Үүлэн тооцоолол болон сүлжээний виртуалчлалын эрин үед VXLAN (Виртуал Өргөтгөх боломжтой LAN) нь өргөтгөх боломжтой, уян хатан давхарласан сүлжээг бий болгох гол технологи болсон. VXLAN архитектурын гол цөм нь 2-р түвшний урсгалыг 3-р түвшний сүлжээгээр жигд дамжуулах боломжийг олгодог чухал бүрэлдэхүүн хэсэг болох VTEP (VXLAN Tunnel Endpoint) юм. Төрөл бүрийн капсулжуулалтын протоколуудын тусламжтайгаар сүлжээний урсгал улам бүр төвөгтэй болж байгаа тул Tunnel Encapsulation Stripping чадвартай Сүлжээний Пакет Брокеруудын (NPB) үүрэг нь VTEP-ийн үйл ажиллагааг оновчтой болгоход зайлшгүй шаардлагатай болсон. Энэхүү блог нь VTEP-ийн үндэс суурь болон VXLAN-тай харилцах харилцааг судалж, дараа нь NPB-ийн хонгилын капсулжуулалтын функц нь VTEP-ийн гүйцэтгэл болон сүлжээний харагдах байдлыг хэрхэн сайжруулдаг талаар судлах болно.
VTEP болон түүний VXLAN-тай холбоотой харилцааг ойлгох
Эхлээд үндсэн ойлголтуудыг тодруулъя: VTEP буюу VXLAN Tunnel Endpoint нь VXLAN давхар сүлжээнд VXLAN пакетуудыг капсулжуулах болон задлах үүрэгтэй сүлжээний нэгж юм. Энэ нь виртуал давхар сүлжээ болон физик суурь сүлжээг холбосон "гарц" болж, VXLAN туннелийн эхлэл ба төгсгөлийн цэг болж үйлчилдэг. VTEP-үүдийг физик төхөөрөмж (VXLAN-чадвартай унтраалга эсвэл чиглүүлэгч гэх мэт) эсвэл програм хангамжийн нэгж (виртуал унтраалга, контейнер хост эсвэл виртуал машин дээрх прокси гэх мэт) хэлбэрээр хэрэгжүүлж болно.
VTEP болон VXLAN-ийн хоорондын харилцаа нь угаасаа симбиотик шинж чанартай байдаг - VXLAN нь үндсэн функцээ хэрэгжүүлэхийн тулд VTEP-үүдийг ашигладаг бол VTEP нь зөвхөн VXLAN үйл ажиллагааг дэмжих зорилгоор оршин тогтнодог. VXLAN-ийн гол үнэ цэнэ нь MAC-in-UDP капсулжуулалтаар дамжуулан 3-р түвшний IP сүлжээний дээр виртуал 2-р түвшний сүлжээг бий болгож, уламжлалт VLAN-уудын (зөвхөн 4096 VLAN ID-г дэмждэг) өргөтгөх боломжийн хязгаарлалтыг даван туулж, 16 сая хүртэлх виртуал сүлжээг идэвхжүүлдэг 24 битийн VXLAN сүлжээний танигч (VNI)-тай байх явдал юм. VTEP-үүд үүнийг хэрхэн идэвхжүүлдэг вэ: Виртуал машин (VM) урсгал илгээх үед орон нутгийн VTEP нь анхны 2-р түвшний Ethernet хүрээг VXLAN толгой (VNI агуулсан), UDP толгой (анхдагчаар 4789 портыг ашигладаг), гадаад IP толгой (эх үүсвэр VTEP IP болон очих VTEP IP-тэй) болон гадаад Ethernet толгойг нэмж капсулжуулдаг. Дараа нь капсулжуулсан пакетийг 3-р давхаргын доод сүлжээгээр очих VTEP руу дамжуулдаг бөгөөд энэ нь бүх гаднах толгой хэсгүүдийг салгаж пакетийг задалж, анхны Ethernet хүрээг сэргээж, VNI дээр үндэслэн зорилтот VM руу дамжуулдаг.
Үүнээс гадна, VTEP нь MAC хаягийг сурах (орон нутгийн болон алсын хостуудын MAC хаягийг VTEP IP хаягуудтай динамикаар зураглах) болон Broadcast, Unknown Unicast, болон Multicast (BUM) урсгалыг боловсруулах зэрэг чухал ажлуудыг гүйцэтгэдэг бөгөөд эдгээр нь multicast бүлгүүдээр дамжуулан эсвэл зөвхөн unicast горимд head-end хуулбарлалтаар дамждаг. Үндсэндээ VTEP нь VXLAN-ийн сүлжээний виртуалчлал болон олон түрээслэгчийн тусгаарлалтыг боломжтой болгодог барилгын блокууд юм.
VTEP-үүдэд зориулсан капсулжуулсан урсгалын сорилт
Орчин үеийн өгөгдлийн төвийн орчинд VTEP урсгал нь цэвэр VXLAN капсулжуулалтаар хязгаарлагдах нь ховор байдаг. VTEP-ээр дамжин өнгөрөх урсгал нь VXLAN-аас гадна VLAN, GRE, GTP, MPLS, эсвэл IPIP зэрэг олон давхар капсулжуулалтын толгойнуудыг агуулдаг. Энэхүү капсулжуулалтын нарийн төвөгтэй байдал нь VTEP-ийн үйл ажиллагаа болон дараагийн сүлжээний хяналт, шинжилгээ, аюулгүй байдлын хэрэгжилтэд томоохон бэрхшээл учруулдаг:
○ - Харагдах байдал багассанСүлжээний хяналт болон аюулгүй байдлын ихэнх хэрэгслүүд (IDS/IPS, урсгалын анализатор, пакет шиншлэгч гэх мэт) нь 2/3-р түвшний уугуул урсгалыг боловсруулах зориулалттай. Капсулжуулсан толгой хэсгүүд нь анхны ачааллыг далдалдаг тул эдгээр хэрэгслүүд урсгалын агуулгыг нарийн шинжлэх эсвэл гажиг илрүүлэх боломжгүй болгодог.
○ - Боловсруулалтын нэмэлт зардал нэмэгдсэнVTEP-үүд өөрсдөө олон давхаргат капсулжуулсан пакетуудыг боловсруулахын тулд нэмэлт тооцооллын нөөцийг зарцуулах шаардлагатай болдог, ялангуяа өндөр ачаалалтай орчинд. Энэ нь хоцрогдол нэмэгдэх, нэвтрүүлэх чадвар буурах, гүйцэтгэлийн саад тотгор учруулж болзошгүй.
○ - Харилцан үйлчлэх асуудлуудСүлжээний өөр өөр сегментүүд эсвэл олон үйлдвэрлэгчийн орчин нь өөр өөр капсулжуулалтын протоколуудыг ашиглаж болно. Толгой хэсгийг зохих ёсоор нь салгахгүй бол VTEP-ээр дамжин өнгөрөх үед урсгал зөв дамжуулагдах эсвэл боловсруулагдахгүй байж болзошгүй бөгөөд энэ нь харилцан ажиллах чадварын асуудалд хүргэж болзошгүй юм.
NPB-үүдийн хонгилын капсулжуулалт нь VTEP-үүдийг хэрхэн хүчирхэгжүүлдэг вэ
Туннелийн капсулжуулалтыг арилгах чадвартай Mylinking™ сүлжээний пакет зуучлагчид (NPB) нь VTEP-үүдэд зориулсан "Трафикийн урьдчилсан боловсруулагч" болж ажиллах замаар эдгээр бэрхшээлийг шийддэг. NPB нь урсгалыг VTEP эсвэл хяналтын/аюулгүй байдлын хэрэгслүүд рүү дамжуулахаас өмнө анхны өгөгдлийн пакетуудаас янз бүрийн капсулжуулалтын толгойнуудыг (VXLAN, VLAN, GRE, GTP, MPLS, болон IPIP) салгаж чаддаг. Энэхүү функц нь VTEP үйл ажиллагаанд гурван гол давуу талыг олгодог:
1. Сүлжээний харагдах байдал болон аюулгүй байдлыг сайжруулах
Капсулжуулалтын толгой хэсгүүдийг салгаснаар NPB нь пакетуудын анхны ачааллыг ил гаргаж, хяналт болон аюулгүй байдлын хэрэгслүүдэд бодит траффикийн агуулгыг "харах" боломжийг олгодог. Жишээлбэл, VTEP траффикийг IDS/IPS руу дамжуулах үед NPB нь эхлээд VXLAN болон MPLS толгой хэсгүүдийг салгаж, IDS/IPS нь анхны фрэйм дэх хортой үйлдлийг (жишээлбэл, хортой програм хангамж эсвэл зөвшөөрөлгүй нэвтрэх оролдлого) илрүүлэх боломжийг олгодог. Энэ нь VTEP нь олон түрээслэгчийн траффикийг зохицуулдаг олон түрээслэгчтэй орчинд онцгой чухал юм - NPB нь аюулгүй байдлын хэрэгслүүд нь капсулжуулалтаар саад учруулахгүйгээр түрээслэгчийн тодорхой траффикийг шалгаж чаддаг болохыг баталгаажуулдаг.
Түүнчлэн, NPB нь урсгалын төрөл эсвэл VNI дээр үндэслэн толгойнуудыг сонгон хуулж, тодорхой виртуал сүлжээнд нарийн харагдах байдлыг хангаж чаддаг. Энэ нь сүлжээний администраторуудад VXLAN сегмент доторх урсгалын нарийн шинжилгээг идэвхжүүлснээр асуудлуудыг (пакет алдагдал эсвэл хоцрогдол гэх мэт) шийдвэрлэхэд тусалдаг.
2. VTEP-ийн гүйцэтгэлийг оновчтой болгосон
NPB нь толгой хэсгийг салгах ажлыг VTEP-ээс буулгаж, VTEP төхөөрөмжүүд дээрх боловсруулалтын ачааллыг бууруулдаг. VTEP нь толгой хэсгийн олон давхаргыг (жишээ нь, VLAN + GRE + VXLAN) салгахад CPU-ийн нөөцийг зарцуулахын оронд NPB нь энэхүү урьдчилсан боловсруулалтын алхмыг гүйцэтгэдэг бөгөөд энэ нь VTEP-үүдэд VXLAN пакетуудыг капсулжуулах/капсулжуулах болон туннелийн менежментийн үндсэн үүрэг хариуцлагадаа анхаарлаа төвлөрүүлэх боломжийг олгодог. Энэ нь хоцрогдол багатай, нэвтрүүлэх чадвар өндөртэй, VXLAN давхар сүлжээний ерөнхий гүйцэтгэлийг сайжруулдаг - ялангуяа мянга мянган VM болон их хэмжээний урсгалын ачаалалтай өндөр нягтралтай виртуалчлалын орчинд.
Жишээлбэл, NPB болон Switch-үүд нь VTEP болж ажилладаг өгөгдлийн төвд NPB (Mylinking™ Network Packet Brokers гэх мэт) нь VLAN болон MPLS толгой хэсгүүдийг VTEP-үүдэд хүрэхээс өмнө ирж буй урсгалаас салгаж чаддаг. Энэ нь VTEP-үүдийн гүйцэтгэх шаардлагатай толгой хэсгүүдийг боловсруулах үйлдлүүдийн тоог бууруулж, илүү олон зэрэгцээ хонгил болон урсгалыг зохицуулах боломжийг олгодог.
3. Олон төрлийн сүлжээнүүдийн харилцан ажиллах чадварыг сайжруулах
Олон үйлдвэрлэгч эсвэл олон сегментийн сүлжээнд дэд бүтцийн өөр өөр хэсгүүд өөр өөр капсулжуулалтын протоколуудыг ашиглаж болно. Жишээлбэл, алсын өгөгдлийн төвөөс ирсэн урсгал нь GRE капсулжуулалттай орон нутгийн VTEP руу ирж болох бол орон нутгийн урсгал нь VXLAN ашигладаг. NPB нь эдгээр олон янзын толгой хэсгүүдийг (GRE, VXLAN, IPIP гэх мэт) хуулж, VTEP руу тогтвортой, уугуул урсгалын урсгалыг дамжуулж, харилцан ажиллах чадварын асуудлыг арилгаж чадна. Энэ нь ялангуяа эрлийз үүлэн орчинд үнэ цэнэтэй бөгөөд нийтийн үүлэн үйлчилгээнээс (ихэвчлэн GTP эсвэл IPIP капсулжуулалтыг ашигладаг) ирсэн урсгал нь VTEP-ээр дамжуулан орон нутгийн VXLAN сүлжээтэй нэгтгэх шаардлагатай байдаг.
Үүнээс гадна, NPB нь хуулсан толгой хэсгүүдийг мета өгөгдөл болгон хяналтын хэрэгслүүд рүү дамжуулж болох бөгөөд ингэснээр администраторууд анхны капсулжуулалтын талаарх контекстийг (VNI эсвэл MPLS шошго гэх мэт) хадгалахын зэрэгцээ уугуул ачааллын шинжилгээг идэвхжүүлэхийг баталгаажуулдаг. Толгой хэсгүүдийг хуулах болон контекстийг хадгалах хоёрын хоорондох энэхүү тэнцвэр нь сүлжээний үр дүнтэй менежментийн түлхүүр юм.
VTEP дээр хонгилын багцыг хуулах функцийг хэрхэн хэрэгжүүлэх вэ?
VTEP дахь хонгилын капсулжуулалтыг техник хангамжийн түвшний тохиргоо, програм хангамжаар тодорхойлсон бодлого, SDN хянагчтай синерги ашиглан хэрэгжүүлж болох бөгөөд гол логик нь хонгилын толгойг тодорхойлох → хуулах үйлдлийг гүйцэтгэх → анхны ачааллыг дамжуулахад чиглэгддэг. Тодорхой хэрэгжүүлэх аргууд нь VTEP-ийн төрлөөс (физик/програм хангамж) хамааран бага зэрэг өөр өөр байдаг бөгөөд гол аргууд нь дараах байдалтай байна.
Одоо бид Физик VTEP дээр хэрэгжүүлэх талаар ярьж байна (жишээ нь,Mylinking™ VXLAN-тай сүлжээний пакет брокерууд) энд.
Физик VTEP (Mylinking™ VXLAN-чадвартай Сүлжээний Пакет Брокер гэх мэт) нь өндөр урсгалтай өгөгдлийн төвийн нөхцөлд тохиромжтой үр ашигтай капсулжуулалтыг арилгахын тулд техник хангамжийн чип болон тусгай тохиргооны командуудыг ашигладаг:
Интерфэйс дээр суурилсан капсулжуулалтын тохируулга: VTEP-үүдийн физик хандалтын портууд дээр дэд интерфэйсүүдийг үүсгэж, тодорхой туннелийн толгойнуудыг тохируулж, хуулахын тулд капсулжуулалтын төрлүүдийг тохируулна уу. Жишээлбэл, Mylinking™ VXLAN-чадвартай Сүлжээний Пакет Брокерууд дээр 2-р түвшний дэд интерфэйсүүдийг 802.1Q VLAN шошго эсвэл шошгогүй фрэймүүдийг танихаар тохируулж, VXLAN туннел рүү урсгал дамжуулахаас өмнө VLAN толгойнуудыг хуулж авна. GRE/MPLS-ээр капсулжуулсан урсгалын хувьд гадаад толгойнуудыг хуулахын тулд дэд интерфэйс дээр харгалзах протоколын задлан шинжлэхийг идэвхжүүлнэ үү.
Бодлогод суурилсан толгой хэсгийг хуулах: Тохирох дүрмийг тодорхойлох (жишээ нь, VXLAN-д зориулсан UDP порт 4789, GRE-д зориулсан протоколын төрөл 47) болон хуулах үйлдлүүдийг холбохын тулд ACL (Access Control List) эсвэл урсгалын бодлогыг ашиглана. Урсгал нь дүрэмтэй тохирч байх үед VTEP техник хангамжийн чип нь заасан туннелийн толгой хэсгүүдийг (VXLAN/UDP/IP гадаад толгой хэсгүүд, MPLS шошго гэх мэт) автоматаар хуулж, анхны 2-р давхаргын ашигтай ачааллыг дамжуулдаг.
Тархсан гарцын синерги: Нуруу-Нэвт VXLAN архитектурт физик VTEP (Нэвт зангилаа) нь олон давхаргат хуулах ажиллагааг дуусгахын тулд 3-р түвшний гарцуудтай хамтран ажиллаж чаддаг. Жишээлбэл, Нурууны зангилаанууд MPLS-ээр капсулжуулсан VXLAN урсгалыг Навч VTEP-үүд рүү дамжуулсны дараа VTEP-үүд эхлээд MPLS шошгыг хуулж, дараа нь VXLAN-ийн капсулжуулалтыг гүйцэтгэдэг.
Танд тодорхой үйлдвэрлэгчийн VTEP төхөөрөмжийн тохиргооны жишээ хэрэгтэй юу (жишээ ньMylinking™ VXLAN-тай сүлжээний пакет брокерууд) хонгилын битүүмжлэлийг хуулах ажлыг хэрэгжүүлэх үү?
Практик хэрэглээний хувилбар
Томоохон аж ахуйн нэгжийн өгөгдлийн төв нь олон түрээслэгч виртуал машинуудыг дэмждэг, H3C свичүүдийг VTEP болгон ашигладаг VXLAN давхар сүлжээг байрлуулж байгааг авч үзье. Өгөгдлийн төв нь гол свичүүдийн хоорондох урсгал дамжуулахад MPLS, харин виртуал машинаас виртуал машин руу холбогдоход VXLAN ашигладаг. Нэмж дурдахад, алсын салбарууд нь GRE туннелээр дамжуулан өгөгдлийн төв рүү урсгал илгээдэг. Аюулгүй байдал, харагдах байдлыг хангахын тулд аж ахуйн нэгж нь гол сүлжээ болон VTEP-үүдийн хооронд туннелийн капсулжуулалтын стриптинг бүхий NPB байрлуулдаг.
Өгөгдлийн төвд урсгал ирэх үед:
(1) NPB нь эхлээд MPLS толгой хэсгүүдийг цөм сүлжээнээс ирж буй урсгалаас, GRE толгой хэсгүүдийг салбарын оффисын урсгалаас салгадаг.
(2) VTEP-үүдийн хоорондох VXLAN урсгалын хувьд NPB нь урсгалыг хяналтын хэрэгслүүд рүү дамжуулах үед гаднах VXLAN толгойнуудыг хуулж, хэрэгслүүд анхны VM урсгалыг шалгах боломжийг олгодог.
(3) NPB нь урьдчилан боловсруулсан (толгой хуулсан) урсгалыг VTEP-үүд рүү дамжуулдаг бөгөөд эдгээр нь зөвхөн үндсэн ачааллын хувьд VXLAN-ийн капсулжуулалт/капсулжуулалтыг зохицуулах шаардлагатай. Энэхүү тохиргоо нь VTEP боловсруулах ачааллыг бууруулж, цогц урсгалын шинжилгээг хийх боломжийг олгож, MPLS, GRE, болон VXLAN сегментүүдийн хоорондын тасралтгүй харилцан үйлчлэлийг баталгаажуулдаг.
VTEP нь VXLAN сүлжээний гол тулгуур бөгөөд өргөтгөх боломжтой виртуалчлал болон олон түрээслэгчийн харилцаа холбоог бий болгодог. Гэсэн хэдий ч орчин үеийн сүлжээнд капсулжуулсан урсгалын улам бүр нарийн төвөгтэй байдал нь VTEP-ийн гүйцэтгэл болон сүлжээний харагдах байдалд томоохон бэрхшээл учруулж байна. Хонгилын капсулжуулалттай сүлжээний пакет зуучлагчид Хуулбарлах чадвар нь урсгалыг урьдчилан боловсруулж, янз бүрийн толгой хэсгүүдийг (VXLAN, VLAN, GRE, GTP, MPLS, IPIP) VTEP эсвэл хяналтын хэрэгслүүдэд хүрэхээс өмнө хуулж авснаар эдгээр бэрхшээлийг шийдвэрлэдэг. Энэ нь зөвхөн боловсруулалтын ачааллыг бууруулснаар VTEP-ийн гүйцэтгэлийг оновчтой болгохоос гадна сүлжээний харагдах байдлыг сайжруулж, аюулгүй байдлыг бэхжүүлж, олон төрлийн орчинд харилцан ажиллах чадварыг сайжруулдаг.
Байгууллагууд үүлэн технологид суурилсан архитектур болон эрлийз үүлэн байршуулалтыг үргэлжлүүлэн нэвтрүүлэхийн хэрээр NPB болон VTEP-ийн хоорондох синергизм улам бүр чухал болох болно. NPB-ийн хонгилын капсулжуулалтын хуулах функцийг ашигласнаар сүлжээний админууд VXLAN сүлжээнүүдийн бүрэн боломжийг нээж, тэдгээрийг үр ашигтай, аюулгүй, бизнесийн хөгжиж буй хэрэгцээнд нийцүүлэн ашиглах боломжтой болгож чадна.
Нийтэлсэн цаг: 2026 оны 1-р сарын 9
