クラウドコンピューティングとネットワーク仮想化の時代において、VXLAN(Virtual Extensible LAN)は、スケーラブルで柔軟なオーバーレイネットワークを構築するための基盤技術となっています。VXLANアーキテクチャの中核を成すのは、レイヤー2トラフィックをレイヤー3ネットワーク間でシームレスに伝送するための重要なコンポーネントであるVTEP(VXLANトンネルエンドポイント)です。様々なカプセル化プロトコルの登場によりネットワークトラフィックがますます複雑化するにつれ、トンネルカプセル化除去機能を備えたネットワークパケットブローカー(NPB)の役割は、VTEPの運用を最適化する上で不可欠なものとなっています。このブログでは、VTEPの基礎とVXLANとの関係を探り、NPBのトンネルカプセル化除去機能がVTEPのパフォーマンスとネットワークの可視性をどのように向上させるかを詳しく説明します。
VTEPとVXLANの関係を理解する
まず、コアとなる概念を明確にしましょう。VTEP(VXLAN Tunnel Endpoint)は、VXLANオーバーレイネットワークにおいてVXLANパケットのカプセル化とカプセル化解除を担うネットワークエンティティです。VXLANトンネルの始点と終点として機能し、仮想オーバーレイネットワークと物理アンダーレイネットワークを橋渡しする「ゲートウェイ」として機能します。VTEPは、物理デバイス(VXLAN対応スイッチやルーターなど)またはソフトウェアエンティティ(仮想スイッチ、コンテナホスト、仮想マシン上のプロキシなど)として実装できます。
VTEP と VXLAN の関係は本質的に共生的です。VXLAN はコア機能を実現するために VTEP に依存していますが、VTEP は VXLAN 操作をサポートするためだけに存在します。VXLAN の核となる価値は、MAC-in-UDP カプセル化によってレイヤー 3 IP ネットワーク上に仮想レイヤー 2 ネットワークを作成し、最大 1600 万の仮想ネットワークを可能にする 24 ビットの VXLAN ネットワーク識別子 (VNI) を使用して従来の VLAN (4096 の VLAN ID のみをサポート) のスケーラビリティ制限を克服することです。VTEP がこれを実現する仕組みは次のとおりです。仮想マシン (VM) がトラフィックを送信すると、ローカル VTEP が元のレイヤー 2 イーサネット フレームをカプセル化し、VXLAN ヘッダー (VNI を含む)、UDP ヘッダー (デフォルトではポート 4789 を使用)、外部 IP ヘッダー (送信元 VTEP IP と送信先 VTEP IP を含む)、および外部イーサネット ヘッダーを追加します。カプセル化されたパケットは、レイヤー 3 アンダーレイ ネットワークを介して宛先 VTEP に送信され、そこですべての外部ヘッダーが削除されてパケットのカプセル化が解除され、元のイーサネット フレームが復元され、VNI に基づいてターゲット VM に転送されます。
さらに、VTEPは、MACアドレス学習(ローカルおよびリモートホストのMACアドレスをVTEP IPに動的にマッピングする)や、ブロードキャスト、不明ユニキャスト、マルチキャスト(BUM)トラフィックの処理(マルチキャストグループ経由、またはユニキャスト専用モードのヘッドエンドレプリケーション経由)といった重要なタスクも処理します。つまり、VTEPはVXLANのネットワーク仮想化とマルチテナント分離を可能にする構成要素なのです。
VTEPにおけるカプセル化トラフィックの課題
現代のデータセンター環境では、VTEPトラフィックが純粋なVXLANカプセル化に限定されることはほとんどありません。VTEPを通過するトラフィックは、VXLANに加えて、VLAN、GRE、GTP、MPLS、IPIPなど、複数層のカプセル化ヘッダーを伝送することがよくあります。このカプセル化の複雑さは、VTEPの運用、そしてそれに続くネットワーク監視、分析、そしてセキュリティ強化において大きな課題となります。
○ - 視界不良ほとんどのネットワーク監視およびセキュリティツール(IDS/IPS、フローアナライザ、パケットスニファーなど)は、ネイティブのレイヤー2/レイヤー3トラフィックを処理するように設計されています。カプセル化されたヘッダーは元のペイロードを隠蔽するため、これらのツールはトラフィックの内容を正確に分析したり、異常を検出したりすることができません。
○ - 処理オーバーヘッドの増加: VTEP自体は、特に高トラフィック環境において、多層カプセル化パケットを処理するために追加のコンピューティングリソースを消費する必要があります。これにより、レイテンシの増加、スループットの低下、そして潜在的なパフォーマンスボトルネックが発生する可能性があります。
○ - 相互運用性の問題: 異なるネットワークセグメントやマルチベンダー環境では、異なるカプセル化プロトコルが使用される場合があります。適切なヘッダー除去が行われないと、トラフィックがVTEPを通過する際に正しく転送または処理されず、相互運用性の問題が発生する可能性があります。
NPBのトンネルカプセル化剥離がVTEPに力を与える方法
Mylinking™ネットワークパケットブローカー(NPB)は、トンネルカプセル化除去機能を備え、VTEPの「トラフィックプリプロセッサ」として機能することで、これらの課題に対処します。NPBは、トラフィックをVTEPまたは監視/セキュリティツールに転送する前に、元のデータパケットから様々なカプセル化ヘッダー(VXLAN、VLAN、GRE、GTP、MPLS、IPIPなど)を除去することができます。この機能は、VTEP運用に3つの重要なメリットをもたらします。
1. ネットワークの可視性とセキュリティの強化
NPBはカプセル化ヘッダーを削除することでパケットの元のペイロードを露出させ、監視ツールやセキュリティツールが実際のトラフィックの内容を「確認」できるようにします。例えば、VTEPトラフィックがIDS/IPSに転送されると、NPBはまずVXLANおよびMPLSヘッダーを削除し、IDS/IPSが元のフレーム内の悪意のあるアクティビティ(マルウェアや不正アクセスの試みなど)を検出できるようにします。これは、VTEPが複数のテナントからのトラフィックを処理するマルチテナント環境では特に重要です。NPBは、セキュリティツールがカプセル化によって妨げられることなく、テナント固有のトラフィックを検査できるようにします。
さらに、NPBはトラフィックの種類やVNIに基づいてヘッダーを選択的に除去できるため、特定の仮想ネットワークをきめ細かく可視化できます。これにより、ネットワーク管理者は個々のVXLANセグメント内のトラフィックを正確に分析できるため、パケットロスやレイテンシなどの問題のトラブルシューティングに役立ちます。
2. 最適化されたVTEPパフォーマンス
NPBはVTEPからヘッダー除去タスクをオフロードし、VTEPデバイスの処理オーバーヘッドを削減します。VTEPが複数層のヘッダー(例:VLAN + GRE + VXLAN)の除去にCPUリソースを費やす代わりに、NPBがこの前処理ステップを処理することで、VTEPはVXLANパケットのカプセル化/カプセル化解除とトンネル管理というコア業務に集中できます。これにより、レイテンシの低減、スループットの向上、そしてVXLANオーバーレイネットワーク全体のパフォーマンス向上が実現します。これは、特に数千台のVMと高負荷のトラフィックを伴う高密度仮想化環境において顕著です。
例えば、NPBとVTEPとして機能するスイッチを備えたデータセンターでは、NPB(Mylinking™ Network Packet Brokersなど)が、VTEPに到達する前に受信トラフィックからVLANおよびMPLSヘッダーを取り除くことができます。これにより、VTEPが実行する必要があるヘッダー処理の回数が削減され、より多くの同時トンネルとトラフィックフローを処理できるようになります。
3. 異機種ネットワーク間の相互運用性の向上
マルチベンダーまたはマルチセグメントのネットワークでは、インフラストラクチャの異なる部分で異なるカプセル化プロトコルが使用される場合があります。例えば、リモートデータセンターからのトラフィックはGREカプセル化でローカルVTEPに到達し、ローカルトラフィックはVXLANを使用する場合があります。NPBは、これらの多様なヘッダー(GRE、VXLAN、IPIPなど)を取り除き、一貫性のあるネイティブトラフィックストリームをVTEPに転送することで、相互運用性の問題を排除します。これは、パブリッククラウドサービス(多くの場合、GTPまたはIPIPカプセル化を使用)からのトラフィックをVTEP経由でオンプレミスのVXLANネットワークに統合する必要があるハイブリッドクラウド環境で特に有効です。
さらに、NPBは削除されたヘッダーをメタデータとして監視ツールに転送できるため、管理者は元のカプセル化に関するコンテキスト(VNIやMPLSラベルなど)を保持しながら、ネイティブペイロードの分析も行うことができます。ヘッダー削除とコンテキスト保持のこのバランスは、効果的なネットワーク管理の鍵となります。
VTEP でトンネル パッケージ ストリッピング機能を実装するにはどうすればよいですか?
VTEPにおけるトンネルカプセル化ストリッピングは、ハードウェアレベルの設定、ソフトウェア定義ポリシー、そしてSDNコントローラとの連携によって実装できます。コアロジックは、トンネルヘッダーの識別 → ストリッピングアクションの実行 → 元のペイロードの転送に重点を置きます。具体的な実装方法はVTEPの種類(物理/ソフトウェア)によって若干異なりますが、主なアプローチは以下のとおりです。
さて、ここでは物理的なVTEP(例えば、Mylinking™ VXLAN対応ネットワークパケットブローカー) ここ。
物理 VTEP (Mylinking™ VXLAN 対応ネットワーク パケット ブローカーなど) は、ハードウェア チップと専用の構成コマンドを使用して、効率的なカプセル化ストリッピングを実現し、トラフィック量の多いデータ センターのシナリオに適しています。
インターフェースベースのカプセル化マッチング:VTEPの物理アクセスポートにサブインターフェースを作成し、特定のトンネルヘッダーをマッチングおよび除去するカプセル化タイプを設定します。例えば、Mylinking™ VXLAN対応ネットワークパケットブローカーでは、レイヤー2サブインターフェースが802.1Q VLANタグまたはタグなしフレームを認識するように設定し、トラフィックをVXLANトンネルに転送する前にVLANヘッダーを除去します。GRE/MPLSカプセル化トラフィックの場合は、サブインターフェースで対応するプロトコル解析を有効にして外部ヘッダーを除去します。
ポリシーベースのヘッダー除去:ACL(アクセス制御リスト)またはトラフィックポリシーを使用して、マッチングルール(例:VXLANの場合はUDPポート4789、GREの場合はプロトコルタイプ47)とバインド除去アクションを定義します。トラフィックがルールに一致すると、VTEPハードウェアチップは指定されたトンネルヘッダー(VXLAN/UDP/IP外部ヘッダー、MPLSラベルなど)を自動的に除去し、元のレイヤ2ペイロードを転送します。
分散ゲートウェイの相乗効果:スパイン/リーフVXLANアーキテクチャでは、物理VTEP(リーフノード)がレイヤー3ゲートウェイと連携して、マルチレイヤのストリッピングを実行できます。例えば、スパインノードがMPLSカプセル化されたVXLANトラフィックをリーフVTEPに転送した後、VTEPはまずMPLSラベルをストリッピングし、次にVXLANのカプセル化解除を実行します。
特定のベンダーのVTEPデバイス(例えば、Mylinking™ VXLAN対応ネットワークパケットブローカー) を使用してトンネルのカプセル化除去を実装しますか?
実用化シナリオ
大規模エンタープライズデータセンターが、H3CスイッチをVTEPとしてVXLANオーバーレイネットワークを導入し、複数のテナントVMをサポートしている状況を想定すると、データセンターではコアスイッチ間のトラフィック転送にMPLSを使用し、VM間通信にはVXLANを使用しています。さらに、リモートブランチオフィスからはGREトンネル経由でデータセンターへのトラフィックが送信されます。セキュリティと可視性を確保するため、コアネットワークとVTEPの間にトンネルカプセル化ストリッピング機能を備えたNPBを導入しています。
トラフィックがデータセンターに到着すると:
(1)NPBはまずコアネットワークからのトラフィックからMPLSヘッダーを取り除き、ブランチオフィスのトラフィックからGREヘッダーを取り除きます。
(2)VTEP間のVXLANトラフィックについては、NPBはトラフィックを監視ツールに転送する際に外側のVXLANヘッダーを削除し、監視ツールが元のVMトラフィックを検査できるようにします。
(3) NPBは前処理済み(ヘッダー除去済み)のトラフィックをVTEPに転送します。VTEPはネイティブペイロードのVXLANカプセル化/デカプセル化のみを処理します。この設定により、VTEPの処理負荷が軽減され、包括的なトラフィック分析が可能になり、MPLS、GRE、VXLANセグメント間のシームレスな相互運用性が確保されます。
VTEPはVXLANネットワークのバックボーンであり、スケーラブルな仮想化とマルチテナント通信を実現します。しかしながら、現代のネットワークではカプセル化されたトラフィックの複雑さが増しており、VTEPのパフォーマンスとネットワークの可視性に大きな課題が生じています。トンネルカプセル化ストリッピング機能を備えたネットワークパケットブローカーは、トラフィックを前処理し、VTEPまたは監視ツールに到達する前に様々なヘッダー(VXLAN、VLAN、GRE、GTP、MPLS、IPIP)をストリッピングすることで、これらの課題に対処します。これにより、処理オーバーヘッドが削減され、VTEPのパフォーマンスが最適化されるだけでなく、ネットワークの可視性が向上し、セキュリティが強化され、異機種環境間の相互運用性も向上します。
組織がクラウドネイティブアーキテクチャとハイブリッドクラウドの導入を進めるにつれ、NPBとVTEPの相乗効果はますます重要になります。NPBのトンネルカプセル化除去機能を活用することで、ネットワーク管理者はVXLANネットワークの潜在能力を最大限に引き出し、効率性、セキュリティ、そして進化するビジネスニーズへの適応性を確保できます。
投稿日時: 2026年1月9日
