In het tijdperk van cloudcomputing en netwerkvirtualisatie is VXLAN (Virtual Extensible LAN) uitgegroeid tot een hoeksteen van de technologie voor het bouwen van schaalbare, flexibele overlaynetwerken. De kern van de VXLAN-architectuur wordt gevormd door de VTEP (VXLAN Tunnel Endpoint), een cruciaal onderdeel dat de naadloze overdracht van Layer 2-verkeer over Layer 3-netwerken mogelijk maakt. Naarmate netwerkverkeer steeds complexer wordt met diverse encapsulatieprotocollen, is de rol van Network Packet Brokers (NPB's) met Tunnel Encapsulation Stripping-functionaliteit onmisbaar geworden voor het optimaliseren van VTEP-werkingen. Deze blog behandelt de basisprincipes van VTEP en de relatie ervan met VXLAN, en gaat vervolgens dieper in op hoe de tunnel encapsulation stripping-functie van NPB's de VTEP-prestaties en netwerkzichtbaarheid verbetert.
Inzicht in VTEP en de relatie ervan met VXLAN
Laten we eerst de kernbegrippen verduidelijken: VTEP, een afkorting voor VXLAN Tunnel Endpoint, is een netwerkentiteit die verantwoordelijk is voor het inkapselen en uitpakken van VXLAN-pakketten in een VXLAN-overlaynetwerk. Het fungeert als begin- en eindpunt van VXLAN-tunnels en als een "gateway" die het virtuele overlaynetwerk en het fysieke onderliggende netwerk met elkaar verbindt. VTEP's kunnen worden geïmplementeerd als fysieke apparaten (zoals VXLAN-compatibele switches of routers) of als software-entiteiten (zoals virtuele switches, containerhosts of proxies op virtuele machines).
De relatie tussen VTEP en VXLAN is inherent symbiotisch: VXLAN is afhankelijk van VTEP's voor de realisatie van zijn kernfunctionaliteit, terwijl VTEP's er uitsluitend zijn om VXLAN-bewerkingen te ondersteunen. De kernwaarde van VXLAN is het creëren van een virtueel Layer 2-netwerk bovenop een Layer 3 IP-netwerk door middel van MAC-in-UDP-encapsulatie. Hiermee worden de schaalbaarheidsbeperkingen van traditionele VLAN's (die slechts 4096 VLAN-ID's ondersteunen) overwonnen met een 24-bits VXLAN Network Identifier (VNI) die tot 16 miljoen virtuele netwerken mogelijk maakt. VTEP's maken dit als volgt mogelijk: wanneer een virtuele machine (VM) verkeer verzendt, encapsuleert de lokale VTEP het oorspronkelijke Layer 2 Ethernet-frame door een VXLAN-header (met de VNI), een UDP-header (standaard via poort 4789), een buitenste IP-header (met het bron-VTEP-IP-adres en het bestemmings-VTEP-IP-adres) en een buitenste Ethernet-header toe te voegen. Het ingekapselde pakket wordt vervolgens via het onderliggende Layer 3-netwerk naar de bestemmings-VTEP verzonden. Deze decapsuleert het pakket door alle buitenste headers te verwijderen, herstelt het oorspronkelijke Ethernet-frame en stuurt het door naar de doel-VM op basis van de VNI.
Daarnaast verzorgen VTEP's cruciale taken zoals het leren van MAC-adressen (het dynamisch koppelen van MAC-adressen van lokale en externe hosts aan VTEP-IP-adressen) en de verwerking van broadcast-, unknown unicast- en multicastverkeer (BUM) – via multicastgroepen of head-endreplicatie in unicast-only-modus. In essentie vormen VTEP's de bouwstenen die de netwerkvirtualisatie en multi-tenantisolatie van VXLAN mogelijk maken.
De uitdaging van ingekapseld verkeer voor VTEP's
In moderne datacenteromgevingen is VTEP-verkeer zelden beperkt tot pure VXLAN-encapsulatie. Verkeer dat via VTEP's loopt, bevat vaak meerdere lagen encapsulatieheaders, waaronder VLAN, GRE, GTP, MPLS of IPIP, naast VXLAN. Deze complexiteit van de encapsulatie vormt een aanzienlijke uitdaging voor VTEP-werking en de daaropvolgende netwerkmonitoring, -analyse en beveiligingshandhaving.
○ - Verminderde zichtbaarheidDe meeste netwerkmonitoring- en beveiligingstools (zoals IDS/IPS, flow-analysatoren en packet sniffers) zijn ontworpen om native Layer 2/Layer 3-verkeer te verwerken. Ingekapselde headers verbergen de oorspronkelijke payload, waardoor het voor deze tools onmogelijk is om de verkeersinhoud nauwkeurig te analyseren of afwijkingen te detecteren.
○ - Verhoogde verwerkingskostenVTEP's moeten zelf extra rekenkracht inzetten om meerlaagse, ingekapselde pakketten te verwerken, vooral in omgevingen met veel verkeer. Dit kan leiden tot een hogere latentie, een lagere doorvoer en mogelijke prestatieknelpunten.
○ - InteroperabiliteitsproblemenVerschillende netwerksegmenten of omgevingen met meerdere leveranciers kunnen verschillende encapsulatieprotocollen gebruiken. Zonder de juiste verwijdering van headers kan het verkeer mogelijk niet correct worden doorgestuurd of verwerkt wanneer het door VTEP's gaat, wat tot interoperabiliteitsproblemen kan leiden.
Hoe het verwijderen van tunnelbekleding door NPB's VTEP's versterkt
Mylinking™ Network Packet Brokers (NPB's) met Tunnel Encapsulation Stripping-functionaliteit pakken deze uitdagingen aan door te fungeren als een "verkeersvoorverwerker" voor VTEP's. NPB's kunnen verschillende encapsulatieheaders (waaronder VXLAN, VLAN, GRE, GTP, MPLS en IPIP) uit originele datapakketten verwijderen voordat het verkeer wordt doorgestuurd naar VTEP's of monitoring-/beveiligingstools. Deze functionaliteit biedt drie belangrijke voordelen voor VTEP-activiteiten:
1. Verbeterde netwerkzichtbaarheid en beveiliging
Door encapsulatieheaders te verwijderen, leggen NPB's de oorspronkelijke payload van pakketten bloot, waardoor monitoring- en beveiligingstools de daadwerkelijke inhoud van het verkeer kunnen "zien". Wanneer bijvoorbeeld VTEP-verkeer wordt doorgestuurd naar een IDS/IPS, verwijdert de NPB eerst de VXLAN- en MPLS-headers, waardoor de IDS/IPS kwaadaardige activiteiten (zoals malware of ongeautoriseerde toegangspogingen) in het oorspronkelijke frame kan detecteren. Dit is met name cruciaal in multi-tenantomgevingen waar VTEP's verkeer van meerdere tenants verwerken – NPB's zorgen ervoor dat beveiligingstools tenantspecifiek verkeer kunnen inspecteren zonder te worden gehinderd door encapsulatie.
Bovendien kunnen NPB's selectief headers verwijderen op basis van verkeerstypen of VNI, waardoor gedetailleerd inzicht in specifieke virtuele netwerken wordt verkregen. Dit helpt netwerkbeheerders bij het oplossen van problemen (zoals pakketverlies of latentie) door een nauwkeurige analyse van het verkeer binnen individuele VXLAN-segmenten mogelijk te maken.
2. Geoptimaliseerde VTEP-prestaties
NPB's ontlasten VTEP's van de taak om headers te verwijderen, waardoor de verwerkingsbelasting op VTEP-apparaten wordt verminderd. In plaats van dat VTEP's CPU-bronnen besteden aan het verwijderen van meerdere lagen headers (bijv. VLAN + GRE + VXLAN), nemen NPB's deze voorverwerkingsstap over. Hierdoor kunnen VTEP's zich concentreren op hun kerntaken: het inkapselen/uitkapselen van VXLAN-pakketten en tunnelbeheer. Dit resulteert in een lagere latentie, een hogere doorvoer en verbeterde algehele prestaties van het VXLAN-overlaynetwerk, met name in virtualisatieomgevingen met een hoge dichtheid, duizenden VM's en een hoge verkeersbelasting.
In een datacenter met NPB's en switches die als VTEP's fungeren, kan een NPB (zoals Mylinking™ Network Packet Brokers) bijvoorbeeld VLAN- en MPLS-headers uit inkomend verkeer verwijderen voordat het de VTEP's bereikt. Dit vermindert het aantal headerverwerkingsbewerkingen dat de VTEP's moeten uitvoeren, waardoor ze meer gelijktijdige tunnels en verkeersstromen aankunnen.
3. Verbeterde interoperabiliteit tussen heterogene netwerken
In netwerken met meerdere leveranciers of meerdere segmenten kunnen verschillende onderdelen van de infrastructuur verschillende encapsulatieprotocollen gebruiken. Verkeer van een extern datacenter kan bijvoorbeeld bij een lokale VTEP aankomen met GRE-encapsulatie, terwijl lokaal verkeer VXLAN gebruikt. Een NPB kan deze verschillende headers (GRE, VXLAN, IPIP, enz.) verwijderen en een consistente, native verkeersstroom doorsturen naar de VTEP, waardoor interoperabiliteitsproblemen worden voorkomen. Dit is met name waardevol in hybride cloudomgevingen, waar verkeer van publieke cloudservices (vaak met GTP- of IPIP-encapsulatie) moet integreren met on-premises VXLAN-netwerken via VTEP's.
Bovendien kunnen NPB's de gestripte headers als metadata doorsturen naar monitoringtools, waardoor beheerders de context van de oorspronkelijke encapsulatie (zoals VNI- of MPLS-label) behouden, terwijl analyse van de native payload mogelijk blijft. Deze balans tussen het verwijderen van headers en het behoud van context is essentieel voor effectief netwerkbeheer.
Hoe implementeer ik de functie voor het verwijderen van tunnelpakketten in VTEP?
Het verwijderen van tunnelencapsulatie in VTEP kan worden geïmplementeerd via configuratie op hardwareniveau, softwarematig gedefinieerde beleidsregels en synergie met SDN-controllers. De kernlogica richt zich op het identificeren van tunnelheaders → het uitvoeren van verwijderingsacties → en het doorsturen van de oorspronkelijke payloads. De specifieke implementatiemethoden variëren enigszins afhankelijk van het VTEP-type (fysiek/softwarematig), en de belangrijkste benaderingen zijn als volgt:
Nu hebben we het over implementatie op fysieke VTEP's (bijv.Mylinking™ VXLAN-compatibele netwerkpakketbrokers) hier.
Fysieke VTEP's (zoals Mylinking™ VXLAN-compatibele netwerkpakketbrokers) vertrouwen op hardwarechips en speciale configuratiecommando's om efficiënte encapsulatiestripping te realiseren, wat geschikt is voor datacenters met veel verkeer:
Interface-gebaseerde encapsulatiematching: Maak subinterfaces aan op de fysieke toegangspoorten van VTEP's en configureer encapsulatietypen om specifieke tunnelheaders te matchen en te verwijderen. Configureer bijvoorbeeld op Mylinking™ VXLAN-compatibele Network Packet Brokers Layer 2-subinterfaces om 802.1Q VLAN-tags of ongetagde frames te herkennen en VLAN-headers te verwijderen voordat het verkeer naar de VXLAN-tunnel wordt doorgestuurd. Schakel voor GRE/MPLS-geëncapsuleerd verkeer de bijbehorende protocolparsing op de subinterface in om de buitenste headers te verwijderen.
Op beleid gebaseerde headerverwijdering: Gebruik een ACL (Access Control List) of verkeersbeleid om overeenkomende regels te definiëren (bijvoorbeeld overeenkomen met UDP-poort 4789 voor VXLAN, protocoltype 47 voor GRE) en acties voor het verwijderen van headers. Wanneer verkeer aan de regels voldoet, verwijdert de VTEP-hardwarechip automatisch de gespecificeerde tunnelheaders (VXLAN/UDP/IP-outerheaders, MPLS-labels, enz.) en stuurt de oorspronkelijke Layer 2-payload door.
Synergie van gedistribueerde gateways: In Spine-Leaf VXLAN-architecturen kunnen fysieke VTEP's (Leaf-nodes) samenwerken met Layer 3-gateways om multi-layer stripping te voltooien. Nadat Spine-nodes bijvoorbeeld MPLS-ingekapseld VXLAN-verkeer doorsturen naar Leaf VTEP's, verwijderen de VTEP's eerst de MPLS-labels en voeren vervolgens de VXLAN-decapsulatie uit.
Heeft u een configuratievoorbeeld nodig voor een specifiek VTEP-apparaat van een bepaalde leverancier (zoals bijvoorbeeld...)Mylinking™ VXLAN-compatibele netwerkpakketbrokers) om tunnelencapsulatiestripping te implementeren?
Praktisch toepassingsscenario
Stel je een groot bedrijfsdatacenter voor dat een VXLAN-overlaynetwerk met H3C-switches als VTEP's implementeert, ter ondersteuning van meerdere virtuele machines (VM's) van verschillende tenants. Het datacenter gebruikt MPLS voor de verkeersoverdracht tussen de core-switches en VXLAN voor de communicatie tussen de VM's onderling. Daarnaast sturen externe vestigingen verkeer naar het datacenter via GRE-tunnels. Om de beveiliging en het inzicht te waarborgen, implementeert de onderneming een NPB met Tunnel Encapsulation Stripping tussen het core-netwerk en de VTEP's.
Wanneer er verkeer aankomt bij het datacenter:
(1) De NPB verwijdert eerst MPLS-headers uit verkeer afkomstig van het kernnetwerk en GRE-headers uit verkeer van filiaalvestigingen.
(2) Voor VXLAN-verkeer tussen VTEP's kan de NPB de buitenste VXLAN-headers verwijderen bij het doorsturen van verkeer naar monitoringtools, waardoor de tools het oorspronkelijke VM-verkeer kunnen inspecteren.
(3) De NPB stuurt het voorbewerkte (van headers ontdane) verkeer door naar de VTEP's, die alleen de VXLAN-encapsulatie/decapsulatie voor de native payload hoeven af te handelen. Deze configuratie vermindert de verwerkingslast van de VTEP's, maakt uitgebreide verkeersanalyse mogelijk en zorgt voor naadloze interoperabiliteit tussen MPLS-, GRE- en VXLAN-segmenten.
VTEP's vormen de ruggengraat van VXLAN-netwerken en maken schaalbare virtualisatie en communicatie tussen meerdere tenants mogelijk. De toenemende complexiteit van ingekapseld verkeer in moderne netwerken brengt echter aanzienlijke uitdagingen met zich mee voor de prestaties en het netwerkzichtbaarheid van VTEP's. Netwerkpakketbrokers met tunnel-encapsulatie-strippingmogelijkheden pakken deze uitdagingen aan door verkeer voor te bewerken en diverse headers (VXLAN, VLAN, GRE, GTP, MPLS, IPIP) te verwijderen voordat het VTEP's of monitoringtools bereikt. Dit optimaliseert niet alleen de VTEP-prestaties door de verwerkingsoverhead te verminderen, maar verbetert ook de netwerkzichtbaarheid, versterkt de beveiliging en verbetert de interoperabiliteit in heterogene omgevingen.
Naarmate organisaties steeds vaker kiezen voor cloud-native architecturen en hybride cloudimplementaties, wordt de synergie tussen NPB's en VTEP's steeds belangrijker. Door gebruik te maken van de tunnel-encapsulatie-strippingfunctie van NPB's kunnen netwerkbeheerders het volledige potentieel van VXLAN-netwerken benutten en ervoor zorgen dat deze efficiënt, veilig en aanpasbaar zijn aan veranderende bedrijfsbehoeften.
Geplaatst op: 9 januari 2026
