网络拓扑和路由
简短摘要
网络围绕三个支柱构建:拓扑,分段,路由。现代工厂是带有ECMP的Leaf-Spine(胖树),用于L2扩展的overlay VXLAN/EVPN和BGP作为"通用胶水"。正确设置的延迟/损失SLO,QoS和快速失败使行为在峰值RPS下可预测。
基本拓扑模型
Core/Distribution/Access(经典)
优点:易于理解,适合小型网络/办公室。
缺点:Core上的"瓶颈",比水平缩放更糟糕。
Leaf-Spine (fat-tree, CLOS)
Spine是干线,Leaf是服务器的环形交换机。
所有Leaf都连接到所有Spine → ECMP和可预测的延迟。
缩放-添加Leaf/Spine而不重构地址计划。
Ring/Mesh/Star
点数使用(PoP,校园)。对于DC-有限。
建议:针对数据中心和主要地点-Leaf-Spine。对于分支机构/办公室-简化的Core/Access+SD-WAN。
分段和地址空间
VLAN-L2分段(广播域)。
VRF-L3分段(多范围,dev/stg/prod)。
IPAM/总和:计划每个服务/区域的'/24'区块,汇总为'/20'及以上,用于简单的路线策略。
双堆栈:IPv4+IPv6,SLAAC/DHCPv6,RA守卫,前缀策略。
Overlay/Underlay: VXLAN/EVPN
Underlay:带有iBGP/OSPF/IS-IS的IP工厂(Leaf-Spine)。
Overlay:VXLAN在L3之上携带L2;EVPN(BGP)是MAC/IP路由的控制平板,通过VNI/VRF具有多重性。
优点:L2拉伸没有STP,快速收敛,集中策略。
- Leaf是具有VTEP-IP背面的VTEP。
- Spine — route-reflector для EVPN.
- EVPN路由类型(MAC/IP,IMET,L3相互作用)提供ARP引导和比例。
路由协议和角色
IGP(域内)
OSPF/IS-IS:快速收敛、简单度量。对underlay有好处。
iBGP:在IGP之上或不在IGP之上(BGP只有fabric),带有route-reflector'ami。
EGP(跨域)
eBGP:与提供商/PSP/CDN同行,社区政策/LP/AS-Path。
Anycast:多个PoP上的IP相同,路由"到最近"(公告上的BGP+健康检查)。
ECMP и fast-failover
ECMP在均等路径之间分配线程。
注意flow-hash (5-tuple),避免静态中框的不对称性。
用于快速切换的BFD/fast-hellos(<1 c)。
路由策略(TE)
LocalPref/Med/AS-Path是aplink的选择。
社区-为差异化解决方桉调低流量(prod/stg、支付PSP、CDN)。
Blackhole/Sinkhole是针对攻击的快速"黑洞"/32。
uRPF/RTBH是与提供商的反欺骗和远程黑洞。
办公室连通性↔ DC/Cloud
SD-WAN:动态链路选择(MPLS/INTERP/LTE),加密,操作前策略。
MPLS L3VPN:站点之间的隔离VRF,确定性延迟。
IPSec/GRE over IPSec/WireGuard:快速启动,但规划MTU/Fragmentation和QoS。
NAT、CGNAT和上线
NAT44/NAT66(很少)和NPTv6。对于支付集成,存储源IP池和白名单。
egress平衡:ECMP后面的多个NAT网关,哈希粘贴。
Hairpin/基于 Policy-Routing-用于DMZ/检查细节。
QoS和流量类
类:real-time (VoIP/exchange fids), interactive (API), bulk (becaps/ETL)。
Marking (DSCP), policing/shaping, LLQ/WRR.
API保护/付款-具有最低延迟保证的专用类;bulk限制在pic中。
路由安全
BGP:提供商的TTL安全,max-prefix,RPKI(路线起源验证)。
IGP:邻居身份验证(HMAC),管理平面隔离(OOB)。
细分:用于"支付","运营商","公共"区域的VRF;VRF之间的ACL仅通过所需的端口。
Anycast服务:降级时健康→ withdraw公告。
可观察性和SLO
SLO(示例)
在数据中心内部: RTT p 95 ≤ 200-300 μ s,损失≤ 0。01%.
跨站点(L3VPN/SD-WAN): RTT p95 ≤ X ms(根据您的配置文件),损失≤ 0。1%.
故障收敛:≤ 1 c (IGP/BFD), ≤ 5 c (eBGP)。
度量
交换机上的"RTT","loss","jitter","ECMP entropy","BFD state","BGP prefixes/changes","CPU/TCAM",填充QoS队列。
Active probing: IP-SLA/SmokePing, QoS per-class。
流量遥测:用于流量和DDoS配置文件的sFlow/NetFlow/IPFIX。
模板(片段)
FRR (BGP underlay + EVPN)
conf router bgp 65000 bgp router-id 10. 0. 0. 1 neighbor SPINE peer-group neighbor SPINE remote-as 65000 neighbor 10. 0. 0. 11 peer-group SPINE neighbor 10. 0. 0. 12 peer-group SPINE
!
address-family l2vpn evpn neighbor SPINE activate advertise-all-vni exit-address-family
!
interface lo ip address 10. 0. 0. 1/32Linux (ECMP egress)
bash ip route add 0. 0. 0. 0/0 \
nexthop via 203. 0. 113. 1 weight 1 \
nexthop via 203. 0. 113. 2 weight 1邻居BFD(思科样式,概念)
bfd interval 50 min_rx 50 multiplier 5 interface Po1 bfd echo ip ospf network point-to-point操作和DR
变更控制:分阶段引入(单个Leaf/Spine),金丝雀单个VNI/VRF。
自动眼镜(auto-withdraw):降级服务-我们召回Anycast-/32。
Runbooks: Spine丢失、EVPN环路关闭、ECMP路径关闭、aplink降解、blackhole插入。
IPAM文档:谁拥有子网/AS,那里的公告是NAT。
实施支票
- 选择拓扑(Leaf-Spine),计算超剪切和胖树宽度。
- IPAM:总和,生长储备,过路后背下的单个块和。
[] Underlay IGP/iBGP, BFD;Overlay EVPN/VXLAN, RR на Spine.- 东西部和南北政策区域的VRF/ACL。
- Egress设计:NAT池,白色PSP/CDN列表,Anycast在需要的地方。
- QoS类和SLO(RTT/loss/jitter),per类监视。
- 检测和保护:RPKI, prefix-filters, uRPF, RTBH。
- 可观察性:BGP变化,BFD,IP-SLA,sFlow;dashbords/alertes。
- DR计划:Spine/link/aplink故障,withdraw Anycast,流量迁移。
典型错误
L2拉伸没有EVPN/VXLAN → STP风暴和不可预测的失败。
没有BFD/fast-hellos →长切换和应用程序定时。
没有汇总的"手动"IP计划→路由表爆炸。
过载ECMP-hash →不对称性和静态过滤器问题。
eBGP上缺乏RPKI/prefix-filters →高峰风险。
QoS"默认"→ API与备份竞争。
没有健康驾驶的Anycast在部分故障的情况下→黑洞。
iGaming/fintech的细节
API/付款的低 p95:专用的QoS类,Anycast-enpoint,DNS/GSLB上的后置路由。
白色PSP/提供商列表:固定的egress-IP,备用池,快速切换。
高峰事件:头部≥ 30%通过Spine↔Leaf链接,手柄关闭散装类。
调节/PII:VRF隔离,e2e加密,区域间严格ACL。
迷你花花公子
1)降解时快速入门Anycast
1.健康检查<阈值→ 2)脚本/控制器删除'/32'公告→ 3)检查外部样本→ 4)稳定时自动返回。
2)将流量转换为备用aplink
1.降级LocalPref主→ 2)在备用→ 3)观察损失/RTT → 4)记录更改。
3)"热"工厂扩建
1.添加Spine,连接所有Leaf → 2)在机架中添加Leaf对→ 3)iBGP/OSPF邻域,ECMP熵检查→ 4)载荷转移。
结果
可持续网络是Leaf-Spine+ECMP,EVPN/VXLAN,用于柔性L2/L3多功能,BGP策略和受指标控制的快速失败。添加熟练的IPAM、QoS、RPKI/过滤器、自动化通信 health→routing和实时运行手册-您的平台即使在最热的时刻也能预测地传输流量。