По состоянию на сегодня объединение удаленных локальных сетей на уровне L2 продемонстрировало свою неэффективность, особенно учитывая существенное увеличение количества оборудования. В этой статье рассказываем, почему же традиционный подход перестал соответствовать актуальным требованиям, и объясняем, какие проблемы мы смогли решить, объединяя проекты, расположенные на разных площадках. Приглашаем к прочтению!
Обычная L2-схема
Локальная сеть представляет собой кампусную сеть в пределах одного дата-центра. При этом коммутаторы доступа расположены непосредственно в стойках с серверами. Они объединяются в один агрегационный коммутатор. Приведем пример схемы локальной сети:
Заказать подключение к локальной сети можно для любого из устройств, которое размещается или арендуется в дата-центре. Схема сети ЦОД (центра обработки данных):
Что такое L2 связность? Ее наличие обозначает, что узлы должны находиться в одной подсети или широковещательном домене. Отметим, что локальная сеть организовывается через выделенные коммутаторы доступа и агрегации. На практике это означает, что проблемы, характерные для интернет-сети, не затрагивают локальную. Схема L2 эффективна для дата-центров небольших размеров, пока не все стойки заполнены. По мере того, как количество стоек, коммутаторов и клиентов увеличивается, обслуживать L2 домен становится значительно сложнее.
Недостатки L2
Изначально l2 сегмент использовался вместе с технологией VLAN. Это идентификационное пространство ограничено, что сокращает количество возможных идентификаторов. Рассмотрим основные проблемы, которые имеет L2 коммутация:
- Некорректная обработка мультикаста.
- Broadcast Storm (широковещательные штормы).
- Организация резервирования по L2.
- Количество МАС-адресов.
Также нельзя выпускать из внимания человеческий фактор, в том числе – перенос линков и VLAN. Отметим, что к распространенным недостаткам L2 относятся настройка клиентских серверов и клиентского оборудования. Полностью фильтровать STP на портах доступа не получится. Если STP работает некорректно по вине оборудования клиентов, может затрагиваться вся подсеть коммутатора доступа. При этом использование расширенного STP-протокола не решает проблему, так как количество портов и коммутаторов чаще всего превышает архитектурные возможности масштабирования протокола STP.
Broadcast
Часто объединение локальных сетей происходит на оборудовании разных производителей. Иногда даже из-за незначительных отличий программного обеспечения коммутаторов они по-разному обрабатывают STP. Если широко использовать последнюю, то реакция на любые изменения, в том числе включение/выключение порта, превысит все пороги ожидания. Это чревато проблемами, например, когда один из клиентов будет включать порт, связность в сети станет пропадать на некоторое время.
Почему возникают проблемы с Broadcast? Чаще всего из-за:
- неправильных действий на сервере, в том числе создания одного bridge между несколькими портами;
- неверной настройки программного оборудования сервера;
- специфических поломок сетевой карты сервера.
Multicast
Проблемы с Multicast считаются достаточно специфическими. Чаще всего они происходят, когда нарушена ip связность, а также по причине некорректной работы программного обеспечения сервера и ПО коммутатора. Рассмотрим это на примере настроенного между несколькими серверами Corosync в multicast-режиме. Учитывая, что штатный обмен Hello-пакетами небольшой, периодически пересылается достаточно много пакетов, что требует специальной настройки коммутаторов или использования механизмов обработки типа IGMP join.
При работе с сетевым оборудованием из списка потенциальных проблем нельзя полностью исключить человеческий фактор. Если сетевой админ один и грамотно и ответственно выполняет свои задачи, документирует действия и обдумывает их возможные последствия – риск неполадок минимальный. Но если количество оборудования постоянно увеличивается, сотрудников становится больше, тогда надо полностью пересмотреть организацию рабочего процесса.
Конечно, ряд типовых действий ввиду риска ошибки автоматизирован. Но, с другой стороны, многие процессы полной автоматизации не поддаются или цена автоматизации слишком высока. Например, переключение патч-кодов, подключение новых линков и замена существующих выполняются вручную, так как стоимость патч-панели очень высокая, а функциональность довольно ограничена.
Перечислим самые распространенные ошибки, совершаемые сотрудниками:
- указание неправильного номера порта;
- введение неправильного номера VLAN;
- опечатка при введении числового значения.
Unknown-unicast
Особое место занимают проблемы, обусловленные трафиком unknown-unicast. Под этим термином подразумевается трафик, который по L2 передается на все порты, принадлежащие данному VLAN. Почему возникает подобная ситуация?
- Из-за получения DDoS на незанятый IP-адрес.
- При опечатке в конфигурации сервера, когда указан несуществующий резервный адрес, но на сервере есть статическая ARP-запись по данному адресу.
Рассмотрим один показательный пример. Порт, за которым расположен хост с адресом, часто переходит в выключенное состояние. Такой трафик лимитирован транзитными коммутаторами. Но, в отличие от broadcast или multicast, Unknown-unicast никогда не может инициироваться из интернета в широком понимании этого слова, а исключительно из клиентской сети. Наиболее высокий риск unknown-unicast трафика наблюдается, если правила фильтрации пограничных маршрутизаторов позволяют подменить IP-адреса снаружи.
Типовые случаи использования L2
Ниже рассмотрим типовые случаи применения L2 подробнее.В первую очередь, охарактеризуем связь front и back-end и резервное копирование, рассмотрим резервирование ресурсов.
Связь front и back-end, резервное копирование
Использование локальной сети тесно связано с разделением функционала front и back-end сервисов. Также для увеличения производительности понадобится вынести СУБД на отдельный сервер.
Серверы L2 включены в один VLAN и несколько коммутаторов. По мере того, как растет количество оборудования, все новые и новые серверы включаются в коммутаторы стоек дата-центра. Из-за этого L2-домен растет в ширину. Пока проект находится в одном дата-центре, проблем с масштабированием не возникает. Разработчикам не приходится прописывать отдельные правила маршрутизации. Но когда какая-то часть проекта переезжает на виртуальные машины в облако или происходит объединение 2 сетей через интернет, все усложняется. Как именно? Подробно рассматриваем ниже!
Резервирование ресурсов
В первую очередь увеличивается ширина L2-домена. То есть потенциальные проблемы локальной сети ДЦ1 могут проявиться и в ДЦ2. Поэтому важно позаботиться о резервировании VLAN, зарезервировав каждую из точек отказа (коммутатор агрегации и кабель каждого из дата-центров).
Как видите на рисунке, схема существенно усложняется из-за увеличения количества компонентов. Это вызвано необходимостью зарезервировать каждый элемент в системе, продублировав почти каждый элемент. Но использовать для резервирования STP в такой большой сети фактически невозможно. Поэтому, если применяется объединение двух локальных сетей через Интернет, очень важно снизить влияние проблем L2 на существующую сеть, сохранив все возможности для резервирования ресурсов.
Переход на L3
В случае, если каждый линк представлен в сети как отдельный сегмент, а каждый маршрут – как отдельный маршрутизатор, резервное копирование на уровне L2 не понадобится. Резервирование происходит за счет протоколов избыточной маршрутизации. При этом выход к серверам в других дата-центрах будет происходить через L3. Между дата-центрами устанавливается несколько маршрутизаторов для резервирования, что позволит разделить L2-домены и использовать в каждом дата-центре собственное пространство VLAN.
Для каждого клиента используются повторяющиеся диапазоны IP-адресов. Сети L2 и L3 полностью изолированы друг от друга, так что, например, один клиент не попадет в сеть другого (если оба они не согласны на подобное соединение). На всех устройствах дата-центров прописывается специальный маршрут, который позволяет серверам «видеть» друг друга по маршрутизации.
Это способствует упрощению масштабирования схемы, если появился третий дата-центр. В таких случаях для серверов в третьем дата-центре прописываются IP-адреса из следующего диапазона. Подобная схема имеет неоспоримое преимущество – дополнительное резервирование на случай отказа дата-центра или внешнего канала связи не требуется.
L3-сегменты внутри проектов
Схема L3 часто выделяется для отдельных серверов в проектах, которые зачастую выполнены по разным технологиям. В первую очередь, имеются в виду аппаратные серверы в дата-центре в одной IP-подсети. Это позволяет предотвратить случайные ошибки в одном из сегментов, которые могут вызвать отказ всех серверов, которые включает в себя маршрутизация L2 L3.
Резервирование маршрутизатора
Резюмируя все вышесказанное, скажем: если рассматривать объединение двух сетей через маршрутизатор, именно он будет единой точкой отказа. Отметим, что ошибочно полагать, что на один проект приходится один маршрутизатор. На самом деле на каждый дата-центр выделяется 2 маршрутизатора, формирующие Virtual IP .254 (на протоколе VRRP).
Почему применять VRRP между устройствами, которые находятся рядом и соединены через L2 маршрутизатор, оправданно? Каждый из клиентов, подключающийся к локальной сети через такую схему, подключается в отдельный L3VPN.
Приблизительный вид этой схемы:
Обратите внимание, что адрес шлюза для всех сегментов Virtual IP .254 резервируется между двумя маршрутизаторами.
Вывод
Надеемся, статья была полезной и интересной, а отличия L2 от L3 представляются очевидными. Именно изменения, внесенные в объединение двух локальных сетей через интернет с L2 на L3, сохранили возможность масштабирования, повысили уровень отказоустойчивости и надежности, сделали возможной реализацию схем дополнительного резервирования.
Типовые решения, учитывая стремительный рост дата-центров и проектов, достигают предела масштабируемости. Таким образом, они уже не являются эффективным решением задач – требования к устойчивости и надежности системы постоянно повышаются, что оказывает непосредственное влияние на процесс планирования. В дальнейшем планируется получение системы, которую будет невозможно масштабировать.
А если вы хотите арендовать выделенный сервер за границей, обратите внимание на предложение нашей компании. Заказать выделенный сервер у Unihost.com:
- Бесплатное администрирование и хранилище для бэкапов.
- Серверы по всему миру. Кстати, вы можете арендовать выделенный сервер в дата-центрах Франции.
- До 256 IP-адресов на сервер.
- Веб-интерфейс для управления сервером.
- Аппаратный брандмауэр, обеспечивающий надежную защиту от взломщиков.
- Круглосуточная поддержка без выходных и праздников.
А еще выделенный сервер в дата-центрах Нидерландов – это выгодные тарифы и большие скидки! Чтобы воспользоваться услугами Unihost.com, свяжитесь с нами, позвонив по указанным номерам контактных телефонов или воспользовавшись специальной формой. Приглашаем к сотрудничеству, которое станет основой для процветания вашего бизнеса уже сейчас!