GH GambleHub

ネットワークトポロジとルート

概要

ネットワークは、トポロジー、セグメンテーション、ルーティングという3つの柱の周りに構築されています。現代の工場は、ECMPを備えたLeaf-Spine (fat-tree)、 L2拡張用のVXLAN/EVPNをオーバーレイし、BGPを「普遍的な接着剤」としています。"適切に指定された遅延/損失SLO、 QoS、および高速フェイルオーバーにより、ピークRPSの下で動作が予測可能になります。

基本的なトポロジーモデル

コア/ディストリビューション/アクセス(クラシック)

長所:明確で、小さなネットワーク/オフィスに適しています。
短所:コアのボトルネック、水平スケーリングの悪化。

葉椎(脂肪樹、CLOS)

背骨-バックボーン、リーフ-サーバー用トーラススイッチ。
すべてのリーフはすべてのSpine→ECMPに接続され、予測可能な遅延があります。
スケーリング-アドレス計画をリファクタリングせずにLeaf/Spineを追加します。

リング/メッシュ/スター

使用ポイント(PoP、キャンパス)。DCの場合-限定。

推奨事項:データセンターおよび大規模サイト-Leaf-Spine。支店/オフィス-簡易コア/アクセス+SD-WAN。

セグメンテーションとアドレス空間

VLAN-L2セグメンテーション(ブロードキャストドメイン)。
VRF-L3セグメンテーション(マルチリース、dev/stg/prod)。
IPAM/要約:サービス/ゾーンのブロック'/24'で計画し、単純なルーティングポリシーのために'/20'に集約します。
デュアルスタック:IPv4+IPv6、 SLAAC/DHCPv6、 RAガード、プレフィックスポリシー。

オーバーレイ/アンダーレイ: VXLAN/EVPN

アンダーレイ:IP factory (Leaf-Spine)、 iBGP/OSPF/IS-IS。
オーバーレイ:VXLANはL3上のL2を運びます;EVPN (BGP)-MAC/IPルーティング用の制御平面、VNI/VRF経由のマルチテナンシー。
利点:STPのないL2-stretching、高速コンバージェンス、集中ポリシー。

ミニパターン(EVPN):
  • リーフ-VTEP-IP用のループバック付きVTEP。
  • 背骨-ルートリフレクタEVPN。
  • EVPNルートタイプ(MAC/IP、 IMET、 L3インターワーク)は、ARP抑制とスケールを提供します。

ルーティングプロトコルとロール

IGP(ドメイン内)

OSPF/IS-IS:高速収束、単純なメトリゼーション。アンダーレイに適しています。
iBGP:ルートリフレクター付きのIGP (BGP専用ファブリック)の有無にかかわらず。

EGP(クロスドメイン)

eBGP: プロバイダ/PSP/CDN、 コミュニティ/LP/AS-Pathポリシーとのピアリング。
Anycast:複数のPoP上の同じIP。「最寄りの」(BGP+ヘルスチェックで通知)にルーティング。

ECMPのファストフェイルオーバー

ECMPは等しいパス間のフローを分配します。
フローハッシュ(5タプル)に注意し、ステートフルミドルボックスの非対称は避けてください。
高速スイッチング(<1秒)のためのBFD/fast-hellos。

ルーティングポリシー(TE)

LocalPref/Med/AS-Path-アプリンク選択。
コミュニティ-差別化されたソリューションのトラフィック(prod/stg、 payment PSP、 CDN)をマークします。
ブラックホール/シンホールは攻撃のための速いブラックホール/32です。
uRPF/RTBH-プロバイダーが付いている反スプーフィングおよび遠隔ブラックホール。

コネクティビティオフィス↔ DC/クラウド

SD-WAN:動的チャネル選択(MPLS/INTERNET/LTE)、暗号化、アプリごとのポリシー。
MPLS L3VPN:サイト間の分離VRF、決定的遅延。
IPSec/GRE over IPSec/WireGuard:高速起動ですが、MTU/フラグメンテーションとQoSを計画しています。

NAT、 CGNAT、インターネットアクセス

NAT44/NAT66(まれな)およびNPTv6。支払いの統合のために、ストアソースIPプールとホワイトリスト。
出力バランス:ECMPごとに複数のNATゲートウェイ、ハッシュによる粘着性。
ヘアピン/ポリシーベースのルーティング-特定のDMZ/検査用。

QoSとトラフィッククラス

クラス:リアルタイム(VoIP/交換フィード)、インタラクティブ(API)、バルク(バックアップ/ETL)。
マーキング(DSCP)、ポリシング/シェーピング、LLQ/WRR。
API保護/支払い-最小限の遅延を保証する専用クラス。スパイクのバルク限界。

ルーティングセキュリティ

BGP: TTLセキュリティ、max-prefix、 RPKI (route-origin検証)、プロバイダのprefix-filters。
IGP: neighbor authentication (HMAC)、 management-plane isolation (OOB)。
セグメンテーション:「支払い」、「オペレータ」、「公共」ゾーンのVRF。VRF間のACLは、目的のポートでのみ使用できます。
Anycastサービス:健康→劣化中の発表内。

観測可能性とSLO

SLO(例)

データセンター内: RTT p95 ≤ 200-300 μ s、 ≤損失0。01%.

サイト間(L3VPN/SD-WAN): RTT p95 ≤ Xミリ秒(あなたのプロファイルによると)、損失≤ 0。1%.

フェイルオーバー収束:≤ 1 s (IGP/BFD)、 ≤ 5 s (eBGP)。

メトリクス

'RTT'、 'loss'、 'jitter'、 'ECMP entropy'、 'BFD state'、 'BGP prefixes/changes'、 'CPU/TCAM'スイッチ上でQoSキューを入力します。
アクティブプロービング:IP-SLA/SmokePing、クラスあたりのQoS。

フローテレメトリ: sFlow/NetFlow/IPFIX(トラフィックプロファイルおよびDDoS用)

典型的な構成(フラグメント)

FRR (BGPアンダーレイ+EVPN)

conf router bgp 65000 bgp router-id 10. 0. 0. 1 neighbor SPINE peer-group neighbor SPINE remote-as 65000 neighbor 10. 0. 0. 11 peer-group SPINE neighbor 10. 0. 0. 12 peer-group SPINE
!
address-family l2vpn evpn neighbor SPINE activate advertise-all-vni exit-address-family
!
interface lo ip address 10. 0. 0. 1/32

Linux (ECMP出力)

bash ip route add 0. 0. 0. 0/0 \
nexthop via 203. 0. 113. 1 weight 1 \
nexthop via 203. 0. 113. 2 weight 1

BFD to neighbor(シスコスタイル、コンセプト)


bfd interval 50 min_rx 50 multiplier 5 interface Po1 bfd echo ip ospf network point-to-point

オペレーションとDR

変更制御:段階的な記入項目(1つの葉/脊柱)、カナリア1 VNI/VRF。
Auto-In:サービスが低下-Anycast-/32をリコールします。
Runbooks:脊柱損失、EVPNループ、ECMPパス閉鎖、アプリンク劣化、ブラックホール挿入。
IPAMドキュメント:誰がサブネット/ASを所有しているか、どこで発表があり、どこがNATですか。

実装チェックリスト

  • Leaf-Spine選択、oversubscriptionおよびfat-tree幅を計算しました。
  • IPAM:要約、成長のための予備、オーバーレイループバックのための個々のブロックと。
  • アンダーレイIGP/iBGP、 BFD;EVPN/VXLANをオーバーレイします。
  • ゾーン、東西および南北の政策のためのVRF/ACL。
  • 出力設計:NATプール、PSP/CDNホワイトリスト、必要に応じてAnycast。
  • QoSクラスとSLO (RTT/loss/jitter)、クラスごとの監視。
  • 検出および保護:RPKIの接頭辞フィルター、uRPF、 RTBH。
  • Observability: BGPの変更、BFD、 IP-SLA、 sFlow;ダッシュボード/アラート。
  • DR計画:Spine/link/aplinkaの失敗、Anycastの撤退、トラフィックの移行。

よくあるエラー

EVPN/VXLAN→STP嵐と予測不可能なフェイルオーバーなしのL2ストレッチ。
BFD/fast-hellos→ロングスイッチオーバーとアプリケーションタイムアウトはありません。
まとめなしの手動IPプラン→ルートテーブルの爆発。
Overloaded ECMP-hash→非対称性およびステートフルフィルタの問題。
eBGPのRPKI/プレフィックスフィルタの欠如→ハイジャックのリスク。
QoS「デフォルトで」→APIはバックアップと競合します。
部分的な失敗の→ブラックホール内で健康駆動のないAnycast。

iGaming/fintech固有の

API/決済のための低p95:専用のQoSクラス、Anycastエンドポイント、DNS/GSLB上のレイテンシルーティング。
PSP/プロバイダのホワイトリスト:固定egress-IP、冗長プール、高速スイッチング。
ピークイベント:ヘッドルーム≥ Spine↔Leafのリンクで30%、バルククラスをオフにするためのハンドル。
規制/PII: VRF分離、e2e暗号化、ゾーン間の厳格なACL。

ミニプレイブック

1)急速な低下のAnycastを撤回して下さい

1.Health-check

2)バックアップアプリンクへのトラフィック転送

1.メイン→2)スタンバイ時にレイズ→3) ロス/RTT→4)修正変更のLocalPrefを下げます。

3)「熱い」工場拡張

1.Spineを追加し、すべてのLeafを接続→2)ラックにリーフペアを追加→3) iBGP/OSPF近隣、ECMPエントロピー→4)負荷転送を確認します。

[結果]

安定したネットワークはLeaf-Spine+ECMP、 EVPN/VXLANでL2/L3柔軟なマルチリース、BGPポリシー、およびメトリック制御下での高速フェイルオーバーが可能です。有能なIPAM、 QoS、 RPKI/フィルタ、自動化されたコミュニケーションの健全性→ルーティングとライブランブックを追加すると、プラットフォームは最も暑い時間でもトラフィックを予測可能になります。

Contact

お問い合わせ

ご質問やサポートが必要な場合はお気軽にご連絡ください。いつでもお手伝いします!

Telegram
@Gamble_GC
統合を開始

Email は 必須。Telegram または WhatsApp は 任意

お名前 任意
Email 任意
件名 任意
メッセージ 任意
Telegram 任意
@
Telegram を入力いただいた場合、Email に加えてそちらにもご連絡します。
WhatsApp 任意
形式:+国番号と電話番号(例:+81XXXXXXXXX)。

ボタンを押すことで、データ処理に同意したものとみなされます。