🍖 💘 🗳️ Pengalaman dalam mengimplementasikan pabrik jaringan berdasarkan EVPN VXLAN dan Cisco ACI dan perbandingan kecil ⚔️ 🤵🏽 😎

Nilai ligamen di tengah grafik. Kami akan kembali kepada mereka di bawah ini.

Pada titik tertentu, Anda mungkin menemukan fakta bahwa jaringan kompleks besar berdasarkan L2 sakit parah. Pertama-tama, masalah yang terkait dengan pemrosesan lalu lintas BUM dan dengan pengoperasian protokol STP. Yang kedua - sebagai arsitektur usang secara moral. Hal ini menyebabkan masalah yang tidak menyenangkan dalam bentuk waktu henti dan ketidaknyamanan bagi pengelolaan.

Kami memiliki dua proyek paralel di mana pelanggan dengan sadar mengevaluasi semua pro dan kontra dari opsi dan memilih dua solusi overlay yang berbeda, dan kami menerapkannya.

Itu mungkin untuk membandingkan implementasi yang tepat. Bukan eksploitasi, ada baiknya membicarakannya dalam dua atau tiga tahun.

Jadi apa itu pabrik jaringan overlay dan SDN?

Apa yang harus dilakukan dengan masalah parah arsitektur jaringan klasik?

Setiap tahun muncul teknologi dan ide baru. Dalam praktiknya, kebutuhan besar untuk membangun kembali jaringan belum muncul cukup lama, karena Anda juga dapat melakukan semuanya dengan tangan menggunakan metode kakek tua yang baik. Jadi bagaimana dengan abad kedua puluh satu? Pada akhirnya, admin harus bekerja, bukan duduk di kantornya.

Kemudian booming membangun pusat data skala besar dimulai. Kemudian menjadi jelas bahwa batas pengembangan arsitektur klasik tercapai tidak hanya dalam hal kinerja, toleransi kesalahan, skalabilitas. Dan salah satu opsi untuk memecahkan masalah ini adalah ide membangun jaringan yang dilapiskan di atas backbone yang dialihkan.

Selain itu, dengan perluasan jaringan, masalah mengelola pabrik-pabrik tersebut menjadi akut, sebagai akibatnya solusi jaringan yang ditentukan perangkat lunak mulai muncul dengan kemampuan untuk mengelola seluruh infrastruktur jaringan secara keseluruhan. Dan ketika jaringan dikelola dari satu titik, lebih mudah bagi komponen lain dari infrastruktur TI untuk berinteraksi dengannya, dan proses interaksi semacam itu lebih mudah untuk diotomatisasi.

Hampir setiap produsen utama tidak hanya peralatan jaringan, tetapi juga virtualisasi, memiliki opsi portofolio untuk solusi semacam itu.

Tetap hanya untuk mencari tahu apa yang cocok untuk kebutuhan apa. Misalnya, untuk perusahaan besar terutama dengan tim pengembangan dan operasi yang baik, solusi kotak berbasis vendor tidak selalu memenuhi semua kebutuhan, dan mereka resor untuk mengembangkan solusi SD (perangkat lunak yang ditentukan) mereka sendiri. Sebagai contoh, ini adalah penyedia cloud yang terus-menerus memperluas jangkauan layanan yang diberikan kepada pelanggan mereka, dan solusi kotak tidak dapat memenuhi kebutuhan mereka.

Untuk perusahaan menengah, fungsionalitas yang ditawarkan oleh vendor dalam bentuk solusi kotak sudah cukup dalam 99 persen kasus.

Apa itu Overlay Networking?

Apa gagasan jaringan hamparan? Intinya, Anda mengambil jaringan dialihkan klasik dan membangun jaringan lain di atasnya untuk mendapatkan lebih banyak fitur. Paling sering, kita berbicara tentang distribusi beban yang efektif pada peralatan dan jalur komunikasi, peningkatan signifikan dalam batas skalabilitas, peningkatan keandalan, dan banyak roti keamanan (karena segmentasi). Dan solusi SDN selain ini memberikan peluang untuk administrasi fleksibel yang sangat, sangat, sangat nyaman dan membuat jaringan lebih transparan bagi konsumennya.

Secara umum, jika jaringan lokal ditemukan pada tahun 2010-an, maka mereka tidak akan terlihat seperti yang kami warisi dari militer sejak tahun 1970-an.

Dari sudut pandang teknologi untuk membangun pabrik menggunakan jaringan yang ditumpangkan, saat ini terdapat banyak implementasi dari pabrik dan proyek Internet RFC (EVPN + VXLAN, EVPN + MPLS, EVPN + MPLSoGRE, EVPN + Geneve dan lain-lain). Ya, ada standar, tetapi penerapan standar ini oleh pabrikan yang berbeda mungkin berbeda, oleh karena itu, ketika membuat pabrik seperti itu, masih mungkin untuk sepenuhnya meninggalkan kunci-vendor hanya dalam teori di atas kertas.

Dengan solusi SD, semuanya menjadi lebih membingungkan, setiap vendor memiliki visi sendiri. Ada solusi sepenuhnya terbuka yang, secara teori, Anda dapat menyelesaikan sendiri, ada yang benar-benar tertutup.

Cisco menawarkan opsi SDN sendiri untuk pusat data - ACI. Secara alami, ini adalah solusi vendor-lock 100% dalam hal pemilihan peralatan jaringan, tetapi pada saat yang sama sepenuhnya terintegrasi dengan virtualisasi, kemasukan, keamanan, orkestrasi, penyeimbang beban, dll. Tetapi pada dasarnya itu masih semacam kotak hitam, tanpa kemungkinan akses penuh untuk semua proses internal. Tidak semua pelanggan menyetujui opsi ini, karena Anda sepenuhnya bergantung pada kualitas kode solusi tertulis dan implementasinya, tetapi di sisi lain, pabrikan memiliki salah satu dukungan teknis terbaik di dunia dan memiliki tim khusus yang hanya berurusan dengan solusi ini. Adalah Cisco ACI yang dipilih sebagai solusi untuk proyek pertama.

Solusi untuk Juniper dipilih untuk proyek kedua. Pabrikan juga memiliki SDN sendiri untuk pusat data, tetapi pelanggan memutuskan untuk meninggalkan penerapan SDN. Pabrik EVPN VXLAN tanpa menggunakan pengontrol terpusat dipilih sebagai teknologi untuk membangun jaringan.

Apa yang kamu butuhkan

Membuat pabrik memungkinkan Anda membangun jaringan yang mudah diukur, toleran-kesalahan, dan dapat diandalkan. Arsitektur (leaf-spine) mempertimbangkan fitur pusat data (jalur lalu lintas, meminimalkan keterlambatan, dan kemacetan jaringan). Solusi SD di pusat data memungkinkan untuk mengelola pabrik semacam itu dengan mudah, cepat, fleksibel, dan mengintegrasikannya ke dalam ekosistem pusat data.

Kedua pelanggan perlu membangun pusat data cadangan untuk memastikan toleransi kesalahan, selain itu, lalu lintas antara pusat data harus dienkripsi.

Pelanggan pertama sudah mempertimbangkan solusi tanpa pabrik sebagai standar yang mungkin untuk jaringan mereka, tetapi dalam pengujian mereka memiliki masalah dengan kompatibilitas STP antara beberapa vendor perangkat keras. Ada downtime yang menyebabkan penurunan layanan. Dan bagi pelanggan itu sangat penting.

Cisco sudah menjadi standar korporat pelanggan, mereka melihat ACI dan opsi lain dan memutuskan bahwa ada baiknya mengambil solusi ini. Saya menyukai otomatisasi kontrol dengan satu tombol melalui satu pengontrol. Layanan dikonfigurasikan lebih cepat, dikelola lebih cepat. Mereka memutuskan untuk menyediakan enkripsi lalu lintas dengan menjalankan MACSec antara sakelar IPN dan SPINE. Jadi, kami berhasil menghindari kemacetan dalam bentuk gateway crypto, menghematnya dan menggunakan bandwidth maksimum.

Pelanggan kedua memilih solusi tanpa pengontrol dari Juniper, karena di pusat data mereka yang sudah ada sudah ada instalasi kecil dengan implementasi pabrik EVPN VXLAN. Tapi itu tidak toleran terhadap kesalahan (satu saklar digunakan). Mereka memutuskan untuk memperluas infrastruktur pusat data utama dan membangun pabrik di pusat data cadangan. EVPN yang ada tidak sepenuhnya digunakan: Enkapsulasi VXLAN sebenarnya tidak digunakan, karena semua host terhubung ke satu switch, dan semua alamat MAC dan / 32 alamat host adalah lokal, switch yang sama adalah gateway untuk mereka, tidak ada perangkat lain, di mana perlu untuk membangun terowongan VXLAN. Mereka memutuskan untuk menyediakan enkripsi lalu lintas menggunakan teknologi IPSEC antara firewall (kinerja ITU cukup).

Mereka juga merasakan ACI, tetapi memutuskan bahwa karena kunci vendor mereka harus membeli terlalu banyak besi, termasuk mengganti peralatan baru yang baru dibeli, dan ini tidak masuk akal secara ekonomi. Ya, pabrik Cisco terintegrasi dengan segalanya, tetapi hanya perangkatnya yang mungkin ada di dalam pabrik itu sendiri.

Di sisi lain, seperti yang mereka katakan sebelumnya, pabrik EVPN VXLAN tidak dapat berbaur dengan vendor tetangga, karena implementasi protokol berbeda. Ini seperti melintasi Cisco dan Huawei di jaringan yang sama - sepertinya standarnya biasa, hanya Anda yang harus menari dengan rebana. Karena ini adalah bank, dan tes kompatibilitas akan sangat lama, mereka memutuskan bahwa lebih baik membeli vendor yang sama sekarang, dan tidak benar-benar terbawa oleh fungsi di luar pangkalan.

Rencana migrasi

Dua

pusat data berbasis ACI: Organisasi interaksi antara pusat data. Solusi Multi-Pod dipilih - setiap pusat data adalah perapian. Persyaratan untuk penskalaan dalam jumlah sakelar dan untuk penundaan antar tungku (RTT kurang dari 50 ms) diperhitungkan. Diputuskan untuk tidak membangun solusi Multi-Situs untuk kemudahan manajemen (untuk solusi Multi-Pod, antarmuka manajemen tunggal digunakan, untuk Multi-Situs akan ada dua antarmuka, atau Multi-Situs Orchestrator akan diperlukan), dan karena reservasi geografis situs tidak diperlukan.

Dari sudut pandang migrasi layanan dari jaringan Legacy, opsi paling transparan dipilih, untuk secara bertahap mentransfer VLAN yang sesuai dengan layanan tertentu.
Untuk migrasi, setiap VLAN dibuat dengan EPG (End-point-group) yang sesuai di pabrik. Pertama, jaringan direntangkan antara jaringan lama dan pabrik melalui L2, kemudian setelah semua host dimigrasikan, gateway dipindahkan ke pabrik, dan EPG berinteraksi dengan jaringan yang ada melalui L3OUT, dan interaksi antara L3OUT dan EPG digambarkan menggunakan kontrak. Skema sampel:

Struktur sampel dari sebagian besar kebijakan pabrik ACI pada gambar di bawah ini. Seluruh konfigurasi didasarkan pada kebijakan yang tertanam dalam kebijakan lain dan seterusnya. Pada awalnya sangat sulit untuk mengetahuinya, tetapi secara bertahap, seperti yang ditunjukkan oleh praktik, administrator jaringan terbiasa dengan struktur seperti itu dalam waktu sekitar satu bulan, dan kemudian hanya sampai pada pemahaman tentang betapa nyamannya itu.

Perbandingan

Dalam solusi Cisco ACI, Anda perlu membeli lebih banyak peralatan (sakelar terpisah untuk interaksi Inter-Pod dan pengontrol APIC), yang membuatnya lebih mahal. Solusi Juniper tidak mengharuskan pembelian pengontrol dan aksesori; Ternyata sebagian menggunakan peralatan pelanggan yang ada.

Berikut adalah arsitektur pabrik EVPN VXLAN untuk dua pusat data proyek kedua:

Di ACI Anda mendapatkan solusi siap pakai - tidak perlu memilih, tidak perlu mengoptimalkan. Pada kenalan awal pelanggan dengan pabrik, pengembang tidak diperlukan, orang yang mendukung tidak diperlukan untuk kode dan otomatisasi. Ini cukup sederhana untuk dioperasikan, banyak pengaturan dapat dilakukan secara umum melalui wizard, yang tidak selalu merupakan nilai tambah, terutama bagi orang-orang yang terbiasa dengan baris perintah. Dalam kasus apa pun, dibutuhkan waktu untuk membangun kembali otak di jalur baru, pada fitur pengaturan melalui kebijakan dan pada pengoperasian banyak kebijakan yang saling bersarang. Selain itu, sangat diinginkan untuk memiliki struktur yang jelas untuk nama-nama kebijakan dan objek. Jika ada masalah dalam logika controller, itu hanya dapat diselesaikan melalui dukungan teknis.

Di EVPN, sebuah konsol. Menderita atau bersukacita. Antarmuka yang akrab untuk penjaga lama. Ya, ada konfigurasi dan panduan khas. Harus merokok mana. Desain berbeda, semuanya jelas dan terperinci.

Secara alami, dalam kedua kasus itu lebih baik bermigrasi bukan layanan yang paling kritis, misalnya, menguji lingkungan, selama migrasi, dan hanya kemudian, setelah menangkap semua bug, lanjutkan ke produksi. Dan jangan mendengarkan pada Jumat malam. Anda seharusnya tidak mempercayai vendor bahwa semuanya akan beres, itu selalu lebih baik untuk bermain aman.

Anda membayar lebih untuk ACI, meskipun Cisco saat ini secara aktif mempromosikan solusi ini dan sering memberikan diskon yang bagus untuk itu, tetapi Anda menghemat pemeliharaan - pemeliharaan. Manajemen dan otomatisasi apa pun dari pabrik EVPN tanpa pengontrol memerlukan investasi dan pengeluaran rutin - pemantauan, otomasi, implementasi layanan baru. Pada saat yang sama, peluncuran awal di ACI adalah 30-40 persen lebih lama. Ini karena seluruh rangkaian profil dan kebijakan yang diperlukan dibuat lebih lama, yang kemudian akan digunakan. Tetapi ketika jaringan tumbuh, jumlah konfigurasi yang diperlukan berkurang. Gunakan kebijakan, profil, objek yang sudah dibuat. Anda dapat secara fleksibel mengkonfigurasi segmentasi dan keamanan, mengelola kontrak terpusat yang bertanggung jawab untuk memungkinkan interaksi tertentu antara EPG - volume pekerjaan turun tajam.

Di EVPN, Anda perlu mengkonfigurasi setiap perangkat di pabrik, probabilitas kesalahan lebih besar.

Jika ACI lebih lambat untuk digunakan, maka EVPN telah debug hampir dua kali lebih lama. Jika dalam kasus Cisco Anda selalu dapat menghubungi teknisi pendukung dan bertanya tentang jaringan secara keseluruhan (karena dicakup sebagai solusi), maka dari Juniper Networks Anda hanya membeli perangkat keras, dan itu tercakup olehnya. Apakah paket dari perangkat hilang? Baiklah ok, maka masalah Anda. Tetapi Anda dapat membuka pertanyaan tentang memilih solusi atau merancang jaringan - dan kemudian mereka akan menyarankan Anda untuk membeli layanan profesional, dengan biaya tambahan.

Dukungan ACI sangat keren karena terpisah: tim yang terpisah hanya duduk untuk ini. Ada, termasuk spesialis berbahasa Rusia. Hyde rinci, keputusan sudah ditentukan sebelumnya. Mereka mencari dan memberi saran. Desain memvalidasi dengan cepat, yang seringkali penting. Juniper Networks melakukan hal yang sama, tetapi kadang-kadang lebih lambat (kami memilikinya, seharusnya lebih baik sekarang, ini dikabarkan), yang memaksa Anda untuk melakukan semuanya sendiri di tempat yang disarankan oleh insinyur solusi Anda.

Cisco ACI mendukung integrasi dengan sistem virtualisasi dan kontainerisasi (VMware, Kubernetes, Hyper-V) dan manajemen terpusat. Ada layanan jaringan dan keamanan - menyeimbangkan, firewall, WAF, IPS dan banyak lagi ... Segmentasi mikro yang baik di luar kotak. Dalam solusi kedua, integrasi dengan layanan jaringan dilakukan dengan rebana, dan lebih baik untuk merokok forum dengan mereka yang melakukan ini sebelumnya.

Total

Untuk setiap kasus spesifik, perlu untuk memilih solusi, tidak hanya berdasarkan pada biaya peralatan, tetapi juga perlu memperhitungkan biaya operasi lebih lanjut dan masalah utama yang dihadapi pelanggan sekarang, dan apa rencana untuk pengembangan infrastruktur TI.

ACI karena peralatan tambahan keluar lebih mahal, tetapi solusi siap tanpa perlu finishing, solusi kedua lebih rumit dan mahal dari sudut pandang operasi, tetapi lebih murah.

Jika Anda ingin membahas berapa biaya untuk mengimplementasikan pabrik jaringan pada vendor yang berbeda, dan jenis arsitektur apa yang diperlukan, Anda dapat bertemu dan berbicara. Sebelum konsep arsitektur kasar (yang dapat dipertimbangkan anggarannya) kami akan menunjukkan kepada Anda secara gratis, studi terperinci, tentu saja, sudah dibayar.

Vladimir Klepce, jaringan perusahaan.