Ամպային հաշվարկների և ցանցային վիրտուալիզացիայի դարաշրջանում VXLAN-ը (Virtual Extensible LAN) դարձել է մասշտաբային, ճկուն վերադրվող ցանցեր կառուցելու անկյունաքարային տեխնոլոգիա: VXLAN ճարտարապետության հիմքում ընկած է VTEP-ը (VXLAN Tunnel Endpoint), որը կարևոր բաղադրիչ է, որը հնարավորություն է տալիս անխափան փոխանցել 2-րդ մակարդակի երթևեկությունը 3-րդ մակարդակի ցանցերի միջով: Քանի որ ցանցային երթևեկությունը գնալով բարդանում է տարբեր ինկապսուլյացիայի արձանագրությունների պատճառով, թունելային ինկապսուլյացիայի մաքրման հնարավորություններով ցանցային փաթեթային բրոքերների (NPB) դերը դարձել է անփոխարինելի VTEP գործողությունների օպտիմալացման գործում: Այս բլոգը ուսումնասիրում է VTEP-ի հիմունքները և դրա կապը VXLAN-ի հետ, ապա խորանում է նրանում, թե ինչպես է NPB-ների թունելային ինկապսուլյացիայի մաքրման գործառույթը բարելավում VTEP-ի աշխատանքը և ցանցի տեսանելիությունը:
VTEP-ի և դրա VXLAN-ի հետ կապի ըմբռնումը
Նախ, եկեք պարզաբանենք հիմնական հասկացությունները. VTEP-ը, որը կրճատ է՝ VXLAN Tunnel Endpoint, ցանցային միավոր է, որը պատասխանատու է VXLAN փաթեթների պատիճավորման և ապակապսուլացման համար VXLAN ծածկույթային ցանցում: Այն ծառայում է որպես VXLAN թունելների մեկնարկային և վերջնակետային կետ՝ գործելով որպես «դարպաս», որը կամուրջ է դարձնում վիրտուալ ծածկույթային ցանցը և ֆիզիկական ենթաշերտային ցանցը: VTEP-ները կարող են իրականացվել որպես ֆիզիկական սարքեր (օրինակ՝ VXLAN-ի հետ համատեղելի անջատիչներ կամ ռաութերներ) կամ ծրագրային միավորներ (օրինակ՝ վիրտուալ անջատիչներ, կոնտեյներային հոսթեր կամ վիրտուալ մեքենաների վրա գտնվող պրոքսիներ):
VTEP-ի և VXLAN-ի միջև կապը բնույթով սիմբիոտիկ է. VXLAN-ը հենվում է VTEP-ների վրա՝ իր հիմնական ֆունկցիոնալությունն իրականացնելու համար, մինչդեռ VTEP-ները գոյություն ունեն բացառապես VXLAN գործողությունները աջակցելու համար: VXLAN-ի հիմնական արժեքն այն է, որ ստեղծի վիրտուալ 2-րդ մակարդակի ցանց 3-րդ մակարդակի IP ցանցի վերևում՝ MAC-in-UDP ինկապսուլյացիայի միջոցով, հաղթահարելով ավանդական VLAN-ների (որոնք աջակցում են միայն 4096 VLAN ID-ներ) մասշտաբայնության սահմանափակումները՝ 24-բիթանոց VXLAN ցանցի նույնականացուցիչով (VNI), որը հնարավորություն է տալիս միանալ մինչև 16 միլիոն վիրտուալ ցանցերի: Ահա, թե ինչպես են VTEP-ները հնարավորություն տալիս դա անել. Երբ վիրտուալ մեքենան (VM) ուղարկում է երթևեկություն, տեղական VTEP-ը ինկապսուլացնում է 2-րդ մակարդակի Ethernet շրջանակը՝ ավելացնելով VXLAN վերնագիր (որը պարունակում է VNI-ն), UDP վերնագիր (օգտագործելով 4789 միացքը ըստ լռելյայնի), արտաքին IP վերնագիր (աղբյուրի VTEP IP-ով և նպատակակետի VTEP IP-ով) և արտաքին Ethernet վերնագիր: Այնուհետև պարկուճացված փաթեթը 3-րդ մակարդակի ենթաշերտային ցանցի միջոցով փոխանցվում է VTEP նշանակման կետին, որը դեկապսուլացնում է փաթեթը՝ հեռացնելով բոլոր արտաքին վերնագրերը, վերականգնում է սկզբնական Ethernet շրջանակը և VNI-ի հիման վրա վերահասցեագրում է այն նպատակային վիրտուալ մեքենա։
Բացի այդ, VTEP-ները կատարում են կարևորագույն առաջադրանքներ, ինչպիսիք են MAC հասցեների ուսուցումը (տեղական և հեռակա հոսթերի MAC հասցեների դինամիկ կերպով համապատասխանեցումը VTEP IP-ներին) և հեռարձակման, անհայտ միակայան և բազմակայան (BUM) երթևեկության մշակումը՝ կամ բազմակայան խմբերի, կամ գլխային մասի վերարտադրման միջոցով՝ միայն միակայան ռեժիմով: Ըստ էության, VTEP-ները այն շինանյութերն են, որոնք հնարավոր են դարձնում VXLAN-ի ցանցի վիրտուալիզացիան և բազմաօգտատերերի մեկուսացումը:
VTEP-ների համար ինկապսուլացված երթևեկության մարտահրավերը
Ժամանակակից տվյալների կենտրոնների միջավայրերում VTEP երթևեկությունը հազվադեպ է սահմանափակվում մաքուր VXLAN ինկապսուլյացիայով: VTEP-ներով անցնող երթևեկությունը հաճախ VXLAN-ից բացի կրում է ինկապսուլյացիայի վերնագրերի մի քանի շերտեր, այդ թվում՝ VLAN, GRE, GTP, MPLS կամ IPIP: Այս ինկապսուլյացիայի բարդությունը լուրջ մարտահրավերներ է առաջացնում VTEP գործողությունների և հետագա ցանցի մոնիթորինգի, վերլուծության և անվտանգության ապահովման համար.
○ - Նվազեցված տեսանելիությունՑանցի մոնիթորինգի և անվտանգության գործիքների մեծ մասը (օրինակ՝ IDS/IPS, հոսքի վերլուծիչներ և փաթեթների որոնիչներ) նախատեսված են 2-րդ/3-րդ մակարդակի բնօրինակ երթևեկությունը մշակելու համար: Ինկապսուլացված վերնագրերը ծածկում են սկզբնական բեռը, ինչը անհնար է դարձնում այս գործիքների համար ճշգրիտ վերլուծել երթևեկության բովանդակությունը կամ հայտնաբերել անոմալիաներ:
○ - Մշակման ծախսերի ավելացումVTEP-ները իրենք պետք է լրացուցիչ հաշվողական ռեսուրսներ ծախսեն բազմաշերտ փաթեթավորված փաթեթներ մշակելու համար, հատկապես բարձր երթևեկության միջավայրերում: Սա կարող է հանգեցնել լատենտության աճի, թողունակության նվազման և հնարավոր կատարողականի խափանումների:
○ - Փոխգործունակության խնդիրներՏարբեր ցանցային հատվածներ կամ բազմամատակարար միջավայրեր կարող են օգտագործել տարբեր ինկապսուլյացիայի արձանագրություններ: Առանց վերնագրերի պատշաճ ապակոդավորման, երթևեկությունը կարող է ճիշտ չուղղորդվել կամ չմշակվել VTEP-ների միջով անցնելիս, ինչը կհանգեցնի փոխգործունակության խնդիրների:
Ինչպես է NPB-ների թունելային պատիճավորման ապամոնտաժումը հզորացնում VTEP-ները
Mylinking™ ցանցային փաթեթային բրոքերները (NPB)՝ թունելային ծածկագրման մաքրման հնարավորություններով, լուծում են այս մարտահրավերները՝ գործելով որպես VTEP-ների «երթևեկության նախնական մշակիչ»: NPB-ները կարող են մաքրել տարբեր ծածկագրման վերնագրեր (ներառյալ VXLAN, VLAN, GRE, GTP, MPLS և IPIP) սկզբնական տվյալների փաթեթներից՝ նախքան երթևեկությունը VTEP-ներին կամ մոնիթորինգի/անվտանգության գործիքներին փոխանցելը: Այս ֆունկցիոնալությունը VTEP գործողությունների համար ապահովում է երեք հիմնական առավելություն.
1. Բարելավված ցանցի տեսանելիություն և անվտանգություն
Կապսուլացման վերնագրերը հեռացնելով՝ NPB-ները բացահայտում են փաթեթների սկզբնական բեռը՝ թույլ տալով մոնիթորինգի և անվտանգության գործիքներին «տեսնել» իրական երթևեկության բովանդակությունը: Օրինակ, երբ VTEP երթևեկությունը վերահասցեագրվում է IDS/IPS-ին, NPB-ն նախ հեռացնում է VXLAN և MPLS վերնագրերը՝ թույլ տալով IDS/IPS-ին հայտնաբերել չարամիտ գործունեություն (օրինակ՝ վնասակար ծրագիր կամ չարտոնված մուտքի փորձեր) սկզբնական շրջանակում: Սա հատկապես կարևոր է բազմավարձակալ միջավայրերում, որտեղ VTEP-ները մշակում են բազմաթիվ վարձակալներից եկող երթևեկությունը. NPB-ները ապահովում են, որ անվտանգության գործիքները կարող են ստուգել վարձակալին հատուկ երթևեկությունը՝ առանց կապսուլացիայի խոչընդոտների:
Ավելին, NPB-ները կարող են ընտրողաբար հեռացնել վերնագրերը՝ հիմնվելով երթևեկության տեսակների կամ VNI-ի վրա, ապահովելով մանրամասն տեսանելիություն որոշակի վիրտուալ ցանցերում: Սա օգնում է ցանցային ադմինիստրատորներին լուծել խնդիրները (օրինակ՝ փաթեթների կորուստը կամ լատենտությունը)՝ հնարավորություն տալով ճշգրիտ վերլուծել երթևեկությունը առանձին VXLAN հատվածներում:
2. VTEP-ի օպտիմալացված կատարողականություն
NPB-ները վերագրում են վերնագրերի ապակապսուլյացիայի խնդիրը VTEP-ներից՝ նվազեցնելով VTEP սարքերի մշակման ծանրաբեռնվածությունը: VTEP-ների կողմից վերնագրերի բազմաթիվ շերտերի ապակապսուլյացիայի վրա CPU-ի ռեսուրսներ ծախսելու փոխարեն (օրինակ՝ VLAN + GRE + VXLAN), NPB-ները կատարում են այս նախնական մշակման քայլը, թույլ տալով VTEP-ներին կենտրոնանալ իրենց հիմնական պարտականությունների վրա՝ VXLAN փաթեթների ապակապսուլյացիա/ապակսուլյացիա և թունելների կառավարում: Սա հանգեցնում է ավելի ցածր լատենտության, ավելի բարձր թողունակության և VXLAN ծածկույթային ցանցի ընդհանուր կատարողականի բարելավման, հատկապես բարձր խտության վիրտուալիզացիայի միջավայրերում՝ հազարավոր վիրտուալ մեքենաներով և մեծ երթևեկության ծանրաբեռնվածությամբ:
Օրինակ, տվյալների կենտրոնում, որտեղ NPB-ները և կոմուտատորները գործում են որպես VTEP-ներ, NPB-ն (օրինակ՝ Mylinking™ Network Packet Brokers) կարող է VLAN և MPLS վերնագրերը հեռացնել մուտքային երթևեկությունից, նախքան դրանք կհասնեն VTEP-ներին: Սա նվազեցնում է VTEP-ների կողմից կատարվող վերնագրերի մշակման գործողությունների քանակը, թույլ տալով նրանց կառավարել ավելի շատ միաժամանակյա թունելներ և երթևեկության հոսքեր:
3. Բարելավված փոխգործունակություն տարբեր ցանցերի միջև
Բազմամատակարար կամ բազմաբաժանված ցանցերում ենթակառուցվածքի տարբեր մասերը կարող են օգտագործել տարբեր ինկապսուլյացիայի արձանագրություններ: Օրինակ, հեռակա տվյալների կենտրոնից երթևեկությունը կարող է տեղական VTEP հասնել GRE ինկապսուլյացիայի միջոցով, մինչդեռ տեղական երթևեկությունն օգտագործում է VXLAN: NPB-ն կարող է հեռացնել այս բազմազան վերնագրերը (GRE, VXLAN, IPIP և այլն) և VTEP-ին ուղղորդել հետևողական, բնիկ երթևեկության հոսք՝ վերացնելով փոխգործունակության խնդիրները: Սա հատկապես արժեքավոր է հիբրիդային ամպային միջավայրերում, որտեղ հանրային ամպային ծառայություններից երթևեկությունը (հաճախ օգտագործելով GTP կամ IPIP ինկապսուլյացիա) պետք է ինտեգրվի տեղական VXLAN ցանցերի հետ VTEP-ների միջոցով:
Բացի այդ, NPB-ները կարող են հեռացված վերնագրերը որպես մետատվյալներ ուղարկել մոնիթորինգի գործիքներին՝ ապահովելով, որ ադմինիստրատորները պահպանեն սկզբնական ինկապսուլյացիայի համատեքստը (օրինակ՝ VNI կամ MPLS պիտակ), միաժամանակ հնարավորություն տալով վերլուծել բնօրինակ բեռը: Վերնագրերի հեռացման և համատեքստի պահպանման միջև այս հավասարակշռությունը ցանցի արդյունավետ կառավարման բանալին է:
Ինչպե՞ս իրականացնել թունելային փաթեթների ապամոնտաժման ֆունկցիան VTEP-ում։
VTEP-ում թունելի ինկապսուլյացիայի ապակապսուլյացիայի իրականացումը կարող է իրականացվել ապարատային մակարդակի կարգավորման, ծրագրային ապահովմամբ սահմանված քաղաքականության և SDN կարգավորիչների հետ սիներգիայի միջոցով, որտեղ հիմնական տրամաբանությունը կենտրոնանում է թունելի վերնագրերի նույնականացման → ապակապսուլյացիայի գործողություններ կատարելու → սկզբնական բեռների փոխանցման վրա: Իրականացման կոնկրետ մեթոդները փոքր-ինչ տարբերվում են՝ կախված VTEP տեսակներից (ֆիզիկական/ծրագրային), և հիմնական մոտեցումներն են հետևյալը.
Հիմա մենք խոսում ենք ֆիզիկական VTEP-ների վրա ներդրման մասին (օրինակ՝Mylinking™ VXLAN-ի հետ համատեղելի ցանցային փաթեթային բրոքերներ) այստեղ։
Ֆիզիկական VTEP-ները (օրինակ՝ Mylinking™ VXLAN-համատեղելի ցանցային փաթեթային բրոքերները) հենվում են ապարատային չիպերի և նվիրված կարգավորման հրամանների վրա՝ արդյունավետ ինկապսուլյացիայի ապակապսուլյացիա ապահովելու համար, որը հարմար է բարձր երթևեկության տվյալների կենտրոնների սցենարների համար.
Ինտերֆեյսի վրա հիմնված ինկապսուլյացիայի համապատասխանեցում. Ստեղծեք ենթաինտերֆեյսեր VTEP-ների ֆիզիկական մուտքի միացքների վրա և կարգավորեք ինկապսուլյացիայի տեսակները՝ համապատասխանեցնելու և որոշակի թունելի վերնագրերը հեռացնելու համար: Օրինակ, Mylinking™ VXLAN-համատեղելի ցանցային փաթեթային բրոքերների վրա կարգավորեք 2-րդ մակարդակի ենթաինտերֆեյսները՝ 802.1Q VLAN թեգերը կամ չնշագրված շրջանակները ճանաչելու համար, և ջնջեք VLAN վերնագրերը՝ նախքան երթևեկությունը VXLAN թունել ուղղորդելը: GRE/MPLS-ինկապսուլացված երթևեկության համար միացրեք համապատասխան արձանագրության վերլուծությունը ենթաինտերֆեյսի վրա՝ արտաքին վերնագրերը հեռացնելու համար:
Քաղաքականության վրա հիմնված վերնագրերի հեռացում. Օգտագործեք ACL (Մուտքի վերահսկման ցանկ) կամ երթևեկության քաղաքականություն՝ համապատասխան կանոններ սահմանելու համար (օրինակ՝ համապատասխանեցնել UDP պորտ 4789-ը VXLAN-ի համար, արձանագրության տեսակ 47-ը GRE-ի համար) և կապակցել հեռացման գործողությունները: Երբ երթևեկությունը համապատասխանում է կանոններին, VTEP ապարատային չիպը ավտոմատ կերպով հեռացնում է նշված թունելային վերնագրերը (VXLAN/UDP/IP արտաքին վերնագրեր, MPLS պիտակներ և այլն) և փոխանցում է 2-րդ մակարդակի սկզբնական բեռը:
Բաշխված դարպասների սիներգիա. Spine-Leaf VXLAN ճարտարապետություններում ֆիզիկական VTEP-ները (տերևային հանգույցներ) կարող են համագործակցել 3-րդ մակարդակի դարպասների հետ՝ բազմաշերտ շերտազատումն ավարտելու համար: Օրինակ, երբ Spine հանգույցները MPLS-ով ներառված VXLAN երթևեկությունը փոխանցում են Leaf VTEP-ներին, VTEP-ները նախ հեռացնում են MPLS պիտակները, ապա կատարում են VXLAN դեկապսուլյացիա:
Ձեզ անհրաժեշտ է կոնֆիգուրացիայի օրինակ որոշակի մատակարարի VTEP սարքի համար (օրինակ՝Mylinking™ VXLAN-ի հետ համատեղելի ցանցային փաթեթային բրոքերներ) իրականացնել թունելի պատիճավորման ապամոնտաժումը։
Գործնական կիրառման սցենար
Դիտարկենք մեծ ձեռնարկության տվյալների կենտրոն, որը տեղակայում է VXLAN ծածկույթային ցանց՝ H3C կոմուտատորներով որպես VTEP-ներ, որոնք աջակցում են բազմաթիվ վարձակալ վիրտուալ մեքենաների: Տվյալների կենտրոնը օգտագործում է MPLS՝ հիմնական կոմուտատորների միջև երթևեկության փոխանցման համար, և VXLAN՝ VM-ից VM հաղորդակցության համար: Բացի այդ, հեռավոր մասնաճյուղերը երթևեկություն են ուղարկում տվյալների կենտրոն GRE թունելների միջոցով: Անվտանգությունն ու տեսանելիությունն ապահովելու համար ձեռնարկությունը հիմնական ցանցի և VTEP-ների միջև տեղակայում է NPB՝ թունելային ծածկույթի շերտազատմամբ:
Երբ երթևեկությունը հասնում է տվյալների կենտրոն՝
(1) NPB-ն նախ հեռացնում է MPLS վերնագրերը հիմնական ցանցից եկող երթևեկությունից և GRE վերնագրերը մասնաճյուղային գրասենյակի երթևեկությունից։
(2) VTEP-ների միջև VXLAN երթևեկության համար NPB-ն կարող է հեռացնել արտաքին VXLAN վերնագրերը, երբ երթևեկությունը վերահասցեագրում է մոնիթորինգի գործիքներին, թույլ տալով գործիքներին ստուգել սկզբնական VM երթևեկությունը։
(3) NPB-ն նախապես մշակված (վերնագրից հեռացված) երթևեկությունը փոխանցում է VTEP-ներին, որոնք միայն պետք է մշակեն VXLAN-ի ինկապսուլյացիան/դեկապսուլյացիան բնիկ բեռի համար։ Այս կարգավորումը նվազեցնում է VTEP մշակման բեռը, հնարավորություն է տալիս համապարփակ երթևեկության վերլուծության և ապահովում է MPLS, GRE և VXLAN հատվածների միջև անխափան փոխգործունակություն։
VTEP-ները VXLAN ցանցերի հիմքն են, որոնք հնարավորություն են տալիս իրականացնել մասշտաբային վիրտուալիզացիա և բազմա-վարձակալային հաղորդակցություն: Այնուամենայնիվ, ժամանակակից ցանցերում ինկապսուլացված երթևեկության աճող բարդությունը լուրջ մարտահրավերներ է առաջացնում VTEP-ի աշխատանքի և ցանցի տեսանելիության համար: Թունելային ինկապսուլացման մաքրման հնարավորություններով ցանցային փաթեթային բրոքերները լուծում են այս մարտահրավերները՝ նախնական մշակելով երթևեկությունը, մաքրելով տարբեր վերնագրերը (VXLAN, VLAN, GRE, GTP, MPLS, IPIP) նախքան դրանք հասնեն VTEP-ներին կամ մոնիթորինգի գործիքներին: Սա ոչ միայն օպտիմալացնում է VTEP-ի աշխատանքը՝ նվազեցնելով մշակման ծանրաբեռնվածությունը, այլև բարելավում է ցանցի տեսանելիությունը, ամրապնդում անվտանգությունը և բարելավում է փոխգործունակությունը տարասեռ միջավայրերում:
Քանի որ կազմակերպությունները շարունակում են ներդնել ամպային ճարտարապետություններ և հիբրիդային ամպային տեղակայումներ, NPB-ների և VTEP-ների միջև համագործակցությունը կդառնա ավելի ու ավելի կարևոր։ NPB-ների թունելային ինկապսուլյացիայի ապակապսուլյացիայի գործառույթն օգտագործելով՝ ցանցային ադմինիստրատորները կարող են բացահայտել VXLAN ցանցերի ողջ ներուժը՝ ապահովելով դրանց արդյունավետությունը, անվտանգությունը և փոփոխվող բիզնեսի կարիքներին հարմարվողականությունը։
Հրապարակման ժամանակը. Հունվար-09-2026
