Get best of the week

基于EVPN VXLAN和Cisco ACI实施网络工厂的经验以及较小的比较


对图表中间的韧带进行评分。我们将在下面返回它们,

在某些时候,您可能会遇到一个事实,即基于L2的大型复杂网络处于绝症之中。首先,与BUM流量的处理以及STP协议的操作相关的问题。第二-整体上在道德上过时的建筑。这会导致停机和给管理带来不便的问题。

我们有两个并行的项目,客户可以清醒地评估选项的所有优缺点,并选择两个不同的覆盖解决方案,然后实施它们。

可以精确地比较实现。不是剥削,值得在两三年内谈论它。

那么什么是覆盖网络工厂和SDN?

如何处理经典网络体系结构的严重问题?


每年都会出现新技术和新想法。实际上,重建网络的迫切需求已经有一段时间了,因为您还可以使用良好的旧祖父方法手动完成所有操作。那么二十一世纪呢?最后,管理员应该工作,而不是坐在办公室里。

然后,开始兴建大型数据中心。然后很明显,不仅在性能,容错性和可伸缩性方面达到了经典体系结构的发展极限。解决这些问题的一种选择是在路由主干之上构建叠加网络的想法。

另外,随着网络规模的扩大,管理此类工厂的问题变得更加尖锐,结果是软件定义网络的解决方案开始出现,并具有管理整个网络基础结构的能力。而且,从单个点管理网络时,IT基础结构的其他组件更易于与之交互,并且此类交互过程也更易于自动化。

几乎每个主要的制造商,不仅是网络设备,还包括虚拟化,在其解决方案的产品组合选项中都有。

剩下的只是弄清楚什么适合什么需求。例如,对于拥有良好开发和运营团队的大型公司而言,基于供应商的盒装解决方案并不总是能够满足所有需求,因此他们会开发自己的SD(软件定义)解决方案。例如,这些云服务提供商不断扩大向其客户提供的服务范围,而盒装解决方案根本无法满足他们的需求。

对于中型公司,在99%的情况下,供应商以盒装解决方案形式提供的功能就足够了。

什么是覆盖网络?


重叠网络的想法是什么?本质上,您可以使用经典的路由网络并在其之上构建另一个网络以获得更多功能。通常,我们谈论的是设备和通信线路上负载的有效分配,可扩展性限制的显着增加,可靠性的提高以及大量的安全包(由于分段)。除此之外,SDN解决方案还提供了一个非常非常非常方便的灵活管理机会,并使网络对其用户更加透明。

一般而言,如果本地网络是在2010年代发明的,那么它们就不会像我们从1970年代从军方那里继承来的那样。

从用于使用叠加网络构建工厂的技术的角度来看,当前有许多制造商和Internet项目RFC的实现(EVPN + VXLAN,EVPN + MPLS,EVPN + MPLSoGRE,EVPN + Geneve等)。是的,有标准,但是不同制造商对这些标准的实施可能有所不同,因此,在创建此类工厂时,仍然有可能仅在纸上理论上完全放弃供应商锁定。

使用SD解决方案,情况变得更加混乱,每个供应商都有自己的愿景。有完全开放的解决方案,从理论上讲,您可以自己完成,有完全封闭的解决方案。

思科为数据中心提供了自己的SDN选项-ACI。自然,就网络设备的选择而言,这是一个100%的供应商锁定解决方案,但与此同时,它已与虚拟化,容器化,安全性,编排,负载均衡器等完全集成。所有内部流程。并非所有客户都同意此选项,因为您完全取决于书面解决方案代码及其实施的质量,但另一方面,制造商拥有世界上最好的技术支持之一,并且拥有专门的团队来处理此解决方案。思科ACI被选为第一个项目的解决方案。

第二个项目选择了瞻博网络解决方案。制造商对于数据中心也有自己的SDN,但是客户决定放弃SDN的实施。选择不使用集中控制器的EVPN VXLAN工厂作为构建网络的技术。

为什么你需要


创建工厂可以使您构建易于扩展,容错,可靠的网络。架构(叶脊)考虑到了数据中心的功能(交通路径,最小化延迟和网络瓶颈)。数据中心中的SD解决方案使得可以方便,快速,灵活地管理这样的工厂并将其集成到数据中心生态系统中。

两家客户都需要构建备份数据中心以确保容错能力,此外,还必须对数据中心之间的流量进行加密。

第一位客户已经将没有工厂的解决方案视为其网络的可能标准,但是在测试中,他们在多家硬件供应商之间存在STP兼容性问题。有停机时间导致服务中断。对于客户而言,这一点至关重要。

思科已经是客户的企业标准,他们研究了ACI和其他选项,并认为值得采用该解决方案。我喜欢通过单个控制器通过一个按钮实现自动化控制。服务配置更快,管理更快。他们决定通过在IPN和SPINE交换机之间运行MACSec提供流量加密。因此,我们设法避免了加密网关形式的瓶颈,节省它们并使用最大带宽。

第二个客户选择了不带Juniper控制器的解决方案,因为在他们现有的数据中心中,已经安装了实施EVPN VXLAN工厂的小型设备。但是那里不是容错的(使用了一个开关)。他们决定扩展主数据中心的基础架构,并在备用数据中心中建立工厂。现有的EVPN并未得到充分利用:实际上并未使用VXLAN封装,因为所有主机都连接到一台交换机,并且所有MAC地址和/ 32主机地址都是本地的,同一台交换机是它们的网关,没有其他设备,需要建立VXLAN隧道的地方。他们决定在防火墙之间使用IPSEC技术提供流量加密(ITU性能已足够)。

他们还感觉到了ACI,但决定由于供应商的锁定,他们将不得不购买过多的铁,包括更换最近购买的新设备,这在经济上是不合理的。是的,思科工厂可以集成所有内容,但是工厂内部只能使用其设备。

另一方面,正如他们之前所说,EVPN VXLAN工厂不能与任何邻近的供应商混合使用,因为协议实现是不同的。就像在同一网络上穿越Cisco和华为一样-似乎标准很普遍,只需要您手鼓跳舞即可。由于这是一家银行,并且兼容性测试将非常漫长,因此他们决定最好现在购买同一家供应商,而不是真正摆脱基础之外的功能。

迁移计划


两个基于ACI的数据



中心数据中心之间的交互组织。选择了Multi-Pod解决方案-每个数据中心都是一个壁炉。考虑了缩放开关数量和炉床之间延迟(RTT小于50 ms)的要求。为了简化管理,决定不构建Multi-Site解决方案(对于Multi-Pod解决方案,使用单个管理界面,对于Multi-Site将有两个界面,或者将需要Multi-Site Orchestrator),并且由于不需要站点的地理保留。



从从旧版网络迁移服务的角度来看,选择了最透明的选项,以逐渐传输与某些服务相对应的VLAN。
为了进行迁移,每个VLAN都是在工厂中使用相应的EPG(端点组)创建的。首先,通过L2在旧网络和工厂之间扩展网络,然后在迁移所有主机之后,将网关转移到工厂,然后EPG通过L3OUT与现有网络进行交互,并使用合同描述L3OUT与EPG之间的交互。样本架构:下



图中,大多数ACI工厂策略样本结构。整个配置基于嵌入在其他策略等中的策略。起初很难弄清楚,但是正如实践所示,逐渐地,网络管理员会在大约一个月的时间里习惯这种结构,然后才了解它的方便性。



比较方式


在Cisco ACI解决方案中,您需要购买更多的设备(用于Pod间交互和APIC控制器的单独交换机),这使其价格更高。瞻博网络的解决方案不需要购买控制器和配件;原来是部分使用现有的客户设备。

这是第二个项目的两个数据中心的EVPN VXLAN工厂的体系结构:




在ACI中,您可以获得现成的解决方案-无需挑选,无需优化。最初与客户接触工厂时,不需要开发人员;不需要代码和自动化的支持人员。操作非常简单,通常可以通过向导完成许多设置,但这并不总是一个加法,特别是对于那些习惯了命令行的人而言。无论如何,要花时间在新的轨道,通过策略进行的设置功能以及相互嵌套的许多策略的操作上重建大脑。另外,非常希望对策略和对象的名称具有清晰的结构。如果控制器的逻辑有任何问题,则只能通过技术支持来解决。

在EVPN中,是控制台。受苦或欢喜。老警卫队熟悉的界面。是的,有一个典型的配置和指南。必须抽魔法。不同的设计,一切都清晰细致。

自然地,在这两种情况下,最好不要在迁移过程中迁移最关键的服务(例如测试环境),然后在捕获所有错误之后才开始生产。并且不要在星期五晚上收看。您不应该相信供应商一切都会好起来的,最好还是放心一点。

您可以在ACI上花更多的钱,尽管Cisco目前正在积极推广该解决方案,并且通常会给它很大的折扣,但您可以节省维护成本–维护成本。没有控制器的EVPN工厂的管理和任何自动化都需要投资和常规费用-监视,自动化,实施新服务。同时,ACI的首次发布时间要长30-40%。这是因为创建整个必要配置文件和策略的时间更长,然后将使用它们。但是随着网络的增长,所需配置的数量会减少。使用已经创建的策略,配置文件,对象。您可以灵活地配置分段和安全性,集中管理负责允许EPG之间进行某些交互的合同-工作量急剧下降。

在EVPN中,您需要在出厂时配置每个设备,发生错误的可能性更大。

如果ACI的部署速度较慢,则EVPN的调试时间几乎是其两倍。如果在Cisco的情况下,您总是可以致电支持工程师并询问整个网络(因为它属于解决方案),那么从Juniper Networks您只购买硬件,并且涵盖了该网络。来自设备的数据包消失了吗?好吧,那你的问题。但是您可以提出选择解决方案或设计网络的问题-然后他们会建议您购买专业服务,需要额外付费。

ACI支持非常酷,因为它是独立的:为此需要一个单独的团队。有包括说俄语的专家。海德详细,决定是预先确定的。他们看起来并提供建议。设计快速验证,这通常很重要。瞻博网络正在做同样的事情,但有时速度较慢(我们听说过,现在应该会更好,有传言),这迫使您自己执行解决方案工程师可以建议的所有事情。

Cisco ACI支持与虚拟化和容器化系统(VMware,Kubernetes,Hyper-V)以及集中式管理的集成。有网络和安全服务-平衡,防火墙,WAF,IPS等。。。现成的微型细分市场。在第二个解决方案中,与网络服务的集成是通过铃鼓完成的,最好与事先这样做的人抽烟。


对于每种特定情况,不仅要根据设备成本来选择解决方案,而且还需要考虑进一步的运营成本和客户现在面临的主要问题以及IT基础架构的发展计划是什么。

由于增加了设备,所以ACI的价格更高,但是解决方案已经准备就绪,无需完成工作,从操作的角度来看,第二种解决方案更复杂,成本更高,但是更便宜。

如果您想讨论在不同供应商上实施网络工厂需要花费多少,以及需要哪种架构,您可以开会讨论。在粗略的建筑草图(可以考虑预算)之前,我们将免费为您展示,当然,详细的研究已经支付。

Vladimir Klepce,企业网络。

More articles:


All Articles