Желілер топологиясы және бағыттар

Қысқаша түйіндеме

Желі үш тірек: топология, сегменттеу, маршруттау айналасында құрылады. Қазіргі заманғы фабрика - бұл Leaf-Spine (fat-tree) ECMP, overlay VXLAN/EVPN үшін L2-кеңейтулер және BGP «әмбебап желім» ретінде. Кідіру/жоғалту бойынша дұрыс берілген SLO, QoS және fast-failover мінез-құлықты ең жоғары RPS астында болжауға болады.

Топологиялардың базалық модельдері

Core/Distribution/Access (классикалық)

Артықшылықтары: түсініктілік, шағын желілер/кеңселер үшін жақсы.
Кемшіліктері: Core-дегі «бөтелке мойны», көлденең масштабтау нашар.

Leaf-Spine (fat-tree, CLOS)

Spine - магистраль, Leaf - серверлерге арналған tor-коммутаторлар.
Барлық Leaf барлық Spine → ECMP және болжамды кідіріспен қосылған.
Масштабтау - мекенжай жоспарын рефакторингсіз Leaf/Spine қосу.

Ring/Mesh/Star

Нүктелі пайдаланылады (PoP, кампус). DC үшін - шектеулі.

Ұсыным: Орталықтар мен ірі алаңдар үшін - Leaf-Spine. Филиалдар/офистер үшін - оңайлатылған Core/Access + SD-WAN.

Сегментация және мекенжай кеңістігі

VLAN - L2 сегментациясы (Broadcast-домендер).
VRF - L3 сегментациясы (мультиаренділік, dev/stg/prod).
IPAM/жиынтықтау: сервис/аймаққа '/24 'блоктарымен жоспарлаңыз, қарапайым бағыт саясаттары үшін '/20' және одан жоғары агрегаттаңыз.
Dual-stack: IPv4 + IPv6, SLAAC/DHCPv6, RA-гварды, префикс-саясат.

Overlay/Underlay: VXLAN/EVPN

Underlay: IP-фабрикасы (Leaf-Spine) iBGP/OSPF/IS-IS.
Overlay: VXLAN L3 үстінен L2 тасымалдайды; EVPN (BGP) - MAC/IP-маршруттауға арналған бақылау-плейн, VNI/VRF арқылы көп теңгерімділік.
Артықшылықтары: STP жоқ L2-созылу, жылдам конвергенция, орталықтандырылған саясат.

• Leaf - VTEP-IP үшін loopback бар VTEP.
• Spine — route-reflector для EVPN.
• EVPN (MAC/IP, IMET, L3-өзара іс-қимыл) бағыттарының түрлері ARP-supression және масштабты қамтамасыз етеді.

Бағыттау және рөлдер хаттамалары

IGP (домен ішінде)

OSPF/IS-IS: жылдам жанасу, қарапайым метризация. Underlay үшін жақсы.
iBGP: IGP үстінде немесе оларсыз (BGP-only fabric) route-reflector 'термен.

EGP (домен аралық)

eBGP: провайдерлермен peering/PSP/CDN, communities/LP/AS-Path саясаты.
Anycast: бірнеше PoP-те бірдей IP, «ең жақын» бағыты (BGP + health-check анонстарға).

ECMP и fast-failover

ECMP ағындарды теңдей жолдар арасында бөледі.
flow-hash (5-tuple) бағдарламасын қадағалаңыз, stateful middlebox's үшін ассиметриядан аулақ болыңыз.
BFD/fast-hellos жылдам ауыстырып қосу үшін (<1 с).

Бағыттау саясаты (TE)

LocalPref/Med/AS-Path - аплинктердің селекциясы.
Communities - сараланған шешімдер үшін трафикті белгілеңіз (prod/stg, төлем PSP, CDN).
Blackhole/Sinkhole - шабуылдарға жылдам «қара тесік »/32.
uRPF/RTBH - анти-спуфинг және провайдері бар қашық қара тесік.

Байланыстылық кеңселері, DC/Cloud

SD-WAN: арнаны динамикалық таңдау (MPLS/INTERNET/LTE), шифрлау, пер-апп-саясат.
MPLS L3VPN: алаңдар арасында оқшауланған VRF, детерминирленген кідіріс.
IPSec/GRE over IPSec/WireGuard: жылдам бастау, бірақ MTU/Fragmentation және QoS жоспарлаңыз.

NAT, CGNAT және интернетке шығу

NAT44/NAT66 (сирек) және NPTv6. Төлем интеграциялары үшін source IP пулдарын және ақ тізімдерді сақтаңыз.
egress-баланс: ECMP үшін бірнеше NAT-шлюздер, хэш бойынша sticky.
Hairpin/Policy-Based Routing - DMZ/инспекция ерекшелігі үшін.

QoS және трафик сыныптары

Сыныптар: real-time (VoIP/биржалық фидтер), interactive (API), bulk (бэкаптар/ETL).
Marking (DSCP), policing/shaping, LLQ/WRR.
API/төлемдерін қорғау - ең аз кідіріс кепілдігімен бөлінген сынып; bulk шыңдарын шектеңіз.

Бағыттау қауіпсіздігі

BGP: TTL security, max-prefix, RPKI (route-origin validation), prefix-filters провайдерде.
IGP: көршілерді аутентификациялау (HMAC), басқару жазықтығын оқшаулау (OOB).
Сегментация: «төлем», «операторлық», «жария» аймақтар үшін VRF; Тек қажетті порттар бойынша VRF арасындағы ACL.
Anycast Services: health → withdraw деградация кезінде анонс.

Бақылау және SLO

SLO (мысалдар)

ЦОД ішінде: RTT p95 ≤ 200-300 μ s, ≤ шығындары 0. 01%.
Алаңдар арасында (L3VPN/SD-WAN): RTT p95 ≤ X ms (сіздің профиліңіз бойынша), жоғалту ≤ 0. 1%.
Бас тартқан кездегі конвергенция: ≤ 1 с (IGP/BFD), ≤ 5 с (eBGP).

Метрика

Коммутаторларда 'RTT', 'loss', 'jitter', 'ECMP entropy', 'BFD state', 'BGP prefixes/changes', 'CPU/TCAM', QoS кезектерін толтыру.
Active probing: IP-SLA/SmokePing, QoS пер-класы.
Flow-телеметрия: sFlow/NetFlow/IPFIX трафик профилі және DDoS үшін.

Үлгілік конфигалар (фрагменттер)

FRR (BGP underlay + EVPN)

conf router bgp 65000 bgp router-id 10. 0. 0. 1 neighbor SPINE peer-group neighbor SPINE remote-as 65000 neighbor 10. 0. 0. 11 peer-group SPINE neighbor 10. 0. 0. 12 peer-group SPINE
!
address-family l2vpn evpn neighbor SPINE activate advertise-all-vni exit-address-family
!
interface lo ip address 10. 0. 0. 1/32

Linux (ECMP egress)

bash ip route add 0. 0. 0. 0/0 \
nexthop via 203. 0. 113. 1 weight 1 \
nexthop via 203. 0. 113. 2 weight 1

BFD көршіге (Cisco-стиль, тұжырымдама)

bfd interval 50 min_rx 50 multiplier 5 interface Po1 bfd echo ip ospf network point-to-point

Операциялар және DR

Change-control: кезең-кезеңмен енгізу (бір Leaf/Spine), бір VNI/VRF бойынша canary.
Автопочка (auto-withdraw): сервис деградацияланады - Anycast-/32 қайтарып аламыз.
Runbooks: Spine жоғалту, EVPN ілмегі, ECMP жолын жабу, аплинктің тозуы, blackhole-кірістіру.
IPAM құжаттамасы: кіші желіні кім иеленеді/AS, анонс қайда, NAT қайда.

Енгізу чек-парағы

• Топология (Leaf-Spine) таңдалған, oversubscription және fat-tree ені есептелген.
• IPAM: жиынтық, өсу үшін резерв, overlay loopback 'i үшін жеке блоктар.
• Underlay IGP/iBGP, BFD; Overlay EVPN/VXLAN, RR на Spine.
• Аймақтар, шығыс-батыс және солтүстік-оңтүстік саясаты үшін VRF/ACL.
• Egress-дизайн: NAT пулы, PSP/CDN ақ тізімдері, қажет жерде Anycast.
• QoS сыныптар және SLO (RTT/loss/jitter), пер-класс мониторинг.
• Табу және қорғау: RPKI, prefix-filters, uRPF, RTBH.
• Бақылау қабілеті: BGP-өзгерістер, BFD, IP-SLA, sFlow; дашбордтар/алерттар.
• DR-жоспарлары: Spine/link/аплинк, withdraw Anycast, трафик көші-қоны.

Типтік қателер

L2-созылу EVPN/VXLAN → STP-дауылдарсыз және болжанбайтын failover.
Жоқ BFD/fast-hellos → ұзақ ауыстырып қосу және уақыт қолданбалар.
Қосындысыз «қолмен» IP-жоспар → маршруттар кестелерін жару.
Шамадан тыс жүктелген ECMP-hash → асимметрия және stateful-сүзгілермен проблемалар.
eBGP → хайджек тәуекелінде RPKI/prefix-filters болмауы.
QoS «әдепкі» → API бэкаптармен бәсекелеседі.
Anycast health-driven withdraw → жартылай істен шыққан кезде қара тесіктер.

iGaming/финтех ерекшелігі

API/төлемдер үшін төмен p95: бөлінген QoS-класс, Anycast-эндпойнттар, DNS/GSLB бойынша latency-routing.
PSP/провайдерлердің ақ тізімдері: бекітілген egress-IP, резервтік пулдар, жылдам ауыстырып қосу.
Ең жоғары оқиғалар: headroom ≥ 30% Spine, Leaf сілтемелері, bulk сыныбын өшіруге арналған тұтқалар.
Реттегіш/PII: VRF-оқшаулау, e2e-шифрлау, аймақтар арасында қатаң ACL.

Шағын ойнатқыштар

1) Тозу кезінде тез withdraw Anycast

1. Health-check <табалдырық → 2) скрипт/контроллер түсіреді '/32 'анонс → 3) сыртқы сынамаларды тексеру → 4) тұрақтандыру кезінде авто қайтару.

2) Трафикті резервтік аплинкке ауыстыру

1. LocalPref негізін төмендету → 2) резервте көтеру → 3) жоғалтуды бақылау/RTT → 4) өзгерістерді тіркеу.

3) Фабриканың «ыстық» кеңеюі

1. Spine қосу, барлық Leaf қосыңыз → 2) бағандарда Leaf-жұп қосу → 3) iBGP/OSPF көршілес, ECMP-энтропия тексеру → 4) жүктемелерді ауыстыру.

Жиынтық

Тұрақты желі - бұл Leaf-Spine + ECMP, EVPN/VXLAN икемді L2/L3-мультиаренділігі, BGP-саясаты және метрлердің бақылауындағы жылдам failover үшін. Сауатты IPAM, QoS, RPKI/сүзгілерді, автоматтандырылған health → routing байланыстарын және тірі runbook-і қосыңыз - және сіздің платформаңыз ең ыстық уақытта да трафикті жеткізеді.