VXLAN là gì? Khái niệm, nguyên lý hoạt động, cấu hình Cisco VXLAN và mô hình LAB thực tế

1. VXLAN là gì và vì sao công nghệ này quan trọng?

VXLAN (Virtual Extensible LAN) là công nghệ overlay cho phép mở rộng mạng Layer 2 trên hạ tầng Layer 3 bằng cách đóng gói frame Ethernet vào gói UDP/IP. Trong tài liệu Cisco, VXLAN được mô tả như một cơ chế giúp xây dựng mạng ảo có khả năng mở rộng cao hơn VLAN truyền thống, đặc biệt phù hợp với Data Center hiện đại.

Điểm quan trọng nhất của VXLAN là tách biệt hai lớp hạ tầng:

• Underlay: mạng IP vật lý, chịu trách nhiệm chuyển gói giữa các thiết bị VTEP

• Overlay: mạng logic VXLAN, nơi các tenant, VLAN mở rộng và segment ảo hoạt động

Cisco cũng nhấn mạnh rằng trong fabric VXLAN, underlay có vai trò quảng bá khả năng reachability tới các VTEP, còn overlay đảm nhiệm việc vận chuyển lưu lượng tenant bên trên hạ tầng IP đó.

---

2. Hạn chế của VLAN truyền thống trong Data Center

Trong môi trường mạng nhỏ, VLAN vẫn hoạt động hiệu quả. Tuy nhiên khi mở rộng lên Data Center hoặc mô hình cloud nhiều tenant, VLAN bộc lộ các giới hạn lớn.

2.1 Giới hạn số lượng segment

VLAN chỉ có không gian ID 12 bit, nên tối đa khoảng 4096 VLAN. Cisco đưa VXLAN ra để giải quyết bài toán mở rộng này bằng cách dùng VNI 24 bit, cho phép tạo tới khoảng 16 triệu segment logic.

2.2 Khó kéo giãn Layer 2 qua hạ tầng Layer 3

VLAN truyền thống gắn chặt với broadcast domain Layer 2. Khi cần kéo giãn máy chủ hoặc workload qua nhiều rack, nhiều pod hoặc nhiều site, thiết kế VLAN cũ thường trở nên kém linh hoạt.

2.3 Không phù hợp với mô hình spine-leaf hiện đại

Kiến trúc Data Center hiện nay thường ưu tiên routed fabric ở underlay để tận dụng ECMP và hội tụ nhanh. VXLAN đáp ứng đúng hướng thiết kế đó vì cho phép dùng Layer 3 ở dưới nhưng vẫn tạo Layer 2 logic ở trên. Cisco xem đây là nền tảng phù hợp cho fabric hiện đại, đặc biệt khi đi cùng EVPN.

---

3. Các thành phần quan trọng trong VXLAN

Để hiểu và cấu hình đúng VXLAN, cần nắm rõ các thành phần cơ bản sau.

3.1 VTEP là gì?

VTEP (VXLAN Tunnel Endpoint) là điểm đầu cuối tunnel VXLAN. Thiết bị này có nhiệm vụ:

• encapsulate frame Ethernet gốc thành gói VXLAN khi gửi

• decapsulate gói VXLAN trở lại frame Ethernet khi nhận

Trên Cisco Nexus, chức năng VTEP thường được thể hiện qua interface NVE. Cisco dùng giao diện logic này để ánh xạ VNI, chỉ định source-interface và quản lý peering VXLAN.

3.2 VNI là gì?

VNI (VXLAN Network Identifier) là mã định danh 24 bit cho segment VXLAN. Nó tương tự vai trò của VLAN ID, nhưng có không gian mở rộng lớn hơn rất nhiều.

Ví dụ:

• VLAN 10 có thể được ánh xạ vào VNI 10010

• VLAN 20 có thể được ánh xạ vào VNI 10020

Cisco hỗ trợ mô hình VLAN-to-VNI mapping trên Nexus để gắn VLAN local vào segment VXLAN tương ứng.

3.3 NVE interface là gì?

NVE (Network Virtualization Edge) là giao diện logic đại diện cho VTEP trên thiết bị Cisco Nexus. Interface này không phải cổng vật lý, mà là nơi cấu hình:

• địa chỉ nguồn VTEP qua source-interface

• các member VNI

• multicast group trong mô hình flood-and-learn

Cisco tài liệu hóa rất rõ vai trò của nve1 trong các ví dụ cấu hình VXLAN trên Nexus 9000.

---

4. VXLAN hoạt động như thế nào?

Về bản chất, VXLAN tạo một tunnel logic giữa các VTEP. Khi một host ở đầu này gửi frame đến host ở đầu kia, quá trình sẽ diễn ra như sau.

4.1 Nhận frame gốc từ access VLAN

Switch Leaf nhận frame Ethernet từ host tại cổng access, ví dụ VLAN 10.

4.2 Ánh xạ VLAN sang VNI

Switch kiểm tra VLAN này đang gắn với VNI nào. Nếu VLAN 10 được map sang VNI 10010, thiết bị sẽ biết frame đó thuộc segment VXLAN tương ứng.

4.3 Encapsulation thành gói VXLAN

VTEP thêm các header bên ngoài:

• Outer Ethernet Header

• Outer IP Header

• UDP Header

• VXLAN Header

• Original Ethernet Frame

4.4 Vận chuyển qua underlay IP

Underlay chỉ cần biết cách gửi gói IP từ VTEP nguồn sang VTEP đích. Nó không cần xử lý trực tiếp MAC của tenant bên trong.

4.5 Decapsulation tại đầu bên kia

VTEP đích đọc VNI, xác định bridge domain tương ứng, tháo header VXLAN rồi chuyển frame Ethernet ra cổng access phía host nhận.

Cisco mô tả VXLAN như một overlay chạy trên hạ tầng IP underlay, còn tài liệu thiết kế VXLAN EVPN của Cisco cũng nhấn mạnh rõ mối quan hệ underlay/overlay này.

---

5. Kiến trúc underlay và overlay trong Cisco VXLAN

5.1 Underlay là nền tảng chuyển tiếp

Underlay thường là mạng IP thuần routed, được thiết kế để:

• quảng bá reachability tới loopback VTEP

• hội tụ nhanh khi có sự cố

• tận dụng ECMP trong mô hình spine-leaf

Cisco nêu rõ mục tiêu chính của underlay là quảng bá khả năng reachability tới VTEP và địa chỉ peering overlay.

5.2 Overlay là lớp mạng logic cho tenant

Overlay chứa các VNI, bridge domain, tenant segment và dịch vụ ảo chạy phía trên underlay. Đây là nơi VXLAN mang lại tính linh hoạt lớn hơn VLAN truyền thống.

5.3 Vì sao phải phân tách hai lớp này?

Khi tách underlay và overlay:

• underlay tối ưu cho routing và độ ổn định

• overlay tối ưu cho workload mobility, segmentation và multi-tenant

Đây là một trong những lý do VXLAN trở thành nền tảng phổ biến trong Data Center hiện đại.

---

6. Các mô hình control plane của VXLAN

6.1 Flood-and-learn dùng multicast

Đây là mô hình dễ hiểu, thường dùng trong lab cơ bản. Mỗi VNI được gắn với một multicast group để xử lý BUM traffic. Cisco có tài liệu cấu hình VXLAN multicast-based flood-and-learn trên Nexus 9000 và đây cũng là mô hình phù hợp để minh họa nguyên lý hoạt động.

6.2 VXLAN BGP EVPN

Trong môi trường production hiện đại, Cisco định hướng mạnh sang VXLAN BGP EVPN. EVPN cung cấp control plane tốt hơn, giảm flood không cần thiết và phù hợp hơn cho fabric quy mô lớn. Cisco có riêng tài liệu thiết kế và triển khai VXLAN BGP EVPN Data Center Fabrics theo từng bước.

Trong bài này, để người đọc dễ theo dõi và dễ triển khai lab, phần cấu hình sẽ dùng VXLAN multicast flood-and-learn.

---

7. LAB mô phỏng VXLAN giữa 2 điểm trên Cisco Nexus

Phần dưới đây mô phỏng một bài lab cơ bản giữa hai switch Cisco Nexus đóng vai trò VTEP. Mục tiêu là cho hai host ở hai đầu khác nhau nhưng cùng VLAN có thể giao tiếp qua overlay VXLAN.

7.1 Sơ đồ LAB

                    Underlay IP Network
                 192.168.12.0/30 (L3 P2P)

        Host-A                                Host-B
   192.168.10.11/24                      192.168.10.22/24
         |                                      |
      Eth1/10                                Eth1/10
         |                                      |
     +---------+                          +---------+
     | Leaf-1  |==========================| Leaf-2  |
     | Nexus   |        Eth1/1            | Nexus   |
     | VTEP-1  |                          | VTEP-2  |
     +---------+                          +---------+
      Lo0: 10.10.10.1/32                   Lo0: 10.10.10.2/32

      VLAN 10  <->  VNI 10010  <-> Multicast Group 239.1.1.10

7.2 Mục tiêu bài lab

Sau khi cấu hình hoàn chỉnh:

• Leaf-1 và Leaf-2 sẽ trở thành hai VTEP

• VLAN 10 được ánh xạ vào VNI 10010

• Host-A và Host-B cùng subnet sẽ ping được nhau

• bảng MAC sẽ học được MAC local và MAC remote qua nve1

7.3 Thông số sử dụng

Thành phần	Giá trị
Leaf-1 Eth1/1	192.168.12.1/30
Leaf-2 Eth1/1	192.168.12.2/30
Leaf-1 Loopback0	10.10.10.1/32
Leaf-2 Loopback0	10.10.10.2/32
VLAN	10
VNI	10010
Multicast group	239.1.1.10
Host-A	192.168.10.11/24
Host-B	192.168.10.22/24

Cách làm này bám theo logic cấu hình VXLAN trên Cisco Nexus 9000, bao gồm feature enable, VLAN-to-VNI mapping, interface NVE và các lệnh xác minh.

---

8. Cấu hình Leaf-1 và ý nghĩa từng lệnh

8.1 Bật các feature cần thiết

configure terminal
 feature ospf
 feature pim
 feature nv overlay
 feature vn-segment-vlan-based

Giải thích ý nghĩa:

• feature ospf: bật OSPF để underlay có thể trao đổi route IP giữa hai switch

• feature pim: bật PIM vì mô hình lab này dùng multicast cho flood-and-learn

• feature nv overlay: bật nhóm chức năng network virtualization overlay trên Nexus

• feature vn-segment-vlan-based: cho phép ánh xạ VLAN sang VNI theo kiểu VLAN-based segment

Cisco yêu cầu bật các feature VXLAN liên quan trước khi cấu hình NVE và VNI trên Nexus.

8.2 Cấu hình cổng underlay Layer 3

interface Ethernet1/1
  no switchport
  ip address 192.168.12.1/30
  ip router ospf 1 area 0
  ip pim sparse-mode
  no shutdown

Giải thích ý nghĩa:

• interface Ethernet1/1: vào cổng uplink nối sang Leaf-2

• no switchport: chuyển cổng từ mode Layer 2 sang Layer 3

• ip address 192.168.12.1/30: gán IP underlay cho đường point-to-point

• ip router ospf 1 area 0: đưa interface này vào tiến trình OSPF số 1, area 0

• ip pim sparse-mode: bật multicast routing sparse-mode trên interface underlay

• no shutdown: mở cổng để interface hoạt động

Lệnh này tạo đường IP vật lý để switch chuyển gói VXLAN giữa hai VTEP. Nếu underlay không có reachability, overlay sẽ không thể hoạt động.

8.3 Cấu hình loopback làm địa chỉ VTEP nguồn

interface loopback0
  ip address 10.10.10.1/32
  ip router ospf 1 area 0
  ip pim sparse-mode

Giải thích ý nghĩa:

• interface loopback0: tạo loopback logic để làm địa chỉ VTEP

• ip address 10.10.10.1/32: gán IP loopback, thường dùng làm source ổn định cho NVE

• ip router ospf 1 area 0: quảng bá loopback vào underlay để Leaf-2 học được route tới VTEP này

• ip pim sparse-mode: cho phép multicast hoạt động trên loopback theo yêu cầu thiết kế lab multicast

Trong thực tế Cisco cũng thường dùng loopback làm địa chỉ VTEP vì ổn định hơn cổng vật lý.

8.4 Tạo VLAN và ánh xạ sang VNI

vlan 10
  vn-segment 10010

Giải thích ý nghĩa:

• vlan 10: tạo VLAN local cho host cắm vào switch

• vn-segment 10010: gắn VLAN 10 với VNI 10010 trong overlay VXLAN

Đây là bước rất quan trọng vì nó nối thế giới Layer 2 local với segment VXLAN logic. Cisco mô tả rõ cơ chế VLAN-to-VNI mapping trong tài liệu cấu hình VXLAN trên Nexus 9000.

8.5 Cấu hình cổng access cho host

interface Ethernet1/10
  switchport
  switchport mode access
  switchport access vlan 10
  no shutdown

Giải thích ý nghĩa:

• switchport: đặt interface ở mode Layer 2

• switchport mode access: dùng cổng như access port cho một VLAN duy nhất

• switchport access vlan 10: gán host vào VLAN 10

• no shutdown: mở cổng

Cổng này là nơi Host-A kết nối vào switch. Khi host gửi frame, switch sẽ nhận frame trong VLAN 10 rồi ánh xạ sang VNI 10010.

8.6 Cấu hình interface NVE

interface nve1
  no shutdown
  source-interface loopback0
  member vni 10010
    mcast-group 239.1.1.10

Giải thích ý nghĩa:

• interface nve1: tạo giao diện logic VXLAN Tunnel Endpoint

• no shutdown: bật NVE interface

• source-interface loopback0: dùng địa chỉ của loopback0 làm IP nguồn VTEP

• member vni 10010: khai báo VNI 10010 nằm trên NVE này

• mcast-group 239.1.1.10: gắn VNI 10010 với multicast group 239.1.1.10 để xử lý BUM traffic theo mô hình flood-and-learn

Cisco dùng nve1 để đại diện cho VTEP và member vni để gắn VNI vào overlay. Trong multicast-based VXLAN, việc gắn multicast group cho từng VNI là phần cấu hình cốt lõi.

---

9. Cấu hình Leaf-2 và ý nghĩa từng lệnh

Cấu hình Leaf-2 gần như tương tự Leaf-1, chỉ đổi địa chỉ IP.

9.1 Bật các feature cần thiết

configure terminal
 feature ospf
 feature pim
 feature nv overlay
 feature vn-segment-vlan-based

Ý nghĩa các lệnh giống Leaf-1.

9.2 Cấu hình underlay Layer 3

interface Ethernet1/1
  no switchport
  ip address 192.168.12.2/30
  ip router ospf 1 area 0
  ip pim sparse-mode
  no shutdown

Ý nghĩa:

• tạo kết nối Layer 3 tới Leaf-1

• tham gia OSPF

• hỗ trợ multicast routing cho mô hình VXLAN multicast

9.3 Cấu hình loopback VTEP

interface loopback0
  ip address 10.10.10.2/32
  ip router ospf 1 area 0
  ip pim sparse-mode

Ý nghĩa:

• đây là địa chỉ VTEP của Leaf-2

• OSPF sẽ quảng bá loopback này để Leaf-1 có route tới nó

9.4 Tạo VLAN và ánh xạ VNI

vlan 10
  vn-segment 10010

Ý nghĩa:

• bảo đảm VLAN local trên Leaf-2 thuộc cùng VXLAN segment với Leaf-1

9.5 Cấu hình cổng access cho Host-B

interface Ethernet1/10
  switchport
  switchport mode access
  switchport access vlan 10
  no shutdown

Ý nghĩa:

• Host-B được đưa vào VLAN 10 local trên Leaf-2

9.6 Cấu hình NVE

interface nve1
  no shutdown
  source-interface loopback0
  member vni 10010
    mcast-group 239.1.1.10

Ý nghĩa:

• Leaf-2 tham gia cùng VNI 10010

• dùng cùng multicast group với Leaf-1 để BUM traffic được xử lý đồng nhất

---

10. Cấu hình IP cho hai host trong bài test

10.1 Host-A

IP address: 192.168.10.11
Subnet mask: 255.255.255.0

10.2 Host-B

IP address: 192.168.10.22
Subnet mask: 255.255.255.0

Trong bài test này không cần default gateway vì mục tiêu là kiểm tra khả năng kéo giãn Layer 2 cùng subnet qua VXLAN.

---

11. Các lệnh show kiểm tra và cách đọc kết quả

Cisco có tài liệu riêng cho các lệnh xác minh VXLAN như show nve interface, show nve peers và show nve vni. Đây là nhóm lệnh rất nên chèn vào bài vì vừa thực tế vừa tăng độ tin cậy kỹ thuật.

11.1 Kiểm tra NVE interface

show nve interface

Kết quả mô phỏng:

Interface: nve1
State: Up
Encapsulation: VXLAN
Source-Interface: loopback0
Primary IP: 10.10.10.1

Ý nghĩa:

• State: Up: giao diện NVE đang hoạt động

• Encapsulation: VXLAN: overlay dùng cơ chế VXLAN

• Source-Interface: loopback0: xác nhận VTEP source là loopback0

• Primary IP: 10.10.10.1: địa chỉ VTEP của Leaf-1

Nếu State chưa lên, cần kiểm tra lại feature, route underlay hoặc cấu hình NVE.

11.2 Kiểm tra VNI

show nve vni

Kết quả mô phỏng:

Interface VNI      Multicast-group  State Mode Type [BD/VRF]
--------- -------- ---------------- ----- ---- -------------
nve1      10010    239.1.1.10       Up    CP   L2 [10]

Ý nghĩa:

• VNI 10010: segment VXLAN đang được khai báo

• Multicast-group 239.1.1.10: group dùng cho flood-and-learn

• State Up: VNI đang hoạt động

• Type L2 [10]: đây là VNI Layer 2 gắn với bridge domain/VLAN 10

Cisco tài liệu hóa việc dùng show nve vni để kiểm tra VNI, mode và trạng thái hoạt động.

11.3 Kiểm tra peer VTEP

show nve peers

Kết quả mô phỏng:

Interface Peer-IP       State LearnType Uptime
--------- ------------- ----- --------- --------
nve1      10.10.10.2    Up    CP        00:18:42

Ý nghĩa:

• Peer-IP 10.10.10.2: VTEP phía Leaf-2 đã được nhận diện

• State Up: peering hoạt động bình thường

• Uptime: thời gian peer này đã duy trì trạng thái hoạt động

Nếu chưa thấy peer, thường phải kiểm tra route tới loopback bên kia hoặc multicast/underlay.

11.4 Kiểm tra bảng MAC

show mac address-table vlan 10

Kết quả mô phỏng:

vlan   mac address     type      ports
----   -----------     --------  ----------------
10     0050.56aa.1111  dynamic   Eth1/10
10     0050.56bb.2222  dynamic   nve1

Ý nghĩa:

• MAC học trên Eth1/10 là MAC local của Host-A

• MAC học trên nve1 là MAC remote của Host-B đi qua VXLAN

Đây là một trong những bằng chứng rõ nhất cho thấy overlay đang hoạt động đúng.

11.5 Kiểm tra OSPF underlay

show ip ospf neighbors

Ý nghĩa:

• xác nhận hai leaf đã hình thành OSPF neighbor

• nếu OSPF chưa lên thì loopback VTEP sẽ không được quảng bá, dẫn đến NVE peering không ổn

11.6 Kiểm tra route tới VTEP bên kia

show ip route

Ý nghĩa:

• xác nhận Leaf-1 có đường tới 10.10.10.2/32 và Leaf-2 có đường tới 10.10.10.1/32

• route này là nền tảng để underlay chuyển gói VXLAN giữa hai đầu

---

12. Ping test giữa hai host qua VXLAN

Sau khi underlay và overlay đã ổn, thực hiện kiểm tra kết nối.

12.1 Ping từ Host-A sang Host-B

ping 192.168.10.22

Kết quả mô phỏng:

PING 192.168.10.22 (192.168.10.22): 56 data bytes
64 bytes from 192.168.10.22: icmp_seq=0 ttl=64 time=1.238 ms
64 bytes from 192.168.10.22: icmp_seq=1 ttl=64 time=1.104 ms
64 bytes from 192.168.10.22: icmp_seq=2 ttl=64 time=1.089 ms
64 bytes from 192.168.10.22: icmp_seq=3 ttl=64 time=1.142 ms

--- 192.168.10.22 ping statistics ---
4 packets transmitted, 4 packets received, 0.0% packet loss

Ý nghĩa của bài test:

• hai host ở hai switch khác nhau vẫn giao tiếp được như cùng một LAN

• broadcast domain đã được kéo giãn thành công qua hạ tầng Layer 3

• VXLAN encapsulation và decapsulation đang hoạt động bình thường

---

13. Giải thích luồng gói tin trong bài lab

13.1 Giai đoạn đầu tiên: host gửi frame local

Host-A gửi ARP hoặc ICMP tới Host-B. Leaf-1 nhận frame này tại cổng access Eth1/10 trong VLAN 10.

13.2 Giai đoạn thứ hai: switch ánh xạ VLAN sang VNI

Leaf-1 nhìn thấy VLAN 10 đã map với VNI 10010, nên hiểu rằng frame này cần đi vào overlay VXLAN tương ứng.

13.3 Giai đoạn thứ ba: encapsulation tại VTEP

Leaf-1 đóng gói frame gốc vào VXLAN, thêm header IP/UDP bên ngoài, dùng địa chỉ VTEP nguồn là 10.10.10.1 và đích là 10.10.10.2.

13.4 Giai đoạn thứ tư: underlay chuyển tiếp

Mạng underlay dựa vào bảng định tuyến IP để chuyển gói từ Leaf-1 sang Leaf-2.

13.5 Giai đoạn cuối: decapsulation và chuyển tiếp tới host đích

Leaf-2 nhận gói VXLAN, nhìn thấy VNI 10010, gỡ encapsulation rồi gửi frame gốc ra cổng access tới Host-B.

Cách giải thích này rất quan trọng vì nó giúp người đọc hiểu VXLAN không phải “mở rộng VLAN vật lý”, mà là tạo một lớp mạng logic chạy trên hạ tầng routed IP. Điều này phù hợp với cách Cisco mô tả fabric VXLAN hiện đại.

---

14. Ý nghĩa thực tế của bài lab trong môi trường production

Bài lab hai điểm này là phiên bản tối giản, nhưng phản ánh đúng những nguyên lý cốt lõi sẽ xuất hiện trong Data Center thực tế:

• VTEP dùng loopback để đại diện tunnel endpoint

• underlay chỉ cần bảo đảm IP reachability

• tenant segment được tách bằng VNI

• MAC remote có thể được học qua overlay

Tuy nhiên Cisco cũng cho thấy rằng trong production hiện đại, thiết kế thường chuyển sang VXLAN BGP EVPN thay cho multicast flood-and-learn vì EVPN có control plane tốt hơn, scale tốt hơn và giảm flooding.

---

15. Kết luận

VXLAN là công nghệ giúp mở rộng Layer 2 trên nền Layer 3, rất phù hợp cho Data Center hiện đại nơi underlay routed fabric là xu hướng chủ đạo. Trên Cisco Nexus, các thành phần quan trọng nhất cần nắm là:

• loopback VTEP

• VLAN-to-VNI mapping

• interface NVE

• route underlay giữa các VTEP

• lệnh show xác minh như show nve interface, show nve peers, show nve vni

Bài lab hai điểm ở trên cho thấy rất rõ giá trị thực tế của VXLAN: hai host ở hai switch khác nhau vẫn có thể hoạt động như trong cùng một broadcast domain, trong khi hạ tầng bên dưới vẫn là mạng IP Layer 3. Toàn bộ logic này phù hợp với hướng dẫn cấu hình và xác minh VXLAN của Cisco Nexus 9000.

---

Tìm hiểu thêm

• L2 VXLAN và L3 VXLAN là gì? Hiểu đúng sự khác biệt cốt lõi và cách ứng dụng