네트워크 토폴로지 및 경로
간략한 요약
네트워크는 토폴로지, 세분화, 라우팅의 세 가지 기둥을 중심으로 구축됩니다. 최신 공장은 ECMP가있는 Leaf-Spine (지방 트리), L2 확장 용 VXLAN/EVPN 오버레이 및 "범용 접착제" 인 BGP입니다. "적절하게 지정된 지연/손실 SLO, QoS 및 빠른 장애로 인해 최대 RPS 하에서 동작을 예측할 수 있습니다.
기본 토폴로지 모델
핵심/배포/액세스 (클래식)
장점: 소규모 네트워크/사무실에 적합합니다.
단점: 코어에서 병목 현상이 발생하여 수평 스케일링이 악화됩니다.
잎 가시 (지방 나무, 클로스)
스파인-백본, 리프-서버 용 토러스 스위치.
모든 잎은 모든 Spine → ECMP에 연결되어 있으며 예측 가능한 지연입니다.
스케일링-주소 계획을 리팩토링하지 않고 Leaf/Spine을 추가합니다.
링/메쉬/스타
사용 지점 (PoP, 캠퍼스). DC의 경우 - 제한적입니다
추천: 데이터 센터 및 대규모 사이트-Leaf-Spine. 지점/사무실-단순화 된 핵심/액세스 + SD-WAN.
세분화 및 주소 공간
VLAN-L2 세분화 (브로드 캐스트 도메인).
VRF - L3 세분화 (멀티리스, 개발/stg/prod).
IPAM/요약: 서비스/영역의 경우 블록 '/24 ', 간단한 라우팅 정책의 경우 '/20' 이상으로 계획하십시오.
이중 스택: IPv4 + IPv6, SLAAC/DHCPv6, RA 가드, 접두사 정책.
오버레이/언더 레이: VXLAN/EVPN
언더 레이: iBGP/OSPF/IS-IS가있는 IP 팩토리 (Leaf-Spine).
오버레이: VXLAN은 L3보다 L2를 운반합니다. EVPN (BGP) - MAC/IP 라우팅 용 제어 평면, VNI/VRF를 통한 멀티 테넌시.
장점: STP가없는 L2 스트레칭, 빠른 수렴, 중앙 집중식 정책.
- 잎-VTEP-IP 용 루프백이있는 VTEP.
- 스파인-경로 반사기
- EVPN 경로 유형 (MAC/IP, IMET, L3 인터워킹) 은 ARP 억제 및 스케일을 제공합니다.
라우팅 프로토콜 및 역할
IGP (도메인 내)
OSPF/IS-IS: 빠른 수렴, 간단한 측정. 언더 레이에 좋습니다.
iBGP: 경로 반사경이있는 IGP (BGP 전용 패브릭) 이상 또는 유무합니다.
EGP (크로스 도메인)
eBGP: 공급자/PSP/CDN과의 관계, 커뮤니티/LP/AS-Path 정책.
모든 캐스트: 여러 PoP에서 동일한 IP, "가장 가까운" 라우팅 (BGP + 발표 상태 확인).
ECMP! fast-failover
ECMP는 동일한 경로간에 흐름을 분배합니다.
흐름 해시 (5 튜플) 를 조심하고 고정 된 미들 박스의 비대칭을 피하십시오.
빠른 전환을위한 BFD/fast-hellos (<1 s).
경로 정책 (TE)
LocalPref/Med/AS-Path-aplink 선택.
커뮤니티 - 차별화 된 솔루션에 대한 마크 트래픽 (prod/stg, 결제 PSP, CNC).
블랙홀/싱크 홀은 공격을위한 빠른 블랙홀/32입니다.
uRPF/RTBH-공급자가있는 스푸핑 방지 및 원격 블랙홀.
연결실 DC/클라우드
SD-WAN: 동적 채널 선택 (MPLS/INTERNET/LTE), 암호화, 앱 당 정책.
MPLS L3VPN: 사이트 간 분리 된 VRF, 결정 론적 지연.
IPSec/WireGuard를 통한 IPSec/GRE: 빠른 시작이지만 MTU/Fragmentation 및 QoS를 계획하십시오.
NAT, CGNAT 및 인터넷 액세스
NAT44/NAT66 (희귀) 및 NPTv6. 결제 통합의 경우 저장 소스 IP 풀 및 화이트리스트가 있습니다.
출구 균형: ECMP 당 여러 개의 NAT 게이트웨이, 해시로 끈적 끈적합니다.
특정 DMZ/검사를위한 헤어핀/정책 기반 라우팅.
QoS 및 트래픽 클래스
클래스: 실시간 (인터페이스/교환 피드), 대화 형 (API), 벌크 (백업/ETL).
마킹 (DSCP), 정책/성형, LLQ/WRR.
API 보호/지불-최소 지연이 보장되는 전용 클래스; 스파이크의 벌크 제한.
라우팅 보안
BGP: TTL 보안, 최대 접두사, RPKI (경로 원점 검증), 공급자의 접두사 필터.
IGP: 이웃 인증 (HMAC), 관리 평면 격리 (OOB).
세분화: "지불", "운영자", "공공" 구역에 대한 VRF; 원하는 포트에서만 VRF간의 ACL.
모든 캐스트 서비스: 건강 → 저하시 발표.
관찰 가능성 및 SLO
SLO (예)
데이터 센터 내부: RTT p95 λ200-300 μs, 소실 0. 01%.
사이트 간 (L3VPN/SD-WAN): RTT p95 1%.
실패 수렴: 10 초 (IGP/BFD), 5 초 (eBGP).
측정 항목
'RTT', '손실', '지터', 'ECMP 엔트로피', 'BFD 상태', 'BGP 접두사/변경', 스위치의 'CPU/TCAM', QoS 대기열을 채 웁니다.
능동 프로빙: IP-SLA/SmokePing, 클래스 당 QoS.
흐름 원격 측정: 트래픽 프로파일 및 DDoS를위한 sFlow/NetFlow/IPFIX.
전형적인 구성 요소 (조각)
FRR (BGP 언더 레이 + EVPN)
conf router bgp 65000 bgp router-id 10. 0. 0. 1 neighbor SPINE peer-group neighbor SPINE remote-as 65000 neighbor 10. 0. 0. 11 peer-group SPINE neighbor 10. 0. 0. 12 peer-group SPINE
!
address-family l2vpn evpn neighbor SPINE activate advertise-all-vni exit-address-family
!
interface lo ip address 10. 0. 0. 1/32Linux (ECMP 탈출)
bash ip route add 0. 0. 0. 0/0 \
nexthop via 203. 0. 113. 1 weight 1 \
nexthop via 203. 0. 113. 2 weight 1이웃에게 BFD (시스코 스타일, 개념)
bfd interval 50 min_rx 50 multiplier 5 interface Po1 bfd echo ip ospf network point-to-point운영 및 DR
변경 제어: 위상 진입 (하나의 잎/스파인), 카나리아 하나의 VNI/VRF.
자동 내부: 서비스 저하-Anycast-/32를 리콜하십시오.
런북: 스파인 손실, EVPN 루프, ECMP 경로 폐쇄, aplink 저하, 블랙홀 인서트.
IPAM 문서: 서브넷/AS를 소유 한 사람, 발표는 어디에 있고 NAT는 어디에 있습니까?
구현 체크리스트
- Leaf-Spine이 선택, 초과 구독 및 지방 트리 너비를 계산했습니다.
- IPAM: 요약, 성장 예비, 오버레이 루프백을위한 개별 블록.
- 언더 레이 IGP/iBGP, BFD; 오버레이 EVPN/VXLAN, RR неSpine.
- 지역, 동서 및 남북 정책에 대한 VRF/ACL.
- 탈출 디자인: NAT 풀, PSP/CDNA 화이트리스트, 필요한 경우 Anycast.
- QoS 클래스 및 SLO (RTT/손실/지터), 클래스 당 모니터링.
- 탐지 및 보호: RPKI, 접두사 필터, uRPF, RTBH.
- 관찰 가능성: BGP 변경, BFD, IP-SLA, sFlow; 대시 보드/경고.
- DR 계획: Spine/link/aplinka 고장, Anycast 철회, 트래픽 마이그레이션.
공통 오류
EVPN/VXLAN → STP 폭풍과 예측할 수없는 장애없이 L2 스트레치.
BFD/fast-hellos → 긴 전환 및 응용 프로그램 타임 아웃이 없습니다.
요약없이 수동 IP 계획 → 경로 테이블 폭발.
과부하 된 ECMP-hash → 비대칭 및 안정적인 필터 문제.
eBGP → 납치 위험에 대한 RPKI/접두사 필터 부족.
QoS "기본적으로" → API는 백업과 경쟁합니다.
부분 고장시 → 블랙홀 내에 체력이없는 모든 캐스트.
iGaming/fintech 특정
API/결제를위한 낮은 p95: 전용 QoS 클래스, 애니 캐스트 엔드 포인트, 대기 시간 라우팅 (PS/GSLB).
PSP/제공자 화이트리스트: 고정 출구 IP, 중복 풀, 빠른 전환.
피크 이벤트: Spine SL Leaf 링크로 헤드 룸 30% 이상 벌크 클래스를 끄는 핸들.
규제/PII: VRF 격리, e2e 암호화, 영역 간 엄격한 ACL.
미니 플레이 북
1) 열화에 대한 신속한 철회
1. 건강 검사 <임계 값 → 2) 스크립트/컨트롤러는 '/32 '공지 → 3) 외부 샘플 검사 → 4) 안정화 중 자동 반환을 제거합니다.
2) 백업 aplink로 트래픽 전송
1. 메인 → 2) 의 LocalPref를 낮추십시오. → 3) 손실 관찰/RTT → 4) 수정 변경.
3) "핫" 공장 확장
1. Spine을 추가하고 모든 Leaf → 2를 연결하십시오) Leaf 쌍을 랙에 추가합니다 → 3) iBGP/OSPF 이웃, ECMP 엔트로피 → 4) 로드 전송을 확인하십시오.
결과
안정적인 네트워크는 Leaf-Spine + ECMP, 유연한 L2/L3 멀티리스, BGP 정책 및 메트릭 제어 하의 빠른 장애를위한 EVPN/VXLAN입니다. 유능한 IPAM, QoS, RPKI/필터, 자동 통신 상태 → 라우팅 및 라이브 런북을 추가하면 플랫폼이 가장 뜨거운 시간에도 트래픽을 제공 할 수 있습니다.