Evalye koneksyon ki nan mitan dyagram nan. Nou pral retounen sou yo anba a
Nan kèk pwen, ou ka jwenn ke gwo, konplèks rezo ki baze sou L2 yo malad tèminal. Premye a tout, pwoblèm ki asosye ak pwosesis trafik BUM ak operasyon an nan pwotokòl la STP. Dezyèmman, achitekti a jeneralman demode. Sa lakòz pwoblèm dezagreyab nan fòm D 'ak manyen enkonvenyan.
Nou te gen de pwojè paralèl, kote kliyan yo byen evalye tout avantaj yo ak dezavantaj nan opsyon yo epi yo te chwazi de solisyon kouvri diferan, epi nou aplike yo.
Te gen yon opòtinite yo konpare aplikasyon an. Pa eksplwatasyon; nou ta dwe pale sou li nan de oswa twa ane.
Se konsa, ki sa ki se yon twal rezo ak rezo kouvri ak SDN?
Ki sa ki fè ak pwoblèm yo peze nan achitekti rezo klasik?
Chak ane nouvo teknoloji ak lide parèt. Nan pratik, bezwen ijan pou rekonstwi rezo a pa t 'leve pou yon tan long, paske fè tout bagay alamen lè l sèvi avèk bon metòd yo fin vye granmoun se posib tou. Se konsa, e si se vennyèm syèk la? Apre yo tout, yon administratè ta dwe travay, epi yo pa chita nan biwo li.
Lè sa a, yon boom nan konstriksyon an nan sant done gwo echèl te kòmanse. Lè sa a, li te vin klè ke limit devlopman nan achitekti klasik yo te rive jwenn, pa sèlman an tèm de pèfòmans, tolerans fay, ak évolutivité. Ak youn nan opsyon pou rezoud pwoblèm sa yo se te lide pou bati rezo kouvri sou tèt yon zo rèl do wout.
Anplis de sa, ak ogmantasyon nan echèl rezo a, pwoblèm nan jere faktori sa yo te vin pi grav, kòm yon rezilta ki solisyon rezo lojisyèl defini yo te kòmanse parèt ak kapasite nan jere tout enfrastrikti rezo a kòm yon sèl antye. Epi lè rezo a jere soti nan yon sèl pwen, li pi fasil pou lòt eleman nan enfrastrikti IT yo kominike avèk li, ak pwosesis entèraksyon sa yo pi fasil pou otomatize.
Prèske tout gwo manifakti pa sèlman ekipman rezo, men tou Virtualization, gen opsyon pou solisyon sa yo nan dosye li yo.
Tout sa ki rete se konnen ki sa ki apwopriye pou sa ki bezwen. Pou egzanp, pou konpayi patikilyèman gwo ak yon ekip devlopman ak operasyon bon, solisyon pake soti nan fournisseurs pa toujou satisfè tout bezwen, epi yo resort nan devlope pwòp SD yo (lojisyèl defini) solisyon yo. Pou egzanp, sa yo se founisè nwaj ki toujou ap elaji seri sèvis yo bay kliyan yo, ak solisyon pake yo tou senpleman pa kapab kenbe ak bezwen yo.
Pou konpayi gwosè mwayen yo, fonksyonalite machann lan ofri nan fòm yon solisyon bwat ase nan 99 pousan nan ka yo.
Ki sa ki rezo kouvri yo?
Ki lide ki dèyè rezo kouvri yo? Esansyèlman, ou pran yon rezo wout klasik epi bati yon lòt rezo sou tèt li pou jwenn plis karakteristik. Pi souvan, nou ap pale sou efektivman distribye chay la sou ekipman ak liy kominikasyon, siyifikativman ogmante limit la évolutivité, ogmante fyab ak yon pakèt moun sou sekirite sekirite (akòz segmentasyon). Ak solisyon SDN, anplis sa a, bay opòtinite pou trè, trè, trè pratik administrasyon fleksib epi fè rezo a pi transparan pou konsomatè li yo.
An jeneral, si rezo lokal yo te envante nan ane 2010 yo, yo ta sanble byen diferan de sa nou te eritye nan men militè yo nan ane 1970 yo.
An tèm de teknoloji pou bati twal lè l sèvi avèk rezo kouvri, gen kounye a anpil aplikasyon machann ak pwojè RFC entènèt (EVPN + VXLAN, EVPN + MPLS, EVPN + MPLSoGRE, EVPN + Geneve ak lòt moun). Wi, gen estanda, men aplikasyon an nan estanda sa yo pa manifaktirè diferan ka diferan, kidonk lè w ap kreye faktori sa yo, li toujou posib konplètman abandone fèmen vandè a sèlman nan teyori sou papye.
Avèk yon solisyon SD, bagay yo menm plis konfizyon; chak machann gen vizyon pwòp li yo. Gen solisyon konplètman louvri ke, nan teyori, ou ka ranpli tèt ou, e gen yo konplètman fèmen.
Cisco ofri vèsyon li yo nan SDN pou sant done - ACI. Natirèlman, sa a se yon solisyon 100% machann-fèmen an tèm de chwazi ekipman rezo, men an menm tan an li konplètman entegre ak sistèm Virtualization, containerization, sekirite, orchestration, balans chaj, elatriye Men, nan sans, li se toujou yon kalite bwat nwa, san posiblite pou aksè konplè a tout pwosesis entèn yo. Se pa tout kliyan ki dakò ak opsyon sa a, depi ou konplètman depann sou bon jan kalite a nan kòd la solisyon ekri ak aplikasyon li yo, men nan lòt men an, manifakti a gen youn nan pi bon sipò teknik nan mond lan e li gen yon ekip devwe dedye sèlman. nan solisyon sa a. Cisco ACI te chwazi kòm solisyon an pou premye pwojè a.
Pou dezyèm pwojè a, yo te chwazi yon solisyon Juniper. Manifakti a tou gen pwòp SDN li pou sant done a, men kliyan an deside pa aplike SDN. Yo te chwazi yon twal EVPN VXLAN san yo pa itilize kontwolè santralize kòm teknoloji konstriksyon rezo a.
Pou kisa li ye
Kreye yon faktori pèmèt ou bati yon rezo ki fasil évolutive, toleran fay, serye. Achitekti a (fèy kolòn vètebral) pran an kont karakteristik sa yo nan sant done (chemen trafik, minimize reta ak anbouteyaj nan rezo a). Solisyon SD nan sant done yo pèmèt ou jere yon faktori konsa yon fason fasil, rapid ak fleksib epi entegre li nan ekosistèm sant done yo.
Tou de kliyan yo te bezwen bati sant done redondants pou asire tolerans fay, epi anplis, trafik ant sant done yo te dwe chiffres.
Premye kliyan an te deja konsidere solisyon san twal kòm yon estanda posib pou rezo yo, men nan tès yo te gen pwoblèm ak konpatibilite STP ant plizyè machann pyès ki nan konpitè. Te gen defayans ki te lakòz sèvis yo aksidan. Ak pou kliyan an sa a te kritik.
Cisco te deja estanda antrepriz kliyan an, yo gade ACI ak lòt opsyon epi yo deside ke li te vo pran solisyon sa a. Mwen te renmen automatisation nan kontwòl soti nan yon sèl bouton atravè yon sèl kontwolè. Sèvis yo konfigirasyon pi vit ak jere pi vit. Nou deside asire chifreman trafik lè nou kouri MACSec ant switch IPN ak SPINE. Se konsa, nou jere pou fè pou evite kou boutèy la nan fòm lan nan yon pòtay kriptografik, sove sou yo epi sèvi ak Pleasant maksimòm lan.
Dezyèm kliyan an te chwazi yon solisyon san kontwolè soti nan Juniper paske sant done ki egziste deja yo te deja gen yon ti enstalasyon ki aplike yon twal EVPN VXLAN. Men, gen li pa t 'toleran fòt (yo te itilize yon sèl switch). Nou deside elaji enfrastrikti nan sant done prensipal la ak bati yon faktori nan sant done backup la. EVPN ki deja egziste a pa te itilize konplètman: VXLAN ankapsulasyon pa te aktyèlman itilize, depi tout lame yo te konekte nan yon switch, ak tout adrès MAC ak adrès lame / 32 yo te lokal, pòtay la pou yo te switch la menm, pa te gen okenn lòt aparèy. , kote li te nesesè yo bati tinèl VXLAN. Yo deside asire chifreman trafik lè l sèvi avèk teknoloji IPSEC ant firewall (pèfòmans firewall la te ase).
Yo menm tou yo te eseye ACI, men yo te deside ke akòz kadna vandè a, yo ta dwe achte twòp pyès ki nan konpitè, ki gen ladan ranplase nouvo ekipman ki fèk achte, epi li tou senpleman pa fè sans ekonomik. Wi, twal Cisco a entegre ak tout bagay, men sèlman aparèy li yo posib nan twal la tèt li.
Nan lòt men an, jan nou te di pi bonè, ou pa ka jis melanje yon twal EVPN VXLAN ak nenpòt machann vwazen, paske aplikasyon yo pwotokòl yo diferan. Se tankou travèse Cisco ak Huawei nan yon sèl rezo - li sanble tankou estanda yo komen, men ou pral oblije danse ak yon tanbourin. Depi sa a se yon bank, ak tès konpatibilite yo ta dwe trè long, nou deside ke li te pi bon yo achte nan men vandè a menm kounye a, epi yo pa jwenn twò pote ale ak fonctionnalités pi lwen pase sa yo debaz yo.
Plan migrasyon
De sant done ki baze sou ACI:
Òganizasyon entèraksyon ant sant done yo. Yo te chwazi solisyon Multi-Pod la - chak sant done se yon gous. Kondisyon yo pou dekale pa kantite switch ak reta ant gous (RTT mwens pase 50 ms) yo pran an kont. Li te deside pa bati yon solisyon Multi-Site pou fasilite jesyon (yon solisyon Multi-Pod itilize yon sèl koòdone jesyon, yon Multi-Site ta gen de koòdone, oswa ta mande pou yon Orchestrator Multi-Site), e depi pa gen okenn jeyografik. rezèvasyon sit yo te obligatwa.
Soti nan pwen de vi migrasyon sèvis ki soti nan rezo Legacy, yo te chwazi opsyon ki pi transparan, piti piti transfere VLAN ki koresponn ak sèten sèvis.
Pou migrasyon, yo te kreye yon EPG korespondan (End-point-group) pou chak VLAN nan faktori a. Premyèman, rezo a te lonje ant ansyen rezo a ak twal la sou L2, Lè sa a, apre tout lame yo te imigre, pòtay la te deplase nan twal la, ak EPG a kominike avèk rezo a ki deja egziste atravè L3OUT, pandan y ap entèraksyon ki genyen ant L3OUT ak EPG. te dekri lè l sèvi avèk kontra yo. Dyagram apwoksimatif:
Yon echantiyon estrikti pifò politik faktori ACI yo montre nan figi ki anba a. Tout konfigirasyon an baze sou règleman ki enbrike nan lòt politik ak sou sa. Okòmansman, li trè difisil pou evalye li, men piti piti, jan pratik montre, administratè rezo yo abitye ak estrikti sa a nan apeprè yon mwa, ak Lè sa a, yo sèlman kòmanse konprann kouman li se pratik.
Konparezon
Nan solisyon Cisco ACI a, ou bezwen achte plis ekipman (separe switch pou entèraksyon Inter-Pod ak contrôleur APIC), ki fè li pi chè. Solisyon Juniper a pa t mande pou achte kontwolè oswa Pwodwi pou Telefòn; Li te posib pou itilize pasyèlman ekipman ki deja egziste kliyan an.
Isit la se achitekti twal EVPN VXLAN pou de sant done nan dezyèm pwojè a:
Avèk ACI ou jwenn yon solisyon pare - pa bezwen tinker, pa bezwen optimize. Pandan premye konesans kliyan an ak faktori a, pa gen okenn devlopè yo bezwen, pa gen okenn moun ki sipòte yo bezwen pou kòd ak automatisation. Li se byen fasil yo sèvi ak; anpil paramèt yo ka fè atravè sòsye an, ki se pa toujou yon plis, espesyalman pou moun ki abitye nan liy lan lòd. Nan nenpòt ka, li pran tan yo rebati sèvo a sou nouvo tracks, nan sengularite yo nan anviwònman atravè règleman ak opere ak anpil politik enbrike. Anplis de sa, li trè dezirab gen yon estrikti klè pou nonmen politik ak objè yo. Si nenpòt pwoblèm rive nan lojik kontwolè a, li ka sèlman rezoud nan sipò teknik.
Nan EVPN - konsole. Soufri oswa rejwi. Yon koòdone abitye pou gad la fin vye granmoun. Wi, gen yon konfigirasyon estanda ak gid. Ou pral oblije fimen mana. Desen diferan, tout bagay klè ak detaye.
Natirèlman, nan tou de ka yo, lè imigre, li pi bon premye imigre pa sèvis ki pi enpòtan yo, pou egzanp, anviwònman tès, epi sèlman Lè sa a, apre yo fin pwan tout pinèz yo, kontinye nan pwodiksyon an. Epi pa branche nan Vandredi swa. Ou pa ta dwe fè vandè a konfyans ke tout bagay pral ok, li toujou pi bon yo jwe li an sekirite.
Ou peye plis pou ACI, byenke Cisco aktyèlman ap fè pwomosyon aktivman solisyon sa a epi li souvan bay bon rabè sou li, men ou ekonomize sou antretyen. Jesyon ak nenpòt automatisation nan yon faktori EVPN san yon kontwolè mande pou envèstisman ak depans regilye - siveyans, automatisation, aplikasyon nouvo sèvis. An menm tan, lansman inisyal la nan ACI pran 30-40 pousan pi long. Sa rive paske li pran plis tan pou kreye tout ansanm Des nesesè ak politik ki pral sèvi lè sa a. Men, kòm rezo a ap grandi, kantite konfigirasyon ki nesesè yo diminye. Ou sèvi ak règleman, pwofil, objè ki te deja kreye. Ou ka fleksib konfigirasyon segmantasyon ak sekirite, santralman jere kontra ki responsab pou pèmèt sèten entèraksyon ant EPG yo - kantite travay la desann sevè.
Nan EVPN, ou bezwen konfigirasyon chak aparèy nan faktori a, chans pou erè yo pi gwo.
Pandan ke ACI te pi dousman aplike, EVPN te pran prèske de fwa plis tan pou debogaj. Si nan ka Cisco ou ka toujou rele yon enjenyè sipò epi mande sou rezo a kòm yon antye (paske li kouvri kòm yon solisyon), Lè sa a, soti nan Juniper Networks ou sèlman achte pyès ki nan konpitè, e se sa ki kouvri. Èske pakè yo kite aparèy la? Oke, ok, Lè sa a, pwoblèm ou yo. Men, ou ka louvri yon kesyon konsènan chwa nan solisyon oswa konsepsyon rezo - ak Lè sa a, yo pral konseye w achte yon sèvis pwofesyonèl, pou yon frè adisyonèl.
Sipò ACI trè fre, paske li separe: yon ekip separe chita jis pou sa. Genyen tou espesyalis ki pale Ris. Gid la detaye, solisyon yo predetèmine. Yo gade ak konseye. Yo byen vit valide konsepsyon an, ki souvan enpòtan. Juniper Networks fè menm bagay la, men anpil pi dousman (nou te gen sa a, kounye a li ta dwe pi bon dapre rimè), ki fòse ou fè tout bagay tèt ou kote yon enjenyè solisyon te kapab konseye.
Cisco ACI sipòte entegrasyon ak sistèm Virtualization ak kontenèr (VMware, Kubernetes, Hyper-V) ak jesyon santralize. Disponib ak rezo ak sèvis sekirite - balanse, firewall, WAF, IPS, elatriye... Bon mikwo-segmentasyon soti nan bwat la. Nan dezyèm solisyon an, entegrasyon ak sèvis rezo se yon briz, epi li pi bon pou diskite sou fowòm davans ak moun ki te fè sa.
Total
Pou chak ka espesifik, li nesesè yo chwazi yon solisyon, pa sèlman ki baze sou pri a nan ekipman an, men li nesesè tou pran an kont plis depans fonksyònman ak pwoblèm prensipal yo ke kliyan an ap fè fas a kounye a, ak sa ki plan la. se pou devlopman enfrastrikti IT la.
ACI, akòz ekipman adisyonèl, te pi chè, men solisyon an pare-fè san yo pa bezwen pou fini adisyonèl; dezyèm solisyon an se pi konplèks ak koute chè an tèm de operasyon, men pi bon mache.
Si ou vle diskite sou konbyen li ta ka koute aplike yon twal rezo sou diferan fournisseurs, ak ki kalite achitekti ki nesesè, ou ka rankontre ak chat. Nou pral konseye w gratis jiskaske ou jwenn yon chema ki graj nan achitekti a (ak ki ou ka kalkile bidjè), élaboration detaye, nan kou, deja peye.
Vladimir Klepche, rezo antrepriz.
Sous: www.habr.com