Тармактардын топологиясы жана маршруттары

Кыскача резюме

тармак үч таяныч айланасында курулган: топология, сегменттөө, багыттоо. Заманбап фабрика ЭКМП, overlay VXLAN/EVPN үчүн L2-узартуу жана BGP менен "универсалдуу желим" болуп саналат. Туура кечигүү/жоготуу SLO белгиленген, QoS жана fast-failover жогорку RPS астында жүрүм-турумун алдын ала болот.

Топологиялардын негизги моделдери

Core/Distribution/Access (классикалык)

Артыкчылыктары: түшүнүктүүлүк, чакан тармактар/кеңселер үчүн жакшы.
кемчиликтери: Core боюнча "бөтөлкө оозу", начар горизонталдык масштабдуу.

Leaf-Spine (fat-tree, CLOS)

Spine - магистраль, Leaf - сервердер үчүн тор-коммутаторлор.
Бардык Leaf бардык Spine → ECMP жана алдын ала кечигүү менен байланышкан.
Масштабдоо - дарек планын чагылдыруусуз Leaf/Spine кошуу.

Ring/Mesh/Star

максаттуу колдонулат (PoP, кампус). DC үчүн - чектелген.

Сунуш: DPC жана ири сайттар үчүн - Leaf-Spine. Филиалдар/кеңселер үчүн - жөнөкөйлөштүрүлгөн Core/Access + SD-WAN.

Сегментация жана дарек мейкиндиги

VLAN - L2 сегментация (Broadcast домендер).
VRF - L3 сегментациясы (мультиаренддик, dev/stg/prod).
IPAM/жалпылоо: жөнөкөй жол саясаты үчүн '/20 'жана жогоруда '/24' кызматтын/аймактын блокторун пландаштыруу.
Dual-stack: IPv4 + IPv6, SLAAC/DHCPv6, RA-саптарды, алдын ала саясат.

Overlay/Underlay: VXLAN/EVPN

Underlay: IP Factory (Leaf-Spine) менен iBGP/OSPF/IS-IS.
Overlay: VXLAN L3 үстүнөн L2 берет; EVPN (BGP) - MAC/IP багыттоо, VNI/VRF аркылуу көп тенанттуулук үчүн контролдук-план.
Артыкчылыктары: STP жок L2-чоюлуу, тез конвергенция, борборлоштурулган саясат.

• Leaf - VTEP-IP үчүн loopback менен VTEP.
• Spine — route-reflector для EVPN.
• EVPN маршруттарынын түрлөрү (MAC/IP, IMET, L3-өз ара аракеттенүү) ARP-supression жана масштабын камсыз кылат.

Багыттоо протоколдору жана ролдору

IGP (домен ичинде)

OSPF/IS-IS: тез окшоштук, жөнөкөй метризация. underlay үчүн жакшы.
iBGP: IGP жогору же жок (BGP-only fabric) route-reflectors менен.

EGP (домен аралык)

eBGP: берүүчүлөр/PSP/CDN менен peering, communities/LP/AS-Path саясаты.
Anycast: бир нече PoP боюнча бирдей IP, багыттоо "жакын" (BGP + кулактандыруулар боюнча ден соолук-текшерүү).

ECMP и fast-failover

ECMP агымдарды бирдей жолдор арасында бөлүштүрөт.
flow-hash (5-tuple), stateful middlebox үчүн асимметрия качуу.
BFD/fast-hellos тез которуу үчүн (<1 с).

Багыттоо саясаты (TE)

LocalPref/Med/AS-Path - аплинктерди тандоо.
Communities - дифференцияланган чечимдер үчүн трафикти белгилөө (prod/stg, төлөм PSP, CDN).
Blackhole/Sinkhole - тез "кара тешик "/32 кол салуу.
uRPF/RTBH - анти-спуфинг жана провайдер менен алыскы кара тешик.

Байланыш бюролору, DC/Cloud

SD-WAN: динамикалык канал тандоо (MPLS/INTERNET/LTE), шифрлөө, per-апп саясаты.
MPLS L3VPN: сайттардын ортосунда VRF изоляцияланган, детерминацияланган кечигүү.
IPSec/GRE over IPSec/WireGuard: тез баштоо, бирок MTU/Fragmentation жана QoS пландаштыруу.

NAT, CGNAT жана Интернет

NAT44/NAT66 (сейрек) жана NPTv6. Төлөм интеграциясы үчүн IP пулдарды жана ак тизмелерди сактаңыз.
egress балансы: ECMP үчүн бир нече NAT шлюздары, хэш боюнча sticky.
Hairpin/Policy-Based Routing - DMZ/текшерүү өзгөчөлүктөрү үчүн.

QoS жана трафик класстары

Класстар: реалдуу убакыт (VoIP/биржалык пайда), interactive (API), bulk (backaps/ETL).
Marking (DSCP), policing/shaping, LLQ/WRR.
API/төлөмдөрдү коргоо - минималдуу кечигүү кепилдиги менен бөлүнгөн класс; bulk чокуларды чектөө.

Routing коопсуздук

BGP: TTL security, max-prefix, RPKI (route-origin validation), prefix-filters жөнөтүүчүдөн.
IGP: кошуна аутентификация (HMAC), башкаруу-учак изоляция (OOB).
Сегментация: "төлөм", "оператордук", "коомдук" зоналар үчүн VRF; VRF ортосунда ACL гана керектүү порттордо.
Anycast кызматтар: ден соолук → withdraw кулактандыруу деградация.

Байкоо жана SLO

SLO (мисалдар)

DPC ичинде: RTT p95 ≤ 200-300 μ s, жоготуу ≤ 0. 01%.
Сайттардын ортосунда (L3VPN/SD-WAN): RTT p95 ≤ X ms (сиздин профилиңиз боюнча), жоготуулар ≤ 0. 1%.
Баш тартуу конвергенциясы: ≤ 1 с (IGP/BFD), ≤ 5 с (eBGP).

Метрика

'RTT', 'loss', 'jitter', 'ECMP entropy', 'BFD state', 'BGP prefixes/changes', 'CPU/TCAM' коммутаторлордо, QoS кезектерин толтуруу.
Active probing: IP-SLA/SmokePing, пер-класс QoS.
Flow-телеметрия: sFlow/NetFlow/IPFIX трафик профилдери жана DDoS үчүн.

Типтүү конфиги (фрагменттер)

FRR (BGP underlay + EVPN)

conf router bgp 65000 bgp router-id 10. 0. 0. 1 neighbor SPINE peer-group neighbor SPINE remote-as 65000 neighbor 10. 0. 0. 11 peer-group SPINE neighbor 10. 0. 0. 12 peer-group SPINE
!
address-family l2vpn evpn neighbor SPINE activate advertise-all-vni exit-address-family
!
interface lo ip address 10. 0. 0. 1/32

Linux (ECMP egress)

bash ip route add 0. 0. 0. 0/0 \
nexthop via 203. 0. 113. 1 weight 1 \
nexthop via 203. 0. 113. 2 weight 1

BFD кошуна (Cisco-стили, түшүнүк)

bfd interval 50 min_rx 50 multiplier 5 interface Po1 bfd echo ip ospf network point-to-point

Иш жана DR

Change-control: этап-этабы менен киргизүү (бир Leaf/Spine), канары бир VNI/VRF.
Auto-withdraw: деградация кызматы - кайра чакыртып алуу Anycast-/32.
Runbooks: Spine жоготуу, EVPN Loop, ECMP-жол жабуу, аплинктин бузулушу, blackhole-киргизүү.
IPAM документтештирүү: Ким субторгуна ээ/AS, кайда кулактандыруу, кайда NAT.

Киргизүү чек-тизмеси

• Тандалган топология (Leaf-Spine), эсептелген oversubscription жана туурасы fat-tree.
• IPAM: жалпы, өсүш үчүн камдык, loopback 'overlay астында өзүнчө блоктор.
• Underlay IGP/iBGP, BFD; Overlay EVPN/VXLAN, RR на Spine.
• VRF/ACL аймактар, чыгыш-батыш жана түндүк-түштүк саясаты үчүн.
• Egress-дизайн: NAT бассейндер, ак PSP/CDN тизмелери, зарыл болгон жерде Anycast.
• QoS класстар жана SLO (RTT/loss/jitter), per-класс мониторинг.
• Аныктоо жана коргоо: RPKI, префикс-filters, uRPF, RTBH.
• байкоо: BGP-өзгөрүүлөр, BFD, IP-SLA, sFlow; dashbord/alerty.
• DR-пландар: Spine/link/аплинк, withdraw Anycast, трафик көчүрүү.

Типтүү каталар

L2-узартуу жок EVPN/VXLAN → STP-бороон-чапкын жана күтүүсүз өлтүргүч.
Жок BFD/fast-hellos → узак которуу жана убакыт колдонмолор.
"Кол" суммасын жок IP планы → маршруттук таблицалар жарылуу.
Ашыкча ECMP-hash → асимметрия жана stateful-чыпкалар менен көйгөйлөр.
eBGP боюнча RPKI/prefix-filters жок → хайджек коркунучу.
QoS "демейки" → API backaps менен атаандашат.
Anycast жок health-driven withdraw → жарым-жартылай ийгиликсиз кара тешиктер.

iGaming/Fintech үчүн өзгөчөлүктөрү

API/төлөмдөр үчүн төмөн p95: атайын QoS-класс, Anycast-EndPoints, DNS/GSLB боюнча latency-routing.
Ак тизмеси PSP/провайдерлер: белгиленген egress-IP, камдык бассейндер, тез которуу.
Эң жогорку окуялар: headroom 30% Spine Leaf линиялары, Булк классты өчүрүү туткалары.
Жөнгө салуучу/PII: VRF-изоляция, e2e-шифрлөө, зоналардын ортосунда катуу ACL.

Mini Playbook

1) Тез withdraw Anycast деградация

1. Health-check <босого → 2) скрипт/контроллер алып '/32 'анонс → 3) тышкы сыноо текшерүү → 4) турукташтыруу боюнча auto-кайтаруу.

2) Жол кыймылын резервдик аплинкке өткөрүү

1. LocalPref негизги төмөндөтүү → 2) камдык жогорулатуу → 3) жоготуу байкоо/RTT → 4) өзгөрүүлөрдү чечүү.

3) "ысык" фабрика кеңейтүү

1. Spine кошуу, бардык Leaf кошуу → 2) стойкаларда Leaf-жуп кошуу → 3) iBGP/OSPF чектеш, ECMP-Entropy текшерүү → 4) жүктөрдү өткөрүп берүү.

Жыйынтык

Туруктуу тармак - бул Leaf-Spine + ECMP, EVPN/VXLAN үчүн ийкемдүү L2/L3-мультиаренддик, BGP саясаты жана метриктердин көзөмөлү астында тез колдонуучу. компетенттүү IPAM, QoS, RPKI/чыпкалар, автоматташтырылган health → routing байланыштар жана жандуу runbook-и кошуу - жана сиздин платформа да ысык саатта жол жеткирүүгө болот.