В епоху хмарних обчислень та віртуалізації мереж, VXLAN (віртуальна розширювана локальна мережа) стала наріжним каменем технології для побудови масштабованих, гнучких мереж з накладанням. В основі архітектури VXLAN лежить VTEP (кінцева точка тунелю VXLAN), критичний компонент, який забезпечує безперебійну передачу трафіку другого рівня через мережі третього рівня. Оскільки мережевий трафік стає все більш складним через різні протоколи інкапсуляції, роль брокерів мережевих пакетів (NPB) з можливостями видалення інкапсуляції тунелів стала незамінною для оптимізації операцій VTEP. У цьому блозі досліджуються основи VTEP та його зв'язок з VXLAN, а потім заглиблюється в те, як функція видалення інкапсуляції тунелів NPB підвищує продуктивність VTEP та видимість мережі.
Розуміння VTEP та його зв'язку з VXLAN
Спочатку давайте уточнимо основні поняття: VTEP, скорочення від VXLAN Tunnel Endpoint (кінцева точка тунелю VXLAN), – це мережева сутність, відповідальна за інкапсуляцію та декапсуляцію пакетів VXLAN в мережі VXLAN overlay. Вона служить початковою та кінцевою точками тунелів VXLAN, діючи як «шлюз», що з'єднує віртуальну мережу overlay та фізичну мережу underlay. VTEP можуть бути реалізовані як фізичні пристрої (такі як комутатори або маршрутизатори з підтримкою VXLAN) або програмні сутності (такі як віртуальні комутатори, хости-контейнери або проксі-сервери на віртуальних машинах).
Зв'язок між VTEP та VXLAN є за своєю суттю симбіотичним — VXLAN спирається на VTEP для реалізації своєї основної функціональності, тоді як VTEP існують виключно для підтримки операцій VXLAN. Основна цінність VXLAN полягає у створенні віртуальної мережі другого рівня поверх IP-мережі третього рівня за допомогою інкапсуляції MAC-in-UDP, долаючи обмеження масштабованості традиційних VLAN (які підтримують лише 4096 ідентифікаторів VLAN) за допомогою 24-бітного ідентифікатора мережі VXLAN (VNI), який дозволяє створювати до 16 мільйонів віртуальних мереж. Ось як VTEP забезпечують це: Коли віртуальна машина (VM) надсилає трафік, локальний VTEP інкапсулює оригінальний кадр Ethernet другого рівня, додаючи заголовок VXLAN (що містить VNI), заголовок UDP (за замовчуванням використовує порт 4789), зовнішній IP-заголовок (з IP-адресою джерела VTEP та IP-адресою призначення VTEP) та зовнішній Ethernet-заголовок. Інкапсульований пакет потім передається через мережу рівня 3 до VTEP призначення, який декапсулює пакет, видаляючи всі зовнішні заголовки, відновлює оригінальний кадр Ethernet та пересилає його до цільової віртуальної машини на основі VNI.
Крім того, VTEP обробляють критично важливі завдання, такі як навчання MAC-адрес (динамічне зіставлення MAC-адрес локальних та віддалених хостів з IP-адресами VTEP) та обробка трафіку широкомовлення, невідомого одноадресного розсилання та багатоадресного розсилання (BUM) — або через групи багатоадресної розсилки, або через реплікацію головного пристрою в режимі лише одноадресної розсилки. По суті, VTEP є будівельними блоками, які роблять можливою віртуалізацію мережі VXLAN та багатокористувацьку ізоляцію.
Проблема інкапсульованого трафіку для VTEP
У сучасних середовищах центрів обробки даних трафік VTEP рідко обмежується чистою інкапсуляцією VXLAN. Трафік, що проходить через VTEP, часто містить кілька рівнів заголовків інкапсуляції, включаючи VLAN, GRE, GTP, MPLS або IPIP, на додаток до VXLAN. Ця складність інкапсуляції створює значні проблеми для операцій VTEP та подальшого моніторингу, аналізу та забезпечення безпеки мережі:
○ - Знижена видимістьБільшість інструментів моніторингу та безпеки мережі (таких як IDS/IPS, аналізатори потоку та сніфери пакетів) призначені для обробки власного трафіку другого/третього рівнів. Інкапсульовані заголовки приховують оригінальне корисне навантаження, що унеможливлює для цих інструментів точний аналіз вмісту трафіку або виявлення аномалій.
○ - Збільшення накладних витрат на обробкуСамі VTEP повинні витрачати додаткові обчислювальні ресурси для обробки багатошарових інкапсульованих пакетів, особливо в середовищах з високим трафіком. Це може призвести до збільшення затримки, зниження пропускної здатності та потенційних проблем із продуктивністю.
○ - Проблеми сумісностіРізні сегменти мережі або середовища з кількома постачальниками можуть використовувати різні протоколи інкапсуляції. Без належного видалення заголовків трафік може не пересилатися або оброблятися неправильно під час проходження через VTEP, що призводить до проблем сумісності.
Як інкапсуляція тунелів у NPB розширює можливості VTEP
Мережеві брокери пакетів Mylinking™ (NPB) з можливостями видалення інкапсуляції тунелів вирішують ці проблеми, діючи як «попередній процесор трафіку» для VTEP. NPB можуть видаляти різні заголовки інкапсуляції (включаючи VXLAN, VLAN, GRE, GTP, MPLS та IPIP) з оригінальних пакетів даних, перш ніж пересилати трафік до VTEP або інструментів моніторингу/безпеки. Ця функціональність забезпечує три ключові переваги для операцій VTEP:
1. Покращена видимість та безпека мережі
Видаляючи заголовки інкапсуляції, NPB розкривають оригінальне корисне навантаження пакетів, дозволяючи інструментам моніторингу та безпеки «бачити» фактичний вміст трафіку. Наприклад, коли трафік VTEP пересилається до IDS/IPS, NPB спочатку видаляє заголовки VXLAN та MPLS, що дозволяє IDS/IPS виявляти шкідливу активність (наприклад, шкідливе програмне забезпечення або спроби несанкціонованого доступу) в оригінальному кадрі. Це особливо важливо в багатокористувацьких середовищах, де VTEP обробляють трафік від кількох орендарів — NPB гарантують, що інструменти безпеки можуть перевіряти трафік, специфічний для орендарів, без перешкод через інкапсуляцію.
Більше того, NPB можуть вибірково видаляти заголовки на основі типів трафіку або VNI, забезпечуючи детальну видимість конкретних віртуальних мереж. Це допомагає мережевим адміністраторам вирішувати проблеми (такі як втрата пакетів або затримка), забезпечуючи точний аналіз трафіку в окремих сегментах VXLAN.
2. Оптимізована продуктивність VTEP
NPB розвантажують VTEP завдання видалення заголовків, зменшуючи накладні витрати на обробку на пристроях VTEP. Замість того, щоб VTEP витрачали ресурси процесора на видалення кількох шарів заголовків (наприклад, VLAN + GRE + VXLAN), NPB виконують цей етап попередньої обробки, дозволяючи VTEP зосередитися на своїх основних обов'язках: інкапсуляції/декапсуляції пакетів VXLAN та управлінні тунелями. Це призводить до зниження затримки, підвищення пропускної здатності та покращення загальної продуктивності мережі оверлею VXLAN, особливо в середовищах віртуалізації з високою щільністю, тисячами віртуальних машин та високим навантаженням трафіку.
Наприклад, у центрі обробки даних, де NPB та комутатори виконують роль VTEP, NPB (наприклад, Mylinking™ Network Packet Brokers) може видаляти заголовки VLAN та MPLS з вхідного трафіку, перш ніж він досягне VTEP. Це зменшує кількість операцій обробки заголовків, які необхідно виконувати VTEP, дозволяючи їм обробляти більше одночасних тунелів та потоків трафіку.
3. Покращена сумісність між гетерогенними мережами
У мережах з кількома постачальниками або кількома сегментами різні частини інфраструктури можуть використовувати різні протоколи інкапсуляції. Наприклад, трафік з віддаленого центру обробки даних може надходити до локального VTEP з інкапсуляцією GRE, тоді як локальний трафік використовує VXLAN. NPB може видаляти ці різні заголовки (GRE, VXLAN, IPIP тощо) та пересилати узгоджений, власний потік трафіку до VTEP, усуваючи проблеми сумісності. Це особливо цінно в гібридних хмарних середовищах, де трафік із публічних хмарних сервісів (часто з використанням інкапсуляції GTP або IPIP) потрібно інтегрувати з локальними мережами VXLAN через VTEP.
Крім того, мережеві платіжні системи (NPB) можуть пересилати видалені заголовки як метадані до інструментів моніторингу, гарантуючи, що адміністратори зберігатимуть контекст щодо оригінальної інкапсуляції (наприклад, мітки VNI або MPLS), водночас забезпечуючи аналіз власного корисного навантаження. Цей баланс між видаленням заголовків та збереженням контексту є ключовим для ефективного управління мережею.
Як реалізувати функцію зачистки тунельних корпусів у VTEP?
Зачистку інкапсуляції тунелю у VTEP можна реалізувати за допомогою апаратної конфігурації, програмно-визначених політик та синергії з контролерами SDN, при цьому основна логіка зосереджена на ідентифікації заголовків тунелю → виконанні дій зачистки → пересиланні оригінальних корисних навантажень. Конкретні методи реалізації дещо відрізняються залежно від типів VTEP (фізичних/програмних), а ключові підходи такі:
Тепер ми говоримо про реалізацію на фізичних VTEP (наприклад,Брокери мережевих пакетів Mylinking™ з підтримкою VXLAN) тут.
Фізичні VTEP (такі як брокери мережевих пакетів Mylinking™ з підтримкою VXLAN) покладаються на апаратні мікросхеми та спеціальні команди конфігурації для досягнення ефективного видалення інкапсуляції, що підходить для сценаріїв центрів обробки даних з високим трафіком:
Зіставлення інкапсуляції на основі інтерфейсів: створіть підінтерфейси на фізичних портах доступу VTEP та налаштуйте типи інкапсуляції для зіставлення та видалення певних заголовків тунелю. Наприклад, на брокерах мережевих пакетів Mylinking™ з підтримкою VXLAN налаштуйте підінтерфейси 2-го рівня для розпізнавання тегів VLAN 802.1Q або немаркованих кадрів та видалення заголовків VLAN перед пересиланням трафіку до тунелю VXLAN. Для трафіку, інкапсульованого GRE/MPLS, увімкніть відповідний розбір протоколу на підінтерфейсі для видалення зовнішніх заголовків.
Видалення заголовків на основі політик: Використовуйте ACL (список контролю доступу) або політику трафіку для визначення правил відповідності (наприклад, відповідність UDP-порту 4789 для VXLAN, типу протоколу 47 для GRE) та дій видалення прив'язки. Коли трафік відповідає правилам, апаратний чіп VTEP автоматично видаляє зазначені тунельні заголовки (зовнішні заголовки VXLAN/UDP/IP, мітки MPLS тощо) та пересилає оригінальне корисне навантаження рівня 2.
Синергія розподілених шлюзів: В архітектурах Spine-Leaf VXLAN фізичні VTEP (вузли Leaf) можуть співпрацювати зі шлюзами рівня 3 для виконання багаторівневого зачищення. Наприклад, після того, як вузли Spine пересилають інкапсульований MPLS трафік VXLAN до Leaf VTEP, VTEP спочатку зачищають мітки MPLS, а потім виконують декапсуляцію VXLAN.
Вам потрібен приклад конфігурації для пристрою VTEP конкретного постачальника (наприклад,Брокери мережевих пакетів Mylinking™ з підтримкою VXLAN) для реалізації зачистки інкапсуляції тунелю?
Сценарій практичного застосування
Розглянемо великий центр обробки даних підприємства, який розгортає мережу VXLAN з комутаторами H3C як VTEP, що підтримує кілька віртуальних машин-орендарів. Центр обробки даних використовує MPLS для передачі трафіку між основними комутаторами та VXLAN для зв'язку між віртуальними машинами. Крім того, віддалені філії надсилають трафік до центру обробки даних через тунелі GRE. Для забезпечення безпеки та видимості підприємство розгортає NPB з інкапсуляцією тунелів між основною мережею та VTEP.
Коли трафік надходить до центру обробки даних:
(1) NPB спочатку видаляє заголовки MPLS з трафіку, що надходить з базової мережі, та заголовки GRE з трафіку філій.
(2) Для трафіку VXLAN між VTEP, NPB може видаляти зовнішні заголовки VXLAN під час пересилання трафіку до інструментів моніторингу, дозволяючи інструментам перевіряти вихідний трафік віртуальної машини.
(3) NPB пересилає попередньо оброблений (видалений заголовок) трафік до VTEP, яким потрібно обробляти лише інкапсуляцію/декапсуляцію VXLAN для власного корисного навантаження. Така конфігурація зменшує навантаження на обробку VTEP, дозволяє здійснювати комплексний аналіз трафіку та забезпечує безперебійну сумісність між сегментами MPLS, GRE та VXLAN.
VTEP є основою мереж VXLAN, що дозволяє здійснювати масштабовану віртуалізацію та багатокористувацьку комунікацію. Однак зростаюча складність інкапсульованого трафіку в сучасних мережах створює значні проблеми для продуктивності VTEP та видимості мережі. Брокери мережевих пакетів з можливостями видалення тунельної інкапсуляції вирішують ці проблеми шляхом попередньої обробки трафіку, видалення різноманітних заголовків (VXLAN, VLAN, GRE, GTP, MPLS, IPIP), перш ніж він досягне VTEP або інструментів моніторингу. Це не тільки оптимізує продуктивність VTEP, зменшуючи накладні витрати на обробку, але й підвищує видимість мережі, посилює безпеку та покращує сумісність у гетерогенних середовищах.
Оскільки організації продовжують впроваджувати хмарні архітектури та гібридні хмарні розгортання, синергія між мережевими платами з підтримкою (NPB) та віртуальними платами з підтримкою технології (VTEP) ставатиме дедалі важливішою. Використовуючи функцію інкапсуляції тунелів NPB, мережеві адміністратори можуть розкрити весь потенціал мереж VXLAN, забезпечуючи їх ефективність, безпеку та адаптацію до потреб бізнесу, що змінюються.
Час публікації: 09 січня 2026 р.
