🥇 D'Geschicht vun engem Schalter

An eiser lokaler Netzwierkaggregatioun hu mir sechs Pairen Arista DCS-7050CX3-32S Schalter an ee Paar Brocade VDX 6940-36Q Schalter. Et ass net datt mir vun de Brocade-Schalter an dësem Netz zevill gespannt waren, si schaffen a maachen hir Funktiounen, awer mir hunn eng voll Automatiséierung vun e puer Aktiounen virbereet, a mir hunn dës Fäegkeeten net op dëse Schalter. Ech wollt och vun 40GE Schnëttplazen wiesselen op d'Méiglechkeet 100GE ze benotzen fir eng Reserve fir déi nächst 2-3 Joer ze maachen. Also hu mir beschloss Brocade op Arista z'änneren.

Dës Schalter sinn LAN Aggregatiounsschalter fir all Datenzenter. Verdeelungsschalter (den zweeten Niveau vun der Aggregatioun) sinn direkt mat hinnen ugeschloss, déi schonn Top-of-Rack lokalen Netzwierkschalter an Racken mat Server montéieren.

All Server ass mat engem oder zwee Zougangsschalter ugeschloss. Zouganksschalter si mat engem Paar Verdeelungsschalter verbonnen (zwee Verdeelungsschalter an zwee kierperlech Linke vum Zougangsschalter op verschidde Verdeelungsschalter gi fir Redundanz benotzt).

All Server ka vu sengem eegene Client benotzt ginn, sou datt de Client e separaten VLAN zougewisen gëtt. Dee selwechte VLAN gëtt dann op engem anere Server vun dësem Client an all Rack registréiert. Den Datenzenter besteet aus e puer esou Reihen (PODs), all Zeil vu Racken huet seng eege Verdeelungsschalter. Dann sinn dës Verdeelungsschalter mat Aggregatiounsschalter ugeschloss.

Clienten kënnen e Server an all Zeil bestellen; et ass onméiglech am Viraus virauszesoen datt de Server an enger spezifescher Zeil an engem spezifesche Rack zougewisen oder installéiert gëtt, dofir sinn et ongeféier 2500 VLANs op Aggregatiounsschalter an all Datenzenter.

Ausrüstung fir DCI (Data-Center Interconnect) ass mat Aggregatiounsschalter ugeschloss. Et kann fir L2 Konnektivitéit geduecht sinn (e Paar Schalteren, déi e VXLAN Tunnel an en aneren Datenzenter bilden) oder fir L3 Konnektivitéit (zwee MPLS Router).

Wéi ech scho geschriwwen hunn, fir d'Prozesser vun der Automatiséierung vun der Konfiguratioun vu Servicer op Ausrüstung an engem Rechenzentrum ze vereenegen, war et néideg fir den zentrale Aggregatiounsschalter ze ersetzen. Mir hunn nei Schalter nieft deenen bestehenden installéiert, se an e MLAG-Paar kombinéiert an ugefaang op d'Aarbecht virzebereeden. Si goufen direkt mat existente Aggregatiounsschalter verbonnen, sou datt se e gemeinsame L2 Domain iwwer all Client VLANs haten.

Circuit Detailer

Fir Spezifizitéiten, loosst eis déi al Aggregatiounsschalter nennen A1 и A2, nei- N1 и N2. Loosst eis dat virstellen an POD 1 и POD 4 Server vun engem Client gehost ginn С1,De Client VLAN gëtt blo ugewisen. Dëse Client benotzt L2 Konnektivitéit Service mat engem aneren Datenzenter, sou datt säi VLAN op e Paar VXLAN Schalter gefüttert gëtt.

Client С2 Host Serveren an POD 2 и POD 3,De Client VLAN ass donkel gréng gezeechent. Dëse Client benotzt och e Konnektivitéitsservice mat engem aneren Datenzenter, awer L3, sou datt säi VLAN op e Paar L3VPN Router gefüttert gëtt.

Mir brauche Client VLANs fir ze verstoen a wéi enger Etappe vun der Ersatzaarbecht wat geschitt, wou d'Kommunikatiounsënnerbriechung geschitt a wat seng Dauer kann sinn. De STP-Protokoll gëtt net an dësem Schema benotzt, well d'Breet vum Bam an dësem Fall grouss ass, an d'Konvergenz vum Protokoll wächst exponentiell mat der Unzuel vun Apparater a Verbindungen tëscht hinnen.

All Apparater verbonne vun duebel Linken Form engem Stack, MLAG Pair oder VCS Ethernet Stoff. Fir e Paar L3VPN Router ginn esou Technologien net benotzt, well et kee Besoin fir L2 Redundanz ass; et ass genuch datt se L2 Konnektivitéit matenee hunn duerch Aggregatiounsschalter.

Ëmsetzung Optiounen

Beim Analyse vun Optiounen fir weider Eventer hu mir gemierkt datt et verschidde Weeër gëtt fir dës Aarbecht auszeféieren. Vun enger globaler Paus op de ganze lokalen Netzwierk, bis kleng wuertwiertlech 1-2 Sekonne Pausen an Deeler vum Netz.

Netz, stoppen! Schalter, ersetzen se!

Deen einfachste Wee ass natierlech eng global Kommunikatiounspaus op all PODs an all DCI Servicer ze deklaréieren an all Linken vun de Schalter ze wiesselen А zu Schalter N.

Ausser der Ënnerbriechung, d'Zäit vun där mir net zouverlässeg viraussoen (jo, mir wëssen d'Zuel vun de Linken, awer mir wëssen net wéi oft eppes falsch geet - vun engem gebrachene Patchkabel oder beschiedegte Stecker bis zu engem defekten Hafen oder Transceiver ), mir kënnen nach ëmmer net am Viraus viraussoen ob d'Längt vun de Patchschnouer, DAC, AOC, verbonne mat den alen Schalter A, genuch ass fir se op déi nei Schalter N z'erreechen, obwuel se niewendrun stinn, awer nach e bëssen bis der Säit, an ob déi selwecht transceiver wäert Aarbecht / DAC / AOC aus Brocade schalt Arista schalt.

An dat alles ënner Konditioune vu schwéierem Drock vu Clienten an technescher Ënnerstëtzung ("Natasha, steh op! Natasha, do klappt alles net! Natasha, mir hu schonn un d'technesch Ënnerstëtzung geschriwwen, éierlech gesot! Natasha, si hunn alles erofgelooss ! Natasha, wéi vill méi hu mir net wäert et funktionnéieren? Natasha, wéini funktionnéiert et?!"). Och trotz der viraus ugekënnegter Paus an der Notifikatioun un d'Clienten ass e Flux vun Demanden zu esou enger Zäit garantéiert.

Stop, 1-2-3-4!

Wat wa mir net eng global Paus annoncéieren, mä éischter eng Serie vu klenge Kommunikatioun Ënnerbriechungen fir POD an DCI Servicer. An der éischter Paus schalt op Schalter N nëmmen POD 1, an der zweeter - an e puer Deeg - POD 2, dann nach e puer Deeg POD 3, dann POD 4…[N], dann VXLAN Schalter an dann L3VPN Router.

Mat dëser Organisatioun vun der Schaltaarbecht reduzéieren mir d'Komplexitéit vun der eemoleger Aarbecht a vergréisseren eis Zäit fir Problemer ze léisen, wann eppes op eemol schief geet. POD 1 bleift verbonne mat anere PODs an DCIs nom Wiessel. Awer d'Aarbecht selwer dréit fir eng laang Zäit; während dëser Aarbecht am Rechenzentrum ass en Ingenieur erfuerderlech fir kierperlech de Wiessel auszeféieren, a während der Aarbecht (an esou Aarbecht gëtt normalerweis an der Nuecht duerchgefouert, ab 2. bis 5 Auer), ass d'Präsenz vun engem Online Reseau Ingenieur op engem zimlech héije Niveau Qualifikatiounen néideg. Awer dann kréie mir kuerz Kommunikatiounsënnerbriechungen; an der Regel kann d'Aarbecht an engem Intervall vun enger hallwer Stonn mat enger Paus vu bis zu 2 Minutten duerchgefouert ginn (an der Praxis, dacks 20-30 Sekonnen mat dem erwaarten Verhalen vun der Ausrüstung).

Am Beispill Client С1 oder Client С2 Dir musst op d'mannst dräimol iwwer d'Aarbecht mat enger Kommunikatiounsënnerbriechung warnen - déi éischte Kéier fir Aarbecht op engem POD auszeféieren, an deem ee vu senge Serveren ass, déi zweet Kéier - op der zweeter, an déi drëtt Kéier - wann Schaltausrüstung fir DCI Servicer.

Wiessel aggregéiert Kommunikatioun Channels

Firwat schwätze mir iwwer dat erwaart Verhalen vun Ausrüstung, a wéi aggregéiert Kanäl kënne gewiesselt ginn, während d'Kommunikatiounsënnerbriechung miniméiert? Loosst eis dat folgend Bild virstellen:

Op enger Säit vum Link sinn et POD Verdeelungsschalter - D1 и D2, si bilden en MLAG Paar mateneen (Stack, VCS Fabréck, vPC Pair), op der anerer Säit ginn et zwee Linken - Link 1 и Link 2 - am MLAG Pair vun alen Aggregatiounsschalter abegraff А. Op der Schalter Säit D eng aggregéiert Interface mam Numm Port-Kanal A, op der Säit vun Aggregatioun schalt А - aggregéiert Interface mam Numm Port-Kanal D.

Aggregéiert Schnëttplazen benotzen LACP an hirer Operatioun, dat heescht Schalter op béide Säiten austauschen regelméisseg LACPDU Pakete op béide Linken fir sécherzestellen datt d'Links:

Aarbechter;
abegraff an engem Paar Geräter op der Fernseit.

Wann Dir Päck austauscht, dréit de Pak de Wäert system-id, wat den Apparat uginn wou dës Linken abegraff sinn. Fir e MLAG Pair (Stack, Fabréck, asw.), ass de System-ID Wäert fir d'Apparater déi aggregéiert Interface bilden d'selwecht. Wiesselen D1 schéckt an Link 1 Bedeitung System-ID D, a schalt D2 schéckt an Link 2 Bedeitung System-ID D.

Schalter A1 и A2 analyséieren LACPDU Pakete kritt iwwer eng Po D Interface a kontrolléiert ob d'System-ID an hinnen entsprécht. Wann de System-ID, deen iwwer e puer Link kritt gëtt, plötzlech ënnerscheet vum aktuelle Betribswäert, da gëtt dëse Link vun der aggregéierter Interface geläscht bis d'Situatioun korrigéiert ass. Elo op eiser Schalter Säit D aktuelle System-ID Wäert vum LACP Partner - A, an op der Schalter Säit А — aktuelle System-ID Wäert vum LACP Partner — D.

Wa mir déi aggregéiert Interface musse wiesselen, kënne mir et op zwou verschidde Weeër maachen:

Method 1 - Einfach
Desaktivéiere béid Linke vu Schalter A. An dësem Fall funktionnéiert de aggregéierte Kanal net.

Connect béid Linken een nom aneren un d'Schalter N, da ginn d'LACP Betribsparameter erëm ausgehandelt an d'Interface gëtt geformt PoD op Schalteren N an Iwwerdroung vu Wäerter op Linken System-ID N.

Method 2 - Miniméieren Ënnerbriechung
Trennt Link 2 vum Schalter A2. Gläichzäiteg, Verkéier tëscht А и D wäert weiderhin einfach iwwer ee vun de Linken iwwerdroen ginn, déi Deel vun der aggregéiert Interface bleiwen wäert.

Connect Link 2 fir N2 ze wiesselen. Am Schalter N déi aggregéiert Interface ass scho konfiguréiert Po DN, a schalt N2 wäert ufänken ze LACPDU iwwerdroen System-ID N. Op dëser Etapp kënne mir scho kontrolléieren datt de Schalter N2 Wierker richteg mat der transceiver benotzt fir Link 2, datt d'Verbindungsport an de Staat agaangen ass Up, an datt keng Feeler um Verbindungsport geschéien wann LACPDUs iwwerdroen.

Mä d'Tatsaach, datt de Schalter D2 fir aggregéiert Interface Po A vun der Säit Link 2 kritt e System-ID N Wäert anescht wéi den aktuelle Betribssystem-ID A Wäert, erlaabt net Schalter D aféieren Link 2 Deel vun der aggregéiert Interface Po A. Wiesselen N kann net eran Link 2 a Betrib, well et keng Bestätegung vun der Operatioun vum LACP Partner vum Schalter kritt D2. Déi doraus resultéierend Verkéier ass Link 2 net duerchgoen.

An elo schalte mir Link 1 vum Schalter A1 aus, doduerch d'Schalter entzunn А и D schaffen aggregéiert Interface. Also op der Schalter Säit D den aktuellen Aarbechtssystem-ID Wäert fir den Interface verschwënnt Po A.

Dëst erlaabt Schalter D и N averstanen System-ID auszetauschen AN op Schnëttplazen Po A и Po DN, sou datt de Verkéier ufänkt laanscht de Link iwwerdroen ze ginn Link 2. D'Paus an dësem Fall ass, an der Praxis, bis zu 2 Sekonnen.

An elo kënne mir de Link 1 einfach op N1 wiesselen, d'Kapazitéit an den Niveau vun der Interface Redundanz restauréieren Po A и Po DN. Well wann dëse Link ugeschloss ass, ännert den aktuellen System-ID Wäert net op béide Säiten, et gëtt keng Ënnerbriechung.

Zousätzlech Linken

Awer de Schalter kann ouni d'Präsenz vun engem Ingenieur zum Zäitpunkt vum Wiessel gemaach ginn. Fir dëst ze maachen, musse mir am Viraus zousätzlech Linken tëscht Verdeelungsschalter leeën D an nei Aggregatiounsschalter N.

Mir leeën nei Linken tëscht Aggregatiounsschalter N a Verdeelungsschalter fir all PODs. Dëst erfuerdert zousätzlech Patchschnouer ze bestellen an ze leeën, an zousätzlech Transceiver z'installéieren wéi an N, a D. Mir kënnen dat maachen, well an eise Schalter D All POD huet gratis Ports (oder mir befreien se vir). Als Resultat ass all POD kierperlech duerch zwee Linken op déi al Schalter A an un déi nei Schalter N verbonnen.

Am Schalter D zwee aggregéiert Interfaces goufen geformt - Po A mat Linken Link 1 и Link 2an Pon N - mat Linken Link N1 и Link N2. Op dëser Etapp kontrolléieren mir d'korrekt Verbindung vun Schnëttplazen a Linken, d'Niveaue vun opteschen Signaler op béide Enden vun de Linken (iwwer DDM Informatioun vun de Schalteren), kënne mir souguer d'Leeschtung vum Link ënner Belaaschtung kontrolléieren oder d'Staaten iwwerwaachen optesch Signaler an Transceiver Temperaturen fir e puer Deeg.

Traffic gëtt nach ëmmer duerch den Interface geschéckt Po A, an den Interface Pon N kascht kee Verkéier. D'Astellungen op den Interfaces sinn eppes wéi dat:

Interface Port-channel A
Switchport mode trunk
Switchport allowed vlan C1, C2

Interface Port-channel N
Switchport mode trunk
Switchport allowed vlan none

D Schalter, als Regel, ënnerstëtzen Sessioun-baséiert Konfiguratiounsännerungen; Schaltmodeller déi dës Funktionalitéit hunn ginn benotzt. Also kënne mir d'Astellunge vun de Po A a Po N Interfaces an engem Schrëtt änneren:

Configure session
Interface Port-channel A
Switchport allowed vlan none
Interface Port-channel N
Switchport allowed vlan C1, C2
Commit

Da wäert d'Konfiguratiounsännerung séier genuch geschéien, an d'Paus wäert an der Praxis net méi wéi 5 Sekonnen sinn.

Dës Method erlaabt eis all Virbereedungsaarbecht am Viraus ze kompletéieren, all déi néideg Kontrollen auszeféieren, d'Aarbecht mat de Participanten am Prozess ze koordinéieren, am Detail d'Aktiounen fir d'Produktioun vun der Aarbecht virauszesoen, ouni Kreativitéitsflich wann "alles falsch gaang ass ", an hunn e Plang fir zréck an déi viregt Konfiguratioun. D'Aarbecht no dësem Plang gëtt vun engem Netzwierkingenieur duerchgefouert ouni d'Präsenz vun engem Datenzenteringenieur op der Plaz, deen de Wiessel kierperlech ausféiert.

Wat och wichteg ass mat dëser Method fir ze wiesselen ass datt all nei Links scho am Viraus iwwerwaacht ginn. Feeler, Inklusioun vu Linken an der Eenheet, Luede vu Linken - all déi néideg Informatioun ass schonn am Iwwerwaachungssystem, an dëst ass schonn op de Kaarten gezeechent.

D-Day

POD

Mir hunn de mannst schmerzhafte Schaltwee fir Clienten gewielt an déi mannst ufälleg fir "eppes falsch gaang" Szenarie mat zousätzlech Linken. Also hu mir all PODs op nei Aggregatiounsschalter an e puer Nuechte gewiesselt.

Awer alles wat bleift ass d'Ausrüstung ze wiesselen déi DCI Servicer ubitt.

L2

Am Fall vun Ausrüstung déi L2 Konnektivitéit ubitt, konnte mir net ähnlech Aarbecht mat zousätzlech Linken ausféieren. Et ginn op d'mannst zwee Grënn dofir:

Mangel u fräi Häfen vun der néideg Vitesse op VXLAN schalt.
Mangel u Sëtzung Configuratioun änneren Funktionalitéit op VXLAN schalt.

Mir hunn d'Links net "een op enger Zäit" mat enger Paus ëmgewiesselt nëmme wärend mir op en neit System-ID Pair averstane sinn, well mir net 100% Vertraue haten datt d'Prozedur richteg géif goen, an en Test am Labo huet gewisen datt an der Fall wann "eppes falsch geet", kréien mir nach eng Verbindung Ënnerbriechung, a wat Schlëmmst ass net nëmme fir Clienten déi L2 Konnektivitéit mat aneren Daten Zentren hunn, mee am Allgemengen fir all Clienten vun dësem Rechenzentrum.

Mir hunn d'Propagandaaarbecht virun der Zäit op den Iwwergank vu L2 Kanäl duerchgefouert, sou datt d'Zuel vun de Clienten, déi duerch d'Aarbecht op VXLAN-Schalter betraff sinn, schonn e puer Mol manner wéi engem Joer war. Als Resultat hu mir décidéiert d'Kommunikatioun iwwer de L2 Verbindungsservice z'ënnerbriechen, virausgesat datt mir déi normal Operatioun vu lokalen Netzwierkservicer an engem Datenzenter behalen. Zousätzlech gëtt d'SLA fir dëse Service d'Méiglechkeet fir geplangten Aarbechten mat Ënnerbriechungen auszeféieren.

L3

Firwat hu mir recommandéiert datt jidderee op L3VPN wiesselt wann Dir DCI Servicer organiséiert? Ee vun de Grënn ass d'Kapazitéit fir Aarbecht op ee vun de Router ze maachen, déi dëse Service ubidden, einfach d'Redundanzniveau op N + 0 reduzéieren, ouni d'Kommunikatioun ze ënnerbriechen.

Loosst eis de Service Liwwerung Schema méi no kucken. An dësem Service geet de L2 Segment vu Client Serveren nëmmen op L3VPN Selectel Router. De Client Netzwierk gëtt op Router ofgeschloss.

All Client Server, z.B. S2 и S3 am gegebenen Diagramm, hunn hir eege privat IP Adressen - 10.0.0.2/24 op Server S2 и 10.0.0.3/24 op Server S3. Adressen 10.0.0.252/24 и 10.0.0.253/24 vun Selectel zu Router zougewisen L3VPN-1 и L3VPN-2, respektiv. IP Adress 10.0.0.254/24 ass eng VRRP VIP Adress op Selectel Router.

Dir kënnt méi iwwer de L3VPN Service léieren gelies an eisem Blog.

Virum Schalter huet alles ongeféier ausgesinn wéi am Diagramm:

Zwee Router L3VPN-1 и L3VPN-2 goufen un den alen Aggregatiounsschalter verbonnen А. De Master fir VRRP VIP Adress 10.0.0.254 ass de Router L3VPN-1. Et huet eng méi héich Prioritéit fir dës Adress wéi de Router L3VPN-2.

unit 1006 {
    description C2;
    vlan-id 1006;
    family inet {       
        address 10.0.0.252/24 {
            vrrp-group 1 {
                priority 200;
                virtual-address 10.100.0.254;
                preempt {
                    hold-time 120;
                }
                accept-data;
            }
        }
    }
}

De S2 Server benotzt Gateway 10.0.0.254 fir mat Serveren op anere Plazen ze kommunizéieren. Also, d'Trennung vum L3VPN-2 Router aus dem Netz (natierlech, wann et fir d'éischt vum MPLS Domain getrennt ass) beaflosst net d'Konnektivitéit vun de Server vum Client. Zu dësem Zäitpunkt gëtt den Redundanzniveau vum Circuit einfach reduzéiert.

Duerno kënne mir de Router sécher erëm konnektéieren L3VPN-2 zu engem Paar Schalteren N. Lay Linken, änneren transceivers. D'logesch Interfaces vum Router, op deenen d'Operatioun vu Clientsservicer ofhänkt, sinn ausgeschalt bis et bestätegt gëtt datt alles funktionnéiert wéi et soll.

Nodeems Dir d'Links, d'Transceiver, d'Signalniveauen an d'Fehlerniveauen op den Interfaces iwwerpréift huet, gëtt de Router a Betrib geholl, awer scho mat engem neie Paar Schalter verbonnen.

Als nächst senke mir d'VRRP Prioritéit vum L3VPN-1 Router, an d'VIP Adress 10.0.0.254 gëtt op de L3VPN-2 Router geplënnert. Dës Aarbechte ginn och ouni Ënnerbriechung vun der Kommunikatioun duerchgefouert.

Iwwerdroung vun VIP Adress 10.0.0.254 op de Router L3VPN-2 erlaabt Iech de Router auszeschalten L3VPN-1 ouni Ënnerbriechung vun der Kommunikatioun fir de Client a verbënnt et mat engem neie Paar Aggregatiounsschalter N.

Ob VRRP VIP op de L3VPN-1 Router zréckgeet oder net ass eng aner Fro, an och wann et zréckgeet, gëtt et gemaach ouni d'Verbindung ze ënnerbriechen.

Total

No all dëse Schrëtt hu mir tatsächlech d'Aggregatiounsschalter an engem vun eisen Datenzenteren ersat, wärend d'Stéierung fir eis Clienten miniméiert.

Alles wat bleift ass Ofbau. Ofbau vun alen Schalteren, Ofbau vun alen Linken tëscht Schalter A an D, Ofbau vun Transceiver aus dëse Linken, Korrektur vun der Iwwerwaachung, Korrektur vun Netzdiagrammer an der Dokumentatioun an der Iwwerwaachung.