Topologie des réseaux et itinéraires

Résumé succinct

Le réseau s'articule autour de trois piliers : topologie, segmentation, routage. L'usine moderne est Leaf-Spine (fat-tree) avec ECMP, overlay VXLAN/EVPN pour les extensions L2 et BGP comme « colle universelle ». Les SLO de latence/perte, QoS et fast-failover correctement définis rendent le comportement prévisible sous les RPS de pointe.

Modèles de topologie de base

Core/Distribution/Access (classique)

Avantages : compréhensibilité, bon pour les petits réseaux/bureaux.
Inconvénients : « col de bouteille » sur Core, pire à l'échelle horizontale.

Leaf-Spine (fat-tree, CLOS)

Spine est l'autoroute, Leaf est le commutateur de tor pour les serveurs.
Tous les Leaf sont connectés à tous les Spine → ECMP et délai prévisible.
Mise à l'échelle - en ajoutant Leaf/Spine sans refactoring de plan d'adresse.

Ring/Mesh/Star

Ils sont utilisés ponctuellement (PoP, campus). Pour DC - limité.

Recommandation : pour le centre de données et les grands sites - Leaf-Spine. Pour les succursales/bureaux - simplifié Core/Access + SD-WAN.

Segmentation et espace d'adressage

VLAN - segmentation L2 (domaines de diffusion).
VRF - segmentation L3 (multiarendité, dev/stg/prod).
IPAM/Sommarisation : planifiez en blocs '/24 'par service/zone, agrégez-les en '/20' et au-dessus pour les politiques de route simples.
Dual-stack : IPv4 + IPv6, SLAAC/DHCPv6, garde RA, préfixe de politique.

Overlay/Underlay: VXLAN/EVPN

Underlay : Usine IP (Leaf-Spine) avec iBGP/OSPF/IS-IS.
Overlay : VXLAN transfère L2 sur L3 ; EVPN (BGP) est un contrôle-plain pour le routage MAC/IP, multi-tenance via VNI/VRF.
Avantages : L2-étirement sans STP, convergence rapide, politiques centralisées.

• Leaf - VTEP avec loopback pour VTEP-IP.
• Spine — route-reflector для EVPN.
• Les types d'itinéraires EVPN (MAC/IP, IMET, L3-interaction) fournissent ARP-supression et échelle.

Protocoles de routage et de rôle

IGP (à l'intérieur du domaine)

OSPF/IS-IS : convergence rapide, métrification simple. Bon pour underlay.
iBGP : sur ou sans IGP (BGP-only fabric) avec route-reflector 'ami.

EGP (inter-domaines)

eBGP : peering avec les fournisseurs/PSP/CDN, politique sur les communautés/LP/AS-Path.
Anycast : même IP sur plusieurs PoP, routage « au plus proche » (BGP + health-check sur les annonces).

ECMP и fast-failover

ECMP répartit les flux entre les chemins égaux.
Regardez flow-hash (5-tuple), évitez l'asymétrie pour le stateful middlebox's.
BFD/fast-hellos pour les commutations rapides (<1 s).

Stratégies de routage (TE)

LocalPref/Med/AS-Path est une sélection d'aplinks.
Communautés - déceler le trafic (prod/stg, PSP de paiement, CDN) pour des solutions différenciées.
Blackhole/Sinkhole - rapide « trou noir »/32 sur les attaques.
uRPF/RTBH est un trou noir anti-spoofing et distant avec fournisseur.

Connectivité des bureaux ↔ DC/Cloud

SD-WAN : sélection dynamique du canal (MPLS/INTERNET/LTE), cryptage, politiques per-app.
MPLS L3VPN : VRF isolé entre les sites, retard déterministe.
IPSec/GRE over IPSec/WireGuard : démarrage rapide, mais planifiez MTU/Fragmentation et QoS.

NAT, CGNAT et accès Internet

NAT44/NAT66 (rarement) et NPTv6. Pour les intégrations de paiement, stockez les pools IP source et les listes blanches.
egress-balance : plusieurs passerelles NAT pour ECMP, sticky par hachage.
Hairpin/Policy-Based Routing - pour la spécificité DMZ/inspection.

QoS et classes de trafic

Classes : real-time (VoIP/fides boursières), interactive (API), bulk (backups/ETL).
Marking (DSCP), policing/shaping, LLQ/WRR.
Protection API/paiement - classe dédiée avec garantie de retard minimum ; limiter le bulk en pics.

Sécurité du routage

BGP : TTL security, max-prefix, RPKI (route-origine validation), prefix-filters chez le fournisseur.
IGP : authentification des voisins (HMAC), isolation de plan de gestion (OOB).
Segmentation : VRF pour les zones « paiement », « opérateur », « public » ; ACL inter VRF uniquement sur les ports souhaités.
Services anycast : santé → withdraw annonce dans la dégradation.

Observabilité et SLO

SLO (exemples)

A l'intérieur du centre de données : RTT p95 ≤ 200-300 μ s, pertes ≤ 0. 01%.
Entre les sites (L3VPN/SD-WAN) : RTT p95 ≤ X ms (selon votre profil), pertes ≤ 0. 1%.
Convergence en cas de défaillance : ≤ 1 s (IGP/BFD), ≤ 5 s (eBGP).

Métriques

« RTT », « loss », « jitter », « ECMP entropy », « BFD state », « BGP prefixes/changes », « CPU/TCAM » sur les commutateurs, remplissage des files d'attente QoS.
Active probing : IP-SLA/SmokePing, classe per QoS.
Flow-télémétrie : sFlow/NetFlow/IPFIX pour les profils de trafic et DDoS.

Configues types (fragments)

FRR (BGP underlay + EVPN)

conf router bgp 65000 bgp router-id 10. 0. 0. 1 neighbor SPINE peer-group neighbor SPINE remote-as 65000 neighbor 10. 0. 0. 11 peer-group SPINE neighbor 10. 0. 0. 12 peer-group SPINE
!
address-family l2vpn evpn neighbor SPINE activate advertise-all-vni exit-address-family
!
interface lo ip address 10. 0. 0. 1/32

Linux (ECMP egress)

bash ip route add 0. 0. 0. 0/0 \
nexthop via 203. 0. 113. 1 weight 1 \
nexthop via 203. 0. 113. 2 weight 1

BFD au voisin (Cisco-style, concept)

bfd interval 50 min_rx 50 multiplier 5 interface Po1 bfd echo ip ospf network point-to-point

Opérations et DR

Contrôle du changement : entrée progressive (un Leaf/Spine), canary à un VNI/VRF.
Auto-withdraw (auto-withdraw) : Dégrader le service - rappeler le Anycast-/32.
Runbooks : perte de Spine, boucles EVPN, fermeture du chemin ECMP, dégradation de l'aplink, insertion blackhole.
Documentation IPAM : qui possède le sous-réseau/AS, où est l'annonce, où est le NAT.

Chèque d'implémentation

• La topologie (Leaf-Spine) est sélectionnée, l'oversubscription et la largeur fat-tree sont calculées.
• IPAM : sommarisation, réserve pour la croissance, blocs individuels sous overlay loopback '.
• Underlay IGP/iBGP, BFD; Overlay EVPN/VXLAN, RR на Spine.
• VRF/ACL pour les zones, les politiques est-ouest et nord-sud.
• Egress design : pools NAT, listes blanches PSP/CDN, Anycast où tu veux.
• Classes QoS et SLO (RTT/loss/jitter), surveillance de classe per.
• Détection et protection : RPKI, prefix-filters, uRPF, RTBH.
• Observabilité : changements BGP, BFD, IP-SLA, sFlow ; dashboards/alertes.
• Plans DR : Spine/link/uplink, withdraw Anycast, migration du trafic.

Erreurs typiques

La L2-distension sans EVPN/VXLAN → les STP-tempêtes et imprévisible failover.
Pas de BFD/fast-hellos → de longs changements et délais d'application.
Un plan IP « manuel » sans sommation → l'explosion des tables d'itinéraire.
ECMP-hash surchargé → asymétrie et problèmes avec les filtres stateful.
L'absence de RPKI/préfix-filters sur l'eBGP → le risque de haijek.
QoS « par défaut » → API est en concurrence avec les backups.
Anycast sans santé-driven withdraw → trous noirs en cas de défaillance partielle.

Spécificité pour iGaming/fintech

P95 bas pour API/paiement : classe QoS dédiée, Anycast-endpoint, latinity-routing sur DNS/GSLB.
Listes blanches PSP/fournisseurs : egress-IP fixe, pools de secours, commutation rapide.
Événements de pointe : tête haute ≥ 30 % sur les liens de Spine↔Leaf, poignées pour désactiver la classe bulk.
Réglementation/PII : Isolation VRF, cryptage e2e, ACL stricte entre les zones.

Mini-playbooks

1) Rapide withdraw Anycast en cas de dégradation

1. Santé-check

2) Transfert du trafic vers l'aplink de secours

1. Abaisser LocalPref de base → 2) augmenter la → de secours 3) observer les pertes/RTT → 4) enregistrer les changements.

3) Extension « chaude » de l'usine

1. Ajouter Spine, connecter tous les Leaf → 2) ajouter les paires Leaf dans les racks → 3) iBGP/OSPF du voisinage, vérifier l'entropie ECMP → 4) transférer les charges.

Total

Le réseau durable est le Leaf-Spine + ECMP, EVPN/VXLAN pour la polyvalence flexible L2/L3, les politiques BGP et l'échec rapide sous le contrôle des métriques. Ajoutez compétent IPAM, QoS, les RPKI/filtres automatisés health→routing du lien vivants runbook - et votre quai livrera prévisiblement le trafic même à l'heure la plus chaude.