Địa chỉ IP đích: là thiết bị sẽ mở gói tin VxLAN ở đầu bên kia.
VxLAN

Việc sử dụng UDP cho phép các thiết bị định tuyến trung gian chỉ xem đây là một gói IP bình thường và không can thiệp vào quá trình đóng/mở gói VxLAN, nhờ đó tăng tính tương thích và giảm độ phức tạp của hệ thống.

4. VxLAN và khả năng tạo mạng ảo phân đoạn (Segmentation)

Một điểm nổi bật của VxLAN là khả năng hỗ trợ giá trị VNI 24-bit, cho phép xây dựng hàng triệu mạng ảo riêng biệt. VNI có thể ánh xạ với các VRF trong mạng, hỗ trợ tách biệt luồng dữ liệu một cách logic mà không cần tách rời vật lý.

VxLAN và khả năng tạo mạng ảo phân đoạn

Thêm vào đó, SGT cung cấp thông tin nhóm người dùng hoặc thiết bị, giúp xác định các mối quan hệ và áp dụng chính sách truy cập dễ dàng hơn mà không cần dựa trên địa chỉ IP. Việc định danh theo nhóm này cho phép quản trị viên xây dựng các chính sách bảo mật và kiểm soát truy cập dựa trên vai trò, thay vì phải duy trì các danh sách IP phức tạp.

Tổng kết

VxLAN là một công nghệ đóng gói thiết yếu trong kiến trúc mạng ảo hiện đại. Nó mang lại khả năng truyền tải linh hoạt ở cả lớp 2 và lớp 3, hỗ trợ xây dựng mạng ảo phân đoạn mạnh mẽ thông qua VNI và SGT. VxLAN chính là nền tảng cốt lõi của data plane trong các kiến trúc mạng fabric, giúp các doanh nghiệp triển khai hệ thống mạng linh hoạt, bảo mật và dễ quản lý hơn bao giờ hết.

(Còn tiếp…)

Liên hệ MSPVN để tìm hiểu thêm về các giải pháp cho hạ tầng mạng!

📞 Hotline: 090 989 2026
🌐 Website: https://www.mspvn.com/
📧 Email: info@mspvn.net

Chia sẻ:

Bài viết khác

06/03/2026
Switch mạng doanh nghiệp: chọn đúng, thiết kế chuẩn, chạy ổn định
 06/03/2026
Switch là gì? 7 Điều Quan Trọng Về LAN Switch Và Nguyên Lý Hoạt Động Doanh Nghiệp Cần Biết
 05/03/2026
Firewall cho doanh nghiệp: chọn đúng, triển khai chuẩn, an toàn cao
 05/03/2026
Cổng PoE là gì? Cách cấp nguồn qua Ethernet cho camera & thiết bị mạng 2026
Xem thêm...