Torlaryň topologiýasy we ugurlary
Gysgaça gysgaça
Tor üç sütüniň töwereginde gurulýar: topologiýa, segmentasiýa, marşrut. Häzirki zaman zawody ECMP, L2 uzantylar üçin overlay VXLAN/EVPN we "ähliumumy ýelim" hökmünde BGP bilen Leaf-Spine (fat-tree). Gijä galmak/ýitgiler üçin dogry kesgitlenen SLO, QoS we fast-failover, iň ýokary RPS-de özüni alyp barşyny çaklap bolýar.
Topologiýalaryň esasy modelleri
Core/Distribution/Access (nusgawy)
Artykmaçlyklary: düşnüklilik, kiçi torlar/ofisler üçin gowy.
Minuslar: Core-de "çüýşe bokurdagy", has erbet gorizontal masştab.
Leaf-Spine (fat-tree, CLOS)
Spine - magistral, Leaf - serwerler üçin tor-kommutatorlar.
Leaf-iň hemmesi Spine → ECMP we öňünden aýdyp boljak gijikdirme bilen baglanyşykly.
Ulalmak - salgy meýilnamasynyň refaktoringi bolmazdan Leaf/Spine goşmak.
Ring/Mesh/Star
Nokat hökmünde ulanylýar (PoP, kampus). DC üçin - çäkli.
Maslahat: Maglumat merkezi we iri ýerler üçin - Leaf-Spine. Şahamçalar/ofisler üçin - ýönekeýleşdirilen Core/Access + SD-WAN.
Segmentasiýa we salgy giňişligi
VLAN - L2 segmentasiýasy (Broadcast-domen).
VRF - L3 segmentasiýasy (köp kärende, dev/stg/prod).
IPAM/jemleme: hyzmat/zona '/24 'bloklary bilen meýilleşdiriň, ýönekeý marşrut syýasatlary üçin '/20' we ondan ýokary toplaň.
Dual-stack: IPv4 + IPv6, SLAAC/DHCPv6, RA-gward, prefiks-syýasatlar.
Overlay/Underlay: VXLAN/EVPN
Underlay: iBGP/OSPF/IS-IS bilen IP-zawod (Leaf-Spine).
Overlay: VXLAN L2-ni L3-iň üstünden geçirýär; EVPN (BGP) - MAC/IP marşrutizasiýa üçin dolandyryş pleýni, VNI/VRF arkaly köp tenantlyk.
Artykmaçlyklary: STP-siz L2-uzalma, çalt konwergensiýa, merkezleşdirilen syýasatlar.
- Leaf - VTEP-IP üçin loopback bilen VTEP.
- Spine — route-reflector для EVPN.
- EVPN (MAC/IP, IMET, L3-özara täsir) marşrutlarynyň görnüşleri ARP-supression we masştaby üpjün edýär.
Ugrukdyryş we rol teswirnamalary
IGP (domen içinde)
OSPF/IS-IS: çalt ýakynlaşma, ýönekeý metrizasiýa. Underlay üçin gowy.
iBGP: IGP-iň üstünde ýa-da onsuz (BGP-only fabric) route-reflectorlar bilen.
EGP (domenara)
eBGP: üpjün edijiler bilen peering/PSP/CDN, communities/LP/AS-Path syýasaty.
Anycast: birnäçe PoP-de birmeňzeş IP, "iň ýakyn" ugrukdyryş (BGP + saglyk-barlag bildirişleri).
ECMP и fast-failover
ECMP akymlary deň ýollaryň arasynda paýlaýar.
Flow-hash (5-tuple) yzarlaň, stateful middlebox üçin asimmetriýadan gaça duruň.
Çalt geçiş üçin BFD/fast-hellos (<1 s).
Ugrukdyryş syýasaty (TE)
LocalPref/Med/AS-Path - aplinkleriň seleksiýasy.
Aragatnaşyklar - tapawutlandyrylan çözgütler üçin traffigi belläň (prod/stg, PSP töleg, CDN).
Blackhole/Sinkhole - hüjümlere çalt "gara deşik "/32.
uRPF/RTBH - anti-spufing we üpjün ediji bilen uzakdaky gara deşik.
Baglanyşyk ofisleri DC/Cloud
SD-WAN: kanalyň dinamiki saýlanylmagy (MPLS/INTERNET/LTE), şifrlemek, per-ap-syýasatlar.
MPLS L3VPN: meýdançalaryň arasynda izolirlenen VRF, kesgitlenen gijikdirme.
IPSec/GRE over IPSec/WireGuard: çalt başlamak, ýöne MTU/Fragmentation we QoS meýilleşdiriň.
NAT, CGNAT we internete girmek
NAT44/NAT66 (seýrek) we NPTv6. Töleg integrasiýalary üçin IP-howuzlary we ak sanawlary saklaň.
egress-balans: ECMP üçin birnäçe NAT şlýuzlary, hash boýunça sticky.
Hairpin/Policy-Based Routing - DMZ/inspeksiýanyň aýratynlyklary üçin.
QoS we traffik synplary
Synplar: real-time (VoIP/alyş-çalyş peýdalary), interaktiw (API), bulk (bekaplar/ETL).
Marking (DSCP), policing/shaping, LLQ/WRR.
API/tölegleri goramak - iň az gijä galmagyň kepilligi bilen bölünip berlen klas; bulk piklerde çäklendiriň.
Marşrut howpsuzlygy
BGP: Üpjün edijiden TTL security, max-prefix, RPKI (route-origin validation), prefix-filters.
IGP: goňşulary tassyklamak (HMAC), dolandyryş tekizligini izolirlemek (OOB).
Segmentasiýa: "töleg", "operator", "jemgyýetçilik" zolaklary üçin VRF; Diňe zerur portlarda VRF arasynda ACL.
Anycast services: health → withdraw bozulan mahaly bildiriş.
Synlamak we SLO
SLO (mysallar)
Maglumat merkeziniň içinde: RTT p95 ≤ 200-300 μ s, ýitgiler ≤ 0. 01%.
Meýdançalaryň arasynda (L3VPN/SD-WAN): RTT p95 ≤ X ms (profiliňize görä), ýitgiler ≤ 0. 1%.
Ret edilende konwergensiýa: ≤ 1 s (IGP/BFD), ≤ 5 s (eBGP).
Metrikler
Kommutatorlarda 'RTT', 'loss', 'jitter', 'ECMP entropy', 'BFD state', 'BGP prefixes/changes', 'CPU/TCAM', QoS nobatlaryny doldurmak.
Active probing: IP-SLA/SmokePing, per-class QoS.
Akym-telemetriýa: Trafik profilleri we DDoS üçin sFlow/NetFlow/IPFIX.
Adaty konfigikler (bölekler)
FRR (BGP underlay + EVPN)
conf router bgp 65000 bgp router-id 10. 0. 0. 1 neighbor SPINE peer-group neighbor SPINE remote-as 65000 neighbor 10. 0. 0. 11 peer-group SPINE neighbor 10. 0. 0. 12 peer-group SPINE
!
address-family l2vpn evpn neighbor SPINE activate advertise-all-vni exit-address-family
!
interface lo ip address 10. 0. 0. 1/32Linux (ECMP egress)
bash ip route add 0. 0. 0. 0/0 \
nexthop via 203. 0. 113. 1 weight 1 \
nexthop via 203. 0. 113. 2 weight 1BFD goňşusyna (Cisco-stil, düşünje)
bfd interval 50 min_rx 50 multiplier 5 interface Po1 bfd echo ip ospf network point-to-pointAmallar we DR
Change-control: tapgyrlaýyn giriş (bir Leaf/Spine), her biri bir VNI/VRF.
Awto-withdraw: hyzmaty bozýar - Anycast-/32 yzyna alýarys.
Runbooks: Spine ýitirmek, EVPN aýlawy, ECMP ýoluny ýapmak, aplinkiň zaýalanmagy, blackhole goşmak.
IPAM resminamalary: kim kiçi tora eýelik edýär/AS, nirede bildiriş, nirede NAT.
Giriş barlagy
- Topologiýa (Leaf-Spine) saýlandy, oversubscription we fat-tree giňligi hasaplandy.
- IPAM: jemi, ösüş üçin ätiýaçlyk, loopback-iň aşagyndaky aýry-aýry bloklar.
- Underlay IGP/iBGP, BFD; Overlay EVPN/VXLAN, RR на Spine.
- Zonalar, gündogar-günbatar we demirgazyk-günorta syýasaty üçin VRF/ACL.
- Egress-dizaýn: NAT howuzlary, PSP/CDN ak sanawlary, zerur ýerlerde Anycast.
- QoS synplary we SLO (RTT/loss/jitter), per-class gözegçilik.
- Tapmak we goramak: RPKI, prefix-filters, uRPF, RTBH.
- Gözegçilik derejesi: BGP-üýtgeşmeler, BFD, IP-SLA, sFlow; daşbordlar/alertler.
- DR-meýilnamalar: Spine/link/aplink, withdraw Anycast, traffigiň göçmegi.
Adaty ýalňyşlyklar
EVPN/VXLAN → STP tupanlary we öňünden aýdyp bolmajak hereketsiz L2-uzalma.
Hiç bir BFD/fast-hellos → programmalaryň uzak çalşylmagy we wagtlary.
"El" IP-meýilnamasy jemlenmezden → marşrut tablisalarynyň partlamasy.
Artykmaç ECMP-hash → asimmetriýa we stateful süzgüçleri bilen baglanyşykly meseleler.
eBGP-de RPKI/prefix-filters ýoklugy → haýjek töwekgelçiligi.
QoS "standart" → API yzlar bilen bäsleşýär.
Anycast health-driven withdraw → bölekleýin şowsuzlyklarda gara deşikler.
iGaming/fintech üçin aýratynlyklar
API/tölegler üçin pes p95: bölünen QoS synpy, Anycast-endpoints, DNS/GSLB-de latency-routing.
PSP/üpjün edijileriň ak sanawlary: kesgitlenen egress-IP, ätiýaçlyk howuzlar, çalt geçiş.
Iň ýokary wakalar: headroom 30% Spine Leaf linkleri, bulk synpy öçürmek üçin ruçkalar.
Düzgünleşdiriji/PII: VRF-izolýasiýa, e2e-şifrlemek, zonalaryň arasynda berk ACL.
Kiçi pleýbuklar
1) Zaýalananda çalt withdraw Anycast
1. Health-check
2) Traffigi ätiýaçlyk aplinkine geçirmek
1. LocalPref esasy → 2) ätiýaçlyk götermek → 3) ýitgileri synlamak/RTT → 4) üýtgeşmeleri düzetmek.
3) Zawodyň "gyzgyn" giňelmegi
1. Spine goşuň, hemmesini birikdiriň Leaf → 2) Stendlerde Leaf-jübütleri goşuň → 3) iBGP/OSPF goňşuçylyk, ECMP-entropiýa barlagy → 4) ýükleri geçirmek.
Jemi
Durnukly ulgam, çeýe L2/L3 multi-kärende, BGP syýasaty we metrleriň gözegçiligindäki çalt hereketlendiriji üçin Leaf-Spine + ECMP, EVPN/VXLAN. Başarnykly IPAM, QoS, RPKI/süzgüçleri, awtomatlaşdyrylan saglyk → ugrukdyryjy baglanyşyklary we janly runbook-i goşuň - platformanyz iň yssy sagatda hem traffigi üpjün eder.