ในยุคของการประมวลผลแบบคลาวด์และการจำลองเสมือนเครือข่าย VXLAN (Virtual Extensible LAN) ได้กลายเป็นเทคโนโลยีหลักในการสร้างเครือข่ายโอเวอร์เลย์ที่ปรับขนาดได้และยืดหยุ่น หัวใจสำคัญของสถาปัตยกรรม VXLAN คือ VTEP (VXLAN Tunnel Endpoint) ซึ่งเป็นส่วนประกอบสำคัญที่ช่วยให้การส่งข้อมูลเลเยอร์ 2 ข้ามเครือข่ายเลเยอร์ 3 เป็นไปอย่างราบรื่น เมื่อปริมาณการรับส่งข้อมูลเครือข่ายมีความซับซ้อนมากขึ้นเรื่อยๆ ด้วยโปรโตคอลการห่อหุ้มข้อมูลที่หลากหลาย บทบาทของ Network Packet Brokers (NPBs) ที่มีความสามารถในการลอกการห่อหุ้มข้อมูลในอุโมงค์จึงมีความสำคัญอย่างยิ่งในการเพิ่มประสิทธิภาพการทำงานของ VTEP บล็อกนี้จะสำรวจพื้นฐานของ VTEP และความสัมพันธ์กับ VXLAN จากนั้นจะเจาะลึกถึงวิธีการที่ฟังก์ชันการลอกการห่อหุ้มข้อมูลในอุโมงค์ของ NPBs ช่วยเพิ่มประสิทธิภาพของ VTEP และการมองเห็นเครือข่าย
ทำความเข้าใจ VTEP และความสัมพันธ์กับ VXLAN
ก่อนอื่น เรามาทำความเข้าใจแนวคิดหลักกันก่อน: VTEP หรือ VXLAN Tunnel Endpoint คือส่วนประกอบเครือข่ายที่ทำหน้าที่ห่อหุ้มและแกะห่อหุ้มแพ็กเก็ต VXLAN ในเครือข่ายโอเวอร์เลย์ VXLAN มันทำหน้าที่เป็นจุดเริ่มต้นและจุดสิ้นสุดของอุโมงค์ VXLAN ทำหน้าที่เป็น "เกตเวย์" ที่เชื่อมต่อเครือข่ายโอเวอร์เลย์เสมือนและเครือข่ายอันเดอร์เลย์ทางกายภาพ VTEP สามารถใช้งานได้ทั้งในรูปแบบอุปกรณ์ทางกายภาพ (เช่น สวิตช์หรือเราเตอร์ที่รองรับ VXLAN) หรือซอฟต์แวร์ (เช่น สวิตช์เสมือน โฮสต์คอนเทนเนอร์ หรือพร็อกซีบนเครื่องเสมือน)
ความสัมพันธ์ระหว่าง VTEP และ VXLAN นั้นเป็นแบบพึ่งพาอาศัยกันโดยเนื้อแท้—VXLAN อาศัย VTEP ในการทำงานหลัก ในขณะที่ VTEP มีอยู่เพื่อสนับสนุนการทำงานของ VXLAN โดยเฉพาะ คุณค่าหลักของ VXLAN คือการสร้างเครือข่ายเสมือนเลเยอร์ 2 บนเครือข่าย IP เลเยอร์ 3 ผ่านการห่อหุ้ม MAC-in-UDP ซึ่งเอาชนะข้อจำกัดด้านความสามารถในการขยายขนาดของ VLAN แบบดั้งเดิม (ซึ่งรองรับ VLAN ID ได้เพียง 4096 ตัว) ด้วยตัวระบุเครือข่าย VXLAN (VNI) 24 บิต ที่ช่วยให้สามารถสร้างเครือข่ายเสมือนได้มากถึง 16 ล้านเครือข่าย นี่คือวิธีที่ VTEP ช่วยให้สิ่งนี้เป็นไปได้: เมื่อเครื่องเสมือน (VM) ส่งข้อมูล VTEP ในพื้นที่จะห่อหุ้มเฟรมอีเธอร์เน็ตเลเยอร์ 2 ดั้งเดิมโดยการเพิ่มส่วนหัว VXLAN (ที่มี VNI) ส่วนหัว UDP (โดยใช้พอร์ต 4789 เป็นค่าเริ่มต้น) ส่วนหัว IP ภายนอก (ที่มี IP ของ VTEP ต้นทางและ IP ของ VTEP ปลายทาง) และส่วนหัวอีเธอร์เน็ตภายนอก จากนั้นแพ็กเก็ตที่ถูกห่อหุ้มจะถูกส่งผ่านเครือข่ายอันเดอร์เลย์เลเยอร์ 3 ไปยัง VTEP ปลายทาง ซึ่งจะทำการแกะห่อหุ้มแพ็กเก็ตโดยการลบส่วนหัวภายนอกทั้งหมด กู้คืนเฟรมอีเธอร์เน็ตดั้งเดิม และส่งต่อไปยัง VM เป้าหมายโดยอิงตาม VNI
นอกจากนี้ VTEP ยังจัดการงานสำคัญต่างๆ เช่น การเรียนรู้ที่อยู่ MAC (การแมปที่อยู่ MAC ของโฮสต์ในพื้นที่และโฮสต์ระยะไกลไปยัง IP ของ VTEP แบบไดนามิก) และการประมวลผลทราฟฟิกแบบ Broadcast, Unknown Unicast และ Multicast (BUM) ไม่ว่าจะผ่านกลุ่มมัลติแคสต์หรือการจำลองส่วนหัวในโหมด unicast เท่านั้น โดยพื้นฐานแล้ว VTEP เป็นส่วนประกอบพื้นฐานที่ทำให้การจำลองเสมือนเครือข่ายและการแยกผู้เช่าหลายรายของ VXLAN เป็นไปได้
ความท้าทายของการรับส่งข้อมูลแบบห่อหุ้มสำหรับ VTEP
ในสภาพแวดล้อมศูนย์ข้อมูลสมัยใหม่ การรับส่งข้อมูล VTEP มักไม่จำกัดอยู่แค่การเข้ารหัส VXLAN อย่างเดียว ข้อมูลที่ผ่าน VTEP มักมีการเข้ารหัสหลายชั้น รวมถึง VLAN, GRE, GTP, MPLS หรือ IPIP นอกเหนือจาก VXLAN ความซับซ้อนของการเข้ารหัสนี้ก่อให้เกิดความท้าทายอย่างมากต่อการทำงานของ VTEP และการตรวจสอบ การวิเคราะห์ และการบังคับใช้ความปลอดภัยของเครือข่ายในภายหลัง:
○ - ทัศนวิสัยลดลงเครื่องมือตรวจสอบเครือข่ายและรักษาความปลอดภัยส่วนใหญ่ (เช่น IDS/IPS, เครื่องมือวิเคราะห์การไหลของข้อมูล และเครื่องมือดักจับแพ็กเก็ต) ถูกออกแบบมาเพื่อประมวลผลทราฟฟิกเลเยอร์ 2/เลเยอร์ 3 ดั้งเดิม ส่วนหัวที่ถูกห่อหุ้มจะบดบังข้อมูลดั้งเดิม ทำให้เครื่องมือเหล่านี้ไม่สามารถวิเคราะห์เนื้อหาทราฟฟิกหรือตรวจจับความผิดปกติได้อย่างแม่นยำ
○ - ค่าใช้จ่ายในการประมวลผลที่เพิ่มขึ้น: ตัว VTEP เองต้องใช้ทรัพยากรการประมวลผลเพิ่มเติมเพื่อประมวลผลแพ็กเก็ตที่ห่อหุ้มหลายชั้น โดยเฉพาะในสภาพแวดล้อมที่มีปริมาณการรับส่งข้อมูลสูง ซึ่งอาจนำไปสู่ความหน่วงที่เพิ่มขึ้น ปริมาณงานที่ส่งผ่านลดลง และปัญหาคอขวดด้านประสิทธิภาพได้
○ - ปัญหาด้านการทำงานร่วมกัน: ส่วนเครือข่ายที่แตกต่างกันหรือสภาพแวดล้อมที่มีผู้จำหน่ายหลายรายอาจใช้โปรโตคอลการห่อหุ้มข้อมูลที่แตกต่างกัน หากไม่มีการตัดส่วนหัวอย่างเหมาะสม ข้อมูลอาจไม่สามารถส่งต่อหรือประมวลผลได้อย่างถูกต้องเมื่อผ่าน VTEP ซึ่งนำไปสู่ปัญหาความเข้ากันได้
เทคโนโลยีการลอกห่อหุ้มอุโมงค์ของ NPB ช่วยเสริมศักยภาพให้กับ VTEP ได้อย่างไร
อุปกรณ์ Mylinking™ Network Packet Brokers (NPBs) ที่มีความสามารถในการแยกส่วนหัวการห่อหุ้มข้อมูลในอุโมงค์ (Tunnel Encapsulation Stripping) ช่วยแก้ไขปัญหาเหล่านี้โดยทำหน้าที่เป็น "ตัวประมวลผลข้อมูลล่วงหน้า" สำหรับ VTEPs NPBs สามารถแยกส่วนหัวการห่อหุ้มข้อมูลต่างๆ (รวมถึง VXLAN, VLAN, GRE, GTP, MPLS และ IPIP) ออกจากแพ็กเก็ตข้อมูลดั้งเดิมก่อนที่จะส่งต่อข้อมูลไปยัง VTEPs หรือเครื่องมือตรวจสอบ/รักษาความปลอดภัย ฟังก์ชันนี้ให้ประโยชน์หลักสามประการสำหรับการดำเนินงานของ VTEP:
1. เพิ่มประสิทธิภาพการมองเห็นและความปลอดภัยของเครือข่าย
ด้วยการตัดส่วนหัวของการห่อหุ้มออก NPB จะเปิดเผยข้อมูลหลักของแพ็กเก็ต ทำให้เครื่องมือตรวจสอบและรักษาความปลอดภัยสามารถ "มองเห็น" เนื้อหาการรับส่งข้อมูลจริงได้ ตัวอย่างเช่น เมื่อการรับส่งข้อมูล VTEP ถูกส่งต่อไปยัง IDS/IPS NPB จะตัดส่วนหัว VXLAN และ MPLS ออกก่อน ทำให้ IDS/IPS สามารถตรวจจับกิจกรรมที่เป็นอันตราย (เช่น มัลแวร์หรือความพยายามเข้าถึงโดยไม่ได้รับอนุญาต) ในเฟรมดั้งเดิมได้ นี่เป็นสิ่งสำคัญอย่างยิ่งในสภาพแวดล้อมแบบหลายผู้เช่าที่ VTEP จัดการการรับส่งข้อมูลจากผู้เช่าหลายราย NPB ช่วยให้มั่นใจได้ว่าเครื่องมือรักษาความปลอดภัยสามารถตรวจสอบการรับส่งข้อมูลเฉพาะของผู้เช่าได้โดยไม่ถูกขัดขวางโดยการห่อหุ้ม
นอกจากนี้ NPB ยังสามารถเลือกที่จะตัดส่วนหัวออกตามประเภทของทราฟฟิกหรือ VNI ซึ่งช่วยให้มองเห็นภาพรวมของเครือข่ายเสมือนเฉพาะได้อย่างละเอียดมากขึ้น สิ่งนี้ช่วยให้ผู้ดูแลระบบเครือข่ายสามารถแก้ไขปัญหา (เช่น การสูญหายของแพ็กเก็ตหรือความหน่วง) โดยการวิเคราะห์ทราฟฟิกภายในแต่ละส่วนของ VXLAN ได้อย่างแม่นยำ
2. ประสิทธิภาพ VTEP ที่ได้รับการปรับปรุงให้เหมาะสม
NPB ทำหน้าที่แยกส่วนหัวของแพ็กเก็ตออกจาก VTEP ลดภาระการประมวลผลบนอุปกรณ์ VTEP แทนที่ VTEP จะใช้ทรัพยากร CPU ในการแยกส่วนหัวหลายชั้น (เช่น VLAN + GRE + VXLAN) NPB จะจัดการขั้นตอนการประมวลผลล่วงหน้านี้ ทำให้ VTEP สามารถมุ่งเน้นไปที่หน้าที่หลักของตนได้ นั่นคือ การห่อหุ้ม/แกะห่อหุ้มแพ็กเก็ต VXLAN และการจัดการอุโมงค์ ส่งผลให้มีความหน่วงต่ำลง ปริมาณงานสูงขึ้น และประสิทธิภาพโดยรวมของเครือข่ายโอเวอร์เลย์ VXLAN ดีขึ้น โดยเฉพาะอย่างยิ่งในสภาพแวดล้อมเวอร์ชวลไลเซชันที่มีความหนาแน่นสูง มี VM หลายพันเครื่องและปริมาณการรับส่งข้อมูลสูง
ตัวอย่างเช่น ในศูนย์ข้อมูลที่มี NPB และสวิตช์ทำหน้าที่เป็น VTEP นั้น NPB (เช่น Mylinking™ Network Packet Brokers) สามารถตัดส่วนหัว VLAN และ MPLS ออกจากทราฟฟิกขาเข้าก่อนที่จะถึง VTEP ซึ่งจะช่วยลดจำนวนการประมวลผลส่วนหัวที่ VTEP ต้องทำ ทำให้สามารถจัดการอุโมงค์และปริมาณทราฟฟิกพร้อมกันได้มากขึ้น
3. เพิ่มประสิทธิภาพการทำงานร่วมกันระหว่างเครือข่ายที่หลากหลาย
ในเครือข่ายที่มีผู้จำหน่ายหลายรายหรือหลายส่วน โครงสร้างพื้นฐานส่วนต่างๆ อาจใช้โปรโตคอลการห่อหุ้มข้อมูลที่แตกต่างกัน ตัวอย่างเช่น ทราฟฟิกจากศูนย์ข้อมูลระยะไกลอาจมาถึง VTEP ในพื้นที่ด้วยการห่อหุ้ม GRE ในขณะที่ทราฟฟิกในพื้นที่ใช้ VXLAN NPB สามารถแยกส่วนหัวที่หลากหลายเหล่านี้ (GRE, VXLAN, IPIP ฯลฯ) และส่งต่อสตรีมทราฟฟิกดั้งเดิมที่สม่ำเสมอไปยัง VTEP ซึ่งช่วยขจัดปัญหาการทำงานร่วมกัน สิ่งนี้มีประโยชน์อย่างยิ่งในสภาพแวดล้อมคลาวด์แบบไฮบริด ซึ่งทราฟฟิกจากบริการคลาวด์สาธารณะ (มักใช้การห่อหุ้ม GTP หรือ IPIP) จำเป็นต้องผสานรวมกับเครือข่าย VXLAN ภายในองค์กรผ่าน VTEP
นอกจากนี้ NPB ยังสามารถส่งต่อส่วนหัวที่ถูกตัดออกเป็นเมตาเดตาไปยังเครื่องมือตรวจสอบ ทำให้ผู้ดูแลระบบยังคงรักษาบริบทเกี่ยวกับการห่อหุ้มดั้งเดิม (เช่น ป้ายกำกับ VNI หรือ MPLS) ในขณะที่ยังคงสามารถวิเคราะห์เพย์โหลดดั้งเดิมได้ ความสมดุลระหว่างการตัดส่วนหัวและการรักษาบริบทนี้เป็นกุญแจสำคัญในการจัดการเครือข่ายอย่างมีประสิทธิภาพ
วิธีการใช้งานฟังก์ชันการตัดข้อมูลในแพ็กเกจอุโมงค์ใน VTEP ทำอย่างไร?
การแยกส่วนห่อหุ้มอุโมงค์ใน VTEP สามารถทำได้ผ่านการกำหนดค่าระดับฮาร์ดแวร์ นโยบายที่กำหนดโดยซอฟต์แวร์ และการทำงานร่วมกันกับตัวควบคุม SDN โดยมีตรรกะหลักมุ่งเน้นไปที่การระบุส่วนหัวของอุโมงค์ → ดำเนินการแยกส่วน → ส่งต่อข้อมูลเดิม วิธีการใช้งานเฉพาะจะแตกต่างกันเล็กน้อยตามประเภทของ VTEP (ทางกายภาพ/ซอฟต์แวร์) และแนวทางหลักมีดังต่อไปนี้:
ตอนนี้เรากำลังพูดถึงการนำไปใช้งานบน VTEP ทางกายภาพ (เช่นMylinking™ ตัวกลางส่งแพ็กเก็ตเครือข่ายที่รองรับ VXLAN) ที่นี่.
อุปกรณ์ VTEP ทางกายภาพ (เช่น Mylinking™ Network Packet Broker ที่รองรับ VXLAN) อาศัยชิปฮาร์ดแวร์และคำสั่งการกำหนดค่าเฉพาะเพื่อให้สามารถแยกส่วนการเข้ารหัสได้อย่างมีประสิทธิภาพ เหมาะสำหรับสถานการณ์ศูนย์ข้อมูลที่มีปริมาณการรับส่งข้อมูลสูง:
การจับคู่การห่อหุ้มตามอินเทอร์เฟซ: สร้างซับอินเทอร์เฟซบนพอร์ตการเข้าถึงทางกายภาพของ VTEP และกำหนดค่าประเภทการห่อหุ้มให้ตรงกันและตัดส่วนหัวอุโมงค์เฉพาะ ตัวอย่างเช่น บน Mylinking™ Network Packet Broker ที่รองรับ VXLAN ให้กำหนดค่าซับอินเทอร์เฟซเลเยอร์ 2 ให้รู้จักแท็ก VLAN 802.1Q หรือเฟรมที่ไม่มีแท็ก และตัดส่วนหัว VLAN ก่อนส่งต่อทราฟฟิกไปยังอุโมงค์ VXLAN สำหรับทราฟฟิกที่ห่อหุ้มด้วย GRE/MPLS ให้เปิดใช้งานการแยกวิเคราะห์โปรโตคอลที่เกี่ยวข้องบนซับอินเทอร์เฟซเพื่อตัดส่วนหัวภายนอก
การตัดส่วนหัวตามนโยบาย: ใช้ ACL (Access Control List) หรือนโยบายการรับส่งข้อมูลเพื่อกำหนดกฎการจับคู่ (เช่น การจับคู่พอร์ต UDP 4789 สำหรับ VXLAN, ประเภทโปรโตคอล 47 สำหรับ GRE) และผูกการดำเนินการตัดส่วนหัว เมื่อการรับส่งข้อมูลตรงกับกฎ ชิปฮาร์ดแวร์ VTEP จะตัดส่วนหัวของอุโมงค์ที่ระบุโดยอัตโนมัติ (ส่วนหัวภายนอก VXLAN/UDP/IP, ป้ายกำกับ MPLS เป็นต้น) และส่งต่อเพย์โหลดเลเยอร์ 2 ดั้งเดิมต่อไป
การทำงานร่วมกันของเกตเวย์แบบกระจาย: ในสถาปัตยกรรม VXLAN แบบ Spine-Leaf นั้น VTEP ทางกายภาพ (โหนด Leaf) สามารถทำงานร่วมกับเกตเวย์เลเยอร์ 3 เพื่อทำการ stripping หลายเลเยอร์ให้เสร็จสมบูรณ์ ตัวอย่างเช่น หลังจากที่โหนด Spine ส่งต่อทราฟฟิก VXLAN ที่ห่อหุ้มด้วย MPLS ไปยัง VTEP ของโหนด Leaf แล้ว VTEP จะทำการ stripping MPLS ก่อน จากนั้นจึงทำการ decapsulation VXLAN
คุณต้องการตัวอย่างการกำหนดค่าสำหรับอุปกรณ์ VTEP ของผู้จำหน่ายรายใดรายหนึ่งโดยเฉพาะหรือไม่ (เช่นMylinking™ ตัวกลางส่งแพ็กเก็ตเครือข่ายที่รองรับ VXLAN) เพื่อดำเนินการลอกห่อหุ้มอุโมงค์ใช่หรือไม่?
สถานการณ์การประยุกต์ใช้ในทางปฏิบัติ
ลองพิจารณาศูนย์ข้อมูลขนาดใหญ่ขององค์กรที่ใช้งานเครือข่ายโอเวอร์เลย์ VXLAN โดยใช้สวิตช์ H3C เป็น VTEP เพื่อรองรับ VM จากหลายผู้เช่า ศูนย์ข้อมูลใช้ MPLS สำหรับการส่งข้อมูลระหว่างสวิตช์หลัก และ VXLAN สำหรับการสื่อสารระหว่าง VM นอกจากนี้ สำนักงานสาขาที่อยู่ห่างไกลยังส่งข้อมูลไปยังศูนย์ข้อมูลผ่านอุโมงค์ GRE เพื่อให้มั่นใจในความปลอดภัยและการมองเห็น องค์กรจึงใช้งาน NPB พร้อม Tunnel Encapsulation Stripping ระหว่างเครือข่ายหลักและ VTEP
เมื่อมีปริมาณการรับส่งข้อมูลเข้ามายังศูนย์ข้อมูล:
(1) NPB จะลบส่วนหัว MPLS ออกจากทราฟฟิกที่มาจากเครือข่ายหลักและส่วนหัว GRE ออกจากทราฟฟิกของสำนักงานสาขาก่อน
(2) สำหรับทราฟฟิก VXLAN ระหว่าง VTEP นั้น NPB สามารถตัดส่วนหัว VXLAN ภายนอกออกเมื่อส่งต่อทราฟฟิกไปยังเครื่องมือตรวจสอบ ทำให้เครื่องมือสามารถตรวจสอบทราฟฟิก VM ดั้งเดิมได้
(3) NPB ส่งต่อทราฟฟิกที่ประมวลผลล่วงหน้า (ตัดส่วนหัวออก) ไปยัง VTEP ซึ่งจำเป็นต้องจัดการเฉพาะการเข้ารหัส/ถอดรหัส VXLAN สำหรับเพย์โหลดดั้งเดิมเท่านั้น การตั้งค่านี้ช่วยลดภาระการประมวลผลของ VTEP ช่วยให้สามารถวิเคราะห์ทราฟฟิกได้อย่างครอบคลุม และรับประกันความสามารถในการทำงานร่วมกันได้อย่างราบรื่นระหว่างเซ็กเมนต์ MPLS, GRE และ VXLAN
VTEP เป็นหัวใจสำคัญของเครือข่าย VXLAN ช่วยให้การจำลองเสมือนและการสื่อสารแบบหลายผู้เช่ามีความยืดหยุ่น อย่างไรก็ตาม ความซับซ้อนที่เพิ่มขึ้นของทราฟฟิกที่ถูกห่อหุ้มในเครือข่ายสมัยใหม่ก่อให้เกิดความท้าทายอย่างมากต่อประสิทธิภาพของ VTEP และการมองเห็นเครือข่าย Network Packet Broker ที่มีความสามารถในการตัดส่วนหัวของ Tunnel Encapsulation Stripping ช่วยแก้ปัญหาเหล่านี้โดยการประมวลผลทราฟฟิกก่อน และตัดส่วนหัวต่างๆ (VXLAN, VLAN, GRE, GTP, MPLS, IPIP) ก่อนที่จะถึง VTEP หรือเครื่องมือตรวจสอบ ซึ่งไม่เพียงแต่ช่วยเพิ่มประสิทธิภาพของ VTEP โดยลดภาระการประมวลผล แต่ยังช่วยเพิ่มการมองเห็นเครือข่าย เสริมสร้างความปลอดภัย และปรับปรุงความสามารถในการทำงานร่วมกันในสภาพแวดล้อมที่แตกต่างกัน
เนื่องจากองค์กรต่างๆ ยังคงนำสถาปัตยกรรมคลาวด์เนทีฟและการใช้งานคลาวด์แบบไฮบริดมาใช้มากขึ้นเรื่อยๆ การทำงานร่วมกันระหว่าง NPB และ VTEP จึงมีความสำคัญมากขึ้นเรื่อยๆ ด้วยการใช้ฟังก์ชันการตัดส่วนห่อหุ้มอุโมงค์ของ NPB ผู้ดูแลระบบเครือข่ายสามารถปลดล็อกศักยภาพสูงสุดของเครือข่าย VXLAN ทำให้มั่นใจได้ว่าเครือข่ายมีประสิทธิภาพ ปลอดภัย และปรับตัวได้ตามความต้องการทางธุรกิจที่เปลี่ยนแปลงไป
วันที่โพสต์: 9 มกราคม 2026
