Para hablar de las pasarelas VXLAN, primero debemos hablar de VXLAN en sí. Recordemos que las VLAN tradicionales (Redes de Área Local Virtuales) utilizan identificadores VLAN de 12 bits para dividir las redes, admitiendo hasta 4096 redes lógicas. Esto funciona bien para redes pequeñas, pero en los centros de datos modernos, con sus miles de máquinas virtuales, contenedores y entornos multiusuario, las VLAN resultan insuficientes. Así nació VXLAN, definida por el Grupo de Trabajo de Ingeniería de Internet (IETF) en el RFC 7348. Su propósito es extender el dominio de difusión de la Capa 2 (Ethernet) sobre redes de la Capa 3 (IP) mediante túneles UDP.
En pocas palabras, VXLAN encapsula tramas Ethernet dentro de paquetes UDP y añade un identificador de red VXLAN (VNI) de 24 bits, lo que teóricamente permite admitir 16 millones de redes virtuales. Esto equivale a otorgar a cada red virtual una "tarjeta de identidad", permitiéndoles moverse libremente por la red física sin interferir entre sí. El componente principal de VXLAN es el punto final del túnel VXLAN (VTEP), responsable de encapsular y desencapsular los paquetes. El VTEP puede ser software (como Open vSwitch) o hardware (como el chip ASIC del conmutador).
¿Por qué VXLAN es tan popular? Porque se adapta perfectamente a las necesidades de la computación en la nube y las redes definidas por software (SDN). En nubes públicas como AWS y Azure, VXLAN permite una extensión fluida de las redes virtuales de los clientes. En centros de datos privados, admite arquitecturas de red superpuestas como VMware NSX o Cisco ACI. Imagine un centro de datos con miles de servidores, cada uno ejecutando docenas de máquinas virtuales (VM). VXLAN permite que estas máquinas virtuales se perciban como parte de la misma red de capa 2, lo que garantiza una transmisión fluida de las difusiones ARP y las solicitudes DHCP.
Sin embargo, VXLAN no es la solución definitiva. Operar en una red de capa 3 requiere la conversión de capa 2 a capa 3, y ahí es donde entra en juego la puerta de enlace. La puerta de enlace VXLAN conecta la red virtual VXLAN con redes externas (como VLAN tradicionales o redes de enrutamiento IP), asegurando que los datos fluyan del mundo virtual al mundo real. El mecanismo de reenvío es fundamental para la puerta de enlace, ya que determina cómo se procesan, enrutan y distribuyen los paquetes.
El proceso de reenvío de VXLAN es como un delicado ballet, donde cada paso, desde el origen hasta el destino, está estrechamente vinculado. Analicémoslo paso a paso.
En primer lugar, el host de origen (como una máquina virtual) envía un paquete. Este es un marco Ethernet estándar que contiene la dirección MAC de origen, la dirección MAC de destino, la etiqueta VLAN (si la hay) y la carga útil. Al recibir este marco, el VTEP de origen comprueba la dirección MAC de destino. Si la dirección MAC de destino se encuentra en su tabla MAC (obtenida mediante aprendizaje o inundación), sabe a qué VTEP remoto debe reenviar el paquete.
El proceso de encapsulación es crucial: el VTEP agrega una cabecera VXLAN (que incluye el VNI, indicadores, etc.), luego una cabecera UDP externa (con un puerto de origen basado en un hash de la trama interna y un puerto de destino fijo de 4789), una cabecera IP (con la dirección IP de origen del VTEP local y la dirección IP de destino del VTEP remoto) y, finalmente, una cabecera Ethernet externa. El paquete completo ahora aparece como un paquete UDP/IP, se comporta como tráfico normal y puede enrutarse en la red L3.
En la red física, el paquete es reenviado por un enrutador o conmutador hasta que llega al VTEP de destino. El VTEP de destino elimina la cabecera externa, verifica la cabecera VXLAN para asegurar que el VNI coincida y, a continuación, entrega la trama Ethernet interna al host de destino. Si el paquete es tráfico unicast, broadcast o multicast (BUM) desconocido, el VTEP lo replica a todos los VTEP relevantes mediante inundación, basándose en grupos multicast o replicación de cabecera unicast (HER).
El principio fundamental del reenvío reside en la separación del plano de control y el plano de datos. El plano de control utiliza Ethernet VPN (EVPN) o el mecanismo Flood and Learn para aprender las asignaciones MAC e IP. EVPN se basa en el protocolo BGP y permite que los VTEP intercambien información de enrutamiento, como MAC-VRF (Enrutamiento y Reenvío Virtual) e IP-VRF. El plano de datos se encarga del reenvío propiamente dicho, utilizando túneles VXLAN para una transmisión eficiente.
Sin embargo, en implementaciones reales, la eficiencia del reenvío impacta directamente en el rendimiento. El envío masivo de tráfico (inundation) tradicional puede provocar fácilmente tormentas de difusión, especialmente en redes grandes. Esto genera la necesidad de optimizar las pasarelas: estas no solo conectan redes internas y externas, sino que también actúan como agentes proxy ARP, gestionan las fugas de ruta y garantizan las rutas de reenvío más cortas.
Puerta de enlace VXLAN centralizada
Una puerta de enlace VXLAN centralizada, también llamada puerta de enlace centralizada o puerta de enlace L3, se implementa normalmente en la capa perimetral o central de un centro de datos. Actúa como un concentrador central por el que debe pasar todo el tráfico entre VNI o subredes.
En principio, una puerta de enlace centralizada actúa como puerta de enlace predeterminada, proporcionando servicios de enrutamiento de capa 3 para todas las redes VXLAN. Consideremos dos VNI: VNI 10000 (subred 10.1.1.0/24) y VNI 20000 (subred 10.2.1.0/24). Si la máquina virtual A en VNI 10000 desea acceder a la máquina virtual B en VNI 20000, el paquete primero llega al VTEP local. El VTEP local detecta que la dirección IP de destino no se encuentra en la subred local y lo reenvía a la puerta de enlace centralizada. La puerta de enlace desencapsula el paquete, toma una decisión de enrutamiento y luego lo vuelve a encapsular en un túnel hacia la VNI de destino.
Las ventajas son obvias:
○ Gestión sencillaTodas las configuraciones de enrutamiento se centralizan en uno o dos dispositivos, lo que permite a los operadores mantener solo unas pocas pasarelas para cubrir toda la red. Este enfoque es adecuado para centros de datos pequeños y medianos, o para entornos que implementan VXLAN por primera vez.
○Eficiente en el uso de recursosLas pasarelas suelen ser dispositivos de alto rendimiento (como el Cisco Nexus 9000 o el Arista 7050) capaces de gestionar grandes volúmenes de tráfico. El plano de control está centralizado, lo que facilita la integración con controladores SDN como NSX Manager.
○Fuerte control de seguridadEl tráfico debe pasar por la puerta de enlace, lo que facilita la implementación de ACL (Listas de Control de Acceso), firewalls y NAT. Imagine un escenario multiusuario donde una puerta de enlace centralizada puede aislar fácilmente el tráfico de cada usuario.
Pero no se pueden ignorar las deficiencias:
○ Punto único de falloSi la puerta de enlace falla, la comunicación de capa 3 en toda la red queda paralizada. Si bien el protocolo VRRP (Virtual Router Redundancy Protocol) puede utilizarse para la redundancia, aún conlleva riesgos.
○cuello de botella del rendimientoTodo el tráfico este-oeste (comunicación entre servidores) debe evitar la puerta de enlace, lo que resulta en una ruta subóptima. Por ejemplo, en un clúster de 1000 nodos, si el ancho de banda de la puerta de enlace es de 100 Gbps, es probable que se produzca congestión durante las horas pico.
○Escalabilidad deficienteA medida que la red crece, la carga de la puerta de enlace aumenta exponencialmente. En un ejemplo real, he visto un centro de datos financiero que utiliza una puerta de enlace centralizada. Inicialmente, funcionaba sin problemas, pero después de que el número de máquinas virtuales se duplicara, la latencia se disparó de microsegundos a milisegundos.
Escenario de aplicación: Adecuado para entornos que requieren una gestión sencilla, como nubes privadas empresariales o redes de prueba. La arquitectura ACI de Cisco suele utilizar un modelo centralizado, combinado con una topología leaf-spine, para garantizar el funcionamiento eficiente de las pasarelas centrales.
Puerta de enlace VXLAN distribuida
Una puerta de enlace VXLAN distribuida, también conocida como puerta de enlace distribuida o puerta de enlace anycast, descarga la funcionalidad de puerta de enlace a cada switch leaf o VTEP del hipervisor. Cada VTEP actúa como una puerta de enlace local, gestionando el reenvío de capa 3 para la subred local.
El principio es más flexible: cada VTEP se configura con la misma IP virtual (VIP) que la puerta de enlace predeterminada, utilizando el mecanismo Anycast. Los paquetes entre subredes enviados por las máquinas virtuales se enrutan directamente en el VTEP local, sin tener que pasar por un punto central. EVPN resulta especialmente útil en este caso: mediante BGP EVPN, el VTEP aprende las rutas de los hosts remotos y utiliza la vinculación MAC/IP para evitar la inundación ARP.
Por ejemplo, la máquina virtual A (10.1.1.10) desea acceder a la máquina virtual B (10.2.1.10). La puerta de enlace predeterminada de la máquina virtual A es la IP virtual (VIP) del VTEP local (10.1.1.1). El VTEP local enruta el tráfico a la subred de destino, encapsula el paquete VXLAN y lo envía directamente al VTEP de la máquina virtual B. Este proceso minimiza la ruta y la latencia.
Ventajas destacadas:
○ Alta escalabilidadDistribuir la funcionalidad de puerta de enlace a cada nodo aumenta el tamaño de la red, lo cual resulta beneficioso para redes de mayor tamaño. Grandes proveedores de servicios en la nube como Google Cloud utilizan un mecanismo similar para dar soporte a millones de máquinas virtuales.
○Rendimiento superiorEl tráfico este-oeste se procesa localmente para evitar cuellos de botella. Los datos de las pruebas muestran que el rendimiento puede aumentar entre un 30 % y un 50 % en modo distribuido.
○Recuperación rápida de fallosUn único fallo de VTEP afecta únicamente al host local, dejando intactos los demás nodos. Gracias a la rápida convergencia de EVPN, el tiempo de recuperación se mide en segundos.
○Buen uso de los recursosUtilice el chip ASIC del conmutador Leaf existente para la aceleración por hardware, con velocidades de reenvío que alcanzan el nivel de Tbps.
¿Cuáles son las desventajas?
○ Configuración complejaCada VTEP requiere la configuración de enrutamiento, EVPN y otras funciones, lo que hace que la implementación inicial sea laboriosa. El equipo de operaciones debe estar familiarizado con BGP y SDN.
○Altos requisitos de hardwarePuerta de enlace distribuida: No todos los conmutadores admiten puertas de enlace distribuidas; se requieren chips Broadcom Trident o Tomahawk. Las implementaciones de software (como OVS en KVM) no ofrecen el mismo rendimiento que el hardware.
○Desafíos de consistenciaDistribuido significa que la sincronización de estado depende de EVPN. Si la sesión BGP fluctúa, puede provocar un agujero negro de enrutamiento.
Escenario de aplicación: Ideal para centros de datos a hiperescala o nubes públicas. El enrutador distribuido de VMware NSX-T es un ejemplo típico. Combinado con Kubernetes, ofrece soporte integral para redes de contenedores.
Puerta de enlace VxLAN centralizada frente a puerta de enlace VxLAN distribuida
Ahora llegamos al punto culminante: ¿cuál es mejor? La respuesta es "depende", pero tenemos que analizar en profundidad los datos y los estudios de caso para convencerte.
Desde el punto de vista del rendimiento, los sistemas distribuidos ofrecen un rendimiento claramente superior. En una prueba de rendimiento típica de un centro de datos (basada en equipos de prueba Spirent), la latencia promedio de una puerta de enlace centralizada fue de 150 μs, mientras que la de un sistema distribuido fue de tan solo 50 μs. En términos de rendimiento, los sistemas distribuidos pueden alcanzar fácilmente la velocidad de reenvío de línea gracias al enrutamiento de rutas múltiples de igual coste Spine-Leaf (ECMP).
La escalabilidad es otro campo de batalla. Las redes centralizadas son adecuadas para redes con entre 100 y 500 nodos; más allá de esta escala, las redes distribuidas toman la delantera. Tomemos como ejemplo Alibaba Cloud. Su VPC (Nube Privada Virtual) utiliza pasarelas VXLAN distribuidas para dar soporte a millones de usuarios en todo el mundo, con una latencia en una sola región inferior a 1 ms. Un enfoque centralizado habría colapsado hace mucho tiempo.
¿Y el coste? Una solución centralizada ofrece una menor inversión inicial, ya que solo requiere unos pocos gateways de gama alta. Una solución distribuida exige que todos los nodos leaf admitan la descarga de VXLAN, lo que conlleva mayores costes de actualización de hardware. Sin embargo, a largo plazo, una solución distribuida ofrece menores costes de operación y mantenimiento, ya que herramientas de automatización como Ansible permiten la configuración por lotes.
Seguridad y fiabilidad: Los sistemas centralizados facilitan la protección centralizada, pero presentan un alto riesgo de puntos únicos de ataque. Los sistemas distribuidos son más resistentes, pero requieren un plano de control robusto para prevenir ataques DDoS.
Un caso práctico real: Una empresa de comercio electrónico utilizaba VXLAN centralizado para desarrollar su sitio web. Durante los periodos de mayor tráfico, el uso de la CPU del gateway se disparaba hasta el 90 %, lo que provocaba quejas de los usuarios sobre la latencia. El cambio a un modelo distribuido solucionó el problema, permitiendo a la empresa duplicar fácilmente su escala. Por otro lado, un pequeño banco insistió en un modelo centralizado porque priorizaba las auditorías de cumplimiento y consideraba que la gestión centralizada era más sencilla.
En general, si busca un rendimiento y una escalabilidad de red excepcionales, un enfoque distribuido es la mejor opción. Si su presupuesto es limitado y su equipo directivo carece de experiencia, un enfoque centralizado resulta más práctico. En el futuro, con el auge del 5G y la computación perimetral, las redes distribuidas se popularizarán, pero las redes centralizadas seguirán siendo valiosas en escenarios específicos, como la interconexión de sucursales.
Agentes de paquetes de red Mylinking™Soporte para eliminación de encabezados VxLAN, VLAN, GRE y MPLS.
Admite la eliminación de la cabecera VxLAN, VLAN, GRE y MPLS en el paquete de datos original y en la salida reenviada.
Fecha de publicación: 9 de octubre de 2025
