Hodeiko konputazioaren eta sare birtualizazioaren aroan, VXLAN (Virtual Extensible LAN) oinarrizko teknologia bihurtu da eskalagarriak eta malguak diren gainjarritako sareak eraikitzeko. VXLAN arkitekturaren muinean VTEP (VXLAN Tunnel Endpoint) dago, 2. geruzako trafikoa 3. geruzako sareetan zehar etengabe transmititzea ahalbidetzen duen osagai kritikoa. Sare trafikoa gero eta konplexuagoa bihurtzen den heinean hainbat enkapsulazio protokolorekin, Tunnel Encapsulation Stripping gaitasunak dituzten Network Packet Brokers (NPB)en eginkizuna ezinbestekoa bihurtu da VTEP eragiketak optimizatzeko. Blog honek VTEP-en oinarriak eta VXLAN-ekin duen harremana aztertzen ditu, eta ondoren, NPB-en tunel enkapsulazio funtzioak VTEP-en errendimendua eta sarearen ikusgarritasuna nola hobetzen dituen aztertzen du.
VTEP eta VXLAN-ekin duen harremana ulertzea
Lehenik eta behin, argitu ditzagun oinarrizko kontzeptuak: VTEP, VXLAN Tunnel Endpoint-en laburdura, VXLAN gainjartze-sare batean VXLAN paketeak kapsulatzeaz eta deskapsulatzeaz arduratzen den sare-entitate bat da. VXLAN tunelen hasiera eta amaiera puntu gisa balio du, gainjartze-sare birtuala eta azpijartze-sare fisikoa lotzen dituen "atebide" gisa jardunez. VTEPak gailu fisiko gisa (VXLAN gaitasuna duten etengailuak edo bideratzaileak, adibidez) edo software-entitate gisa (makina birtualetan etengailu birtualak, edukiontzi-ostalariak edo proxy-ak, adibidez) inplementa daitezke.
VTEP eta VXLAN arteko harremana berez sinbiotikoa da: VXLANek VTEPen menpe dago bere funtzionalitate nagusia gauzatzeko, eta VTEPak, berriz, VXLAN eragiketak onartzeko soilik daude. VXLANen balio nagusia 3. geruzako IP sare baten gainean 2. geruzako sare birtual bat sortzea da, MAC-in-UDP kapsulazioaren bidez, VLAN tradizionalen eskalagarritasun mugak gaindituz (4096 VLAN ID bakarrik onartzen dituztenak) 24 biteko VXLAN Sare Identifikatzaile (VNI) batekin, 16 milioi sare birtual gaitzen dituena. Hona hemen VTEPek nola gaitzen duten hau: Makina birtual batek (VM) trafikoa bidaltzen duenean, tokiko VTEPak jatorrizko 2. geruzako Ethernet markoa kapsulatzen du VXLAN goiburu bat (VNI duena), UDP goiburu bat (lehenespenez 4789 ataka erabiliz), kanpoko IP goiburu bat (iturri VTEP IParekin eta helmuga VTEP IParekin) eta kanpoko Ethernet goiburu bat gehituz. Kapsulatutako paketea 3. geruzako azpiko sarearen bidez transmititzen da helmugako VTEP-era, eta honek paketea deskapsulatzen du kanpoko goiburu guztiak kenduz, jatorrizko Ethernet markoa berreskuratzen du eta helburuko VM-ra birbidaltzen du VNI-an oinarrituta.
Gainera, VTEPek zeregin kritikoak kudeatzen dituzte, hala nola MAC helbideen ikaskuntza (tokiko eta urruneko ostalarien MAC helbideak VTEP IPetara dinamikoki mapatzea) eta Broadcast, Unicast ezezaguna eta Multicast (BUM) trafikoaren prozesamendua, multicast taldeen bidez edo unicast-only moduan buru-muturreko erreplikazioaren bidez. Funtsean, VTEPak dira VXLANen sarearen birtualizazioa eta maizter anitzeko isolamendua posible egiten duten oinarrizko elementuak.
VTEPetarako trafiko kapsulatuaren erronka
Datu-zentro modernoen inguruneetan, VTEP trafikoa gutxitan mugatzen da VXLAN kapsulazio hutsera. VTEPetatik igarotzen den trafikoak askotan kapsulazio-buruen hainbat geruza eramaten ditu, besteak beste, VLAN, GRE, GTP, MPLS edo IPIP, VXLANez gain. Kapsulazio-konplexutasun honek erronka handiak sortzen ditu VTEP eragiketetarako eta ondorengo sarearen monitorizaziorako, analisietarako eta segurtasun-betearazpenerako:
○ - Ikusgarritasun murriztuaSarearen monitorizazio eta segurtasun tresna gehienak (IDS/IPS, fluxu analizatzaileak eta paketeen usnatzaileak, adibidez) 2./3. geruzako trafiko natiboa prozesatzeko diseinatuta daude. Goiburu kapsulatuek jatorrizko karga ezkutatzen dute, eta horrek tresna hauek trafikoaren edukia zehatz-mehatz aztertzea edo anomaliak detektatzea ezinezko egiten du.
○ - Prozesatzeko gainkarga handituaVTEPek eurek baliabide informatiko gehigarriak gastatu behar dituzte geruza anitzeko pakete kapsulatuak prozesatzeko, batez ere trafiko handiko inguruneetan. Horrek latentzia handitzea, errendimendua murriztea eta errendimendu-oztopoak ekar ditzake.
○ - Elkarreragingarritasun arazoakSare segmentu ezberdinek edo saltzaile anitzeko inguruneek kapsulazio protokolo desberdinak erabil ditzakete. Goiburua behar bezala kentzen ez bada, trafikoa ez da behar bezala birbidaliko edo prozesatuko VTEPetatik igarotzean, eta horrek elkarreragingarritasun arazoak sor ditzake.
Nola NPBen tunelen kapsulazio-kentzeak VTEPak ahalbidetzen dituen
Mylinking™ Sareko Paketeen Agenteek (NPB) Tunelen Enkapsulazioa Kentzeko gaitasuna dutenek erronka horiei aurre egiten diete VTEPen "Trafiko aurre-prozesadore" gisa jardunez. NPBek hainbat enkapsulazio-goiburu (VXLAN, VLAN, GRE, GTP, MPLS eta IPIP barne) kendu ditzakete jatorrizko datu-paketeetatik, trafikoa VTEPren edo monitorizazio/segurtasun tresnetara bidali aurretik. Funtzionalitate honek hiru onura nagusi eskaintzen ditu VTEPen eragiketetarako:
1. Sarearen ikusgarritasun eta segurtasun hobetua
Kapsulazio-goiburuak kenduz, NPBek paketeen jatorrizko karga agerian uzten dute, monitorizazio- eta segurtasun-tresnek benetako trafiko-edukia "ikusteko" aukera emanez. Adibidez, VTEP trafikoa IDS/IPS batera birbidaltzen denean, NPBk lehenik VXLAN eta MPLS goiburuak kentzen ditu, IDS/IPSk jatorrizko markoan jarduera gaiztoak (malwarea edo baimenik gabeko sarbide-saiakerak, adibidez) detektatzeko aukera emanez. Hau bereziki kritikoa da maizter anitzeko inguruneetan, non VTEPek maizter anitzetatik datozen trafikoa kudeatzen duten; NPBek ziurtatzen dute segurtasun-tresnek maizter espezifikoen trafikoa ikuskatu dezaketela kapsulazioak oztopatu gabe.
Gainera, NPBek goiburuak hauta ditzakete trafiko motaren edo VNIren arabera, sare birtual espezifikoen ikusgarritasun zehatza eskainiz. Horri esker, sareko administratzaileei arazoak konpontzen laguntzen zaie (paketeen galera edo latentzia, adibidez), VXLAN segmentu indibidualen barruko trafikoaren analisi zehatza ahalbidetuz.
2. VTEP errendimendu optimizatua
NPBek goiburuak kentzeko zeregina VTEPetatik askatzen dute, VTEP gailuen prozesatzeko gainkarga murriztuz. VTEPek CPU baliabideak goiburuen geruza anitz kentzen gastatu beharrean (adibidez, VLAN + GRE + VXLAN), NPBek aurre-prozesatzeko urrats hau kudeatzen dute, VTEPek beren erantzukizun nagusietan zentratu ahal izateko: VXLAN paketeen kapsulazioa/deskapsulazioa eta tunelen kudeaketa. Horrek latentzia txikiagoa, errendimendu handiagoa eta VXLAN gainjartze sarearen errendimendu orokorra hobetzea dakar, batez ere milaka VM eta trafiko karga handiak dituzten dentsitate handiko birtualizazio inguruneetan.
Adibidez, VTEP gisa jarduten duten NPB eta etengailuak dituen datu-zentro batean, NPB batek (Mylinking™ Network Packet Brokers bezalakoak) VLAN eta MPLS goiburuak kendu ditzake sarrerako trafikotik VTEPetara iritsi aurretik. Horrek VTEPek egin behar dituzten goiburuen prozesatzeko eragiketa kopurua murrizten du, tunel eta trafiko-fluxu gehiago aldi berean kudeatu ahal izateko.
3. Sare Heterogeneoen arteko Elkarreragingarritasun Hobetua
Saltzaile anitzeko edo segmentu anitzeko sareetan, azpiegituraren atal desberdinek kapsulazio-protokolo desberdinak erabil ditzakete. Adibidez, urruneko datu-zentro batetik datorren trafikoa GRE kapsulazioarekin tokiko VTEP batera irits daiteke, eta tokiko trafikoak, berriz, VXLAN erabiltzen du. NPB batek goiburu anitz hauek (GRE, VXLAN, IPIP, etab.) kendu eta trafiko-jario koherente eta natibo bat birbidal dezake VTEPera, elkarreragingarritasun-arazoak ezabatuz. Hau bereziki baliotsua da hodei hibridoen inguruneetan, non hodei publikoko zerbitzuetatik datorren trafikoa (askotan GTP edo IPIP kapsulazioa erabiliz) tokiko VXLAN sareekin integratu behar den VTEPen bidez.
Gainera, NPBek goiburu kenduak metadatu gisa bidal ditzakete monitorizazio tresnetara, administratzaileek jatorrizko kapsulazioaren testuingurua (VNI edo MPLS etiketa adibidez) mantentzen dutela ziurtatuz, bertako kargaren analisia ahalbidetuz. Goiburua kentzearen eta testuingurua gordetzearen arteko oreka funtsezkoa da sarearen kudeaketa eraginkorrerako.
Nola inplementatu tunel paketeak kentzeko funtzioa VTEP-en?
VTEP-en tunelen kapsulazio-kentzea hardware mailako konfigurazioaren, software bidez definitutako gidalerroen eta SDN kontrolagailuekin sinergiaren bidez inplementatu daiteke, oinarrizko logikak tunel goiburuak identifikatzean → kentze-ekintzak exekutatzean → jatorrizko kargak birbidaltzean zentratuz. Inplementazio-metodo espezifikoak VTEP motaren arabera (fisikoa/softwarea) apur bat aldatzen dira, eta ikuspegi nagusiak hauek dira:
Orain, VTEP fisikoetan inplementatzeaz ari gara hizketan (adibidez,Mylinking™ VXLAN gaitasuna duten sareko pakete-bitartekariak) hemen.
VTEP fisikoek (Mylinking™ VXLAN gaitasuna duten Network Packet Brokers bezalakoek hardware txipak eta konfigurazio komando dedikatuak erabiltzen dituzte kapsulazio kentze eraginkorra lortzeko, trafiko handiko datu-zentroen eszenatokietarako egokiak:
Interfazeetan oinarritutako kapsulazio-parekatzea: Sortu azpi-interfazeak VTEP-en sarbide fisikoko portuetan eta konfiguratu kapsulazio motak tunel-goiburu espezifikoekin bat etortzeko eta kentzeko. Adibidez, Mylinking™ VXLAN gaitasuna duten sareko pakete-agenteetan, konfiguratu 2. geruzako azpi-interfazeak 802.1Q VLAN etiketak edo etiketatu gabeko markoak ezagutzeko, eta kendu VLAN goiburuak trafikoa VXLAN tunelera birbidali aurretik. GRE/MPLS kapsulatutako trafikoarentzat, gaitu dagokion protokoloaren azterketa azpi-interfazean kanpoko goiburuak kentzeko.
Politikan oinarritutako goiburuen kentzea: Erabili ACL (Sarbide Kontrol Zerrenda) edo trafiko politika bat etortze arauak definitzeko (adibidez, 4789 UDP ataka bat etortzea VXLANerako, 47 protokolo mota GRErako) eta lotura kentzeko ekintzak. Trafikoa arauekin bat datorrenean, VTEP hardware txipak automatikoki kentzen ditu zehaztutako tunel goiburuak (VXLAN/UDP/IP kanpoko goiburuak, MPLS etiketak, etab.) eta jatorrizko 2. geruzako karga birbidaltzen du.
Banatutako atebideen sinergia: Spine-Leaf VXLAN arkitekturetan, VTEP fisikoek (Leaf nodoek) 3. geruzako atebideekin elkarlanean aritu daitezke geruza anitzeko kentzea osatzeko. Adibidez, Spine nodoek MPLS-en kapsulatutako VXLAN trafikoa Leaf VTEPetara birbidali ondoren, VTEPek lehenik MPLS etiketak kentzen dituzte, eta ondoren VXLAN deskapsulazioa egiten dute.
Saltzaile jakin baten VTEP gailuaren konfigurazio adibide bat behar duzu (adibidez,Mylinking™ VXLAN gaitasuna duten sareko pakete-bitartekariak) tunelen kapsulazio-kentzea ezartzeko?
Aplikazio praktikoaren eszenatokia
Demagun enpresa handi bateko datu-zentro bat VXLAN gainjartze-sare bat zabaltzen duela, H3C etengailuak VTEP gisa erabiliz, hainbat maizter VM onartzen dituelarik. Datu-zentroak MPLS erabiltzen du etengailu nagusien arteko trafikoa transmititzeko eta VXLAN VMtik VMra komunikatzeko. Horrez gain, urruneko bulegoek trafikoa bidaltzen diote datu-zentrora GRE tunelen bidez. Segurtasuna eta ikusgarritasuna bermatzeko, enpresak NPB bat zabaltzen du Tunel Enkapsulazio Desblokeatzearekin sare nagusiaren eta VTEPen artean.
Trafikoa datu-zentrora iristen denean:
(1) NPB-k lehenik MPLS goiburuak kentzen ditu sare nagusitik datorren trafikotik eta GRE goiburuak sukurtsal-trafikotik.
(2) VTEPen arteko VXLAN trafikoarentzat, NPB-k kanpoko VXLAN goiburuak kendu ditzake trafikoa monitorizazio tresnetara birbidaltzean, tresnek jatorrizko VM trafikoa ikuskatzeko aukera emanez.
(3) NPB-k aurrez prozesatutako (goiburua kenduta) trafikoa VTEP-etara birbidaltzen du, eta hauek VXLAN kapsulazioa/deskapsulazioa kudeatu behar dute jatorrizko kargarentzat. Konfigurazio honek VTEP prozesatzeko karga murrizten du, trafikoaren analisi integrala ahalbidetzen du eta MPLS, GRE eta VXLAN segmentuen arteko interoperabilitate ezin hobea bermatzen du.
VTEPak VXLAN sareen bizkarrezurra dira, birtualizazio eskalagarria eta maizter anitzeko komunikazioa ahalbidetzen dituztenak. Hala ere, sare modernoetan kapsulatutako trafikoaren konplexutasun gero eta handiagoak erronka handiak sortzen dizkie VTEPen errendimenduari eta sarearen ikusgarritasunari. Tunelen Enkapsulazio Kentzeko gaitasuna duten Sareko Pakete Brokerrek erronka horiei aurre egiten diete trafikoa aldez aurretik prozesatuz, goiburu desberdinak (VXLAN, VLAN, GRE, GTP, MPLS, IPIP) kenduz VTEPetara edo monitorizazio tresnetara iritsi aurretik. Horrek ez du VTEPen errendimendua optimizatzen bakarrik prozesatzeko gainkarga murriztuz, baita sarearen ikusgarritasuna hobetzen, segurtasuna indartzen eta ingurune heterogeneoen arteko interoperabilitatea hobetzen ere.
Erakundeek hodeian oinarritutako arkitekturak eta hodei hibridoen inplementazioak hartzen jarraitzen duten heinean, NPB eta VTEP arteko sinergia gero eta kritikoagoa izango da. NPBen tunelen kapsulazio-kentzeko funtzioa aprobetxatuz, sare-administratzaileek VXLAN sareen potentzial osoa askatu dezakete, eraginkorrak, seguruak eta negozio-behar ebolutiboetara egokitzeko modukoak direla ziurtatuz.
Argitaratze data: 2026ko urtarrilaren 9a
