Bulut hasaplamalary we tor wirtuallaşdyrmasy döwründe VXLAN (Wirtual Extensible LAN) ölçeklenip bilýän, çeýe örtük torlaryny gurmak üçin esasy tehnologiýa öwrüldi. VXLAN arhitekturasynyň merkezinde 2-nji gatlakdaky trafikiň 3-nji gatlakdaky torlar arkaly üznüksiz geçirilmegini üpjün edýän möhüm bölek bolan VTEP (VXLAN Tunnel Endpoint) ýerleşýär. Tor trafiki dürli inkapsulýasiýa protokollary bilen barha çylşyrymlaşýarka, Tunnel Enkapsulýasiýa Stripping mümkinçiliklerine eýe bolan Tor Paket Brokerleriniň (NPB) roly VTEP operasiýalaryny optimizirlemekde möhüm ähmiýete eýe boldy. Bu blogda VTEP-iň esaslary we onuň VXLAN bilen gatnaşygy öwrenilýär, soňra NPB-leriň tunnel inkapsulýasiýa stripping funksiýasynyň VTEP-iň işini we toruň görünmegini nähili ýokarlandyrýandygy öwrenilýär.
VTEP we onuň VXLAN bilen baglanyşygyny düşünmek
Ilki bilen, esasy düşünjeleri düşündireliň: VTEP, VXLAN Tunnel Endpoint-iň gysgaldylan görnüşi, VXLAN örtük ulgamynda VXLAN paketlerini kapsulalamak we dekapsulalamak üçin jogapkär tor birligidir. Ol VXLAN tunelleriniň başlangyç we soňky nokady bolup hyzmat edýär, wirtual örtük ulgamyny we fiziki aşaky ulgamy birleşdirýän "derwezä" hökmünde hereket edýär. VTEP-ler fiziki enjamlar (meselem, VXLAN-a ukyply açarlar ýa-da routerler) ýa-da programma üpjünçiligi birlikleri (wirtual açarlar, konteýner hostlary ýa-da wirtual maşynlardaky proksiler) hökmünde amala aşyrylyp bilner.
VTEP bilen VXLAN-yň arasyndaky gatnaşyk özboluşly simbiotikdir — VXLAN öz esasy funksiýasyny amala aşyrmak üçin VTEP-lere daýanýar, VTEP-ler bolsa diňe VXLAN amallaryny goldamak üçin bar. VXLAN-yň esasy gymmaty, 16 milliona çenli wirtual ulgamy üpjün edýän 24-bitli VXLAN Tor Identifikatory (VNI) bilen däp bolan VLAN-laryň (diňe 4096 VLAN ID-ni goldaýar) ölçekleniş çäklendirmelerini ýeňip geçmek üçin MAC-in-UDP arkaly 3-nji gatlak IP ulgamynyň üstünde wirtual 2-nji gatlak ulgamyny döretmekdir. VTEP-ler muny nähili üpjün edýär: Wirtual maşyn (VM) trafik iberende, ýerli VTEP asyl 2-nji gatlak Ethernet çarçuwasyny VXLAN başlygyny (VNI-ni öz içine alýar), UDP başlygyny (standart hökmünde 4789 portuny ulanýar), daşarky IP başlygyny (başlangyç VTEP IP we maksatly VTEP IP bilen) we daşarky Ethernet başlygyny goşmak arkaly kapsulalaşdyrýar. Soňra kapsulalanan paket 3-nji gatlagyň aşagyndaky ulgam arkaly maksatly VTEP-e iberilýär, ol bolsa ähli daşarky başlyklary aýyrmak arkaly paketi kapsulalaşdyrýar, asyl Ethernet kadryny dikeldýär we VNI esasynda maksatly VM-e iberýär.
Mundan başga-da, VTEP-ler MAC salgysyny öwrenmek (ýerli we uzakdaky hostlaryň MAC salgysyny VTEP IP-lerine dinamiki taýdan kartalaşdyrmak) we Broadcast, Unknown Unicast we Multicast (BUM) trafikini işläp düzmek ýaly möhüm wezipeleri ýerine ýetirýärler — ýa multicast toparlary arkaly ýa-da diňe unicast režiminde baş ujundan replikasiýa arkaly. Esasan, VTEP-ler VXLAN-yň tor wirtualizasiýasyny we köp kärendeçi izolýasiýasyny mümkin edýän gurluşyk bloklarydyr.
VTEP-ler üçin kapsulalaşdyrylan trafikiň kynçylygy
Häzirki zaman maglumat merkezleriniň gurşawlarynda VTEP trafiki seýrek halatlarda diňe VXLAN inkapsulýasiýasy bilen çäklenýär. VTEP-lerden geçýän trafik köplenç VXLAN-dan başga-da, VLAN, GRE, GTP, MPLS ýa-da IPIP ýaly inkapsulýasiýanyň birnäçe gatlakly başlyklaryny öz içine alýar. Bu inkapsulýasiýanyň çylşyrymlylygy VTEP operasiýalary we soňraky tor gözegçiligi, seljermesi we howpsuzlygy üpjün etmek üçin uly kynçylyklary döredýär:
○ - Görünýänligiň peselmegiTor gözegçiligi we howpsuzlyk gurallarynyň köpüsi (IDS/IPS, akym analizatorlary we paket synlaýjylary ýaly) asyl 2-nji/3-nji gatlakdaky trafiki işläp düzmek üçin niýetlenendir. Kapsulalanan sözbaşylar asyl ýükü gizleýär, bu bolsa bu gurallaryň trafik mazmunyny takyk seljermegini ýa-da anomaliýalary ýüze çykarmagyny mümkin däl edýär.
○ - Gaýtadan işlemegiň goşmaça çykdajylarynyň artmagyVTEP-leriň özi, esasanam ýokary trafikli gurşawlarda, köp gatlakly kapsulalaşdyrylan paketleri işläp taýýarlamak üçin goşmaça hasaplama serişdelerini sarp etmeli bolýarlar. Bu bolsa gijikmeleriň artmagyna, geçirijiligiň peselmegine we öndürijilik kynçylyklarynyň döremegine sebäp bolup biler.
○ - Özara işjeňlik meseleleriDürli tor segmentleri ýa-da köp satyjyly gurşawlar dürli kapsulalaşdyrma protokollaryny ulanyp bilerler. Degişli sözbaşy aýrylmasa, VTEP-lerden geçýän mahalynda trafik dogry iberilmeýär ýa-da işlenmeýär, bu bolsa özara işleýiş meseleleriniň döremegine getirýär.
NPB-leriň tunel kapsulasiýasy VTEP-leri nähili güýçlendirýär
Tunnel Enkapsulýasiýasyny aýyrmak mümkinçilikleri bolan Mylinking™ Tor Paket Dellallary (NPB) VTEP-ler üçin "Trafik öňünden işleýji" hökmünde hereket edip, bu kynçylyklary çözýärler. NPB-ler trafiki VTEP-lere ýa-da gözegçilik/howpsuzlyk gurallaryna ibermezden öň, asyl maglumat paketlerinden dürli inkapsulýasiýa başlyklaryny (şol sanda VXLAN, VLAN, GRE, GTP, MPLS we IPIP) aýryp bilýärler. Bu funksiýa VTEP amallary üçin üç esasy artykmaçlygy üpjün edýär:
1. Toruň görünmegi we howpsuzlygynyň ýokarlandyrylmagy
Kapsulasiýanyň başlyklaryny aýyrmak bilen, NPB-ler paketleriň asyl ýüküni açyp görkezýär, bu bolsa gözegçilik we howpsuzlyk gurallaryna hakyky trafik mazmunyny "görmäge" mümkinçilik berýär. Mysal üçin, VTEP trafiki IDS/IPS-e iberilende, NPB ilki bilen VXLAN we MPLS başlyklaryny aýyrýar, bu bolsa IDS/IPS-e asyl kadrda zyýanly işjeňligi (zyýanly programma üpjünçiligi ýa-da rugsatsyz giriş synanyşyklary ýaly) anyklamaga mümkinçilik berýär. Bu, esasanam, VTEP-leriň köp kärendeçilerden gelýän trafiki dolandyrýan köp kärendeçili gurşawlarda örän möhümdir - NPB-ler howpsuzlyk gurallarynyň kapsulasiýanyň päsgelçiligine sezewar bolmazdan kärendeçilere degişli trafiki barlap bilmegini üpjün edýär.
Mundan başga-da, NPB-ler trafik görnüşlerine ýa-da VNI-a esaslanyp, başlyklary saýlap aýryp, belli bir wirtual torlara jikme-jik görünmegi üpjün edip bilýärler. Bu bolsa, tor administratorlaryna aýry-aýry VXLAN segmentlerinde trafikiň takyk seljermesini üpjün etmek arkaly meseleleri (paket ýitgisi ýa-da gijikdiriş ýaly) çözmäge kömek edýär.
2. VTEP-iň işini optimizirlemek
NPB-ler VTEP-lerden başlyk aýyrmak wezipesini aýyrýarlar we VTEP enjamlarynda işleme çykdajylaryny azaldýarlar. VTEP-ler prosessor resurslaryny başlyklaryň köp gatlaklaryny (meselem, VLAN + GRE + VXLAN) aýyrmak üçin sarp etmegiň ýerine, NPB-ler bu öňünden işleme ädimini ýerine ýetirýärler we VTEP-lere esasy jogapkärçiliklerine: VXLAN paketlerini kapsulalaşdyrmaga/dekapsulalaşdyrmaga we tunel dolandyryşyna üns bermäge mümkinçilik berýärler. Bu bolsa, esasanam müňlerçe VM we uly trafik ýükleri bolan ýokary dykyzlykly wirtualizasiýa gurşawlarynda, has pes gijikmelere, ýokary geçirijilige we VXLAN örtük ulgamynyň umumy öndürijiliginiň gowulanmagyna getirýär.
Mysal üçin, NPB-ler we kommutatorlar VTEP hökmünde hereket edýän maglumat merkezinde NPB (mylinking™ Network Packet Brokers ýaly) VLAN we MPLS başlyklaryny VTEP-lere ýetmezden öň gelýän trafikden aýryp biler. Bu bolsa VTEP-leriň ýerine ýetirmeli başlyk işleme amallarynyň sanyny azaldýar we olara has köp bir wagtda tunelleri we trafik akymlaryny dolandyrmaga mümkinçilik berýär.
3. Dürli görnüşli torlarda özara işlemegiň gowulandyrylmagy
Köp satyjyly ýa-da köp segmentli torlarda infrastrukturanyň dürli bölekleri dürli kapsulalaşdyrma protokollaryny ulanyp biler. Mysal üçin, uzakdaky maglumat merkezinden trafik GRE kapsulasiýasy bilen ýerli VTEP-e gelip biler, ýerli trafik bolsa VXLAN-y ulanýar. NPB bu dürli başlyklary (GRE, VXLAN, IPIP we ş.m.) aýryp, yzygiderli, ýerli trafik akymyny VTEP-e iberip, özara işleýiş meselelerini aradan aýyrýar. Bu, aýratyn hem gibrid bulut gurşawlarynda gymmatlydyr, sebäbi umumy bulut hyzmatlaryndan (köplenç GTP ýa-da IPIP kapsulasiýasy ulanylýar) trafik VTEP-ler arkaly ýerli VXLAN ulgamlary bilen integrasiýa edilmeli.
Mundan başga-da, NPB-ler aýrylan başlyklary metamaglumatlar hökmünde gözegçilik gurallaryna iberip bilýärler, bu bolsa administratorlaryň asyl kapsulasiýanyň kontekstini (meselem, VNI ýa-da MPLS belligi) saklamagyny üpjün edýär, şol bir wagtyň özünde asyl ýüküň seljermesini hem işjeňleşdirýär. Başlyklary aýyrmak bilen konteksti gorap saklamagyň arasyndaky bu deňagramlylyk netijeli tor dolandyryşynyň açarydyr.
VTEP-de tunel paketini aýyrmak funksiýasyny nähili amala aşyrmaly?
VTEP-de tunnel kapsulasiýasynyň aýrylmagy apparat derejesindäki konfigurasiýa, programma üpjünçiligi tarapyndan kesgitlenen syýasatlar we SDN kontrollerleri bilen sinergiýa arkaly amala aşyrylyp bilner, esasy logika tunnel başlyklaryny kesgitlemäge → aýrylma hereketlerini ýerine ýetirmäge → asyl ýükleri ugratmaga gönükdirilendir. Anyk amala aşyrmak usullary VTEP görnüşlerine (fiziki/programma üpjünçiligi) baglylykda biraz tapawutlanýar we esasy çemeleşmeler aşakdakylardyr:
Indi biz fiziki VTEP-lerde (meselem,Mylinking™ VXLAN-a ukyply tor paket brokerleri) şu ýerde.
Fiziki VTEP-ler (Mylinking™ VXLAN-y ulanyp bilýän Network Packet Brokerleri ýaly) ýokary trafikli maglumat merkezi senariýleri üçin amatly bolan netijeli inkapsulýasiýany aýyrmak üçin apparat çiplerine we ýörite konfigurasiýa buýruklaryna daýanýar:
Interfeýs esasynda inkapsulýasiýa gabat gelmegi: VTEP-leriň fiziki giriş portlarynda kiçi interfeýsleri dörediň we belli bir tunel başlyklaryny gabat getirmek we aýyrmak üçin inkapsulýasiýa görnüşlerini konfigurirläň. Mysal üçin, Mylinking™ VXLAN-a ukyply Network Packet Brokerlerinde, 2-nji gatlakdaky kiçi interfeýsleri 802.1Q VLAN teglerini ýa-da teglenmemiş çarçuwalary tanamak üçin konfigurirläň we trafiki VXLAN tuneline ibermezden öň VLAN başlyklaryny aýyryň. GRE/MPLS-e gaplanan trafik üçin daşarky başlyklary aýyrmak üçin kiçi interfeýsde degişli protokoly derňemegi işjeňleşdiriň.
Syýasat esasynda başlyk aýyrmak: Deňeşdiriji düzgünleri kesgitlemek (meselem, VXLAN üçin UDP porty 4789, GRE üçin protokol görnüşi 47) we aýyrmak hereketlerini baglamak üçin ACL (Erişi Gözegçilik Sanawy) ýa-da trafik syýasatyny ulanyň. Trafik düzgünlere deň gelende, VTEP enjam çipi görkezilen tunel başlyklaryny (VXLAN/UDP/IP daşky başlyklar, MPLS bellikleri we ş.m.) awtomatiki usulda aýyrýar we asyl 2-nji gatlak ýüküni iberýär.
Paýlanan şlýuz sinergiýasy: Omurga-Ýaprak VXLAN arhitekturalarynda fiziki VTEP-ler (Ýaprak düwünleri) köp gatlakly aýrylmagy tamamlamak üçin 3-nji gatlak şlýuzlary bilen hyzmatdaşlyk edip bilýärler. Mysal üçin, Omurga düwünleri MPLS-kapsulalanan VXLAN trafikini Ýaprak VTEP-lerine ugradandan soň, VTEP-ler ilki MPLS belliklerini aýrylýar, soňra VXLAN-yň dekapsulýasiýasyny amala aşyrýar.
Size belli bir öndürijiň VTEP enjamy üçin konfigurasiýa mysaly gerekmi (meselem,Mylinking™ VXLAN-a ukyply tor paket brokerleri) tunel kapsulasiýasy arkaly aýrylmagy amala aşyrmak üçin?
Amaly ulanyş ssenarisi
Köp sanly kärendeçi VM-leri goldaýan, H3C kommutatorlary bilen VXLAN goşmaça ulgamyny ýerleşdirýän uly kärhana maglumat merkezini göz öňüne getiriň. Maglumat merkezi esasy kommutatorlaryň arasynda trafik geçirmek üçin MPLS-i we VM-den VM-e aragatnaşyk üçin VXLAN-y ulanýar. Mundan başga-da, uzakdaky şahamçalar GRE tunelleri arkaly maglumat merkezine trafik iberýär. Howpsuzlygy we görünmegi üpjün etmek üçin kärhana esasy ulgam bilen VTEP-leriň arasynda tunnel kapsulasiýasy bilen NPB-ni ýerleşdirýär.
Maglumat merkezine trafik gelende:
(1) NPB ilki bilen MPLS başlyklaryny esasy ulgamdan gelýän trafikden, GRE başlyklaryny bolsa şahamçanyň trafikinden aýyrýar.
(2) VTEP-leriň arasyndaky VXLAN trafiki üçin, NPB trafiki gözegçilik gurallaryna ugradanda daşarky VXLAN sözbaşylaryny aýyryp biler, bu bolsa gurallara asyl VM trafikini barlamaga mümkinçilik berýär.
(3) NPB öňünden işlenen (başlykdan aýrylan) trafiki diňe asyl ýük üçin VXLAN-yň kapsulasiýasyny/dekapsulasiýasyny işläp düzmeli VTEP-lere iberýär. Bu gurluş VTEP işleme ýüküni azaldýar, giňişleýin trafik seljermesini üpjün edýär we MPLS, GRE we VXLAN segmentleriniň arasynda üznüksiz özara işlemegi üpjün edýär.
VTEP-ler VXLAN ulgamlarynyň esasyny düzýär, ölçeklenýän wirtuallaşdyrmany we köp kärendeçi aragatnaşygy üpjün edýär. Şeýle-de bolsa, häzirki zaman ulgamlarynda kapsulalaşdyrylan trafikiň artýan çylşyrymlylygy VTEP-iň işine we toruň görünmegine uly kynçylyklary döredýär. Tunnel kapsulasiýasy bolan tor paket brokerleri Bu kynçylyklary trafiki öňünden işläp, dürli başlyklary (VXLAN, VLAN, GRE, GTP, MPLS, IPIP) VTEP-lere ýa-da gözegçilik gurallaryna ýetmezden öň aýyrmak arkaly çözýärler. Bu diňe bir işleme çykdajylaryny azaltmak arkaly VTEP-iň işini optimizirlemän, eýsem toruň görünmegini ýokarlandyrýar, howpsuzlygy güýçlendirýär we dürli gurşawlarda özara işlemegi gowulandyrýar.
Guramalar bulut esasly arhitekturalary we gibrid bulut ýerleşdirmelerini ulanmagyny dowam etdirýän mahaly, NPB-ler bilen VTEP-leriň arasyndaky sinergiýa barha möhümleşer. NPB-leriň tunel kapsulasiýasyny aýyrmak funksiýasyndan peýdalanmak arkaly tor administratorlary VXLAN ulgamlarynyň ähli mümkinçiliklerini açyp, olaryň netijeli, howpsuz we ösýän iş zerurlyklaryna uýgunlaşýandygyny üpjün edip bilerler.
Ýerleşdirilen wagty: 2026-njy ýylyň 9-njy ýanwary
