في الجزأين السابقين (
في السابق ، لم يكن لدينا أي بنية أساسية منفصلة للخادم: كانت مفاتيح تبديل الخادم متصلة بنفس النواة مثل محولات توزيع المستخدم. تم تنفيذ التحكم في الوصول باستخدام الشبكات الافتراضية (VLANs) ، وتم إجراء توجيه VLAN في نقطة واحدة - في المركز (وفقًا لمبدأ
البنية التحتية القديمة للشبكة
بالتزامن مع شبكة المكاتب الجديدة ، قررنا بناء غرفة خادم جديدة ، ومصنعًا جديدًا منفصلاً لها. اتضح أنها صغيرة (ثلاث خزانات خادم) ، ولكن وفقًا لجميع الشرائع: نواة منفصلة على مفاتيح CE8850 ، طوبولوجيا شبكة كاملة (ورقة العمود الفقري) ، أعلى الحامل (ToR) مفاتيح CE6870 ، منفصلة زوج من المفاتيح للتفاعل مع بقية الشبكة (يترك الحدود). باختصار ، فوضى كاملة.
شبكة مصنع الخادم الجديد
قررنا التخلي عن خادم SCS لصالح توصيل الخوادم مباشرة بمفاتيح ToR. لماذا؟ لدينا بالفعل غرفتا خادم تم بناؤهما باستخدام خادم SCS ، وأدركنا أنهما:
- غير مريح للاستخدام (الكثير من التبديل ، تحتاج إلى تحديث مجلة الكابلات بعناية) ؛
- باهظة الثمن من حيث المساحة التي تشغلها لوحات التصحيح ؛
- يمثل عقبة إذا كنت بحاجة إلى زيادة سرعة توصيل الخوادم (على سبيل المثال ، التبديل من اتصالات 1 جيجابت / ثانية عبر النحاس إلى 10 جيجابت / ثانية عبر البصريات).
عند الانتقال إلى مصنع خوادم جديد ، حاولنا الابتعاد عن توصيل الخوادم بسرعة 1 جيجابت / ثانية وقصرنا أنفسنا على واجهات 10 جيجابت. تقريبًا جميع الخوادم القديمة التي لا تعرف كيف تعمل افتراضيًا ، والباقي من خلال أجهزة إرسال واستقبال جيجابت متصلة بمنافذ 10 جيجابت. حسبنا وقررنا أنه سيكون أرخص من تركيب محولات جيجابت منفصلة لهم.
مفاتيح ToR
قمنا أيضًا بتثبيت مفاتيح إدارة خارج النطاق (OOM) منفصلة 24 منفذًا في غرفة الخادم الجديدة ، واحدة لكل رف. تبين أن هذه الفكرة جيدة جدًا ، فقط لم يكن هناك ما يكفي من المنافذ ، في المرة القادمة سنقوم بتثبيت مفاتيح OOM لـ 48 منفذًا.
نقوم بتوصيل واجهات الإدارة عن بعد للخوادم مثل iLO أو iBMC في مصطلحات Huawei بشبكة OOM. إذا فقد الخادم اتصاله الرئيسي بالشبكة ، فسيكون من الممكن الوصول إليه من خلال هذه الواجهة. أيضًا ، يتم توصيل واجهات التحكم الخاصة بمفاتيح ToR وأجهزة استشعار درجة الحرارة وواجهات التحكم في UPS وغيرها من الأجهزة المماثلة بمفاتيح OOM. يمكن الوصول إلى شبكة OOM من خلال واجهة جدار حماية منفصلة.
ربط شبكة OOM
الربط البيني لشبكات الخادم والمستخدم
في مصنع المستخدم ، تُستخدم وحدات VRF المنفصلة لأغراض مختلفة - لتوصيل أماكن عمل المستخدم ، وأنظمة المراقبة بالفيديو ، وأنظمة الوسائط المتعددة في غرف الاجتماعات ، وتنظيم الأجنحة ومناطق العرض ، وما إلى ذلك.
تم إنشاء مجموعة أخرى من VRFs في مصنع الخادم:
- لربط الخوادم العادية التي تستضيف خدمات الشركات.
- VRF منفصل يتم من خلاله نشر الخوادم مع الوصول من الإنترنت.
- VRF منفصل لخوادم قاعدة البيانات التي لا يمكن الوصول إليها إلا من خلال خوادم أخرى (مثل خوادم التطبيقات).
- VRF منفصل لنظام البريد لدينا (MS Exchange + Skype for Business).
وبالتالي ، لدينا مجموعة VRF من جانب المصنع المستخدم ومجموعة VRF من جانب مصنع الخادم. كلا المجموعتين متصلتان بمجموعات من جدران الحماية الخاصة بالشركة (ME). يتم توصيل MEs بمفاتيح الحدود (أوراق الحدود) لكل من مصنع الخادم ومصنع المستخدم.
اقتران المصانع عن طريق ME - الفيزياء
ربط المصانع من خلال ME - المنطق
كيف كانت الهجرة
أثناء الترحيل ، قمنا بتوصيل مصانع الخوادم الجديدة والقديمة على مستوى ارتباط البيانات ، من خلال قنوات الاتصال المؤقتة. لترحيل الخوادم الموجودة في شبكة محلية ظاهرية محددة ، أنشأنا مجال جسر منفصل ، والذي تضمن شبكة محلية ظاهرية (VLAN) لمصنع الخادم القديم و VXLAN لمصنع الخادم الجديد.
يبدو التكوين شيئًا كهذا ، السطران الأخيران هما المفتاح:
bridge-domain 22
vxlan vni 600022
evpn
route-distinguisher 10.xxx.xxx.xxx:60022
vpn-target 6xxxx:60022 export-extcommunity
vpn-target 6xxxx:60022 import-extcommunity
interface Eth-Trunk1
mode lacp-static
dfs-group 1 m-lag 1
interface Eth-Trunk1.1022 mode l2
encapsulation dot1q vid 22
bridge-domain 22
ترحيل الأجهزة الافتراضية
بعد ذلك ، باستخدام VMware vMotion ، قمنا بترحيل الأجهزة الافتراضية في شبكة VLAN هذه من برامج Hypervisor القديمة (الإصدار 5.5) إلى الأجهزة الجديدة (الإصدار 6.5). على طول الطريق ، خوادم الأجهزة الافتراضية.
عندما تحاول التكرارقم بتعيين MTU مقدمًا وتحقق من مرور الحزم الكبيرة "من طرف إلى طرف".
في شبكة الخادم القديمة ، استخدمنا جدار الحماية الظاهري VMware vShield. نظرًا لأن VMware لم يعد يدعم هذه الأداة ، في نفس وقت الترحيل إلى مزرعة افتراضية جديدة ، قمنا بالتبديل من vShield إلى جدران حماية الأجهزة.
بعد عدم وجود خادم واحد في شبكة محلية ظاهرية معينة في الشبكة القديمة ، قمنا بتبديل التوجيه. في السابق ، كان يتم تنفيذه على اللب القديم ، الذي تم بناؤه باستخدام تقنية Collapsed Backbone ، وفي مصنع الخادم الجديد ، استخدمنا تقنية Anycast Gateway.
تحويل التوجيه
بعد تبديل التوجيه لشبكة محلية ظاهرية محددة ، تم فصله عن مجال الجسر واستبعاده من الخط الرئيسي بين الشبكات القديمة والجديدة ، أي تم نقله بالكامل إلى مصنع الخادم الجديد. وبالتالي ، قمنا بترحيل حوالي 20 شبكة محلية ظاهرية (VLAN).
لذلك أنشأنا شبكة جديدة وخادمًا جديدًا ومزرعة افتراضية جديدة. في إحدى المقالات التالية ، سنتحدث عما فعلناه مع Wi-Fi.
مكسيم كلوشكوف
مستشار أول ، تدقيق الشبكة ومجموعة المشاريع المعقدة
مركز حلول الشبكات
"Jet Infosystems"
المصدر: www.habr.com