Trong kỷ nguyên điện toán đám mây và ảo hóa mạng, VXLAN (Mạng LAN mở rộng ảo) đã trở thành công nghệ nền tảng để xây dựng các mạng lớp phủ có khả năng mở rộng và linh hoạt. Trọng tâm của kiến trúc VXLAN là VTEP (Điểm cuối đường hầm VXLAN), một thành phần quan trọng cho phép truyền tải liền mạch lưu lượng lớp 2 qua mạng lớp 3. Khi lưu lượng mạng ngày càng phức tạp với nhiều giao thức đóng gói khác nhau, vai trò của các bộ điều khiển gói mạng (NPB) với khả năng bóc tách mã hóa đường hầm trở nên không thể thiếu trong việc tối ưu hóa hoạt động của VTEP. Bài viết này sẽ khám phá những nguyên tắc cơ bản của VTEP và mối quan hệ của nó với VXLAN, sau đó đi sâu vào cách chức năng bóc tách mã hóa đường hầm của NPB nâng cao hiệu suất VTEP và khả năng hiển thị mạng.
Tìm hiểu về VTEP và mối quan hệ của nó với VXLAN
Trước tiên, hãy làm rõ các khái niệm cốt lõi: VTEP, viết tắt của VXLAN Tunnel Endpoint, là một thực thể mạng chịu trách nhiệm đóng gói và giải mã các gói VXLAN trong mạng lớp phủ VXLAN. Nó đóng vai trò là điểm bắt đầu và kết thúc của các đường hầm VXLAN, hoạt động như một "cổng" kết nối mạng lớp phủ ảo và mạng lớp nền vật lý. VTEP có thể được triển khai dưới dạng các thiết bị vật lý (chẳng hạn như các bộ chuyển mạch hoặc bộ định tuyến hỗ trợ VXLAN) hoặc các thực thể phần mềm (như các bộ chuyển mạch ảo, máy chủ chứa hoặc máy chủ proxy trên máy ảo).
Mối quan hệ giữa VTEP và VXLAN vốn dĩ mang tính cộng sinh—VXLAN dựa vào VTEP để thực hiện chức năng cốt lõi của nó, trong khi VTEP tồn tại độc quyền để hỗ trợ các hoạt động của VXLAN. Giá trị cốt lõi của VXLAN là tạo ra một mạng ảo lớp 2 trên nền mạng IP lớp 3 thông qua mã hóa MAC-in-UDP, khắc phục những hạn chế về khả năng mở rộng của VLAN truyền thống (chỉ hỗ trợ 4096 ID VLAN) với Mã định danh mạng VXLAN (VNI) 24 bit cho phép tạo ra tối đa 16 triệu mạng ảo. Đây là cách VTEP thực hiện điều này: Khi một máy ảo (VM) gửi lưu lượng truy cập, VTEP cục bộ sẽ mã hóa khung Ethernet lớp 2 ban đầu bằng cách thêm tiêu đề VXLAN (chứa VNI), tiêu đề UDP (sử dụng cổng 4789 theo mặc định), tiêu đề IP bên ngoài (với địa chỉ IP VTEP nguồn và địa chỉ IP VTEP đích) và tiêu đề Ethernet bên ngoài. Gói dữ liệu được đóng gói sau đó được truyền qua mạng lớp 3 đến VTEP đích, nơi VTEP sẽ giải mã gói dữ liệu bằng cách loại bỏ tất cả các tiêu đề bên ngoài, khôi phục khung Ethernet gốc và chuyển tiếp nó đến máy ảo đích dựa trên VNI.
Ngoài ra, VTEP xử lý các tác vụ quan trọng như học địa chỉ MAC (tự động ánh xạ địa chỉ MAC của máy chủ cục bộ và từ xa đến địa chỉ IP của VTEP) và xử lý lưu lượng Broadcast, Unknown Unicast và Multicast (BUM) — thông qua các nhóm multicast hoặc sao chép đầu cuối ở chế độ chỉ unicast. Về bản chất, VTEP là các khối xây dựng giúp cho việc ảo hóa mạng và cách ly đa người dùng của VXLAN trở nên khả thi.
Thách thức của lưu lượng truy cập được đóng gói đối với VTEPs
Trong môi trường trung tâm dữ liệu hiện đại, lưu lượng VTEP hiếm khi chỉ giới hạn ở việc đóng gói VXLAN thuần túy. Lưu lượng đi qua VTEP thường mang nhiều lớp tiêu đề đóng gói, bao gồm VLAN, GRE, GTP, MPLS hoặc IPIP, ngoài VXLAN. Sự phức tạp trong đóng gói này đặt ra những thách thức đáng kể cho hoạt động của VTEP và việc giám sát, phân tích mạng và thực thi an ninh sau đó:
○ - Giảm tầm nhìnHầu hết các công cụ giám sát và bảo mật mạng (như IDS/IPS, bộ phân tích luồng và bộ bắt gói tin) được thiết kế để xử lý lưu lượng lớp 2/lớp 3 gốc. Các tiêu đề được đóng gói che khuất nội dung gốc, khiến các công cụ này không thể phân tích chính xác nội dung lưu lượng hoặc phát hiện các bất thường.
○ - Tăng chi phí xử lýBản thân các VTEP phải tiêu tốn thêm tài nguyên tính toán để xử lý các gói dữ liệu được đóng gói nhiều lớp, đặc biệt là trong môi trường có lưu lượng truy cập cao. Điều này có thể dẫn đến độ trễ tăng, thông lượng giảm và tiềm ẩn các điểm nghẽn hiệu năng.
○ - Các vấn đề về khả năng tương tácCác phân đoạn mạng khác nhau hoặc môi trường đa nhà cung cấp có thể sử dụng các giao thức đóng gói khác nhau. Nếu không loại bỏ tiêu đề đúng cách, lưu lượng truy cập có thể không được chuyển tiếp hoặc xử lý chính xác khi đi qua VTEP, dẫn đến các vấn đề về khả năng tương tác.
Cách thức bóc tách lớp bao bọc đường hầm của NPB giúp tăng cường sức mạnh cho VTEP
Các bộ điều phối gói mạng (NPB) Mylinking™ với khả năng loại bỏ các tiêu đề đóng gói đường hầm giải quyết những thách thức này bằng cách hoạt động như một "bộ xử lý trước lưu lượng" cho VTEP. NPB có thể loại bỏ nhiều tiêu đề đóng gói khác nhau (bao gồm VXLAN, VLAN, GRE, GTP, MPLS và IPIP) khỏi các gói dữ liệu gốc trước khi chuyển tiếp lưu lượng đến VTEP hoặc các công cụ giám sát/bảo mật. Chức năng này mang lại ba lợi ích chính cho hoạt động của VTEP:
1. Tăng cường khả năng hiển thị và bảo mật mạng
Bằng cách loại bỏ các tiêu đề đóng gói, NPB (Non-Protection Block) làm lộ nội dung gốc của các gói tin, cho phép các công cụ giám sát và bảo mật "nhìn thấy" nội dung lưu lượng thực tế. Ví dụ, khi lưu lượng VTEP được chuyển tiếp đến IDS/IPS, NPB trước tiên sẽ loại bỏ các tiêu đề VXLAN và MPLS, cho phép IDS/IPS phát hiện hoạt động độc hại (chẳng hạn như phần mềm độc hại hoặc các nỗ lực truy cập trái phép) trong khung dữ liệu gốc. Điều này đặc biệt quan trọng trong môi trường đa người dùng, nơi VTEP xử lý lưu lượng từ nhiều người dùng khác nhau — NPB đảm bảo rằng các công cụ bảo mật có thể kiểm tra lưu lượng dành riêng cho từng người dùng mà không bị cản trở bởi quá trình đóng gói.
Hơn nữa, NPB có thể chọn lọc loại bỏ tiêu đề dựa trên loại lưu lượng hoặc VNI, cung cấp khả năng hiển thị chi tiết về các mạng ảo cụ thể. Điều này giúp các quản trị viên mạng khắc phục sự cố (như mất gói hoặc độ trễ) bằng cách cho phép phân tích chính xác lưu lượng truy cập trong từng phân đoạn VXLAN riêng lẻ.
2. Tối ưu hóa hiệu suất VTEP
Các NPB (Network Attached Bundle) giảm tải nhiệm vụ loại bỏ tiêu đề khỏi các VTEP (Virtual Virtual Process Outsourcing), giảm chi phí xử lý trên các thiết bị VTEP. Thay vì VTEP phải dành tài nguyên CPU để loại bỏ nhiều lớp tiêu đề (ví dụ: VLAN + GRE + VXLAN), NPB sẽ xử lý bước tiền xử lý này, cho phép VTEP tập trung vào các nhiệm vụ cốt lõi của chúng: đóng gói/giải mã gói VXLAN và quản lý đường hầm. Điều này dẫn đến độ trễ thấp hơn, thông lượng cao hơn và hiệu suất tổng thể được cải thiện của mạng lớp phủ VXLAN—đặc biệt là trong môi trường ảo hóa mật độ cao với hàng nghìn máy ảo và tải lưu lượng lớn.
Ví dụ, trong một trung tâm dữ liệu với các NPB và Switch hoạt động như VTEP, một NPB (chẳng hạn như Mylinking™ Network Packet Broker) có thể loại bỏ các tiêu đề VLAN và MPLS khỏi lưu lượng truy cập đến trước khi nó đến được các VTEP. Điều này làm giảm số lượng các thao tác xử lý tiêu đề mà các VTEP cần thực hiện, cho phép chúng xử lý nhiều đường hầm và luồng lưu lượng truy cập đồng thời hơn.
3. Cải thiện khả năng tương tác giữa các mạng không đồng nhất
Trong các mạng đa nhà cung cấp hoặc đa phân đoạn, các phần khác nhau của cơ sở hạ tầng có thể sử dụng các giao thức đóng gói khác nhau. Ví dụ, lưu lượng truy cập từ trung tâm dữ liệu từ xa có thể đến VTEP cục bộ với mã hóa GRE, trong khi lưu lượng truy cập cục bộ sử dụng VXLAN. Một NPB có thể loại bỏ các tiêu đề khác nhau này (GRE, VXLAN, IPIP, v.v.) và chuyển tiếp luồng lưu lượng truy cập nhất quán, nguyên bản đến VTEP, loại bỏ các vấn đề về khả năng tương tác. Điều này đặc biệt có giá trị trong môi trường đám mây lai, nơi lưu lượng truy cập từ các dịch vụ đám mây công cộng (thường sử dụng mã hóa GTP hoặc IPIP) cần tích hợp với các mạng VXLAN tại chỗ thông qua VTEP.
Ngoài ra, NPB có thể chuyển tiếp các tiêu đề đã bị loại bỏ dưới dạng siêu dữ liệu đến các công cụ giám sát, đảm bảo rằng các quản trị viên vẫn giữ được ngữ cảnh về cách đóng gói ban đầu (chẳng hạn như VNI hoặc nhãn MPLS) trong khi vẫn cho phép phân tích tải trọng gốc. Sự cân bằng giữa việc loại bỏ tiêu đề và bảo toàn ngữ cảnh này là chìa khóa để quản lý mạng hiệu quả.
Làm thế nào để triển khai chức năng tách gói đường hầm trong VTEP?
Việc loại bỏ lớp bao bọc đường hầm trong VTEP có thể được thực hiện thông qua cấu hình ở cấp độ phần cứng, các chính sách được định nghĩa bằng phần mềm và sự phối hợp với bộ điều khiển SDN, với logic cốt lõi tập trung vào việc xác định tiêu đề đường hầm → thực hiện các hành động loại bỏ → chuyển tiếp tải trọng gốc. Các phương pháp triển khai cụ thể có sự khác biệt nhỏ tùy thuộc vào loại VTEP (vật lý/phần mềm), và các phương pháp chính như sau:
Hiện tại, chúng ta đang nói về việc triển khai trên các VTEP vật lý (ví dụ:Bộ điều phối gói mạng Mylinking™ hỗ trợ VXLAN) đây.
Các VTEP vật lý (chẳng hạn như bộ điều khiển gói mạng Mylinking™ có khả năng VXLAN) dựa vào chip phần cứng và các lệnh cấu hình chuyên dụng để đạt được khả năng tách mã hóa hiệu quả, phù hợp với các kịch bản trung tâm dữ liệu có lưu lượng truy cập cao:
Khớp mã hóa dựa trên giao diện: Tạo các giao diện con trên các cổng truy cập vật lý của VTEP và cấu hình các loại mã hóa để khớp và loại bỏ các tiêu đề đường hầm cụ thể. Ví dụ, trên các thiết bị môi giới gói mạng Mylinking™ có khả năng VXLAN, hãy cấu hình các giao diện con Lớp 2 để nhận dạng các thẻ VLAN 802.1Q hoặc các khung không gắn thẻ, và loại bỏ các tiêu đề VLAN trước khi chuyển tiếp lưu lượng truy cập đến đường hầm VXLAN. Đối với lưu lượng được mã hóa GRE/MPLS, hãy bật phân tích cú pháp giao thức tương ứng trên giao diện con để loại bỏ các tiêu đề bên ngoài.
Loại bỏ tiêu đề dựa trên chính sách: Sử dụng ACL (Danh sách kiểm soát truy cập) hoặc chính sách lưu lượng để xác định các quy tắc phù hợp (ví dụ: khớp cổng UDP 4789 cho VXLAN, loại giao thức 47 cho GRE) và các hành động loại bỏ liên kết. Khi lưu lượng khớp với các quy tắc, chip phần cứng VTEP sẽ tự động loại bỏ các tiêu đề đường hầm được chỉ định (tiêu đề ngoài VXLAN/UDP/IP, nhãn MPLS, v.v.) và chuyển tiếp tải trọng Lớp 2 gốc.
Sự phối hợp cổng phân tán: Trong kiến trúc VXLAN Spine-Leaf, các VTEP vật lý (các nút Leaf) có thể cộng tác với các cổng Layer 3 để hoàn thành việc loại bỏ nhiều lớp. Ví dụ, sau khi các nút Spine chuyển tiếp lưu lượng VXLAN được đóng gói MPLS đến các VTEP Leaf, các VTEP trước tiên sẽ loại bỏ nhãn MPLS, sau đó thực hiện giải mã VXLAN.
Bạn có cần ví dụ cấu hình cho thiết bị VTEP của một nhà cung cấp cụ thể (chẳng hạn như...)Bộ điều phối gói mạng Mylinking™ hỗ trợ VXLAN) để triển khai việc loại bỏ lớp bao bọc đường hầm?
Tình huống ứng dụng thực tế
Hãy xem xét một trung tâm dữ liệu doanh nghiệp lớn triển khai mạng lớp phủ VXLAN với các thiết bị chuyển mạch H3C đóng vai trò là VTEP, hỗ trợ nhiều máy ảo của người thuê. Trung tâm dữ liệu sử dụng MPLS để truyền tải lưu lượng giữa các thiết bị chuyển mạch lõi và VXLAN cho giao tiếp giữa các máy ảo. Ngoài ra, các văn phòng chi nhánh từ xa gửi lưu lượng đến trung tâm dữ liệu thông qua các đường hầm GRE. Để đảm bảo an ninh và khả năng giám sát, doanh nghiệp triển khai một NPB với tính năng Tunnel Encapsulation Stripping giữa mạng lõi và các VTEP.
Khi lưu lượng truy cập đến trung tâm dữ liệu:
(1) NPB trước tiên loại bỏ tiêu đề MPLS khỏi lưu lượng truy cập đến từ mạng lõi và tiêu đề GRE khỏi lưu lượng truy cập của văn phòng chi nhánh.
(2) Đối với lưu lượng VXLAN giữa các VTEP, NPB có thể loại bỏ các tiêu đề VXLAN bên ngoài khi chuyển tiếp lưu lượng đến các công cụ giám sát, cho phép các công cụ kiểm tra lưu lượng VM gốc.
(3) NPB chuyển tiếp lưu lượng đã được xử lý trước (đã loại bỏ tiêu đề) đến VTEP, chỉ cần xử lý việc đóng gói/giải mã VXLAN cho tải trọng gốc. Thiết lập này giảm tải xử lý của VTEP, cho phép phân tích lưu lượng toàn diện và đảm bảo khả năng tương tác liền mạch giữa các phân đoạn MPLS, GRE và VXLAN.
Các VTEP (Transformation Value Process Outsourcing) là xương sống của mạng VXLAN, cho phép ảo hóa có khả năng mở rộng và giao tiếp đa người dùng. Tuy nhiên, sự phức tạp ngày càng tăng của lưu lượng được đóng gói trong các mạng hiện đại đặt ra những thách thức đáng kể đối với hiệu suất VTEP và khả năng hiển thị mạng. Các Network Packet Broker (NPP) với khả năng loại bỏ các tiêu đề đóng gói đường hầm (Tunnel Encapsulation Stripping) giải quyết những thách thức này bằng cách xử lý trước lưu lượng, loại bỏ các tiêu đề khác nhau (VXLAN, VLAN, GRE, GTP, MPLS, IPIP) trước khi nó đến VTEP hoặc các công cụ giám sát. Điều này không chỉ tối ưu hóa hiệu suất VTEP bằng cách giảm chi phí xử lý mà còn tăng cường khả năng hiển thị mạng, củng cố bảo mật và cải thiện khả năng tương tác trong các môi trường không đồng nhất.
Khi các tổ chức tiếp tục áp dụng kiến trúc đám mây gốc và triển khai đám mây lai, sự phối hợp giữa NPB và VTEP sẽ ngày càng trở nên quan trọng. Bằng cách tận dụng chức năng loại bỏ mã hóa đường hầm của NPB, các quản trị viên mạng có thể khai thác tối đa tiềm năng của mạng VXLAN, đảm bảo chúng hoạt động hiệu quả, an toàn và thích ứng với nhu cầu kinh doanh đang phát triển.
Thời gian đăng bài: 09/01/2026
