في عصر الحوسبة السحابية وتقنية المحاكاة الافتراضية للشبكات، أصبحت تقنية VXLAN (الشبكة المحلية الافتراضية القابلة للتوسيع) حجر الزاوية في بناء شبكات تراكبية مرنة وقابلة للتوسع. ويُعدّ VTEP (نقطة نهاية نفق VXLAN) جوهر بنية VXLAN، وهو عنصر بالغ الأهمية يُتيح نقل بيانات الطبقة الثانية بسلاسة عبر شبكات الطبقة الثالثة. ومع ازدياد تعقيد حركة مرور الشبكة وتعدد بروتوكولات التغليف، بات دور وسطاء حزم الشبكة (NPBs) المزودين بقدرات تجريد تغليف النفق لا غنى عنه في تحسين عمليات VTEP. تستكشف هذه المدونة أساسيات VTEP وعلاقتها بـ VXLAN، ثم تتعمق في كيفية تعزيز وظيفة تجريد تغليف النفق في NPBs لأداء VTEP ووضوح الشبكة.
فهم VTEP وعلاقته بـ VXLAN
لنبدأ بتوضيح المفاهيم الأساسية: VTEP، اختصارًا لـ VXLAN Tunnel Endpoint، هو كيان شبكي مسؤول عن تغليف وفك تغليف حزم VXLAN في شبكة VXLAN فوقية. وهو بمثابة نقطة بداية ونهاية لأنفاق VXLAN، ويعمل كبوابة تربط بين الشبكة الفوقية الافتراضية والشبكة الأساسية المادية. يمكن تنفيذ VTEPs كأجهزة مادية (مثل المحولات أو أجهزة التوجيه التي تدعم VXLAN) أو ككيانات برمجية (مثل المحولات الافتراضية، أو مضيفات الحاويات، أو الوكلاء على الأجهزة الافتراضية).
العلاقة بين VTEP وVXLAN علاقة تكافلية جوهرية؛ إذ يعتمد VXLAN على VTEPs لتحقيق وظائفه الأساسية، بينما يقتصر دور VTEPs على دعم عمليات VXLAN. تكمن القيمة الأساسية لـ VXLAN في إنشاء شبكة افتراضية من الطبقة الثانية فوق شبكة IP من الطبقة الثالثة عبر تغليف MAC-in-UDP، متجاوزًا بذلك قيود قابلية التوسع في شبكات VLAN التقليدية (التي تدعم 4096 معرّف VLAN فقط) باستخدام معرّف شبكة VXLAN (VNI) ذي 24 بت، والذي يُمكّن من إنشاء ما يصل إلى 16 مليون شبكة افتراضية. إليك كيفية تمكين VTEPs لذلك: عندما تُرسل آلة افتراضية (VM) بيانات، يقوم VTEP المحلي بتغليف إطار إيثرنت الأصلي من الطبقة الثانية بإضافة رأس VXLAN (يحتوي على VNI)، ورأس UDP (باستخدام المنفذ 4789 افتراضيًا)، ورأس IP خارجي (يحتوي على عنوان IP الخاص بـ VTEP المصدر وعنوان IP الخاص بـ VTEP الوجهة)، ورأس إيثرنت خارجي. ثم يتم إرسال الحزمة المغلفة عبر شبكة الطبقة 3 الأساسية إلى نقطة نهاية النفق الافتراضية (VTEP) الوجهة، والتي تقوم بفك تغليف الحزمة عن طريق إزالة جميع الرؤوس الخارجية، واستعادة إطار الإيثرنت الأصلي، وإعادة توجيهه إلى الجهاز الظاهري المستهدف بناءً على VNI.
بالإضافة إلى ذلك، تتولى نقاط نهاية النفق الافتراضية (VTEPs) مهامًا بالغة الأهمية، مثل تعلم عناوين MAC (ربط عناوين MAC للأجهزة المحلية والبعيدة بعناوين IP الخاصة بنقاط نهاية النفق الافتراضية بشكل ديناميكي)، ومعالجة حركة مرور البث، والبث الأحادي غير المعروف، والبث المتعدد (BUM)، سواءً من خلال مجموعات البث المتعدد أو تكرار الطرفية في وضع البث الأحادي فقط. باختصار، تُعد نقاط نهاية النفق الافتراضية اللبنات الأساسية التي تُمكّن تقنية VXLAN من محاكاة الشبكة وعزل المستخدمين المتعددين.
تحديات تغليف حركة البيانات لنقاط نهاية النفق الافتراضية
في بيئات مراكز البيانات الحديثة، نادرًا ما يقتصر مرور البيانات عبر نقاط نهاية النفق الافتراضية (VTEP) على تغليف VXLAN فقط. غالبًا ما يحمل المرور عبر هذه النقاط طبقات متعددة من رؤوس التغليف، بما في ذلك VLAN وGRE وGTP وMPLS وIPIP، بالإضافة إلى VXLAN. يُشكّل هذا التعقيد في التغليف تحديات كبيرة لعمليات نقاط نهاية النفق الافتراضية وما يتبعها من مراقبة الشبكة وتحليلها وتطبيق إجراءات الأمان.
○ - انخفاض مستوى الرؤيةمعظم أدوات مراقبة الشبكات وأمنها (مثل أنظمة كشف ومنع التسلل، ومحللات التدفق، وأدوات تحليل حزم البيانات) مصممة لمعالجة حركة مرور الطبقة الثانية/الثالثة الأصلية. تعمل الرؤوس المغلفة على إخفاء الحمولة الأصلية، مما يجعل من المستحيل على هذه الأدوات تحليل محتوى حركة المرور بدقة أو اكتشاف أي شذوذ.
○ - زيادة في تكاليف المعالجةيتعين على نقاط نهاية النفق الافتراضية (VTEPs) نفسها استهلاك موارد حاسوبية إضافية لمعالجة الحزم المغلفة متعددة الطبقات، لا سيما في بيئات ذات حركة مرور عالية. وقد يؤدي ذلك إلى زيادة زمن الاستجابة، وانخفاض الإنتاجية، واحتمالية حدوث اختناقات في الأداء.
○ - مشاكل قابلية التشغيل البينيقد تستخدم قطاعات الشبكة المختلفة أو بيئات الموردين المتعددين بروتوكولات تغليف مختلفة. وبدون إزالة الرؤوس بشكل صحيح، قد لا يتم توجيه حركة البيانات أو معالجتها بشكل صحيح عند مرورها عبر نقاط نهاية النفق الافتراضية (VTEPs)، مما يؤدي إلى مشاكل في التوافق التشغيلي.
كيف يُعزز تجريد تغليف الأنفاق من قبل NPBs قدرات VTEPs
تُعالج وسطاء حزم الشبكة (NPBs) من Mylinking™، المزودة بإمكانيات تجريد تغليف النفق، هذه التحديات من خلال العمل كمعالج مسبق لحركة البيانات لنقاط نهاية النفق الافتراضية (VTEPs). تستطيع NPBs تجريد رؤوس التغليف المختلفة (بما في ذلك VXLAN وVLAN وGRE وGTP وMPLS وIPIP) من حزم البيانات الأصلية قبل إعادة توجيه حركة البيانات إلى VTEPs أو أدوات المراقبة/الأمان. توفر هذه الوظيفة ثلاث مزايا رئيسية لعمليات VTEP:
1. تحسين رؤية الشبكة وأمانها
من خلال إزالة رؤوس التغليف، تكشف واجهات الشبكة غير المتوازية (NPBs) عن حمولة الحزم الأصلية، مما يُمكّن أدوات المراقبة والأمان من رؤية محتوى حركة البيانات الفعلي. على سبيل المثال، عند إعادة توجيه حركة بيانات VTEP إلى نظام كشف ومنع التسلل (IDS/IPS)، تقوم واجهة الشبكة غير المتوازية أولاً بإزالة رؤوس VXLAN وMPLS، مما يسمح لنظام كشف ومنع التسلل باكتشاف الأنشطة الضارة (مثل البرامج الضارة أو محاولات الوصول غير المصرح بها) في الإطار الأصلي. يُعد هذا الأمر بالغ الأهمية في بيئات متعددة المستأجرين حيث تتعامل واجهات الشبكة غير المتوازية مع حركة البيانات من عدة مستأجرين، إذ تضمن واجهات الشبكة غير المتوازية قدرة أدوات الأمان على فحص حركة البيانات الخاصة بكل مستأجر دون أن يعيقها التغليف.
علاوة على ذلك، يمكن لوحدات معالجة الشبكة (NPBs) إزالة رؤوس البيانات بشكل انتقائي بناءً على أنواع حركة البيانات أو معرف الشبكة الافتراضية (VNI)، مما يوفر رؤية دقيقة للشبكات الافتراضية المحددة. يساعد هذا مسؤولي الشبكة على استكشاف المشكلات وإصلاحها (مثل فقدان الحزم أو زمن الاستجابة) من خلال تمكين التحليل الدقيق لحركة البيانات داخل قطاعات VXLAN الفردية.
2. تحسين أداء VTEP
تُخفف وحدات معالجة الشبكة (NPBs) عبء إزالة رؤوس الحزم من أجهزة نقاط نهاية النفق الافتراضية (VTEPs)، مما يقلل من الحمل الزائد على هذه الأجهزة. فبدلاً من أن تُهدر أجهزة VTEPs موارد وحدة المعالجة المركزية في إزالة طبقات متعددة من الرؤوس (مثل VLAN + GRE + VXLAN)، تتولى وحدات NPBs هذه الخطوة التمهيدية، مما يسمح لأجهزة VTEPs بالتركيز على مهامها الأساسية: تغليف/فك تغليف حزم VXLAN وإدارة الأنفاق. وينتج عن ذلك انخفاض في زمن الاستجابة، وزيادة في الإنتاجية، وتحسين الأداء العام لشبكة VXLAN المتراكبة، لا سيما في بيئات المحاكاة الافتراضية عالية الكثافة التي تضم آلاف الأجهزة الافتراضية وأحمال مرور كثيفة.
على سبيل المثال، في مركز بيانات يستخدم وسطاء حزم الشبكة (NPBs) والمحولات كنقاط نهاية نفق افتراضية (VTEPs)، يمكن لوسيط حزم الشبكة (مثل Mylinking™ Network Packet Brokers) إزالة رؤوس VLAN وMPLS من حركة البيانات الواردة قبل وصولها إلى نقاط نهاية النفق الافتراضية. هذا يقلل من عدد عمليات معالجة الرؤوس التي تحتاجها نقاط نهاية النفق الافتراضية، مما يُمكّنها من التعامل مع المزيد من الأنفاق وتدفقات البيانات المتزامنة.
3. تحسين قابلية التشغيل البيني عبر الشبكات غير المتجانسة
في الشبكات متعددة الموردين أو متعددة القطاعات، قد تستخدم أجزاء مختلفة من البنية التحتية بروتوكولات تغليف مختلفة. على سبيل المثال، قد تصل حركة البيانات من مركز بيانات بعيد إلى نقطة نهاية النفق الافتراضية (VTEP) المحلية باستخدام تغليف GRE، بينما تستخدم حركة البيانات المحلية بروتوكول VXLAN. يمكن لـ NPB إزالة هذه الرؤوس المتنوعة (GRE، VXLAN، IPIP، إلخ) وإعادة توجيه تدفق بيانات أصلي ومتسق إلى VTEP، مما يزيل مشكلات التوافق. يُعد هذا الأمر ذا قيمة خاصة في بيئات الحوسبة السحابية الهجينة، حيث تحتاج حركة البيانات من خدمات الحوسبة السحابية العامة (التي غالبًا ما تستخدم تغليف GTP أو IPIP) إلى التكامل مع شبكات VXLAN المحلية عبر نقاط نهاية النفق الافتراضية (VTEPs).
بالإضافة إلى ذلك، يمكن لـ NPBs إعادة توجيه الرؤوس المُزالة كبيانات وصفية إلى أدوات المراقبة، مما يضمن احتفاظ المسؤولين بسياق التغليف الأصلي (مثل VNI أو تسمية MPLS) مع تمكين تحليل الحمولة الأصلية. يُعد هذا التوازن بين إزالة الرؤوس والحفاظ على السياق أساسيًا لإدارة الشبكة بفعالية.
كيفية تنفيذ وظيفة تجريد حزم النفق في VTEP؟
يمكن تنفيذ عملية إزالة تغليف النفق في VTEP من خلال تهيئة على مستوى الأجهزة، وسياسات مُعرّفة برمجياً، والتكامل مع وحدات تحكم SDN، حيث يركز المنطق الأساسي على تحديد رؤوس الأنفاق، ثم تنفيذ عمليات الإزالة، ثم إعادة توجيه البيانات الأصلية. تختلف طرق التنفيذ المحددة قليلاً بناءً على أنواع VTEP (مادية/برمجية)، وفيما يلي أهم المناهج:
الآن، نتحدث عن التنفيذ على نقاط نهاية النفق الافتراضية المادية (على سبيل المثال،وسطاء حزم الشبكة Mylinking™ القادرون على VXLAN) هنا.
تعتمد نقاط نهاية التغليف الافتراضية المادية (مثل وسطاء حزم الشبكة Mylinking™ القادرين على VXLAN) على رقائق الأجهزة وأوامر التكوين المخصصة لتحقيق تجريد فعال للتغليف، وهو أمر مناسب لسيناريوهات مراكز البيانات ذات حركة المرور العالية:
مطابقة التغليف القائمة على الواجهة: أنشئ واجهات فرعية على منافذ الوصول المادية لنقاط نهاية نفق VXLAN (VTEPs)، وقم بتهيئة أنواع التغليف لمطابقة رؤوس الأنفاق المحددة وإزالتها. على سبيل المثال، في وسطاء حزم الشبكة Mylinking™ الذين يدعمون VXLAN، قم بتهيئة الواجهات الفرعية من الطبقة الثانية للتعرف على علامات VLAN 802.1Q أو الإطارات غير الموسومة، وإزالة رؤوس VLAN قبل توجيه حركة البيانات إلى نفق VXLAN. بالنسبة لحركة البيانات المغلفة ببروتوكول GRE/MPLS، فعّل تحليل البروتوكول المناسب على الواجهة الفرعية لإزالة الرؤوس الخارجية.
إزالة رؤوس الحزم بناءً على السياسات: استخدم قائمة التحكم بالوصول (ACL) أو سياسة حركة البيانات لتحديد قواعد المطابقة (مثل مطابقة منفذ UDP 4789 لـ VXLAN، ونوع البروتوكول 47 لـ GRE) وربط إجراءات إزالة الرؤوس. عندما تتطابق حركة البيانات مع القواعد، تقوم شريحة VTEP تلقائيًا بإزالة رؤوس النفق المحددة (رؤوس VXLAN/UDP/IP الخارجية، وعلامات MPLS، وما إلى ذلك) وإعادة توجيه حمولة الطبقة الثانية الأصلية.
التآزر بين البوابات الموزعة: في بنى VXLAN ذات البنية العمودية-الورقية، يمكن لبوابات VXLAN الطرفية المادية (العقد الورقية) التعاون مع بوابات الطبقة الثالثة لإتمام عملية إزالة طبقات متعددة. على سبيل المثال، بعد أن تقوم العقد العمودية بتوجيه حركة مرور VXLAN المغلفة ببروتوكول MPLS إلى بوابات VXLAN الطرفية الورقية، تقوم هذه البوابات أولاً بإزالة علامات MPLS، ثم تقوم بفك تغليف VXLAN.
هل تحتاج إلى مثال لتكوين جهاز VTEP خاص بمورد معين (مثلوسطاء حزم الشبكة Mylinking™ القادرون على VXLAN) لتنفيذ عملية إزالة تغليف النفق؟
سيناريو التطبيق العملي
لنفترض وجود مركز بيانات مؤسسي ضخم يستخدم شبكة VXLAN متراكبة مع محولات H3C كنقاط نهاية نفق افتراضية (VTEPs)، ويدعم عدة أجهزة افتراضية تابعة لمستأجرين مختلفين. يستخدم مركز البيانات بروتوكول MPLS لنقل البيانات بين المحولات الأساسية، وVXLAN للتواصل بين الأجهزة الافتراضية. بالإضافة إلى ذلك، ترسل الفروع البعيدة البيانات إلى مركز البيانات عبر أنفاق GRE. ولضمان الأمان والشفافية، تستخدم المؤسسة بروتوكول NPB مع تقنية فصل تغليف النفق (Tunnel Encapsulation Stripping) بين الشبكة الأساسية ونقاط نهاية النفق الافتراضية (VTEPs).
عند وصول حركة البيانات إلى مركز البيانات:
(1) يقوم NPB أولاً بإزالة رؤوس MPLS من حركة المرور القادمة من الشبكة الأساسية ورؤوس GRE من حركة مرور المكتب الفرعي.
(2) بالنسبة لحركة مرور VXLAN بين VTEPs، يمكن لـ NPB إزالة رؤوس VXLAN الخارجية عند إعادة توجيه حركة المرور إلى أدوات المراقبة، مما يسمح للأدوات بفحص حركة مرور VM الأصلية.
(3) يقوم جهاز توجيه الشبكة (NPB) بإعادة توجيه حركة البيانات المُعالجة مسبقًا (بعد إزالة الرؤوس) إلى نقاط نهاية نفق VXLAN (VTEPs)، والتي لا تحتاج إلا إلى معالجة تغليف/فك تغليف VXLAN للحمولة الأصلية. يقلل هذا الإعداد من عبء المعالجة على نقاط نهاية نفق VXLAN، ويتيح تحليلًا شاملًا لحركة البيانات، ويضمن التوافق السلس بين قطاعات MPLS وGRE وVXLAN.
تُعدّ نقاط نهاية تغليف النفق (VTEPs) العمود الفقري لشبكات VXLAN، إذ تُمكّن من التوسع الافتراضي والتواصل بين عدة مستخدمين. مع ذلك، يُشكّل تزايد تعقيد حركة البيانات المُغلّفة في الشبكات الحديثة تحديات كبيرة لأداء نقاط نهاية تغليف النفق ورؤية الشبكة. تعالج وسطاء حزم الشبكة المزودة بإمكانيات تجريد تغليف النفق هذه التحديات من خلال المعالجة المسبقة لحركة البيانات، وتجريد رؤوس البيانات المختلفة (VXLAN، VLAN، GRE، GTP، MPLS، IPIP) قبل وصولها إلى نقاط نهاية تغليف النفق أو أدوات المراقبة. لا يُحسّن هذا أداء نقاط نهاية تغليف النفق فحسب، بل يُعزّز أيضًا رؤية الشبكة، ويُقوّي الأمان، ويُحسّن قابلية التشغيل البيني عبر بيئات غير متجانسة.
مع استمرار المؤسسات في تبني بنى الحوسبة السحابية الأصلية ونشر السحابة الهجينة، ستزداد أهمية التكامل بين NPBs وVTEPs. فمن خلال الاستفادة من وظيفة إزالة تغليف النفق في NPBs، يستطيع مديرو الشبكات إطلاق العنان للإمكانات الكاملة لشبكات VXLAN، مما يضمن كفاءتها وأمانها وقابليتها للتكيف مع احتياجات الأعمال المتغيرة.
تاريخ النشر: 9 يناير 2026
