Обновить
  • по релевантности
  • по времени
  • по рейтингу

Сети для самых матёрых. Часть двенадцатая. MPLS L2VPN

Системное администрирование *Сетевые технологии *
Tutorial
Долго ли коротко ли, но шестерни в очередной раз провернулись и linkmeup встал на ступень Tier 2. И несколько достаточной платёжоспособности энтерпрайзов проявили заинтересованность в организации связи между своими филиалами через сети linkmeup.

L3VPN, который мы рассмотрели в прошлом выпуске, покрывает собой огромное количество сценариев, необходимых большинству заказчиков. Огромное, но не все. Он позволяет осуществлять связь только на сетевом уровне и только для одного протокола — IP. Как быть с данными телеметрии, например, или трафиком от базовых станций, работающих через интерфейс E1? Существуют также сервисы, которые используют Ethernet, но тоже требуют связи на канальном уровне. Опять же ЦОДы между собой любят на языке L2 общаться.

Вот и нашим клиентам вынь да положь L2.

Традиционно раньше всё было просто: L2TP, PPTP да и всё по большому счёту. Ну в GRE ещё можно было спрятать Ethernet. Для всего прочего строили отдельные сети, вели выделенные линии ценою в танк (ежемесячно).

Однако в наш век конвергентных сетей, распределённых ЦОДов и международных компаний это не выход, и на рынок выплеснулось некоторое количество масштабируемых технологий випиэнирования на канальном уровне.

Мы же в этот раз сосредоточимся на MPLS L2VPN.


Читать дальше →
Всего голосов 51: ↑49 и ↓2 +47
Просмотры 122K
Комментарии 20

Сети для самых матёрых. Микровыпуск №7. EVPN

Системное администрирование *Сетевые технологии *
Tutorial


Как вы помните из прошлого выпуска провайдер linkmeup встал на ступень Tier 2. Но просто предоставлять услуги доступа в Интернет или L2/3VPN-ы (быть по сути трубой для трафика) Linkmeup не устраивает. Сейчас большим спросом пользуются услуги облачного хранения данных, поэтому linkmeup обзавелся несколькими собственными датацентрами, расположенные по экономическим соображениям в Рязани. В связи с этим перед нами встала новая задача — как связать датацентры между собой и предоставить клиентам доступ к корпоративным СХД, расположенные в наших автозалах? Ввиду того, что в core-network уже запущен MPLS, то наш выбор пал на EVPN/MPLS. Его и рассмотрим.
Читать дальше →
Всего голосов 26: ↑26 и ↓0 +26
Просмотры 51K
Комментарии 5

EVPN Multihoming

Сетевые технологии *


В статье, посвященной EVPN я затронул тему multihoming-га. Многих эта тема заинтересовала и поэтому в продолжении предыдущей статьи сегодня мы рассмотрим что же такое EVPN multihoming и как он работает.

EVPN multihoming работает в двух режимах: Single-Active и Active-Active. Мы сегодня в основном остановимся на более сложном и интересном варианте: Active-Active, так как Single-Active по сути очень упрощенная версия Active-Active.

Данная статья рассчитана на тех, кто уже имеет общие знания о EVPN: основные принципы работы, отличия от VPLS и т д. В противном случае понять содержание статьи будет сложно.
Читать дальше →
Всего голосов 14: ↑14 и ↓0 +14
Просмотры 15K
Комментарии 3

Введение в VxLAN

Сетевые технологии *


Сегодня мы поговорим об очередной интересной технологии — VxLAN — что это за зверь и с чем его едят, да и вообще нужен ли он вам. Мое знакомство с данной технологией началось с изучения гипервизоров — я постоянно натыкался на термин VxLAN, но что это и как работает не знал. В один прекрасный день я решил все-таки прочитать, что это за зверь. Прочитав пару-тройку статей, я усвоил для себя основные аспекты работы технологии и облегченно выдохнул, прочитав, что данная технология — удел гипервизоров и к транспорту имеет косвенное отношение (хотя, как оказалось позже отношение VxLAN к транспорту имеет самое, что ни на есть прямое). После чего про технологию благополучно забыл и вернулся я к ней снова только через год, когда начал погружаться в EVPN — большинство статей и мануалов были именно о симбиозе EVPN и VxLAN. Литературы по данной технологии много, особенно если вы владеете английским. Я же попробую в данной статье рассказать об основах работы данной технологии и показать на практике — как это настраивается и работает. Но начнем с MPLS…
Читать дальше →
Всего голосов 36: ↑35 и ↓1 +34
Просмотры 125K
Комментарии 7

Что такое EVPN/VXLAN

Децентрализованные сети Системное администрирование *IT-инфраструктура *Сетевые технологии *
В этой статье я расскажу — что такое EVPN/VXLAN и почему особенности этой технологии кажутся мне привлекательными для применения в ЦОД. Я не буду глубоко погружать вас в технические детали, а остановлюсь на них лишь в той мере, в которой это необходимо для знакомства с технологией. Почти все чего я буду касаться в этой статье так или иначе связанно с передачей трафика второго уровня OSI между устройствами в одном широковещательном домене. Есть множество задач прикладного характера, которые можно комфортно решить, имея такую возможность, одним из наиболее знакомых примеров такой задачи является миграция виртуальных машин в рамках одного или нескольких ЦОД. И если некоторое время назад разговор об этом неминуемо поворачивал в плоскость обсуждения проблем и неудобств общего широковещательного домена, сейчас, напротив, мы можем размышлять о решении этой задачи с точки зрения новых возможностей, перспектив и удобства.
Читать дальше →
Всего голосов 13: ↑12 и ↓1 +11
Просмотры 40K
Комментарии 4

Как мы спроектировали и реализовали новую сеть на Huawei в московском офисе, часть 1

Блог компании Инфосистемы Джет Сетевые технологии *Сетевое оборудование
image

Сегодня расскажу о том, как появилась и реализовалась идея создания новой внутренней сети для нашей компании. Позиция руководства — для себя нужно сделать такой же полноценный проект, как для клиента. Если сделаем хорошо для себя — сможем пригласить заказчика и показать, насколько хорошо устроено и работает то, что мы ему предлагаем. Поэтому к проработке концепта новой сети для московского офиса мы подошли весьма основательно, использовав полный производственный цикл: анализ потребностей отделов → выбор технического решения → проектирование → реализация → тестирование. Итак, начинаем.
Читать дальше →
Всего голосов 21: ↑18 и ↓3 +15
Просмотры 13K
Комментарии 33

Опыт реализации сетевых фабрик на базе EVPN VXLAN и Cisco ACI и небольшое сравнение

Блог компании Группа Т1 Информационная безопасность *Сетевые технологии *

Оцените связки в средней части схемы. Ниже к ним вернёмся

В какой-то момент вы можете столкнуться с тем, что большие сложные сети на базе L2 неизлечимо больны. В первую очередь проблемами, связанными с обработкой BUM трафика и с работой протокола STP. Во вторую — в целом морально устаревшей архитектурой. Это вызывает неприятные проблемы в виде даунтаймов и неудобства управляемости.

У нас было два параллельных проекта, где заказчики трезво оценили все плюсы и минусы вариантов и выбрали два разных оверлейных решения, а мы их внедрили.

Была возможность сравнить именно реализацию. Не эксплуатацию, про неё стоит говорить года через два-три.

Итак, что такое сетевая фабрика с наложенными сетями и SDN?
Читать дальше →
Всего голосов 23: ↑23 и ↓0 +23
Просмотры 5.3K
Комментарии 3

VxLAN фабрика. Часть 1

Блог компании OTUS Cisco *Сетевые технологии *
Из песочницы
Tutorial

Привет, хабр. В настоящее время я являюсь руководителем курса "Сетевой инженер" в OTUS.
В преддверии старта нового набора на курс "Сетевой инженер", я подготовил цикл статей по технологии VxLAN EVPN.


Существует огромное множество материалов по работе VxLAN EVPN, поэтому я хочу собрать различные задачи и практики решения задач в современном ЦОД.





В первой части цикла по технологии VxLAN EVPN хочу рассмотреть способ организации L2 cвязанности между хостами поверх сетевой фабрики.


Все примеры будем выполнять на Cisco Nexus 9000v, собранных в топологию Spine-Leaf. Останавливаться на настройке Underlay сети в рамках этой статьи мы не будем.

Читать дальше →
Всего голосов 10: ↑10 и ↓0 +10
Просмотры 11K
Комментарии 4

VxLAN фабрика. Часть 2

Блог компании OTUS Cisco *Сетевые технологии *
Tutorial

Привет, Хабр. Продолжаю цикл статей по технологии VxLAN EVPN, которые были написаны специально к запуску курса "Сетевой инженер" от OTUS. И сегодня рассмотрим интересную часть задач — маршрутизацию. Как бы ни банально это звучало, однако в рамках работы сетевой фабрики все может быть не так просто.




Читать дальше →
Всего голосов 6: ↑6 и ↓0 +6
Просмотры 4.4K
Комментарии 2

VxLAN фабрика. Часть 2.5

Блог компании OTUS Cisco *Сетевые технологии *

Всем привет. Проходил тут собеседование и появилась мысль следующую часть из цикла статей, посвященных запуску курса "Сетевой инженер" от OTUS, сделать более теоретической, дабы ответить на некоторые вопросы с которыми столкнулся во время интервью.


Читать дальше →
Всего голосов 9: ↑9 и ↓0 +9
Просмотры 3.4K
Комментарии 7

VxLAN фабрика. Часть 3

Блог компании OTUS Cisco *Сетевые технологии *

Привет, Хабр. Заканчиваю цикл статей, посвященных запуску курса "Сетевой инженер" от OTUS, по технологии VxLAN EVPN по маршрутизации внутри фабрики и использовании Firewall для ограничения доступа между внутренними сервисами


Читать дальше →
Всего голосов 9: ↑9 и ↓0 +9
Просмотры 3.2K
Комментарии 1

VxLAN фабрика часть 4. Multipod

Блог компании OTUS Cisco *Сетевые технологии *

Привет, Хабр! Все еще заканчиваю цикл статей, посвященных запуску курса "Архитектор сетей" от OTUS, по технологии VxLAN EVPN. И сегодня обсудим реализацию подключений машинных залов или ЦОД в одну VxLAN фабрику




Читать дальше →
Всего голосов 10: ↑10 и ↓0 +10
Просмотры 2.6K
Комментарии 1

Из ничего к ЦОД с VXLAN/EVPN или как готовить Cumulus Linux. Часть 2

Сетевые технологии *Сетевое оборудование

Всем привет. Вот и подошло продолжение первой части. Как и обещал, в данной статье, я хочу затронуть основные варианты реализации фабрики на VXLAN/EVPN, и рассказать почему мы решили выбрать то или иное решение в нашем ЦОД.

Читать далее
Всего голосов 9: ↑9 и ↓0 +9
Просмотры 4.5K
Комментарии 2

Плоскость управления EVPN в сетевой облачной инфраструктуре

Блог компании OTUS Сетевые технологии *Облачные сервисы
Перевод

Один из моих читателей прислал мне следующий вопрос (вероятно, задумавшись над замечанием, сделанным мной на вебинаре по сетевым возможностям AWS):

Читать далее
Всего голосов 4: ↑3 и ↓1 +2
Просмотры 1K
Комментарии 3

VxLAN фабрика часть 5. Multisite

Блог компании OTUS Cisco *Сетевые технологии *
Tutorial

Привет, Хабр! Наконец заканчиваю цикл статей, посвященных запуску курса "Архитектор сетей" от OTUS, по технологии VxLAN EVPN. И сегодня обсудим реализацию подключений различных ЦОД или сайтами.

Читать далее
Всего голосов 6: ↑6 и ↓0 +6
Просмотры 3.5K
Комментарии 0

Путь Namex IXP к IP-фабрикам

Блог компании OTUS Сетевые технологии *

Материал переведен. Ссылка на оригинал

В начале 2021 г. Namex IXP начала развертывание своей пиринговой платформы нового поколения — активной инфраструктуры, которая лежит в основе их сетевого взаимодействия. Новая платформа основана на архитектуре IP-фабрики с VXLAN в качестве overlay сети и BGP EVPN в качестве control plane протокола. Разработка этого проекта началась еще в марте 2020 года, основными техническими партнерами которого были Mellanox и Cumulus Networks (которые сейчас являются частью компании NVIDIA).

Прежде чем углубляться в детали, я приведу краткую историческую справку, которая поможет понять причины и способствующие факторы, приведшие к таким техническим решениям.

Читать далее
Всего голосов 6: ↑5 и ↓1 +4
Просмотры 774
Комментарии 0

Путь Namex IXP к IP-фабрикам. Часть 2

Блог компании OTUS Сетевые технологии *
Перевод

В первой части статьи мы говорили о том, как архитектура IP-фабрики возникла в результате естественной эволюции трендов и опыта, накопленного за 15 лет работы. В следующих разделах мы более подробно рассмотрим этапы проектирования и реализации, не забыв обозначить роль и поддержку поставщиков в рамках общего процесса.

Читать далее
Всего голосов 7: ↑7 и ↓0 +7
Просмотры 577
Комментарии 1

VxLAN iBGP vs eBGP

Блог компании OTUS Cisco *Сетевые технологии *

До этого момента тема eBGP в overlay практически не затрагивалась, за исключением Multipod топологии, однако, и там все было довольно поверхностно и не хватает деталей для полной реализации в одном поде. Так что исправим это допущение и рассмотрим поближе eBGP.

Эта статья логическое окончание темы EVPN в сети VxLAN, посвященное запуска группы "Дизайн сетей ЦОД" от OTUS. Сегодня постараюсь закрыть тему выбора между iBGP и eBGP в overlay сети.

Читать далее
Всего голосов 7: ↑7 и ↓0 +7
Просмотры 2.7K
Комментарии 0

Сегментация корпоративных сетей в концепции Zero Trust

Сетевые технологии *Стандарты связи Сетевое оборудование

В этой статье я бы хотел поделиться своими мыслями о материале по сегментации сетей представленном на недавно прошедшем LinkMetup и дополнить рассказ некоторыми важными на мой взгляд деталями. В результате я надеюсь представить более полную картину о тенденциях и возможностях сегментации корпоративных сетей с упором на интеграцию мультивендорных решений и оглядкой на концепцию Zero Trust. Во второй части статьи я постараюсь перейти от теории к практике.

Итак, что можно извлечь из презентации о сегментировании сетей представленной на недавнем linkmetup?

Сегментация как способ защиты сетей нужна для заслона от уязвимостей в  корпоративных устройствах. Например, IOT которые часто являются частью механизма успешной атаки из-за неудовлетворительности или недоступности встроенных механизмов защиты. Как пример - устаревшая прошивка с публично известными уязвимостями.

Требования к сегментации выдвигаются с упором на интеграционные возможности с централизованным управлением политиками, например RADIUS интеграция с динамической конфигурацией принадлежности портов к VLAN и управления навешивания ACL/фильтров.

Горизонтальная сегментация - разделение устройств в одном широковещательном домене (VLAN) - микросегментация настолько же важна, как и вертикальная сегментация - между доменами (макросегментация).

Сегментация для проводных и беспроводных сетей. Когда проводную сеть предлагается сегментировать с помощью VLAN и Port ACL, беспроводные сети принято сегментировать на основе интеграции с возможностями представленными dot1x: динамическая ассоциация клиентов с VLAN. Альтернативой является групповая политика распределения PSK и изоляция клиентов на основе принадлежности к группам по средствам VLAN макросегментации.

Читать далее
Всего голосов 9: ↑9 и ↓0 +9
Просмотры 3.9K
Комментарии 0