Приветствую, коллеги! Меня зовут @ProstoKirReal. Мне бы хотелось обсудить, как работает интернет. Начнем с кабелей витой пары, соединяющих простые локальные сети, и закончим подводными коммуникационными кабелями, которые соединяют между собой континенты и основные операторские сети.

В предыдущей статье я рассказывал о различиях LAN, MAN, WAN, что такое сети Clos и иерархию операторов.

В этом цикле я не стану учить вас настраивать оборудование и проектировать сети. Я расскажу об основных (и не только) принципах построения сети, а также о функционировании сети и сетевых протоколов в стеке TCP/IP.

Я буду часто ссылаться к предыдущим статьям, где уже описывал сетевые протоколы. Это позволит мне сократить объемный текст. 

Рекомендую, перед прочтением, ознакомится с предыдущими статьями: 

• Сложно о простом. Как работает интернет. Часть 1. Что такое коммутатор, маршрутизатор и примеры простых локальных сетей;

• Сложно о простом. Как работает интернет. Часть 2. Что такое сеть, маска подсети, сегментация сети с помощью VLAN и маски;

• Сложно о простом. Как работает интернет. Часть 3. Что такое маршрутизация, Proxy ARP и Super VLAN;

• Сложно о простом. Как работает интернет. Часть 4. Что такое LAN, MAN, WAN, сети Clos и иерархия операторов.

❯ Зачем нужна эта статья?

Данная статья нужна нам для того, чтобы разобраться в базовых знаниях и разобрать:

• что такое IPv6 и в чем кардинальное отличие от IPv4;

• что такое SDN сети;

• что такое Overlay сети;

• подвести итоги данного цикла.

❯ Предыстория 

В 1980-х IPv4 с его 4,3 млрд адресов казался бесконечным. Но уже к середине 90-х стало ясно: интернет растет быстрее, чем запасы адресов. В 1994 году IETF начал разработку IPv6 – протокола с 128-битными адресами. 340 секстиллионов адресов – хватит, чтобы присвоить по 1027 адресов каждой из звезд Млечного Пути. Это настолько огромное количество адресов, что каждая звезда получит адресное пространство в 1018 раз больше, чем весь Интернет IPv4. 

В 1994 году IETF начал работу над IPv6. Новый протокол предлагал:

 • 128-битные адреса (340 секстиллионов – это 340 282 366 920 938 463 463 374 607 431 768 211 456 адресов).

 • встроенную безопасность (IPsec) и упрощенную маршрутизацию.

Очевидно, что IPv6 лучше подходит под сегодняшние реалии, так как в любом чайнике уже есть связь с умным домом. А каждому хосту в сети нужен свой уникальный IP-адрес.

❯ Что такое IPv6?

По сути, IPv6 это идеологический продолжатель IPv4. Он должен полностью заменить IPv4, так как текущий IP протокол имеет некоторые ошибки, а также количество адресов недостаточно для развития в будущем.

IPv6 представляет собой 128-битную системы записи и имеет восемь 16-битных блоков, разделенные двоеточиями. IP-адрес для IPv6 и выглядит следующим образом: 2001:db8:0:0:0:0:2:1.

При этом, для упрощения записи, хранения и обработки кода, используют вариант сжатия кода. Смежные последовательности нулевых блоков, заменяются на парные символы двоеточий. 2001:db8:0:0:0:0:2:1 превращается в 2001:db8::2:1.

❯ Что такое префикс IPv6?

Префиксы в IPv6 – это часть IPv6-адреса, которая определяет, где сеть или подсеть.

Префикс обозначает сетевую часть адреса, а оставшиеся биты – идентификатор интерфейса (хоста).

Префиксы обеспечивают гибкость, масштабируемость и упрощение маршрутизации. Они позволяют эффективно организовать сети любого размера, от глобальных провайдеров до домашних подсетей.

Префикс записывается как IPv6-адрес/длина_префикса, где длина_префикса указывает количество бит, относящихся к сети.

Пример: 2001:db8::/32 означает, что первые 32 бита адреса определяют сеть.

Типы префиксов:

• Глобальные одноадресные адреса (Global Unicast). Начинаются с 2000::/3 (префиксы от 2000 до 3fff). Используются для публичных адресов в интернете;

• Уникальные локальные адреса (ULA, Unique Local Addresses). Начинаются с fc00::/7, но фактически используются fd00::/8 (случайные префиксы для локальных сетей, аналог IPv4 Private IP);

• Локальные адреса канала (Link-Local). Начинаются с fe80::/10. Используются для связи в пределах одного сегмента сети (без маршрутизации);

• Multicast-адреса. Начинаются с ff00::/8. Для групповой рассылки;

• Anycast-адреса. Используют префиксы из глобальных или локальных диапазонов, но назначаются нескольким устройствам;

• Unique local address (ULA). Начинаются с fc00::/7. Немаршрутизируемые адреса предназначенные для локальных сетей;

• Зарезервированный префикс. Начинаются с ::ffff:0:0/96. Необходим для совместимости с IPv4 адресами. (пример: :ffff:192.168.1.1).

Как генерируются IPv6-адреса?

Обычно используется автоматическая конфигурация SLAAC или DHCPv6 (о них подробнее чуть ниже).

Маршрутизаторы рассылают префикс сети (например, /64) через RA-сообщения (Router Advertisement). Устройства генерируют свой адрес, комбинируя префикс и MAC-адрес (EUI-64) или с помощью генератора случайных чисел (Privacy IPv6 generation).

 О том как построить небольшую сеть IPv6, можно почитать в данной статье.

❯ Отличия IPv4 и IPv6

1. Заголовок

Я ранее в этой статье уже описывал заголовки IPv4 и IPv6, так что не будем тут размазывать кашу по тарелке, а обратим внимание на конкретные отличия между IPv4 и IPv6.

Как видно из приведенной выше картинки, в IPv6 используется более простой заголовок. Из него исключены несущественные поля такие как длина заголовка, идентификатор пакета, флаги, смещение фрагмента, контрольная сумма заголовка, опции и заполнитель. Некоторые поля сохранились, но изменили свое название и местоположение в заголовке (тип обслуживания – класс трафика, общая длина пакета – длина полезной нагрузки, время жизни – предел переходов, протокол – следующий заголовок). А также добавился новое поле – метка потока.

Все эти изменения позволили снизить нагрузку на маршрутизаторы при обработке пакетов, например больше не нужно рассчитывать контрольную сумму у каждого пакета. Добавление поля метка потока (функция Quality of Service) позволило определять чувствительные к задержке пакеты.

2. Масштабируемость

Как было сказано ранее, главной проблемой IPv4 это его ограниченное адресное пространство и затрудненная масштабируемость. А основная идея идеального Интернета всё-таки в том, чтобы каждое устройство имело свой уникальный идентификатор и могло общаться с любым устройством в глобальной сети с помощью P2P (peer-to-peer) соединения напрямую, без использования обходных путей, такие как NAT.

3. Маршрутизация

Из-за упрощенного заголовка в IPv6 и его фиксированной длины, маршрутизаторам легче «переваривать» такие пакеты. К примеру отсутствие контрольной суммы (в L3 заголовке, не путать с контрольной суммой в конце пакета) значительно ускоряет маршрутизацию при проксировании, так как при изменении ip адреса в заголовке необходимо пересчитать и контрольную сумму всего L3. Отсутствие данного поля в IPv6 снижает нагрузку на процессор и проксирование происходит гораздо быстрее, можно использовать более бюджетное серверное решение при использовании HAProxy.

Хотя IPv4 может и поспорить с IPv6 в «качестве» маршрутизации при использовании межсетевых экранов (те же маршрутизаторы, только в профиль) без сохранения состояния (stateless firewalls). Дело в том, что заголовок IPv6 не содержит поля, указывающего напрямую на протокол верхнего уровня, например, TCP. В IPv6 протокол верхнего уровня определяется последним заголовком расширений – заголовком верхнего уровня (Upper Layer Header, ULH).

Не нужно путать поле Next Header в IPv6 и Protocol в IPv4.
В IPv4 поле Protocol в заголовке напрямую указывает протокол (TCP/UDP/ICMP). Межсетевой экран быстро определяет его.

В IPv6 заголовок пакета содержит поле Next Header (8 бит), которое указывает тип следующего заголовка в цепочке. Это может быть расширенный заголовок IPv6 (например, Routing, Fragment, Hop-by-Hop, Destination Options, AH/ESP) и после них указывается протокол верхнего уровня (например, TCP, UDP, ICMPv6). Получается некая цепочка из заголовков (Основной заголовок IPv6 → Routing Header → Fragment Header → TCP-заголовок → Данные).

Поэтому для определения протокола верхнего уровня нужно пройти всю цепочку расширенных заголовков, пока не будет найден ULH (Upper Layer Header). Это требует дополнительного анализа всех заголовков расширений (их может быть несколько).
Если пакет содержит 3 расширенных заголовка, межсетевому экрану нужно прочитать 4 заголовка (основной + 3 расширенных), чтобы определить, что в конце стоит TCP.

4. Встроенная безопасность

IPSec обеспечивает шифрование и аутентификацию на уровне протокола. В IPv6 он встроен в стандарт, в IPv4 он опционален.

Вроде все очевидно, в этом плане IPv6 лучше, но тут, как всегда, дьявол кроется в мелочах. IPv4 уже давно изучен и есть популярные методы шифрования и защиты данного протокола, а вот IPv6 «новый» и неизученный протокол, который может в себе иметь уязвимости.

К примеру, изначально спецификация IPv6 определяла заголовок расширений маршрутизации (Routing EH), а также его подтип Routing Header Type 0, или RH0. Поле RH0 может содержать множество адресов промежуточных узлов, через которые должна пройти передача пакета, причем один и тот же адрес может быть указан более одного раза. А значит, есть вероятность того, что пакеты будут осциллировать между двумя узлами, тем самым вызывая перегрузку канала между ними. Эта возможность может быть использована атакующим для создания атаки отказа в обслуживании (Denial of Service, DoS). Поэтому в 2007 году IETF исключил данную функциональность из спецификации IPv6.

5. Автоматическая настройка (SLAAC)

SLAAC позволяет устройствам автоматически генерировать IPv6-адреса без DHCP-сервера, используя информацию от маршрутизаторов.

SLAAC позволяет устройствам автоматически:

• Получить префикс сети от маршрутизатора;

• Создать глобальный IPv6-адрес (Global Unicast);

• Настроить адрес локальной связи (Link-Local). 

Недостатки SLAAC:

• Нет управления параметрами. Не передает DNS-серверы, NTP и т.д;

• Случайные адреса. Могут усложнить диагностику;

• Ограниченная информация. Нет возможности назначить статические адреса через SLAAC. 

DHCPv6 (Dynamic Host Configuration Protocol for IPv6) – это протокол для динамической настройки IPv6-адресов и передачи дополнительных параметров сети (DNS, NTP, домены и т.д.). В отличие от SLAAC, DHCPv6 предоставляет централизованное управление адресами, что полезно в корпоративных сетях. 

Типы DHCPv6

• Stateful DHCPv6:
  сервер управляет полной конфигурацией клиентов:
  - выделяет IPv6-адреса;
  - передает DNS, NTP и другие параметры;
  - используется, когда SLAAC недостаточно (например, нужен контроль над адресами).

• Stateless DHCPv6 (Комбинируется с SLAAC):
  сервер не выдает адреса (они настраиваются через SLAAC), но предоставляет дополнительные параметры (DNS, домены).

6. Эффективная работа с multicast/anycast

❯ Что такое multicast?

• Групповая рассылка. Пакет доставляется всем устройствам в группе, а не каждому отдельно как в broadcast IPv4 (в IPv6 broadcast заменен на targeted multicast).

• Примеры адресов:
  - ff02::1 – все узлы в локальном сегменте;
  - ff02::2 – все маршрутизаторы;
  - ff05::1:3 – все DHCPv6-серверы в локальной сети.

Преимущества multicast в IPv6:

• Снижение нагрузки. Трафик идет только заинтересованным устройствам (в отличие от broadcast в IPv4);

• Энергоэффективность. Устройства могут не обрабатывая ненужный трафик;

• Оптимизация маршрутизации. Маршрутизаторы кэшируют пути для multicast-групп.

В IPv4 кстати данная поддержка есть, но редко используется из-за сложности и NAT.

❯ Что такое anycast?

Группа устройств с одним адресом. Пакет доставляется ближайшему узлу в группе.
Пример: DNS-серверы Google (2001:4860:4860::8888 развернут в десятках ЦОД).

Как это работает:

1. Несколько серверов настраиваются на один anycast-адрес;

2. Маршрутизаторы объявляют этот адрес через BGP;

3. Трафик автоматически направляется к ближайшему серверу.

Преимущества anycast:

• Снижение задержек. Пользователи подключаются к ближайшему узлу;

• Отказоустойчивость. При сбое одного узла трафик перенаправляется к другому;

• Балансировка нагрузки. Трафик распределяется между серверами.

7. Улучшенная обработка QoS

В IPv6 поле Flow Label (20 бит) используется для идентификации потоков и приоритизации трафика. В IPv4 использует DSCP (6 бит) он менее гибок, при идентификации требуется анализ IP-адресов, портов, DSCP, а в IPv6 достаточно Flow Label + адресов.

Flow Label – это 20-битное поле в заголовке IPv6, предназначенное для идентификации пакетов, принадлежащих к одному потоку данных. Оно позволяет маршрутизаторам и сетевым устройствам быстро классифицировать трафик и применять к нему политики QoS (Quality of Service) без глубокого анализа содержимого пакета.

8. Фрагментация

Для IPv4 маршрутизаторы могут фрагментировать пакеты, для IPv6. Фрагментация выполняется только отправителем (через Fragment Header), что снижает нагрузку на сеть.

В IPv6 маршрутизаторы не производят фрагментацию, поэтому поля, относящиеся к этой функции, перенесены в соответствующий заголовок расширений (Fragmentation EH). Если пакет IPv6 превышает допустимый размер для последующей передачи, маршрутизатор генерирует сообщение ICMP «рacket too big» («слишком большой пакет») и посылает его обратно отправителю. В зависимости от приложения отправитель либо выбирает размер пакета, который позволит ему на всем пути следовать без фрагментации, либо дробит пакет самостоятельно. Как следствие, передача пакетов IPv6 требует меньших затрат от промежуточного сетевого оборудования.

Проблемы, связанные с переходом на IPv6

Окончательная структура IPv6 появилась почти 20 лет назад, в 2006 году, а IPv4 никуда из нашей жизни не делся.

По данным Google, 45% трафика уже использует IPv6. Но большая часть интернета по-прежнему завязана на IPv4.

❯ Почему переход затянулся? Шесть основных причин.

1. Сетевой эффект

Сетевой эффект – это явление, когда ценность технологии зависит от большого количества использующих ее игроков.

Технологией не будут пользоваться повсеместно, если ее используют пару человек. К примеру, Facebook в 2012 году полностью перешел на IPv6, но через год вернул IPv4-зеркала из-за низкой доступности IPv6 у пользователей.

2. NAT

NAT (Network Address Translation) – является более реальной альтернативой или дополнительным решением. NAT позволяет сократить использование белых IPv4 адресов. Без него IPv4 адреса закончились бы в 2010 году.

Также некоторые провайдеры создают еще один уровень (каскадирование NAT) в сети сервис-провайдера. Такая схема работает в общем случае, но результат ее применения – существенные ограничения для многих сегодняшних и будущих приложений, а также сложность обслуживания.

3. Сложность миграции

Двойные стеки. Серверы и маршрутизаторы должны поддерживать оба протокола. Это увеличивает нагрузку и стоимость оборудования.

Безопасность. Как я писал выше, заголовок RH0 в IPv6 может содержать множество адресов промежуточных узлов, через которые должна пройти передача пакета, причем один и тот же адрес может быть указан более одного раза. А значит, можно создавать петли маршрутизации для DDoS-атак. IETF исключил данную функциональность из спецификации IPv6 в 2007 году, но многие устройства до сих пор его обрабатывают.

4. Инфраструктурная интеграция

Провайдеры. Замена оборудования на поддерживающее IPv6 требует хороших вложений.

Корпорации. Используют legacy-системы, которые морально устарели и их невозможно обновить.

Пользователи. Дешевые роутеры не поддерживают IPv6.

5. Технологии-«мосты» между IPv4 и IPv6

 DS-Lite. Провайдер раздает IPv6, а IPv4-трафик идет через туннель к NAT.

• Плюс – Экономия IPv4-адресов.

• Минус – Дополнительная задержка, сложность настройки.

 6rd (IPv6 Rapid Deployment): IPv6 поверх IPv4-инфраструктуры провайдера.

 NAT64 + DNS64. Шлюзы преобразуют IPv4-адреса в IPv6 и обратно. Но это «костыль на костыле.

6. Недостаточная подготовка персонала

Наверное, самая моя любимая причина. Недостаточный опыт и подготовка персонала в обнаружении и решении проблем, связанных с IPv6, а также недостаточно хорошее понимание различных новых функций являются существенными рисками безопасности. 

Многие организации по-прежнему рассматривают протокол IPv6 как экспериментальный, даже если его внедрение происходит в рабочей инфраструктуре. Как следствие, политика безопасности зачастую разрабатывается и исполняется менее строго. Это усугубляется тем, что во многих случаях механическая репликация существующей политики для IPv4 невозможна – это связано как с различиями в протоколе IPv6, так и с возможностями оборудования.

Под данным все того же Google, в России используют 28% IPv6 адресов. Но по моему опыту, их используют в ЦОДах или крупные операторы. Более мелкие региональные операторы, малый или даже некоторый крупный бизнес обходится обычными проверенными IPv4, со всеми его преимуществами и недостатками.

❯ Что такое SDN?

❯ Предыстория

Все мы знаем что такое традиционные сети. Напомню.

Традиционная сеть – полностью распределенная сетевая структура. Каждый маршрутизатор, коммутатор и т.д. независимо друг от друга собирают информацию о сети (в которой они находятся), состояние каналов и постоянно обновляют мак таблицу или таблицу маршрутизации. Любые изменения топологии приводят к лавинной передачи маршрутной информации между маршрутизаторами. Для небольшой сети это не проблема, если где-то отвалится линк, сеть не «ляжет» от служебных пакетов. 

❯ Но если это крупный ЦОД с тысячами сетевых устройств?

Схождение данной сети может составлять минуты, а это критично для приложений, восприимчивых ко времени, где задержка сходимости может негативно сказаться на их работе.

Объемы и обработка огромных массивов данных, а также поддержка тысяч пользователей привело к разработке, а также воплощение в жизнь концепцию SDN.

Базовые идеи SDN были сформулированы специалистами университетов Стэнфорда и Беркли еще в 2006 г. В марте 2011 г. был образован консорциум Open Networking Foundation (ONF). ONF развивает в основном протокол OpenFlow, он реализует взаимодействие контроллера с сетевыми устройствами. Но некоторые компании (Cisco, Citrix и IBM) сформулировали структуру OpenDaylight.

❯ Но что такое SDN?

SDN – программно-управляемая сеть, где вся логика управление сетевыми устройствами берет на себя специальный контроллер. Контроллер собирает всю информацию об управляемой им сетью и определяет, каким образом все устройства будут обрабатывать трафик. При этом сами устройства больше не участвуют в сборе и хранении информации, а следуют инструкциям контроллера.

Если выражаться терминами, в сетевых устройствах физически разделен уровень управления сетью (control plane) от уровня передачи данных (data plane).

В традиционной сети control plane отвечает за логику работы сетевого устройства и тесно связан с data plane (в SDN сети он по сути не нужен).

Традиционный коммутатор работает с каждым передаваемым пакетом отдельно и перенаправляет его исходя из своей мак-таблицы.

Об этом я рассказывал в первой части данного цикла.

Если коммутатор поддерживает протокол OpenFlow и интегрируется в SDN сеть, то он уже работает не с пакетами, а с потоками данных. Теперь главным элементом коммутатора становится таблица потоков. При этом у каждого отдельного потока есть свой приоритет. Чем важнее поток, тем выше его позиция в таблице, а значит передача этого потока более стабильна.

SDN позволяет упростить конфигурацию и управление сетью, легко масштабировать сервисы и увеличить мощность физической инфраструктуры за счет виртуальной.

Плюсы и минусы использования SDN

Основные плюсы.

1. Централизованное управление:
   - единая точка управления для всей сети, вместо конфигурирования каждого отдельного устройства;
   - контроллер имеет полное представление о топологии сети, состоянии каналов и трафике, что позволяет ему принимать быстрые и точные решения о перенаправлении потоков трафика.

2. Автоматизация и программирование:
   - поведение сети определяется программно и не зависит от фиксированных протоколов на каждом отдельном устройстве;
   - возможность автоматизировать рутинные процессы, например настройка политик безопасности или создания VLAN, через API контроллера. (Northbound API).

3. Независимость от производителей:
   - если устройство поддерживает OpenFlow, контроллер может управлять данным оборудованием независимо от вендора и проприетарных протоколов. Тем самым можно построить однородную сетевую инфраструктуру, не используя одного вендора.

4. Адаптивность сети:
   - сеть может быстро адаптироваться к изменениям трафика, требованиям приложений или сбоям;
   - более эффективное использование сетевых ресурсов, например балансировка трафика на серверы приложений или динамическое перераспределение полосы пропускания.

Основные минусы

1. Отказоустойчивость:
   - так как вся инфраструктура управляется из единого места (контроллера), оно может стать единой точка отказа;
   - система управления может стать «узким местом» при обработке большого количества событий в сети, которая влияет на задержку между коммутатором и контроллером.

2. Безопасность:
   - контроллер может стать привлекательной мишенью для атаки злоумышленниками, компрометация системы управления предоставляет контроль над всей сетью целиком;

3. Стоимость:
   - может понадобиться замена или модернизация текущего оборудования на поддерживающие протокол OpenFlow;
   - дополнительные затраты на интеграцию и отладку контроллера и специфических сценариев автоматизации;
   - дополнительные затраты на резервирование/кластеризацию системы управления;
   - дополнительная защита каналов связи между контроллером управления и контроллерами коммутаторов.

4. Сложность внедрения и управления:
   - сложность интеграции legacy инфраструктуры;
   - дополнительные навыки у сетевых инженеров для глубокого понимания SDN архитектуры, помимо существующих знаний;
   - дополнительные сотрудники с навыками программирования и DevOps инженеры.

5. Стандартизация:
   - Несмотря на OpenFlow, экосистема SDN все еще не до конца стандартизирована. Существуют проприетарные решения и различные реализации, ограничения от разных вендоров;
   - некоторые аспекты SDN и связанные с ней технологии все еще развиваются и могут быть менее привлекательными в отличии от традиционных решений.

Про сложности реализации SDN, в частности Neutron, можно почитать в этой статье.

Современные тенденции, такие как рост объемов трафика и числа подключенных к интернету устройств меняют правила игры, заставляя бизнес все чаще конфигурировать крупномасштабные сети и внедрять в них новые направления, такие как SDN. Но тем самым технические специалисты сталкиваются с новыми проблемами, с которыми ранее у них не было опыта и тем более открытой информации по решению данных задач.

Как и у любой технологии SDN имеет неотъемлемые преимущества перед традиционной сетью, но при этом можно столкнуться с непредвиденными проблемами и дополнительными тратами на которые бизнес зачастую идти не хочет. Бизнес считает деньги и делает выбор в сторону проверенных и прогнозируемых решений.

В России рынок SDN все еще мал и его в основном использует гипермасштабируемые ЦОДы и крупный бизнес.

Но некоторые концепции SDN, в частности SD-WAN, заинтересовали малый и средний бизнес.

❯ Что такое SD-WAN?

SD-WAN – это программно-определяемая WAN-сеть, позволяющая связать удаленные офисы в единую сеть, где присутствует единое управление с помощью SD-WAN контроллера.

SD-WAN это не стандарт, а общий термин, который не принадлежит конкретному вендору. При этом существуют общепризнанные и часто используемые контроллеры SD-WAN (vManage, vBond и vSmart.)

SD-WAN позволяет компаниям с распределенным филиалами сократить расходы на каналы связи и повысить скорость подключения новых филиалов к существующей сети.

Основные плюсы SD-WAN:

1. Каждое новое устройство больше не нужно конфигурировать «с нуля». Все устройства настраиваются через шаблоны, а политики применяются с контроллера. Тем самым обеспечивается упрощенное подключение новых офисов;

2. С помощью контроллера, система фиксирует деградацию и отказ в сети и принимает централизованное решение по распределению трафика;

3. Централизованный мониторинг повышает надежность и в режиме реального времени отслеживает состояние всей сети.

Основные минусы SD-WAN:

1. Сложность миграции с традиционных WAN решений (особенно MPLS);

2. Необходимость дополнительной защиты с помощью средств безопасности;

3. Эффективность контроллера зачастую зависит от качества и стабильности интернет соединения, так как контроллер находится удаленно или в облаке;

4. Чувствительные приложения (VoIP, видеоконференции, системы реального времени)могут страдать из-за задержек или джиттера, особенно при переключении между каналами связи;

5. Дополнительные расходы на лицензирование, внедрение edge-устройств (аппаратных или виртуальных – vCPE) во всех филиалах, а также требуются специалисты с новыми навыками.

6. Отказ центрального контроллера или потеря связи с edge-устройствами может ограничить возможность управления сетью, отказ мониторинга, невозможность подключения новых устройств.

SD-WAN предлагает мощные преимущества в гибкости, управляемости, но его внедрение требует тщательного планирования, учета рисков безопасности и понимания полной стоимости владения. Он не является универсальной панацеей и подходит не для всех сценариев.

❯ Что такое Overlay сети

Вот тут я соглашусь с комментаторами и скажу «В СДСМ/АДСМ уже все давно написано». Действительно на linkmeup давно вышла статья про Overlay сети и я думаю лучше объяснить что это такое я не смогу. Да и зачем, просто перейдите и прочитайте.

Тут я кратко расскажу что это и зачем нужна.

Overlay Network это виртуальная сеть, построенная «поверх» существующей физической сети (underlay). Узлы overlay сети соединены логическими туннелями, которые используют маршруты underlay сети для передачи данных.

Ключевая идея оверлея отделить логическую топологию и сервисы от физической.

Можно сказать что это чистый SDN, но нет.

SDN, как описано выше, отделяет control plane от data plane и осуществляет полный контроль над сетью.  Overlay же работает поверх обычной сети и полностью от нее зависит. Если есть проблемы в андерлее, то оверлей работать не будет.

Концепции SDN и Overlay тесно связаны с виртуализацией сети, но все же являются разными по своей сути.

Основные цели Overlay:

1. Внедрение новых возможностей без замены существующего «железа» (в SDN часто его нужно менять), что позволяет развертывать современные сервисы не теряя существенных средств;

2. Создание изолированных сред, обеспечивая логическую сегментацию клиентов/приложений/тестовых сред без физического разделения;

3. Дополнительные возможности по реализации функционала изначально не заложенного в протоколы андерлея (сложные политики QoS, распределенное хранение и специфические схемы маршрутизации).

В интернете часто используют CDN (Content Delivery Network) для глобальной доставки контента (Akamai, Cloudflare). Оверлейные технологии там нужны для оптимального перенаправления трафика пользователя к ближайшему кеширующему серверу.

В корпоративных сетях часто используют VPN для подключения сотрудников «по удаленке» или связи между филиалами компании.

Для домашних сетей используются те же самые VPN или P2P-соединения (Peer-to-Peer), по типу BitTorrent или старые файлообменники формируют динамические оверлеи поверх интернета для прямого обмена данными между пользователями.

В ЦОДах используют VXLAN, NVGRE, GENEVE. Это ключевые протоколы оверлея, решающие проблемы с масштабированием VLAN и ограничения в 4094 сети, а также позволяют передавать инкапсулированный трафик между виртуальными машинами (или контейнерами), позволяя создавать десятки тысяч изолированных логических сетей (Layer 2 поверх Layer 3) поверх физической IP-сети ЦОД. Крайне важно для облаков и гибкости.

Сети для контейнеризации (Kubernetes CNI) обеспечивают связность между контейнерами на разных физических хостах, абстрагируясь от деталей андерлея.

SD-WAN используют оверлейные туннели (часто IPsec или подобные) поверх множества физических каналов (MPLS, Internet, LTE) для централизованного управления трафиком и политиками между филиалами.

Главный недостаток Overlay – дополнительные накладные расходы. Инкапсуляция трафика увеличивает размер пакетов (что может приводить к фрагментации) и требует дополнительной вычислительной мощности для обработки. Также маршрутизация в оверлее может быть не оптимальной с точки зрения физической топологии андерлея.

Оверлейные технологии – неотъемлемая и стремительно растущая часть будущего сетей. Они стали стандартом де-факто для облаков, ЦОДов и современных корпоративных WAN благодаря своей гибкости и способности решать актуальные задачи.

❯ Подведем итоги

Будущее сетей не в победе одной технологии, а в гармоничном сочетании многих.

Ipv6 обеспечит огромное адресное пространство для растущего интернета вещей и сервисов.

SDN предоставят инструменты для централизованного, автоматизированного управления сложными инфраструктурами.

Overlay станет ключевым механизмом для построения гибких, изолированных виртуальных сетей, не важно Ipv4 это или Ipv6.

Будущее в эволюции всей сети, где Underlay останется критически важным фундаментом, а новые технологии, такие как Ipv6, потихоньку вытеснят старые. SDN и Overlay становятся стандартами новых сетей, делая их более управляемыми, гибкими и сервис-ориентированными.

Но в то же время сказать, что все эти технологии — будущее интернета, нельзя. Всё больше появляются новые протоколы, которые должны «убить» старые, но зачастую этого не происходит. У каждой технологии есть как плюсы, так и минусы, а к старым технологиям уже привыкли, и каждый рядовой сисадмин умеет справляться с ограничениями и проблемами.

Поэтому мы видим, что все эти решения (Ipv6, SDN, Overlay) использует некоторое количество организаций, многие приверженцы старых устоев, а рядовому пользователю вообще до лампочки, главное чтобы видео с кошечками грузились.

❯ P. S.

Фух. За спиной пять частей про работу интернета. Когда я приступал к первой части, я думал, что тут всё легко: пару картинок сделать, пару вечеров выделить — и готово. Оказалось, не так просто рассказать обо всём.

Даже сейчас, смотря на огромное количество текста, понимаю, что мои статьи являются больше обзорными. Знали бы вы, сколько текста ушло под «нож» и как не сходилась структура! Можно было бы сделать лучше, да. Можно было бы потратить ещё пару месяцев, чтобы «причесать» текст. Но мне в личку уже многие пишут и просят новые части.

На этом я заканчиваю данный цикл, дальше приступаю к ещё одному — по SFP-модулям. Вместе с вами разберём, что это такое, как это работает, как выбрать оптический бюджет и, главное, что обозначают все эти буквы в названии модулей.

Вам всем хочу сказать огромное спасибо за комментарии и обратную связь. Именно благодаря вам, дорогие читатели, я завел свой телеграмм и общаюсь там с вами. Хочется делать больше, чем можешь.

До встречи, коллеги!

---

Новости, обзоры продуктов и конкурсы от команды Timeweb.Cloud — в нашем Telegram-канале ↩