ქსელებისა და მარშრუტების ტოპოლოგია

მოკლე რეზიუმე

ქსელი აშენებულია სამი საყრდენის გარშემო: ტოპოლოგია, სეგმენტი, მარშრუტიზაცია. თანამედროვე ქარხანა არის Leaf-Spine (fat-tree) ECMP, overlay VXLAN/EVPN L2 გაფართოებებისა და BGP- სთვის, როგორც „უნივერსალური წებო“. სწორად განსაზღვრული SLO დაგვიანებით/დანაკარგებით, QoS და fast-failover ქცევას პროგნოზირებად ხდის RPS მწვერვალების ქვეშ.

ტოპოლოგიის ძირითადი მოდელები

Core/Distribution/წვდომა (კლასიკური)

დადებითი: გასაგები, კარგია მცირე ქსელების/ოფისებისთვის.
უარყოფითი: Core- ზე „ბოთლის კისერი“, ჰორიზონტალური მასშტაბის უარესი.

Leaf-Spine (fat-tree, CLOS)

Spine - მაგისტრალი, Leaf - ტორ კონცენტრატორები სერვერებისთვის.
ყველა Leaf უკავშირდება ყველა Spine - ECMP და პროგნოზირებადი შეფერხება.
სკალირება - Leaf/Spine- ის დამატება მისამართის გეგმის რეფაქტორის გარეშე.

Ring/Mesh/Star

გამოიყენება წერტილოვანი (PoP, კამპუსი). DC- სთვის - შეზღუდულია.

რეკომენდაცია: მონაცემთა ცენტრისა და დიდი საიტებისთვის - Leaf-Spine. ფილიალებისთვის/ოფისებისთვის - გამარტივებული Core/Access + SD-WAN.

სეგმენტი და მისამართების სივრცე

VLAN - L2 სეგმენტი (Broadcast დომენები).
VRF - L3 სეგმენტი (მულტიარენდულობა, dev/stg/mound).
IPAM/შეჯამება: დაგეგმეთ '/24 'ბლოკები მომსახურებისთვის/ზონისთვის, დააკავშიროთ '/20' და უფრო მაღალი მარშრუტის პოლიტიკოსებისთვის.
ორმაგი შეტევა: IPv4 + IPv6, SLAAC/MNSKv6, RA გვარდიები, პრეფიქსი პოლიტიკა.

Overlay/Underlay: VXLAN/EVPN

Underlay: IP ქარხანა (Leaf-Spine) iBGP/OSPF/IS-IS.
Overlay: VXLAN ატარებს L2- ს L3- ზე; EVPN (BGP) - მაკონტროლებელი პლეინი MAC/IP მარშრუტიზაციისთვის, მულტფილმის ტენანტობა VNI/VRF საშუალებით.
უპირატესობები: L2 გაჭიმვა STP- ის გარეშე, სწრაფი კონვერგენციები, ცენტრალიზებული პოლიტიკოსები.

• Leaf - VTEP loopback VTEP IP- ისთვის.
• Spine — route-reflector для EVPN.
• EVPN მარშრუტების ტიპები (MAC/IP, IMET, L3 ურთიერთქმედება) უზრუნველყოფს ARP-supression და მასშტაბს.

მარშრუტიზაციისა და როლების ოქმები

IGP (დომენის შიგნით)

OSPF/IS-IS: სწრაფი კონვერტაცია, მარტივი მეტრიზაცია. კარგია underlay.
iBGP: IGP- ზე ან მის გარეშე (BGP-only fabric) route-reflector 'ami- ით.

EGP (შიდა)

eBGP: პროვაიდერების/PSP/CDN, კომუნიკაციების პოლიტიკა/LP/AS-Path.
Anycast: იგივე IP რამდენიმე PoP- ზე, მარშრუტიზაცია „უახლოესობისკენ“ (BGP + ჯანმრთელობის შემოწმება განცხადებებზე).

ECMP и fast-failover

ECMP ანაწილებს ნაკადებს თანაბარ ბილიკებს შორის.
დააკვირდით flow-hash (5-tuple), თავიდან აიცილეთ ასიმეტრია სახელმწიფო middlebox- ისთვის.
BFD/fast-hellos სწრაფი გადართვისთვის (<1 ს).

მარშრუტიზაციის პოლიტიკა (TE)

LocalPref/Med/AS-Path - აპლინკის შერჩევა.
Communities - განათავსეთ ტრაფიკი (stg/stg, გადახდის PSP, CDN) დიფერენცირებული გადაწყვეტილებებისთვის.
Blackhole/Sinkhole - სწრაფი „შავი ხვრელი “/32 თავდასხმებზე.
uRPF/RTBH - ანტიპოპულარული და დისტანციური შავი ხვრელი პროვაიდერით.

ოფისების კავშირი DC/Cloud

SD-WAN: არხის დინამიური არჩევანი (MPLS/INTE/LTE), დაშიფვრა, პერიფერიული პოლიტიკა.
MPLS L3VPN: იზოლირებული VRF საიტებს შორის, დეტერმინისტული შეფერხება.
IPSec/GRE over IPSec/WireGuard: სწრაფი დასაწყისი, მაგრამ დაგეგმეთ MTU/Fragmentation და QoS.

NAT, CGNAT და ინტერნეტი

NAT44/NAT66 (იშვიათად) და NPTv6. გადახდის ინტეგრაციისთვის შეინახეთ წყარო IP აუზები და თეთრი სიები.
egress ბალანსი: რამდენიმე NAT კარიბჭე ECMP, hash sticky.
Hairpin/Policy-Based Routing - DMZ/ინსპექციის სპეციფიკისთვის.

QoS და ტრაფიკის კლასები

კლასები: რეალური დრო (VoIP/გაცვლითი ფიდები), interactive (API), bulk (bacaps/ETL).
Marking (DSCP), policing/shaping, LLQ/WRR.
API/გადახდების დაცვა - გამოყოფილი კლასი მინიმალური შეფერხების გარანტიით; bulk შეზღუდეთ მწვერვალებში.

მარშრუტიზაციის უსაფრთხოება

BGP: TTL უსაფრთხოება, max-prefix, RPKI (მარშრუტი-აღმნიშვნელი), პროვაიდერის პრეფიქსი.
IGP: მეზობლების (HMAC) ავთენტიფიკაცია, მენეჯმენტის თვითმფრინავის იზოლაცია (OOB).
სეგმენტი: VRF „გადახდის“, „კამერის“, „საზოგადოებრივი“ ზონებისთვის; ACL- ს VRF- ს შორის მხოლოდ საჭირო პორტებზე.
Anycast სერვისები: health - withdraw განცხადება დეგრადაციის დროს.

დაკვირვება და SLO

SLO (მაგალითები)

მონაცემთა ცენტრის შიგნით: RTT p95-200-300, დანაკარგები 0. 01%.
საიტებს შორის (L3VPN/SD-WAN): RTT p95-X ms (თქვენი პროფილის მიხედვით), ზარალი 0. 1%.
კონვერგენცია უარის თქმის დროს: 1 ს (IGP/BFD), 5 წმ (eBGP).

მეტრიკა

'RTT', 'loss', 'jitter', 'ECMP entropy', 'BFD სახელმწიფო', 'BGP prefixes/changes', 'CPU/TCAM' კონცენტრატორებზე, QoS oS - ის რიგების შევსება.
აქტიური probing: IP-SLA/SmokePing, per-clasS QoS.
Flow ტელემეტრია: sFlow/NetFlow/IPFIX ტრაფიკის პროფილებისთვის და DDoS.

ტიპიური კონფიგურაციები (ფრაგმენტები)

FRR (BGP underlay + EVPN)

conf router bgp 65000 bgp router-id 10. 0. 0. 1 neighbor SPINE peer-group neighbor SPINE remote-as 65000 neighbor 10. 0. 0. 11 peer-group SPINE neighbor 10. 0. 0. 12 peer-group SPINE
!
address-family l2vpn evpn neighbor SPINE activate advertise-all-vni exit-address-family
!
interface lo ip address 10. 0. 0. 1/32

Linux (ECMP egress)

bash ip route add 0. 0. 0. 0/0 \
nexthop via 203. 0. 113. 1 weight 1 \
nexthop via 203. 0. 113. 2 weight 1

BFD მეზობელთან (Cisco სტილი, კონცეფცია)

bfd interval 50 min_rx 50 multiplier 5 interface Po1 bfd echo ip ospf network point-to-point

ოპერაციები და DR

Change Control: ეტაპობრივი შეყვანა (ერთი Leaf/Spine), ერთი VNI/VRF.
Auto-withdraw: მომსახურება ამცირებს - ჩვენ ვიხსენებთ Anycast-/32.
Runbooks: Spine- ის დაკარგვა, EVPN მარყუჟები, ECMP ბილიკის დახურვა, აპლინის დეგრადაცია, blackhole ჩანართი.
IPAM დოკუმენტაცია: ვინ ფლობს ქვესახეობას/AS, სადაც არის განცხადება, სადაც NAT.

ჩეკის განხორციელების სია

• შეირჩა ტოპოლოგია (Leaf-Spine), შექმნილია oversubscription და fat-tree სიგანე.
• IPAM: შეჯამება, ზრდის რეზერვი, ცალკეული ბლოკები overlay loopback '.
• Underlay IGP/iBGP, BFD; Overlay EVPN/VXLAN, RR на Spine.
• VRF/ACL ზონებისთვის, East west და ჩრდილოეთ სამხრეთის პოლიტიკისთვის.
• Egress დიზაინი: NAT აუზები, თეთრი სიები PSP/CDN, Anycast, სადაც საჭიროა.
• QoS კლასები და SLO (RTT/loss/jitter), წინა კლასი მონიტორინგი.
• აღმოჩენა და დაცვა: RPKI, prefix filters, uRPF, RTBH.
• დაკვირვება: BGP ცვლილებები, BFD, IP-SLA, sFlow; დაშბორდები/ალერტები.
• DR გეგმები: Spine/line/aplinka, withdraw Anycast, ტრაფიკის მიგრაცია.

ტიპიური შეცდომები

L2 გაჭიმვა EVPN/VXLAN - STP ქარიშხლის გარეშე და არაპროგნოზირებადი failover.
არ არსებობს BFD/fast-hellos - პროგრამების გრძელი გადართვები და ტაიმაუტები.
„სახელმძღვანელო“ IP გეგმა, მთლიანობის გარეშე, არის მარშრუტების ცხრილების აფეთქება.
გადატვირთული ECMP-hash არის ასიმეტრია და პრობლემები stateful ფილტრებთან.
eBGP- ზე RPKI/prefix filters- ის არარსებობა ჰიჯეკის რისკს წარმოადგენს.
QoS „ნაგულისხმევი“ - API კონკურენციას უწევს ზურგჩანთებს.
Anycast health-driven withdraw- ის გარეშე არის შავი ხვრელები ნაწილობრივი ხვრელებით.

სპეციფიკა iGaming/fintech

დაბალი p95 API/გადახდებისთვის: გამოყოფილი QoS კლასი, Anycast endpowints, latency-routing DNS/GSLB.
PSP/პროვაიდერების თეთრი სიები: ფიქსირებული egress-IP, სარეზერვო აუზები, სწრაფი გადართვა.
მწვერვალი მოვლენები: headroom - 30% Spine - Leaf, კოლოფები ბულკის კლასის გამორთვისთვის.
მარეგულირებელი/PII: VRF იზოლაცია, e2e დაშიფვრა, მკაცრი ACL ადგილებს შორის.

მინი ფლეიბუკები

1) სწრაფი withdraw Anycast დეგრადაციის დროს

1. Health-check <ბარიერი (2) სკრიპტი/მაკონტროლებელი ამოიღებს '/32 'ანონსებს (3) გარე ტესტის შემოწმებას (4) მანქანის დაბრუნება სტაბილიზაციის დროს.

2) ტრაფიკის გადაცემა სარეზერვო აპლინკზე

1. შეამცირეთ LocalPref- ის ძირითადი (2) გაზრდა სარეზერვო (3) ზარალის დაკვირვებით/RTT (4) ცვლილებების დაფიქსირება.

3) ქარხნის „ცხელი“ გაფართოება

1. დაამატეთ Spine, დააკავშიროთ ყველა Leaf (2) დაამატეთ Leaf წყვილი თაროებში (3) iBGP/OSPF სამეზობლოში, შეამოწმეთ ECMP ენტროპია (4) დატვირთვის გადაცემა.

შედეგი

სტაბილური ქსელია Leaf-Spine + ECMP, EVPN/VXLAN მოქნილი L2/L3 მულტიპლიკაციისთვის, BGP პოლიტიკა და სწრაფი failover მეტრული კონტროლის ქვეშ. დაამატეთ კომპეტენტური IPAM, QoS, RPKI/ფილტრები, ავტომატიზირებული health - routing კომუნიკაციები და ცოცხალი runbook - და თქვენი პლატფორმა პროგნოზირებად მიაწვდის ტრაფიკს ყველაზე ცხელ საათშიც კი.