В эпоху облачных вычислений и виртуализации сетей VXLAN (Virtual Extensible LAN) стала краеугольной технологией для построения масштабируемых и гибких оверлейных сетей. В основе архитектуры VXLAN лежит VTEP (VXLAN Tunnel Endpoint) — критически важный компонент, обеспечивающий бесперебойную передачу трафика уровня 2 через сети уровня 3. По мере того, как сетевой трафик становится все более сложным из-за различных протоколов инкапсуляции, роль сетевых пакетных брокеров (NPB) с возможностью удаления инкапсуляции из туннеля становится незаменимой для оптимизации работы VTEP. В этом блоге рассматриваются основы VTEP и его связь с VXLAN, а затем подробно анализируется, как функция удаления инкапсуляции из туннеля, выполняемая NPB, повышает производительность VTEP и улучшает видимость сети.
Понимание VTEP и его взаимосвязи с VXLAN
Для начала давайте проясним основные понятия: VTEP, сокращение от VXLAN Tunnel Endpoint (конечная точка туннеля VXLAN), — это сетевой объект, отвечающий за инкапсуляцию и декапсуляцию пакетов VXLAN в оверлейной сети VXLAN. Он служит начальной и конечной точкой туннелей VXLAN, выступая в качестве «шлюза», соединяющего виртуальную оверлейную сеть и физическую базовую сеть. VTEP могут быть реализованы как физические устройства (например, коммутаторы или маршрутизаторы с поддержкой VXLAN) или программные объекты (например, виртуальные коммутаторы, хосты контейнеров или прокси-серверы на виртуальных машинах).
Взаимосвязь между VTEP и VXLAN по своей сути симбиотическая — VXLAN использует VTEP для реализации своей основной функциональности, в то время как VTEP существуют исключительно для поддержки работы VXLAN. Основная ценность VXLAN заключается в создании виртуальной сети уровня 2 поверх сети IP уровня 3 посредством инкапсуляции MAC-кода в UDP, преодолевая ограничения масштабируемости традиционных VLAN (которые поддерживают только 4096 идентификаторов VLAN) с помощью 24-битного идентификатора сети VXLAN (VNI), что позволяет создавать до 16 миллионов виртуальных сетей. Вот как это обеспечивают VTEP: когда виртуальная машина (VM) отправляет трафик, локальный VTEP инкапсулирует исходный кадр Ethernet уровня 2, добавляя заголовок VXLAN (содержащий VNI), заголовок UDP (по умолчанию использующий порт 4789), внешний заголовок IP (с исходным IP-адресом VTEP и целевым IP-адресом VTEP) и внешний заголовок Ethernet. Затем инкапсулированный пакет передается по сети уровня 3 к целевому VTEP, который декапсулирует пакет, удаляя все внешние заголовки, восстанавливает исходный кадр Ethernet и пересылает его целевой виртуальной машине на основе VNI.
Кроме того, VTEP обрабатывают критически важные задачи, такие как изучение MAC-адресов (динамическое сопоставление MAC-адресов локальных и удаленных хостов с IP-адресами VTEP) и обработка широковещательного, неизвестного одноадресного и многоадресного трафика (BUM) — либо через многоадресные группы, либо путем репликации на головном устройстве в режиме только одноадресной передачи. По сути, VTEP являются строительными блоками, которые делают возможной виртуализацию сети VXLAN и многопользовательскую изоляцию.
Проблема инкапсулированного трафика для VTEP
В современных центрах обработки данных трафик VTEP редко ограничивается чистой инкапсуляцией VXLAN. Трафик, проходящий через VTEP, часто содержит несколько уровней заголовков инкапсуляции, включая VLAN, GRE, GTP, MPLS или IPIP, в дополнение к VXLAN. Эта сложность инкапсуляции создает значительные проблемы для работы VTEP и последующего мониторинга сети, анализа и обеспечения безопасности:
○ - Сниженная видимостьБольшинство инструментов мониторинга и обеспечения безопасности сети (таких как IDS/IPS, анализаторы потоков и анализаторы пакетов) предназначены для обработки трафика на уровне 2/3. Инкапсулированные заголовки скрывают исходную полезную нагрузку, что делает невозможным для этих инструментов точный анализ содержимого трафика или обнаружение аномалий.
○ - Увеличение накладных расходов на обработкуСами VTEP-серверы должны тратить дополнительные вычислительные ресурсы на обработку многоуровневых инкапсулированных пакетов, особенно в условиях высокой нагрузки. Это может привести к увеличению задержки, снижению пропускной способности и потенциальным узким местам в производительности.
○ - Проблемы совместимостиВ разных сетевых сегментах или средах, использующих оборудование разных производителей, могут применяться различные протоколы инкапсуляции. Без надлежащего удаления заголовка трафик может некорректно передаваться или обрабатываться при прохождении через VTEP, что приводит к проблемам совместимости.
Как технология туннельного инкапсулирования NPB расширяет возможности VTEP.
Сетевые пакетные брокеры Mylinking™ (NPB) с возможностью удаления инкапсуляции из туннелей решают эти проблемы, выступая в качестве «предварительного обработчика трафика» для VTEP. NPB могут удалять различные заголовки инкапсуляции (включая VXLAN, VLAN, GRE, GTP, MPLS и IPIP) из исходных пакетов данных перед пересылкой трафика на VTEP или в инструменты мониторинга/безопасности. Эта функциональность обеспечивает три ключевых преимущества для работы VTEP:
1. Улучшенная видимость и безопасность сети.
Удаляя заголовки инкапсуляции, NPB раскрывают исходную полезную нагрузку пакетов, позволяя инструментам мониторинга и безопасности «видеть» фактическое содержимое трафика. Например, когда трафик VTEP перенаправляется в IDS/IPS, NPB сначала удаляет заголовки VXLAN и MPLS, что позволяет IDS/IPS обнаруживать вредоносную активность (например, вредоносное ПО или попытки несанкционированного доступа) в исходном кадре. Это особенно важно в многопользовательских средах, где VTEP обрабатывают трафик от нескольких арендаторов — NPB гарантируют, что инструменты безопасности могут проверять трафик, специфичный для каждого арендатора, без препятствий со стороны инкапсуляции.
Кроме того, NPB могут выборочно удалять заголовки в зависимости от типа трафика или VNI, обеспечивая детальную видимость конкретных виртуальных сетей. Это помогает сетевым администраторам устранять неполадки (например, потерю пакетов или задержку), обеспечивая точный анализ трафика в отдельных сегментах VXLAN.
2. Оптимизированные характеристики VTEP
NPB-модули перекладывают задачу удаления заголовков с VTEP-модулей, снижая вычислительную нагрузку на VTEP-устройства. Вместо того чтобы VTEP-модули тратили ресурсы ЦП на удаление нескольких уровней заголовков (например, VLAN + GRE + VXLAN), NPB-модули выполняют этот этап предварительной обработки, позволяя VTEP-модулям сосредоточиться на своих основных задачах: инкапсуляции/декапсуляции пакетов VXLAN и управлении туннелями. Это приводит к снижению задержки, увеличению пропускной способности и улучшению общей производительности сети VXLAN, особенно в средах виртуализации с высокой плотностью, тысячами виртуальных машин и большими объемами трафика.
Например, в центре обработки данных, где NPB и коммутаторы выступают в роли VTEP, NPB (например, сетевой пакетный брокер Mylinking™) может удалять заголовки VLAN и MPLS из входящего трафика до того, как он достигнет VTEP. Это уменьшает количество операций обработки заголовков, которые должны выполнять VTEP, позволяя им обрабатывать больше одновременных туннелей и потоков трафика.
3. Улучшенная совместимость в гетерогенных сетях
В сетях, использующих оборудование разных производителей или сегментированных сетях, различные части инфраструктуры могут использовать разные протоколы инкапсуляции. Например, трафик из удаленного центра обработки данных может поступать на локальный VTEP с инкапсуляцией GRE, в то время как локальный трафик использует VXLAN. NPB может удалять эти различные заголовки (GRE, VXLAN, IPIP и т. д.) и перенаправлять согласованный, собственный поток трафика на VTEP, устраняя проблемы совместимости. Это особенно ценно в гибридных облачных средах, где трафик от общедоступных облачных сервисов (часто использующий инкапсуляцию GTP или IPIP) должен интегрироваться с локальными сетями VXLAN через VTEP.
Кроме того, NPB могут передавать удаленные заголовки в качестве метаданных инструментам мониторинга, гарантируя, что администраторы сохранят контекст исходной инкапсуляции (например, метку VNI или MPLS), и при этом смогут анализировать исходный полезный груз. Этот баланс между удалением заголовков и сохранением контекста является ключевым для эффективного управления сетью.
Как реализовать функцию удаления пакетов из туннеля в VTEP?
Удаление инкапсуляции туннеля в VTEP может быть реализовано посредством аппаратной конфигурации, программно-определяемых политик и взаимодействия с контроллерами SDN, при этом основная логика сосредоточена на идентификации заголовков туннеля → выполнении действий по удалению инкапсуляции → пересылке исходных данных. Конкретные методы реализации немного различаются в зависимости от типа VTEP (физический/программный), и основные подходы следующие:
Теперь мы поговорим о реализации на физических VTEP (например,Сетевые пакетные брокеры Mylinking™ с поддержкой VXLAN) здесь.
Физические VTEP (например, сетевые пакетные брокеры Mylinking™ с поддержкой VXLAN) используют аппаратные микросхемы и специальные команды конфигурации для эффективного удаления инкапсуляции, что подходит для центров обработки данных с высокой интенсивностью трафика:
Сопоставление инкапсуляции на основе интерфейсов: создайте субинтерфейсы на физических портах доступа VTEP и настройте типы инкапсуляции для сопоставления и удаления определенных заголовков туннеля. Например, на сетевых пакетных брокерах Mylinking™ с поддержкой VXLAN настройте субинтерфейсы уровня 2 для распознавания тегов VLAN 802.1Q или нетегированных кадров и удаления заголовков VLAN перед пересылкой трафика в туннель VXLAN. Для трафика, инкапсулированного в GRE/MPLS, включите соответствующий анализ протокола на субинтерфейсе для удаления внешних заголовков.
Удаление заголовков на основе политик: используйте списки контроля доступа (ACL) или политики трафика для определения правил соответствия (например, соответствие порту UDP 4789 для VXLAN, типу протокола 47 для GRE) и привязки действий по удалению. Когда трафик соответствует правилам, аппаратный чип VTEP автоматически удаляет указанные заголовки туннеля (внешние заголовки VXLAN/UDP/IP, метки MPLS и т. д.) и пересылает исходную полезную нагрузку уровня 2.
Синергия распределенных шлюзов: в архитектурах Spine-Leaf VXLAN физические VTEP (узлы Leaf) могут взаимодействовать со шлюзами уровня 3 для выполнения многоуровневого удаления данных. Например, после того, как узлы Spine перенаправят инкапсулированный MPLS-трафик VXLAN на узлы Leaf VTEP, VTEP сначала удаляют метки MPLS, а затем выполняют декапсуляцию VXLAN.
Вам нужен пример конфигурации для устройства VTEP конкретного производителя (например,Сетевые пакетные брокеры Mylinking™ с поддержкой VXLAN) для реализации процесса инкапсуляции и удаления материала из туннеля?
Сценарий практического применения
Рассмотрим крупный корпоративный центр обработки данных, развертывающий оверлейную сеть VXLAN с коммутаторами H3C в качестве VTEP, поддерживающий множество виртуальных машин арендаторов. Центр обработки данных использует MPLS для передачи трафика между основными коммутаторами и VXLAN для связи между виртуальными машинами. Кроме того, удаленные филиалы отправляют трафик в центр обработки данных через туннели GRE. Для обеспечения безопасности и прозрачности предприятие развертывает NPB с функцией Tunnel Encapsulation Stripping между основной сетью и VTEP.
Когда трафик поступает в центр обработки данных:
(1) NPB сначала удаляет заголовки MPLS из трафика, поступающего из основной сети, и заголовки GRE из трафика филиалов.
(2) Для трафика VXLAN между VTEP, NPB может удалять внешние заголовки VXLAN при пересылке трафика инструментам мониторинга, что позволяет инструментам проверять исходный трафик виртуальной машины.
(3) NPB пересылает предварительно обработанный (без заголовка) трафик на VTEP, которым нужно обрабатывать только инкапсуляцию/декапсуляцию VXLAN для собственной полезной нагрузки. Такая настройка снижает нагрузку на обработку VTEP, обеспечивает всесторонний анализ трафика и гарантирует бесперебойную совместимость между сегментами MPLS, GRE и VXLAN.
VTEP являются основой сетей VXLAN, обеспечивая масштабируемую виртуализацию и многопользовательскую связь. Однако растущая сложность инкапсулированного трафика в современных сетях создает значительные проблемы для производительности VTEP и видимости сети. Сетевые пакетные брокеры с возможностью удаления инкапсуляции из туннелей решают эти проблемы путем предварительной обработки трафика, удаления различных заголовков (VXLAN, VLAN, GRE, GTP, MPLS, IPIP) до того, как он достигнет VTEP или инструментов мониторинга. Это не только оптимизирует производительность VTEP за счет снижения накладных расходов на обработку, но и повышает видимость сети, усиливает безопасность и улучшает совместимость в гетерогенных средах.
По мере того, как организации продолжают внедрять облачные архитектуры и гибридные облачные развертывания, синергия между NPB и VTEP будет становиться все более важной. Используя функцию инкапсуляции туннелей в NPB, сетевые администраторы могут раскрыть весь потенциал сетей VXLAN, обеспечивая их эффективность, безопасность и адаптацию к меняющимся потребностям бизнеса.
Дата публикации: 09.01.2026
