Author: weril

• Очень много презентаций о VPP на сайте fd.io
  • • Разобрал только эту “How to Push Extreme Limits of Performance and Scale with Vector Packet Processing Technology”
• Netgate TNSR – один из известных комерческих проектов, использующих VPP
• VPP is a rapid packet processing development platform for highly performing network applications.

SD-WAN

• Cisco SD-WAN
• VMware SD-WAN
• Kaspersky SD-WAN
• Bi.zone SD-WAN

Материалы:

• Преза/datasheet
• Сайт

Заявляют функционал сопоставимый международным игрокам:

• Платформа построена на базе технологий компании Brain4Net (ранее стартап РТК проданный Касперскому)
• Основной кейс – защита филлиальной сети для крупных заказчиков или интеграторов (multi-tenenacy контроллерр)
• Поддержка любых каналов для spoke (4G, MPLS, Ethernet, PPPoE, L2) с резервированием
• Компоненты закрытые, не opensource
  • Основной компонент – openflow SDN контроллер, соответствует openflow версии 1.3-1.4 (рабочая версия для реальных сетей; используют так же extension к протоколу, опубликованные в RFC), реализует разную логику топологическую, реализует сервисные примитивы p2p, p2m, m2m L2, L3VPN, 8 layers QoS централизованно управляемая модель, ECMP (weighted, equal cost), traffic engineering, измерение параметров пути с «маршрутизацией» на основе этих параметров
  • Компонент2: NFV платформа как средство деплоя/управления сетью на основе OpenStack (может работать как с нативным OpenStack, так и с собственным контроллером Brain4net) – деплой сетевых функций в виде виртуальных машин, организация связи между ними и в external
  • Компонент3: высокопроизводительный DPDK switch OS на основе OpenFlow 1.3 (не на базе Open vSwitch), деплоятся на whitebox (в том числе high-performance chip trident, trident2+, tomohawk, tomohawk2)
• На базе этих компонентов реализуется как SDN, так и SD-WAN с L2 overlay backbone на базе контроллера (объединение CPE виртуальных и аппаратных, CPE реализован на базе OpenVswitch) с реализацией логики SD-WAN на базе стандарта (multipathing, routing, измерение параметров overlay туннелей с изменение маршрутизации на основе изменений параметров, TE).

Решил сделать разбор (в целом неплохого, но по многим вопросам спорного) видео о прошлом, настоящем и будущем компьютерных сетей от исследователей open networking foundation – The network as a programmable platform.

По мнению авторов видео недостатки старых подходов:

• Ненадежный проприетарный софт с десятками миллионами строк кода – насчет ненадежности крайне спорно, особенно когда речь идет о магистральном оборудовании и оборудовании ЦОД
• Огромные мейнфреймы как для обработки сетевого трафика (Cisco ASR/CRS), так и для обработки вычислений (IBM Z) – лучше масштабироваться горизонтально, согласен, но многоюнитовые шасси как выпускались, так и продолжают (и в ДЦ сегменте, хотя безусловно в меньшем объеме), в том числе из-за высокопроизводительного бекплайна между картами
• Сложно или невозможно что-то улучшить без привлечения сетевого вендора – многим ли нужно программировать ПЛИС самостоятельно или мониторить микроберсты, тем кому нужно это узкий рынок
• (как вывод) стагнация – cisco и другие вендоры сильно не согласятся и будут во многом правы – они решали и решают задачи, несмотря на постоянный рост объемов трафика

• Merchant silicon – имеется ввиду, что чипы для устройств не разрабатывает каждый сетевой вендор, они продаются на рынке (broadcom, marvel, ibm, qualcom, intel..).

Goal

Summary

• Ключевые особенности/характеристики Wireguard:
  • Достоинства
    • Connection-less Protocol (based on UDP)

WireGuard only[9] uses UDP[4] and thus does not work in networks that block UDP traffic. This is unlike alternatives like OpenVPN because of the many disadvantages of TCP-over-TCP routing.

• • • WireGuard supports only layer 3 for both IPv4 and IPv6 and can encapsulate v4-in-v6 and vice versa.

• Многое ниже на основе интервью Tom Lawrence из Lawrence Systems
• PERFORMANCE LIMITATIONS (IMIX): routing 10G (ideal 20G), firewall 5G (ideal 20G), ipsec 1G (ideal 3G)
• Pfsense основан на bsd (like juniper)
• TNSR Tensor основан на vector packet processing (VPP) и был придуман для задач, где pfsense уже не справлялся с обработкой
• Pf в pfsense – это pf filter bsd, был создан примерно одновременно с iptables (2001 год PF, 1998 iptables)
• В pfsense есть возможность подключать сторонние плагины (типо keenetic)
• Используется очень часто в небольших банках и других небольших компаниях, но не только небольших:
  • используют в carprice
  • есть и крупные инсталляции по практике Lawrence System – напр.

Core (logical/physical) numbers

Количество процессинг-юнитов (физических CPU). Может не совпадать с top (добавляются логические CPU,  как в примерах ниже).

$ nproc
4
 nproc - print the number of processing units available.

Понятнее всего количество физических и логических ядер посмотреть в выводе lscpu

• • логические (общее количество на систему) в виде CPU(s).