Bulutli hisoblash va tarmoq virtualizatsiyasi davrida VXLAN (Virtual Extensible LAN) kengaytiriladigan, moslashuvchan qoplama tarmoqlarini yaratish uchun asosiy texnologiyaga aylandi. VXLAN arxitekturasining markazida VTEP (VXLAN Tunnel Endpoint) yotadi, bu 2-qavat trafikini 3-qavat tarmoqlari orqali uzluksiz uzatishni ta'minlaydigan muhim komponent hisoblanadi. Tarmoq trafiki turli xil enkapsulyatsiya protokollari bilan tobora murakkablashib borayotganligi sababli, Tunnel Enkapsulyatsiyasini Stripping imkoniyatlariga ega Tarmoq Paket Brokerlarining (NPB) roli VTEP operatsiyalarini optimallashtirishda ajralmas bo'lib qoldi. Ushbu blogda VTEP asoslari va uning VXLAN bilan aloqasi o'rganiladi, so'ngra NPBlarning tunnelni inkapsulyatsiyasini ajratish funktsiyasi VTEP ishlashini va tarmoq ko'rinishini qanday oshirishi batafsil ko'rib chiqiladi.
VTEP va uning VXLAN bilan aloqasini tushunish
Avvalo, asosiy tushunchalarni aniqlab olaylik: VTEP, VXLAN Tunnel Endpoint qisqartmasi, VXLAN qoplama tarmog'ida VXLAN paketlarini kapsulalash va dekapsulyatsiya qilish uchun mas'ul bo'lgan tarmoq obyekti. U VXLAN tunnellarining boshlang'ich va oxirgi nuqtasi bo'lib xizmat qiladi, virtual qoplama tarmog'i va jismoniy pastki tarmoqni bog'laydigan "shlyuz" vazifasini bajaradi. VTEPlar jismoniy qurilmalar (masalan, VXLAN-mos keladigan kommutatorlar yoki marshrutizatorlar) yoki dasturiy ta'minot obyektlari (virtual kommutatorlar, konteyner xostlari yoki virtual mashinalardagi proksi-serverlar kabi) sifatida amalga oshirilishi mumkin.
VTEP va VXLAN o'rtasidagi munosabatlar o'ziga xos simbiotikdir - VXLAN o'zining asosiy funksiyalarini amalga oshirish uchun VTEPlarga tayanadi, VTEPlar esa faqat VXLAN operatsiyalarini qo'llab-quvvatlash uchun mavjud. VXLANning asosiy qiymati MAC-in-UDP kapsulalash orqali 3-qavat IP tarmog'i ustida virtual 2-qavat tarmog'ini yaratish, an'anaviy VLANlarning (faqat 4096 VLAN identifikatorlarini qo'llab-quvvatlaydigan) masshtablash cheklovlarini bartaraf etish, 16 milliongacha virtual tarmoqlarni yoqadigan 24-bitli VXLAN tarmoq identifikatori (VNI) bilan. VTEPlar buni qanday amalga oshirishi mumkin: Virtual mashina (VM) trafik yuborganda, mahalliy VTEP asl 2-qavat Ethernet kadrni VXLAN sarlavhasi (VNI ni o'z ichiga olgan), UDP sarlavhasi (sukut bo'yicha 4789 portdan foydalangan holda), tashqi IP sarlavhasi (manba VTEP IP va maqsad VTEP IP bilan) va tashqi Ethernet sarlavhasini qo'shish orqali kapsulalaydi. Keyin kapsulalangan paket 3-qavat pastki tarmog'i orqali maqsadli VTEPga uzatiladi, u barcha tashqi sarlavhalarni olib tashlash orqali paketni dekapsulyatsiya qiladi, asl Ethernet kadrni tiklaydi va uni VNI asosida maqsadli VMga uzatadi.
Bundan tashqari, VTEPlar MAC manzillarini o'rganish (mahalliy va masofaviy xostlarning MAC manzillarini VTEP IP-lariga dinamik ravishda xaritalash) va Broadcast, Unknown Unicast va Multicast (BUM) trafikini qayta ishlash kabi muhim vazifalarni bajaradi — yoki multicast guruhlari orqali yoki faqat unicast rejimida head-end replikatsiyasi orqali. Aslida, VTEPlar VXLAN tarmoq virtualizatsiyasi va ko'p ijarachili izolyatsiyani mumkin bo'lgan qurilish bloklari hisoblanadi.
VTEPlar uchun kapsulalangan trafikning qiyinchiliklari
Zamonaviy ma'lumotlar markazi muhitida VTEP trafigi kamdan-kam hollarda sof VXLAN inkapsulyatsiyasi bilan cheklanadi. VTEPlardan o'tadigan trafik ko'pincha VXLANga qo'shimcha ravishda VLAN, GRE, GTP, MPLS yoki IPIP kabi bir nechta inkapsulyatsiya sarlavhalarini o'z ichiga oladi. Ushbu inkapsulyatsiya murakkabligi VTEP operatsiyalari va keyingi tarmoq monitoringi, tahlili va xavfsizlikni ta'minlash uchun jiddiy qiyinchiliklar tug'diradi:
○ - Ko'rinishning pasayishiTarmoq monitoringi va xavfsizlik vositalarining aksariyati (masalan, IDS/IPS, oqim analizatorlari va paketlarni tahlil qiluvchilar) 2/3-qavatdagi mahalliy trafikni qayta ishlash uchun mo'ljallangan. Kapsulalangan sarlavhalar asl foydali yukni yashiradi, bu esa ushbu vositalarning trafik tarkibini aniq tahlil qilish yoki anomaliyalarni aniqlashni imkonsiz qiladi.
○ - Qayta ishlash xarajatlarining ortishiVTEPlarning o'zlari, ayniqsa, yuqori trafikli muhitda, ko'p qatlamli kapsulalangan paketlarni qayta ishlash uchun qo'shimcha hisoblash resurslarini sarflashlari kerak. Bu kechikishning oshishiga, o'tkazish qobiliyatining pasayishiga va potentsial ishlashdagi to'siqlarga olib kelishi mumkin.
○ - O'zaro ishlash muammolariTurli tarmoq segmentlari yoki ko'p sotuvchili muhitlar turli xil kapsülasyon protokollaridan foydalanishi mumkin. Sarlavhalarni to'g'ri ajratmasdan, VTEPlardan o'tayotganda trafik to'g'ri yo'naltirilmasligi yoki qayta ishlanmasligi mumkin, bu esa o'zaro ishlash muammolariga olib keladi.
NPBlarning tunnel kapsulasini ajratish VTEPlarni qanday kuchaytiradi
Tunnel Encapsulation Stripping imkoniyatlariga ega Mylinking™ Tarmoq Paket Brokerlari (NPB) VTEPlar uchun "Trafikni oldindan qayta ishlovchi" vazifasini bajarish orqali ushbu muammolarni hal qiladi. NPBlar trafikni VTEPlarga yoki monitoring/xavfsizlik vositalariga yuborishdan oldin asl ma'lumot paketlaridan turli xil inkapsulatsiya sarlavhalarini (shu jumladan VXLAN, VLAN, GRE, GTP, MPLS va IPIP) olib tashlashi mumkin. Ushbu funksiya VTEP operatsiyalari uchun uchta asosiy afzallikni taqdim etadi:
1. Tarmoq ko'rinishi va xavfsizligini oshirish
Inkapsulatsiya sarlavhalarini olib tashlash orqali NPBlar paketlarning asl yukini ochib beradi, bu esa monitoring va xavfsizlik vositalariga haqiqiy trafik tarkibini "ko'rish" imkonini beradi. Masalan, VTEP trafik IDS/IPS ga yo'naltirilganda, NPB avval VXLAN va MPLS sarlavhalarini olib tashlaydi, bu esa IDS/IPS ga asl kadrda zararli faoliyatni (masalan, zararli dastur yoki ruxsatsiz kirishga urinishlar) aniqlash imkonini beradi. Bu, ayniqsa, VTEPlar bir nechta ijarachilardan trafikni boshqaradigan ko'p ijarachili muhitlarda juda muhimdir - NPBlar xavfsizlik vositalari ijarachiga xos trafikni inkapsulatsiya bilan to'sqinlik qilmasdan tekshirishi mumkinligini ta'minlaydi.
Bundan tashqari, NPBlar trafik turlari yoki VNI asosida sarlavhalarni tanlab olib tashlashi mumkin, bu esa ma'lum virtual tarmoqlarga batafsil ko'rinishni ta'minlaydi. Bu tarmoq ma'murlariga individual VXLAN segmentlaridagi trafikni aniq tahlil qilish orqali muammolarni (masalan, paket yo'qolishi yoki kechikish) bartaraf etishga yordam beradi.
2. VTEP samaradorligini optimallashtirish
NPBlar sarlavhani ajratish vazifasini VTEPlardan tushiradi va VTEP qurilmalarida ishlov berish xarajatlarini kamaytiradi. VTEPlar protsessor resurslarini sarlavhalarning bir nechta qatlamlarini (masalan, VLAN + GRE + VXLAN) ajratishga sarflash o'rniga, NPBlar ushbu oldindan ishlov berish bosqichini bajaradi, bu esa VTEPlarga o'zlarining asosiy vazifalariga: VXLAN paketlarini kapsulalash/dekapsulalash va tunnelni boshqarishga e'tibor qaratish imkonini beradi. Bu esa kechikishning pasayishiga, yuqori o'tkazuvchanlikka va VXLAN qoplama tarmog'ining umumiy ishlashining yaxshilanishiga olib keladi - ayniqsa minglab VMlar va katta trafik yuklamalari bo'lgan yuqori zichlikdagi virtualizatsiya muhitlarida.
Masalan, NPB va kommutatorlar VTEP sifatida ishlaydigan ma'lumotlar markazida NPB (masalan, Mylinking™ Network Packet Brokers) VLAN va MPLS sarlavhalarini kiruvchi trafik VTEPlarga yetib bormasdan oldin ulardan ajratib olishi mumkin. Bu VTEPlar bajarishi kerak bo'lgan sarlavhalarni qayta ishlash operatsiyalari sonini kamaytiradi, bu ularga ko'proq bir vaqtning o'zida ishlaydigan tunnellar va trafik oqimlarini boshqarish imkonini beradi.
3. Turli xil tarmoqlar o'rtasida yaxshilangan o'zaro ishlash qobiliyati
Ko'p sotuvchili yoki ko'p segmentli tarmoqlarda infratuzilmaning turli qismlari turli xil inkapsulyatsiya protokollaridan foydalanishi mumkin. Masalan, masofaviy ma'lumotlar markazidan trafik GRE inkapsulyatsiyasi bilan mahalliy VTEPga yetib borishi mumkin, mahalliy trafik esa VXLANdan foydalanadi. NPB bu turli xil sarlavhalarni (GRE, VXLAN, IPIP va boshqalar) olib tashlashi va VTEPga izchil, mahalliy trafik oqimini yuborishi mumkin, bu esa o'zaro ishlash muammolarini bartaraf etadi. Bu, ayniqsa, gibrid bulutli muhitlarda qimmatlidir, bu yerda ommaviy bulut xizmatlaridan (ko'pincha GTP yoki IPIP inkapsulyatsiyasidan foydalangan holda) trafik VTEP orqali mahalliy VXLAN tarmoqlari bilan integratsiyalashishi kerak.
Bundan tashqari, NPBlar olib tashlangan sarlavhalarni metama'lumotlar sifatida monitoring vositalariga yuborishi mumkin, bu esa administratorlarning asl inkapsulyatsiya (masalan, VNI yoki MPLS yorlig'i) haqidagi kontekstni saqlab qolishini ta'minlaydi, shu bilan birga mahalliy yuklamani tahlil qilishni ham ta'minlaydi. Sarlavhani olib tashlash va kontekstni saqlash o'rtasidagi bu muvozanat samarali tarmoq boshqaruvi uchun kalit hisoblanadi.
VTEPda tunnel paketini ajratish funksiyasini qanday amalga oshirish mumkin?
VTEPda tunnel kapsulasini ajratish apparat darajasidagi konfiguratsiya, dasturiy ta'minot tomonidan belgilangan siyosatlar va SDN kontrollerlari bilan sinergiya orqali amalga oshirilishi mumkin, asosiy mantiq tunnel sarlavhalarini aniqlash → ajratish harakatlarini bajarish → asl yuklarni yo'naltirishga qaratilgan. Amalga oshirishning o'ziga xos usullari VTEP turlariga (jismoniy/dasturiy ta'minot) qarab biroz farq qiladi va asosiy yondashuvlar quyidagilar:
Endi biz jismoniy VTEPlarda (masalan,Mylinking™ VXLAN-ga mos tarmoq paket brokerlari) Bu yerga.
Fizik VTEPlar (masalan, Mylinking™ VXLAN-ga mos keladigan tarmoq paketlari brokerlari) yuqori trafikli ma'lumotlar markazi stsenariylari uchun mos keladigan samarali kapsulalashni olib tashlashga erishish uchun apparat chiplari va maxsus konfiguratsiya buyruqlariga tayanadi:
Interfeysga asoslangan inkapsulatsiya moslashuvi: VTEPlarning jismoniy kirish portlarida pastki interfeyslarni yarating va inkapsulatsiya turlarini ma'lum tunnel sarlavhalarini moslashtirish va olib tashlash uchun sozlang. Masalan, Mylinking™ VXLAN-mos keladigan tarmoq paketlari brokerlarida 2-qavat pastki interfeyslarini 802.1Q VLAN teglarini yoki teglanmagan freymlarni tanib olish uchun sozlang va trafikni VXLAN tunneliga yo'naltirishdan oldin VLAN sarlavhalarini olib tashlang. GRE/MPLS-inkapsulatsiyalangan trafik uchun tashqi sarlavhalarni olib tashlash uchun pastki interfeysda tegishli protokolni tahlil qilishni yoqing.
Siyosatga asoslangan sarlavhani tozalash: Mos keladigan qoidalarni (masalan, VXLAN uchun UDP porti 4789, GRE uchun protokol turi 47) aniqlash va ajratish amallarini bog'lash uchun ACL (Kirish nazorati ro'yxati) yoki trafik siyosatidan foydalaning. Trafik qoidalarga mos kelganda, VTEP apparat chipi belgilangan tunnel sarlavhalarini (VXLAN/UDP/IP tashqi sarlavhalari, MPLS yorliqlari va boshqalar) avtomatik ravishda tozalaydi va asl 2-qavat yukini yo'naltiradi.
Tarqatilgan shlyuz sinergiyasi: Spine-Leaf VXLAN arxitekturalarida fizik VTEPlar (Leaf tugunlari) ko'p qatlamli ajratishni yakunlash uchun 3-qavat shlyuzlari bilan hamkorlik qilishi mumkin. Masalan, umurtqa pog'onalari MPLS bilan kapsulalangan VXLAN trafikini Leaf VTEPlarga yo'naltirgandan so'ng, VTEPlar avval MPLS yorliqlarini ajratib oladi, keyin VXLAN dekapsulatsiyasini amalga oshiradi.
Sizga ma'lum bir sotuvchining VTEP qurilmasi uchun konfiguratsiya namunasi kerakmi (masalan,Mylinking™ VXLAN-ga mos tarmoq paket brokerlari) tunnel kapsulasini ajratishni amalga oshirish uchunmi?
Amaliy qo'llanilish ssenariysi
Yirik korxona ma'lumotlar markazini ko'rib chiqing, u bir nechta ijarachi VMlarni qo'llab-quvvatlaydigan H3C kommutatorlari bilan VXLAN ustki tarmog'ini joylashtiradi. Ma'lumotlar markazi yadro kommutatorlari o'rtasida trafik uzatish uchun MPLS va VM-VM aloqasi uchun VXLAN dan foydalanadi. Bundan tashqari, masofaviy filiallar GRE tunnellari orqali ma'lumotlar markaziga trafik yuboradi. Xavfsizlik va ko'rinishni ta'minlash uchun korxona yadro tarmog'i va VTEPlar o'rtasida tunnel kapsulalash strippingli NPB ni joylashtiradi.
Trafik ma'lumotlar markaziga yetib kelganda:
(1) NPB avval MPLS sarlavhalarini asosiy tarmoqdan keladigan trafikdan va GRE sarlavhalarini filial trafikidan ajratib oladi.
(2) VTEPlar orasidagi VXLAN trafik uchun NPB trafikni monitoring vositalariga yo'naltirishda tashqi VXLAN sarlavhalarini olib tashlashi mumkin, bu esa vositalarga asl VM trafikni tekshirish imkonini beradi.
(3) NPB oldindan qayta ishlangan (sarlavhadan ajratilgan) trafikni VTEPlarga yo'naltiradi, ular faqat mahalliy yuk uchun VXLAN kapsulalash/dekapsulalash bilan shug'ullanishi kerak. Ushbu sozlama VTEP ishlov berish yukini kamaytiradi, trafikni kompleks tahlil qilish imkonini beradi va MPLS, GRE va VXLAN segmentlari o'rtasida uzluksiz o'zaro ishlashni ta'minlaydi.
VTEPlar VXLAN tarmoqlarining asosiy qismi bo'lib, kengaytiriladigan virtualizatsiya va ko'p ijarachili aloqani ta'minlaydi. Biroq, zamonaviy tarmoqlarda kapsulalangan trafikning tobora murakkablashib borishi VTEP ishlashi va tarmoq ko'rinishi uchun jiddiy muammolar tug'diradi. Tunnel kapsulalash stripping imkoniyatlariga ega tarmoq paketi brokerlari bu muammolarni trafikni oldindan qayta ishlash, turli sarlavhalarni (VXLAN, VLAN, GRE, GTP, MPLS, IPIP) VTEPlarga yoki monitoring vositalariga yetib borishdan oldin tozalash orqali hal qiladi. Bu nafaqat qayta ishlash xarajatlarini kamaytirish orqali VTEP ishlashini optimallashtiradi, balki tarmoq ko'rinishini yaxshilaydi, xavfsizlikni mustahkamlaydi va heterojen muhitlarda o'zaro ishlashni yaxshilaydi.
Tashkilotlar bulutga asoslangan arxitekturalar va gibrid bulutli joylashtirishlarni qo'llashda davom etar ekan, NPBlar va VTEPlar o'rtasidagi sinergiya tobora muhim ahamiyat kasb etadi. NPBlarning tunnel kapsulalashini ajratish funktsiyasidan foydalanish orqali tarmoq ma'murlari VXLAN tarmoqlarining to'liq salohiyatini ochib berishlari, ularning samarali, xavfsiz va rivojlanayotgan biznes ehtiyojlariga moslashishini ta'minlashlari mumkin.
Joylashtirilgan vaqt: 2026-yil 9-yanvar
