在前两部分中(
以前,我们没有任何单独的服务器基础设施:服务器交换机与用户分发交换机连接到同一核心。 使用虚拟网络(VLAN)进行访问控制,VLAN路由在一个点上进行 - 在核心上(根据原则
旧的网络基础设施
在建立新的办公网络的同时,我们决定为其建造一个新的服务器机房和一个单独的新工厂。 结果证明它很小(三个服务器机柜),但符合所有规范:CE8850 交换机上的独立核心、全网状(主干-叶)拓扑、架顶式 (ToR) CE6870 交换机、一对单独的交换机用于与网络其余部分(边界叶)连接的交换机。 简而言之,完整的肉末。
新服务器工厂网络
我们决定放弃服务器 SCS,转而将服务器直接连接到 ToR 交换机。 为什么? 我们已经有两个使用服务器SCS构建的服务器机房,我们意识到这是:
- 使用不方便(多次重连,需要仔细更新线缆日志);
- 配线架占用的空间昂贵;
- 当需要提高服务器的连接速度时(例如,从铜缆上的 1 Gbit/s 连接切换到光纤上的 10 Gbit/s 连接),这是一个障碍。
当搬到新的服务器工厂时,我们尝试放弃以 1 Gbit/s 的速度连接服务器,并将自己限制为 10 Gbit 接口。 几乎所有无法做到这一点的旧服务器都被虚拟化了,其余的服务器通过千兆位收发器连接到10个千兆位端口。 我们计算了一下,认为这比为它们安装单独的千兆交换机更便宜。
ToR 交换机
同样在我们的新服务器机房中,我们安装了具有 24 个端口的独立带外管理 (OOM) 交换机,每个机架一个。 这个想法结果很好,但是端口不够,下次我们将安装48端口的OOM交换机。
我们将用于服务器远程管理的接口(例如华为术语中的iLO或iBMC)连接到OOM网络。 如果服务器失去了与网络的主要连接,则可以通过此接口访问它。 此外,ToR交换机的控制接口、温度传感器、UPS控制接口和其他类似设备都连接到OOM交换机。 OOM 网络可通过单独的防火墙接口访问。
OOM 网络连接
将服务器和用户网络配对
在定制工厂中,单独的 VRF 用于不同的目的 - 用于连接用户工作站、视频监控系统、会议室中的多媒体系统、用于组织展位和演示区等。
另一组 VRF 已在服务器工厂中创建:
- 连接部署企业服务的常规服务器。
- 一个单独的 VRF,其中部署了可访问 Internet 的服务器。
- 用于仅由其他服务器(例如应用程序服务器)访问的数据库服务器的单独 VRF。
- 我们的邮件系统(MS Exchange + Skype for Business)有单独的 VRF。
所以我们在用户工厂端有一组VRF,在服务器工厂端有一组VRF。 这两套都安装在企业防火墙 (FW) 集群上。 ME 连接到服务器结构和用户结构的边界交换机(边界叶)。
通过 ME 连接工厂 - 物理
通过 ME - 逻辑连接工厂
迁移进展如何?
在迁移过程中,我们通过临时中继在数据链路级别连接新旧服务器工厂。 为了迁移位于特定VLAN中的服务器,我们创建了一个单独的桥接域,其中包括旧服务器工厂的VLAN和新服务器工厂的VXLAN。
配置看起来像这样,最后两行是关键:
bridge-domain 22
vxlan vni 600022
evpn
route-distinguisher 10.xxx.xxx.xxx:60022
vpn-target 6xxxx:60022 export-extcommunity
vpn-target 6xxxx:60022 import-extcommunity
interface Eth-Trunk1
mode lacp-static
dfs-group 1 m-lag 1
interface Eth-Trunk1.1022 mode l2
encapsulation dot1q vid 22
bridge-domain 22
虚拟机迁移
然后,使用 VMware vMotion,将该 VLAN 中的虚拟机从旧的虚拟机管理程序(版本 5.5)迁移到新的虚拟机管理程序(版本 6.5)。 同时,硬件服务器也实现了虚拟化。
当你尝试重复时提前配置MTU,检查大包“端到端”的通过情况。
在旧的服务器网络中,我们使用VMware vShield虚拟防火墙。 由于 VMware 不再支持此工具,因此我们在迁移到新虚拟场的同时从 vShield 切换到硬件防火墙。
当旧网络上的特定 VLAN 中没有服务器后,我们切换路由。 此前,它是在旧核心上进行的,使用Collapsed Backbone技术构建,而在新服务器工厂中我们使用Anycast Gateway技术。
切换路由
对特定VLAN进行路由切换后,与桥域断开,并排除在新旧网络之间的中继之外,即完全迁移到新服务器工厂。 因此,我们迁移了大约 20 个 VLAN。
因此,我们创建了一个新的网络、一个新的服务器和一个新的虚拟化场。 在以下一篇文章中,我们将讨论我们对 Wi-Fi 所做的事情。
马克西姆·克洛奇科夫
网络审计及复杂项目组高级顾问
网络解决方案中心
“喷气信息系统”
来源: habr.com