🛁 🙅🏼 🙇🏾 Experiencia en la implementación de fábricas de red basadas en EVPN VXLAN y Cisco ACI y una pequeña comparación 👐🏽 🏘️ 🔹

Califique los ligamentos en el medio de la tabla. Volveremos a ellos a continuación:

en algún momento, puede encontrar el hecho de que las grandes redes complejas basadas en L2 tienen una enfermedad terminal. En primer lugar, los problemas asociados con el procesamiento del tráfico BUM y con el funcionamiento del protocolo STP. El segundo - en su conjunto arquitectura moralmente obsoleta. Esto causa problemas desagradables en forma de tiempos de inactividad e inconvenientes para la capacidad de administración.

Tuvimos dos proyectos paralelos donde los clientes evaluaron sobriamente todos los pros y los contras de las opciones y eligieron dos soluciones de superposición diferentes, y las implementamos.

Fue posible comparar exactamente la implementación. No es explotación, vale la pena hablar de eso en dos o tres años.

Entonces, ¿qué es una fábrica de redes superpuestas y SDN?

¿Qué hacer con los problemas dolorosos de la arquitectura de red clásica?

Cada año aparecen nuevas tecnologías e ideas. En la práctica, la necesidad urgente de reconstruir redes no ha surgido durante bastante tiempo, porque también puede hacer todo a mano utilizando los buenos y viejos métodos de abuelo. Entonces, ¿qué pasa con el siglo XXI? Al final, el administrador debería trabajar, no sentarse en su oficina.

Luego comenzó el auge de la construcción de centros de datos a gran escala. Luego quedó claro que el límite de desarrollo de la arquitectura clásica se alcanzó no solo en términos de rendimiento, tolerancia a fallas y escalabilidad. Y una de las opciones para resolver estos problemas fue la idea de construir redes superpuestas sobre la red troncal enrutada.

Además, con la creciente escala de las redes, el problema de administrar tales fábricas se agudizó, como resultado de lo cual las soluciones de redes definidas por software comenzaron a aparecer con la capacidad de administrar toda la infraestructura de red en su conjunto. Y cuando la red se gestiona desde un solo punto, es más fácil para otros componentes de la infraestructura de TI interactuar con ella, y dichos procesos de interacción son más fáciles de automatizar.

Casi todos los principales fabricantes, no solo de equipos de red, sino también de virtualización, tienen en su cartera opciones para tales soluciones.

Solo queda averiguar qué es adecuado para qué necesidades. Por ejemplo, para empresas especialmente grandes con un buen equipo de desarrollo y operación, las soluciones de caja basadas en el proveedor no siempre satisfacen todas las necesidades, y recurren al desarrollo de sus propias soluciones SD (definidas por software). Por ejemplo, se trata de proveedores en la nube que expanden constantemente la gama de servicios prestados a sus clientes, y las soluciones en caja simplemente no pueden satisfacer sus necesidades.

Para las empresas medianas, la funcionalidad que ofrece el proveedor en forma de solución en caja es suficiente en el 99 por ciento de los casos.

¿Qué es la superposición de redes?

¿Cuál es la idea de redes superpuestas? En esencia, toma una red enrutada clásica y construye otra red sobre ella para obtener más funciones. Con mayor frecuencia, estamos hablando de la distribución efectiva de la carga en equipos y líneas de comunicación, un aumento significativo en el límite de escalabilidad, una mayor confiabilidad y un montón de bollos de seguridad (debido a la segmentación). Y las soluciones SDN además de esto brindan la oportunidad de una administración flexible muy, muy conveniente y hacen que la red sea más transparente para sus consumidores.

En general, si las redes locales se inventaran en los años 2010, entonces no se verían como las que heredamos de los militares de la década de 1970.

Desde el punto de vista de las tecnologías para construir fábricas que utilizan redes superpuestas, actualmente hay muchas implementaciones de fabricantes y proyectos de Internet RFC (EVPN + VXLAN, EVPN + MPLS, EVPN + MPLSoGRE, EVPN + Geneve y otros). Sí, hay estándares, pero la implementación de estos estándares por diferentes fabricantes puede diferir, por lo tanto, al crear tales fábricas, todavía es posible abandonar por completo el bloqueo del proveedor solo en teoría en papel.

Con la solución SD, las cosas son aún más confusas, cada proveedor tiene su propia visión. Hay soluciones completamente abiertas que, en teoría, puede terminar usted mismo, hay otras completamente cerradas.

Cisco ofrece su propia opción SDN para centros de datos: ACI. Naturalmente, esta es una solución 100% de bloqueo del proveedor en términos de la elección del equipo de red, pero al mismo tiempo está completamente integrada con virtualización, contenedorización, seguridad, orquestación, equilibradores de carga, etc. Pero, en esencia, sigue siendo una especie de caja negra, sin la posibilidad de acceso completo a todos los procesos internos. No todos los clientes aceptan esta opción, ya que usted depende completamente de la calidad del código de la solución escrita y su implementación, pero por otro lado, el fabricante tiene uno de los mejores servicios de asistencia técnica del mundo y cuenta con un equipo dedicado que solo se ocupa de esta solución. Fue Cisco ACI quien fue elegido como la solución para el primer proyecto.

La solución para Juniper fue elegida para el segundo proyecto. El fabricante también tiene su propio SDN para el centro de datos, pero el cliente decidió abandonar la implementación de SDN. La fábrica EVPN VXLAN sin el uso de controladores centralizados fue elegida como la tecnología para construir la red.

Por qué lo necesitas

Crear una fábrica le permite construir una red confiable, fácilmente escalable, tolerante a fallas. La arquitectura (columna vertebral) tiene en cuenta las características de los centros de datos (rutas de tráfico, minimizando los retrasos y los cuellos de botella de la red). Las soluciones SD en los centros de datos permiten gestionar de manera conveniente, rápida y flexible dicha fábrica e integrarla en el ecosistema del centro de datos.

Ambos clientes necesitaban construir centros de datos de respaldo para garantizar la tolerancia a fallas, además, el tráfico entre los centros de datos tenía que ser encriptado.

El primer cliente ya consideraba las soluciones sin una fábrica como un posible estándar para sus redes, pero en las pruebas tuvieron problemas con la compatibilidad STP entre varios proveedores de hardware. Hubo tiempos de inactividad que causaron la caída del servicio. Y para el cliente fue crítico.

Cisco ya era el estándar corporativo del cliente, analizaron ACI y otras opciones y decidieron que valía la pena tomar esta solución. Me gustó la automatización del control con un botón a través de un solo controlador. Los servicios se configuran más rápido, se administran más rápido. Decidieron proporcionar cifrado de tráfico ejecutando MACSec entre los conmutadores IPN y SPINE. Por lo tanto, logramos evitar un cuello de botella en forma de puerta de enlace criptográfica, ahorrar en ellos y usar el ancho de banda máximo.

El segundo cliente eligió una solución sin un controlador de Juniper, porque en su centro de datos existente ya había una pequeña instalación con la implementación de la fábrica EVPN VXLAN. Pero allí no era tolerante a fallas (se usó un interruptor). Decidieron expandir la infraestructura del centro de datos principal y construir una fábrica en el centro de datos de respaldo. El EVPN existente no se usó completamente: la encapsulación VXLAN no se usó realmente, ya que todos los hosts estaban conectados a un conmutador, y todas las direcciones MAC y / 32 direcciones de host eran locales, el mismo conmutador era una puerta de enlace para ellos, no había otros dispositivos, donde era necesario construir túneles VXLAN. Decidieron proporcionar cifrado de tráfico utilizando tecnología IPSEC entre cortafuegos (el rendimiento de la UIT fue suficiente).

También sintieron ACI, pero decidieron que debido al bloqueo del proveedor tendrían que comprar demasiado hierro, incluido el reemplazo de equipos nuevos comprados recientemente, y esto simplemente no tiene sentido económico. Sí, la fábrica de Cisco se integra con todo, pero solo sus dispositivos son posibles dentro de la propia fábrica.

Por otro lado, como dijeron antes, la fábrica EVPN VXLAN simplemente no puede mezclarse con ningún proveedor vecino, porque las implementaciones de protocolo son diferentes. Es como cruzar Cisco y Huawei en la misma red: parece que los estándares son comunes, solo que tienes que bailar con una pandereta. Como se trata de un banco y las pruebas de compatibilidad serían muy largas, decidieron que ahora es mejor comprar el mismo proveedor y no dejarse llevar por la funcionalidad fuera de la base.

Plan de migracion

Dos

centros de datos basados en ACI: Organización de la interacción entre centros de datos. Se seleccionó la solución Multi-Pod: cada centro de datos es un hogar. Se tuvieron en cuenta los requisitos para escalar el número de interruptores y para los retrasos entre los hogares (RTT de menos de 50 ms). Se decidió no construir una solución Multi-Site para facilitar la administración (para una solución Multi-Pod, se usa una única interfaz de administración, para un Multi-Site habría dos interfaces, o se requeriría un Orquestador Multi-Site), y dado que no se requirió la reserva geográfica de los sitios.

Desde el punto de vista de la migración de servicios desde la red heredada, se eligió la opción más transparente para transferir gradualmente las VLAN correspondientes a ciertos servicios.
Para la migración, cada VLAN se creó con la EPG (grupo de puntos finales) correspondiente en la fábrica. Primero, la red se extendió entre la red anterior y la fábrica a través de L2, luego, después de que se migraron todos los hosts, la puerta de enlace se transfirió a la fábrica, y la EPG interactuó con la red existente a través de L3OUT, y la interacción entre L3OUT y EPG se describió mediante contratos. Esquema de muestra: la

estructura de muestra de la mayoría de las políticas de fábrica de ACI en la figura a continuación. Toda la configuración se basa en políticas integradas en otras políticas, etc. Al principio es muy difícil resolverlo, pero gradualmente, como lo demuestra la práctica, los administradores de red se acostumbran a esa estructura en aproximadamente un mes, y luego solo se dan cuenta de lo conveniente que es.

Comparación

En la solución Cisco ACI, debe comprar más equipos (conmutadores separados para la interoperabilidad entre dispositivos y controladores APIC), lo que lo hace más costoso. La solución de Juniper no requería la compra de controladores y accesorios; Resultó utilizar parcialmente el equipo existente del cliente.

Aquí está la arquitectura de la fábrica EVPN VXLAN para dos centros de datos del segundo proyecto:

En ACI obtienes una solución lista para usar: no es necesario elegir, no es necesario optimizar. En el momento en que el cliente conoce por primera vez la fábrica, no se necesitan desarrolladores; no se necesitan personas de apoyo para el código y la automatización. Es bastante simple de operar, muchas configuraciones se pueden hacer generalmente a través del asistente, lo que no siempre es una ventaja, especialmente para las personas que están acostumbradas a la línea de comando. En cualquier caso, lleva tiempo reconstruir el cerebro en nuevas pistas, en la función de configuración a través de políticas y en el funcionamiento de muchas políticas anidadas entre sí. Además, es muy deseable tener una estructura clara para los nombres de políticas y objetos. Si hay algún problema en la lógica del controlador, solo se puede resolver a través del soporte técnico.

En EVPN, una consola. Sufrir o alegrarse. La interfaz familiar para la vieja guardia. Sí, hay una configuración y guías típicas. Hay que fumar maná. Diferentes diseños, todo es claro y detallado.

Naturalmente, en ambos casos es mejor migrar no los servicios más críticos, por ejemplo, entornos de prueba, durante la migración, y solo entonces, después de detectar todos los errores, proceder a la producción. Y no sintonizar el viernes por la noche. No debe confiar en el vendedor que todo estará bien, siempre es mejor ir a lo seguro.

Paga más en ACI, aunque Cisco actualmente está promoviendo activamente esta solución y, a menudo, ofrece buenos descuentos, pero ahorra en mantenimiento, mantenimiento. La administración y cualquier automatización de una fábrica de EVPN sin un controlador requiere inversiones y gastos regulares: monitoreo, automatización, implementación de nuevos servicios. Al mismo tiempo, el lanzamiento inicial en ACI es 30-40 por ciento más largo. Esto se debe a que todo el conjunto de políticas y perfiles necesarios se crea durante más tiempo, que luego se utilizará. Pero a medida que la red crece, el número de configuraciones requeridas disminuye. Utilice las políticas, perfiles, objetos ya creados. Puede configurar de manera flexible la segmentación y la seguridad, administrar de manera centralizada los contratos que son responsables de permitir ciertas interacciones entre las EPG: el volumen de trabajo cae bruscamente.

En EVPN, debe configurar cada dispositivo en la fábrica, la probabilidad de error es mayor.

Si ACI es más lento de implementar, EVPN ha estado depurando casi el doble de tiempo. Si en el caso de Cisco siempre puede llamar a un ingeniero de soporte y preguntar acerca de la red en su conjunto (porque está cubierta como una solución), entonces de Juniper Networks solo compra hardware, y está cubierto por ella. ¿Se han ido los paquetes del dispositivo? Pues bien, entonces tus problemas. Pero puede abrir la pregunta de elegir una solución o diseñar una red, y luego le aconsejarán que compre un servicio profesional, por una tarifa adicional.

El soporte de ACI es muy bueno porque está separado: un equipo separado se sienta solo para esto. Hay, incluidos especialistas de habla rusa. Hyde detalló, las decisiones están predeterminadas. Miran y aconsejan. El diseño se valida rápidamente, lo que a menudo es importante. Juniper Networks está haciendo lo mismo, pero a veces más lento (lo teníamos, debería ser mejor ahora, se rumorea), lo que lo obliga a hacer todo usted mismo donde su ingeniero de soluciones pueda aconsejarlo.

Cisco ACI admite la integración con los sistemas de virtualización y contenedorización (VMware, Kubernetes, Hyper-V) y la administración centralizada. Hay servicios de red y seguridad: equilibrio, cortafuegos, WAF, IPS y más ... Buena microsegmentación lista para usar. En la segunda solución, la integración con los servicios de red se realiza con una pandereta, y es mejor fumar foros con quienes lo hicieron con anticipación.

Total

Para cada caso específico, es necesario seleccionar una solución, no solo en función del costo del equipo, sino que también debe tener en cuenta los costos operativos adicionales y los principales problemas que enfrenta el cliente ahora, y cuáles son los planes para el desarrollo de la infraestructura de TI.

ACI debido a que el equipo adicional resultó más costoso, pero la solución está lista sin la necesidad de terminar, la segunda solución es más complicada y costosa desde el punto de vista de la operación, pero más barata.

Si desea analizar cuánto puede costar implementar una fábrica de red en diferentes proveedores y qué tipo de arquitectura se necesita, puede reunirse y hablar. Antes del borrador de la arquitectura (con el cual se pueden considerar los presupuestos), le mostraremos de forma gratuita, un estudio detallado, por supuesto, ya está pagado.

Vladimir Klepce, redes corporativas.