VXLAN

VXLAN — это способ «протянуть один и тот же L2-сегмент через L3-фабрику». Кадр Ethernet заворачивается в UDP/IP и летит по маршрутизируемой сети. Так создают изолированные сетевые «оверлеи» между стойками, ЦОДами и облаками.

Как устроено (коротко):

• VTEP (VXLAN Tunnel Endpoint) — узел на краю оверлея: инкапсулирует/деинкапсулирует кадры.
• VNI — 24-битный идентификатор сегмента (до ~16 млн сетей; больше, чем 4094 VLAN).
• Транспорт — UDP/4789 (по умолчанию), что дружит с ECMP и спайн-лиф фабриками.
• Обмен MAC/ARP: либо «flood-and-learn» (мультикаст/репликация), либо EVPN (BGP-контрол-плейн с ARP-suppression и чёткой доставкой).

Зачем применяют:

• Мульти-тенантность и масштаб (VNI вместо VLAN-лимита).
• L2-соседство между узлами в разных стойках/ЦОДах (миграция ВМ/контейнеров без смены IP).
• Поверх L3-ядра: просто расширять, балансировать трафик, использовать ECMP.

На что обратить внимание:

• MTU: инкапсуляция добавляет ~50 байт (IPv4) или ~70 байт (IPv6). Заложите джамбо-фреймы на фабрике либо уменьшайте MTU в оверлее.
• Контрол-плейн: EVPN предпочтительнее — меньше широковещалки, проще отладка.
• Безопасность: VNI — это изоляция, а не межсетевой экран. Нужны ACL/политики между сегментами.
• Трассировка и мониторинг сложнее: полезны flow-метки, sFlow/NetFlow, EVPN-таблицы.

Мини-пример:
Два leaf-коммутатора с VTEP-IP 10.0.0.1/10.0.0.2. Локальный VLAN 10 мапится в VNI 10010 на обоих концах. Хосты в VLAN10, хоть и в разных стойках, видят друг друга как в одной L2-сети. EVPN через BGP разносит MAC/IP и маршруты — без лишних бродкастов.

VXLAN — это масштабируемый L2 поверх L3. Он даёт гибкость и изоляцию, но требует правильного MTU и лучше раскрывается с EVPN-контрол-плейном.