Ցանցերի և երթուղիների տեղաբանությունը
Live ռեզյումե
Ցանցը կառուցվում է երեք հենարանների շուրջ 'տեղաբանություն, սեգմենտացիա, միկրոօրգանիզացիա։ Ժամանակակից գործարանը Leaf-Spine-ն է (fat-tree) ECTS-ի, overlay VXLAN/EVPN-ի հետ L2-ընդլայնման և BGP-ի համար որպես «ունիվերսալ կլեյ»։ Ճիշտ SLO-ն/կորուստները, QoS-ը և fox-failover-ը կանխատեսելի են դարձնում RPS-ի գագաթնակետին։
Տեղաբանության հիմնական մոդելները
J/Distribution/J (դասական) (դասական)
Պլյուսներ 'հասկացողություն, լավ փոքր ցանցերի/գրասենյակների համար։
Մինուսներ ՝ «շիշ գորշ» Բելգիայում, ավելի վատ հորիզոնական մասշտաբը։
Leaf-Spine (fat-tree, CLOS)
Spine-ը մագիստրոսն է, Leaf-ը մրցույթի համար թոր բաղադրիչներ է։
Բոլոր Leaf-ը համագործակցում է բոլոր Spine ECTS-ի և կանխատեսելի ուշացման հետ։
Մեծացումը Leaf/Spine-ի ավելացումն է առանց նպատակային պլանի ռեֆակտորինգի։
Ring/Mesh/Star
Օգտագործվում են կետային (PoP, կամպուս)։ DC-ի համար սահմանափակ է։
Առաջարկություն 'CODA-ի և մեծ կայքերի համար' Leaf-Spine։ Ֆիլիալների/գրասենյակների համար պարզեցված Մոսկվա/Windows + SD-WAN-ն է։
Հատվածներ և հասցեների տարածություն
MSAN-L2 սեգմենտացիան (Broadcast-Alts)։
VRF - L3 սեգմենտացիա (բազմապատկություն, dev/stg/2019)։
IPAM/ամփոփում: Պլանավորել «/24 »բլոկները ծառայության/գոտու վրա, համախմբել «/20» և ավելի բարձր պարզ երթուղային քաղաքական գործիչների համար։
Dance-stack: IPv4 + IPv6, SLAAC/MSv6, RA-գվարդներ, նախածանցային քաղաքականություն։
Overlay/Underlay: VXLAN/EVPN
Underlay: IP գործարան (Leaf-Spine) iBGP/OSPF/IS-IS։
Overlay: VXLAN տեղափոխում է L2 վերևում L3; EVPN (BGP) - MAC/IP ուղղման, multi-tenanty VNI/VRF-ի միջոցով։
Առավելությունները ՝ L2 ձգումը առանց STP, արագ փոխակերպումներ, կենտրոնացված քաղաքականություն։
Մինի-քարթրիջը (EVPN)
Leaf-VTEP-ը loopback-ով VTEP-IP-ի համար։
Spine — route-reflector для EVPN.
EVPN (MAC/IP, IMET, L3 փոխազդեցություն) երթուղիների տեսակները ապահովում են ARP-supression և մասշտաբը։
Ուղղորդման և դերի արձանագրությունները
IGP (տիրույթի ներսում)
OSPF/IS-IS 'արագ նմանություն, պարզ մետրիզացիա։ Լավ է underlay-ի համար։
IBGP 'IGP-ի վերևում կամ առանց դրա (BGP-only fabric) rome-reflector' ami։
EGP (միջքաղաքային)
EBGP: peering հետ պրովայդերների/PSA/CDN, communities/LP/AS-Path քաղաքականությունը։
Anycae: նույն IP-ը մի քանի PoP-ում, «մոտակա» (BGP + health-71 k անոնսների վրա)։
ECMP и fast-failover
ECTS-ն բաժանում է հոսքերը հավասար ճանապարհների միջև։
Հետևեք flow-hash-ին (5-tuple), խուսափեք ասիմետրիայից stateful middleb.ru-ի համար։
BFD/fox-hellos արագ փոխանցման համար (<1 s)։
Ուղղման քաղաքականությունը (TE)
DelalConff/Med/AS-Path-ը ապլինների ընտրությունն է։
Communities-ը տեղադրեք ստանդարտ (105/stg, PSA, CDN) տարբերակված լուծումների համար։
Blackhole/Sinkhole - արագ «սև անցք »/32 հարձակման վրա։
URPF/RTBH - հակա-սպուֆինգ և հեռավոր սև անցք պրովայդերի հետ։
Գրասենյակի կապը www.DC/Cloud
SD-WAN: ալիքի դինամիկ ընտրությունը (MPLS/MS/LTE), կոդավորումը, տեղեկատվական-ապպ քաղաքականությունը։
MPLS L3VPN 'մեկուսացված VRF կայքերի միջև, դետերմինացված ուշացում։
ISEC/GRE over IMS ec/WireGuard: արագ մեկնարկը, բայց պլանավորել MTU/Fragmentation և QoS-ը։
NAT, CGNAT և ինտերնետ մուտք
NAT44/NAT66 (հազվադեպ) և NPTv6։ Մետրոպոլիտենի ինտեգրման համար պահեք source IP-pula և սպիտակ ցուցակները։
egress-հավասարակշռություն: մի քանի NAT դարպաս ECTS-ի համար, sticky-ի հեշի համար։
Hairpin/Policy-Based Routing-ը DMZ/2019 առանձնահատկությունների համար։
QoS և դասարաններ 2019
Դասարանները ՝ real-time (VoIP/փոխանակման ֆիդներ), interactive (API), bulk (bekaps/ETL)։
Marking (DSCP), policing/shaping, LLQ/WRR.
API/վճարումների պաշտպանությունը ընտրված դաս է 'նվազագույն ուշացումով։ bulk սահմանափակեք պիկի մեջ։
Երթուղու անվտանգությունը
BGP: TTL 210, max-medfix, RPKI (roult-origin validation), պրովայդերի ֆիքս-դելտերներ։
IGP 'հարևանների վավերացումը (HMAC), ինքնաթիռի մեկուսացումը (OOB)։
Սեգմենտացիան ՝ VRF «էքսպորտային», «վիրահատական», «հանրային» գոտիների համար։ ACL-ը VRF-ի միջև միայն ճիշտ պորտերով։
Anycript ծառայություններ 'health withdrance-ը դեգրադացիայի ժամանակ։
Դիտարկումը և SLO
SLO (օրինակներ)
CODA-ի ներսում ՝ RTT p95-200-300 պրոցեսներ, 240 կորուստ։ 01%.
Կայքերի միջև (L3VPN/SD-WAN): RTT p95 210 X/( ձեր ժողովով), 360 կորուստ։ 1%.
Փոխակերպումը ձախողման ժամանակ ՝ 361 s (IGP/BFD), 365 s (eBGP)։
Metriki
"RTT", "loss", "jitter", "ECTS entropy", "BFD state", "BGP nofixes/changes", "CPU/TCAM" -ը ֆիգատորների վրա, "QoS հերթերի լրացումը։
Actrobing: IP-SLA/SmokePing, QoS դասարանը։
Flow հեռուստացույց: sFlow/NetFlow/IPFIX-ը ռուսական և DDoS-ի համար։
Տիպային դելիգներ (բեկորներ)
FRR (BGP underlay + EVPN)
conf router bgp 65000 bgp router-id 10. 0. 0. 1 neighbor SPINE peer-group neighbor SPINE remote-as 65000 neighbor 10. 0. 0. 11 peer-group SPINE neighbor 10. 0. 0. 12 peer-group SPINE
!
address-family l2vpn evpn neighbor SPINE activate advertise-all-vni exit-address-family
!
interface lo ip address 10. 0. 0. 1/32Linux (ECMP egress)
bash ip route add 0. 0. 0. 0/0 \
nexthop via 203. 0. 113. 1 weight 1 \
nexthop via 203. 0. 113. 2 weight 1BFD հարևանին (Cisco-ոճ, հասկացություն)
bfd interval 50 min_rx 50 multiplier 5 interface Po1 bfd echo ip ospf network point-to-pointՎիրահատություն և DR
Change-entle-ը (մեկ Leaf/Spine), canary մեկ VNI/VRF։
Ավտոպոչինկա (105-withdr.ru), որը բաժանում է ծառայությունը, ասում է Anycasta/32։
Runbooks: Spine-ի կորուստը, EVPN-ը, ECTS-ի ճանապարհները, ապլինկի քայքայումը, blackhole-ներդրումը։
MedIPAM: Ով պատկանում է/AS-ին, որտեղ հայտարարությունը, որտեղ NAT-ն է։
Ներդրման թուղթ
- Ընտրվել է տեղաբանություն (Leaf-Spine), հաշվարկված են oversubscription և fat-tree լայնությունը։
- IPAM: Ամփոփում, արգելափակում աճի համար, առանձին բլոկներ overlay loopback '2019-ի տակ։
- Underlay IGP/iBGP, BFD; Overlay EVPN/VXLAN, RR на Spine.
- VRF/ACL գոտիների, east-west և հյուսիսային-south քաղաքականության համար։
- Egress-դիզայն ՝ NAT-puls, սպիտակ ցուցակներ PMS/CDN, Anycript, որտեղ անհրաժեշտ է։
- QoS դասարանները և SLO (RTT/loss/jitter), ռուսական դասարանը։
- Հայտնաբերումը և պաշտպանությունը ՝ RPKI, www.fix-wwinters, uRPF, RTBH։
- Դիտարկումը 'BGP փոփոխություններ, BFD, IP-SLA, sFlow; dashbords/alerta.
- DR պլանները 'Spine/link/aplink, withdrance Anycript, միգրացիա։
Տիպիկ սխալներ
L2-ձգումը առանց EVPN/VXLAN no STP փոթորիկներ և անկանխատեսելի failover։
Ոչ BFD/fox-hellos-ը երկար պարամետրեր և թայմաուտներ է։
«Ձեռքով» IP պլանը առանց ընդհանրացնելու բացատրվում է երթուղիների սեղանների պայթյունը։
Ծանրաբեռնված ECOM-hash-asimetria-ը և stateful-ֆիլտրերի հետ խնդիրները։
RPKI/wwww.fix-www.ters-ի բացակայությունը eBGP-ի վրա ցույց է տալիս հիզեկի ռիսկը։
QoS «լռելյայն» ռուսական API-ն մրցակցում է bapas-ի հետ։
Anycript առանց health-driven withdr.ru-ը սև անցքեր է, որոնք մասնակի են։
Հատուկ iGaming/fintech համար
API/վճարման համար ցածր p95-ը 'QoS-դասը, Anycript-endpoints, latency-routing III/GSLB-ում։
PMS/պրովայդերների սպիտակ ցուցակները 'ֆիքսված egress-IP, պահեստային փամփուշտներ, արագ անցում։
Պիկ իրադարձություններ ՝ headrome 2430 տոկոսը Spine ww.Leaf-ի ոսպնյակների վրա, բռնակներ bulk-դասի համար։
Կարգավորող/PII: VRF մեկուսացում, e2e-կոդավորումը, խիստ ACL-ը գոտիների միջև։
Մինի պլեյբուկները
1) Արագ withdrance Anycript-ը քայքայման ժամանակ
1. Health-infook <շեմն թիվ 2) ջութակը/վերահսկիչը հանում է '/32 'անոննես թիվ 3) արտաքին փորձարկման ստուգումը 444) մեքենան-շարժիչի ժամանակ։
2) Թարգմանություն ՝ պահուստային ապլինկ
1. Իջեցնել CoralConff հիմնական թիվ 2) բարձրացնել կորուստները/RTT 384) շտկել փոփոխությունները։
3) «Տաք» գործարանի ընդլայնումը
1. Ավելացնել Spine-ը, միացնել բոլոր Leaf 352-ը) ավելացնել Leaf-զույգը 393 դիրքերում) iBGP/OSPF հարևանության, ECS-entrophia 44- ի ստուգումը) բեռի տեղափոխումը։
Արդյունքը
Կայուն ցանցը Leaf-Spine + ECTS, EVPN/VXLAN-ն է L2/L3 մուլտիմարդիայի, BGP քաղաքականության և արագ failover վերահսկման համար։ Ավելացրեք գրագետ IPAM, QoS, RPKI/ֆիլտրեր, ավտոմատացված health eurouting կապի և կենդանի runbook-i-ի, և ձեր պլատֆորմը կանխատեսելիորեն կհանձնվի նույնիսկ ամենաթեժ ժամին։