Pilvandmetöötluse ja võrgu virtualiseerimise ajastul on VXLAN-ist (virtuaalne laiendatav LAN) saanud skaleeritavate ja paindlike kattevõrkude loomise nurgakivitehnoloogia. VXLAN-i arhitektuuri keskmes on VTEP (VXLAN-i tunneli lõpp-punkt), mis on kriitiline komponent, mis võimaldab 2. kihi liikluse sujuvat edastamist 3. kihi võrkudes. Kuna võrguliiklus muutub erinevate kapseldamisprotokollide tõttu üha keerukamaks, on tunneli kapseldamise eemaldamise võimalustega võrgupaketi vahendajate (NPB-de) roll VTEP-i toimingute optimeerimisel muutunud asendamatuks. See blogi uurib VTEP-i põhialuseid ja selle seost VXLAN-iga ning seejärel süveneb sellesse, kuidas NPB-de tunneli kapseldamise eemaldamise funktsioon parandab VTEP-i jõudlust ja võrgu nähtavust.
VTEP ja selle seose mõistmine VXLAN-iga
Esmalt selgitame põhimõisteid: VTEP, lühend sõnadest VXLAN Tunnel Endpoint, on võrguüksus, mis vastutab VXLAN-pakettide kapseldamise ja dekapseldamise eest VXLAN-i ülekattevõrgus. See toimib VXLAN-tunnelite algus- ja lõpp-punktina, toimides "lüüsina", mis ühendab virtuaalset ülekattevõrku ja füüsilist alusvõrku. VTEP-sid saab rakendada füüsiliste seadmetena (näiteks VXLAN-võimelised lülitid või ruuterid) või tarkvaraüksustena (näiteks virtuaalsed lülitid, konteinerhostid või puhverserverid virtuaalmasinates).
VTEP ja VXLAN-i vaheline seos on oma olemuselt sümbiootiline – VXLAN tugineb oma põhifunktsioonide realiseerimiseks VTEP-idele, samas kui VTEP-id eksisteerivad ainult VXLAN-i toimingute toetamiseks. VXLAN-i põhiväärtus on luua virtuaalne 2. kihi võrk 3. kihi IP-võrgu peale MAC-in-UDP kapseldamise kaudu, ületades traditsiooniliste VLAN-ide (mis toetavad ainult 4096 VLAN ID-d) skaleeritavuse piirangud 24-bitise VXLAN-võrgu identifikaatoriga (VNI), mis võimaldab kuni 16 miljonit virtuaalset võrku. VTEP-id seda võimaldavad järgmiselt: kui virtuaalmasin (VM) saadab liiklust, kapseldab kohalik VTEP algse 2. kihi Etherneti kaadri, lisades VXLAN-i päise (mis sisaldab VNI-d), UDP-päise (kasutades vaikimisi porti 4789), välise IP-päise (lähte-VTEP IP ja sihtkoha VTEP IP-ga) ja välise Etherneti päise. Seejärel edastatakse kapseldatud pakett 3. kihi alusvõrgu kaudu sihtkoha VTEP-ile, mis dekapseldab paketi, eemaldades kõik välised päised, taastab algse Etherneti kaadri ja edastab selle VNI põhjal siht-VM-ile.
Lisaks tegelevad VTEP-id kriitiliste ülesannetega, nagu MAC-aadresside õppimine (kohalike ja kaughostide MAC-aadresside dünaamiline kaardistamine VTEP IP-dele) ning ringhäälingu, tundmatu unisaate ja multisaate (BUM) liikluse töötlemine – kas multisaategruppide või ainult unisaate režiimis peajaama replikatsiooni kaudu. Sisuliselt on VTEP-id ehitusplokid, mis võimaldavad VXLAN-i võrgu virtualiseerimist ja mitme üürniku isolatsiooni.
Kapseldatud liikluse väljakutse VTEP-idele
Kaasaegsetes andmekeskustes piirdub VTEP-liiklus harva puhta VXLAN-i kapseldamisega. VTEP-e läbiv liiklus kannab lisaks VXLAN-ile sageli mitut kapselduspäise kihti, sealhulgas VLAN, GRE, GTP, MPLS või IPIP. See kapseldamise keerukus tekitab olulisi väljakutseid VTEP-i toimingutele ning järgnevale võrgu jälgimisele, analüüsile ja turvalisuse tagamisele:
○ - Halvenenud nähtavusEnamik võrgu jälgimise ja turbe tööriistu (nt IDS/IPS, vooanalüsaatorid ja paketi nuhkijad) on loodud natiivse 2./3. kihi liikluse töötlemiseks. Kapseldatud päised varjavad algset kasulikku koormust, muutes nende tööriistade jaoks võimatuks liikluse sisu täpselt analüüsida või anomaaliaid tuvastada.
○ - Suurem töötlemiskuluVTEP-id ise peavad mitmekihiliste kapseldatud pakettide töötlemiseks kulutama täiendavaid arvutusressursse, eriti suure liiklusega keskkondades. See võib kaasa tuua suurenenud latentsuse, vähenenud läbilaskevõime ja potentsiaalsed jõudlusprobleemid.
○ - Koostalitlusvõime probleemidErinevad võrgusegmendid või mitme müüjaga keskkonnad võivad kasutada erinevaid kapseldamisprotokolle. Ilma korraliku päise eemaldamiseta ei pruugi liiklus VTEP-ide kaudu õigesti edastada ega töödelda, mis võib põhjustada koostalitlusprobleeme.
Kuidas NPBde tunneli kapseldamise eemaldamine annab VTEP-idele jõudu
Tunneli kapseldamise eemaldamise võimalustega Mylinking™ võrgupaketi vahendajad (NPB-d) lahendavad need probleemid, toimides VTEP-ide jaoks "liikluse eeltöötlejatena". NPB-d saavad enne liikluse edastamist VTEP-idele või jälgimis-/turbetööriistadele algsetest andmepakettidest eemaldada mitmesuguseid kapseldamise päiseid (sh VXLAN, VLAN, GRE, GTP, MPLS ja IPIP). See funktsionaalsus pakub VTEP-i toimingutele kolme peamist eelist:
1. Täiustatud võrgu nähtavus ja turvalisus
Kapselduspäiste eemaldamisega paljastavad NPB-d pakettide algse kasuliku koormuse, võimaldades jälgimis- ja turbetööriistadel "näha" tegelikku liikluse sisu. Näiteks kui VTEP-liiklus edastatakse IDS-ile/IPS-ile, eemaldab NPB kõigepealt VXLAN- ja MPLS-päised, võimaldades IDS-il/IPS-il tuvastada pahatahtlikku tegevust (nt pahavara või volitamata juurdepääsu katsed) algses kaadris. See on eriti oluline mitme üürnikuga keskkondades, kus VTEP-id haldavad liiklust mitmelt üürnikult – NPB-d tagavad, et turbetööriistad saavad kontrollida üürnikupõhist liiklust ilma kapseldamiseta.
Lisaks saavad NPB-d päiseid valikuliselt eemaldada liikluse tüüpide või VNI põhjal, pakkudes detailset ülevaadet konkreetsetest virtuaalsetest võrkudest. See aitab võrguadministraatoritel tõrkeotsingut teha (nt pakettide kadu või latentsus), võimaldades liikluse täpset analüüsi üksikutes VXLAN-segmentides.
2. Optimeeritud VTEP-jõudlus
NPB-d võtavad päiste eemaldamise ülesande VTEP-idelt maha, vähendades VTEP-seadmete töötlemiskoormust. Selle asemel, et VTEP-id kulutaksid protsessori ressursse mitme päiste kihi (nt VLAN + GRE + VXLAN) eemaldamisele, tegelevad selle eeltöötlusetapiga NPB-d, võimaldades VTEP-idel keskenduda oma põhiülesannetele: VXLAN-pakettide kapseldamisele/dekapseldamisele ja tunnelite haldamisele. Selle tulemuseks on madalam latentsus, suurem läbilaskevõime ja VXLAN-i ülekattevõrgu üldise jõudluse paranemine – eriti suure tihedusega virtualiseerimiskeskkondades, kus on tuhandeid virtuaalmasinaid ja suur liikluskoormus.
Näiteks andmekeskuses, kus NPB-d ja kommutaatorid toimivad VTEP-idena, saab NPB (näiteks Mylinking™ Network Packet Brokers) sissetulevast liiklusest enne VTEP-ideni jõudmist VLAN-i ja MPLS-i päised eemaldada. See vähendab VTEP-ide poolt tehtavate päisetöötlustoimingute arvu, võimaldades neil käsitleda rohkem samaaegseid tunneleid ja liiklusvooge.
3. Parem koostalitlusvõime heterogeensetes võrkudes
Mitme tarnija või mitme segmendiga võrkudes võivad infrastruktuuri erinevad osad kasutada erinevaid kapseldamisprotokolle. Näiteks võib kaugandmekeskusest tulev liiklus saabuda kohalikku VTEP-i GRE kapseldusega, samas kui kohalik liiklus kasutab VXLAN-i. NPB saab need erinevad päised (GRE, VXLAN, IPIP jne) eemaldada ja edastada VTEP-ile järjepideva natiivse liiklusvoo, kõrvaldades koostalitlusvõime probleemid. See on eriti väärtuslik hübriidpilvekeskkondades, kus avalike pilveteenuste liiklus (sageli GTP või IPIP kapseldusega) peab integreeruma kohapealsete VXLAN-võrkudega VTEP-ide kaudu.
Lisaks saavad NPB-d edastada eemaldatud päiseid metaandmetena jälgimistööriistadele, tagades, et administraatorid säilitavad algse kapseldamise konteksti (nt VNI või MPLS-i silt), võimaldades samal ajal natiivse kasuliku koormuse analüüsi. See tasakaal päiste eemaldamise ja konteksti säilitamise vahel on tõhusa võrguhalduse võti.
Kuidas rakendada tunnelpaketi eemaldamise funktsiooni VTEP-is?
Tunneli kapseldamise eemaldamist VTEP-is saab rakendada riistvarataseme konfiguratsiooni, tarkvaraliselt määratletud poliitikate ja SDN-kontrolleritega sünergia abil, kusjuures põhiloogika keskendub tunneli päiste tuvastamisele → eemaldamistoimingute teostamisele → algsete kasulike koormuste edastamisele. Konkreetsed rakendusmeetodid varieeruvad VTEP tüübist (füüsiline/tarkvaraline) olenevalt veidi ja peamised lähenemisviisid on järgmised:
Nüüd räägime rakendamisest füüsilistel VTEP-idel (ntMylinking™ VXLAN-võimelised võrgupaketi vahendajad) siin.
Füüsilised VTEP-id (näiteks Mylinking™ VXLAN-võimelised võrgupaketi vahendajad) tuginevad riistvarakiipidele ja spetsiaalsetele konfiguratsioonikäsklustele, et saavutada tõhus kapseldamise eemaldamine, mis sobib suure liiklusega andmekeskuste stsenaariumide jaoks:
Liidesepõhine kapseldamise sobitamine: looge VTEP-ide füüsilistele juurdepääsuportidele alamliidesed ja konfigureerige kapseldamise tüübid nii, et need sobiksid ja eemaldaksid konkreetsed tunneli päised. Näiteks Mylinking™ VXLAN-ühilduvates võrgupaketi vahendajates konfigureerige 2. kihi alamliidesed nii, et need tuvastaksid 802.1Q VLAN-silte või sildistamata kaadreid ja eemaldaksid VLAN-päised enne liikluse edastamist VXLAN-tunnelisse. GRE/MPLS-kapseldatud liikluse puhul lubage alamliidesel vastav protokolli parsimine, et eemaldada välised päised.
Poliitikapõhine päise eemaldamine: kasutage ACL-i (pääsuloend) või liikluspoliitikat vastavusreeglite määratlemiseks (nt UDP-pordi 4789 sobitamine VXLAN-i puhul, protokollitüübi 47 sobitamine GRE puhul) ja sidumise eemaldamise toimingute tegemiseks. Kui liiklus vastab reeglitele, eemaldab VTEP riistvarakiip automaatselt määratud tunneli päised (VXLAN/UDP/IP välised päised, MPLS-sildid jne) ja edastab algse 2. kihi kasuliku koormuse.
Hajutatud lüüsi sünergia: Spine-Leaf VXLAN arhitektuurides saavad füüsilised VTEP-id (Leaf sõlmed) teha koostööd 3. kihi lüüsidega, et viia lõpule mitmekihiline eemaldamine. Näiteks pärast seda, kui Spine'i sõlmed edastavad MPLS-kapseldatud VXLAN-liikluse Leaf VTEP-idele, eemaldavad VTEP-id kõigepealt MPLS-sildid ja seejärel teostavad VXLAN-i dekapseldamise.
Kas vajate konkreetse tarnija VTEP-seadme konfiguratsiooninäidet (näiteksMylinking™ VXLAN-võimelised võrgupaketi vahendajad) tunneli kapseldamise eemaldamise rakendamiseks?
Praktilise rakenduse stsenaarium
Kujutage ette suurt ettevõtte andmekeskust, mis juurutab VXLAN-ülekattevõrgu, mille VTEP-idena toimivad H3C-lülitid, toetades mitut rentniku virtuaalmasinat. Andmekeskus kasutab MPLS-i liikluse edastamiseks põhivõrgu lülitite vahel ja VXLAN-i virtuaalmasinate omavaheliseks suhtluseks. Lisaks saadavad kauged harukontorid liiklust andmekeskusesse GRE-tunnelite kaudu. Turvalisuse ja nähtavuse tagamiseks juurutab ettevõte põhivõrgu ja VTEP-ide vahele NPB-d tunneli kapseldamise eemaldamisega.
Kui liiklus saabub andmekeskusesse:
(1) NPB eemaldab esmalt põhivõrgust tulevast liiklusest MPLS-päised ja harukontori liiklusest GRE-päised.
(2) VTEP-ide vahelise VXLAN-liikluse puhul saab NPB liikluse jälgimistööriistadele edastamisel eemaldada välised VXLAN-päised, mis võimaldab tööriistadel kontrollida algset VM-liiklust.
(3) NPB edastab eeltöödeldud (päisevaba) liikluse VTEP-idele, mis peavad tegelema ainult natiivse kasuliku koormuse VXLAN-i kapseldamise/dekapseldamisega. See seadistus vähendab VTEP-i töötlemiskoormust, võimaldab põhjalikku liikluse analüüsi ja tagab sujuva koostalitlusvõime MPLS-i, GRE-i ja VXLAN-i segmentide vahel.
VTEP-id on VXLAN-võrkude selgroog, võimaldades skaleeritavat virtualiseerimist ja mitme üürnikuga suhtlust. Kapseldatud liikluse kasvav keerukus tänapäevastes võrkudes tekitab aga olulisi väljakutseid VTEP-i jõudlusele ja võrgu nähtavusele. Tunneli kapseldamise ja eemaldamise võimalustega võrgupaketi vahendajad lahendavad need väljakutsed liikluse eeltöötlemise, eemaldades mitmekesised päised (VXLAN, VLAN, GRE, GTP, MPLS, IPIP) enne, kui see jõuab VTEP-idesse või jälgimistööriistadesse. See mitte ainult ei optimeeri VTEP-i jõudlust töötlemiskulude vähendamise kaudu, vaid parandab ka võrgu nähtavust, tugevdab turvalisust ja parandab koostalitlusvõimet heterogeensetes keskkondades.
Kuna organisatsioonid jätkavad pilvepõhiste arhitektuuride ja hübriidpilve juurutuste kasutuselevõttu, muutub NPB-de ja VTEP-ide vaheline sünergia üha olulisemaks. NPB-de tunneli kapseldamise eemaldamise funktsiooni abil saavad võrguadministraatorid vallandada VXLAN-võrkude täieliku potentsiaali, tagades nende tõhususe, turvalisuse ja kohandatavuse muutuvate ärivajadustega.
Postituse aeg: 09.01.2026
