Вызовы старой инфраструктуры

Многопрофильные компании часто сталкиваются с ситуацией, когда сеть превращается в набор разрозненных решений, собранных за десятилетия эксплуатации. Разные отделы подключают тестовые стенды и серверы без согласования с ИТ-службой, создавая неконтролируемые широковещательные домены и скрытые петли. Маршрутизация всего трафика через единое ядро создаёт критическую точку отказа, где любой сбой парализует работу тысяч пользователей одновременно. Руководство обычно осознаёт риски только после первого крупного инцидента, когда восстановление требует ручного переключения кабелей и долгих проверок.

Переход от единого ядра к Spine-Leaf

Классическая топология Collapsed Backbone удобна для проектирования, но неэффективна для современных нагрузок, где серверы обмениваются данными чаще, чем выходят в интернет. Плоская архитектура Spine-Leaf решает эту проблему, распределяя коммутацию между двумя уровнями и гарантируя одинаковое количество переходов между любыми узлами. Масштабирование становится линейным: для увеличения пропускной способности добавляются spine-коммутаторы, а для подключения новых стоек разворачиваются дополнительные leaf-устройства. На практике мы используем коммутаторы Huawei CE8850 для ядра и CE6870 для распределения, что полностью исключает переподписку каналов даже при резервном копировании всех виртуальных машин одновременно.

Разделение Underlay и Overlay

Надёжная сеть строится на чётком разделении физической транспортной ткани и логических сервисов. Уровень Underlay отвечает за базовую IP-связность с использованием протокола IS-IS, а технология BFD ускоряет обнаружение сбоев до сотен миллисекунд. Поверх этой базы разворачивается Overlay на базе EVPN/VXLAN, который инкапсулирует кадры второго уровня в UDP-пакеты и передаёт их через управляющую плоскость MP-BGP. Такое разделение позволяет создавать изолированные контуры для разных отделов без ограничений традиционных VLAN и предотвращает распространение широковещательных штормов между сегментами.

Отказоустойчивость через M-LAG и Anycast Gateway

Объединение коммутаторов в стек упрощает настройку, но создаёт единую точку отказа при программных ошибках прошивки. Технология M-LAG разделяет плоскости управления, оставляя синхронизацию состояний портов и таблиц MAC-адресов только через выделенный peer-link. Подключённое оборудование видит пару устройств как одно логическое звено, что позволяет использовать LACP для балансировки и мгновенного переключения без блокировки резервных каналов. Anycast Gateway дополняет схему, назначая одинаковые IP-адреса шлюза на обоих узлах, благодаря чему трафик автоматически направляется через ближайший доступный коммутатор.

Серверная фабрика и сеть управления OOB

Серверная инфраструктура требует отдельного проектирования, так как её отказ влияет на все корпоративные сервисы одновременно. Мы отказались от серверной СКС в пользу прямого подключения серверов к ToR-коммутаторам CE6870, что упростило замену кабелей и переход на оптические аплинки. Трафик сегментируется через VRF: отдельные контуры выделяются под базы данных, публичные сервисы, почту и корпоративные приложения. Параллельно разворачивается выделенная сеть out-of-band management, куда подключаются интерфейсы iLO/iBMC, управляющие порты коммутаторов и контроллеры ИБП, обеспечивая доступ к оборудованию даже при полном сбое основной ткани.

Поэтапная миграция без простоя

Замена ядра и распределённого уровня при активных пользователях требует точного планирования и временных мостов между старой и новой сетью. Мы растягиваем управляющие VLAN между двумя средами, создаём bridge-домены для временного объединения legacy-сегментов с новыми VXLAN-туннелями и переносим рабочие места пакетами в выходные окна. Виртуальные машины мигрируют через live-механизмы гипервизоров, а физические серверы переводятся на новые диапазоны через согласованное обновление DHCP и DNS. Каждый этап завершается проверкой политик межсетевых экранов и стабильности голосовых сессий перед отключением старых линий, что гарантирует нулевое влияние на бизнес-процессы.

Результаты и измеримые метрики

Правильно спроектированная архитектура превращается в предсказуемый сервис, где добавление нового сервера или офиса не требует перестройки всей инфраструктуры. Время восстановления при типовых отказах сокращается до 150 миллисекунд, а задержки между стойками стабилизируются на уровне 0,3 мс даже в часы пиковой нагрузки. Количество инцидентов падает до минимума благодаря изоляции доменов отказов и автоматическому отключению несанкционированных подключений через port security. Руководство получает прозрачную документацию, а технические специалисты работают с единой точкой управления вместо разрозненных консолей.

Нужна помощь с проектированием сетевой архитектуры?

Не рискуйте стабильностью инфраструктуры — доверьте проектирование сети нашим инженерам. Мы проведём аудит текущей топологии, рассчитаем пропускную способность и задержки, подберём оптимальное оборудование и обеспечим миграцию без остановки бизнес-сервисов. Получите консультацию по анализу профиля трафика, проектированию Spine-Leaf и EVPN/VXLAN, подбору схем резервирования, плану миграции с нагрузочными тестами, а также по смете и срокам поставки.