MẶT PHẲNG DỮ LIỆU VÀ MẶT PHẲNG ĐIỀU KHIỂN CỦA MẠNG TRỤC FABRIC (Phần 1)

Đóng gói dữ liệu là gì?

Quá trình đóng gói (encapsulation) là quá trình bao gói tin của giao thức này bên trong một giao thức khác. Có thể chúng ta đã biết nhiều giao thức dùng quá trình đóng gói để truyền dữ liệu, ví dụ như GRE hay MPLS. Câu hỏi đặt ra là vì sao chúng ta cần các kỹ thuật đóng gói?

Câu trả lời là chúng ta cần tính linh hoạt (flexibility) khi truyền dữ liệu trên các hạ tầng khác nhau. Việc sử dụng các kỹ thuật đóng gói giúp chúng ta xây dựng các mạng ảo overlay trên các hạ tầng mạng vật lý underlay.

VxLAN là gì?

Virtual Extensible LAN (VxLAN) là một phương thức đóng gói dữ liệu mới được dùng trong các mạng hiện đại.

Nhiều công nghệ như GRE dùng công nghệ đóng gói này để truyền dữ liệu. Vậy VxLAN có gì khác biệt và có gì mới? Điểm mạnh của VxLAN là chỉ với một lần đóng gói duy nhất, nó hỗ trợ việc truyền gói tin ở cả lớp 2 và lớp 3. Tính năng này của VxLAN cho phép đóng gói và truyền bất kỳ kiểu gói tin nào xuyên suốt các kiểu mạng khác biệt.

Thật ra, việc sử dụng VxLAN để tạo ra một mạng ảo mang đến một lợi ích quan trọng khác. Định dạng VxLAN header chứa các trường để lưu lại hai thông tin quan trọng là VNI và SGT. VxLAN sẽ đóng gói và truyền toàn bộ các frame lớp 2 trên mạng vật lý, trong đó mỗi mạng ảo được định danh bằng một thông tin nhận dạng lớp mạng VxLAN (VxLAN Network Identifier – VNI). SGT (Security Group Tag) dùng trong quá trình phân chia data plane thành các phân đoạn mạng nhỏ hơn. Hình vẽ bên dưới mô tả chi tiết định dạng VxLAN header.

VxLAN là một kiểu đóng gói có dùng UDP. Phần tận cùng bên ngoài của gói tin là định dạng chuẩn UDP và như vậy có thể định tuyến được bởi bất kỳ thiết bị IP nào. Phần bên trong là một phần được đóng gói bao gồm toàn bộ một Ethernet frame, địa chỉ MAC nguồn ban đầu, địa chỉ MAC đích và phần Ethernet header nguyên thủy ban đầu, thêm vào đó là gói tin IP được chứa bên trong nó. Cách đóng gói của VxLAN này là quan trọng vì nó có nghĩa là VxLAN là một công nghệ có thể hỗ trợ cho các giải pháp mạng ảo ở cả lớp 2 và lớp 3.

Phần VxLAN header nằm giữa UDP header và phần frame layer 2 nguyên bản. Có hai thông tin rất quan trọng: giá trị SGT (Security Group Tag) và giá trị mạng ảo VNI (Virtual Network Identifier). Kết hợp hai giá trị này lại với nhau, chúng ta sẽ có đủ thông tin về phần gói tin được đóng gói bên trong, đặc biệt các thông tin về các phân đoạn mạng.

Với việc sử dụng kiểu đóng gói UDP như là header bên ngoài, bất kỳ thiết bị định tuyến IP nào cũng có thể mang một gói tin VxLAN. Địa chỉ IP nguồn trong header này sẽ là địa chỉ của node mạng đang đóng gói gói tin vào trong VxLAN (còn được biết đến với tên gọi VxLAN Tunnel Endpoint – VTEP), còn địa chỉ IP đích trong header này sẽ là địa chỉ IP của node mạng sẽ mở gói VxLAN. Với việc sử dụng UDP, các node mạng trung gian không biết, không cần hiểu và không cần diễn dịch các header VxLAN bên trong. Đặc điểm này cho phép VxLAN hoạt động như một lớp trung chuyển bên trên của một hạ tầng mạng IP bên dưới.

VxLAN hỗ trợ các mạng ảo. Khả năng mang giá trị VNI có chiều dài 24 bit bên trong VxLAN header mang lại giá trị rất lớn vì nó cho phép mạng ảo VxLAN có thể truyền giá trị mạng ảo VNI đi từ điểm cuối này đến điểm cuối kia trên suốt hạ tầng mạng. Giá trị VNI tương ứng với giá trị VRF. Với khả năng này, cho phép gói tin đi vào một đầu của mạng ảo được đánh dấu với giá trị VRF khi nó được đóng gói. Khi mở gói VxLAN, gói tin cũng sẽ được gán lại giá trị VRF tương ứng.

Với khả năng mang các giá trị VRF trên toàn mạng, VxLAN cung cấp một khả năng nhận biết các phân đoạn mạng và khả năng hỗ trợ các hạ tầng mạng bảo mật cao. Việc này rất quan trọng vì nó cho phép các doanh nghiệp xây dựng nên các giải pháp phân tách mạng (segmentation) mà không cần phải xử lý các node mạng trung gian.

VxLAN hỗ trợ đánh dấu SGT cho các nhóm người dùng và nhóm các thiết bị. Khi đã có các nhóm người dùng và nhóm các thiết bị, các chính sách về mạng của doanh nghiệp sẽ viết dễ dàng hơn. Ví dụ nhóm người dùng nào hay nhóm thiết bị nào được phép giao tiếp với nhóm khác. Các chính sách này thì không cần sử dụng đến địa chỉ IP hay các dãy địa chỉ gán tới các người dùng hay thiết bị. Với khả năng mang giá trị SGT cho một người dùng hay một thiết bị khắp nơi trong mạng, VxLAN làm cho các chính sách mạng mà viết cho các nhóm trở nên thực tế và khả thi hơn. Các chính sách viết cho các nhóm người dùng, cùng với việc phân tách mạng dùng VRF (các mạng ảo) là hai ưu điểm nổi trội khi triển khai các giải pháp mạng doanh nghiệp.

Tóm tắt lại VxLAN: VxLAN mang đến các chức năng đóng gói rất quan trọng trong một mạng ảo. Các khả năng của VxLAN bao gồm các khả năng chuyên chở các dữ liệu ở lớp 2 và lớp 3 trên toàn mạng, cho phép tính uyển chuyển và linh hoạt của mạng. VxLAN cũng có khả năng mang các giá trị về mạng ảo, giá trị SGT. VxLAN cung cấp chức năng đóng gói cơ bản cho data plane trong kiến trúc mạng ảo. (còn tiếp)