Bulud hesablamaları və şəbəkə virtuallaşdırması dövründə VXLAN (Virtual Genişləndirilə Bilən LAN) genişlənə bilən, çevik üst-üstə düşən şəbəkələrin qurulması üçün təməl texnologiyaya çevrilmişdir. VXLAN arxitekturasının mərkəzində 2-ci təbəqə trafikinin 3-cü təbəqə şəbəkələri arasında sorunsuz ötürülməsini təmin edən vacib bir komponent olan VTEP (VXLAN Tunel Son Nöqtəsi) dayanır. Şəbəkə trafiki müxtəlif enkapsulasiya protokolları ilə getdikcə daha mürəkkəbləşdikcə, Tunel Enkapsulasiya Soyma imkanlarına malik Şəbəkə Paket Brokerlərinin (NPB) rolu VTEP əməliyyatlarının optimallaşdırılmasında əvəzolunmaz hala gəlmişdir. Bu bloq VTEP-in əsaslarını və onun VXLAN ilə əlaqəsini araşdırır, sonra NPB-lərin tunel enkapsulasiya soyma funksiyasının VTEP performansını və şəbəkə görünürlüyünü necə artırdığını araşdırır.
VTEP və onun VXLAN ilə əlaqəsini anlamaq
Əvvəlcə əsas anlayışları aydınlaşdıraq: VTEP, VXLAN Tunel Son Nöqtəsinin qısaltmasıdır və VXLAN üst-üstə düşən şəbəkədə VXLAN paketlərini kapsullaşdırmaq və dekapsulalaşdırmaqdan məsul olan şəbəkə qurumudur. O, virtual üst-üstə düşən şəbəkə ilə fiziki alt şəbəkəni körpüləşdirən "keçid" kimi çıxış edərək VXLAN tunellərinin başlanğıc və son nöqtəsi kimi xidmət edir. VTEP-lər fiziki qurğular (məsələn, VXLAN-a uyğun açarlar və ya marşrutlaşdırıcılar) və ya proqram təminatı qurumları (virtual açarlar, konteyner hostları və ya virtual maşınlardakı proksilər kimi) kimi tətbiq oluna bilər.
VTEP və VXLAN arasındakı əlaqə mahiyyət etibarilə simbiotikdir — VXLAN əsas funksionallığını həyata keçirmək üçün VTEP-lərə güvənir, VTEP-lər isə yalnız VXLAN əməliyyatlarını dəstəkləmək üçün mövcuddur. VXLAN-ın əsas dəyəri, 16 milyona qədər virtual şəbəkəyə imkan verən 24 bitlik VXLAN Şəbəkə İdentifikatoru (VNI) ilə ənənəvi VLAN-ların (yalnız 4096 VLAN ID-ni dəstəkləyən) miqyaslanma məhdudiyyətlərini aradan qaldırmaq üçün MAC-in-UDP enkapsulyasiyası vasitəsilə 3-cü səviyyəli IP şəbəkəsinin üstündə virtual 2-ci səviyyəli şəbəkə yaratmaqdır. VTEP-lər bunu necə təmin edir: Virtual maşın (VM) trafik göndərdikdə, yerli VTEP, VXLAN başlığı (VNI ehtiva edir), UDP başlığı (standart olaraq 4789 portundan istifadə edir), xarici IP başlığı (mənbə VTEP IP və təyinat VTEP IP ilə) və xarici Ethernet başlığı əlavə etməklə orijinal 2-ci səviyyəli Ethernet çərçivəsini enkapsulyasiya edir. Kapsulalanmış paket daha sonra 3-cü səviyyə alt şəbəkəsi üzərindən təyinat VTEP-ə ötürülür və VTEP bütün xarici başlıqları çıxararaq paketi dekapsulalaşdırır, orijinal Ethernet çərçivəsini bərpa edir və VNI-yə əsasən hədəf VM-ə ötürür.
Bundan əlavə, VTEP-lər MAC ünvanının öyrənilməsi (yerli və uzaq hostların MAC ünvanlarının VTEP IP-lərinə dinamik şəkildə xəritələşdirilməsi) və Yayım, Naməlum Unicast və Multicast (BUM) trafikinin emalı kimi vacib tapşırıqları yerinə yetirir — ya multicast qrupları vasitəsilə, ya da yalnız unicast rejimində başlıq replikasiyası vasitəsilə. Əslində, VTEP-lər VXLAN-ın şəbəkə virtualizasiyasını və çoxkirayəçi izolyasiyasını mümkün edən tikinti bloklarıdır.
VTEP-lər üçün Kapsulalanmış Trafikin Çətinliyi
Müasir məlumat mərkəzi mühitlərində VTEP trafiki nadir hallarda təmiz VXLAN kapsullaşdırılması ilə məhdudlaşır. VTEP-lərdən keçən trafik, VXLAN-a əlavə olaraq, VLAN, GRE, GTP, MPLS və ya IPIP daxil olmaqla, çoxsaylı kapsullaşdırma başlıqları qatlarını daşıyır. Bu kapsullaşdırma mürəkkəbliyi VTEP əməliyyatları və sonrakı şəbəkə monitorinqi, təhlili və təhlükəsizlik tədbirləri üçün əhəmiyyətli çətinliklər yaradır:
○ - Görmə qabiliyyətinin azalmasıŞəbəkə monitorinqi və təhlükəsizlik alətlərinin əksəriyyəti (məsələn, IDS/IPS, axın analizatorları və paket analizatorları) yerli 2/3-cü səviyyə trafikini emal etmək üçün hazırlanmışdır. Kapsulalanmış başlıqlar orijinal faydalı yükü gizlədir və bu alətlərin trafik məzmununu dəqiq təhlil etməsini və ya anomaliyaları aşkar etməsini qeyri-mümkün edir.
○ - Artan emal xərcləriVTEP-lər özləri, xüsusən də yüksək trafik mühitlərində çoxqatlı kapsulalanmış paketləri emal etmək üçün əlavə hesablama resursları sərf etməlidirlər. Bu, gecikmənin artmasına, ötürmə qabiliyyətinin azalmasına və potensial performans maneələrinə səbəb ola bilər.
○ - Qarşılıqlı Əlaqə ProblemləriMüxtəlif şəbəkə seqmentləri və ya çoxsatıcılı mühitlər fərqli kapsullaşdırma protokollarından istifadə edə bilər. Başlıqların düzgün şəkildə təmizlənməsi olmadan, trafik VTEP-lərdən keçərkən düzgün şəkildə yönləndirilə və ya emal edilə bilməz ki, bu da qarşılıqlı əlaqə problemlərinə səbəb ola bilər.
NPB-lərin Tunel Enkapsulyasiyası Soyulması VTEP-ləri Necə Gücləndirir
Tunel Enkapsulyasiyası Zolaqlama imkanlarına malik Mylinking™ Şəbəkə Paket Brokerləri (NPB), VTEP-lər üçün "Trafik öncəsi prosessor" kimi çıxış edərək bu çətinlikləri həll edir. NPB-lər, trafiki VTEP-lərə və ya monitorinq/təhlükəsizlik alətlərinə ötürməzdən əvvəl müxtəlif enkapsulyasiya başlıqlarını (VXLAN, VLAN, GRE, GTP, MPLS və IPIP daxil olmaqla) orijinal məlumat paketlərindən ayıra bilər. Bu funksionallıq VTEP əməliyyatları üçün üç əsas üstünlük təmin edir:
1. Təkmilləşdirilmiş Şəbəkə Görünüşü və Təhlükəsizliyi
Enkapsulasiya başlıqlarını silməklə, NPB-lər paketlərin orijinal yükünü ifşa edir və monitorinq və təhlükəsizlik alətlərinin faktiki trafik məzmununu "görməsinə" imkan verir. Məsələn, VTEP trafiki IDS/IPS-ə yönləndirildikdə, NPB əvvəlcə VXLAN və MPLS başlıqlarını silir və bu da IDS/IPS-in orijinal çərçivədə zərərli fəaliyyəti (məsələn, zərərli proqram və ya icazəsiz giriş cəhdləri) aşkar etməsinə imkan verir. Bu, xüsusilə VTEP-lərin birdən çox kirayəçidən gələn trafiki idarə etdiyi çoxkirayəçi mühitlərində vacibdir - NPB-lər təhlükəsizlik alətlərinin enkapsulasiya ilə maneə törədilmədən kirayəçiyə xas trafiki yoxlaya biləcəyini təmin edir.
Bundan əlavə, NPB-lər trafik növlərinə və ya VNI-yə əsasən başlıqları seçici şəkildə silə bilər və bu da müəyyən virtual şəbəkələrə ətraflı görünürlük təmin edir. Bu, şəbəkə administratorlarına fərdi VXLAN seqmentləri daxilində trafikin dəqiq təhlilini təmin etməklə problemləri (məsələn, paket itkisi və ya gecikmə) həll etməyə kömək edir.
2. Optimallaşdırılmış VTEP Performansı
NPB-lər başlıq təmizləmə tapşırığını VTEP-lərdən boşaldır və VTEP cihazlarında emal xərclərini azaldır. VTEP-lər CPU resurslarını çoxsaylı başlıq təbəqələrini (məsələn, VLAN + GRE + VXLAN) təmizləməyə xərcləmək əvəzinə, NPB-lər bu əvvəlcədən işləmə addımını yerinə yetirir və VTEP-lərə əsas vəzifələrinə: VXLAN paketlərinin kapsullaşdırılması/dekapsullaşdırılması və tunel idarəetməsinə diqqət yetirməyə imkan verir. Bu, daha aşağı gecikmə, daha yüksək ötürmə qabiliyyəti və VXLAN üst-üstə düşmə şəbəkəsinin ümumi performansının yaxşılaşması ilə nəticələnir - xüsusən də minlərlə VM və ağır trafik yükü olan yüksək sıxlıqlı virtuallaşdırma mühitlərində.
Məsələn, NPB və Kommutatorların VTEP kimi fəaliyyət göstərdiyi məlumat mərkəzində, NPB (məsələn, Mylinking™ Network Packet Brokers) VLAN və MPLS başlıqlarını daxil olan trafikdən VTEP-lərə çatmadan əvvəl təmizləyə bilər. Bu, VTEP-lərin yerinə yetirməli olduğu başlıq emal əməliyyatlarının sayını azaldır və daha çox paralel tunel və trafik axınlarını idarə etməyə imkan verir.
3. Heterojen Şəbəkələr Arasında Təkmilləşdirilmiş Qarşılıqlı Əlaqə
Çoxsatıcılı və ya çoxseqmentli şəbəkələrdə infrastrukturun müxtəlif hissələri fərqli kapsullaşdırma protokollarından istifadə edə bilər. Məsələn, uzaq məlumat mərkəzindən trafik GRE kapsullaşdırması ilə yerli VTEP-ə gələ bilər, yerli trafik isə VXLAN-dan istifadə edir. NPB bu müxtəlif başlıqları (GRE, VXLAN, IPIP və s.) silə və ardıcıl, yerli trafik axınını VTEP-ə yönləndirə bilər və bununla da qarşılıqlı fəaliyyət problemlərini aradan qaldırır. Bu, xüsusilə ictimai bulud xidmətlərindən (tez-tez GTP və ya IPIP kapsullaşdırmasından istifadə edərək) gələn trafikin VTEP-lər vasitəsilə yerli VXLAN şəbəkələri ilə inteqrasiya olunması lazım olduğu hibrid bulud mühitlərində dəyərlidir.
Bundan əlavə, NPB-lər soyulmuş başlıqları metaməlumatlar kimi monitorinq alətlərinə ötürə bilər və bu da administratorların orijinal inkapsulyasiya (məsələn, VNI və ya MPLS etiketi) haqqında konteksti saxlamasını təmin edir və eyni zamanda yerli faydalı yükün təhlilini də aktivləşdirir. Başlıq soyulması və kontekstin qorunması arasındakı bu balans effektiv şəbəkə idarəetməsi üçün açardır.
VTEP-də tunel paketinin soyulması funksiyasını necə tətbiq etmək olar?
VTEP-də tunel kapsulasının soyulması aparat səviyyəsində konfiqurasiya, proqram təminatı ilə müəyyən edilmiş siyasətlər və SDN nəzarətçiləri ilə sinerji vasitəsilə həyata keçirilə bilər, əsas məntiq tunel başlıqlarının müəyyən edilməsi → soyma hərəkətlərinin yerinə yetirilməsi → orijinal faydalı yüklərin yönləndirilməsinə yönəlmişdir. Xüsusi tətbiq üsulları VTEP növlərinə (fiziki/proqram təminatı) görə bir qədər dəyişir və əsas yanaşmalar aşağıdakılardır:
İndi isə Fiziki VTEP-lərdə Tətbiqdən danışırıq (məsələn,Mylinking™ VXLAN-a uyğun Şəbəkə Paket Brokerləri) burada.
Fiziki VTEP-lər (məsələn, Mylinking™ VXLAN-la işləyən Şəbəkə Paket Brokerləri) yüksək trafikli məlumat mərkəzi ssenariləri üçün uyğun olan səmərəli enkapsulasiya soyulmasına nail olmaq üçün aparat çiplərinə və xüsusi konfiqurasiya əmrlərinə əsaslanır:
İnterfeys əsaslı enkapsulasiya uyğunluğu: VTEP-lərin fiziki giriş portlarında alt interfeyslər yaradın və enkapsulasiya növlərini müəyyən tunel başlıqlarını uyğunlaşdırmaq və silmək üçün konfiqurasiya edin. Məsələn, Mylinking™ VXLAN-la işləyən Şəbəkə Paket Brokerlərində, Layer 2 alt interfeyslərini 802.1Q VLAN etiketlərini və ya etiketsiz çərçivələri tanımaq üçün konfiqurasiya edin və trafiki VXLAN tunelinə yönləndirməzdən əvvəl VLAN başlıqlarını silin. GRE/MPLS ilə enkapsulasiya edilmiş trafik üçün, xarici başlıqları silmək üçün alt interfeysdə müvafiq protokol təhlilini aktivləşdirin.
Siyasətə əsaslanan başlıq təmizlənməsi: Uyğunlaşdırma qaydalarını (məsələn, VXLAN üçün UDP portu 4789, GRE üçün protokol növü 47) təyin etmək və təmizləmə hərəkətlərini əlaqələndirmək üçün ACL (Giriş Nəzarəti Siyahısı) və ya trafik siyasətindən istifadə edin. Trafik qaydalara uyğun gəldikdə, VTEP aparat çipi avtomatik olaraq göstərilən tunel başlıqlarını (VXLAN/UDP/IP xarici başlıqları, MPLS etiketləri və s.) təmizləyir və orijinal Layer 2 faydalı yükünü ötürür.
Paylanmış şlüz sinerjisi: Onurğa-Yarpaq VXLAN arxitekturalarında fiziki VTEP-lər (Yarpaq düyünləri) çoxqatlı strippingi tamamlamaq üçün Layer 3 şlüzləri ilə əməkdaşlıq edə bilər. Məsələn, Onurğa düyünləri MPLS ilə kapsullaşdırılmış VXLAN trafikini Yarpaq VTEP-lərinə yönləndirdikdən sonra VTEP-lər əvvəlcə MPLS etiketlərini strip edir, sonra isə VXLAN dekapsulasiyasını həyata keçirir.
Müəyyən bir satıcının VTEP cihazı (məsələn,) üçün konfiqurasiya nümunəsinə ehtiyacınız varmı?Mylinking™ VXLAN-a uyğun Şəbəkə Paket Brokerləri) tunel kapsulasının soyulmasını həyata keçirmək üçün?
Praktik Tətbiq Ssenarisi
Böyük bir müəssisə məlumat mərkəzini nəzərdən keçirin ki, o, birdən çox icarəçi VM-i dəstəkləyən, H3C kommutatorları ilə VXLAN üst-üstə düşən şəbəkəsini VTEP kimi yerləşdirir. Məlumat mərkəzi əsas kommutatorlar arasında trafik ötürülməsi üçün MPLS və VM-dən VM-ə rabitə üçün VXLAN-dan istifadə edir. Bundan əlavə, uzaq filiallar GRE tunelləri vasitəsilə məlumat mərkəzinə trafik göndərir. Təhlükəsizlik və görünürlüyü təmin etmək üçün müəssisə əsas şəbəkə ilə VTEP-lər arasında Tunel Encapsulation Stripping ilə NPB yerləşdirir.
Trafik məlumat mərkəzinə çatdıqda:
(1) NPB əvvəlcə MPLS başlıqlarını əsas şəbəkədən gələn trafikdən, GRE başlıqlarını isə filial trafikindən ayırır.
(2) VTEP-lər arasında VXLAN trafiki üçün NPB, trafiki monitorinq alətlərinə yönləndirərkən xarici VXLAN başlıqlarını silə bilər və bu da alətlərin orijinal VM trafikini yoxlamasına imkan verir.
(3) NPB əvvəlcədən işlənmiş (başlıqdan təmizlənmiş) trafiki yalnız yerli yük üçün VXLAN kapsullaşdırılması/dekapsullaşdırılmasını idarə etməli olan VTEP-lərə ötürür. Bu quraşdırma VTEP emal yükünü azaldır, hərtərəfli trafik təhlilini təmin edir və MPLS, GRE və VXLAN seqmentləri arasında sorunsuz qarşılıqlı əlaqəni təmin edir.
VTEP-lər VXLAN şəbəkələrinin onurğa sütunudur və miqyaslana bilən virtualizasiya və çoxkirayəçili rabitəni təmin edir. Lakin, müasir şəbəkələrdə kapsullaşdırılmış trafikin artan mürəkkəbliyi VTEP performansı və şəbəkə görünürlüyü üçün ciddi problemlər yaradır. Tunel Enkapsulyasiyası ilə Şəbəkə Paket Brokerləri Sökmə imkanları bu problemləri trafikin əvvəlcədən emalı, müxtəlif başlıqları (VXLAN, VLAN, GRE, GTP, MPLS, IPIP) VTEP-lərə və ya monitorinq alətlərinə çatmadan əvvəl silməklə həll edir. Bu, yalnız emal xərclərini azaltmaqla VTEP performansını optimallaşdırmaqla yanaşı, həm də şəbəkə görünürlüyünü artırır, təhlükəsizliyi gücləndirir və heterojen mühitlərdə qarşılıqlı əlaqəni yaxşılaşdırır.
Təşkilatlar bulud əsaslı arxitekturaları və hibrid bulud yerləşdirmələrini tətbiq etməyə davam etdikcə, NPB-lər və VTEP-lər arasındakı sinerji getdikcə daha vacib hala gələcək. NPB-lərin tunel kapsullaşdırmasının soyulması funksiyasından istifadə etməklə şəbəkə administratorları VXLAN şəbəkələrinin bütün potensialını aça, onların səmərəli, təhlükəsiz və inkişaf edən biznes ehtiyaclarına uyğunlaşmasını təmin edə bilərlər.
Yazı vaxtı: 09 Yanvar 2026
