Дар давраи ҳисоббарории абрӣ ва виртуализатсияи шабака, VXLAN (LAN-и васеъшавандаи виртуалӣ) ба як технологияи асосӣ барои сохтани шабакаҳои қабати болопӯши миқёспазир ва чандир табдил ёфтааст. Дар қалби меъмории VXLAN VTEP (VXLAN Tunnel Endpoint) ҷойгир аст, ки ҷузъи муҳимест, ки интиқоли бефосилаи трафики қабати 2-ро дар шабакаҳои қабати 3 имкон медиҳад. Бо афзоиши мураккаб шудани трафики шабакавӣ бо протоколҳои гуногуни инкапсуляция, нақши Брокерҳои бастаи шабакавӣ (NPB) бо қобилиятҳои ҷудокунии туннел дар беҳтарсозии амалиёти VTEP муҳим шудааст. Ин блог асосҳои VTEP ва муносибати онро бо VXLAN меомӯзад ва сипас ба он менигарад, ки чӣ гуна функсияи ҷудокунии капсуляцияи туннели NPB-ҳо самаранокии VTEP ва намоёнии шабакаро беҳтар мекунад.
Фаҳмидани VTEP ва робитаи он бо VXLAN
Аввалан, биёед мафҳумҳои асосиро равшан кунем: VTEP, мухтасари VXLAN Tunnel Endpoint, як воҳиди шабакавӣ аст, ки барои инкапсуляция ва декапсуляцияи бастаҳои VXLAN дар шабакаи қабати VXLAN масъул аст. Он ҳамчун нуқтаи ибтидоӣ ва ниҳоии нақбҳои VXLAN хизмат мекунад ва ҳамчун "дарвоза" амал мекунад, ки шабакаи қабати виртуалӣ ва шабакаи зеризаминии физикиро пайванд мекунад. VTEP-ҳо метавонанд ҳамчун дастгоҳҳои физикӣ (масалан, коммутаторҳо ё роутерҳои қобилияти VXLAN) ё воҳидҳои нармафзор (ба монанди коммутаторҳои виртуалӣ, хостҳои контейнерӣ ё проксиҳо дар мошинҳои виртуалӣ) амалӣ карда шаванд.
Муносибати байни VTEP ва VXLAN табиатан симбиотикӣ аст - VXLAN барои амалӣ кардани функсияҳои асосии худ ба VTEP-ҳо такя мекунад, дар ҳоле ки VTEP-ҳо танҳо барои дастгирии амалиётҳои VXLAN мавҷуданд. Арзиши асосии VXLAN эҷоди шабакаи виртуалии қабати 2 дар болои шабакаи IP-и қабати 3 тавассути капсулятсияи MAC-in-UDP мебошад, ки маҳдудиятҳои миқёспазирии VLAN-ҳои анъанавиро (ки танҳо 4096 ID-и VLAN-ро дастгирӣ мекунанд) бо идентификатори шабакаи VXLAN 24-битӣ (VNI), ки то 16 миллион шабакаи виртуалиро имкон медиҳад, бартараф мекунад. Ин аст, ки чӣ тавр VTEP-ҳо инро имконпазир мегардонанд: Вақте ки мошини виртуалӣ (VM) трафикро мефиристад, VTEP-и маҳаллӣ чаҳорчӯбаи Ethernet-и қабати 2-ро бо илова кардани сарлавҳаи VXLAN (дорои VNI), сарлавҳаи UDP (бо истифода аз порти 4789 бо нобаёнӣ), сарлавҳаи IP-и беруна (бо IP-и манбаъ VTEP ва IP-и таъиноти VTEP) ва сарлавҳаи Ethernet-и беруна капсулятсия мекунад. Сипас, бастаи капсулашуда тавассути шабакаи қабати 3 ба VTEP-и мақсаднок интиқол дода мешавад, ки бастаро бо тоза кардани ҳамаи сарлавҳаҳои беруна декапсуляция мекунад, чаҳорчӯбаи аслии Ethernet-ро барқарор мекунад ва онро ба VM-и мақсаднок дар асоси VNI мефиристад.
Илова бар ин, VTEP-ҳо вазифаҳои муҳимро ба монанди омӯзиши суроғаҳои MAC (харитасозии динамикии суроғаҳои MAC-и хостҳои маҳаллӣ ва дурдаст ба IP-ҳои VTEP) ва коркарди трафики Broadcast, Unknown Unicast ва Multicast (BUM) иҷро мекунанд — ё тавассути гурӯҳҳои multicast ё репликатсияи head-end дар ҳолати танҳо unicast. Дар асл, VTEP-ҳо блокҳои сохтмонӣ мебошанд, ки виртуализатсияи шабакаи VXLAN ва ҷудокунии бисёри иҷорагирро имконпазир мегардонанд.
Мушкилоти трафики капсулашуда барои VTEP-ҳо
Дар муҳитҳои муосири маркази додаҳо, трафики VTEP кам ба инкапсулятсияи холиси VXLAN маҳдуд мешавад. Трафике, ки аз VTEP мегузарад, аксар вақт илова бар VXLAN, қабатҳои сершумори сарлавҳаҳои инкапсулятсия, аз ҷумла VLAN, GRE, GTP, MPLS ё IPIP-ро дар бар мегирад. Ин мураккабии инкапсулятсия барои амалиёти VTEP ва мониторинги минбаъдаи шабака, таҳлил ва таъмини амният мушкилоти назаррас эҷод мекунад:
○ - Кам шудани намоёнӣАксари абзорҳои мониторинг ва амнияти шабака (ба монанди IDS/IPS, таҳлилгарони ҷараён ва снифферҳои пакет) барои коркарди трафики қабати 2/қабати 3 тарҳрезӣ шудаанд. Сарлавҳаҳои капсулашуда бори авваларо пинҳон мекунанд, ки ин барои ин абзорҳо таҳлили дақиқи мундариҷаи трафик ё муайян кардани аномалияҳоро ғайриимкон мегардонад.
○ - Афзоиши хароҷоти коркард: VTEP-ҳо худашон бояд захираҳои иловагии ҳисоббарориро барои коркарди бастаҳои бисёрқабата, махсусан дар муҳитҳои сертрафик, сарф кунанд. Ин метавонад ба афзоиши таъхир, коҳиши гузаронандагӣ ва монеаҳои эҳтимолии иҷроиш оварда расонад.
○ - Масъалаҳои мутобиқшавӣСегментҳои гуногуни шабака ё муҳитҳои бисёрфурӯшанда метавонанд протоколҳои гуногуни инкапсуляцияро истифода баранд. Бе тоза кардани дурусти сарлавҳа, трафик ҳангоми гузаштан аз VTEP-ҳо метавонад дуруст интиқол ё коркард нашавад, ки боиси мушкилоти мутобиқат мегардад.
Чӣ тавр кашидани капсулаҳои нақби NPB ба VTEP-ҳо қудрат мебахшад
Брокерҳои бастаҳои шабакавии Mylinking™ (NPB) бо қобилиятҳои ҷудокунии капсулакунии туннель ин мушкилотро тавассути амал кардан ҳамчун "пеш аз коркардкунандаи трафик" барои VTEPҳо ҳал мекунанд. NPBҳо метавонанд сарлавҳаҳои гуногуни капсулакуниро (аз ҷумла VXLAN, VLAN, GRE, GTP, MPLS ва IPIP) аз бастаҳои аслии додаҳо пеш аз интиқоли трафик ба VTEP ё абзорҳои мониторинг/амниятӣ тоза кунанд. Ин функсия се бартарии калидиро барои амалиёти VTEP таъмин мекунад:
1. Намоёнӣ ва амнияти беҳтаршудаи шабака
Бо тоза кардани сарлавҳаҳои инкапсуляция, NPB-ҳо бори аслии бастаҳоро фош мекунанд, ки ба абзорҳои мониторинг ва амният имкон медиҳад, ки мундариҷаи воқеии трафикро "бинанд". Масалан, вақте ки трафики VTEP ба IDS/IPS фиристода мешавад, NPB аввал сарлавҳаҳои VXLAN ва MPLS-ро ҷудо мекунад ва ба IDS/IPS имкон медиҳад, ки фаъолияти зарароварро (ба монанди нармафзори зараровар ё кӯшишҳои дастрасии беиҷозат) дар чаҳорчӯбаи аслӣ муайян кунад. Ин махсусан дар муҳитҳои сериҷорагир, ки дар он VTEP-ҳо трафики якчанд иҷорагирро идора мекунанд, муҳим аст - NPB-ҳо кафолат медиҳанд, ки абзорҳои амниятӣ метавонанд трафики мушаххаси иҷорагирро бидуни монеа шудан аз инкапсуляция тафтиш кунанд.
Ғайр аз ин, NPB-ҳо метавонанд сарлавҳаҳоро дар асоси намудҳои трафик ё VNI интихобан тоза кунанд ва ба шабакаҳои мушаххаси виртуалӣ намоёнии муфассалро таъмин кунанд. Ин ба маъмурони шабака кӯмак мекунад, ки мушкилотро (ба монанди талафоти пакет ё таъхир) тавассути имкон додани таҳлили дақиқи трафик дар дохили сегментҳои алоҳидаи VXLAN ҳал кунанд.
2. Иҷрои беҳтаршудаи VTEP
NPB-ҳо вазифаи тоза кардани сарлавҳаро аз VTEP-ҳо кам мекунанд ва хароҷоти коркардро дар дастгоҳҳои VTEP кам мекунанд. Ба ҷои он ки VTEP-ҳо захираҳои CPU-ро барои тоза кардани қабатҳои сершумори сарлавҳаҳо (масалан, VLAN + GRE + VXLAN) сарф кунанд, NPB-ҳо ин қадами пеш аз коркардро иҷро мекунанд, ки ба VTEP-ҳо имкон медиҳад, ки ба масъулиятҳои асосии худ: инкапсулятсия/декапсулятсияи бастаҳои VXLAN ва идоракунии нақб диққат диҳанд. Ин боиси паст шудани таъхир, баланд шудани гузарониш ва беҳтар шудани кори умумии шабакаи қабати VXLAN мегардад - махсусан дар муҳитҳои виртуализатсияи зичии баланд бо ҳазорҳо VM ва борҳои зиёди трафик.
Масалан, дар маркази додаҳо бо NPB ва коммутаторҳо ҳамчун VTEP амал мекунанд, NPB (ба монанди Mylinking™ Network Packet Brokers) метавонад сарлавҳаҳои VLAN ва MPLS-ро аз трафики воридшаванда пеш аз расидан ба VTEP-ҳо тоза кунад. Ин шумораи амалиётҳои коркарди сарлавҳаҳоеро, ки VTEP-ҳо бояд иҷро кунанд, кам мекунад ва ба онҳо имкон медиҳад, ки нақбҳо ва ҷараёнҳои ҳамзамони бештарро идора кунанд.
3. Беҳтар кардани ҳамкории байни шабакаҳои гуногун
Дар шабакаҳои бисёрфурӯшанда ё бисёрсегментӣ, қисмҳои гуногуни инфрасохтор метавонанд протоколҳои гуногуни инкапсулятсияро истифода баранд. Масалан, трафик аз маркази додаҳои дурдаст метавонад ба VTEP маҳаллӣ бо инкапсулятсияи GRE расад, дар ҳоле ки трафики маҳаллӣ аз VXLAN истифода мебарад. NPB метавонад ин сарлавҳаҳои гуногунро (GRE, VXLAN, IPIP ва ғайра) тоза кунад ва ҷараёни трафики доимӣ ва маҳаллиро ба VTEP равона кунад ва мушкилоти мутобиқатиро бартараф кунад. Ин махсусан дар муҳитҳои абрии гибридӣ арзишманд аст, ки дар он трафик аз хидматҳои абрии оммавӣ (аксар вақт бо истифода аз инкапсулятсияи GTP ё IPIP) бояд бо шабакаҳои VXLAN дар маҳал тавассути VTEP муттаҳид карда шавад.
Илова бар ин, NPB-ҳо метавонанд сарлавҳаҳои тозашударо ҳамчун метамаълумот ба абзорҳои мониторинг фиристанд ва кафолат диҳанд, ки маъмурон контекстро дар бораи инкапсулятсияи аслӣ (масалан, тамғаи VNI ё MPLS) нигоҳ медоранд ва дар айни замон таҳлили бори ватаниро имконпазир мегардонанд. Ин тавозун байни тоза кардани сарлавҳа ва ҳифзи контекст калиди идоракунии самараноки шабака мебошад.
Чӣ тавр функсияи кушодани бастаҳои туннелро дар VTEP амалӣ кардан мумкин аст?
Кушодани капсуляцияи нақб дар VTEP метавонад тавассути конфигуратсияи сатҳи сахтафзор, сиёсатҳои муайянкардаи нармафзор ва синергия бо контроллерҳои SDN амалӣ карда шавад, ки мантиқи асосӣ ба муайян кардани сарлавҳаҳои нақб → иҷрои амалҳои кушод → фиристодани бори аввал нигаронида шудааст. Усулҳои мушаххаси татбиқ вобаста ба намудҳои VTEP (физикӣ/нармафзор) каме фарқ мекунанд ва равишҳои асосӣ чунинанд:
Акнун, мо дар бораи татбиқи VTEP-ҳои физикӣ (масалан,Брокерҳои бастаҳои шабакавии қобили Mylinking™ VXLAN) Ин ҷо.
VTEP-ҳои физикӣ (ба монанди брокерҳои бастаҳои шабакавии Mylinking™ VXLAN) барои ноил шудан ба бартарафсозии самараноки капсулакунӣ ба чипҳои сахтафзор ва фармонҳои конфигуратсияи махсус такя мекунанд, ки барои сенарияҳои маркази додаҳои дорои трафики баланд мувофиқанд:
Мутобиқсозии капсуласозӣ дар асоси интерфейс: Дар портҳои дастрасии физикии VTEP зер-интерфейсҳо эҷод кунед ва намудҳои капсуласозиро барои мувофиқат ва тоза кардани сарлавҳаҳои нақби мушаххас танзим кунед. Масалан, дар брокерҳои бастаҳои шабакавии Mylinking™ VXLAN, ки қобилияти шинохтани барчаспҳои VLAN-и 802.1Q-ро доранд, зер-интерфейсҳои Layer 2-ро танзим кунед ва пеш аз интиқоли трафик ба нақби VXLAN сарлавҳаҳои VLAN-ро тоза кунед. Барои трафики капсуласозӣ дар GRE/MPLS, таҳлили протоколи мувофиқро дар зер-интерфейс фаъол созед, то сарлавҳаҳои берунаро тоза кунед.
Тозакунии сарлавҳа дар асоси сиёсат: Барои муайян кардани қоидаҳои мувофиқкунӣ (масалан, мувофиқ кардани порти UDP 4789 барои VXLAN, намуди протокол 47 барои GRE) ва пайваст кардани амалҳои тозакунӣ аз ACL (Рӯйхати назорати дастрасӣ) ё сиёсати трафик истифода баред. Вақте ки трафик бо қоидаҳо мувофиқат мекунад, чипи сахтафзори VTEP ба таври худкор сарлавҳаҳои нақби муайяншударо (сарлавҳаҳои берунии VXLAN/UDP/IP, тамғаҳои MPLS ва ғайра) тоза мекунад ва бори аслии Layer 2-ро интиқол медиҳад.
Синергияи дарвозаҳои тақсимшуда: Дар меъмории VXLAN-и Spine-Leaf, VTEP-ҳои физикӣ (гиреҳҳои барг) метавонанд бо дарвозаҳои Layer 3 ҳамкорӣ кунанд, то тозакунии бисёрқабата анҷом диҳанд. Масалан, пас аз он ки гиреҳҳои Spine трафики VXLAN-и бо MPLS капсулашуда ба VTEP-ҳои Leaf равона карда мешаванд, VTEP-ҳо аввал тамғаҳои MPLS-ро тоза мекунанд ва сипас декапсулятсияи VXLAN-ро иҷро мекунанд.
Оё ба шумо намунаи конфигуратсия барои дастгоҳи VTEP-и як фурӯшандаи мушаххас лозим аст (масалан,Брокерҳои бастаҳои шабакавии қобили Mylinking™ VXLAN) барои татбиқи ҷудокунии капсулакунии нақб?
Сенарияи татбиқи амалӣ
Як маркази додаҳои корхонаи калонро баррасӣ кунед, ки шабакаи қабатии VXLAN-ро бо коммутаторҳои H3C ҳамчун VTEP ҷойгир мекунад ва VM-ҳои сершумори иҷорагирро дастгирӣ мекунад. Маркази додаҳо MPLS-ро барои интиқоли трафик байни коммутаторҳои асосӣ ва VXLAN-ро барои муоширати VM ба VM истифода мебарад. Илова бар ин, филиалҳои дурдаст трафикро ба маркази додаҳо тавассути нақбҳои GRE мефиристанд. Барои таъмини амният ва намоёнӣ, корхона NPB-ро бо тасмаи Encapsulation Tunnel байни шабакаи асосӣ ва VTEP ҷойгир мекунад.
Вақте ки трафик ба маркази додаҳо мерасад:
(1) NPB аввал сарлавҳаҳои MPLS-ро аз трафики аз шабакаи асосӣ ва сарлавҳаҳои GRE-ро аз трафики филиал ҷудо мекунад.
(2) Барои трафики VXLAN байни VTEP-ҳо, NPB метавонад сарлавҳаҳои берунаи VXLAN-ро ҳангоми интиқоли трафик ба абзорҳои мониторинг тоза кунад ва ба абзорҳо имкон диҳад, ки трафики аслии VM-ро тафтиш кунанд.
(3) NPB трафики пешакӣ коркардшударо (аз сарлавҳа хориҷшуда) ба VTEP-ҳо мефиристад, ки танҳо бояд инкапсулятсия/декапсулятсияи VXLAN-ро барои бори ватанӣ идора кунанд. Ин танзимот бори коркарди VTEP-ро кам мекунад, таҳлили ҳамаҷонибаи трафикро имкон медиҳад ва ҳамкории бефосиларо байни сегментҳои MPLS, GRE ва VXLAN таъмин мекунад.
VTEP-ҳо сутуни шабакаҳои VXLAN мебошанд, ки имкон медиҳанд виртуализатсияи миқёспазир ва муоширати бисёри иҷорагиранда имконпазир гардад. Бо вуҷуди ин, мураккабии афзояндаи трафики капсулашуда дар шабакаҳои муосир барои кори VTEP ва намоёнии шабака мушкилоти назаррас эҷод мекунад. Брокерҳои бастаҳои шабакавӣ бо имконоти ҷудо кардани капсулакунии туннель ин мушкилотро тавассути коркарди пешакӣ трафик, тоза кардани сарлавҳаҳои гуногун (VXLAN, VLAN, GRE, GTP, MPLS, IPIP) пеш аз расидан ба VTEP-ҳо ё асбобҳои мониторинг ҳал мекунанд. Ин на танҳо кори VTEP-ро тавассути кам кардани хароҷоти коркард оптимизатсия мекунад, балки инчунин намоёнии шабакаро беҳтар мекунад, амниятро тақвият медиҳад ва мутобиқати байниҳамдигариро дар муҳитҳои гуногун беҳтар мекунад.
Ҳангоме ки ташкилотҳо меъмориҳои абрӣ ва ҷойгиркунии абрҳои гибридиро қабул мекунанд, синергия байни NPB ва VTEP торафт муҳимтар мегардад. Бо истифода аз функсияи ҷудо кардани капсуласияи туннели NPB, маъмурони шабака метавонанд тамоми потенсиали шабакаҳои VXLAN-ро кушоянд ва таъмин намоянд, ки онҳо самаранок, бехатар ва ба ниёзҳои тағйирёбандаи тиҷорат мутобиқшаванда бошанд.
Вақти нашр: Ян-09-2026
