Булуттук эсептөө жана тармактык виртуалдаштыруу доорунда VXLAN (Виртуалдык кеңейтилүүчү LAN) масштабдуу, ийкемдүү катмар тармактарын куруу үчүн негизги технологияга айланды. VXLAN архитектурасынын өзөгүндө VTEP (VXLAN Tunnel Endpoint) жатат, ал 2-деңгээлдеги трафикти 3-деңгээлдеги тармактар аркылуу үзгүлтүксүз өткөрүүгө мүмкүндүк берүүчү маанилүү компонент. Тармактык трафик ар кандай инкапсуляция протоколдору менен барган сайын татаалдашып бараткандыктан, туннелди инкапсуляциялоону үзүү мүмкүнчүлүктөрү бар тармактык пакет брокерлеринин (NPB) ролу VTEP операцияларын оптималдаштырууда алмаштыргыс болуп калды. Бул блог VTEPтин негиздерин жана анын VXLAN менен болгон байланышын изилдейт, андан кийин NPBлердин туннелди инкапсуляциялоону үзүү функциясы VTEPтин иштешин жана тармактын көрүнүүсүн кантип жакшыртаарын тереңирээк изилдейт.
VTEP жана анын VXLAN менен болгон байланышын түшүнүү
Алгач, негизги түшүнүктөрдү тактап алалы: VTEP, VXLAN Tunnel Endpoint дегендин кыскартылган варианты, VXLAN катмар тармагында VXLAN пакеттерин инкапсуляциялоо жана декапсуляциялоо үчүн жооптуу тармактык бирдик. Ал VXLAN туннелдеринин башталыш жана аяктоо чекити катары кызмат кылат, виртуалдык катмар тармагын жана физикалык астыңкы тармакты бириктирген "шлюз" катары иштейт. VTEPтер физикалык түзмөктөр (мисалы, VXLANга жөндөмдүү коммутаторлор же роутерлер) же программалык бирдиктер (мисалы, виртуалдык коммутаторлор, контейнер хосттору же виртуалдык машиналардагы проксилер) катары ишке ашырылышы мүмкүн.
VTEP менен VXLANдын ортосундагы мамиле табиятынан симбиотикалык мүнөзгө ээ — VXLAN өзүнүн негизги функционалдуулугун ишке ашыруу үчүн VTEPтерге таянат, ал эми VTEPтер VXLAN операцияларын колдоо үчүн гана бар. VXLANдын негизги баалуулугу - MAC-in-UDP инкапсуляциясы аркылуу 3-деңгээлдеги IP тармагынын үстүнө виртуалдык 2-деңгээлдеги тармакты түзүү, салттуу VLANдардын (4096 VLAN ID колдогон) масштабдоо чектөөлөрүн 24-биттик VXLAN тармак идентификатору (VNI) менен жеңип, 16 миллионго чейин виртуалдык тармактарды иштетүүгө мүмкүндүк берет. VTEPтер муну кантип ишке ашырат: Виртуалдык машина (VM) трафик жөнөткөндө, жергиликтүү VTEP баштапкы 2-деңгээлдеги Ethernet алкагын VXLAN аталышын (VNI камтыган), UDP аталышын (демейки боюнча 4789 портун колдонуп), тышкы IP аталышын (баштапкы VTEP IP дареги жана көздөгөн VTEP IP дареги менен) жана тышкы Ethernet аталышын кошуу менен инкапсуляциялайт. Андан кийин капсулаланган пакет 3-деңгээлдин астыңкы тармагы аркылуу көздөгөн VTEPке жөнөтүлөт, ал бардык тышкы баштарды алып салуу менен пакетти декапсуляциялайт, баштапкы Ethernet кадрын калыбына келтирет жана аны VNI негизинде максаттуу VMге жөнөтөт.
Мындан тышкары, VTEPтер MAC дарегин үйрөнүү (жергиликтүү жана алыскы хосттордун MAC даректерин VTEP IP даректерине динамикалык түрдө картага түшүрүү) жана Broadcast, Unknown Unicast жана Multicast (BUM) трафигин иштетүү сыяктуу маанилүү тапшырмаларды аткарышат — же көп каналдуу топтор аркылуу, же бир каналдуу режимде гана баш-аягынын репликациясы аркылуу. Негизинен, VTEPтер VXLAN тармагынын виртуалдаштырылышын жана көп ижарачылуу обочолонушун мүмкүн кылган курулуш блоктору болуп саналат.
VTEPтер үчүн капсулаланган трафиктин көйгөйү
Заманбап маалымат борборлорунун чөйрөсүндө VTEP трафиги сейрек кездешүүчү таза VXLAN инкапсуляциясы менен чектелет. VTEP аркылуу өткөн трафик көбүнчө VXLANдан тышкары VLAN, GRE, GTP, MPLS же IPIP сыяктуу бир нече катмар инкапсуляциялык баштыктарды алып жүрөт. Бул инкапсуляциянын татаалдыгы VTEP операциялары жана андан кийинки тармактык мониторинг, талдоо жана коопсуздукту камсыз кылуу үчүн олуттуу кыйынчылыктарды жаратат:
○ - Көрүнүүчүлүктүн азайышыКөпчүлүк тармактык мониторинг жана коопсуздук куралдары (мисалы, IDS/IPS, агым анализаторлору жана пакеттерди анализдөөчүлөр) 2/3-деңгээлдеги жергиликтүү трафикти иштетүү үчүн иштелип чыккан. Капсулаланган баштыктар баштапкы пайдалуу жүктөмдү жаап-жашырып, бул куралдардын трафиктин мазмунун так талдоосун же аномалияларды аныктоосун мүмкүн эмес кылат.
○ - Иштетүү боюнча кошумча чыгымдардын көбөйүшүVTEPтер өздөрү, айрыкча, көп трафиктүү чөйрөлөрдө, көп катмарлуу капсулаланган пакеттерди иштетүү үчүн кошумча эсептөө ресурстарын сарпташы керек. Бул кечигүүнүн көбөйүшүнө, өткөрүү жөндөмдүүлүгүнүн төмөндөшүнө жана иштин натыйжалуулугунун төмөндөшүнө алып келиши мүмкүн.
○ - Өз ара аракеттенүү маселелериАр кандай тармак сегменттери же көп сатуучу чөйрөлөрү ар кандай инкапсуляция протоколдорун колдонушу мүмкүн. Башкы бөлүктөрдү туура тазалоосуз, трафик VTEP аркылуу өткөндө туура багытталбай же иштетилбей калышы мүмкүн, бул өз ара аракеттенүү көйгөйлөрүнө алып келет.
NPBлердин туннелди капсулалоо ыкмасы VTEPлерди кантип күчтөндүрөт
Туннелди капсуляциялоо мүмкүнчүлүгү бар Mylinking™ тармактык пакет брокерлери (NPB) VTEPтер үчүн "Трафикти алдын ала иштетүүчү" катары иш алып баруу менен бул кыйынчылыктарды чечет. NPBлер трафикти VTEPтерге же мониторинг/коопсуздук куралдарына жөнөтүүдөн мурун баштапкы маалымат пакеттеринен ар кандай капсуляциялоо баштарын (VXLAN, VLAN, GRE, GTP, MPLS жана IPIP кошо алганда) алып сала алышат. Бул функция VTEP операциялары үчүн үч негизги артыкчылыкты берет:
1. Тармактын көрүнүүсүн жана коопсуздугун жакшыртуу
Инкапсуляциялык баштарды алып салуу менен, NPBлер пакеттердин баштапкы пайдалуу жүгүн ачыкка чыгарат, бул мониторинг жана коопсуздук куралдарына чыныгы трафиктин мазмунун "көрүүгө" мүмкүндүк берет. Мисалы, VTEP трафиги IDS/IPSке жөнөтүлгөндө, NPB алгач VXLAN жана MPLS баштарын алып салат, бул IDS/IPSке баштапкы кадрдагы зыяндуу аракеттерди (мисалы, зыяндуу программалык камсыздоо же уруксатсыз кирүү аракеттери) аныктоого мүмкүндүк берет. Бул, айрыкча, VTEPтер бир нече ижарачылардан келген трафикти иштеткен көп ижарачылуу чөйрөлөрдө абдан маанилүү — NPBлер коопсуздук куралдары ижарачыга тиешелүү трафикти инкапсуляцияга тоскоолдук кылбастан текшере аларын камсыздайт.
Мындан тышкары, NPBлер трафиктин түрлөрүнө же VNIге негизделген баштарды тандап алып, белгилүү бир виртуалдык тармактарга майда-чүйдөсүнө чейин көрүнүүнү камсыздай алат. Бул тармак администраторлоруна VXLAN сегменттериндеги трафикти так талдоону иштетүү менен көйгөйлөрдү (мисалы, пакеттин жоголушу же кечигүү) чечүүгө жардам берет.
2. VTEPтин оптималдаштырылган иштеши
NPBлер VTEPтерден баштыктарды тазалоо тапшырмасын алып салат, бул VTEP түзмөктөрүндөгү иштетүү чыгымдарын азайтат. VTEPтер CPU ресурстарын бир нече катмар баштыктарды тазалоого коротуунун ордуна (мисалы, VLAN + GRE + VXLAN), NPBлер бул алдын ала иштетүү кадамын аткарышат, бул VTEPтерге өздөрүнүн негизги милдеттерине: VXLAN пакеттерин инкапсуляциялоо/декапсуляциялоого жана туннелди башкарууга көңүл бурууга мүмкүндүк берет. Бул кечигүүнү азайтат, өткөрүү жөндөмдүүлүгүн жогорулатат жана VXLAN катмар тармагынын жалпы иштешин жакшыртат, айрыкча миңдеген виртуалдык машиналар жана чоң трафик жүктөмдөрү бар жогорку тыгыздыктагы виртуалдаштыруу чөйрөлөрүндө.
Мисалы, NPB жана коммутаторлору VTEP катары иштеген маалымат борборунда, NPB (мисалы, Mylinking™ Network Packet Brokers) VLAN жана MPLS баштарын VTEPтерге жеткенге чейин кирүүчү трафиктен ажырата алат. Бул VTEPтер аткарышы керек болгон баштарды иштетүү операцияларынын санын азайтып, аларга бир эле учурда көбүрөөк туннелдерди жана трафик агымдарын иштетүүгө мүмкүндүк берет.
3. Гетерогендик тармактардагы өз ара аракеттенүүнү жакшыртуу
Көп сатуучулуу же көп сегменттүү тармактарда инфраструктуранын ар кандай бөлүктөрү ар кандай инкапсуляция протоколдорун колдонушу мүмкүн. Мисалы, алыскы маалымат борборунан трафик GRE инкапсуляциясы менен жергиликтүү VTEPге келиши мүмкүн, ал эми жергиликтүү трафик VXLANды колдонот. NPB бул ар түрдүү баштарды (GRE, VXLAN, IPIP ж.б.) алып салып, VTEPке ырааттуу, жергиликтүү трафик агымын жөнөтө алат, бул өз ара аракеттенүү көйгөйлөрүн жок кылат. Бул өзгөчө гибриддик булут чөйрөлөрүндө баалуу, мында коомдук булут кызматтарынан (көбүнчө GTP же IPIP инкапсуляциясын колдонуу менен) келген трафик VTEP аркылуу жергиликтүү VXLAN тармактары менен интеграцияланышы керек.
Мындан тышкары, NPBлер алынып салынган аталыштарды метадайындар катары мониторинг куралдарына жөнөтө алышат, бул администраторлордун баштапкы инкапсуляция (мисалы, VNI же MPLS энбелгиси) жөнүндө контекстти сактап калышын камсыздайт, ошол эле учурда жергиликтүү пайдалуу жүктөмдү талдоону иштетет. Аталыштарды алып салуу менен контекстти сактоонун ортосундагы бул тең салмактуулук тармакты натыйжалуу башкаруунун ачкычы болуп саналат.
VTEPте туннель пакетин тазалоо функциясын кантип ишке ашыруу керек?
VTEPте туннелди капсуляциялоону тазалоо аппараттык деңгээлдеги конфигурация, программалык камсыздоо тарабынан аныкталган саясаттар жана SDN контроллерлери менен синергия аркылуу ишке ашырылышы мүмкүн, негизги логика туннелдин баштарын аныктоого → тазалоо аракеттерин аткарууга → баштапкы пайдалуу жүктөмдөрдү багыттоого багытталган. Ишке ашыруунун конкреттүү ыкмалары VTEP түрлөрүнө (физикалык/программалык камсыздоо) жараша бир аз айырмаланат жана негизги ыкмалар төмөнкүлөр:
Эми биз физикалык VTEP'терде ишке ашыруу жөнүндө сөз кылып жатабыз (мисалы,Mylinking™ VXLANга жөндөмдүү тармактык пакет брокерлери) бул жерде.
Физикалык VTEPтер (мисалы, Mylinking™ VXLANга жөндөмдүү Тармак Пакет Брокерлери) жогорку трафиктүү маалымат борборунун сценарийлерине ылайыктуу натыйжалуу инкапсуляцияны тазалоого жетүү үчүн аппараттык чиптерге жана атайын конфигурация буйруктарына таянат:
Интерфейске негизделген инкапсуляцияны дал келтирүү: VTEPтердин физикалык кирүү портторунда кошумча интерфейстерди түзүңүз жана белгилүү бир туннель баштарын дал келтирүү жана алып салуу үчүн инкапсуляция түрлөрүн конфигурациялаңыз. Мисалы, Mylinking™ VXLANга жөндөмдүү Тармак Пакет Брокерлеринде, 2-деңгээлдин кошумча интерфейстерин 802.1Q VLAN тегдерин же тегделбеген кадрларды таануу үчүн конфигурациялаңыз жана трафикти VXLAN туннелине жөнөтүүдөн мурун VLAN баштарын алып салыңыз. GRE/MPLS менен инкапсуляцияланган трафик үчүн, тышкы баштарды алып салуу үчүн кошумча интерфейсте тиешелүү протоколду талдоону иштетиңиз.
Саясатка негизделген баштыкчаны тазалоо: Дал келүү эрежелерин аныктоо (мисалы, VXLAN үчүн UDP порту 4789, GRE үчүн протокол түрү 47) жана тазалоо аракеттерин байланыштыруу үчүн ACL (Кирүүнү башкаруу тизмеси) же трафик саясатын колдонуңуз. Трафик эрежелерге дал келгенде, VTEP аппараттык чипи көрсөтүлгөн туннель баштыкчаларын (VXLAN/UDP/IP тышкы баштыкчалары, MPLS энбелгилери ж.б.) автоматтык түрдө тазалап, баштапкы 2-деңгээлдин пайдалуу жүгүн жөнөтөт.
Бөлүштүрүлгөн шлюз синергиясы: Spine-Leaf VXLAN архитектураларында физикалык VTEPтер (Leaf түйүндөрү) көп катмарлуу тазалоону аяктоо үчүн 3-кабаттагы шлюздар менен кызматташа алышат. Мисалы, Spine түйүндөрү MPLS менен капталган VXLAN трафигин Leaf VTEPтерге жөнөткөндөн кийин, VTEPтер алгач MPLS энбелгилерин тазалашат, андан кийин VXLAN декапсуляциясын аткарышат.
Сизге белгилүү бир жеткирүүчүнүн VTEP түзмөгү үчүн конфигурация үлгүсү керекпи (мисалы,Mylinking™ VXLANга жөндөмдүү тармактык пакет брокерлери) туннелди капсуляциялоону тазалоону ишке ашыруу үчүн?
Практикалык колдонуу сценарийи
Бир нече ижарачы виртуалдык машиналарды (VTEP) колдогон, H3C коммутаторлору менен VXLAN катмар тармагын жайгаштырган ири ишкананын маалымат борборун карап көрөлү. Маалымат борбору негизги коммутаторлордун ортосундагы трафикти өткөрүү үчүн MPLSти жана VMден VMге байланыш үчүн VXLANды колдонот. Мындан тышкары, алыскы филиалдар GRE туннелдери аркылуу маалымат борборуна трафик жөнөтүшөт. Коопсуздукту жана көрүнүүнү камсыз кылуу үчүн, ишкана негизги тармак менен VTEPтердин ортосунда туннель капсуляциясы бар NPBди жайгаштырат.
Маалымат борборуна трафик келгенде:
(1) NPB алгач MPLS баштарын негизги тармактан келген трафиктен, ал эми GRE баштарын филиалдын трафигинен ажыратат.
(2) VTEPтердин ортосундагы VXLAN трафиги үчүн, NPB трафикти мониторинг куралдарына жөнөтүүдө тышкы VXLAN баштарын алып сала алат, бул куралдарга баштапкы VM трафигин текшерүүгө мүмкүндүк берет.
(3) NPB алдын ала иштетилген (баштыктан ажыратылган) трафикти VTEPтерге жөнөтөт, алар VXLAN инкапсуляциясын/декапсуляциясын гана жергиликтүү пайдалуу жүктөм үчүн иштетиши керек. Бул орнотуу VTEP иштетүү жүгүн азайтат, трафикти комплекстүү талдоону камсыз кылат жана MPLS, GRE жана VXLAN сегменттеринин ортосундагы үзгүлтүксүз өз ара аракеттенүүнү камсыз кылат.
VTEPтер VXLAN тармактарынын негизи болуп саналат, масштабдуу виртуалдаштырууну жана көп ижарачылуу байланышты камсыз кылат. Бирок, заманбап тармактарда капсулаланган трафиктин татаалдыгынын өсүшү VTEPтин иштешине жана тармактын көрүнүүсүнө олуттуу кыйынчылыктарды жаратат. Туннелди капсулалоону тазалоо мүмкүнчүлүктөрү бар тармактык пакет брокерлери бул кыйынчылыктарды трафикти алдын ала иштетүү, ар кандай баштарды (VXLAN, VLAN, GRE, GTP, MPLS, IPIP) VTEPтерге же мониторинг куралдарына жеткенге чейин тазалоо аркылуу чечет. Бул иштетүү чыгымдарын азайтуу менен VTEPтин иштешин оптималдаштырбастан, тармактын көрүнүүсүн жакшыртат, коопсуздукту бекемдейт жана гетерогендик чөйрөлөрдө өз ара аракеттенүүнү жакшыртат.
Уюмдар булутка негизделген архитектураларды жана гибриддик булут жайгаштырууларын кабыл алууну уланткан сайын, NPBлер менен VTEPтердин ортосундагы синергия барган сайын маанилүү болуп калат. NPBлердин туннель капсуляциясын тазалоо функциясын колдонуу менен, тармак администраторлору VXLAN тармактарынын толук потенциалын ачып, алардын натыйжалуулугун, коопсуздугун жана өнүгүп жаткан бизнес муктаждыктарына ылайыкташуусун камсыздай алышат.
Жарыяланган убактысы: 2026-жылдын 9-январы
