English

کپسوله‌سازی تونل کارگزار بسته شبکه Mylinking™: توانمندسازی VTEP در شبکه‌های مدرن

در عصر محاسبات ابری و مجازی‌سازی شبکه، VXLAN (شبکه محلی مجازی توسعه‌پذیر) به یک فناوری اساسی برای ساخت شبکه‌های هم‌پوشان مقیاس‌پذیر و انعطاف‌پذیر تبدیل شده است. در قلب معماری VXLAN، VTEP (نقطه پایانی تونل VXLAN) قرار دارد، یک جزء حیاتی که انتقال یکپارچه ترافیک لایه ۲ را در شبکه‌های لایه ۳ امکان‌پذیر می‌کند. با پیچیده‌تر شدن ترافیک شبکه با پروتکل‌های مختلف کپسوله‌سازی، نقش کارگزاران بسته شبکه (NPB) با قابلیت‌های Tunnel Encapsulation Stripping در بهینه‌سازی عملیات VTEP ضروری شده است. این وبلاگ اصول VTEP و رابطه آن با VXLAN را بررسی می‌کند، سپس به بررسی این موضوع می‌پردازد که چگونه عملکرد Tunnel Encapsulation Stripping در NPBها عملکرد VTEP و قابلیت مشاهده شبکه را افزایش می‌دهد.

درک VTEP و ارتباط آن با VXLAN

ابتدا، بیایید مفاهیم اصلی را روشن کنیم: VTEP، مخفف VXLAN Tunnel Endpoint، یک نهاد شبکه‌ای است که مسئول کپسوله‌سازی و کپسول‌زدایی بسته‌های VXLAN در یک شبکه پوششی VXLAN است. این نهاد به عنوان نقطه شروع و پایان تونل‌های VXLAN عمل می‌کند و به عنوان یک "دروازه" عمل می‌کند که شبکه پوششی مجازی و شبکه زیرین فیزیکی را به هم متصل می‌کند. VTEPها می‌توانند به عنوان دستگاه‌های فیزیکی (مانند سوئیچ‌ها یا روترهای دارای قابلیت VXLAN) یا نهادهای نرم‌افزاری (مانند سوئیچ‌های مجازی، میزبان‌های کانتینر یا پروکسی‌ها در ماشین‌های مجازی) پیاده‌سازی شوند.

رابطه بین VTEP و VXLAN ذاتاً همزیستی است - VXLAN برای تحقق عملکرد اصلی خود به VTEPها متکی است، در حالی که VTEPها منحصراً برای پشتیبانی از عملیات VXLAN وجود دارند. ارزش اصلی VXLAN ایجاد یک شبکه مجازی لایه ۲ بر روی یک شبکه IP لایه ۳ از طریق کپسوله‌سازی MAC-in-UDP است که بر محدودیت‌های مقیاس‌پذیری VLANهای سنتی (که فقط از ۴۰۹۶ شناسه VLAN پشتیبانی می‌کنند) با یک شناسه شبکه VXLAN (VNI) ۲۴ بیتی که تا ۱۶ میلیون شبکه مجازی را فعال می‌کند، غلبه می‌کند. در اینجا نحوه فعال‌سازی VTEPها آمده است: هنگامی که یک ماشین مجازی (VM) ترافیک ارسال می‌کند، VTEP محلی فریم اترنت لایه ۲ اصلی را با اضافه کردن یک هدر VXLAN (حاوی VNI)، یک هدر UDP (با استفاده از پورت ۴۷۸۹ به طور پیش‌فرض)، یک هدر IP خارجی (با IP VTEP منبع و IP VTEP مقصد) و یک هدر اترنت خارجی کپسوله می‌کند. سپس بسته کپسوله شده از طریق شبکه زیرین لایه ۳ به VTEP مقصد منتقل می‌شود، که با حذف تمام هدرهای بیرونی، بسته را کپسوله زدایی می‌کند، فریم اترنت اصلی را بازیابی می‌کند و آن را بر اساس VNI به ماشین مجازی هدف ارسال می‌کند.

علاوه بر این، VTEPها وظایف مهمی مانند یادگیری آدرس MAC (نگاشت پویای آدرس‌های MAC میزبان‌های محلی و راه دور به IPهای VTEP) و پردازش ترافیک Broadcast، Unknown Unicast و Multicast (BUM) را - چه از طریق گروه‌های multicast و چه از طریق تکثیر head-end در حالت unicast-only - انجام می‌دهند. در اصل، VTEPها بلوک‌های سازنده‌ای هستند که مجازی‌سازی شبکه VXLAN و جداسازی چند مستأجری را ممکن می‌سازند.

 VTEP

چالش ترافیک کپسوله‌شده برای VTEPها

در محیط‌های مرکز داده مدرن، ترافیک VTEP به ندرت به کپسوله‌سازی خالص VXLAN محدود می‌شود. ترافیکی که از VTEPها عبور می‌کند، اغلب علاوه بر VXLAN، چندین لایه از هدرهای کپسوله‌سازی، از جمله VLAN، GRE، GTP، MPLS یا IPIP را نیز حمل می‌کند. این پیچیدگی کپسوله‌سازی، چالش‌های قابل توجهی را برای عملیات VTEP و نظارت، تجزیه و تحلیل و اجرای امنیت شبکه در پی دارد:

○ - کاهش دیداکثر ابزارهای نظارت و امنیت شبکه (مانند IDS/IPS، تحلیلگرهای جریان و شنودگرهای بسته) برای پردازش ترافیک لایه ۲/لایه ۳ طراحی شده‌اند. هدرهای کپسوله‌شده، بار داده اصلی را مبهم می‌کنند و باعث می‌شوند که این ابزارها نتوانند محتوای ترافیک را به طور دقیق تجزیه و تحلیل کنند یا ناهنجاری‌ها را تشخیص دهند.

○ - افزایش سربار پردازشخود VTEPها باید منابع محاسباتی اضافی را برای پردازش بسته‌های چندلایه کپسوله‌شده، به‌ویژه در محیط‌های پرترافیک، صرف کنند. این امر می‌تواند منجر به افزایش تأخیر، کاهش توان عملیاتی و تنگناهای عملکردی بالقوه شود.

○ - مسائل مربوط به قابلیت همکاریبخش‌های مختلف شبکه یا محیط‌های چندفروشنده‌ای ممکن است از پروتکل‌های کپسوله‌سازی متفاوتی استفاده کنند. بدون حذف صحیح هدر، ممکن است ترافیک هنگام عبور از VTEPها به درستی ارسال یا پردازش نشود و منجر به مشکلات قابلیت همکاری شود.

چگونه کپسوله‌سازی تونل NPBها با حذف لایه‌های محافظ، VTEPها را توانمند می‌سازد

کارگزاران بسته شبکه Mylinking™ (NPBs) با قابلیت‌های Tunnel Encapsulation Stripping با عمل به عنوان "پیش‌پردازنده ترافیک" برای VTEPها، این چالش‌ها را برطرف می‌کنند. NPBها می‌توانند هدرهای مختلف کپسوله‌سازی (از جمله VXLAN، VLAN، GRE، GTP، MPLS و IPIP) را از بسته‌های داده اصلی قبل از ارسال ترافیک به VTEPها یا ابزارهای نظارتی/امنیتی، جدا کنند. این قابلیت سه مزیت کلیدی برای عملیات VTEP ارائه می‌دهد:

۱. افزایش دید و امنیت شبکه

با حذف هدرهای کپسوله‌سازی، NPBها بار مفید اصلی بسته‌ها را آشکار می‌کنند و ابزارهای نظارتی و امنیتی را قادر می‌سازند تا محتوای واقعی ترافیک را "ببینند". به عنوان مثال، هنگامی که ترافیک VTEP به یک IDS/IPS ارسال می‌شود، NPB ابتدا هدرهای VXLAN و MPLS را حذف می‌کند و به IDS/IPS اجازه می‌دهد تا فعالیت‌های مخرب (مانند بدافزار یا تلاش‌های دسترسی غیرمجاز) را در فریم اصلی شناسایی کند. این امر به ویژه در محیط‌های چند مستاجری که VTEPها ترافیک چندین مستاجر را مدیریت می‌کنند، بسیار مهم است - NPBها اطمینان می‌دهند که ابزارهای امنیتی می‌توانند ترافیک خاص مستاجر را بدون ایجاد مانع توسط کپسوله‌سازی بررسی کنند.

علاوه بر این، NPBها می‌توانند به صورت انتخابی هدرها را بر اساس انواع ترافیک یا VNI حذف کنند و دید دقیقی به شبکه‌های مجازی خاص ارائه دهند. این امر به مدیران شبکه کمک می‌کند تا با فعال کردن تجزیه و تحلیل دقیق ترافیک در بخش‌های مختلف VXLAN، مشکلات (مانند از دست رفتن بسته یا تأخیر) را عیب‌یابی کنند.

۲. عملکرد VTEP بهینه شده

NPBها وظیفه حذف هدر را از VTEPها برمی‌دارند و سربار پردازشی را روی دستگاه‌های VTEP کاهش می‌دهند. به جای اینکه VTEPها منابع CPU را صرف حذف چندین لایه هدر (مثلاً VLAN + GRE + VXLAN) کنند، NPBها این مرحله پیش‌پردازش را انجام می‌دهند و به VTEPها اجازه می‌دهند تا روی مسئولیت‌های اصلی خود تمرکز کنند: کپسوله‌سازی/دکاپس‌سازی بسته‌های VXLAN و مدیریت تونل. این امر منجر به تأخیر کمتر، توان عملیاتی بالاتر و بهبود عملکرد کلی شبکه پوششی VXLAN می‌شود - به ویژه در محیط‌های مجازی‌سازی با تراکم بالا با هزاران ماشین مجازی و بارهای ترافیکی سنگین.

برای مثال، در یک مرکز داده با NPBها و سوئیچ‌هایی که به عنوان VTEP عمل می‌کنند، یک NPB (مانند Mylinking™ Network Packet Brokers) می‌تواند هدرهای VLAN و MPLS را قبل از رسیدن به VTEPها از ترافیک ورودی جدا کند. این کار تعداد عملیات پردازش هدری را که VTEPها باید انجام دهند کاهش می‌دهد و آنها را قادر می‌سازد تا تونل‌ها و جریان‌های ترافیکی همزمان بیشتری را مدیریت کنند.

۳. بهبود قابلیت همکاری در شبکه‌های ناهمگن

در شبکه‌های چندفروشنده‌ای یا چندبخشی، بخش‌های مختلف زیرساخت ممکن است از پروتکل‌های کپسوله‌سازی متفاوتی استفاده کنند. به عنوان مثال، ترافیک از یک مرکز داده از راه دور ممکن است با کپسوله‌سازی GRE به یک VTEP محلی برسد، در حالی که ترافیک محلی از VXLAN استفاده می‌کند. یک NPB می‌تواند این هدرهای متنوع (GRE، VXLAN، IPIP و غیره) را حذف کرده و یک جریان ترافیک بومی و سازگار را به VTEP ارسال کند و مشکلات قابلیت همکاری را از بین ببرد. این امر به ویژه در محیط‌های ابری ترکیبی ارزشمند است، جایی که ترافیک از سرویس‌های ابری عمومی (که اغلب از کپسوله‌سازی GTP یا IPIP استفاده می‌کنند) باید از طریق VTEPها با شبکه‌های VXLAN داخلی ادغام شود.

علاوه بر این، NPBها می‌توانند هدرهای حذف‌شده را به عنوان فراداده به ابزارهای نظارتی ارسال کنند و اطمینان حاصل کنند که مدیران، اطلاعات مربوط به کپسوله‌سازی اصلی (مانند برچسب VNI یا MPLS) را حفظ می‌کنند و در عین حال امکان تجزیه و تحلیل بار داده اصلی را نیز فراهم می‌کنند. این تعادل بین حذف هدر و حفظ محتوا، کلید مدیریت مؤثر شبکه است.

VTEP-2

چگونه می‌توان تابع حذف بسته تونلی را در VTEP پیاده‌سازی کرد؟

حذف کپسوله‌سازی تونل در VTEP می‌تواند از طریق پیکربندی سطح سخت‌افزار، سیاست‌های تعریف‌شده توسط نرم‌افزار و هم‌افزایی با کنترل‌کننده‌های SDN پیاده‌سازی شود، که منطق اصلی آن بر شناسایی هدرهای تونل → اجرای اقدامات حذف → ارسال بارهای داده اصلی متمرکز است. روش‌های پیاده‌سازی خاص بر اساس انواع VTEP (فیزیکی/نرم‌افزاری) کمی متفاوت است و رویکردهای کلیدی به شرح زیر است:

اکنون، ما در مورد پیاده‌سازی روی VTEP های فیزیکی صحبت می‌کنیم (مثلاً،کارگزاران بسته شبکه با قابلیت Mylinking™ VXLAN) اینجا.

VTEP های فیزیکی (مانند Network Packet Broker های دارای قابلیت Mylinking™ VXLAN) برای دستیابی به حذف کارآمد encapsulation، که برای سناریوهای مراکز داده با ترافیک بالا مناسب است، به تراشه‌های سخت‌افزاری و دستورات پیکربندی اختصاصی متکی هستند:

تطبیق کپسوله‌سازی مبتنی بر رابط: زیررابط‌هایی را روی پورت‌های دسترسی فیزیکی VTEPها ایجاد کنید و انواع کپسوله‌سازی را برای تطبیق و حذف هدرهای تونل خاص پیکربندی کنید. به عنوان مثال، در Network Packet Brokerهای دارای قابلیت Mylinking™ VXLAN، زیررابط‌های لایه ۲ را برای شناسایی تگ‌های VLAN 802.1Q یا فریم‌های بدون برچسب پیکربندی کنید و هدرهای VLAN را قبل از ارسال ترافیک به تونل VXLAN حذف کنید. برای ترافیک کپسوله‌سازی شده با GRE/MPLS، تجزیه پروتکل مربوطه را روی زیررابط فعال کنید تا هدرهای بیرونی حذف شوند.

حذف هدر مبتنی بر سیاست: از ACL (لیست کنترل دسترسی) یا سیاست ترافیک برای تعریف قوانین تطبیق (مثلاً تطبیق پورت UDP 4789 برای VXLAN، نوع پروتکل 47 برای GRE) و اعمال حذف اتصال استفاده کنید. هنگامی که ترافیک با قوانین مطابقت دارد، تراشه سخت‌افزاری VTEP به طور خودکار هدرهای تونل مشخص شده (هدرهای بیرونی VXLAN/UDP/IP، برچسب‌های MPLS و غیره) را حذف کرده و بار داده اصلی لایه 2 را ارسال می‌کند.

هم‌افزایی دروازه توزیع‌شده: در معماری‌های Spine-Leaf VXLAN، VTEPهای فیزیکی (گره‌های Leaf) می‌توانند با دروازه‌های لایه 3 برای تکمیل حذف چندلایه همکاری کنند. به عنوان مثال، پس از اینکه گره‌های Spine ترافیک VXLAN محصور شده در MPLS را به VTEPهای Leaf ارسال کردند، VTEPها ابتدا برچسب‌های MPLS را حذف می‌کنند، سپس حذف VXLAN را انجام می‌دهند.

آیا به یک نمونه پیکربندی برای دستگاه VTEP یک فروشنده خاص (مانند ...) نیاز دارید؟کارگزاران بسته شبکه با قابلیت Mylinking™ VXLAN) برای پیاده‌سازی حذف کپسوله‌سازی تونل؟

VTEP-3

سناریوی کاربرد عملی

یک مرکز داده بزرگ سازمانی را در نظر بگیرید که یک شبکه پوششی VXLAN با سوئیچ‌های H3C به عنوان VTEP مستقر می‌کند و از چندین ماشین مجازی مستاجر پشتیبانی می‌کند. مرکز داده از MPLS برای انتقال ترافیک بین سوئیچ‌های اصلی و VXLAN برای ارتباط ماشین مجازی با ماشین مجازی استفاده می‌کند. علاوه بر این، دفاتر شعب راه دور از طریق تونل‌های GRE ترافیک را به مرکز داده ارسال می‌کنند. برای اطمینان از امنیت و قابلیت مشاهده، شرکت یک NPB با Tunnel Encapsulation Stripping بین شبکه اصلی و VTEPها مستقر می‌کند.

وقتی ترافیک به مرکز داده می‌رسد:

(1) NPB ابتدا هدرهای MPLS را از ترافیک شبکه اصلی و هدرهای GRE را از ترافیک دفاتر شعب جدا می‌کند.

(2) برای ترافیک VXLAN بین VTEPها، NPB می‌تواند هنگام ارسال ترافیک به ابزارهای نظارتی، هدرهای VXLAN بیرونی را حذف کند و به ابزارها اجازه دهد ترافیک اصلی VM را بررسی کنند.

(3) NPB ترافیک پیش‌پردازش‌شده (header-striped) را به VTEPها ارسال می‌کند، که فقط نیاز به مدیریت کپسوله‌سازی/دکاپسله‌سازی VXLAN برای بار داده بومی دارند. این تنظیمات بار پردازش VTEP را کاهش می‌دهد، تجزیه و تحلیل جامع ترافیک را امکان‌پذیر می‌کند و قابلیت همکاری یکپارچه بین بخش‌های MPLS، GRE و VXLAN را تضمین می‌کند.

VTEPها ستون فقرات شبکه‌های VXLAN هستند که مجازی‌سازی مقیاس‌پذیر و ارتباطات چند مستاجری را امکان‌پذیر می‌کنند. با این حال، پیچیدگی رو به رشد ترافیک کپسوله‌شده در شبکه‌های مدرن، چالش‌های قابل توجهی را برای عملکرد VTEP و قابلیت مشاهده شبکه ایجاد می‌کند. Network Packet Brokerها با قابلیت‌های Tunnel Encapsulation Stripping با پیش‌پردازش ترافیک و حذف هدرهای متنوع (VXLAN، VLAN، GRE، GTP، MPLS، IPIP) قبل از رسیدن به VTEPها یا ابزارهای نظارتی، این چالش‌ها را برطرف می‌کنند. این امر نه تنها عملکرد VTEP را با کاهش سربار پردازش بهینه می‌کند، بلکه قابلیت مشاهده شبکه را افزایش می‌دهد، امنیت را تقویت می‌کند و قابلیت همکاری را در محیط‌های ناهمگن بهبود می‌بخشد.

همچنان که سازمان‌ها به سمت معماری‌های بومی ابری و استقرارهای ابری هیبریدی پیش می‌روند، هم‌افزایی بین NPBها و VTEPها به طور فزاینده‌ای حیاتی خواهد شد. با بهره‌گیری از عملکرد حذف کپسوله‌سازی تونل NPBها، مدیران شبکه می‌توانند از پتانسیل کامل شبکه‌های VXLAN بهره‌مند شوند و از کارآمدی، امنیت و سازگاری آنها با نیازهای در حال تحول کسب‌وکار اطمینان حاصل کنند.

زمان ارسال: ژانویه-09-2026
برای جستجو اینتر و برای بستن ESC بزنید