🌠 ✋ 🌾 Erfahrung in der Implementierung von Netzwerkfabriken basierend auf EVPN VXLAN und Cisco ACI und ein kleiner Vergleich ❗️ 📂 👊🏿

Bewerten Sie die Bänder in der Mitte des Diagramms. Wir werden weiter unten darauf zurückkommen.

Irgendwann können Sie auf die Tatsache stoßen, dass große komplexe Netzwerke, die auf L2 basieren, todkrank sind. Zunächst Probleme im Zusammenhang mit der Verarbeitung des BUM-Verkehrs und dem Betrieb des STP-Protokolls. Die zweite - insgesamt moralisch veraltete Architektur. Dies führt zu unangenehmen Problemen in Form von Ausfallzeiten und Unannehmlichkeiten bei der Handhabbarkeit.

Wir hatten zwei parallele Projekte, in denen Kunden alle Vor- und Nachteile der Optionen nüchtern bewerteten und zwei verschiedene Overlay-Lösungen auswählten, und wir implementierten sie.

Es war möglich, die Implementierung genau zu vergleichen. Keine Ausbeutung, es lohnt sich, in zwei oder drei Jahren darüber zu sprechen.

Was ist eine Overlay-Netzwerkfabrik und SDN?

Was tun mit den wunden Problemen der klassischen Netzwerkarchitektur?

Jedes Jahr erscheinen neue Technologien und Ideen. In der Praxis ist die Notwendigkeit, Netzwerke neu aufzubauen, seit geraumer Zeit nicht mehr aufgetreten, da Sie mit den Methoden des guten alten Großvaters auch alles von Hand erledigen können. Was ist also mit dem 21. Jahrhundert? Am Ende sollte der Administrator arbeiten und nicht in seinem Büro sitzen.

Dann begann der Boom beim Bau großer Rechenzentren. Dann wurde klar, dass die Entwicklungsgrenze der klassischen Architektur nicht nur in Bezug auf Leistung, Fehlertoleranz und Skalierbarkeit erreicht wurde. Eine der Möglichkeiten zur Lösung dieser Probleme war die Idee, überlagerte Netzwerke auf dem gerouteten Backbone aufzubauen.

Darüber hinaus wurde mit der Zunahme des Netzwerkumfangs das Problem der Verwaltung solcher Fabriken akut, wodurch Lösungen für softwaredefinierte Netzwerke mit der Fähigkeit zur Verwaltung der gesamten Netzwerkinfrastruktur als Ganzes auftauchten. Wenn das Netzwerk von einem einzigen Punkt aus verwaltet wird, können andere Komponenten der IT-Infrastruktur leichter mit ihm interagieren, und solche Interaktionsprozesse lassen sich leichter automatisieren.

Nahezu jeder große Hersteller von Netzwerkgeräten, aber auch von Virtualisierung, hat Optionen für solche Lösungen im Portfolio.

Es bleibt nur herauszufinden, was für welche Bedürfnisse geeignet ist. Für besonders große Unternehmen mit einem guten Entwicklungs- und Betriebsteam erfüllen herstellerbasierte Box-Lösungen beispielsweise nicht immer alle Anforderungen und greifen auf die Entwicklung eigener SD-Lösungen (Software Defined) zurück. Dies sind beispielsweise Cloud-Anbieter, die das Leistungsspektrum für ihre Kunden ständig erweitern, und Boxed-Lösungen können einfach nicht mit ihren Anforderungen Schritt halten.

Für mittelständische Unternehmen reicht in 99 Prozent der Fälle die vom Anbieter angebotene Funktionalität in Form einer Boxed-Lösung aus.

Was ist Overlay-Netzwerk?

Was ist die Idee von Overlay-Netzwerken? Im Wesentlichen nehmen Sie ein klassisches geroutetes Netzwerk und bauen ein weiteres Netzwerk darauf auf, um mehr Funktionen zu erhalten. Am häufigsten sprechen wir über die effektive Verteilung der Last auf Geräte und Kommunikationsleitungen, eine signifikante Erhöhung der Skalierbarkeitsgrenze, eine erhöhte Zuverlässigkeit und eine Reihe von Sicherheitsbrötchen (aufgrund der Segmentierung). Darüber hinaus bieten SDN-Lösungen die Möglichkeit einer sehr, sehr, sehr bequemen, flexiblen Verwaltung und machen das Netzwerk für die Verbraucher transparenter.

Wenn lokale Netzwerke in den Jahren der 2010er Jahre erfunden würden, würden sie im Allgemeinen nicht so aussehen, wie wir sie vom Militär aus den 1970er Jahren geerbt haben.

Unter dem Gesichtspunkt der Technologien zum Aufbau von Fabriken unter Verwendung überlagerter Netzwerke gibt es derzeit viele Implementierungen von Herstellern und Internetprojekten RFC (EVPN + VXLAN, EVPN + MPLS, EVPN + MPLSoGRE, EVPN + Geneve und andere). Ja, es gibt Standards, aber die Implementierung dieser Standards durch verschiedene Hersteller kann unterschiedlich sein. Daher ist es bei der Erstellung solcher Fabriken immer noch möglich, die Anbietersperre nur theoretisch auf Papier vollständig aufzugeben.

Mit der SD-Lösung sind die Dinge noch verwirrender, jeder Anbieter hat seine eigene Vision. Es gibt völlig offene Lösungen, die Sie theoretisch selbst beenden können, es gibt völlig geschlossene.

Cisco bietet eine eigene SDN-Option für Rechenzentren an - ACI. Natürlich handelt es sich hierbei um eine 100% ige Vendor-Lock-Lösung in Bezug auf die Auswahl der Netzwerkgeräte. Gleichzeitig ist sie vollständig in Virtualisierung, Containerisierung, Sicherheit, Orchestrierung, Load Balancer usw. integriert. Im Wesentlichen handelt es sich jedoch immer noch um eine Art Black Box ohne die Möglichkeit eines vollständigen Zugriffs zu allen internen Prozessen. Nicht alle Kunden stimmen dieser Option zu, da Sie vollständig von der Qualität des geschriebenen Lösungscodes und seiner Implementierung abhängen. Andererseits verfügt der Hersteller über einen der besten technischen Support der Welt und ein engagiertes Team, das sich nur mit dieser Lösung befasst. Als Lösung für das erste Projekt wurde Cisco ACI ausgewählt.

Die Lösung für Juniper wurde für das zweite Projekt ausgewählt. Der Hersteller hat auch ein eigenes SDN für das Rechenzentrum, aber der Kunde hat beschlossen, die Implementierung von SDN aufzugeben. Als Technologie für den Aufbau des Netzwerks wurde die EVPN VXLAN-Fabrik ohne Verwendung zentraler Controller ausgewählt.

Warum brauchst du

Durch das Erstellen einer Factory können Sie ein einfach skalierbares, fehlertolerantes und zuverlässiges Netzwerk aufbauen. Die Architektur (Leaf-Spine) berücksichtigt die Merkmale von Rechenzentren (Verkehrspfade, Minimierung von Verzögerungen und Netzwerkengpässen). SD-Lösungen in Rechenzentren ermöglichen die bequeme, schnelle und flexible Verwaltung einer solchen Fabrik und deren Integration in das Ökosystem von Rechenzentren.

Beide Kunden mussten Backup-Rechenzentren erstellen, um Fehlertoleranz zu gewährleisten. Außerdem musste der Datenverkehr zwischen den Rechenzentren verschlüsselt werden.

Der erste Kunde betrachtete bereits Lösungen ohne Fabrik als möglichen Standard für seine Netzwerke, hatte jedoch in Tests Probleme mit der STP-Kompatibilität zwischen mehreren Hardwareanbietern. Es gab Ausfallzeiten, die zu Serviceeinbußen führten. Und für den Kunden war es entscheidend.

Cisco war bereits der Unternehmensstandard des Kunden. Sie untersuchten ACI und andere Optionen und entschieden, dass es sich lohnt, diese Lösung zu wählen. Ich mochte die Automatisierung der Steuerung mit einer Taste über einen einzigen Controller. Dienste werden schneller konfiguriert und schneller verwaltet. Sie beschlossen, die Verkehrsverschlüsselung durch Ausführen von MACSec zwischen den IPN- und SPINE-Switches bereitzustellen. So ist es uns gelungen, einen Engpass in Form eines Crypto-Gateways zu vermeiden, diese einzusparen und die maximale Bandbreite zu nutzen.

Der zweite Kunde entschied sich für eine Lösung ohne Controller von Juniper, da in seinem vorhandenen Rechenzentrum bereits eine kleine Installation mit der Implementierung der EVPN VXLAN-Factory vorhanden war. Dort war es jedoch nicht fehlertolerant (ein Schalter wurde verwendet). Sie beschlossen, die Infrastruktur des Hauptrechenzentrums zu erweitern und eine Fabrik im Backup-Rechenzentrum zu errichten. Das vorhandene EVPN wurde nicht vollständig genutzt: Die VXLAN-Kapselung wurde nicht tatsächlich verwendet, da alle Hosts mit einem Switch verbunden waren und alle MAC-Adressen und / 32-Hostadressen lokal waren. Der gleiche Switch war ein Gateway für sie. Es gab keine anderen Geräte. wo es notwendig war, VXLAN-Tunnel zu bauen. Sie beschlossen, die Verkehrsverschlüsselung mithilfe der IPSEC-Technologie zwischen Firewalls bereitzustellen (die ITU-Leistung war ausreichend).

Sie fühlten sich auch von ACI betroffen, entschieden jedoch, dass sie aufgrund der Verkäufersperre zu viel Eisen kaufen müssten, einschließlich des Austauschs kürzlich gekaufter neuer Geräte, und dies ist wirtschaftlich einfach nicht sinnvoll. Ja, die Cisco-Fabrik ist in alles integriert, aber nur die Geräte sind innerhalb der Fabrik selbst möglich.

Andererseits kann sich die EVPN VXLAN-Factory, wie bereits erwähnt, nicht mit einem benachbarten Anbieter mischen, da die Protokollimplementierungen unterschiedlich sind. Es ist, als würde man Cisco und Huawei im selben Netzwerk überqueren - es scheint, dass die Standards üblich sind, nur dass man mit einem Tamburin tanzen muss. Da es sich um eine Bank handelt und die Kompatibilitätstests sehr langwierig wären, haben sie entschieden, dass es besser ist, jetzt denselben Anbieter zu kaufen und sich nicht wirklich von Funktionen außerhalb der Basis mitreißen zu lassen.

Migrationsplan

Zwei ACI-basierte

Rechenzentren : Organisation der Interaktion zwischen Rechenzentren. Multi-Pod-Lösung ausgewählt - jedes Rechenzentrum ist ein Herd. Die Anforderungen an die Skalierung der Anzahl der Schalter und an Verzögerungen zwischen den Herden (RTT weniger als 50 ms) wurden berücksichtigt. Es wurde beschlossen, keine Multi-Site-Lösung zu erstellen, um die Verwaltung zu vereinfachen (für eine Multi-Pod-Lösung wird eine einzige Verwaltungsschnittstelle verwendet, für einen Multi-Site wären zwei Schnittstellen erforderlich oder ein Multi-Site-Orchestrator wäre erforderlich), und da keine geografische Reservierung von Standorten erforderlich war.

Unter dem Gesichtspunkt der Migration von Diensten aus dem Legacy-Netzwerk wurde die transparenteste Option gewählt, um VLANs, die bestimmten Diensten entsprechen, schrittweise zu übertragen.
Für die Migration wurde jedes VLAN werkseitig mit dem entsprechenden EPG (Endpunktgruppe) erstellt. Zuerst wurde das Netzwerk über L2 zwischen dem alten Netzwerk und der Fabrik gespannt, dann, nachdem alle Hosts migriert waren, das Gateway zur Fabrik übertragen wurde und der EPG über L3OUT mit dem vorhandenen Netzwerk interagierte und die Interaktion zwischen L3OUT und EPG mithilfe von Verträgen beschrieben wurde. Beispielschema: Die

Beispielstruktur der meisten ACI-Factory-Richtlinien in der folgenden Abbildung. Die gesamte Konfiguration basiert auf Richtlinien, die in andere Richtlinien usw. eingebettet sind. Zunächst ist es sehr schwierig, dies herauszufinden, aber wie die Praxis zeigt, gewöhnen sich Netzwerkadministratoren nach und nach in etwa einem Monat an eine solche Struktur und verstehen erst, wie bequem sie ist.

Vergleich

In der Cisco ACI-Lösung müssen Sie mehr Geräte kaufen (separate Switches für Inter-Pod-Interaktion und APIC-Controller), was die Kosten erhöht. Die Lösung von Juniper erforderte keinen Kauf von Controllern und Zubehör. Es stellte sich heraus, dass die vorhandene Kundenausrüstung teilweise genutzt wurde.

Hier ist die Architektur der EVPN VXLAN-Factory für zwei Rechenzentren des zweiten Projekts:

In ACI erhalten Sie eine vorgefertigte Lösung - keine Auswahl, keine Optimierung. Bei der ersten Bekanntschaft des Kunden mit der Fabrik werden keine Entwickler benötigt, und für Code und Automatisierung werden keine unterstützenden Mitarbeiter benötigt. Die Bedienung ist recht einfach. Viele Einstellungen können im Allgemeinen über den Assistenten vorgenommen werden. Dies ist nicht immer von Vorteil, insbesondere für Personen, die an die Befehlszeile gewöhnt sind. In jedem Fall braucht es Zeit, um das Gehirn auf neuen Spuren, über die Funktion von Einstellungen durch Richtlinien und über den Betrieb vieler ineinander verschachtelter Richtlinien neu aufzubauen. Darüber hinaus ist es sehr wünschenswert, eine klare Struktur für die Namen von Richtlinien und Objekten zu haben. Wenn es ein Problem in der Logik der Steuerung gibt, kann es nur durch technischen Support behoben werden.

In EVPN eine Konsole. Leiden oder sich freuen. Die vertraute Schnittstelle für die alte Garde. Ja, es gibt eine typische Konfiguration und Anleitungen. Mana rauchen müssen. Unterschiedliche Designs, alles ist klar und detailliert.

In beiden Fällen ist es natürlich besser, nicht die kritischsten Dienste, z. B. Testumgebungen, während der Migration zu migrieren und erst dann, nachdem alle Fehler behoben wurden, mit der Produktion fortzufahren. Und schalten Sie nicht am Freitagabend ein. Sie sollten dem Anbieter nicht vertrauen, dass alles in Ordnung ist. Es ist immer besser, auf Nummer sicher zu gehen.

Sie zahlen mehr für ACI, obwohl Cisco diese Lösung derzeit aktiv bewirbt und häufig gute Rabatte gewährt, aber Sie sparen Wartung - Wartung. Das Management und jede Automatisierung einer EVPN-Fabrik ohne Controller erfordert Investitionen und regelmäßige Kosten - Überwachung, Automatisierung, Implementierung neuer Dienste. Gleichzeitig ist der erste Start bei ACI um 30 bis 40 Prozent länger. Dies liegt daran, dass der gesamte Satz der erforderlichen Profile und Richtlinien länger erstellt wird und dann verwendet wird. Mit zunehmendem Netzwerk nimmt jedoch die Anzahl der erforderlichen Konfigurationen ab. Verwenden Sie die bereits erstellten Richtlinien, Profile und Objekte. Sie können Segmentierung und Sicherheit flexibel konfigurieren und Verträge zentral verwalten, die für bestimmte Interaktionen zwischen EPGs verantwortlich sind - das Arbeitsvolumen sinkt stark.

In EVPN müssen Sie jedes Gerät werkseitig konfigurieren, die Fehlerwahrscheinlichkeit ist größer.

Wenn die Bereitstellung von ACI langsamer ist, hat EVPN fast doppelt so lange debuggt. Wenn Sie im Fall von Cisco jederzeit einen Support-Techniker anrufen und nach dem gesamten Netzwerk fragen können (da es als Lösung behandelt wird), kaufen Sie bei Juniper Networks nur Hardware, die von diesem abgedeckt wird. Sind die Pakete vom Gerät weg? Na gut, dann deine Probleme. Sie können jedoch die Frage nach der Auswahl einer Lösung oder dem Entwurf eines Netzwerks aufwerfen. Anschließend wird empfohlen, gegen eine zusätzliche Gebühr einen professionellen Service zu erwerben.

Die ACI-Unterstützung ist sehr cool, weil sie separat ist: Ein separates Team sitzt nur dafür. Es gibt auch russischsprachige Spezialisten. Hyde detailliert, Entscheidungen sind vorbestimmt. Sie schauen und beraten. Design validiert schnell, was oft wichtig ist. Juniper Networks machen dasselbe, aber manchmal langsamer (wir hatten es, es sollte jetzt besser sein, es wird gemunkelt), was Sie dazu zwingt, alles selbst zu tun, wo Ihr Lösungsingenieur raten könnte.

Cisco ACI unterstützt die Integration in Virtualisierungs- und Containerisierungssysteme (VMware, Kubernetes, Hyper-V) und die zentrale Verwaltung. Es gibt Netzwerk- und Sicherheitsdienste - Balancing, Firewalls, WAF, IPS und mehr ... Gute Mikrosegmentierung sofort einsatzbereit. Bei der zweiten Lösung erfolgt die Integration in Netzwerkdienste mit einem Tamburin, und es ist besser, Foren mit denen zu rauchen, die dies im Voraus getan haben.

Gesamt

Für jeden Einzelfall muss eine Lösung ausgewählt werden, die nicht nur auf den Kosten der Ausrüstung basiert, sondern auch die weiteren Betriebskosten und die Hauptprobleme berücksichtigt, mit denen der Kunde derzeit konfrontiert ist, sowie die Pläne für die Entwicklung der IT-Infrastruktur.

ACI wurde aufgrund zusätzlicher Ausrüstung teurer, aber die Lösung ist fertig, ohne dass eine Fertigstellung erforderlich ist. Die zweite Lösung ist aus betrieblicher Sicht komplizierter und kostspieliger, aber billiger.

Wenn Sie besprechen möchten, wie viel die Implementierung einer Netzwerkfactory bei verschiedenen Anbietern kosten kann und welche Art von Architektur erforderlich ist, können Sie sich treffen und unterhalten. Vor dem groben Entwurf der Architektur (mit dem Budgets berücksichtigt werden können) zeigen wir Ihnen kostenlos, eine detaillierte Studie ist natürlich bereits bezahlt.

Vladimir Klepce, Unternehmensnetzwerke.