У эпоху воблачных вылічэнняў і віртуалізацыі сетак VXLAN (віртуальная пашыральная лакальная сетка) стала краевугольным каменем тэхналогіі для пабудовы маштабуемых, гнуткіх накладзеных сетак. У аснове архітэктуры VXLAN ляжыць VTEP (канцавая кропка тунэля VXLAN), крытычна важны кампанент, які забяспечвае бесперабойную перадачу трафіку другога ўзроўню праз сеткі трэцяга ўзроўню. Па меры таго, як сеткавы трафік становіцца ўсё больш складаным з-за розных пратаколаў інкапсуляцыі, роля брокераў сеткавых пакетаў (NPB) з магчымасцямі ачысткі інкапсуляцыі тунэляў стала незаменнай для аптымізацыі аперацый VTEP. У гэтым блогу даследуюцца асновы VTEP і яго сувязь з VXLAN, а затым паглыбляецца ў тое, як функцыя ачысткі інкапсуляцыі тунэляў NPB паляпшае прадукцыйнасць VTEP і бачнасць сеткі.
Разуменне VTEP і яго сувязі з VXLAN
Спачатку давайце ўдакладнім асноўныя паняцці: VTEP, скарочана ад VXLAN Tunnel Endpoint (канчатковая кропка тунэля VXLAN), — гэта сеткавая сутнасць, якая адказвае за інкапсуляцыю і дэкапсуляцыю пакетаў VXLAN у сетцы накладання VXLAN. Яна служыць пачатковай і канчатковай кропкамі тунэляў VXLAN, дзейнічаючы як «шлюз», які злучае віртуальную сетку накладання і фізічную сетку падкладкі. VTEP могуць быць рэалізаваны ў выглядзе фізічных прылад (напрыклад, камутатараў або маршрутызатараў з падтрымкай VXLAN) або праграмных сутнасцей (напрыклад, віртуальных камутатараў, кантэйнерных хастоў або проксі-сервераў на віртуальных машынах).
Сувязь паміж VTEP і VXLAN па сваёй сутнасці з'яўляецца сімбіятычнай — VXLAN абапіраецца на VTEP для рэалізацыі сваёй асноўнай функцыянальнасці, у той час як VTEP існуюць выключна для падтрымкі аперацый VXLAN. Асноўная каштоўнасць VXLAN заключаецца ў стварэнні віртуальнай сеткі другога ўзроўню паверх IP-сеткі трэцяга ўзроўню праз інкапсуляцыю MAC-in-UDP, пераадольваючы абмежаванні маштабаванасці традыцыйных VLAN (якія падтрымліваюць толькі 4096 ідэнтыфікатараў VLAN) з 24-бітным ідэнтыфікатарам сеткі VXLAN (VNI), які дазваляе ствараць да 16 мільёнаў віртуальных сетак. Вось як VTEP дазваляюць гэта зрабіць: калі віртуальная машына (VM) адпраўляе трафік, лакальны VTEP інкапсулюе зыходны кадр Ethernet другога ўзроўню, дадаючы загаловак VXLAN (які змяшчае VNI), загаловак UDP (выкарыстоўваючы порт 4789 па змаўчанні), загаловак знешняга IP (з IP-адрасам крыніцы VTEP і IP-адрасам прызначэння VTEP) і загаловак знешняга Ethernet. Затым інкапсуляваны пакет перадаецца па ніжняй сетцы 3-га ўзроўню да VTEP прызначэння, які дэкапсулюе пакет, выдаляючы ўсе знешнія загалоўкі, аднаўляе зыходны кадр Ethernet і перасылае яго да мэтавай віртуальнай машыны на аснове VNI.
Акрамя таго, VTEP выконваюць такія крытычна важныя задачы, як навучанне MAC-адрасоў (дынамічнае супастаўленне MAC-адрасоў лакальных і аддаленых хастоў з IP-адрасамі VTEP) і апрацоўка трафіку вяшчання, невядомай аднаадреснай рассылкі і шматадреснай рассылкі (BUM) — альбо праз групы шматадреснай рассылкі, альбо праз рэплікацыю галаўнога вузла ў рэжыме толькі аднаадреснай рассылкі. Па сутнасці, VTEP з'яўляюцца будаўнічымі блокамі, якія робяць магчымымі віртуалізацыю сеткі VXLAN і шматкарыстальніцкую ізаляцыю.
Праблема інкапсуляванага трафіку для VTEP
У сучасных цэнтрах апрацоўкі дадзеных трафік VTEP рэдка абмяжоўваецца чыстай інкапсуляцыяй VXLAN. Трафік, які праходзіць праз VTEP, часта змяшчае некалькі слаёў загалоўкаў інкапсуляцыі, у тым ліку VLAN, GRE, GTP, MPLS або IPIP, у дадатак да VXLAN. Гэтая складанасць інкапсуляцыі стварае значныя праблемы для аперацый VTEP і наступнага маніторынгу, аналізу і забеспячэння бяспекі сеткі:
○ - Зніжаная бачнасцьБольшасць інструментаў маніторынгу і бяспекі сеткі (напрыклад, IDS/IPS, аналізатары патоку і сніферы пакетаў) прызначаны для апрацоўкі ўласнага трафіку другога/трэцяга ўзроўняў. Інкапсуляваныя загалоўкі хаваюць зыходную карысную нагрузку, што робіць немагчымым для гэтых інструментаў дакладны аналіз зместу трафіку або выяўленне анамалій.
○ - Павелічэнне накладных выдаткаў на апрацоўкуСамі VTEP павінны марнаваць дадатковыя вылічальныя рэсурсы на апрацоўку шматслаёвых інкапсуляваных пакетаў, асабліва ў асяроддзях з высокай інтэнсіўнасцю трафіку. Гэта можа прывесці да павелічэння затрымкі, зніжэння прапускной здольнасці і патэнцыйных праблем з прадукцыйнасцю.
○ - Праблемы ўзаемадзеянняРозныя сегменты сеткі або шматпастаўшчыковыя асяроддзі могуць выкарыстоўваць розныя пратаколы інкапсуляцыі. Без належнага выдалення загалоўкаў трафік можа не перасылацца або апрацоўвацца няправільна пры праходжанні праз VTEP, што прыводзіць да праблем узаемадзеяння.
Як NPBs выкарыстоўваюць тэхналогію інкапсуляцыі тунэляў для зачысткі VTEP
Брокеры сеткавых пакетаў Mylinking™ (NPB) з магчымасцю выдалення інкапсуляцыі тунэляў вырашаюць гэтыя праблемы, выступаючы ў якасці «папярэдняга працэсара трафіку» для VTEP. NPB могуць выдаляць розныя загалоўкі інкапсуляцыі (у тым ліку VXLAN, VLAN, GRE, GTP, MPLS і IPIP) з зыходных пакетаў дадзеных перад перасылкай трафіку на VTEP або інструменты маніторынгу/бяспекі. Гэтая функцыянальнасць забяспечвае тры ключавыя перавагі для аперацый VTEP:
1. Палепшаная бачнасць і бяспека сеткі
Выдаляючы загалоўкі інкапсуляцыі, NPB раскрываюць зыходную карысную нагрузку пакетаў, што дазваляе інструментам маніторынгу і бяспекі "бачыць" рэальны змест трафіку. Напрыклад, калі трафік VTEP перасылаецца на IDS/IPS, NPB спачатку выдаляе загалоўкі VXLAN і MPLS, што дазваляе IDS/IPS выяўляць шкоднасную актыўнасць (напрыклад, шкоднасныя праграмы або спробы несанкцыянаванага доступу) у зыходным кадры. Гэта асабліва важна ў шматкарыстальніцкіх асяроддзях, дзе VTEP апрацоўваюць трафік ад некалькіх арандатараў — NPB гарантуюць, што інструменты бяспекі могуць правяраць трафік, спецыфічны для арандатара, без перашкод з боку інкапсуляцыі.
Акрамя таго, NPB могуць выбарачна выдаляць загалоўкі ў залежнасці ад тыпаў трафіку або VNI, што забяспечвае дэталёвую бачнасць канкрэтных віртуальных сетак. Гэта дапамагае сеткавым адміністратарам ліквідаваць праблемы (напрыклад, страту пакетаў або затрымку), дазваляючы дакладна аналізаваць трафік у асобных сегментах VXLAN.
2. Аптымізаваная прадукцыйнасць VTEP
NPB (Network Packaged Platinum Fast Protection - гэта нішавыя бакі) перакладаюць задачу выдалення загалоўкаў з VTEP, што зніжае нагрузку на апрацоўку прылад VTEP. Замест таго, каб VTEP марнавалі рэсурсы працэсара на выдаленне некалькіх слаёў загалоўкаў (напрыклад, VLAN + GRE + VXLAN), NPB выконваюць гэты этап папярэдняй апрацоўкі, дазваляючы VTEP засяродзіцца на сваіх асноўных абавязках: інкапсуляцыі/дэкапсуляцыі пакетаў VXLAN і кіраванні тунэлямі. Гэта прыводзіць да зніжэння затрымкі, павышэння прапускной здольнасці і паляпшэння агульнай прадукцыйнасці сеткі накладання VXLAN, асабліва ў асяроддзях віртуалізацыі з высокай шчыльнасцю, тысячамі віртуальных машын і вялікай нагрузкай трафіку.
Напрыклад, у цэнтры апрацоўкі дадзеных, дзе NPB і камутатары выконваюць ролю VTEP, NPB (напрыклад, Mylinking™ Network Packet Brokers) можа выдаляць загалоўкі VLAN і MPLS з уваходнага трафіку, перш чым ён дасягне VTEP. Гэта памяншае колькасць аперацый апрацоўкі загалоўкаў, якія павінны выконваць VTEP, што дазваляе ім апрацоўваць больш адначасовых тунэляў і патокаў трафіку.
3. Палепшаная ўзаемадзеянне паміж гетэрагеннымі сеткамі
У шматпастаўшчыковых або шматсегментных сетках розныя часткі інфраструктуры могуць выкарыстоўваць розныя пратаколы інкапсуляцыі. Напрыклад, трафік з аддаленага цэнтра апрацоўкі дадзеных можа паступаць на лакальны VTEP з інкапсуляцыяй GRE, у той час як лакальны трафік выкарыстоўвае VXLAN. NPB можа выдаліць гэтыя розныя загалоўкі (GRE, VXLAN, IPIP і г.д.) і перанакіраваць паслядоўны, уласны паток трафіку на VTEP, ліквідуючы праблемы ўзаемадзеяння. Гэта асабліва каштоўна ў гібрыдных воблачных асяроддзях, дзе трафік з публічных воблачных сэрвісаў (часта з выкарыстаннем інкапсуляцыі GTP або IPIP) павінен інтэгравацца з лакальнымі сеткамі VXLAN праз VTEP.
Акрамя таго, NPB могуць перасылаць выдаленыя загалоўкі ў якасці метададзеных інструментам маніторынгу, гарантуючы, што адміністратары захаваюць кантэкст аб першапачатковай інкапсуляцыі (напрыклад, метку VNI або MPLS), адначасова дазваляючы аналізаваць натыўную карысную нагрузку. Гэты баланс паміж выдаленнем загалоўкаў і захаваннем кантэксту з'яўляецца ключом да эфектыўнага кіравання сеткай.
Як рэалізаваць функцыю зачысткі тунэльнага корпуса ў VTEP?
Ачыстка тунэльнай інкапсуляцыі ў VTEP можа быць рэалізавана з дапамогай канфігурацыі на апаратным узроўні, праграмна-вызначаных палітык і сінергіі з кантролерамі SDN, прычым асноўная логіка сканцэнтравана на вызначэнні загалоўкаў тунэля → выкананні дзеянняў па ачыстцы → перасылцы зыходных карысных нагрузак. Канкрэтныя метады рэалізацыі нязначна адрозніваюцца ў залежнасці ад тыпаў VTEP (фізічных/праграмных), і асноўныя падыходы наступныя:
Зараз мы гаворым пра рэалізацыю на фізічных VTEP (напрыклад,Брокеры сеткавых пакетаў Mylinking™ з падтрымкай VXLAN) тут.
Фізічныя VTEP (напрыклад, брокеры сеткавых пакетаў Mylinking™ з падтрымкай VXLAN) абапіраюцца на апаратныя чыпы і спецыяльныя каманды канфігурацыі для дасягнення эфектыўнага выдалення інкапсуляцыі, што падыходзіць для сцэнарыяў цэнтраў апрацоўкі дадзеных з высокім трафікам:
Супастаўленне інкапсуляцыі на аснове інтэрфейсаў: стварыце падінтэрфейсы на фізічных портах доступу VTEP і наладзьце тыпы інкапсуляцыі для супастаўлення і выдалення пэўных загалоўкаў тунэля. Напрыклад, на брокерах сеткавых пакетаў з падтрымкай Mylinking™ VXLAN наладзьце падінтэрфейсы 2-га ўзроўню для распазнавання тэгаў VLAN 802.1Q або немаркаваных кадраў і выдалення загалоўкаў VLAN перад перасылкай трафіку ў тунэль VXLAN. Для трафіку, інкапсуляванага GRE/MPLS, уключыце адпаведны разбор пратаколаў на падінтэрфейсе для выдалення знешніх загалоўкаў.
Выдаленне загалоўкаў на аснове палітык: выкарыстоўвайце ACL (спіс кантролю доступу) або палітыку трафіку для вызначэння правілаў супастаўлення (напрыклад, супастаўленне UDP-порта 4789 для VXLAN, тыпу пратакола 47 для GRE) і дзеянняў па выдаленні прывязкі. Калі трафік адпавядае правілам, апаратны чып VTEP аўтаматычна выдаляе пазначаныя загалоўкі тунэля (знешнія загалоўкі VXLAN/UDP/IP, меткі MPLS і г.д.) і перасылае зыходную карысную нагрузку 2-га ўзроўню.
Сінергія размеркаваных шлюзаў: у архітэктурах Spine-Leaf VXLAN фізічныя VTEP (вузлы Leaf) могуць супрацоўнічаць са шлюзамі 3-га ўзроўню для выканання шматслаёвага выдалення. Напрыклад, пасля таго, як вузлы Spine перасылаюць інкапсуляваны MPLS-трафік VXLAN на Leaf VTEP, VTEP спачатку выдаляюць меткі MPLS, а затым выконваюць дэкапсуляцыю VXLAN.
Ці патрэбны вам прыклад канфігурацыі для прылады VTEP канкрэтнага пастаўшчыка (напрыклад,Брокеры сеткавых пакетаў Mylinking™ з падтрымкай VXLAN) рэалізаваць зачыстку тунэля інкапсуляцыяй?
Сцэнар практычнага прымянення
Уявіце сабе вялікі карпаратыўны цэнтр апрацоўкі дадзеных, які разгортвае сетку VXLAN з камутатарамі H3C у якасці VTEP, што падтрымлівае некалькі віртуальных машын-арандатараў. Цэнтр апрацоўкі дадзеных выкарыстоўвае MPLS для перадачы трафіку паміж асноўнымі камутатарамі і VXLAN для сувязі паміж віртуальнымі машынамі. Акрамя таго, аддаленыя філіялы адпраўляюць трафік у цэнтр апрацоўкі дадзеных праз тунэлі GRE. Для забеспячэння бяспекі і бачнасці прадпрыемства разгортвае NPB з інкапсуляцыяй тунэляў паміж асноўнай сеткай і VTEP.
Калі трафік паступае ў цэнтр апрацоўкі дадзеных:
(1) NPB спачатку выдаляе загалоўкі MPLS з трафіку, які паступае з асноўнай сеткі, і загалоўкі GRE з трафіку філіялаў.
(2) Для трафіку VXLAN паміж VTEP NPB можа выдаляць знешнія загалоўкі VXLAN пры перасылцы трафіку на інструменты маніторынгу, што дазваляе інструментам правяраць зыходны трафік віртуальнай машыны.
(3) NPB перасылае папярэдне апрацаваны (без загалоўкаў) трафік на VTEP, якім трэба апрацоўваць толькі інкапсуляцыю/дэкапсуляцыю VXLAN для ўласнай карыснай нагрузкі. Такая канфігурацыя зніжае нагрузку на апрацоўку VTEP, дазваляе праводзіць комплексны аналіз трафіку і забяспечвае бесперабойную ўзаемадзеянне паміж сегментамі MPLS, GRE і VXLAN.
VTEP з'яўляюцца асновай сетак VXLAN, што дазваляе маштабаваць віртуалізацыю і шматкарыстальніцкую сувязь. Аднак усё большая складанасць інкапсуляванага трафіку ў сучасных сетках стварае значныя праблемы для прадукцыйнасці VTEP і бачнасці сеткі. Брокеры сеткавых пакетаў з магчымасцямі інкапсуляцыі тунэляў вырашаюць гэтыя праблемы шляхам папярэдняй апрацоўкі трафіку, выдаляючы розныя загалоўкі (VXLAN, VLAN, GRE, GTP, MPLS, IPIP), перш чым ён дасягне VTEP або інструментаў маніторынгу. Гэта не толькі аптымізуе прадукцыйнасць VTEP за кошт зніжэння накладных выдаткаў на апрацоўку, але і паляпшае бачнасць сеткі, умацоўвае бяспеку і паляпшае ўзаемадзеянне ў гетэрагенных асяроддзях.
Па меры таго, як арганізацыі працягваюць укараняць воблачныя архітэктуры і гібрыдныя воблачныя разгортванні, сінергія паміж NPB і VTEP будзе станавіцца ўсё больш важнай. Выкарыстоўваючы функцыю інкапсуляцыі тунэляў NPB, сеткавыя адміністратары могуць раскрыць увесь патэнцыял сетак VXLAN, гарантуючы іх эфектыўнасць, бяспеку і адаптацыю да зменлівых патрэб бізнесу.
Час публікацыі: 09 студзеня 2026 г.
