Netzwerktopologie und Routen
Kurze Zusammenfassung
Das Netzwerk basiert auf drei Säulen: Topologie, Segmentierung, Routing. Die moderne Fabrik ist Leaf-Spine (fat-tree) mit ECMP, Overlay VXLAN/EVPN für L2-Erweiterungen und BGP als „Universalkleber“. Richtig eingestellte SLOs für Latenz/Verlust, QoS und Fast-Failover machen das Verhalten unter Spitzen-RPS vorhersehbar.
Grundlegende Topologiemodelle
Core/Distribution/Access (klassisch)
Vorteile: Verständlichkeit, gut für kleine Netzwerke/Büros.
Nachteile: "Flaschenhals' auf Core, schlechter horizontale Skalierung.
Leaf-Spine (fat-tree, CLOS)
Spine ist das Backbone, Leaf sind die Torschalter für die Server.
Alle Leaf sind mit allen Spine → ECMP und vorhersehbare Latenz verbunden.
Skalierung - Hinzufügen von Leaf/Spine ohne Refactoring des Adressplans.
Ring/Mesh/Star
Punktweise eingesetzt (PoP, Campus). Für DC ist es begrenzt.
Empfehlung: für Rechenzentren und große Standorte - Leaf-Spine. Für Zweigstellen/Büros - vereinfachtes Core/Access + SD-WAN.
Segmentierung und Adressraum
VLAN - L2-Segmentierung (Broadcast-Domains).
VRF - L3 Segmentierung (Multi-Leasing, dev/stg/prod).
IPAM/Summarisierung: Planen Sie '/24 '-Blöcke pro Service/Zone, aggregieren Sie '/20' und höher für einfache Routing-Richtlinien.
Dual-Stack: IPv4 + IPv6, SLAAC/DHCPv6, RA-Guards, Präfix-Richtlinien.
Overlay/Underlay: VXLAN/EVPN
Underlay: IP-Factory (Leaf-Spine) mit iBGP/OSPF/IS-IS.
Overlay: VXLAN überträgt L2 über L3; EVPN (BGP) - Control-Plain für MAC/IP-Routing, Multi-Tenant über VNI/VRF.
Vorteile: L2-Dehnung ohne STP, schnelle Konvergenz, zentralisierte Richtlinien.
- Leaf - VTEP mit Loopback für VTEP-IP.
- Spine — route-reflector для EVPN.
- EVPN-Routentypen (MAC/IP, IMET, L3-Interaktion) bieten ARP-Supression und Skalierung.
Routingprotokolle und Rollen
IGP (innerhalb der Domäne)
OSPF/IS-IS: schnelle Konvergenz, einfache Metrisierung. Gut für Underlay.
iBGP: mit oder ohne IGP (BGP-only fabric) mit route-reflector ™.
EGP (domänenübergreifend)
eBGP: peering with providers/PSP/CDN, policies on communities/LP/AS-Path.
Anycast: gleiche IP auf mehreren PoPs, Routing „zum nächsten“ (BGP + Health-Check auf Ankündigungen).
ECMP и fast-failover
Das ECMP verteilt die Ströme auf gleichgestellte Pfade.
Achten Sie auf Flow-Hash (5-Tuple), vermeiden Sie Asymmetrien für stateful Middlebox' s.
BFD/fast-hellos für schnelle Schaltungen (<1s).
Routing-Richtlinien (TE)
LocalPref/Med/AS-Path - Auswahl von Aplinkas.
Communities - Markieren Sie den Verkehr (prod/stg, payment PSP, CDN) für differenzierte Lösungen.
Blackhole/Sinkhole ist ein schnelles „Schwarzes Loch “/32 auf Angriffe.
uRPF/RTBH - Anti-Spoofing und ein entferntes schwarzes Loch mit einem Anbieter.
Konnektivität Büros ↔ DC/Cloud
SD-WAN: dynamische Kanalauswahl (MPLS/INTERNET/LTE), Verschlüsselung, Per-App-Richtlinien.
MPLS L3VPN: isolierte VRFs zwischen Standorten, deterministische Verzögerung.
IPSec/GRE über IPSec/WireGuard: Schneller Start, aber MTU/Fragmentation und QoS planen.
NAT, CGNAT und Online
NAT44/NAT66 (selten) und NPTv6. Speichern Sie für Zahlungsintegrationen die Quelle von IP-Pools und Whitelists.
egress-balance: mehrere NAT-Gateways hinter ECMP, sticky per hash.
Hairpin/Policy-Based Routing - für die Besonderheiten der DMZ/Inspektion.
QoS und Verkehrsklassen
Klassen: Echtzeit (VoIP/Exchange Feed), interaktiv (API), Bulk (Backups/ETL).
Marking (DSCP), policing/shaping, LLQ/WRR.
API-Schutz/Zahlungen - dedizierte Klasse mit minimaler Latenzgarantie; bulk begrenzen in peaks.
Routing-Sicherheit
BGP: TTL-Sicherheit, Max-Prefix, RPKI (Route-Origin-Validierung), Prefix-Filter beim Anbieter.
IGP: Neighbor Authentication (HMAC), Isolation der Management-Ebene (OOB).
Segmentierung: VRF für „Zahlungs-“, „Betreiber-“, „öffentliche“ Bereiche; ACL zwischen VRF nur für die gewünschten Ports.
Anycast-Dienste: health → withdraw Ankündigung, wenn degradiert.
Beobachtbarkeit und SLO
SLO (Beispiele)
Innerhalb des Rechenzentrums: RTT p95 ≤ 200-300 μ s, Verluste ≤ 0. 01%.
Zwischen den Standorten (L3VPN/SD-WAN): RTT p95 ≤ X ms (entsprechend Ihrem Profil), Verluste ≤ 0. 1%.
Konvergenz bei Ausfall: ≤ 1 s (IGP/BFD), ≤ 5 s (eBGP).
Metriken
„RTT“, „loss“, „jitter“, „ECMP entropy“, „BFD state“, „BGP prefixes/changes“, „CPU/TCAM“ auf den Switches, Auffüllen der QoS-Warteschlangen.
Active probing: IP-SLA/SmokePing, QoS-Perklasse.
Flow-Telemetrie: sFlow/NetFlow/IPFIX für Verkehrsprofile und DDoS.
Typische Configs (Fragmente)
FRR (BGP underlay + EVPN)
conf router bgp 65000 bgp router-id 10. 0. 0. 1 neighbor SPINE peer-group neighbor SPINE remote-as 65000 neighbor 10. 0. 0. 11 peer-group SPINE neighbor 10. 0. 0. 12 peer-group SPINE
!
address-family l2vpn evpn neighbor SPINE activate advertise-all-vni exit-address-family
!
interface lo ip address 10. 0. 0. 1/32Linux (ECMP egress)
bash ip route add 0. 0. 0. 0/0 \
nexthop via 203. 0. 113. 1 weight 1 \
nexthop via 203. 0. 113. 2 weight 1BFD zum Nachbarn (Cisco-Stil, Konzept)
bfd interval 50 min_rx 50 multiplier 5 interface Po1 bfd echo ip ospf network point-to-pointVorgänge und DR
Änderungssteuerung: Stufenweise Eingabe (ein Leaf/Spine), Canary durch einen VNI/VRF.
Auto-Withdraw (Auto-Withdraw): Der Service verschlechtert sich - wir rufen die Anycast-/32 zurück.
Runbooks: Verlust von Spine, EVPN Loops, Schließung des ECMP-Pfades, Abbau des Aplinks, Blackhole-Insert.
IPAM-Dokumentation: Wer besitzt das Subnetz/AS, wo ist die Ankündigung, wo ist NAT.
Checkliste für die Implementierung
- Auswahl der Topologie (Leaf-Spine), Berechnung der Übersubskription und Fat-Tree-Breite.
- IPAM: Summarisierung, Wachstumsreserve, einzelne Blöcke unter overlay loopback 'und.
- Underlay IGP/iBGP, BFD; Overlay EVPN/VXLAN, RR на Spine.
- VRF/ACL für Zonen, Ost-West und Nord-Süd-Politik.
- Egress-Design: NAT-Pools, PSP/CDN-Whitelists, Anycast wo nötig.
- QoS-Klassen und SLO (RTT/loss/jitter), Per-Class-Monitoring.
- Erkennung und Schutz: RPKI, Prefix-Filter, uRPF, RTBH.
- Beobachtbarkeit: BGP-Änderungen, BFD, IP-SLA, sFlow; Dashboards/Alerts.
- DR-Pläne: Ausfall von Spine/Link/Aplinka, Withdraw Anycast, Verkehrsmigration.
Typische Fehler
L2-Stretching ohne EVPN/VXLAN → STP-Stürme und unvorhersehbare Ausfälle.
Keine BFD/Fast-Hellos → lange Schalt- und Timeoutanwendungen.
Ein „manueller“ IP-Plan ohne Summarisierung → eine Explosion von Routentabellen.
Überlasteter ECMP-Hash → Asymmetrie und Probleme mit stateful-Filtern.
Das Fehlen von RPKI/Prefix-Filtern auf eBGP → das Risiko von Hijek.
QoS „Standard“ → API konkurriert mit Backups.
Anycast ohne Health-Driven Withdraw → Schwarze Löcher bei Teilausfällen.
Spezifität für iGaming/Fintech
Niedriger p95 für APIs/Zahlungen: dedizierte QoS-Klasse, Anycast-Endpunkte, Latency-Routing auf DNS/GSLB.
PSP/Provider Whitelists: Feste egress-IPs, Backup-Pools, schneller Wechsel.
Peak Events: Headroom ≥ 30% auf Spine↔Leaf Lines, Griffe zum Abschalten der Bulk-Klasse.
Regulatory/PII: VRF-Isolation, e2e-Verschlüsselung, strenge ACL zwischen den Zonen.
Mini-Playbooks
1) Schneller withdraw Anycast beim Abbau
1. Health-check
2) Übertragung des Verkehrs auf Backup-Aplink
1. Senken Sie die LocalPref der Haupt- → 2) heben Sie die backup- → 3) beobachten Sie die Verluste/RTT → 4) fix-änderungen.
3) „Heiße“ Fabrikerweiterung
1. Spine hinzufügen, alle Leaf → 2) Leaf-Paare in Racks hinzufügen → 3) iBGP/OSPF-Nachbarschaft, ECMP-Entropie-Check → 4) Lastübertragung.
Ergebnis
Ein nachhaltiges Netzwerk ist Leaf-Spine + ECMP, EVPN/VXLAN für flexible L2/L3-Multi-Leasing, BGP-Richtlinien und schnelles Failover unter Metrikkontrolle. Fügen Sie kompetentes IPAM, QoS, RPKI/Filter, automatisierte health→routing und Live-Runbooks hinzu - und Ihre Plattform liefert auch in der heißesten Stunde vorhersehbar Traffic.