Ako sme od základov zmenili našu sieťovú infraštruktúru a posilnili konektivitu na 10Gbps
7. 11. 2012 | Honza
Príspevok napísal Tomáš Hála, Vedúci LINUX administrátor ACTIVE 24
Po dlhodobom sledovaní rastu dátových tokov našich zákazníkov a taktiež ako reakciu na stupňujúce sa DDoS útoky na servery v našej sieti sme v tomto roku pristúpili k razantným investíciám do našej sieťovej infraštruktúry. V tejto chvíli sú hotové tri zásadné zmeny zo štyroch plánovaných.
Zmenili sme kompletne topológiu vnútornej siete z kruhu na dvojitú hviezdu, pretože kruhová topológia bola pri súčasných dátových prenosoch už neefektívna, narážala na svoje limity a neposkytovala dostatočnú rezervu pre pokrytie špičiek a na ďalší rast. Novú chrbticu v našom prípade tvoria dvojice stohovateľných switchov značky Juniper s technológiou „virtual chassis“ a s prepínacím výkonom až 88Gbps. Tieto dva fyzické boxy sa z logického pohľadu tvária ako jeden switch a v prípade výpadku ktoréhokoľvek z nich je ten druhý pripravený jeho funkciu plne zastúpiť. Všetky ostatné switche sú pripojené do oboch chrbtových a okrem zaistenia vysokej dostupnosti tak dochádza i k vyvažovaniu záťaže jednotlivých liniek a celé riešenie je výrazne lepšie škálovateľné. Rovnakým spôsobom sú do chrbtových switchov zapojené i firewally a primárny hraničný router.
Druhou zmenou bola výmena oboch hraničných routerov, ktorých trvalé zaťaženie sa už blížilo 50% dostupnej kapacity. Vrámci nášho výberového konania sme vybrali opäť technológiu značky Juniper s routovacím výkonom až 80Gbps. S migráciou konfigurácie z doterajších Cisco boxov nám pomohol vybraný dodávateľ (Comsource) a všetky zmeny prebehli bez väčších zádrheľov v naplánovaných servisných oknách s minimálnym dopadom na našich zákazníkov.
Tretím krokom bylo posilnenie prepojenia do NIX.CZ z 1Gbps na 10Gbps. Po migrácii našej sieťovej prevádzky sme v niekoľkých ohľadoch vylepšili doterajšiu konfiguráciu routerov pre zaistenie vysokej dostupnosti a hlavne bola vďaka lepšej podpore zdokonalená konfigurácia IPv6. Vysokú dostupnosť sme sa taktiež rozhodli na záver prácou v praxi skutočne otestovať.
Reálne sme tak odpojovali chrbtové a hraničné sieťové linky a vypínali kľúčové prvky celej sieťovej infraštruktúry a sledovali chovanie siete, aby sme mali istotu, že vysoká dostupnosť novej konfigurácie nie je len „na papieri“, ale že bola implementovaná správne a v praxi skutočne funguje tak ako má. Testy dopadli na výbornú, pomohli nám odhaliť drobné nedostatky a taktiež následné dni prevádzky potvrdili, že v praxi celé riešenie funguje tak, ako bolo očakávané.
K dokončeniu všetkých plánovaných zmien našej siete ostáva ešte obnova firewallov, na ktorú práve spúšťame výberové konanie. Nutnosť tejto investície sa potvrdila taktiež potom, čo po prepojení súčasných firewallov do nových chrbtových switchov jeden box prestal fungovať a po reštarte už nenabootoval. Jeho funkciu samozrejme zaisťoval box druhý, teda naši zákazníci nepocítili žiadnu zmenu a box bol už vrámci servisnej zmluvy nahradený iným, súčasné boxy už výkonovo nevyhovujú tak, ako by sme si predstavovali. Akonáhle bude dokončená i táto zmena, bude mať celá nová sieť mnohonásobne vyššiu kapacitu, ktorú môžeme ďalej ponúkať našim zákazníkom a zároveň bude neporovnateľne odolnejšia voči stále sa stupňujúcim DDoS útokom.
Na záver touto cestou ďakujeme kolegom i pracovníkom nášho dodávateľa, ktorí pri týchto akciách trávili dlhé noci v dátových centrách, a to za ich nasadenie a perfektne odvedenú prácu.