Ağ topolojisi ve yolları

Kısa Özet

Ağ üç sütun etrafında inşa edilmiştir: topoloji, segmentasyon, yönlendirme. Modern fabrika, ECMP ile Leaf-Spine (yağ ağacı), L2 uzantıları için bindirme VXLAN/EVPN ve "evrensel yapıştırıcı'olarak BGP'dir. Uygun şekilde belirlenmiş gecikme/kayıp SLO'ları, QoS'ları ve hızlı yük devretme, davranışı en yüksek RPS altında öngörülebilir hale getirir.

Temel topoloji modelleri

Çekirdek/Dağıtım/Erişim (Klasik)

Artıları: açık, küçük ağlar/ofisler için iyi.
Eksileri: Core'da darboğaz, daha kötü yatay ölçeklendirme.

Yaprak-Omurga (fat-tree, CLOS)

Omurga - omurga, Yaprak - sunucular için torus anahtarları.
Tüm Leaf tüm Spine ™ ECMP ve öngörülebilir gecikmelere bağlıdır.
Ölçekleme - adres planını yeniden düzenlemeden Yaprak/Omurga ekleme.

Yüzük/Örgü/Yıldız

Kullanılan nokta (PoP, kampüs). DC için - sınırlı.

Öneri: veri merkezleri ve büyük siteler için - Leaf-Spine. Şube/ofis için - basitleştirilmiş Core/Access + SD-WAN.

Segmentasyon ve adres alanı

VLAN - L2 segmentasyonu (Yayın alanları).
VRF - L3 segmentasyonu (çoklu kiralama, dev/stg/prod).
IPAM/özetleme: basit yönlendirme politikaları için'/24 'blokları için servis/bölge, agrega'/20've daha yüksek olarak planlayın.
Çift yığın: IPv4 + IPv6, SLAAC/DHCPv6, RA korumaları, önek ilkeleri.

Kaplama/Altlık: VXLAN/EVPN

Altlık: IP fabrikası (Leaf-Spine) iBGP/OSPF/IS-IS ile.
Bindirme: VXLAN L2'yi L3 üzerinden taşır; EVPN (BGP) - MAC/IP yönlendirme için kontrol düzlemi, VNI/VRF aracılığıyla çoklu kiracılık.
Avantajları: STP'siz L2-stretching, hızlı yakınsamalar, merkezi politikalar.

• Yaprak - VTEP-IP için loopback ile VTEP.
• Omurga - rota reflektörü для EVPN.
• EVPN rota tipleri (MAC/IP, IMET, L3 interworking) ARP bastırma ve ölçeklendirme sağlar.

Yönlendirme Protokolleri ve Rolleri

IGP (etki alanı içinde)

OSPF/IS-IS: hızlı yakınsama, basit metrizasyon. Altlık için iyi.
IBgp: üzerinde veya IGP olmadan (BGP-only fabric) rota reflektörleri ile.

EGP (etki alanları arası)

EBgp: Sağlayıcılar/PSP/CDN, topluluklar/LP/AS-Path politikası ile gözetleme.
Anycast: Birkaç PoP üzerinde aynı IP,'en yakın "yönlendirme (BGP + duyurular için sağlık kontrolü).

ECMP и hızlı yük devretme

ECMP akışları eşit yollar arasında dağıtır.
Flow-hash (5-tuple) için dikkat edin, durumsal orta kutular için asimetriden kaçının.
Hızlı anahtarlama için BFD/fast-hellos (<1 s).

Yönlendirme Politikaları (TE)

LocalPref/Med/AS-Path - aplink seçimi.
Topluluklar - Farklılaştırılmış çözümler için trafiği işaretleyin (prod/stg, ödeme PSP, CDN).
Blackhole/Sinkhole, saldırılar için hızlı bir kara delik/32'dir.
URPF/RTBH - anti-spoofing ve sağlayıcı ile uzak kara delik.

Bağlantı ofisleri ↔ DC/Cloud

SD-WAN: dinamik kanal seçimi (MPLS/INTERNET/LTE), şifreleme, uygulama başına politikalar.
MPLS L3VPN: Siteler arasında izole VRF, deterministik gecikme.
IPSec/WireGuard üzerinden IPSec/GRE: Hızlı başlangıç, ancak MTU/Parçalanma ve QoS için plan.

NAT, CGNAT ve İnternet erişimi

NAT44/NAT66 (nadir) ve NPTv6. Ödeme entegrasyonları için kaynak IP havuzlarını ve beyaz listeleri saklayın.
çıkış dengesi: ECMP başına birkaç NAT ağ geçidi, karma ile yapışkan.
Hairpin/Policy-Based Routing - belirli DMZ/denetim için.

QoS ve trafik sınıfları

Sınıflar: Gerçek zamanlı (VoIP/exchange feed'leri), etkileşimli (API), toplu (yedeklemeler/ETL).
İşaretleme (DSCP), polislik/şekillendirme, LLQ/WRR.
API koruması/ödemeleri - minimum gecikme garantisi olan özel bir sınıf; Çivilerde toplu limit.

Yönlendirme Güvenliği

BGP: TTL güvenliği, max-prefix, RPKI (route-origin validation), sağlayıcıda prefix-filters.
IGP: komşu kimlik doğrulaması (HMAC), yönetim düzlemi yalıtımı (OOB).
Segmentasyon: "Ödeme", "operatör", "halka açık" bölgeler için VRF; Sadece istenen portlarda VRF'ler arasında ACL.
Anycast hizmetleri: sağlık - bozulma altında duyuru içinde.

Gözlemlenebilirlik ve SLO

SLO (örnekler)

Veri merkezinin içinde: RTT p95 ≤ 200-300 μ s, ≤ kaybı 0. 01%.
Siteler arasında (L3VPN/SD-WAN): RTT p95 ≤ X ms (profilinize göre), kayıp ≤ 0. 1%.
Yük devretme yakınsaması: ≤ 1 s (IGP/BFD), ≤ 5 s (eBGP).

Metrikler

'RTT', 'loss', 'jitter', 'ECMP entropisi', 'BFD durumu', 'BGP önekleri/değişiklikleri', anahtarlardaki 'CPU/TCAM', QoS kuyruklarını dolduruyor.
Aktif problama: IP-SLA/SmokePing, sınıf başına QoS.
Akış telemetrisi: Trafik profilleri ve DDoS için sFlow/NetFlow/IPFIX.

Tipik yapılandırmalar (parçalar)

FRR (BGP altlığı + EVPN)

conf router bgp 65000 bgp router-id 10. 0. 0. 1 neighbor SPINE peer-group neighbor SPINE remote-as 65000 neighbor 10. 0. 0. 11 peer-group SPINE neighbor 10. 0. 0. 12 peer-group SPINE
!
address-family l2vpn evpn neighbor SPINE activate advertise-all-vni exit-address-family
!
interface lo ip address 10. 0. 0. 1/32

Linux (ECMP çıkışı)

bash ip route add 0. 0. 0. 0/0 \
nexthop via 203. 0. 113. 1 weight 1 \
nexthop via 203. 0. 113. 2 weight 1

BFD'den komşuya (Cisco tarzı, konsept)

bfd interval 50 min_rx 50 multiplier 5 interface Po1 bfd echo ip ospf network point-to-point

Operasyonlar ve DR

Değişim kontrolü: aşamalı giriş (bir Yaprak/Omurga), kanarya bir VNI/VRF.
Otomatik-içinde: servis bozulur - geri çağırma Anycast-/32.
Runbooks: Omurga kaybı, EVPN döngüleri, ECMP yolu kapatma, aplink bozulması, kara delik ekleme.
IPAM belgeleri: alt ağ/AS'nin sahibi kimdir, duyuru nerede, NAT nerede.

Uygulama kontrol listesi

• Yaprak-Omurga seçildi, aşırı abonelik ve yağ ağacı genişliği hesaplandı.
• IPAM: özetleme, büyüme için rezerv, overlay loopback için bireysel bloklar ve.
• Altlık IGP/iBGP, BFD; Kaplama EVPN/VXLAN, RR на Omurga.
• Bölgeler, doğu-batı ve kuzey-güney politikaları için VRF/ACL.
• Çıkış tasarımı: NAT havuzları, PSP/CDN beyaz listeleri, Anycast gerektiğinde.
• QoS sınıfları ve SLO (RTT/loss/jitter), sınıf başına izleme.
• Algılama ve koruma: RPKI, önek-filtreler, uRPF, RTBH.
• Gözlemlenebilirlik: BGP değişiklikleri, BFD, IP-SLA, sFlow; gösterge panoları/uyarılar.
• DR planları: Omurga/bağlantı/aplinka arızası, Anycast'i geri çekme, trafik geçişi.

Yaygın hatalar

L2, EVPN/VXLAN olmadan gerilir - STP fırtınaları ve öngörülemeyen yük devretme.
BFD/fast-hellos yok - uzun geçişler ve uygulama zaman aşımları.
Özetlemeden manuel IP planı - rota tablolarının patlaması.
Aşırı yüklü ECMP-hash - asimetri ve durumsal filtre sorunları.
EBgp'de RPKI/önek-filtrelerinin eksikliği - kaçırma riski.
QoS "varsayılan olarak" API yedeklemelerle rekabet eder.
İçinde sağlık güdümlü olmayan herhangi bir cast - kısmi başarısızlıklarda kara delikler.

iGaming/fintech'e özel

API/ödemeler için düşük p95: ayrılmış QoS sınıfı, Anycast uç noktaları, DNS/GSLB'de gecikme yönlendirmesi.
PSP/sağlayıcı beyaz listeleri: sabit çıkış-IP, yedekli havuzlar, hızlı geçiş.
Zirve olayları: Boşluk ≥ Spine↔Leaf bağlantılar tarafından %30, toplu sınıfı kapatmak için kolları.
Düzenleyici/PII: VRF yalıtımı, e2e şifreleme, bölgeler arasında sıkı ACL'ler.

Mini oyun kitapları

1) Hızlı çekilme Anycast bozulma üzerine

1. Sağlık kontrolü

2) Yedek aplink trafik transferi

1. Anaparanın LocalPref'ini düşürün - 2) Bekleme modunda yükseltin - 3) Kayıpları gözlemleyin/RTT - 4) değişiklikleri düzeltin.

3) "Sıcak" fabrika genişlemesi

1. Spine ekleyin, tüm Leaf'i bağlayın - 2) raflara Leaf çiftleri ekleyin - 3) iBGP/OSPF komşuluğunu kontrol edin, ECMP entropisini kontrol edin - 4) yük aktarımını kontrol edin.

Sonuç

Kararlı ağ Leaf-Spine + ECMP, esnek L2/L3 çoklu kiralama, BGP politikaları ve metrik kontrol altında hızlı yük devretme için EVPN/VXLAN'dır. Yetkili IPAM, QoS, RPKI/filtreler, otomatik iletişim sağlığı - yönlendirme ve canlı çalışma kitapları ekleyin - platformunuz en sıcak saatlerde bile tahmin edilebilir bir şekilde trafik sağlayacaktır.