Im Zeitalter von Cloud Computing und Netzwerkvirtualisierung hat sich VXLAN (Virtual Extensible LAN) zu einer Schlüsseltechnologie für den Aufbau skalierbarer und flexibler Overlay-Netzwerke entwickelt. Kernstück der VXLAN-Architektur ist der VTEP (VXLAN Tunnel Endpoint), eine entscheidende Komponente, die die nahtlose Übertragung von Layer-2-Datenverkehr über Layer-3-Netzwerke ermöglicht. Da der Netzwerkverkehr durch verschiedene Kapselungsprotokolle immer komplexer wird, ist die Rolle von Network Packet Brokern (NPBs) mit Tunnel Encapsulation Stripping-Funktion für die Optimierung des VTEP-Betriebs unverzichtbar geworden. Dieser Blogbeitrag erläutert die Grundlagen von VTEP und dessen Beziehung zu VXLAN und geht anschließend detailliert darauf ein, wie die Tunnel Encapsulation Stripping-Funktion von NPBs die VTEP-Performance und die Netzwerktransparenz verbessert.
VTEP und seine Beziehung zu VXLAN verstehen
Zunächst klären wir die Kernkonzepte: Ein VTEP (VXLAN Tunnel Endpoint) ist eine Netzwerkkomponente, die für das Ein- und Auskapseln von VXLAN-Paketen in einem VXLAN-Overlay-Netzwerk zuständig ist. Er dient als Start- und Endpunkt von VXLAN-Tunneln und fungiert als „Gateway“ zwischen dem virtuellen Overlay-Netzwerk und dem physischen Underlay-Netzwerk. VTEPs können als physische Geräte (z. B. VXLAN-fähige Switches oder Router) oder als Softwarekomponenten (z. B. virtuelle Switches, Container-Hosts oder Proxys auf virtuellen Maschinen) implementiert werden.
Die Beziehung zwischen VTEP und VXLAN ist symbiotisch: VXLAN benötigt VTEPs für seine Kernfunktionen, während VTEPs ausschließlich VXLAN-Operationen unterstützen. Der Hauptvorteil von VXLAN liegt in der Erstellung eines virtuellen Layer-2-Netzwerks auf einem Layer-3-IP-Netzwerk durch MAC-in-UDP-Kapselung. Dadurch werden die Skalierungsbeschränkungen herkömmlicher VLANs (die nur 4096 VLAN-IDs unterstützen) mit einer 24-Bit-VXLAN-Netzwerkkennung (VNI) überwunden, die bis zu 16 Millionen virtuelle Netzwerke ermöglicht. VTEPs funktionieren folgendermaßen: Wenn eine virtuelle Maschine (VM) Datenverkehr sendet, kapselt der lokale VTEP den ursprünglichen Layer-2-Ethernet-Frame ein, indem er einen VXLAN-Header (mit der VNI), einen UDP-Header (standardmäßig über Port 4789), einen äußeren IP-Header (mit der Quell- und Ziel-VTEP-IP) und einen äußeren Ethernet-Header hinzufügt. Das gekapselte Paket wird dann über das Layer-3-Underlay-Netzwerk an den Ziel-VTEP übertragen, der das Paket durch Entfernen aller äußeren Header entkapselt, den ursprünglichen Ethernet-Frame wiederherstellt und ihn anhand der VNI an die Ziel-VM weiterleitet.
Darüber hinaus übernehmen VTEPs wichtige Aufgaben wie das Lernen von MAC-Adressen (dynamische Zuordnung von MAC-Adressen lokaler und entfernter Hosts zu VTEP-IP-Adressen) und die Verarbeitung von Broadcast-, Unknown-Unicast- und Multicast-Datenverkehr (BUM) – entweder über Multicast-Gruppen oder durch Head-End-Replikation im Unicast-Only-Modus. Im Wesentlichen sind VTEPs die Bausteine, die die Netzwerkvirtualisierung und die Mandantenfähigkeit von VXLAN ermöglichen.
Die Herausforderung des gekapselten Datenverkehrs für VTEPs
In modernen Rechenzentrumsumgebungen beschränkt sich der VTEP-Datenverkehr selten auf reine VXLAN-Kapselung. Der durch VTEPs fließende Datenverkehr enthält oft mehrere Schichten von Kapselungsheadern, darunter VLAN, GRE, GTP, MPLS oder IPIP, zusätzlich zu VXLAN. Diese Komplexität der Kapselung stellt erhebliche Herausforderungen für den VTEP-Betrieb und die nachfolgende Netzwerküberwachung, -analyse und Sicherheitsdurchsetzung dar.
○ - Eingeschränkte SichtDie meisten Netzwerküberwachungs- und Sicherheitstools (wie IDS/IPS, Flow-Analysatoren und Paket-Sniffer) sind für die Verarbeitung von nativem Layer-2-/Layer-3-Datenverkehr ausgelegt. Gekapselte Header verschleiern die ursprüngliche Nutzlast, wodurch es diesen Tools unmöglich wird, den Datenverkehr präzise zu analysieren oder Anomalien zu erkennen.
○ - Erhöhter VerarbeitungsaufwandVTEPs selbst müssen zusätzliche Rechenressourcen aufwenden, um mehrschichtig gekapselte Pakete zu verarbeiten, insbesondere in Umgebungen mit hohem Datenverkehr. Dies kann zu erhöhter Latenz, reduziertem Durchsatz und potenziellen Leistungsengpässen führen.
○ - InteroperabilitätsproblemeUnterschiedliche Netzwerksegmente oder Umgebungen mit mehreren Anbietern verwenden möglicherweise unterschiedliche Kapselungsprotokolle. Ohne korrektes Entfernen der Header kann der Datenverkehr beim Durchlaufen von VTEPs (Variable Transfer Exchange Protocols) fehlerhaft weitergeleitet oder verarbeitet werden, was zu Interoperabilitätsproblemen führt.
Wie die Tunnelkapselungs-Entfernung von NPBs VTEPs stärkt
Mylinking™ Network Packet Broker (NPBs) mit Tunnel Encapsulation Stripping-Funktion begegnen diesen Herausforderungen, indem sie als „Traffic-Vorprozessor“ für VTEPs fungieren. NPBs können verschiedene Kapselungs-Header (einschließlich VXLAN, VLAN, GRE, GTP, MPLS und IPIP) aus den ursprünglichen Datenpaketen entfernen, bevor der Datenverkehr an VTEPs oder Überwachungs-/Sicherheitstools weitergeleitet wird. Diese Funktionalität bietet drei wesentliche Vorteile für den VTEP-Betrieb:
1. Verbesserte Netzwerktransparenz und -sicherheit
Durch das Entfernen der Kapselungsheader legen NPBs die ursprüngliche Nutzlast von Paketen offen und ermöglichen so Überwachungs- und Sicherheitstools, den tatsächlichen Datenverkehr zu analysieren. Wenn beispielsweise VTEP-Datenverkehr an ein IDS/IPS weitergeleitet wird, entfernt der NPB zunächst die VXLAN- und MPLS-Header. Dadurch kann das IDS/IPS schädliche Aktivitäten (wie Malware oder unbefugte Zugriffsversuche) im ursprünglichen Frame erkennen. Dies ist besonders wichtig in Multi-Tenant-Umgebungen, in denen VTEPs den Datenverkehr mehrerer Mandanten verarbeiten – NPBs gewährleisten, dass Sicherheitstools den mandantenspezifischen Datenverkehr ohne Beeinträchtigung durch die Kapselung untersuchen können.
Darüber hinaus können NPBs Header basierend auf Verkehrstypen oder VNI selektiv entfernen und so detaillierte Einblicke in spezifische virtuelle Netzwerke ermöglichen. Dies unterstützt Netzwerkadministratoren bei der Fehlerbehebung (z. B. bei Paketverlusten oder Latenz), indem es eine präzise Analyse des Datenverkehrs innerhalb einzelner VXLAN-Segmente ermöglicht.
2. Optimierte VTEP-Leistung
NPBs entlasten VTEPs vom Header-Stripping und reduzieren so den Verarbeitungsaufwand auf den VTEP-Geräten. Anstatt dass VTEPs CPU-Ressourcen für das Entfernen mehrerer Header-Ebenen (z. B. VLAN + GRE + VXLAN) aufwenden, übernehmen NPBs diesen Vorverarbeitungsschritt. Dadurch können sich VTEPs auf ihre Kernaufgaben konzentrieren: die Kapselung/Dekapselung von VXLAN-Paketen und das Tunnelmanagement. Dies führt zu geringerer Latenz, höherem Durchsatz und einer insgesamt verbesserten Leistung des VXLAN-Overlay-Netzwerks – insbesondere in hochdichten Virtualisierungsumgebungen mit Tausenden von VMs und hoher Datenverkehrslast.
In einem Rechenzentrum mit NPBs und Switches, die als VTEPs fungieren, kann beispielsweise ein NPB (wie Mylinking™ Network Packet Broker) VLAN- und MPLS-Header aus dem eingehenden Datenverkehr entfernen, bevor dieser die VTEPs erreicht. Dadurch reduziert sich die Anzahl der Header-Verarbeitungsvorgänge, die die VTEPs durchführen müssen, sodass sie mehr gleichzeitige Tunnel und Datenflüsse verarbeiten können.
3. Verbesserte Interoperabilität in heterogenen Netzwerken
In Netzwerken mit mehreren Anbietern oder Segmenten können verschiedene Infrastrukturteile unterschiedliche Kapselungsprotokolle verwenden. Beispielsweise kann der Datenverkehr eines entfernten Rechenzentrums mit GRE-Kapselung an einem lokalen VTEP eintreffen, während der lokale Datenverkehr VXLAN nutzt. Ein NPB kann diese unterschiedlichen Header (GRE, VXLAN, IPIP usw.) entfernen und einen konsistenten, nativen Datenstrom an den VTEP weiterleiten, wodurch Interoperabilitätsprobleme beseitigt werden. Dies ist besonders in Hybrid-Cloud-Umgebungen von Vorteil, in denen der Datenverkehr von Public-Cloud-Diensten (oft mit GTP- oder IPIP-Kapselung) über VTEPs in lokale VXLAN-Netzwerke integriert werden muss.
Darüber hinaus können NPBs die entfernten Header als Metadaten an Überwachungstools weiterleiten. Dadurch bleibt der Kontext der ursprünglichen Kapselung (z. B. VNI- oder MPLS-Label) erhalten, während gleichzeitig die Analyse der nativen Nutzdaten ermöglicht wird. Dieses ausgewogene Verhältnis zwischen Header-Entfernung und Kontextbewahrung ist entscheidend für ein effektives Netzwerkmanagement.
Wie implementiert man die Tunnelpaket-Stripping-Funktion in VTEP?
Die Tunnelkapselung in VTEP kann durch Hardwarekonfiguration, softwaredefinierte Richtlinien und die Zusammenarbeit mit SDN-Controllern implementiert werden. Die Kernlogik konzentriert sich dabei auf die Identifizierung von Tunnel-Headern, die Durchführung der Kapselungsaktionen und die Weiterleitung der ursprünglichen Nutzdaten. Die konkreten Implementierungsmethoden variieren je nach VTEP-Typ (physisch/Software). Die wichtigsten Ansätze sind:
Nun sprechen wir über die Implementierung auf physikalischen VTEPs (z. B.Mylinking™ VXLAN-fähige Netzwerk-Paketbroker) Hier.
Physische VTEPs (wie z. B. Mylinking™ VXLAN-fähige Netzwerk-Paketbroker) nutzen Hardware-Chips und spezielle Konfigurationsbefehle, um ein effizientes Encapsulation Stripping zu erreichen, das sich für stark frequentierte Rechenzentrumsszenarien eignet:
Schnittstellenbasierte Kapselungsanpassung: Erstellen Sie Subschnittstellen an den physischen Zugriffspunkten von VTEPs und konfigurieren Sie die Kapselungstypen so, dass sie bestimmte Tunnel-Header erkennen und entfernen. Konfigurieren Sie beispielsweise auf Mylinking™ VXLAN-fähigen Netzwerkpaketbrokern Layer-2-Subschnittstellen, um 802.1Q-VLAN-Tags oder ungetaggte Frames zu erkennen und VLAN-Header zu entfernen, bevor der Datenverkehr an den VXLAN-Tunnel weitergeleitet wird. Aktivieren Sie für GRE/MPLS-gekapselten Datenverkehr die entsprechende Protokollanalyse auf der Subschnittstelle, um äußere Header zu entfernen.
Richtlinienbasierte Header-Entfernung: Verwenden Sie eine Zugriffskontrollliste (ACL) oder eine Verkehrsrichtlinie, um Übereinstimmungsregeln zu definieren (z. B. UDP-Port 4789 für VXLAN, Protokolltyp 47 für GRE) und entsprechende Entfernungsaktionen festzulegen. Wenn der Datenverkehr den Regeln entspricht, entfernt der VTEP-Hardwarechip automatisch die angegebenen Tunnel-Header (VXLAN/UDP/IP-Außenheader, MPLS-Labels usw.) und leitet die ursprüngliche Layer-2-Nutzlast weiter.
Synergieeffekte verteilter Gateways: In Spine-Leaf-VXLAN-Architekturen können physische VTEPs (Leaf-Knoten) mit Layer-3-Gateways zusammenarbeiten, um die mehrschichtige Trennung der Datenschichten zu ermöglichen. Nachdem Spine-Knoten beispielsweise MPLS-gekapselten VXLAN-Verkehr an Leaf-VTEPs weitergeleitet haben, entfernen die VTEPs zunächst die MPLS-Labels und führen anschließend die VXLAN-Dekapselung durch.
Benötigen Sie ein Konfigurationsbeispiel für ein VTEP-Gerät eines bestimmten Herstellers (z. B.Mylinking™ VXLAN-fähige Netzwerk-Paketbroker) zur Implementierung des Tunnelkapselungs-Strippings?
Praktisches Anwendungsszenario
Betrachten wir ein großes Rechenzentrum, das ein VXLAN-Overlay-Netzwerk mit H3C-Switches als VTEPs einsetzt und mehrere Tenant-VMs unterstützt. Das Rechenzentrum nutzt MPLS für die Datenübertragung zwischen den Core-Switches und VXLAN für die VM-zu-VM-Kommunikation. Zusätzlich senden entfernte Niederlassungen Daten über GRE-Tunnel an das Rechenzentrum. Um Sicherheit und Transparenz zu gewährleisten, implementiert das Unternehmen einen NPB mit Tunnel Encapsulation Stripping zwischen dem Core-Netzwerk und den VTEPs.
Wenn der Datenverkehr im Rechenzentrum ankommt:
(1) Der NPB entfernt zunächst die MPLS-Header aus dem Datenverkehr, der aus dem Kernnetz kommt, und die GRE-Header aus dem Datenverkehr der Zweigstellen.
(2) Bei VXLAN-Datenverkehr zwischen VTEPs kann der NPB die äußeren VXLAN-Header entfernen, wenn er den Datenverkehr an Überwachungstools weiterleitet, sodass die Tools den ursprünglichen VM-Datenverkehr untersuchen können.
(3) Der NPB leitet den vorverarbeiteten (Header-bereinigten) Datenverkehr an die VTEPs weiter, die lediglich die VXLAN-Kapselung/Dekapselung der nativen Nutzdaten durchführen müssen. Diese Konfiguration reduziert die Verarbeitungslast der VTEPs, ermöglicht eine umfassende Verkehrsanalyse und gewährleistet eine nahtlose Interoperabilität zwischen MPLS-, GRE- und VXLAN-Segmenten.
VTEPs bilden das Rückgrat von VXLAN-Netzwerken und ermöglichen skalierbare Virtualisierung und mandantenfähige Kommunikation. Die zunehmende Komplexität des gekapselten Datenverkehrs in modernen Netzwerken stellt jedoch erhebliche Herausforderungen an die VTEP-Performance und die Netzwerktransparenz. Netzwerk-Paketbroker mit Tunnel Encapsulation Stripping (TES) begegnen diesen Herausforderungen durch die Vorverarbeitung des Datenverkehrs. Dabei werden verschiedene Header (VXLAN, VLAN, GRE, GTP, MPLS, IPIP) entfernt, bevor der Datenverkehr VTEPs oder Überwachungstools erreicht. Dies optimiert nicht nur die VTEP-Performance durch Reduzierung des Verarbeitungsaufwands, sondern verbessert auch die Netzwerktransparenz, erhöht die Sicherheit und optimiert die Interoperabilität in heterogenen Umgebungen.
Da Unternehmen zunehmend Cloud-native Architekturen und Hybrid-Cloud-Lösungen einführen, wird die Synergie zwischen NPBs und VTEPs immer wichtiger. Durch die Nutzung der Tunnelkapselungs-Stripping-Funktion von NPBs können Netzwerkadministratoren das volle Potenzial von VXLAN-Netzwerken ausschöpfen und deren Effizienz, Sicherheit und Anpassungsfähigkeit an sich wandelnde Geschäftsanforderungen gewährleisten.
Veröffentlichungsdatum: 09.01.2026
