Pilvilaskennan ja verkkovirtualisoinnin aikakaudella VXLANista (Virtual Extensible LAN) on tullut kulmakiviteknologia skaalautuvien ja joustavien päällekkäisverkkojen rakentamisessa. VXLAN-arkkitehtuurin ytimessä on VTEP (VXLAN Tunnel Endpoint), kriittinen komponentti, joka mahdollistaa kerroksen 2 liikenteen saumattoman siirron kerroksen 3 verkkojen kautta. Verkkoliikenteen monimutkaistuessa erilaisten kapselointiprotokollien myötä tunnelin kapseloinnin poistoon kykenevien verkkopakettivälittäjien (NPB) roolista on tullut korvaamaton VTEP:n toiminnan optimoinnissa. Tässä blogissa tarkastellaan VTEP:n perusteita ja sen suhdetta VXLANiin ja syvennytään sitten siihen, miten NPB:iden tunnelin kapseloinnin poistotoiminto parantaa VTEP:n suorituskykyä ja verkon näkyvyyttä.
VTEP:n ja sen suhteen ymmärtäminen VXLAN:iin
Selvennetään ensin ydinkäsitteet: VTEP, lyhenne sanoista VXLAN Tunnel Endpoint, on verkkoyksikkö, joka vastaa VXLAN-pakettien kapseloinnista ja purkamisesta VXLAN-päällysverkossa. Se toimii VXLAN-tunnelien lähtö- ja päätepisteenä ja toimii "yhdyskäytävänä", joka yhdistää virtuaalisen päällysverkon ja fyysisen alusverkon. VTEP:t voidaan toteuttaa fyysisinä laitteina (kuten VXLAN-yhteensopivina kytkiminä tai reitittiminä) tai ohjelmistoyksiköinä (kuten virtuaalikytkiminä, konttipalvelimina tai virtuaalikoneiden välityspalvelimina).
VTEP:n ja VXLANin välinen suhde on luonnostaan symbioottinen – VXLAN käyttää VTEP:itä ydintoimintojensa toteuttamiseen, kun taas VTEP:t tukevat yksinomaan VXLAN-toimintoja. VXLANin ydinarvo on luoda virtuaalinen kerroksen 2 verkko kerroksen 3 IP-verkon päälle MAC-in-UDP-kapseloinnin avulla, ylittäen perinteisten VLAN-verkkojen skaalautuvuusrajoitukset (jotka tukevat vain 4096 VLAN-tunnusta) 24-bittisellä VXLAN-verkkotunnuksella (VNI), joka mahdollistaa jopa 16 miljoonaa virtuaaliverkkoa. VTEP:t mahdollistavat tämän seuraavasti: Kun virtuaalikone (VM) lähettää liikennettä, paikallinen VTEP kapseloi alkuperäisen kerroksen 2 Ethernet-kehyksen lisäämällä VXLAN-otsikon (joka sisältää VNI:n), UDP-otsikon (käyttää oletusarvoisesti porttia 4789), ulkoisen IP-otsikon (jossa on lähde-VTEP IP-osoite ja kohde-VTEP IP-osoite) ja ulkoisen Ethernet-otsikon. Kapseloitu paketti lähetetään sitten kerroksen 3 alusverkon kautta kohde-VTEP:lle, joka dekapseloi paketin poistamalla kaikki ulkoiset otsikot, palauttaa alkuperäisen Ethernet-kehyksen ja välittää sen kohde-virtuaalikoneelle VNI:n perusteella.
Lisäksi VTEP:t hoitavat kriittisiä tehtäviä, kuten MAC-osoitteiden oppimisen (paikallisten ja etäisäntien MAC-osoitteiden dynaaminen yhdistäminen VTEP:n IP-osoitteisiin) sekä lähetys-, tuntemattoman unicast- ja monilähetysliikenteen (BUM) käsittelyn – joko monilähetysryhmien tai päätelaitteen replikoinnin kautta vain unicast-tilassa. Pohjimmiltaan VTEP:t ovat rakennuspalikoita, jotka mahdollistavat VXLANin verkon virtualisoinnin ja usean käyttäjän eristämisen.
Kapseloidun liikenteen haaste VTEP-yrityksille
Nykyaikaisissa datakeskusympäristöissä VTEP-liikenne rajoittuu harvoin puhtaaseen VXLAN-kapselointiin. VTEP-yhteyksien läpi kulkeva liikenne kuljettaa usein useita kapselointiotsikkokerroksia, mukaan lukien VLAN, GRE, GTP, MPLS tai IPIP, VXLANin lisäksi. Tämä kapseloinnin monimutkaisuus asettaa merkittäviä haasteita VTEP-toiminnoille ja sitä seuraavalle verkon valvonnalle, analysoinnille ja tietoturvan valvonnalle:
○ - Näkyvyyden heikkeneminenUseimmat verkonvalvonta- ja tietoturvatyökalut (kuten IDS/IPS, virtausanalysaattorit ja pakettien nuuskijat) on suunniteltu käsittelemään natiivia kerroksen 2/kerroksen 3 liikennettä. Kapseloidut otsikot peittävät alkuperäisen hyötykuorman, minkä vuoksi nämä työkalut eivät pysty analysoimaan liikenteen sisältöä tarkasti tai havaitsemaan poikkeavuuksia.
○ - Lisääntynyt prosessointikuormaVTEP-laitteiden on itse käytettävä lisää laskentaresursseja monikerroksisten kapseloitujen pakettien käsittelyyn, erityisesti vilkkaasti liikennöidyissä ympäristöissä. Tämä voi johtaa lisääntyneeseen viiveeseen, pienentyneeseen läpäisykykyyn ja mahdollisiin suorituskyvyn pullonkauloihin.
○ - YhteentoimivuusongelmatEri verkkosegmenteissä tai usean toimittajan ympäristöissä voidaan käyttää erilaisia kapselointiprotokollia. Ilman asianmukaista otsikoiden poistamista liikennettä ei välttämättä voida välittää tai käsitellä oikein kulkiessaan VTEP-pisteiden läpi, mikä johtaa yhteentoimivuusongelmiin.
Kuinka NPB:iden tunnelien kapselointipurkaus voimaannuttaa VTEP:ejä
Tunnelointikapseloinnin poisto-ominaisuudella varustetut Mylinking™-verkkopakettien välittäjät (NPB) ratkaisevat nämä haasteet toimimalla VTEP-pakettien "liikenteen esikäsittelijöinä". NPB:t voivat poistaa erilaisia kapselointiotsikoita (mukaan lukien VXLAN, VLAN, GRE, GTP, MPLS ja IPIP) alkuperäisistä datapaketeista ennen liikenteen välittämistä VTEP-paketteihin tai valvonta-/tietoturvatyökaluihin. Tämä toiminto tarjoaa kolme keskeistä etua VTEP-toiminnoille:
1. Parannettu verkon näkyvyys ja turvallisuus
Poistamalla kapselointiotsikot NPB:t paljastavat pakettien alkuperäisen hyötykuorman, jolloin valvonta- ja tietoturvatyökalut voivat "nähdä" todellisen liikenteen sisällön. Esimerkiksi kun VTEP-liikenne välitetään IDS/IPS:lle, NPB poistaa ensin VXLAN- ja MPLS-otsikot, jolloin IDS/IPS voi havaita haitallista toimintaa (kuten haittaohjelmia tai luvattomia käyttöyrityksiä) alkuperäisessä kehyksessä. Tämä on erityisen tärkeää usean vuokralaisen ympäristöissä, joissa VTEP:t käsittelevät liikennettä useilta vuokralaisilta – NPB:t varmistavat, että tietoturvatyökalut voivat tarkastaa vuokralaiskohtaista liikennettä ilman, että kapselointi estää niitä.
Lisäksi NPB:t voivat valikoivasti poistaa otsikoita liikennetyypin tai VNI:n perusteella, mikä tarjoaa yksityiskohtaisen näkyvyyden tiettyihin virtuaaliverkkoihin. Tämä auttaa verkonvalvojia vianmäärityksessä (kuten pakettien katoaminen tai viive) mahdollistamalla yksittäisten VXLAN-segmenttien liikenteen tarkan analysoinnin.
2. Optimoitu VTEP-suorituskyky
NPB:t siirtävät otsikoiden poiston VTEP:iltä, mikä vähentää VTEP-laitteiden prosessointikuormaa. Sen sijaan, että VTEP:t käyttäisivät suorittimen resursseja useiden otsikkokerrosten (esim. VLAN + GRE + VXLAN) poistamiseen, NPB:t hoitavat tämän esikäsittelyvaiheen, jolloin VTEP:t voivat keskittyä ydintehtäviinsä: VXLAN-pakettien kapselointiin/dekapselointiin ja tunnelien hallintaan. Tämä johtaa pienempään latenssiin, suurempaan läpäisykykyyn ja VXLAN-päällysverkon parempaan yleiseen suorituskykyyn – erityisesti tiheissä virtualisointiympäristöissä, joissa on tuhansia virtuaalikoneita ja suuria liikennekuormia.
Esimerkiksi datakeskuksessa, jossa NPB:t ja kytkimet toimivat VTEP:inä, NPB (kuten Mylinking™ Network Packet Brokers) voi poistaa VLAN- ja MPLS-otsikot saapuvasta liikenteestä ennen kuin se saavuttaa VTEP:t. Tämä vähentää VTEP:ien suorittamien otsikkokäsittelytoimintojen määrää, jolloin ne voivat käsitellä useampia samanaikaisia tunneleita ja liikennevirtoja.
3. Parannettu yhteentoimivuus heterogeenisissä verkoissa
Usean toimittajan tai monisegmenttisen verkon infrastruktuurin eri osat voivat käyttää erilaisia kapselointiprotokollia. Esimerkiksi etädatakeskuksesta tuleva liikenne voi saapua paikalliseen VTEP:hen GRE-kapseloinnin avulla, kun taas paikallinen liikenne käyttää VXLANia. NPB voi poistaa nämä erilaiset otsikot (GRE, VXLAN, IPIP jne.) ja välittää yhtenäisen, natiivin liikennevirran VTEP:lle, mikä poistaa yhteentoimivuusongelmat. Tämä on erityisen arvokasta hybridipilviympäristöissä, joissa julkisista pilvipalveluista tulevan liikenteen (usein GTP- tai IPIP-kapseloinnin avulla) on integroitava paikallisiin VXLAN-verkkoihin VTEP:ien kautta.
Lisäksi NPB:t voivat välittää poistetut otsikot metadatana valvontatyökaluille varmistaen, että järjestelmänvalvojat säilyttävät alkuperäisen kapseloinnin kontekstin (kuten VNI- tai MPLS-tunnisteen) ja että natiivin hyötykuorman analysointi on edelleen mahdollista. Tämä tasapaino otsikoiden poistamisen ja kontekstin säilyttämisen välillä on avainasemassa tehokkaan verkonhallinnan kannalta.
Kuinka toteuttaa tunnelipakettien strippausfunktio VTEP:ssä?
Tunnelin kapseloinnin purkaminen VTEP:ssä voidaan toteuttaa laitteistotason konfiguroinnin, ohjelmistopohjaisten käytäntöjen ja SDN-ohjainten synergian avulla. Ydinlogiikka keskittyy tunnelin otsikoiden tunnistamiseen → purkamistoimien suorittamiseen → alkuperäisten hyötykuormien välittämiseen. Tarkat toteutusmenetelmät vaihtelevat hieman VTEP-tyypin (fyysinen/ohjelmisto) mukaan, ja keskeiset lähestymistavat ovat seuraavat:
Nyt puhumme toteutuksesta fyysisissä VTEP-elementeissä (esim.Mylinking™ VXLAN-yhteensopivat verkkopakettien välittäjät) täällä.
Fyysiset VTEP:t (kuten Mylinking™ VXLAN-yhteensopivat Network Packet Brokers -laitteet) käyttävät laitteistopiirejä ja erillisiä konfigurointikomentoja tehokkaan kapseloinnin purkamiseen, mikä sopii paljon liikennöidyille datakeskuksille:
Rajapintapohjainen kapseloinnin yhteensovitus: Luo alihankintaliittymiä VTEP-laitteiden fyysisille yhteysporteille ja määritä kapselointityypit vastaamaan ja poistamaan tiettyjä tunneliotsikoita. Esimerkiksi Mylinking™ VXLAN -yhteensopivissa Network Packet Brokereissa määritä Layer 2 -aliliitännät tunnistamaan 802.1Q VLAN -tunnisteet tai merkitsemättömät kehykset ja poistamaan VLAN-otsikot ennen liikenteen välittämistä VXLAN-tunneliin. GRE/MPLS-kapseloidun liikenteen osalta ota käyttöön vastaava protokollan jäsennys alihankintaliitännässä ulkoisten otsikoiden poistamiseksi.
Käytäntöpohjainen otsikoiden poistaminen: Käytä ACL:ää (Access Control List) tai liikennekäytäntöä määrittääksesi vastaavat säännöt (esim. UDP-portin 4789 vastaavuus VXLAN:lle, protokollatyypin 47 vastaavuus GRE:lle) ja sidonnan poistamistoiminnot. Kun liikenne vastaa sääntöjä, VTEP-laitteistopiiri poistaa automaattisesti määritetyt tunneliotsikot (VXLAN/UDP/IP-ulkootsikot, MPLS-otsikot jne.) ja välittää alkuperäisen kerroksen 2 hyötykuorman.
Hajautettujen yhdyskäytävien synergia: Spine-Leaf VXLAN -arkkitehtuureissa fyysiset VTEP:t (Leaf-solmut) voivat tehdä yhteistyötä Layer 3 -yhdyskäytävien kanssa monikerroksisen strippauksen suorittamiseksi. Esimerkiksi sen jälkeen, kun Spine-solmut välittävät MPLS-kapseloidun VXLAN-liikenteen Leaf-VTEP:ille, VTEP:t ensin strippaavat MPLS-tunnisteet ja suorittavat sitten VXLAN-kapseloinnin purkamisen.
Tarvitsetko konfiguraatioesimerkin tietyn toimittajan VTEP-laitteelle (kutenMylinking™ VXLAN-yhteensopivat verkkopakettien välittäjät) tunnelin kapseloinnin purkamisen toteuttamiseksi?
Käytännön sovellusskenaario
Ajatellaanpa suurta yritystason datakeskusta, joka ottaa käyttöön VXLAN-päällysverkon, jossa H3C-kytkimet toimivat VTEP-pisteinä ja tukevat useita vuokralaisten virtuaalikoneita. Datakeskus käyttää MPLS:ää liikenteen siirtoon ydinkytkimien välillä ja VXLANia virtuaalikoneiden väliseen kommunikaatioon. Lisäksi etätoimistot lähettävät liikennettä datakeskukseen GRE-tunneleiden kautta. Turvallisuuden ja näkyvyyden varmistamiseksi yritys ottaa käyttöön NPB:n, jossa on tunnelikapseloinnin strippaus, ydinverkon ja VTEP-pisteiden välillä.
Kun liikenne saapuu datakeskukseen:
(1) NPB poistaa ensin MPLS-otsakkeet runkoverkosta tulevasta liikenteestä ja GRE-otsakkeet sivukonttorin liikenteestä.
(2) VTEP-pisteiden välisen VXLAN-liikenteen osalta NPB voi poistaa ulommat VXLAN-otsikot välittäessään liikennettä valvontatyökaluille, jolloin työkalut voivat tarkastaa alkuperäisen virtuaalikoneen liikenteen.
(3) NPB välittää esikäsitellyn (otsikkotiedot poistettu) liikenteen VTEP:ille, joiden tarvitsee käsitellä vain VXLAN-kapselointi/kapseloinnin purkaminen natiiville hyötykuormalle. Tämä kokoonpano vähentää VTEP:n prosessointikuormaa, mahdollistaa kattavan liikenneanalyysin ja varmistaa saumattoman yhteentoimivuuden MPLS-, GRE- ja VXLAN-segmenttien välillä.
VTEP:t ovat VXLAN-verkkojen selkäranka, ja ne mahdollistavat skaalautuvan virtualisoinnin ja usean käyttäjän välisen kommunikaation. Kapseloidun liikenteen kasvava monimutkaisuus nykyaikaisissa verkoissa asettaa kuitenkin merkittäviä haasteita VTEP:n suorituskyvylle ja verkon näkyvyydelle. Tunnel-kapseloinnin ja strippauksen ominaisuudet tarjoavat verkkopakettien välittäjille ratkaisun näihin haasteisiin esikäsittelemällä liikennettä ja poistamalla erilaisia otsikoita (VXLAN, VLAN, GRE, GTP, MPLS, IPIP) ennen kuin ne päätyvät VTEP:ille tai valvontatyökaluille. Tämä ei ainoastaan optimoi VTEP:n suorituskykyä vähentämällä käsittelykustannuksia, vaan myös parantaa verkon näkyvyyttä, vahvistaa tietoturvaa ja parantaa yhteentoimivuutta heterogeenisissä ympäristöissä.
Organisaatioiden jatkaessa pilvinatiivien arkkitehtuurien ja hybridipilvipalveluiden käyttöönottoa, NPB:iden ja VTEP:ien välinen synergia tulee yhä tärkeämmäksi. Hyödyntämällä NPB:iden tunnelikapseloinnin purkamistoimintoa verkonvalvojat voivat vapauttaa VXLAN-verkkojen täyden potentiaalin varmistaen, että ne ovat tehokkaita, turvallisia ja mukautuvia kehittyviin liiketoimintatarpeisiin.
Julkaisun aika: 09.01.2026
