W erze przetwarzania w chmurze i wirtualizacji sieci, VXLAN (Virtual Extensible LAN) stała się podstawową technologią budowy skalowalnych i elastycznych sieci nakładkowych. Sercem architektury VXLAN jest VTEP (VXLAN Tunnel Endpoint), kluczowy komponent umożliwiający płynną transmisję ruchu warstwy 2 przez sieci warstwy 3. Wraz ze wzrostem złożoności ruchu sieciowego i różnorodnością protokołów enkapsulacji, rola brokerów pakietów sieciowych (NPB) z funkcją Tunnel Encapsulation Stripping stała się niezbędna do optymalizacji działania VTEP. Niniejszy wpis na blogu omawia podstawy VTEP i jego związek z VXLAN, a następnie zgłębia, w jaki sposób funkcja tunelowania enkapsulacji NPB zwiększa wydajność VTEP i widoczność sieci.
Zrozumienie protokołu VTEP i jego związku z siecią VXLAN
Najpierw wyjaśnijmy podstawowe pojęcia: VTEP, skrót od VXLAN Tunnel Endpoint (punkt końcowy tunelu VXLAN), to jednostka sieciowa odpowiedzialna za enkapsulację i dekapsulację pakietów VXLAN w sieci nakładkowej VXLAN. Służy jako punkt początkowy i końcowy tuneli VXLAN, działając jako „brama” łącząca wirtualną sieć nakładkową z fizyczną siecią bazową. VTEP mogą być implementowane jako urządzenia fizyczne (takie jak przełączniki lub routery obsługujące VXLAN) lub jednostki programowe (takie jak przełączniki wirtualne, hosty kontenerów lub serwery proxy na maszynach wirtualnych).
Relacja między VTEP i VXLAN jest z natury symbiotyczna — VXLAN opiera się na VTEP, aby realizować swoją podstawową funkcjonalność, podczas gdy VTEP istnieją wyłącznie w celu obsługi operacji VXLAN. Podstawową wartością VXLAN jest tworzenie wirtualnej sieci warstwy 2 na wierzchu sieci IP warstwy 3 poprzez enkapsulację MAC-in-UDP, przezwyciężając ograniczenia skalowalności tradycyjnych sieci VLAN (obsługujących tylko 4096 identyfikatorów VLAN) za pomocą 24-bitowego identyfikatora sieci VXLAN (VNI), który umożliwia obsługę do 16 milionów sieci wirtualnych. Oto, w jaki sposób VTEP to umożliwiają: gdy maszyna wirtualna (VM) wysyła ruch, lokalny VTEP kapsułkuje oryginalną ramkę Ethernet warstwy 2, dodając nagłówek VXLAN (zawierający VNI), nagłówek UDP (domyślnie używający portu 4789), zewnętrzny nagłówek IP (ze źródłowym i docelowym adresem IP VTEP) oraz zewnętrzny nagłówek Ethernet. Następnie zakapsułkowany pakiet jest przesyłany przez sieć warstwy 3 do docelowego VTEP, który dekapsuluje pakiet, usuwając wszystkie zewnętrzne nagłówki, odzyskuje oryginalną ramkę Ethernet i przekazuje ją do docelowej maszyny wirtualnej na podstawie VNI.
Ponadto, VTEP-y realizują kluczowe zadania, takie jak zapamiętywanie adresów MAC (dynamiczne mapowanie adresów MAC hostów lokalnych i zdalnych na adresy IP VTEP) oraz przetwarzanie ruchu rozgłoszeniowego, nieznanego ruchu jednokierunkowego (Unknown Unicast) i ruchu wielokierunkowego (Multicast – BUM) – zarówno poprzez grupy multicast, jak i replikację w trybie tylko jednokierunkowym (unicast). W istocie, VTEP-y stanowią elementy składowe, które umożliwiają wirtualizację sieci VXLAN i izolację wielodostępną.
Wyzwanie związane z ruchem kapsułkowanym dla VTEP
W nowoczesnych środowiskach centrów danych ruch VTEP rzadko ogranicza się do czystej enkapsulacji VXLAN. Ruch przechodzący przez VTEP często zawiera wiele warstw nagłówków enkapsulacji, w tym VLAN, GRE, GTP, MPLS lub IPIP, oprócz VXLAN. Ta złożoność enkapsulacji stwarza poważne wyzwania dla działania VTEP oraz późniejszego monitorowania, analizy i egzekwowania bezpieczeństwa sieci:
○ - Ograniczona widocznośćWiększość narzędzi do monitorowania i zabezpieczania sieci (takich jak IDS/IPS, analizatory przepływu i sniffery pakietów) jest zaprojektowana do przetwarzania natywnego ruchu warstwy 2/3. Zakapsułkowane nagłówki zasłaniają oryginalny ładunek, uniemożliwiając tym narzędziom dokładną analizę zawartości ruchu lub wykrywanie anomalii.
○ - Zwiększone obciążenie przetwarzania:Same VTEP-y muszą przeznaczać dodatkowe zasoby obliczeniowe na przetwarzanie pakietów wielowarstwowo enkapsulowanych, szczególnie w środowiskach o dużym natężeniu ruchu. Może to prowadzić do zwiększonych opóźnień, zmniejszonej przepustowości i potencjalnych wąskich gardeł wydajnościowych.
○ - Problemy z interoperacyjnościąRóżne segmenty sieci lub środowiska wielu dostawców mogą korzystać z różnych protokołów enkapsulacji. Bez prawidłowego usuwania nagłówków, ruch może nie zostać poprawnie przekazany lub przetworzony podczas przechodzenia przez VTEP, co prowadzi do problemów z interoperacyjnością.
W jaki sposób usuwanie izolacji z tuneli przez banki NPB wzmacnia VTEP
Brokery pakietów sieciowych Mylinking™ (NPB) z funkcją tunelowania enkapsulacji (Tunnel Encapsulation Stripping) rozwiązują te problemy, działając jako „preprocesor ruchu” dla VTEP. NPB mogą usuwać różne nagłówki enkapsulacji (w tym VXLAN, VLAN, GRE, GTP, MPLS i IPIP) z oryginalnych pakietów danych przed przekazaniem ruchu do VTEP lub narzędzi monitorujących/zabezpieczających. Ta funkcjonalność zapewnia trzy kluczowe korzyści dla operacji VTEP:
1. Lepsza widoczność i bezpieczeństwo sieci
Usuwając nagłówki enkapsulacji, NPB ujawniają oryginalny ładunek pakietów, umożliwiając narzędziom monitorującym i zabezpieczającym „zobaczenie” rzeczywistej zawartości ruchu. Na przykład, gdy ruch VTEP jest przekazywany do systemu IDS/IPS, NPB najpierw usuwa nagłówki VXLAN i MPLS, umożliwiając systemowi IDS/IPS wykrycie złośliwej aktywności (takiej jak złośliwe oprogramowanie lub próby nieautoryzowanego dostępu) w oryginalnej ramce. Jest to szczególnie istotne w środowiskach wielodostępnych, w których VTEP obsługują ruch od wielu dzierżawców – NPB zapewniają, że narzędzia bezpieczeństwa mogą kontrolować ruch specyficzny dla dzierżawcy bez przeszkód związanych z enkapsulacją.
Co więcej, NPB mogą selektywnie usuwać nagłówki w oparciu o typy ruchu lub VNI, zapewniając szczegółowy wgląd w określone sieci wirtualne. Pomaga to administratorom sieci rozwiązywać problemy (takie jak utrata pakietów czy opóźnienia) poprzez umożliwienie precyzyjnej analizy ruchu w poszczególnych segmentach VXLAN.
2. Zoptymalizowana wydajność VTEP
NPB odciążają VTEP-y od zadania usuwania nagłówków, zmniejszając obciążenie obliczeniowe urządzeń VTEP. Zamiast, aby VTEP-y przeznaczały zasoby procesora na usuwanie wielu warstw nagłówków (np. VLAN + GRE + VXLAN), NPB zajmują się tym etapem wstępnego przetwarzania, pozwalając VTEP-om skupić się na swoich podstawowych zadaniach: enkapsulacji/dekapsulacji pakietów VXLAN i zarządzaniu tunelami. Efektem jest mniejsze opóźnienie, większa przepustowość i lepsza ogólna wydajność sieci nakładkowej VXLAN – szczególnie w środowiskach wirtualizacji o dużej gęstości, z tysiącami maszyn wirtualnych i dużym obciążeniem ruchem.
Na przykład w centrum danych z NPB i przełącznikami pełniącymi funkcję VTEP, NPB (taki jak broker pakietów sieciowych Mylinking™) może usuwać nagłówki VLAN i MPLS z ruchu przychodzącego, zanim dotrze on do VTEP. Zmniejsza to liczbę operacji przetwarzania nagłówków, które muszą wykonać VTEP, umożliwiając im obsługę większej liczby równoczesnych tuneli i przepływów ruchu.
3. Lepsza interoperacyjność w sieciach heterogenicznych
W sieciach wielodostawców lub wielosegmentowych różne części infrastruktury mogą korzystać z różnych protokołów enkapsulacji. Na przykład, ruch ze zdalnego centrum danych może docierać do lokalnego VTEP z enkapsulacją GRE, podczas gdy ruch lokalny korzysta z VXLAN. NPB może usunąć te zróżnicowane nagłówki (GRE, VXLAN, IPIP itp.) i przesłać spójny, natywny strumień ruchu do VTEP, eliminując problemy z interoperacyjnością. Jest to szczególnie cenne w hybrydowych środowiskach chmurowych, gdzie ruch z usług chmury publicznej (często korzystających z enkapsulacji GTP lub IPIP) musi zostać zintegrowany z lokalnymi sieciami VXLAN za pośrednictwem VTEP.
Dodatkowo, NPB mogą przekazywać odizolowane nagłówki jako metadane do narzędzi monitorujących, zapewniając administratorom zachowanie kontekstu dotyczącego oryginalnej enkapsulacji (takiej jak etykieta VNI lub MPLS), a jednocześnie umożliwiając analizę natywnego ładunku. Ta równowaga między odizolowaniem nagłówków a zachowaniem kontekstu jest kluczowa dla efektywnego zarządzania siecią.
Jak wdrożyć funkcję usuwania pakietów tunelowych w VTEP?
Rozbieranie tunelu w VTEP można zaimplementować poprzez konfigurację sprzętową, polityki definiowane programowo oraz synergię z kontrolerami SDN, przy czym podstawowa logika koncentruje się na identyfikacji nagłówków tunelu → wykonywaniu działań rozbierania → przekazywaniu oryginalnych ładunków. Konkretne metody implementacji różnią się nieznacznie w zależności od typu VTEP (fizycznego/programowego), a kluczowe podejścia są następujące:
Teraz mówimy o wdrożeniu na fizycznych VTEP (np.Brokerzy pakietów sieciowych Mylinking™ obsługujący VXLAN) Tutaj.
Fizyczne urządzenia VTEP (takie jak brokerzy pakietów sieciowych Mylinking™ obsługujący sieć VXLAN) opierają się na układach sprzętowych i dedykowanych poleceniach konfiguracyjnych, aby osiągnąć wydajne usuwanie enkapsulacji, odpowiednie w scenariuszach centrów danych o dużym natężeniu ruchu:
Dopasowanie enkapsulacji oparte na interfejsie: Twórz podinterfejsy na fizycznych portach dostępowych VTEP i konfiguruj typy enkapsulacji, aby dopasować i usunąć określone nagłówki tunelu. Na przykład, w brokerach pakietów sieciowych Mylinking™ obsługujących VXLAN, skonfiguruj podinterfejsy warstwy 2 do rozpoznawania tagów VLAN 802.1Q lub ramek nieoznakowanych, a następnie usuń nagłówki VLAN przed przekazaniem ruchu do tunelu VXLAN. W przypadku ruchu z enkapsulacją GRE/MPLS włącz odpowiednią analizę protokołu na podinterfejsie, aby usunąć zewnętrzne nagłówki.
Usuwanie nagłówków na podstawie reguł: Użyj listy kontroli dostępu (ACL) lub reguł ruchu, aby zdefiniować pasujące reguły (np. pasujący port UDP 4789 dla VXLAN, typ protokołu 47 dla GRE) i powiązać akcje usuwania nagłówków. Gdy ruch jest zgodny z regułami, układ sprzętowy VTEP automatycznie usuwa określone nagłówki tunelu (zewnętrzne nagłówki VXLAN/UDP/IP, etykiety MPLS itp.) i przekazuje oryginalny ładunek warstwy 2.
Synergia rozproszonych bram: W architekturach Spine-Leaf VXLAN fizyczne VTEP (węzły Leaf) mogą współpracować z bramami warstwy 3 w celu wykonania strippingu wielowarstwowego. Na przykład, po przekazaniu przez węzły Spine ruchu VXLAN z enkapsulacją MPLS do węzłów Leaf VTEP, VTEP najpierw usuwają etykiety MPLS, a następnie przeprowadzają dekapsulację VXLAN.
Czy potrzebujesz przykładu konfiguracji dla konkretnego urządzenia VTEP dostawcy (takiego jakBrokerzy pakietów sieciowych Mylinking™ obsługujący VXLAN) w celu wdrożenia usuwania powłoki tunelowej?
Scenariusz praktycznego zastosowania
Rozważmy duże centrum danych przedsiębiorstwa wdrażające sieć nakładkową VXLAN z przełącznikami H3C jako VTEP, obsługującą wiele maszyn wirtualnych dzierżawców. Centrum danych wykorzystuje protokół MPLS do transmisji ruchu między przełącznikami rdzeniowymi oraz VXLAN do komunikacji między maszynami wirtualnymi. Dodatkowo, zdalne oddziały wysyłają ruch do centrum danych za pośrednictwem tuneli GRE. Aby zapewnić bezpieczeństwo i przejrzystość, przedsiębiorstwo wdraża serwer NPB z funkcją Tunnel Encapsulation Stripping między siecią rdzeniową a VTEP.
Kiedy ruch dociera do centrum danych:
(1) NPB najpierw oddziela nagłówki MPLS od ruchu pochodzącego z sieci szkieletowej oraz nagłówki GRE od ruchu pochodzącego z oddziałów.
(2) W przypadku ruchu VXLAN pomiędzy VTEP, NPB może usuwać zewnętrzne nagłówki VXLAN podczas przekazywania ruchu do narzędzi monitorujących, umożliwiając narzędziom inspekcję oryginalnego ruchu maszyny wirtualnej.
(3) NPB przekazuje wstępnie przetworzony ruch (z odciętym nagłówkiem) do VTEP, które muszą jedynie obsłużyć enkapsulację/dekapsulację VXLAN dla natywnego ładunku. Taka konfiguracja zmniejsza obciążenie przetwarzania VTEP, umożliwia kompleksową analizę ruchu i zapewnia płynną interoperacyjność między segmentami MPLS, GRE i VXLAN.
Protokoły VTEP stanowią podstawę sieci VXLAN, umożliwiając skalowalną wirtualizację i komunikację wielodostępną. Jednak rosnąca złożoność ruchu enkapsulowanego w nowoczesnych sieciach stwarza poważne wyzwania dla wydajności i widoczności sieci VTEP. Brokery pakietów sieciowych z funkcją tunelowania enkapsulacji (Tunnel Encapsulation Stripping) rozwiązują te problemy poprzez wstępne przetwarzanie ruchu i usuwanie różnorodnych nagłówków (VXLAN, VLAN, GRE, GTP, MPLS, IPIP) przed dotarciem do kontrolerów VTEP lub narzędzi monitorujących. To nie tylko optymalizuje wydajność VTEP poprzez zmniejszenie obciążenia przetwarzania, ale także poprawia widoczność sieci, bezpieczeństwo i interoperacyjność w środowiskach heterogenicznych.
W miarę jak organizacje będą wdrażać architektury chmurowe i hybrydowe rozwiązania chmurowe, synergia między NPB a VTEP będzie zyskiwać na znaczeniu. Wykorzystując funkcję usuwania enkapsulacji tunelu w NPB, administratorzy sieci mogą w pełni wykorzystać potencjał sieci VXLAN, zapewniając ich wydajność, bezpieczeństwo i elastyczność w dostosowywaniu się do zmieniających się potrzeb biznesowych.
Czas publikacji: 09-01-2026
