GH GambleHub

Topologia delle reti e percorsi

Breve riepilogo

La rete si basa su tre pilastri: topologia, segmentazione, instradamento. La fabbrica moderna è Leaf-Spine (fat-tree) con ECMP, overlay VXLAN/EVPN per le estensioni L2 e BGP come colla universale. I dati SLO corretti per ritardi/perdite, QoS e fast-failover rendono prevedibile il comportamento sotto i picchi RPS.

Modelli topologia di base

Core/Distribuzione/Access (classica)

Il lato positivo è la comprensione, è buona per le piccole reti/uffici.
Contro: «gola di bottiglia» su Core, peggio ridimensionamento orizzontale.

Leaf-Spine (fat-tree, CLOS)

Spine - autostrada, Leaf - switch per server.
Tutti i Leaf sono collegati a tutti gli ECMP Spine e prevedibili ritardi.
Scalabilità - Aggiunta di Leaf/Spine senza rifacimento del piano di indirizzo.

Ring/Mesh/Star

Usato a tratti (PoP, campus). Per la DC è limitato.

La raccomandazione è per i centri di controllo e grandi siti - Leaf-Spine. Per filiali/uffici, Core/Access + SD-WAN semplificato.

Segmentazione e spazio direzionale

VLAN - L2 segmentazione (domini Broadcast).
VRF - L3 segmentazione (multiutility, def/stg/prod).
IPAM/sumarizzazione: pianifica i blocchi «/24 »per il servizio/area, aggregare in «/20» o superiore per semplici regole di rotazione.
Dual-stack: IPv4 + IPv6, SLAAC/DHCPv6, guarda RA, regole prefisso.

Overlay/Underlay: VXLAN/EVPN

Underlay: fabbrica IP (Leaf-Spine) con iBGP/OSPF/IS-IS.
Overlay: VXLAN sposta L2 sopra L3; EVPN (BGP) - Controllo-plain per il routing MAC/IP, multi-tenenza tramite VNI/VRF.
Vantaggi: stretching L2 senza STP, convergenze rapide, policy centralizzate.

Mini-pattern (EVPN):
  • Leaf - VTEP con loopback per VTEP-IP.
  • Spine — route-reflector для EVPN.
  • I tipi di itinerari EVPN (MAC/IP, IMET, L3-interazione) forniscono ARP-supressione e scala.

Protocolli di instradamento e ruolo

IGP (all'interno del dominio)

OSPF/IS-IS: convergenza rapida, metrizzazione semplice. Sono buoni per underlay.
iBGP: sopra o fuori IGP (BGP-only fabric) con route-reflector 'ami.

EGP (tra domini)

eBGP: peering con provider/PSP/CDN, policy communities/LP/AS-Path.
Anycast: uguale IP su più PoP, instradamento «al più vicino» (BGP + health-check per gli annunci).

ECMP и fast-failover

ECMP distribuisce i flussi tra percorsi uguali.
Occhio a flow-hash (5-tuple), evitare l'asimmetria per stateful middlebox '.
BFD/fast-hellos per commutazioni rapide (<1 c).

Criteri di instradamento (TE)

LocalPref/Med/AS-Path è una selezione di applinchi.
Communities - Contrassegna il traffico (prod/stg, PSP, CDN) per soluzioni differenziate.
Blackhole/Sinkhole è un veloce buco nero/32 per gli attacchi.
uRPF/RTBH - anti-spoofing e buco nero remoto con provider.

Connettività uffici DC/Cloud

SD-WAN: selezione dinamica del canale (MPLS/INTERNET/LTE), crittografia, per-app.
MPLS L3VPN - VRF isolate tra i siti, ritardo determinato.
IPSec/GRE over IPSec/WireGuard: avvio rapido, ma pianifica MTU/Fragmentation e QoS.

NAT, CGNAT e accesso a Internet

NAT44/NAT66 (raramente) e NPTv6. Per le integrazioni dei pagamenti, memorizzare i pool IP e gli elenchi bianchi.
equilibrio egress: più gateway NAT per ECMP, sticky per hash.
Hairpin/Policy-Based Routing - per specificità DMZ/ispezione.

QoS e classi di traffico

Classi: real-time (VoIP/fide di borsa), API (API), bulk (bacap/ETL).
Marking (DSCP), policing/shaping, LLQ/WRR.
Protezione API/pagamenti: classe dedicata con garanzia di ritardo minimo; bulk limitare nei picchi.

Protezione di instradamento

BGP: TTL sicurezza, max-preferix, RPKI (route-origin validation), preferix-filters presso il provider.
IGP - Autenticazione dei vicini (HMAC), isolamento del piano di gestione (OOB).
Segmentazione: VRF per «pagamenti», «operativi», «pubblici» L'ACL muta VRF solo per le porte desiderate.
Servizi Anycast: health → withdraw annuncio in caso di degrado.

Osservabilità e SLO

SLO (esempi)

All'interno del Centro: RTT p95 ≤ 200-300 ≤ s, perdita 0. 01%.
Tra i siti (L3VPN/SD-WAN): RTT p95 X ms (secondo il tuo profilo), perdita 0. 1%.
Convergenza in caso di guasto: ≤ 1 c (IGP/BFD), ≤ 5 s (eBGP).

Metriche

«RTT», «loss», «jitter», «ECMP entropy», «BFD state», «BGP prefixes/changes», «CPU/TCAM» sugli switch, riempimento delle code di QoS.
Active probing: IP-SLA/SmokePing, classe QoS.
sFlow/NetFlow/IPFIX per profili di traffico e DDoS.

Configi tipici (sezioni)

FRR (BGP underlay + EVPN)

conf router bgp 65000 bgp router-id 10. 0. 0. 1 neighbor SPINE peer-group neighbor SPINE remote-as 65000 neighbor 10. 0. 0. 11 peer-group SPINE neighbor 10. 0. 0. 12 peer-group SPINE
!
address-family l2vpn evpn neighbor SPINE activate advertise-all-vni exit-address-family
!
interface lo ip address 10. 0. 0. 1/32

Linux (ECMP egress)

bash ip route add 0. 0. 0. 0/0 \
nexthop via 203. 0. 113. 1 weight 1 \
nexthop via 203. 0. 113. 2 weight 1

BFD per il vicino (Cisco-Stile, Concept)


bfd interval 50 min_rx 50 multiplier 5 interface Po1 bfd echo ip ospf network point-to-point

Operazioni e DR

Cambio-control: immissione graduale (una Leaf/Spine), canary per VNI/VRF.
Punto automatico (auto-withdraw) - Il servizio viene degradato - richiamiamo Anycast-/32.
Runbooks: perdita di spine, loop EVPN, chiusura del percorso ECMP, degrado dell'applet, blackhole-incolla.
Documentazione IPAM: chi possiede la subnet/AS, dove si trova l'annuncio, dove si trova NAT.

Assegno foglio di implementazione

  • Topologia selezionata (Leaf-Spine), oversubscrizione e larghezza fat-tree.
  • IPAM: sommarizzazione, riserva di crescita, singoli blocchi sotto overlay loopback 'e.
  • Underlay IGP/iBGP, BFD; Overlay EVPN/VXLAN, RR на Spine.
  • VRF/ACL per zone, east-west e criteri north-sud.
  • Design egress: NAT pool, bianco PSP/CDN, Anycast dove si desidera.
  • classi QoS e SLO (RTT/loss/jitter), monitoraggio per la classe.
  • Rilevamento e protezione: RPKI, prefix-filters, uRPF, RTBH.
  • Osservabilità: modifiche BGP, BFD, IP-SLA, sFlow; dashboard/alert.
  • Piani DR: errore Spine/linetta/applet, withdraw Anycast, migrazione del traffico.

Errori tipici

Stretching L2 senza EVPN/VXLAN → STP e failover imprevedibile.
Nessun BFD/fast-hellos per interruzioni e timeout delle applicazioni.
Piano IP manuale senza sommare le tabelle delle rotte.
ECMP-hash sovraccarico di asimmetria e problemi con i filtri stateful.
La mancanza di RPKI/prefix-filters sul è un rischio per l'highjeck.
L'API «predefinita» è in competizione con i bacaps.
Anycast senza health-driven withdraw → buchi neri in caso di guasti parziali.

Specifico per iGaming/Fintech

P95 basso per API/pagamenti: QoS dedicato, Anycast-endpoint, latency-routing su DNS/GSLB.
Elenchi PSP/provider bianchi: egress-IP fisso, pool di riserva, failover rapido.
Eventi di punta: headroom al 30% in , maniglie per disattivare la classe bulk.
Regolazione/PII: isolamento VRF, crittografia e2e, zone rigide ACL.

Mini playbook

1) Veloce withdraw Anycast in caso di degrado

1. Health-check

2) Traduzione del traffico in applink di riserva

1. Abbassare la del 2) al 3) osservare la perdita/RTT (4) fissa i cambiamenti.

3) Estensione a caldo della fabbrica

1. Aggiungi Spine, connetti tutte le Leaf (2) aggiungi le coppie Leaf nei rack (3) di prossimità, controlla l'entropia ECMP (4) trasferimento dei carichi.

Totale

La rete sostenibile è Leaf-Spine + ECMP, EVPN/VXLAN per la flessibile L2/L3-Multiutility, politiche BGP e failover veloci sotto il controllo delle metriche. Aggiungi IPAM, , RPKI/filtri, comunicazioni automatizzate e runbook-e - e la piattaforma sarà prevedibile per consegnare il traffico anche nell'ora più calda.

Contact

Mettiti in contatto

Scrivici per qualsiasi domanda o richiesta di supporto.Siamo sempre pronti ad aiutarti!

Telegram
@Gamble_GC
Avvia integrazione

L’Email è obbligatoria. Telegram o WhatsApp — opzionali.

Il tuo nome opzionale
Email opzionale
Oggetto opzionale
Messaggio opzionale
Telegram opzionale
@
Se indichi Telegram — ti risponderemo anche lì, oltre che via Email.
WhatsApp opzionale
Formato: +prefisso internazionale e numero (ad es. +39XXXXXXXXX).

Cliccando sul pulsante, acconsenti al trattamento dei dati.