Tarmoqlar topologiyasi va yo’nalishlari
Qisqacha xulosa
Tarmoq uchta tayanch atrofida qurilmoqda: topologiya, segmentatsiya, yoʻnalish. Zamonaviy zavod - bu ECMP bilan Leaf-Spine (fat-tree), L2 kengaytmalar uchun overlay VXLAN/EVPN va «universal yelim» sifatida BGP. To’g’ri belgilangan kechikish/yo’qotishlar bo’yicha SLOlar, QoS va fast-failover xatti-harakatlarni eng yuqori RPS ostida oldindan aytib bo’lmaydi.
Topologiyalarning bazaviy modellari
Core/Distribution/Access (klassik)
Afzalliklari: tushunarli, kichik tarmoqlar/ofislar uchun yaxshi.
Kamchiliklari: Core-dagi «shisha og’zi», gorizontal miqyosdan ham yomonroq.
Leaf-Spine (fat-tree, CLOS)
Spine - magistral, Leaf - serverlar uchun tor-kommutatorlar.
Barcha Leaf barcha Spine → ECMP va oldindan aytib bo’ladigan kechikish bilan bog’langan.
Kattalashtirish - manzilli rejani refaktoringsiz Leaf/Spine qoʻshish.
Ring/Mesh/Star
Maqsadli foydalaniladi (PoP, kampus). DC uchun - cheklangan.
Tavsiya: Ma’lumotlar markazi va yirik maydonlar uchun - Leaf-Spine. Filiallar/ofislar uchun - soddalashtirilgan Core/Access + SD-WAN.
Segmentatsiya va manzil maydoni
VLAN - L2 segmentatsiyasi (Broadcast-domenlar).
VRF - L3 segmentatsiyasi (multiarendlik, dev/stg/prod).
IPAM/yig’indisi: servis/zonaga ’/24’bloklar bilan rejalashtiring, oddiy yo’nalish siyosati uchun ’/20’va undan yuqori bo’lgan bloklarga qo’shing.
Dual-stack: IPv4 + IPv6, SLAAC/DHCPv6, RA-gvard, prefiks-siyosat.
Overlay/Underlay: VXLAN/EVPN
Underlay: IP-fabrika (Leaf-Spine) iBGP/OSPF/IS-IS bilan.
Overlay: VXLAN L2 ni L3 ustiga olib boradi; EVPN (BGP) - MAC/IP-yo’naltirish uchun nazorat-pleyn, VNI/VRF orqali ko’p tenantlik.
Afzalliklari: STPsiz L2 cho’zish, tezkor konvergensiyalar, markazlashtirilgan siyosat.
- Leaf - VTEP-IP uchun loopback bilan VTEP.
- Spine — route-reflector для EVPN.
- EVPN yo’nalish turlari (MAC/IP, IMET, L3-o’zaro ta’sir) ARP-supression va masshtabni ta’minlaydi.
Yo’naltirish protokollari va rollari
IGP (domen ichida)
OSPF/IS-IS: tez yaqinlashish, oddiy metrizatsiya. Underlay uchun yaxshi.
iBGP: IGP ustiga yoki undan tashqari (BGP-only fabric) route-reflektorlar bilan.
EGP (domenlararo)
eBGP :/PSP/CDN provayderlari bilan peering, communities/LP/AS-Path siyosati.
Anycast: bir nechta PoP’larda bir xil IP, «eng yaqin» yo’nalishi (BGP + health-check).
ECMP и fast-failover
ECMP oqimlarni teng yoʻllar oʻrtasida taqsimlaydi.
Flow-hash (5-tuple) ni kuzatib boring, stateful middlebox’lar uchun assimetriyadan qoching.
BFD/fast-hellos (<1 s).
Yo’naltirish siyosati (TE)
LocalPref/Med/AS-Path - aplink seleksiyasi.
Communities - tabaqalashtirilgan yechimlar uchun trafikni (prod/stg, to’lov PSP, CDN) belgilang.
Blackhole/Sinkhole - hujumlarga tezkor «qora tuynuk »/32.
uRPF/RTBH - anti-spufing va provayder bilan masofadagi qora tuynuk.
Aloqadorlik ofislari DC/Cloud
SD-WAN: kanalni dinamik tanlash (MPLS/INTERNET/LTE), shifrlash, per-app siyosati.
MPLS L3VPN: maydonchalar orasidagi izolyatsiyalangan VRF, aniqlangan kechikish.
IPSec/GRE over IPSec/WireGuard: tezkor boshlash, lekin MTU/Fragmentation va QoS dasturlarini rejalashtirish.
NAT, CGNAT va Internetga chiqish
NAT44/NAT66 (kamdan-kam hollarda) va NPTv6. To’lov integratsiyalari uchun source IP pullari va oq ro’yxatlarni saqlang.
egress-balans: ECMP uchun bir nechta NAT-shlyuzlar, xesh bo’yicha sticky.
Hairpin/Policy-Based Routing - DMZ/inspeksiya xususiyatlari uchun.
QoS va trafik klasslari
Klasslar: real-time (VoIP/birja foydalari), interactive (API), bulk (bekaplar/ETL).
Marking (DSCP), policing/shaping, LLQ/WRR.
API/to’lovlarni himoya qilish - eng kam kechikish kafolati bilan ajratilgan sinf; bulk cho’qqilarni cheklang.
Marshrutlash xavfsizligi
BGP: TTL security, max-prefix, RPKI (route-origin validation), prefix-filters provayderda.
IGP: qo’shnilarni autentifikatsiya qilish (HMAC), boshqaruv tekisligini izolyatsiya qilish (OOB).
Segmentatsiya: «to’lov», «operator», «ommaviy» zonalar uchun VRF; Faqat kerakli portlarda VRF orasidagi ACL.
Anycast services: degradatsiya paytida health → withdraw anons.
Kuzatish darajasi va SLO
SLO (namunalar)
MTM ichida: RTT p95 ≤ 200-300 μ s, yo’qotishlar ≤ 0. 01%.
Maydonchalar orasida (L3VPN/SD-WAN): RTT p95 ≤ X ms (profilingiz boʻyicha), yoʻqotishlar ≤ 0. 1%.
Rad etilganda konvergensiya: ≤ 1 s (IGP/BFD), ≤ 5 s (eBGP).
Metrika
Kommutatorlarda’RTT’,’loss’,’jitter’,’ECMP entropy’,’BFD state’,’BGP prefixes/changes’,’CPU/TCAM’, QoS navbatlarini to’ldirish.
Active probing: IP-SLA/SmokePing, QoS sinfi.
Flow-telemetriya: sFlow/NetFlow/IPFIX trafik profillari va DDoS uchun.
Namunaviy konfiglar (parchalar)
FRR (BGP underlay + EVPN)
conf router bgp 65000 bgp router-id 10. 0. 0. 1 neighbor SPINE peer-group neighbor SPINE remote-as 65000 neighbor 10. 0. 0. 11 peer-group SPINE neighbor 10. 0. 0. 12 peer-group SPINE
!
address-family l2vpn evpn neighbor SPINE activate advertise-all-vni exit-address-family
!
interface lo ip address 10. 0. 0. 1/32Linux (ECMP egress)
bash ip route add 0. 0. 0. 0/0 \
nexthop via 203. 0. 113. 1 weight 1 \
nexthop via 203. 0. 113. 2 weight 1Qoʻshni uchun BFD (Cisco uslubi, kontseptsiyasi)
bfd interval 50 min_rx 50 multiplier 5 interface Po1 bfd echo ip ospf network point-to-pointOperatsiyalar va DR
Change-control: bosqichma-bosqich (bitta Leaf/Spine), bitta VNI/VRFdan canary.
Avto pochinka (auto-withdraw): xizmatni buzadi - Anycast-/32 qaytarib olamiz.
Runbooks: Spine yo’qolishi, EVPN halqasi, ECMP yo’lining yopilishi, applinkning degradatsiyasi, blackhole qo’shimchasi.
IPAM hujjatlari: kim kichik tarmoqqa egalik qiladi/AS, qayerda anons, qayerda NAT.
Joriy etish chek-varaqasi
- Tanlangan topologiya (Leaf-Spine), hisoblab chiqilgan oversubscription va kengligi fat-tree.
- IPAM: yig’indisi, o’sish zaxirasi, overlay loopback’ning alohida bloklari.
- Underlay IGP/iBGP, BFD; Overlay EVPN/VXLAN, RR на Spine.
- VRF/ACL zonalar, sharqiy-g’arbiy va shimoliy-janubiy siyosat uchun.
- Egress-dizayn: NAT-pullar, PSP/CDNning oq ro’yxatlari, kerak bo’lganda Anycast.
- QoS sinflari va SLO (RTT/loss/jitter), per-class monitoring.
- Aniqlash va himoya qilish: RPKI, prefix-filters, uRPF, RTBH.
- Kuzatish darajasi: BGP-o’zgarishlar, BFD, IP-SLA, sFlow; dashbordlar/alertlar.
- DR-rejalar: Spine/link/aplink, withdraw Anycast, trafik migratsiyasi.
Tipik xatolar
L2-cho’zish EVPN/VXLAN → STP-bo’ronlar va oldindan aytib bo’lmaydigan failoversiz.
Hech qanday BFD/fast-hellos → dastur vaqtini oʻzgartirish.
Yig’indisiz «qo’lda» IP-reja → yo’nalish jadvallarini portlatish.
Ortiqcha yuklangan ECMP-hash → asimmetriya va stateful filtrlar bilan bog’liq muammolar.
eBGP → da RPKI/prefix-filters yo’qligi.
QoS «andoza» → API bekaplar bilan raqobatlashadi.
Anycast health-driven withdraw → qisman muvaffaqiyatsizliklarda qora teshiklarsiz.
iGaming/fintech uchun o’ziga xos
API/to’lovlar uchun past p95: ajratilgan QoS-klass, Anycast-endpointlar, DNS/GSLB da latency-routing.
PSP/provayderlarning oq ro’yxatlari: qat’iy egress-IP, zaxira pullar, tezkor almashtirish.
Eng yuqori hodisalar: headroom 30% Spine Leaf linklari, bulk sinfini oʻchirish uchun ruchkalar.
Regulyator/PII: VRF-izolyatsiya, e2e-shifrlash, zonalar orasidagi qat’iy ACL.
Mini-pleybuklar
1) Degradatsiyada tezkor withdraw Anycast
1. Health-check
2) Trafikni zaxira aplinkga o’tkazish
1. LocalPref asosiy → 2) rezerv → 3) yo’qotishlarni kuzatish/RTT → 4) o’zgarishlarni tuzatish.
3) fabrikani «Issiq» kengaytirish
1. Spine qo’shish, hamma Leaf’ni ulash → 2) ustunlarga Leaf-juftlarini qo’shish → 3) iBGP/OSPF qo’shni, ECMP-entropiyani tekshirish → 4) yuklarni ko’chirish.
Jami
Barqaror tarmoq - bu Leaf-Spine + ECMP, EVPN/VXLAN uchun moslashuvchan L2/L3-multiarendlik, BGP siyosati va tezkor faylover metrik nazorat ostida. To’g’ri IPAM, QoS, RPKI/filtrlar, avtomatlashtirilgan health → routing aloqalari va jonli runbook-i qo’shing - platformaniz hatto eng issiq vaqtda ham trafikni etkazib beradi.