Бұлтты есептеулер және желілік виртуалдандыру дәуірінде VXLAN (Виртуалды кеңейтілетін LAN) масштабталатын, икемді қабаттастыру желілерін құрудың негізгі технологиясына айналды. VXLAN архитектурасының негізінде VTEP (VXLAN Tunnel Endpoint) жатыр, ол 2-деңгейлі трафикті 3-деңгейлі желілер арқылы үздіксіз таратуға мүмкіндік беретін маңызды компонент. Желілік трафик әртүрлі инкапсуляция хаттамаларымен күрделене түскен сайын, туннельді инкапсуляциялауды жою мүмкіндіктері бар желілік пакет брокерлерінің (NPB) рөлі VTEP операцияларын оңтайландыруда маңызды рөл атқарды. Бұл блог VTEP негіздерін және оның VXLAN-мен байланысын зерттейді, содан кейін NPB-лердің туннельді инкапсуляциялауды жою функциясы VTEP өнімділігін және желінің көрінуін қалай жақсартатынын тереңірек қарастырады.
VTEP және оның VXLAN-мен байланысын түсіну
Алдымен, негізгі ұғымдарды түсіндірейік: VTEP, VXLAN Tunnel Endpoint дегеннің қысқартылған нұсқасы, VXLAN қабаттасу желісінде VXLAN пакеттерін инкапсуляциялауға және декапсуляциялауға жауапты желілік нысан. Ол VXLAN туннельдерінің бастапқы және соңғы нүктесі ретінде қызмет етеді, виртуалды қабаттасу желісі мен физикалық астыңғы желіні байланыстыратын «шлюз» ретінде әрекет етеді. VTEP-тер физикалық құрылғылар (мысалы, VXLAN-қабілетті коммутаторлар немесе маршрутизаторлар) немесе бағдарламалық жасақтама нысандары (мысалы, виртуалды коммутаторлар, контейнерлік хосттар немесе виртуалды машиналардағы проксилер) ретінде жүзеге асырылуы мүмкін.
The relationship between VTEP and VXLAN is inherently symbiotic—VXLAN relies on VTEPs to realize its core functionality, while VTEPs exist exclusively to support VXLAN operations. VXLAN's core value is to create a virtual layer 2 network on top of a layer 3 IP network through MAC-in-UDP encapsulation, overcoming the scalability limitations of traditional VLANs (which only support 4096 VLAN IDs) with a 24-bit VXLAN Network Identifier (VNI) that enables up to 16 million virtual networks. Here's how VTEPs enable this: When a virtual machine (VM) sends traffic, the local VTEP encapsulates the original layer 2 Ethernet frame by adding a VXLAN header (containing the VNI), a UDP header (using port 4789 by default), an outer IP header (with the source VTEP IP and destination VTEP IP), and an outer Ethernet header. Инкапсуляцияланған пакет 3-деңгейдің астыңғы желісі арқылы тағайындалған VTEP-ке жіберіледі, ол барлық сыртқы тақырыптарды алып тастау арқылы пакетті декапсуляциялайды, бастапқы Ethernet кадрын қалпына келтіреді және оны VNI негізінде мақсатты VM-ге жібереді.
Сонымен қатар, VTEP-тер MAC мекенжайын үйрену (жергілікті және қашықтағы хосттардың MAC мекенжайларын VTEP IP-леріне динамикалық түрде картаға түсіру) және Broadcast, Unknown Unicast және Multicast (BUM) трафигін өңдеу сияқты маңызды тапсырмаларды орындайды — мультикаст топтары арқылы немесе тек unicast режимінде бас репликациясы арқылы. Негізінде, VTEP-тер VXLAN желісін виртуалдандыруды және көп жалға алушыны оқшаулауды мүмкін ететін құрылыс блоктары болып табылады.
VTEP үшін капсулаланған трафиктің қиындығы
Қазіргі заманғы деректер орталығы орталарында VTEP трафигі сирек жағдайда таза VXLAN инкапсуляциясымен шектеледі. VTEP арқылы өтетін трафик көбінесе VXLAN-дан басқа VLAN, GRE, GTP, MPLS немесе IPIP сияқты инкапсуляция тақырыптарының бірнеше қабаттарын тасымалдайды. Бұл инкапсуляцияның күрделілігі VTEP операциялары және кейінгі желілік мониторинг, талдау және қауіпсіздікті қамтамасыз ету үшін айтарлықтай қиындықтар туғызады:
○ - Көрінудің төмендеуіЖелілік мониторинг және қауіпсіздік құралдарының көпшілігі (мысалы, IDS/IPS, ағын анализаторлары және пакеттік талдаушылар) 2/3 деңгейдегі жергілікті трафикті өңдеуге арналған. Капсулаланған тақырыптар бастапқы пайдалы жүктемені жасырады, бұл құралдардың трафик мазмұнын дәл талдауын немесе ауытқуларды анықтауын мүмкін емес етеді.
○ - Өңдеу шығындарының артуыVTEP-тердің өздері, әсіресе жоғары трафикті ортада, көп қабатты капсулаланған пакеттерді өңдеу үшін қосымша есептеу ресурстарын жұмсауы керек. Бұл кідірістің артуына, өткізу қабілетінің төмендеуіне және өнімділіктегі ықтимал кедергілерге әкелуі мүмкін.
○ - Өзара әрекеттесу мәселелеріӘртүрлі желі сегменттері немесе көп сатушы орталары әртүрлі инкапсуляция хаттамаларын пайдалануы мүмкін. Тақырыпты тиісті түрде тазартпаса, трафик VTEP арқылы өткен кезде дұрыс бағытталмауы немесе өңделмеуі мүмкін, бұл өзара әрекеттесу мәселелеріне әкеледі.
NPB туннельдерін капсулалау VTEP-терді қалай күшейтеді
Туннельді капсуляциялау мүмкіндігі бар Mylinking™ желілік пакет брокерлері (NPB) VTEP үшін «трафикті алдын ала өңдеуші» ретінде әрекет ету арқылы осы қиындықтарды шешеді. NPB трафикті VTEP-терге немесе бақылау/қауіпсіздік құралдарына жібермес бұрын бастапқы деректер пакеттерінен әртүрлі инкапсуляция тақырыптарын (VXLAN, VLAN, GRE, GTP, MPLS және IPIP қоса алғанда) алып тастай алады. Бұл функция VTEP операциялары үшін үш негізгі артықшылықты қамтамасыз етеді:
1. Желінің көрінуін және қауіпсіздігін жақсарту
Инкапсуляция тақырыптарын алып тастау арқылы NPB пакеттердің бастапқы пайдалы жүктемесін ашады, бұл бақылау және қауіпсіздік құралдарына нақты трафик мазмұнын «көруге» мүмкіндік береді. Мысалы, VTEP трафигі IDS/IPS-ке жіберілгенде, NPB алдымен VXLAN және MPLS тақырыптарын алып тастайды, бұл IDS/IPS-ке бастапқы кадрдағы зиянды әрекетті (мысалы, зиянды бағдарлама немесе рұқсатсыз кіру әрекеттері) анықтауға мүмкіндік береді. Бұл әсіресе VTEP бірнеше жалға алушыдан келетін трафикті өңдейтін көп жалға алушылы орталарда өте маңызды — NPB қауіпсіздік құралдарының жалға алушыға тән трафикті инкапсуляцияға кедергі келтірмей тексере алатынына кепілдік береді.
Сонымен қатар, NPB трафик түрлеріне немесе VNI негізінде тақырыптарды таңдамалы түрде алып тастай алады, бұл белгілі бір виртуалды желілерге егжей-тегжейлі көрінуді қамтамасыз етеді. Бұл желі әкімшілеріне жеке VXLAN сегменттеріндегі трафикті дәл талдауды қосу арқылы мәселелерді (мысалы, пакеттің жоғалуы немесе кідіріс) шешуге көмектеседі.
2. VTEP өнімділігін оңтайландыру
NPB-лер VTEP құрылғыларынан тақырыпты алып тастау тапсырмасын босатады, бұл VTEP құрылғыларындағы өңдеу шығындарын азайтады. VTEP-тер CPU ресурстарын тақырыптардың бірнеше қабаттарын (мысалы, VLAN + GRE + VXLAN) алып тастауға жұмсаудың орнына, NPB-лер бұл алдын ала өңдеу қадамын орындайды, бұл VTEP-терге өздерінің негізгі міндеттеріне: VXLAN пакеттерін инкапсуляциялау/декапсуляциялауға және туннельді басқаруға назар аударуға мүмкіндік береді. Бұл кідірістің төмендеуіне, өткізу қабілетінің жоғарылауына және VXLAN қабаттасу желісінің жалпы өнімділігінің жақсаруына әкеледі, әсіресе мыңдаған виртуалды машиналар мен үлкен трафик жүктемесі бар жоғары тығыздықтағы виртуалдандыру орталарында.
Мысалы, NPB және коммутаторлары VTEP ретінде әрекет ететін деректер орталығында NPB (мысалы, Mylinking™ Network Packet Brokers) VLAN және MPLS тақырыптарын кіріс трафигінен VTEP-терге жеткенге дейін алып тастай алады. Бұл VTEP-тердің орындауы қажет тақырыптарды өңдеу операцияларының санын азайтады, бұл оларға бір мезгілде болатын туннельдер мен трафик ағындарын өңдеуге мүмкіндік береді.
3. Әртүрлі желілердегі өзара әрекеттесуді жақсарту
Көп жеткізушілі немесе көп сегментті желілерде инфрақұрылымның әртүрлі бөліктері әртүрлі инкапсуляция хаттамаларын пайдалануы мүмкін. Мысалы, қашықтағы деректер орталығынан келетін трафик GRE инкапсуляциясымен жергілікті VTEP-ке келуі мүмкін, ал жергілікті трафик VXLAN пайдаланады. NPB бұл әртүрлі тақырыптарды (GRE, VXLAN, IPIP және т.б.) алып тастап, VTEP-ке тұрақты, жергілікті трафик ағынын жібере алады, бұл өзара әрекеттесу мәселелерін жояды. Бұл әсіресе гибридті бұлт орталарында құнды, мұнда қоғамдық бұлт қызметтерінен келетін трафик (көбінесе GTP немесе IPIP инкапсуляциясын пайдалана отырып) VTEP арқылы жергілікті VXLAN желілерімен интеграциялануы қажет.
Сонымен қатар, NPB-лер жойылған тақырыптарды метадеректер ретінде мониторинг құралдарына жібере алады, бұл әкімшілердің бастапқы инкапсуляция (мысалы, VNI немесе MPLS белгісі) туралы контекстті сақтауын қамтамасыз етеді, сонымен бірге жергілікті пайдалы жүктемені талдауға мүмкіндік береді. Тақырыпты жою мен контекстті сақтау арасындағы бұл тепе-теңдік тиімді желіні басқарудың кілті болып табылады.
VTEP жүйесінде туннель пакетін бөлу функциясын қалай іске асыруға болады?
VTEP-те туннельді капсулалауды жою аппараттық деңгейдегі конфигурация, бағдарламалық жасақтамамен анықталған саясат және SDN контроллерлерімен синергия арқылы жүзеге асырылуы мүмкін, негізгі логика туннель тақырыптарын анықтауға → жою әрекеттерін орындауға → бастапқы пайдалы жүктемелерді қайта бағыттауға бағытталған. Нақты іске асыру әдістері VTEP түрлеріне (физикалық/бағдарламалық жасақтама) байланысты аздап өзгереді және негізгі тәсілдер келесідей:
Енді біз физикалық VTEP-терде енгізу туралы айтып отырмыз (мысалы,Mylinking™ VXLAN қолдайтын желілік пакет брокерлері) Мұнда.
Физикалық VTEP-тер (мысалы, Mylinking™ VXLAN-қабілетті желілік пакет брокерлері) жоғары трафикті деректер орталығы сценарийлеріне сәйкес келетін тиімді инкапсуляцияны жоюға қол жеткізу үшін аппараттық чиптер мен арнайы конфигурация командаларына сүйенеді:
Интерфейске негізделген инкапсуляцияны сәйкестендіру: VTEP физикалық кіру порттарында ішкі интерфейстер жасаңыз және инкапсуляция түрлерін белгілі бір туннель тақырыптарын сәйкестендіру және алып тастау үшін конфигурациялаңыз. Мысалы, Mylinking™ VXLAN қолдайтын желілік пакет брокерлерінде 2-қабаттың ішкі интерфейстерін 802.1Q VLAN тегтерін немесе белгіленбеген кадрларды тану үшін конфигурациялаңыз және трафикті VXLAN туннеліне бағыттамас бұрын VLAN тақырыптарын алып тастаңыз. GRE/MPLS-инкапсуляцияланған трафик үшін сыртқы тақырыптарды алып тастау үшін ішкі интерфейсте тиісті хаттаманы талдауды қосыңыз.
Саясатқа негізделген тақырыпты жою: Сәйкестік ережелерін анықтау (мысалы, VXLAN үшін UDP портын 4789, GRE үшін хаттама түрін 47 сәйкестендіру) және жою әрекеттерін байланыстыру үшін ACL (Кіруді басқару тізімі) немесе трафик саясатын пайдаланыңыз. Трафик ережелерге сәйкес келгенде, VTEP аппараттық чипі көрсетілген туннель тақырыптарын (VXLAN/UDP/IP сыртқы тақырыптары, MPLS белгілері және т.б.) автоматты түрде жояды және бастапқы 2-қабат пайдалы жүктемесін жібереді.
Таратылған шлюз синергиясы: Spine-Leaf VXLAN архитектураларында физикалық VTEP (жапырақ түйіндері) көп қабатты тазартуды аяқтау үшін 3-қабат шлюздерімен бірлесіп жұмыс істей алады. Мысалы, омыртқа түйіндері MPLS-инкапсуляцияланған VXLAN трафигін Leaf VTEP-терге жібергеннен кейін, VTEP алдымен MPLS белгілерін тазартады, содан кейін VXLAN декапсуляциясын орындайды.
Сізге белгілі бір жеткізушінің VTEP құрылғысы үшін конфигурация мысалы қажет пе (мысалы,Mylinking™ VXLAN қолдайтын желілік пакет брокерлері) туннельді капсуляциялауды жоюды енгізу үшін?
Практикалық қолдану сценарийі
VTEP ретінде H3C коммутаторлары бар VXLAN қабаттастыру желісін орналастыратын, бірнеше жалға алушы виртуалды машиналарды қолдайтын ірі кәсіпорын деректер орталығын қарастырайық. Деректер орталығы негізгі коммутаторлар арасындағы трафикті беру үшін MPLS және виртуалды машинадан виртуалды машинаға байланыс үшін VXLAN пайдаланады. Сонымен қатар, қашықтағы филиалдар GRE туннельдері арқылы деректер орталығына трафик жібереді. Қауіпсіздік пен көрінуді қамтамасыз ету үшін кәсіпорын негізгі желі мен VTEP арасында туннельді капсулалау арқылы бөлу мүмкіндігі бар NPB орналастырады.
Деректер орталығына трафик келгенде:
(1) NPB алдымен MPLS тақырыптарын негізгі желіден келетін трафиктен, ал GRE тақырыптарын филиал трафигінен алып тастайды.
(2) VTEP арасындағы VXLAN трафигі үшін NPB трафикті бақылау құралдарына бағыттаған кезде сыртқы VXLAN тақырыптарын алып тастай алады, бұл құралдарға бастапқы VM трафигін тексеруге мүмкіндік береді.
(3) NPB алдын ала өңделген (тақырыптан тазартылған) трафикті VTEP-терге жібереді, олар тек жергілікті пайдалы жүктеме үшін VXLAN инкапсуляциясын/декапсуляциясын өңдеуі керек. Бұл орнату VTEP өңдеу жүктемесін азайтады, трафикті кешенді талдауға мүмкіндік береді және MPLS, GRE және VXLAN сегменттері арасында үздіксіз өзара әрекеттесуді қамтамасыз етеді.
VTEP желілері VXLAN желілерінің негізі болып табылады, олар масштабталатын виртуалдандыруды және көп жалға алушылы байланысты қамтамасыз етеді. Дегенмен, қазіргі заманғы желілерде капсулаланған трафиктің күрделілігінің артуы VTEP өнімділігі мен желінің көрінуіне айтарлықтай қиындықтар туғызады. Туннельді капсулалау мүмкіндігі бар желілік пакет брокерлері бұл қиындықтарды трафикті алдын ала өңдеу, әртүрлі тақырыптарды (VXLAN, VLAN, GRE, GTP, MPLS, IPIP) VTEP-терге немесе бақылау құралдарына жеткенге дейін жою арқылы шешеді. Бұл өңдеу шығындарын азайту арқылы VTEP өнімділігін оңтайландырып қана қоймай, сонымен қатар желінің көрінуін жақсартады, қауіпсіздікті күшейтеді және гетерогенді орталардағы өзара әрекеттесуді жақсартады.
Ұйымдар бұлтқа негізделген архитектураларды және гибридті бұлтты орналастыруларды қабылдауды жалғастырған сайын, NPB және VTEP арасындағы синергия барған сайын маңызды бола түседі. NPB-лердің туннельді капсулалау функциясын пайдалану арқылы желі әкімшілері VXLAN желілерінің толық әлеуетін аша алады, олардың тиімді, қауіпсіз және дамып келе жатқан бизнес қажеттіліктеріне бейімделетініне кепілдік береді.
Жарияланған уақыты: 2026 жылғы 9 қаңтар
