Para analizar las puertas de enlace VXLAN, primero debemos analizar la propia VXLAN. Recordemos que las VLAN tradicionales (redes de área local virtuales) utilizan identificadores de VLAN de 12 bits para dividir las redes, admitiendo hasta 4096 redes lógicas. Esto funciona bien en redes pequeñas, pero en los centros de datos modernos, con sus miles de máquinas virtuales, contenedores y entornos multiusuario, las VLAN son insuficientes. Así nació la VXLAN, definida por el Grupo de Trabajo de Ingeniería de Internet (IETF) en la RFC 7348. Su propósito es extender el dominio de difusión de capa 2 (Ethernet) sobre redes de capa 3 (IP) mediante túneles UDP.
En pocas palabras, VXLAN encapsula tramas Ethernet dentro de paquetes UDP y añade un Identificador de Red VXLAN (VNI) de 24 bits, que teóricamente admite 16 millones de redes virtuales. Esto equivale a otorgar a cada red virtual una "tarjeta de identidad", lo que les permite moverse libremente en la red física sin interferir entre sí. El componente principal de VXLAN es el Punto Final del Túnel VXLAN (VTEP), responsable de encapsular y desencapsular paquetes. El VTEP puede ser software (como Open vSwitch) o hardware (como el chip ASIC del switch).
¿Por qué es tan popular VXLAN? Porque se adapta perfectamente a las necesidades de la computación en la nube y las SDN (redes definidas por software). En nubes públicas como AWS y Azure, VXLAN permite la extensión fluida de las redes virtuales de los inquilinos. En centros de datos privados, admite arquitecturas de red superpuestas como VMware NSX o Cisco ACI. Imagine un centro de datos con miles de servidores, cada uno ejecutando docenas de máquinas virtuales (VM). VXLAN permite que estas VM se perciban como parte de la misma red de Capa 2, lo que garantiza la transmisión fluida de difusiones ARP y solicitudes DHCP.
Sin embargo, VXLAN no es la panacea. Operar en una red L3 requiere una conversión de L2 a L3, y ahí es donde entra en juego la puerta de enlace. La puerta de enlace VXLAN conecta la red virtual VXLAN con redes externas (como VLAN tradicionales o redes de enrutamiento IP), garantizando así el flujo de datos del mundo virtual al mundo real. El mecanismo de reenvío es el núcleo de la puerta de enlace, ya que determina cómo se procesan, enrutan y distribuyen los paquetes.
El proceso de reenvío VXLAN es como un delicado ballet, con cada paso, desde el origen hasta el destino, estrechamente vinculado. Analicémoslo paso a paso.
Primero, se envía un paquete desde el host de origen (como una máquina virtual). Se trata de una trama Ethernet estándar que contiene la dirección MAC de origen, la dirección MAC de destino, la etiqueta VLAN (si la hay) y la carga útil. Al recibir esta trama, el VTEP de origen comprueba la dirección MAC de destino. Si la dirección MAC de destino está en su tabla MAC (obtenida mediante aprendizaje o inundación), sabe a qué VTEP remoto reenviar el paquete.
El proceso de encapsulación es crucial: el VTEP añade un encabezado VXLAN (que incluye la VNI, indicadores, etc.), luego un encabezado UDP externo (con un puerto de origen basado en un hash de la trama interna y un puerto de destino fijo de 4789), un encabezado IP (con la dirección IP de origen del VTEP local y la dirección IP de destino del VTEP remoto) y, finalmente, un encabezado Ethernet externo. El paquete completo aparece ahora como un paquete UDP/IP, se asemeja al tráfico normal y puede enrutarse en la red L3.
En la red física, un enrutador o conmutador reenvía el paquete hasta que llega al VTEP de destino. El VTEP de destino elimina el encabezado externo, verifica el encabezado VXLAN para garantizar la coincidencia de la VNI y, a continuación, envía la trama Ethernet interna al host de destino. Si el paquete es tráfico unicast, broadcast o multicast (BUM) desconocido, el VTEP lo replica a todos los VTEP relevantes mediante inundación, utilizando grupos multicast o replicación de encabezado unicast (HER).
El principio fundamental del reenvío reside en la separación del plano de control y el plano de datos. El plano de control utiliza Ethernet VPN (EVPN) o el mecanismo de inundación y aprendizaje para aprender las asignaciones MAC e IP. EVPN se basa en el protocolo BGP y permite que los VTEP intercambien información de enrutamiento, como MAC-VRF (Enrutamiento y Reenvío Virtual) e IP-VRF. El plano de datos es responsable del reenvío, utilizando túneles VXLAN para una transmisión eficiente.
Sin embargo, en implementaciones reales, la eficiencia del reenvío impacta directamente el rendimiento. Las inundaciones tradicionales pueden causar fácilmente tormentas de difusión, especialmente en redes grandes. Esto lleva a la necesidad de optimizar las puertas de enlace: estas no solo conectan redes internas y externas, sino que también actúan como agentes proxy ARP, gestionan fugas de rutas y garantizan las rutas de reenvío más cortas.
Puerta de enlace VXLAN centralizada
Una puerta de enlace VXLAN centralizada, también llamada puerta de enlace centralizada o puerta de enlace L3, se suele implementar en el borde o en la capa central de un centro de datos. Actúa como un concentrador central, a través del cual debe circular todo el tráfico entre VNI o subredes.
En principio, una puerta de enlace centralizada actúa como la puerta de enlace predeterminada, proporcionando servicios de enrutamiento de Capa 3 para todas las redes VXLAN. Considere dos VNI: VNI 10000 (subred 10.1.1.0/24) y VNI 20000 (subred 10.2.1.0/24). Si la VM A en la VNI 10000 desea acceder a la VM B en la VNI 20000, el paquete llega primero al VTEP local. Este detecta que la dirección IP de destino no está en la subred local y lo reenvía a la puerta de enlace centralizada. La puerta de enlace desencapsula el paquete, toma una decisión de enrutamiento y lo vuelve a encapsular en un túnel hacia la VNI de destino.
Las ventajas son obvias:
○ Gestión sencillaTodas las configuraciones de enrutamiento se centralizan en uno o dos dispositivos, lo que permite a los operadores mantener solo unas pocas puertas de enlace para cubrir toda la red. Este enfoque es ideal para centros de datos pequeños y medianos o entornos que implementan VXLAN por primera vez.
○Eficiente en el uso de recursosLas puertas de enlace suelen ser hardware de alto rendimiento (como Cisco Nexus 9000 o Arista 7050) capaces de gestionar grandes volúmenes de tráfico. El plano de control está centralizado, lo que facilita la integración con controladores SDN como NSX Manager.
○Fuerte control de seguridadEl tráfico debe pasar por la puerta de enlace, lo que facilita la implementación de ACL (Listas de Control de Acceso), firewalls y NAT. Imagine un escenario multiusuario donde una puerta de enlace centralizada puede aislar fácilmente el tráfico de los usuarios.
Pero no se pueden ignorar las deficiencias:
○ Punto único de fallaSi falla la puerta de enlace, se paraliza la comunicación L3 en toda la red. Aunque se puede usar VRRP (Protocolo de Redundancia de Router Virtual) para redundancia, aún conlleva riesgos.
○Cuello de botella en el rendimientoTodo el tráfico este-oeste (comunicación entre servidores) debe evitar la puerta de enlace, lo que resulta en una ruta subóptima. Por ejemplo, en un clúster de 1000 nodos, si el ancho de banda de la puerta de enlace es de 100 Gbps, es probable que se produzca congestión durante las horas punta.
○Poca escalabilidadA medida que la escala de la red crece, la carga de la puerta de enlace aumenta exponencialmente. En un ejemplo real, he visto un centro de datos financiero que utiliza una puerta de enlace centralizada. Al principio, funcionaba sin problemas, pero después de que se duplicara el número de máquinas virtuales, la latencia se disparó de microsegundos a milisegundos.
Escenario de aplicación: Adecuado para entornos que requieren una gestión sencilla, como nubes privadas empresariales o redes de prueba. La arquitectura ACI de Cisco suele utilizar un modelo centralizado, combinado con una topología leaf-spine, para garantizar el funcionamiento eficiente de las puertas de enlace principales.
Puerta de enlace VXLAN distribuida
Una puerta de enlace VXLAN distribuida, también conocida como puerta de enlace distribuida o puerta de enlace anycast, transfiere la funcionalidad de la puerta de enlace a cada conmutador de hoja o VTEP de hipervisor. Cada VTEP actúa como una puerta de enlace local, gestionando el reenvío L3 para la subred local.
El principio es más flexible: cada VTEP se configura con la misma IP virtual (VIP) que la puerta de enlace predeterminada, mediante el mecanismo Anycast. Los paquetes entre subredes enviados por las máquinas virtuales se enrutan directamente en el VTEP local, sin tener que pasar por un punto central. EVPN es especialmente útil en este caso: mediante BGP EVPN, el VTEP aprende las rutas de los hosts remotos y utiliza la vinculación MAC/IP para evitar la saturación de ARP.
Por ejemplo, la VM A (10.1.1.10) desea acceder a la VM B (10.2.1.10). La puerta de enlace predeterminada de la VM A es la VIP del VTEP local (10.1.1.1). El VTEP local enruta a la subred de destino, encapsula el paquete VXLAN y lo envía directamente al VTEP de la VM B. Este proceso minimiza la ruta y la latencia.
Ventajas destacadas:
○ Alta escalabilidadDistribuir la funcionalidad de la puerta de enlace a cada nodo aumenta el tamaño de la red, lo cual resulta beneficioso para redes más grandes. Grandes proveedores de servicios en la nube, como Google Cloud, utilizan un mecanismo similar para dar soporte a millones de máquinas virtuales.
○Rendimiento superiorEl tráfico este-oeste se procesa localmente para evitar cuellos de botella. Los datos de prueba muestran que el rendimiento puede aumentar entre un 30 % y un 50 % en modo distribuido.
○Recuperación rápida de fallosUna sola falla de VTEP afecta solo al host local, sin afectar a los demás nodos. Gracias a la rápida convergencia de EVPN, el tiempo de recuperación es de segundos.
○Buen uso de los recursosUtilice el chip ASIC del conmutador Leaf existente para la aceleración de hardware, con velocidades de reenvío que alcanzan el nivel de Tbps.
¿Cuales son las desventajas?
○ Configuración complejaCada VTEP requiere la configuración de enrutamiento, EVPN y otras funciones, lo que hace que la implementación inicial sea lenta. El equipo de operaciones debe estar familiarizado con BGP y SDN.
○Altos requisitos de hardwarePuerta de enlace distribuida: No todos los conmutadores admiten puertas de enlace distribuidas; se requieren chips Broadcom Trident o Tomahawk. Las implementaciones de software (como OVS en KVM) no ofrecen el mismo rendimiento que el hardware.
○Desafíos de consistenciaDistribuido significa que la sincronización de estados depende de EVPN. Si la sesión BGP fluctúa, puede causar un agujero negro de enrutamiento.
Escenario de aplicación: Perfecto para centros de datos de hiperescala o nubes públicas. El enrutador distribuido de VMware NSX-T es un ejemplo típico. Combinado con Kubernetes, ofrece una compatibilidad fluida con las redes de contenedores.
Puerta de enlace VxLAN centralizada vs. Puerta de enlace VxLAN distribuida
Ahora, al grano: ¿cuál es mejor? La respuesta es "depende", pero tenemos que analizar a fondo los datos y los casos prácticos para convencerte.
Desde una perspectiva de rendimiento, los sistemas distribuidos superan claramente el rendimiento. En una prueba comparativa típica de un centro de datos (basada en equipos de prueba Spirent), la latencia promedio de una puerta de enlace centralizada fue de 150 μs, mientras que la de un sistema distribuido fue de tan solo 50 μs. En términos de rendimiento, los sistemas distribuidos pueden lograr fácilmente el reenvío a velocidad de línea gracias a que utilizan el enrutamiento multiruta de igual costo Spine-Leaf (ECMP).
La escalabilidad es otro campo de batalla. Las redes centralizadas son adecuadas para redes con entre 100 y 500 nodos; por encima de esta escala, las redes distribuidas se imponen. Tomemos como ejemplo Alibaba Cloud. Su VPC (Nube Privada Virtual) utiliza puertas de enlace VXLAN distribuidas para dar soporte a millones de usuarios en todo el mundo, con una latencia en una sola región inferior a 1 ms. Un enfoque centralizado habría fracasado hace mucho tiempo.
¿Y qué hay del coste? Una solución centralizada ofrece una inversión inicial menor, ya que solo requiere unas pocas puertas de enlace de alta gama. Una solución distribuida requiere que todos los nodos leaf admitan la descarga de VXLAN, lo que conlleva mayores costes de actualización de hardware. Sin embargo, a largo plazo, una solución distribuida ofrece menores costes de operación y mantenimiento, ya que herramientas de automatización como Ansible permiten la configuración por lotes.
Seguridad y fiabilidad: Los sistemas centralizados facilitan la protección centralizada, pero presentan un alto riesgo de puntos de ataque únicos. Los sistemas distribuidos son más resilientes, pero requieren un plano de control robusto para prevenir ataques DDoS.
Caso práctico: Una empresa de comercio electrónico utilizó una VXLAN centralizada para crear su sitio web. Durante las horas punta, el uso de la CPU de la puerta de enlace se disparó al 90 %, lo que generó quejas de los usuarios sobre la latencia. Cambiar a un modelo distribuido resolvió el problema, lo que permitió a la empresa duplicar fácilmente su escala. Por otro lado, un pequeño banco insistió en un modelo centralizado porque priorizaba las auditorías de cumplimiento y le resultaba más fácil la gestión centralizada.
En general, si busca un rendimiento y una escalabilidad de red extremos, un enfoque distribuido es la mejor opción. Si su presupuesto es limitado y su equipo directivo carece de experiencia, un enfoque centralizado es más práctico. En el futuro, con el auge del 5G y la computación en el borde, las redes distribuidas se volverán más populares, pero las redes centralizadas seguirán siendo valiosas en escenarios específicos, como la interconexión de sucursales.
Brokers de paquetes de red Mylinking™Admite eliminación de encabezados VxLAN, VLAN, GRE y MPLS
Se admite el encabezado VxLAN, VLAN, GRE y MPLS eliminado del paquete de datos original y la salida reenviada.
Hora de publicación: 09-oct-2025
