ProHoster > Blog > İdarə > 3. Extreme açarlarında müəssisə şəbəkəsinin dizaynı

3. Extreme açarlarında müəssisə şəbəkəsinin dizaynı

3. Extreme açarlarında müəssisə şəbəkəsinin dizaynı

Günortanız xeyir dostlar! Bu gün həsr olunmuş dövrü davam etdirəcəyəm Ekstremal açarlar Müəssisə şəbəkəsinin dizaynına dair məqalə.

Bu yazıda mümkün qədər qısa olmağa çalışacağam:

  • Etnterprise şəbəkə dizaynına modul yanaşmanı təsvir edin
  • müəssisə şəbəkəsinin ən vacib modullarından birinin - əsas şəbəkənin (ip-campus) tikinti növlərini nəzərdən keçirin.
  • kritik şəbəkə qovşaqları üçün artıqlıq seçimlərinin üstünlüklərini və çatışmazlıqlarını təsvir edin
  • mücərrəd misalda, kiçik bir Müəssisə şəbəkəsini dizayn/təkmilləşdirin
  • dizayn şəbəkəsini həyata keçirmək üçün Ekstremal açarları seçin
  • liflər və IP ünvanları ilə işləmək

Bu məqalə uzun illər telekommunikasiya operatorlarında və ya coğrafi olaraq paylanmış şəbəkələrə malik iri korporasiyalarda işləmiş təcrübəli mühəndislərdən daha çox “şəbəkəçi” səyahətinə yenicə başlayan şəbəkə mühəndisləri və müəssisə şəbəkəsi administratorları üçün daha çox maraqlı olacaq.

Hər halda pişik altında maraqlananlardan xahiş edirəm.

Modul şəbəkə dizayn yanaşması

Məqaləmə şəbəkə dizaynına kifayət qədər populyar modul yanaşma ilə başlayacağam ki, bu da şəbəkə parçalarından 1 bütöv şəkilə bir tapmaca yığmağa imkan verir.

Birincisi, bir az abstraksiya - mən çox vaxt bu yanaşmanı geoxəritələrin böyüdülməsi kimi təsəvvür edirəm, o zaman birinci yaxınlaşmada ölkə, ikincidə regionlar, üçüncüdə şəhərlər və s.

Nümunə olaraq bu nümunəyə nəzər salın:

  • 1-ci təxmin - bütün müəssisə şəbəkəsi müxtəlif səviyyələr toplusudur:
    • onurğa sütunu və ya kampus
    • sərhəd səviyyəsi
    • telekommunikasiya operatoru səviyyəsi
    • uzaq ərazilər

  • 2-ci yaxınlaşma - bu səviyyələrin hər biri ayrı-ayrı modullarda təfərrüatlıdır
    • əsas şəbəkə və ya kampus aşağıdakılardan ibarətdir:
      • müəssisə şəbəkəsini və onun təbəqələrini təsvir edən 3 və ya 2 qatlı modul - giriş, paylama və/və ya əsas
      • məlumat mərkəzini təsvir edən modul - məlumat mərkəzi (əsasən infrastrukturun server hissəsi)

    • sərhəd səviyyəsi, öz növbəsində, aşağıdakılardan ibarətdir:
      • internet bağlantısı modulu
      • Müəssisənin coğrafi olaraq paylanmış obyektlərini birləşdirməyə cavabdeh olan WAN və MAN modulu
      • VPN tunellərinin qurulması və Uzaqdan Giriş üçün modul
      • tez-tez bir çox kiçik müəssisələrdə bu modulların bir neçəsi və ya hətta hamısı bir yerdə birləşdirilir

    • provayder səviyyəsi:
      • bu səviyyəyə "xarici dünyaya" qoşulmalar - qaranlıq optik liflər (operatorlardan liflərin icarəsi), rabitə kanalları (Ethernet, G.703 və s.), İnternetə çıxış daxildir.

    • uzaq səviyyə:
      • əksər hallarda bunlar şəhər, rayon, ölkə və hətta qitələrdə paylanmış müəssisənin filiallarıdır.
      • bu zonaya həmçinin əsasın işini təkrarlayan ehtiyat məlumat mərkəzi daxil ola bilər
      • və əlbəttə ki, son vaxtlar populyarlıq qazanan - teleworkers (uzaqdan iş)

  • 3-cü yaxınlaşma - modulların hər biri daha kiçik modullara və ya səviyyələrə bölünür. Məsələn, kampus şəbəkəsində:
    • 3 qatlı şəbəkə aşağıdakılara bölünür:
      • giriş səviyyəsi
      • paylanma səviyyəsi
      • nüvə səviyyəsi

    • Daha mürəkkəb hallarda məlumat mərkəzi aşağıdakılara bölünə bilər:
      • 2 və ya 3 qatlı şəbəkə hissəsi
      • server hissəsi

    Yuxarıda göstərilənlərin hamısını aşağıdakı sadələşdirilmiş şəkildə göstərməyə çalışacağam:

    3. Extreme açarlarında müəssisə şəbəkəsinin dizaynı

    Yuxarıdakı şəkildən gördüyünüz kimi, modul yanaşma ümumi mənzərəni gələcəkdə artıq işləyə biləcəyiniz tərkib elementlərə ayırmağa və strukturlaşdırmağa kömək edir.

    Bu yazıda mən Campus Enterprise səviyyəsinə diqqət yetirəcəyəm və onu daha ətraflı təsvir edəcəyəm.

    IP-CAMPUS şəbəkələrinin növləri

    Mən provayderdə işləyərkən və xüsusən də sonralar - inteqrator işində müştəri şəbəkələrinin müxtəlif “yetkinlikləri” ilə rastlaşdım. Mən yetkinlik terminini boş yerə istifadə etmirəm, çünki çox vaxt şəbəkə strukturunun şirkətin özünün böyüməsi ilə böyüdüyü hallar olur və bu, prinsipcə, təbiidir.

    Eyni binanın daxilində yerləşən kiçik bir şirkətdə müəssisə şəbəkəsi yalnız firewall rolunu oynayan 1 sərhəd marşrutlaşdırıcısından, bir neçə keçid açarından və bir neçə serverdən ibarət ola bilər.

    Mən belə bir şəbəkəni özüm üçün "bir səviyyəli" şəbəkə adlandırıram - orada şəbəkə nüvəsinin heç bir açıq səviyyəsi yoxdur, paylama səviyyəsi sərhəd marşrutlaşdırıcısına (firewall, VPN və bəlkə də proxy funksiyaları ilə) və girişə keçir. açarlar həm işçi kompüterlərinə, həm də serverlərə xidmət edir.

    3. Extreme açarlarında müəssisə şəbəkəsinin dizaynı

    Müəssisə artımı - işçilərin, xidmətlərin və serverlərin sayının artması halında, çox vaxt:

    • şəbəkə və giriş portlarında keçidlərin sayını artırmaq
    • server tutumunu artırmaq
    • yayım domenləri ilə mübarizə - seqmentlər arasında şəbəkə dilimləmə və marşrutlaşdırma həyata keçirin
    • işçilərin işləməməsinə səbəb olan şəbəkə uğursuzluqları ilə məşğul olmaq, çünki bu, idarəetmə üçün əlavə maliyyə xərclərinə səbəb olur (işçi boşdur, əmək haqqı verilir, lakin iş görülmür)
    • uğursuzluqlarla mübarizə prosesində kritik şəbəkə qovşaqlarının - marşrutlaşdırıcıların, açarların, serverlərin və xidmətlərin artıqlığı barədə düşünün.
    • təhlükəsizlik siyasətini sərtləşdirin, çünki kommersiya riskləri yarana bilər və yenə də şəbəkənin daha stabil işləməsi üçün

    Bütün bunlar ona gətirib çıxarır ki, mühəndis (şəbəkə administratoru) gec-tez şəbəkənin düzgün qurulması haqqında fikirləşir və 2 səviyyəli modelə gəlir.

    Bu model artıq 2 səviyyəni özündən aydın şəkildə fərqləndirir - giriş səviyyəsi və paylama səviyyəsi, bu da əsas səviyyədir (dağılmış nüvə).

    Birləşdirilmiş paylama və nüvə səviyyəsi aşağıdakı funksiyaları yerinə yetirir:

    • keçid açarlarından keçidləri birləşdirir
    • şəbəkə seqmentlərinin marşrutlaşdırılmasını təqdim edir - o qədər çox istifadəçi və qurğu var ki, onlar bir /24 şəbəkəsinə sığmırlar və əgər onlar uyğun gəlsə, yayım fırtınaları daimi uğursuzluqlara səbəb olur (xüsusilə istifadəçilər döngələr yaratmaqla onlara kömək edirsə)
    • qonşu keçid seqmentləri arasında əlaqə təmin edir (daha sürətli bağlantılar üzərində)
    • istifadəçilər və onların cihazları və server ferması arasında əlaqəni təmin edir, bu da bu vaxta qədər ayrıca şəbəkə seqmenti - məlumat mərkəzi kimi fərqlənməyə başlayır.
    • giriş açarları ilə birlikdə bu və ya digər dərəcədə bu zamana qədər müəssisədə görünməyə başlayan təhlükəsizlik siyasətini təmin etməyə başlayır. Şirkət böyüyür, kommersiya riskləri də artır (burada mən təkcə kommersiya sirləri, giriş siyasətlərinin differensiallaşdırılması və s. haqqında müddəaları deyil, həm də elementar şəbəkə və işçilərin boş vaxtlarını nəzərdə tuturam).

    Beləliklə, şəbəkə gec-tez 2 səviyyəli bir modelə çevrilir:

    3. Extreme açarlarında müəssisə şəbəkəsinin dizaynı

    Bu modeldə həm istifadəçilərdən və şəbəkə qurğularından (printerlər, giriş nöqtələri, VoIP cihazları, İP telefonlar, İP kameralar və s.) bağlantıları birləşdirən giriş səviyyəsi açarları, həm də paylama səviyyəli açarlar və nüvələr üçün xüsusi tələblər yaranır.

    Giriş açarları şəbəkə performansı, təhlükəsizlik və çeviklik tələblərinə cavab vermək üçün artıq daha ağıllı və bacarıqlı olmalıdır və:

    • müxtəlif növ giriş portları və magistral portları var - tercihen trafik artımı və portların sayı üçün marja imkanı ilə
    • kifayət qədər keçid qabiliyyətinə və ötürmə qabiliyyətinə malikdir
    • mövcud təhlükəsizlik siyasətini (və ideal olaraq onun gələcək tələblərinin artımını) təmin edəcək zəruri təhlükəsizlik funksionallığına malik olmaq
    • enerji təchizatı (PoE, PoE +) ilə onları uzaqdan yenidən işə salmaq imkanı ilə əldə etmək çətin olan şəbəkə cihazlarını gücləndirə bilmək
    • lazım olan yerlərdə istifadə etmək üçün öz enerji təchizatı ehtiyatını çıxara bilsin
    • (mümkünsə) funksional inkişaf üçün əlavə potensiala sahib olmaq - bir giriş keçidinin zamanla paylayıcı keçidə çevrilməsinin tez-tez nümunəsi

    Dağıtım açarları da öz növbəsində aşağıdakı tələblərə malikdir:

    • həm giriş açarlarına doğru magistral aşağı axın portları baxımından, həm də qonşu paylayıcı açarların həmyaşıd interfeyslərinə (və nüvəyə doğru mümkün yuxarı bağlantı interfeysləri)
    • L2 və L3 funksionallığı baxımından
    • təhlükəsizlik funksionallığı baxımından
    • nasazlıqlara dözümlülüyün təmin edilməsi baxımından (ehtiyatsızlıq, qruplaşma və enerji təchizatı ehtiyatı)
    • trafikin balanslaşdırılmasında çevikliyin təmin edilməsi baxımından
    • (mümkünsə) funksional inkişaf üçün əlavə potensiala malik olmaq (birləşdirmə qurğusunun zamanla nüvəyə çevrilməsi)
    • bəzi hallarda paylayıcı açarlarda PoE, PoE+ portlarından istifadə etmək məqsədəuyğun ola bilər.

    Bundan əlavə - daha çox: rəhbərlik müəssisənin aktiv böyüməsi və inkişafı siyasətini həyata keçirərsə, şəbəkə gələcəkdə də inkişaf etməyə davam edəcəkdir - müəssisə qonşu binaları icarəyə götürməyə, öz binalarını tikməyə və ya daha kiçik rəqibləri qəbul etməyə başlaya bilər və bununla da işçilər üçün iş yerlərinin sayı. Eyni zamanda, şəbəkə də böyüyür, bu da tələb edir:

    • işçilərin işlə təmin edilməsi - giriş portları olan yeni giriş açarları lazımdır
    • giriş keçidlərindən keçidlərin birləşdirilməsi üçün yeni paylayıcı açarların mövcudluğu
    • yeni kommunikasiya xətlərinin çəkilməsi, o cümlədən mövcud kommunikasiya xətlərinin modernləşdirilməsi

    Nəticədə, aşağıdakı səbəblərə görə trafikdə artım var:

    • giriş portlarının və müvafiq olaraq şəbəkə istifadəçilərinin artması ilə əlaqədardır
    • müəssisə şəbəkəsini özlərinə nəqliyyat kimi seçən bitişik alt sistemlərin trafikinin artması ilə əlaqədar - telefoniya, təhlükəsizlik, mühəndislik sistemləri və s.
    • əlavə xidmətlərin tətbiqi ilə əlaqədar - işçilərin artması ilə müəyyən proqram təminatı tələb edən yeni şöbələr meydana çıxır
    • İnfrastruktur və tətbiq tələblərinə cavab vermək üçün məlumat mərkəzinin hesablama gücünün artırılması
    • şəbəkə və məlumat üçün təhlükəsizlik tələbləri artır - məşhur CIA triadası (zarafat), lakin ciddi olaraq, CIA - Məxfilik, Dürüstlük və Əlçatanlıq:
      • Bununla əlaqədar olaraq, şəbəkənin kritik səviyyələri - paylama və məlumat mərkəzi üçün xətaya dözümlülük və artıqlıq üçün əlavə tələblər görünür.
      • yenə də yeni təhlükəsizlik sistemlərinin tətbiqi ilə əlaqədar trafikdə artım var - məsələn, RKVI və s.

    Gec-tez trafikin, xidmətlərin və istifadəçilərin sayının artması əlavə şəbəkə qatının - yüksək sürətli rabitə bağlantılarından istifadə edərək yüksək sürətli paket kommutasiyasını/marşrutlaşdırmasını yerinə yetirəcək nüvənin tətbiqi zərurətinə səbəb olacaq.

    Bu zaman müəssisə 3 qatlı şəbəkə modelinə keçə bilər:

    3. Extreme açarlarında müəssisə şəbəkəsinin dizaynı

    Yuxarıdakı şəkildə gördüyünüz kimi, belə bir şəbəkədə paylayıcı açarlardan yüksək sürətli bağlantıları birləşdirən əsas səviyyə var. Beləliklə, əsas açarlara olan tələblər də aşağıdakılar üçün irəli sürülür:

    • interfeys bant genişliyi - 1GE, 2.5GE, 10GE, 40GE, 100GE
    • keçid performansı (keçid tutumu və yönləndirmə performansı)
    • interfeys növləri - 1000BASE-T, SFP, SFP+, QSFP, QSFP+
    • sayı və interfeys dəsti
    • ehtiyat seçimləri (yığınlaşma, qruplaşma, idarəetmə lövhələrinin artıqlığı (modul açarlar üçün uyğundur), ehtiyat enerji təchizatı və s.)
    • funksionallıq

    Şəbəkənin bu səviyyəsində texniki modifikasiyası mütləq lazımdır:

    • əsas qovşaqların və bağlantıların rezervasiyası (çox, çox, çox arzu olunur)
    • paylama səviyyəli əlaqələrin qovşaqlarının və əlaqələrinin artıqlığı (kritiklikdən asılı olaraq)
    • giriş açarları və paylama təbəqəsi arasında əlaqə əlaqələrinin artıqlığı (lazım olduqda)
    • dinamik marşrutlaşdırma protokollarının tətbiqi
    • həm əsas, həm də paylama və giriş səviyyələrində trafik balansı (lazım olduqda)
    • əlavə xidmətlərin həyata keçirilməsi - həm nəqliyyat, həm də təhlükəsizlik xidmətləri (lazım olduqda)

    və hüquqi, müəssisənin şəbəkə təhlükəsizliyi siyasətini müəyyən edən, ümumi təhlükəsizlik siyasətini aşağıdakılar baxımından tamamlayır:

    • giriş və paylayıcı açarlarda müəyyən təhlükəsizlik funksiyalarının həyata keçirilməsi və konfiqurasiyası üçün tələblər
    • şəbəkə avadanlıqlarına giriş, monitorinq və nəzarət tələbləri (uzaqdan giriş protokolları, idarəetmə üçün icazə verilən şəbəkə seqmentləri, giriş parametrləri və s.)
    • ehtiyat tələbləri
    • minimum tələb olunan ehtiyat hissələri dəstinin formalaşdırılması üçün tələblər

    Bu bölmədə mən şəbəkənin və müəssisənin bir neçə açar və bir neçə onlarla işçidən bir neçə onlarla (və ya bəlkə də yüzlərlə açar) və bir neçə yüzlərlə (və ya hətta minlərlə) yalnız birbaşa işləyən işçilərə qədər təkamülünü qısaca təsvir etdim. müəssisə şəbəkəsində (həmçinin istehsal şöbələri və mühəndis şəbəkələri də var).
    Aydındır ki, əslində müəssisənin belə “gözəl” və sürətli inkişafı baş vermir.
    Müəssisə və şəbəkənin ilkin 1 səviyyəsindən təsvir etdiyim 3-cü səviyyəyə qədər böyüməsi üçün adətən illər lazımdır.

    Bütün bu ümumi həqiqətləri niyə yazıram? Sonra, mən burada ROI kimi bir termini qeyd etmək istəyirəm - investisiyanın qaytarılması (investisiyaların qaytarılması / qaytarılması) və bunun birbaşa şəbəkə avadanlıqlarının seçiminə aid olan tərəfini nəzərdən keçirin.

    Avadanlıq seçərkən, şəbəkə mühəndisləri və onların menecerləri çox vaxt 2 amil əsasında avadanlıq seçirlər - avadanlığın cari qiyməti və hazırda müəyyən bir vəzifə və ya tapşırıqları həll etmək üçün lazım olan minimum texniki funksionallıq (daha sonra ehtiyat üçün avadanlıq almaq haqqında danışacağam) .

    Eyni zamanda, avadanlıqların daha da "böyüməsi" imkanları nadir hallarda nəzərə alınır. Avadanlıq funksionallıq və ya məhsuldarlıq baxımından tükəndikdə bir vəziyyət yaranarsa, gələcəkdə daha güclü və işlək olanı alınır və köhnəsi anbara və ya şəbəkənin bir yerində "dayanmaq üçün" icarəyə verilir. prinsip (bu, yeri gəlmişkən, böyük bir zooparkın yaranmasına və onunla işləyən bir dəstə informasiya sistemlərinin alınmasına səbəb olur).

    Beləliklə, lisenziyaların bir hissəsini almaq əvəzinə əlavə. yeni, daha yüksək məhsuldar avadanlıqdan daha ucuz olan funksionallıq və performans üçün yeni bir aparat almalı və aşağıdakı səbəblərə görə artıq ödəniş etməlisiniz:

    • şəbəkə tez-tez yavaş böyüyür və funksionallığın genişlənməsi və ya şəbəkə keçidinizin performansı uzun müddət kifayət edə bilər.
    • Heç kimə sirr deyil ki, xarici satıcıların avadanlıqları xarici valyutaya (dollar və ya avro) bağlanır. Düzünü desəm, dolların və ya avronun artımı (yaxud rublun vaxtaşırı mini devalvasiyası, burada necə baxmaq olar) ona gətirib çıxarır ki, 10 il əvvəlki dollarla indiki dollar nöqteyi-nəzərdən tamamilə fərqli şeylərdir. rublun görünüşü

    Yuxarıda göstərilənlərin hamısını yekunlaşdıraraq qeyd etmək istəyirəm ki, indi daha çox funksionallığa malik şəbəkə avadanlığı almaq gələcəkdə qənaətə səbəb ola bilər.
    Burada mən şəbəkəmə və infrastrukturuma sərmayə yatırmaq kontekstində avadanlıqların alınması xərclərini nəzərdən keçirirəm.

    Beləliklə, bir çox satıcılar (yalnız Extreme deyil) avadanlıqda daha sonra fərdi lisenziyaların alınması ilə aktivləşdirilən interfeyslərin işini artırmaq üçün bir sıra funksionallıq və imkanlar qoyaraq, böyüdükcə ödə prinsipinə riayət edirlər. Onlar həmçinin geniş çeşidli interfeys və prosessor kartları və həm onların sayını, həm də performansını ardıcıl olaraq artırmaq imkanı olan modul açarları təklif edirlər.

    Kritik qovşaqların artıqlığı

    Məqalənin bu hissəsində mən nüvə, məlumat mərkəzi və ya paylayıcı açarlar kimi mühüm şəbəkə qovşaqlarının artıqlığının əsas prinsiplərini qısaca təsvir etmək istərdim. Və mən artıqlığın ümumi növlərinə - yığma və qruplaşmaya baxmaqla başlamaq istəyirəm.

    Metodların hər birinin öz müsbət və mənfi cəhətləri var, mən bu barədə danışmaq istərdim.

    Aşağıda 2 üsulu müqayisə edən ümumi xülasə cədvəli verilmişdir:

    3. Extreme açarlarında müəssisə şəbəkəsinin dizaynı

    • idarə - cədvəldən göründüyü kimi, bu baxımdan yığma üstünlük təşkil edir, çünki idarəetmə nöqteyi-nəzərindən bir neçə açarın yığını çox sayda portu olan bir açarla təmsil olunur. Məsələn, klasterləşdirmə zamanı 8 müxtəlif açarı idarə etmək əvəzinə, yığma zamanı yalnız birini idarə edə bilərsiniz.
    • məsafə - hazırda, dəqiq desək, klasterləşmənin üstünlüyü o qədər də açıq deyil, çünki yığma portları və ya ikili təyinatlı portlar vasitəsilə açarların yığılması texnologiyaları mövcuddur (məsələn, Extreme üçün SummitStack-V, Cisco üçün VSS və s.), bu da ötürücülərin növlərindən asılıdır. Burada üstünlük klasterləşdirməyə verilir ki, yığma zamanı çox vaxt məhdud uzunluqda - 0.5, 1, 1.5, 3 və ya 5 metr olan xüsusi kabellərlə birləşdirilən adi yığma portlarından istifadə etməli olduğunuz variantlar var.
    • Proqram təminatı yenilənməsi - burada biz görürük ki, klasterləşmənin stacking üzərində üstünlüyü var və məsələ belədir - yığma zamanı aparat proqram təminatı versiyasını yeniləyərkən siz master keçiddə proqram təminatını yeniləyirsiniz ki, bu da sonradan gözləmə rejiminə yeni proqram təminatının yerləşdirilməsi rolunu öz üzərinə götürür. - yığının üzv açarları. Bir tərəfdən, bu, işinizi asanlaşdırır, lakin proqram təminatının yenilənməsi tez-tez avadanlığın yenidən qurulmasını tələb edir, bu da bütün yığının yenidən işə salınmasına və beləliklə, onun işində və ona bağlı bütün xidmətlərin zamanla dayandırılmasına səbəb olur = yenidən başlama vaxtı. Bu, adətən əsas və məlumat mərkəzi üçün çox vacibdir. Klasterləşdirmə ilə - bir-birindən asılı olmayan 2 cihazınız var ki, onlar vasitəsilə proqram təminatını bir-birinin ardınca yeniləyə bilərsiniz. Bu halda xidmətlərdə fasilələrin qarşısını almaq olar.
    • parametrlərin konfiqurasiyası - burada, əlbəttə ki, yığmanın üstünlüyü var, çünki idarəetmə vəziyyətində yalnız bir cihaz və onun konfiqurasiya faylı üçün parametrləri redaktə etməlisiniz. Klasterləşmə üçün konfiqurasiya fayllarının sayı klaster qovşaqlarının sayına bərabər olacaqdır.
    • səhvlərə dözümlülük - burada hər iki texnologiya təxminən bərabərdir, lakin klasterləşmə hələ də bir az üstünlüyə malikdir. Burada səbəb aşağıdakılardan ibarətdir - əgər biz stacki işləyən proseslər və protokollar baxımından nəzərdən keçirsək, aşağıdakıları görəcəyik:
      • bütün əsas proseslərin və protokolların işlədiyi master keçid var (məsələn, dinamik marşrutlaşdırma protokolu - OSPF)
      • yığında işləmək və onlardan keçən trafikə xidmət etmək üçün lazım olan əsas prosesləri idarə edən digər kölə keçid açarları var.
      • əsas açar uğursuz olduqda, növbəti ən yüksək prioritetli kölə açarı master nasazlığını aşkar edir
      • özünü master kimi işə salır və master üzərində işləyən bütün proseslərə başlayır (o cümlədən müşahidə etdiyimiz OSPF protokolu)
      • müəyyən bir proses başlama vaxtından sonra (adətən olduqca qısa), OSPF protokolunun özü işləməyə başlayır
      • beləliklə, klasterləşmə zamanı qovşaqlardan biri uğursuz olarsa, OSPF yığma zamanı ilə müqayisədə bir az daha sürətli işləyəcək (stekin kölə keçidində proseslərin və protokolların işə salınması və işə salınması üçün tələb olunan vaxt üçün). Müasir yığma protokolları və açarlarının çox tez işlədiyini söyləməli olsam da, yığını dəyişdirərkən tez-tez trafik fasiləsinin müddəti bir saniyədən az çəkir, lakin yenə də bu parametrdə nominal klasterləşmə qalib gəlir.

    • mürəkkəbliyi - Cədvəldən göründüyü kimi, yığma mürəkkəblik baxımından qalib gəlir. Bu, "nəzarət" və "konfiqurasiya parametrləri" maddələrinin birbaşa nəticəsidir. Tək bir node qurmaq və idarə etmək üçün daha az vaxt tələb olunur. Həmçinin, klasterləşdirmə zamanı çox vaxt əlavə marşrutlaşdırma protokollarını və ya şlüz ehtiyatı protokollarını - VRRP, HSRP və başqalarını konfiqurasiya etmək lazımdır.
    • nodun dəyişdirilməsi - yığmağın açıq üstünlüyü var. Çox tez-tez bir yığındakı bir keçid dəyişdirmək üçün minimum zəruri avadanlıq parametrlərini yerinə yetirmək lazımdır, məsələn:
      • yeni keçidin proqram təminatını yığın proqramının versiyasına yeniləyin (və bu, SPTA-da açarları aldıqdan dərhal sonra edilə bilər)
      • bir neçə əsas yığma əmrləri qurun (və bəzi açar növləri üçün hətta bu tələb olunmaya bilər)
      • uğursuz yığın açarını çıxarın və yenisini birləşdirin
      • enerji təchizatı və yamaq kabellərini birləşdirin

    • elastiklik - Mən özüm üçün əsas parametrlərdən biri hesab edirəm. Ümumiyyətlə, elastiklik mürəkkəb bir xüsusiyyətdir, yükün təsiri altında bir şeyin dəyişməsi və itdikdən sonra ilkin formasına qayıtması xassəsini bildirir. Qruplaşma üçün kifayət qədər qəribədir, o, yığmanın xeyrinə xüsusiyyətlər baxımından 4:3 hesabını nəzərə alsaq belə daha yüksək olacaq. Hər şey insan amilinə aiddir. Bəli, bəli, təəccüblənməyin - vahid idarəetmə, parametrlərin konfiqurasiyası və yüngül mürəkkəblik kimi yığma parametrlərinin gücündə insan faktoru işə düşəndə ​​yığmanın zəifliyi var.

    İT sahəsindəki işimdə bir çox vəziyyətlə qarşılaşmışam (və açığı, hətta özüm də eyni səhvi etmişəm, xüsusən də əvvəlində). Bir mühəndisin stek konfiqurasiya edərkən əmr daxil edərkən və ya avadanlıqdakı bir xüsusiyyəti aktivləşdirərkən/deaktiv edərkən səhv etməsi, nəticədə bütün stek sıradan çıxmasına və əl ilə yenidən başlatmağa ehtiyac duymasına səbəb olurdu. Putty tətbiqinin pərəstişkarlarını qeyd etmək lazımdır. Windows (oh, bu sağ klikləmə ilə kopyalama).

    Əslində, hər iki texnologiya kifayət qədər yaxşıdır (xüsusilə artıqlığın olmaması ilə müqayisədə) və hər birinin öz güclü və zəif tərəfləri var, lakin əsas səviyyə və yüksək yüklü məlumat mərkəzi üçün hələ də klasterləşmədən istifadə etməyi üstün tuturam.

    Baxmayaraq ki, bu sadəcə mənim fikrimdir. Uzun illər şəbəkə dəstəyi ilə peşəkar şəkildə məşğul olan bir çox peşəkar mühəndislər hər iki texnologiyadan bərabər şəkildə istifadə edə bilərlər - hamısı təcrübə və ixtisasdan asılıdır.

    Yığma və lazımsız şəbəkə node texnologiyalarına əlavə olaraq, şəbəkə qovşağının özünün lazımsız hissələri və qovşaqlar arasında əlaqə üçün ümumi prinsiplər də mövcuddur:

    Host daxilində artıqlıq dedikdə, mən bunu nəzərdə tuturam:

    • lazımsız enerji təchizatı - bir-birini təkrarlayan (və üstünlük verilən enerji təchizatının 2-ci kateqoriyasına qoşulan) 1 enerji təchizatının quraşdırılması həyatınızı xeyli asanlaşdıra bilər.
    • idarəetmə lövhələrinin artıqlığı - daha çox bir neçə lazımsız idarəetmə lövhəsinin qoşulmasını təmin edən modul açarlara aiddir.
    • interfeys kartlarının artıqlığı - əksər hallarda modul açarlara da aiddir.

    Əlaqələrin/bağlantıların rezervasiyası, əsasən, bir-birini təkrarlayan kabel marşrutlarının (və ya açıq yerlərdə radio keçidlərinin) olması kimi başa düşülür:

    • bina daxilində müxtəlif kabel şaftlarında və kanallarda paylanması
    • ərazi üzrə 2 və ya daha çox bina, şəhər, rayon və ya ölkə səviyyəsində coğrafi paylanma (həcmli halqalar adlanır)

    Eyni zamanda, lazımsız rabitə əlaqələri qurarkən, avadanlıq üçün bir sıra tövsiyələrə əməl etmək lazımdır:

    • modul açarın interfeys kartlarının təkrarlanması və ya stəkin olması halında bölmələr arasında əlaqələri - modul açarlar vəziyyətində interfeys kartları və yığın vəziyyətində açarları paylamaq lazımdır.
    • linkləri qruplara birləşdirmək və onlar arasında yük balansını artırmaq üçün linklərin yığılması protokollarından (LACP, MLT, PAgP və s.) istifadə etmək məqsədəuyğundur.
    • ECMP (Equal Cost-Multi-Path) protokollarını dəstəkləyən marşrutlaşdırıcılardan istifadə edin - eyni marşrut üzrə bir neçə paketi çatdırarkən, bu paketlər bir ən yaxşı yoldan (və interfeysdən) keçmədikdə, lakin bir neçə ən yaxşı yolda paylandıqda ( və bir neçə interfeys), marşrutlaşdırma protokolunun ölçülərinin bərabərliyi ilə müəyyən edilir və bu da öz növbəsində son marşrutlaşdırma cədvəlinin doldurulmasına cavabdehdir.

    İndi, söz verdiyim kimi, bir neçə il əvvəl baş vermiş kritik qovşaqları qoruyarkən praktikamdan real bir hadisəni və qənaət prinsipini təsvir edəcəyəm:

    • Bir şirkət, mən onu X adlandıracağam, standart 3 qatlı şəbəkə modelinə sahib idi:
      • çoxlu nüvələrlə
      • bir neçə onlarla birləşmə
      • bir neçə min giriş açarı
      • bir neçə on minlərlə istifadəçi

    • Şəbəkə olduqca mürəkkəb qurulmuşdu:
      • bir dəstə dinamik marşrutlaşdırma protokolları və protokolları ilə - OSPF, MP-BGP, MPLS, PIM, IGMP, IPv6 və s.
      • bir dəstə xidmət - İnternetə çıxış, L2 və L3 VPN, VoIP, IPTV, icarəyə verilmiş xətlər və s.

    • lakin şəbəkədə bir darboğaz var idi - BGP sərhədinin funksiyalarını birləşdirən və bəzi istifadəçi xidmətlərini dayandıran bir sərhəd marşrutlaşdırıcısı
    • bəli, təyyarə qanadı kimi başa gəlir (bir neçə milyon rubl)
    • bəli, o zaman o, ən görkəmli şəbəkə satıcısı xəttində ən yaxşı cihazlardan biri idi
    • bəli, çox etibarlı olmalı idi - əla MTBF ilə
    • bəli, onun 4x2 sxeminə uyğun yığılmış və müxtəlif UEPS və girişlərdən qoşulmuş 2 enerji təchizatı var idi.

    Lakin bütün bunlar onun şəbəkə çatışmazlığının tək nöqtəsi olması faktını dəyişmədi.

    Və bir gün, mənim və həmkarlarım üçün mükəmməl deyil, bu marşrutlaşdırıcı uzun müddət öldü (sonradan məlum oldu ki, UEPS vasitəsilə elektrik təchizatı xəttində bir növ nasazlıq var, bu da 2-nin çıxmasına səbəb oldu. enerji təchizatı eyni zamanda və at Bu halda, vahidlərdən biri cihazın ümumi məlumat avtobusuna qoşulmuş marşrutlaşdırıcının RP modulunu və interfeys kartını yandırdı).

    Ehtiyat lövhələrimiz - RP və interfeys kartı yox idi, lakin NBD sxemi üzrə tərəfdaşlardan biri ilə avadanlıq və ya onun komponentlərinin dəyişdirilməsi üçün müqavilə var idi.

    Təəssüf ki, o zaman tərəfdaşların anbarda yalnız interfeys kartı var idi, lakin RP lövhəsi yox idi, yalnız bir neçə gündən sonra (3 gündən sonra) gəldi.

    Nəticədə, şəbəkədə vahid uğursuzluq nöqtəsinin olması (hətta dəstək müqaviləsi və avadanlıqların dəyişdirilməsi ilə) aşağıdakı maliyyə xərcləri ilə nəticələndi:

    • şirkətin bu sərhədə aid edilən və ya onunla əlaqəli xidmətlərinin payı təxminən 60-70% təşkil edirdi.
    • sonra hesablandığı kimi, o vaxt gündəlik mənfəət təxminən 900 min rubl (təxminən) idi.
    • beləliklə, 3 günlük fasilə üçün nəzəri olaraq 1 milyon 620 min rubldan 1 milyon 890 min rubla qədər mənfəət itirildi.

    Əlbəttə ki, xalis itkilər daha kiçik idi, çünki istifadəçilərin əsas hissəsinin kompensasiyası pul şəklində deyil, xidmətlər şəklində qaytarıldı, lakin yenə də:

    • korporativ istifadəçilər üçün kompensasiyanın bir hissəsidir
    • müəssisənin bütün bu 3-4 günü tam qüvvədə işləyən işçiləri üçün artan xərclər - iş vaxtından artıq iş, gecə növbələri, növbələrin artırılması və s.
    • reputasiya itkiləri, bu da əhəmiyyətsiz deyil
    • və ən əsası - həm rəhbərliyin, həm işçilərin, həm də müştərilərin əsəbləri

    Nəticədə, şirkətin siyasətinə yenidən baxıldı:

    • NBD şərtlərinə uyğun olaraq dəyişdirmə müqaviləsindən imtina etdi
    • müntəzəm xidmət müqaviləsi buraxdı
    • əsas funksionallığın 1% -ni saxlamaq üçün təxminən 1.3 - 90 milyon rubl dəyərində ehtiyat marşrutlaşdırıcı satın aldı

    Gələcəkdə əlavə avadanlıqların alınması və əsasın rezervasiyası xarici keçidlərə, trafikə və onlar arasındakı istifadəçilərə yükü tarazlaşdırmağa imkan verdi və gələcək qəzalarda şirkət üçün təhlükəsizlik marjasını təmin etdi.

    Müəssisə şəbəkəsinin dizayn nümunəsi

    Məqalənin bu hissəsində bir müəssisənin magistral şəbəkəsini hesablayarkən əsas məqamları qeyd etməyə çalışacağam. Mən sizi bütün PPDIOO (Hazırla-Planlaşdırma-Dizayn-Hazırla-İşlə-Optimallaşdır) metodologiyası ilə həddən artıq yükləməyəcəyəm, yalnız onun əsas məqamlarını qeyd edəcəyəm:

    • Hazırlayın - əldə etmək istədiyiniz şəbəkənin modernləşdirilməsinin məqsədləri barədə rəhbərliyinizlə qərar verməlisiniz - nasazlığa dözümlülüyü artırmaq, yeni xidmətlər və ya texnologiyalar tətbiq etmək. Mən burada məhdudiyyətlərin tərifini - texniki və təşkilati olanları atlayacağam, çünki təşkilatın işçisi olduğunuzu və onları aradan qaldırmaq üçün böyük bir vaxtınızın olduğunu güman edirəm. Aşağıda büdcə mövzusuna qayıdacağam.
    • Planlaşdırma - burada cari şəbəkənizin tam təsvirini qurmalı olacaqsınız (əgər siz artıq bilmirsinizsə), yəni. şəbəkəni indi olduğu kimi təsvir edin:
      • avadanlıqların sayı və növü
      • portların sayı və növləri
      • mövcud kabel marşrutları və binaların daxilində və arasında keçid sxemləri
      • enerji təchizatı sxemləri
      • L2 və L3 ünvanlanması
      • giriş nöqtələrini və nəzarətçiləri göstərən Wi-Fi şəbəkələrinin xəritələrini qurun
      • server təsərrüfatınızı təsvir edin
      • bütün xidmətlərinizi və onlar arasındakı əlaqələri təsvir etmək arzuolunandır
      • Əgər siz artıq bu və ya digər formada şəbəkə təhlükəsizliyi və şəbəkəyə girişə nəzarət siyasətini həyata keçirmisinizsə, dizayn edərkən bunu mütləq nəzərə alın.
      • Dərhal qeyd edəcəyəm ki, ikinci addım, əslində, kabel infrastrukturu və enerji təchizatı sxemlərindən başlayaraq xidmətlərə (tətbiqlər və onların portlarına) qədər şəbəkənin tam inventarlaşdırılmasıdır. Bu addım çox, çox vaxt aparan və hətta bəzən yorucudur. Əgər siz və ya sələfiniz sənədləri və ya hətta ibtidai monitorinq sistemini saxlamamısınızsa, bu barədə düşünməyin vaxtı gəldi. Şəbəkə zaman keçdikcə bu və ya digər sürətlə dəyişməyə meyllidir və yalnız aktual sənədlərin və ya monitorinq sisteminin saxlanması onun statusunu izləməyə və idarə olunmasını asanlaşdırmağa kömək edə bilər. Amma bu artıq əməliyyat addımına aiddir.

    • Dizayn - Əvvəlki addımda əldə etdiyiniz şəbəkəniz haqqında tam biliklərlə silahlanmış, nəhayət oturub şəbəkənizi necə təkmilləşdirəcəyinizi düşünürsünüz. Aşağıda şəbəkə hesablanmasının kiçik bir nümunəsini nümayiş etdirməyə çalışacağam.

    Özüm üçün ilkin məlumatlarla kiçik bir siyahı tərtib etdim, əsas şəbəkəni hesablayarkən və dizayn edərkən rəhbər olacağam.

    Hazırlama addımını əlimizdə olanların və nə etməyi planlaşdırdığımızın siyahısı kimi təsəvvür edin:

    • təxminən 700-800 ədəd iş yeri olan kifayət qədər böyük bir müəssisə var (burada müəssisə şəbəkəsinə çıxışa ehtiyacı olan işçiləri nəzərdə tuturam)
    • Müəssisənin ərazisində bir neçə fərdi tikili var:
    • Əsas:
      • binaların sayı - 2 ədəd
      • binadakı mərtəbələrin sayı - 7 ədəd
      • bir binada bir mərtəbəyə düşən telekommunikasiya şkaflarının sayı - 3 (cəmi 21) ədəd
      • binada işçilərin sayı =~ 250 nəfər

    • Əlavə hallar:
      • binaların sayı - 10 ədəd
      • binada / atelyedə mərtəbələrin sayı - 2 ədəd
      • binada telekommunikasiya şkaflarının sayı - 3 ədəd
      • binada işçilərin sayı =~ 20 nəfər

    • Şəbəkə nüvəsinin hazırkı səviyyəsi (yeri gəlmişkən, bu və ya digər formada və portların tərkibində dəfələrlə gördüyüm çox yayılmış bir sxem) təqdim olunur:
      • 2 L2 açarı:
        • 1Gb RJ-45 portları — 24 ədəd
        • 1Gb SFP portları - 4 ədəd
      • 1-ci L2 açarı:
        • 1Gb SFP portları - 24 ədəd
      • əsas topologiya - üzük
      • keçidlər arasında peer-to-peer əlaqələri optik liflərdən istifadə etməklə aktivləşdirilir
      • açarları kabinetləri olan kiçik server otaqlarında yerləşir
    • Cari paylanma səviyyəsi:
      • giriş açarlarından keçidlərin birləşdirilməsi baxımından şəbəkənin əsas səviyyəsi ilə birləşdirilmişdir
      • L3 ünvanlama sərhəd marşrutlaşdırıcısına və/yaxud firewall-a köçürüldü
    • Cari giriş səviyyəsi:
      • 2 x 16 Mb RJ-100 giriş portu və 45 Gigabit uplink RJ-2/SFP kombo portu olan L45 açarları
      • açarları mərtəbələrdəki şkaflarda yerləşir
      • giriş açarlarının topologiyası:
        • ortada nüvə / paylama açarı olan ulduz (hub-and-spoke - hub və spikerlər)
        • şüa / danışıq mərtəbələr üzrə açarların bir qolu - zəncirdə 3 ədəd
      • idarə olunmayan giriş açarları var
      • 9 əlavə korpusdakı açarlar media çeviricisi (optik-elektrik siqnal çeviriciləri) vasitəsilə birləşdirilir.
    • Cari kabel infrastrukturu:
      • Binalar arasında kabel sistemi:
        • 2 lif tutumlu 8 əsas bina arasında optik kabel var
        • əlavə binalardan biri (əsas açarın quraşdırıldığı yer) ilə hər biri 1 lif tutumu olan əsas binaların hər biri arasında 8 optik kabel var.
        • əlavə arasında 1 optik kabel var. 4 lifli əsas açarları quraşdırılmış şassi və şassi (onların paylanması aşağıdakı şəkildə göstərilmişdir)
        • bütün kabellərdə lif növü - tək rejim / SMF
        • 2 lifli tək rejimli SFP ötürücüləri istifadə olunur
        • kabellərin bir hissəsi ayrı otaqlardakı (kross-otaqlar/server otaqları) optik paylama qutularında (ODF), kabellərin bir hissəsi isə mərtəbəli SHTO-larda kəsilir.

      • Bina daxilində kabel sistemi:
        • server otaqları və mərtəbələrdəki ilk kabinetlər arasında qarışıq kabel quruluşu var:
        • mis kabellər Cat5e - 10 ədəd (və ya 100 cüt kabel)
        • 4 və ya 8 lif üçün fiber optik multimod/MMF kabeli - 1 ədəd.
        • fiber optik multimod/MMF döşəmə şkafları arasında 4 lifli kabel
        • Döşəmə şkafları və giriş yuvaları arasında Cat5e mis kabellər
      • cari məlumat mərkəzi:
        • bir neçə server var, məsələn 6 ədəd
        • 1-ci əsas binadakı əsas keçiddə 1Gb portları daxil etdi
        • bütün müəssisə proqramları serverlərdə yerləşdirilir
      • L2, L3 ünvanlama və marşrutlaşdırma:
        • şəbəkədə bir neçə VLAN var - hər binaya 2,3 ədəd
        • serverlər ayrıca /24 şəbəkəsinə ayrılır
        • daxili ehtiyaclar üçün, sıraya daxil olan boz sinif B şəbəkələri istifadə olunur - 172.16.0.0/16
        • L3 ünvanları kənar marşrutlaşdırıcıda və/və ya firewallda dayandırılır
        • statik marşrutlaşdırmadan istifadə etməklə
      • Əlavə informasiya:
        • telefoniya:
          • ənənəvi telefoniya köhnə tipli rəqəmsal ATS-lərdən (IP-PBX-lər deyil) istifadə etməklə binalarda və bəzi binalarda yerləşdirilmişdir.
          • müəyyən tutumlu bahalı mis kabel xətlərinin çəkilməsi və binaların içərisində telefoniya üçün ehtiyat QKS-nin qurulması xərcləri olmadan yeni binalarda telefonların quraşdırılması lazımdır.
          • zamanla bütün müəssisədə İP telefoniyanın tətbiqi, onun CRM sistemləri ilə birləşdirilməsi və bütün işçilərin ona köçürülməsi planlaşdırılır.
        • liman tutumu:
          • magistral portların və giriş portlarının cari tutumunu təhlil etmək və gələcək ehtiyaclar üçün ən azı 25-30% ehtiyat saxlamaq lazımdır.
          • giriş portlarının və magistral keçidlərin cari ötürmə qabiliyyətinin kafiliyini təhlil edin
          • bitişik sistemlərdən olan cihazlar üçün PoE/PoE+ giriş portlarını təmin edin — video nəzarət və telefoniya
        • CCTV:
          • videomüşahidə şəbəkəsi üçün nəqliyyat vasitəsi kimi müəssisə şəbəkəsindən istifadə edilməsi nəzərdə tutulur
          • CCTV kameraları üçün PoE portlarını təmin etmək lazımdır
        • simsiz sistemlər:
          • gələcəkdə işçilərin mobilliyi üçün simsiz infrastrukturun tətbiqi nəzərdə tutulur
          • giriş nöqtələri üçün PoE portlarını təmin etmək lazımdır
        • büdcə, vaxt və avadanlıq tələbləri:
          • mövcud avadanlıqlarınızdan maksimum yararlanın
          • şəbəkəni layihələndirərkən, qarşıdakı N il üçün şəbəkə ötürmə qabiliyyətinin genişləndirilməsi imkanını nəzərə alın
          • şəbəkə dizayn edərkən, müxtəlif təhlükəsizlik funksiyalarının dəstəyini nəzərə alın - burada port təhlükəsizliyindən tutmuş 802.1x vasitəsilə istifadəçilərin autentifikasiyası və avtorizasiyasına qədər funksionallıq siyahısı verilmişdir.
          • böyük əhəmiyyət kəsb edən kritik şəbəkə qovşaqlarını - əsas və məlumat mərkəzini mümkün qədər ehtiyatda saxlamaq və ikinci dərəcəli əhəmiyyət kəsb edən lazımsız qovşaqların - paylama qovşaqlarının mümkünlüyünü təmin etmək mümkündür.
          • layihənin büdcəsində bir neçə mərhələdə ardıcıl maliyyələşmə nəzərdə tutulmalıdır
          • büdcənin məbləği - burada hər bir şirkət öz maliyyə göstəricilərini rəhbər tutaraq özü üçün müəyyən edir
          • şərtlər - ən ideal halda, açıq şərtlər olmayacaq, çünki bu, şirkətin işçiləri tərəfindən həyata keçirilən daxili layihəsidir və ya onlar nisbətən rahat olacaqlar - məsələn, 1 il (və ya daha çox). Ən pis halda, 3 aydan altı aya qədər ola bilər.
        • mövcud şəbəkə problemlərini həll edin:
          • paket itkisi
          • giriş portlarında döngələrlə mübarizə aparmaq üçün STP ailə protokollarının istifadəsi ilə əlaqəli az və ya çox ağıllı giriş açarlarında DHCP ilə bağlı problemlər.
          • işçilərin hər bir VLAN-da DHCP server interfeysinin mövcudluğundan qurtulun
          • kabinetlərdə idarə olunan / idarə olunmayan açarların icazəsiz işə salınması və hər cür cihazların onlara qoşulması ilə əlaqəli keçid dövrələrinin baş verməsi
          • siyahı uzadılır...

        Planlaşdırma addımı, artıq yazdığım kimi, mövcud şəbəkənizin vəziyyətinin xüsusiyyətidir, yüksək keyfiyyətli monitorinq sisteminin mövcudluğundan və onun sənədləşmə dərəcəsindən asılıdır. Bu addımda sizə lazım olacaq:

        • heç olmasa əlavə təhlil üçün mövcud şəbəkənin eskizini çəkin
        • avadanlıqdan məlumat toplamaq:
          • magistral liman trafiki
          • port səhvləri
          • Açarlarda və marşrutlaşdırıcılarda CPU yükü və yaddaş istehlakı
          • VLAN və IP ünvanları üçün L2-L3 sxemlərini rəngləyin
        • kabel marşrutlarının diaqramlarını qaldırın:
          • lif sxemləri və optik çarpaz birləşmələrin naqil diaqramları
          • server otaqları və mərtəbələr arasında mis kabellərin paylanması sxemləri
          • mərtəbələr və ofislər arasında mis kabellərin paylanması sxemləri
          • server otaqlarında və kabinetlərdə optik çarpaz konnektorların və patç panellərin mövcudluğunu yoxlayın
        • server və döşəmə şkaflarında enerji təchizatı sxemlərini yoxlayın
        • kritik qovşaqlarda UPS və batareyaların mövcudluğunu yoxlayın
        • bütün məlumatları təhlil edin

        Hazırlıq mərhələsindəki məlumatlara əsaslanaraq təxmini məntiq diaqramı ilə gəldim:

        3. Extreme açarlarında müəssisə şəbəkəsinin dizaynı

        Bundan əlavə, modul yanaşmadan sonra müəssisənin səviyyələrini və modullarını ayırd etmək lazımdır:

        3. Extreme açarlarında müəssisə şəbəkəsinin dizaynı

        Bu məqalədəki Sərhədlərə (Kənar) toxunmayacağam, lakin Kampus modullarının hər biri üçün əsas tezisləri qısaca xatırlayıram:

        • Giriş - bu səviyyədə təmin etməlidir:
          • istifadəçinin şəbəkəyə girişi üçün tələb olunan portların sayı
          • təhlükəsizlik siyasətlərinin tətbiqi - trafikin və protokolların filtrasiyası
          • VLAN-lardan istifadə edərək yayım domeninin sıxılması və şəbəkə seqmentasiyası
          • səs trafiki üçün ayrıca VLAN-ların tətbiqi
          • QoS dəstəyi
          • PoE giriş portları üçün dəstək
          • IP multicast dəstəyi
          • paylama təbəqəsi ilə birlikdə yuxarı keçidlərin nasazlığa dözümlülüyü (arzu edilir)
        • Dağıtım - bu səviyyədə aşağıdakılar təmin edilməlidir:
          • giriş açarlarını birləşdirmək üçün lazımi sayda port
          • giriş keçidlərinin keçidlərinin yığılması və artıqlığı
          • IP marşrutlaşdırma
          • paket filtrasiyası
          • QoS dəstəyi
          • bağlantılar, avadanlıq və enerji təchizatı səviyyəsində nasazlığa dözümlülük (çox arzu olunandır)
        • Kernel - təmin etməlidir:
          • yüksək sürətli keçid və paket marşrutlaşdırma
          • paylayıcı açarları birləşdirmək üçün lazımi sayda port
          • sürətli şəbəkə konvergensiyası ilə IP marşrutlaşdırma və dinamik marşrutlaşdırma protokollarına dəstək
          • QoS dəstəyi
          • avadanlığa və idarəetmə təyyarəsinə girişi qorumaq üçün təhlükəsizlik funksionallığı
          • avadanlıq və enerji təchizatı səviyyəsində nasazlığa dözümlülük (məcburi)
        • DPC - bu modulun şəbəkə səviyyəsi təmin etməlidir:
          • yüksək sürətli rabitə əlaqələri
          • serverləri birləşdirmək üçün lazım olan portların sayı
          • həm serverlər, həm də məlumat mərkəzinin kommutatorları, həm də məlumat mərkəzinin açarları ilə şəbəkə nüvəsi arasında rabitə əlaqələrinin artıqlığı (tələb olunur)
          • avadanlıq və enerji ehtiyatı (məcburi)
          • QoS dəstəyi

        Sonra, portlarımızı və kommunikasiya bağlantılarımızı hesablamalı və tələbləri müəyyən etməliyik.
        Giriş Səviyyəsi - Port Hesablama Cədvəli

        Beləliklə, giriş limanlarının binalar üzrə paylanmasına dair məlumatlar əldə etdik. İndi giriş və şərh səviyyəsinə olan tələbləri təhlil etmək və həll yollarını göstərmək lazımdır.
        Giriş Səviyyəsi - Tələblər və Həllər

        Sonra, aşağıdakı səviyyələr üçün portları və kommunikasiya bağlantılarını hesablayırıq:

        Paylanma səviyyəsi

        Kernel səviyyəsi

        Məlumat mərkəzi səviyyəsi

        Hesablayarkən aşağıdakıları əldə etdik:

        • giriş səviyyəsi - 24 və 48 port giriş açarları tələb olunur, tercihen 1Gb giriş portları və PoE dəstəyi və geniş funksionallığı olan optik yuxarı keçid SFP portları ilə:
          • ümumilikdə 504 giriş portu verəcəklər ki, bu da prinsipcə hər bir iş yerinə 2 portdan - İP telefondan və məlumat portundan istifadə etmək qərara alınarsa, ehtiyat portlara olan tələbləri ödəyəcək.
          • tələblər üçün giriş portlarını təmin edən hər mərtəbədə PoE funksionallığı ilə bir 48 portlu keçiddən istifadə etmək mümkündür:
            • ehtiyat - əsas binalarda təxminən 102 ehtiyat liman (22%). Əlavə binalar üçün bir az daha çox - 25%.
            • CCTV
            • simsiz şəbəkə
        • paylanma səviyyəsi - ən azı 12 SFP + portunun olması, yığılma imkanı və qabaqcıl funksionallıq, həmçinin lazımsız enerji təchizatının mövcudluğu ilə 48-dən 2 porta qədər SFP port dəsti olan açarları tələb edir.
        • nüvə səviyyəsi - MC-LAG dəstəyi ilə həm yığma, həm də klasterləşdirmə dəstəyi ilə 12-dən 24-ə qədər SFP / SFP + portları arasında yüksək sürətli keçidlər tələb olunur. Qeyd etməliyəm ki, trafiki balanslaşdırmaq üçün marşrutlaşdırma alətlərindən də istifadə etmək mümkündür. L3 açarları və marşrutlaşdırıcılarının ən son nəsilləri eyni metrik ilə 4 və ya daha çox marşrut üzərində trafik balansı ilə ECMP-ni dəstəkləyir.
        • məlumat mərkəzi səviyyəsi - MC-LAG dəstəyi ilə həm yığma, həm də klasterləşdirmə dəstəyi ilə 8-dən 24-ə qədər SFP / SFP + portları tələb edir.

        Nəticədə hədəf şəbəkə diaqramı ortaya çıxdı belə

        Layihənin həyata keçirilməsi üçün ekstremal açarların seçilməsi

        Yaxşı, burada əsas şeyə - layihəmizin həyata keçirilməsi üçün açarları seçmək anına gəldik. Aşağıdakı Extreme açarları nəticədə əldə edilən hədəf dövrə üçün uyğundur:

        Səviyyə
        Model
        Limanlar
        Təsvir

        nüvə
        x620-16x-Base*

        x670-G2-48x-4q-Base*
        16 x 10GE SFP+
         
         
         
        48x10GE SFP+ və 4x40GE QSFP+
        Əsas nüvə ehtiyacları üçün:

        • yüksək sürətli bağlantılar
        • inkişaf etmiş marşrutlaşdırma və təhlükəsizlik funksionallığı
        • artıq enerji təchizatı enerji təchizatı
        • yığma və klasterləşdirmə dəstəyi

        Minimum tələblərlə, bir x620 seriyası açarı olacaq.
        Portların sayı və daha geniş funksionallıq üçün qabaqcıl tələblər halında, x670-G2 seriyalı açarları nəzərdən keçirməyə dəyər.

        Məlumat mərkəzi

        x620-16x-Baza*

        x590-24x-1q-2c*

        x670-G2-48x-4q-Base*

        16 x 10GE SFP+
         
         
         
        24x10GE SFP, 1xQSFP+, 2xQSFP28
         
         
        48x10GE SFP+ və 4x40GE QSFP+

        Məlumat mərkəzinin əsas ehtiyacları üçün:

        • yüksək sürətli bağlantılar
        • artıq enerji təchizatı enerji təchizatı
        • yığma və klasterləşdirmə dəstəyi

        Minimum tələblərlə, bir x620 seriyası açarı olacaq.
        Portların sayı və daha geniş funksionallıq üçün qabaqcıl tələblər olduqda, x670-G2 və x590-24x-1q-2c seriyalı açarları nəzərdən keçirməyə dəyər.

        paylama

        X460-G2-24x-10GE4-Base*

        X460-G2-48x-10GE4-Base*

        24x1GE SFP, 8×1000 RJ-45, 4x10GE SFP+
         
         
         
        48x1GE SFP, 4x10GE SFP+

        Əsas paylama ehtiyacları üçün:

        • tələb olunan sayda optik port
        • artıq enerji təchizatı enerji təchizatı
        • yığma və klasterləşdirmə dəstəyi
        • tələb olunan L3 funksionallığı

        X460-G2 seriyalı açarlar idealdır. 10G, CX (yığınlaşa bilən) və QSFP+ portları ilə lazımsız, genişləndirilə bilən enerji təchizatı onları 1 Gb-a qədər portları olan paylama təbəqəsi üçün ideal keçidlər edir.

        giriş

        X440-G2-24p-10GE4*

        X440-G2-24t-10GE4*

        X440-G2-48t-10GE4*

        X440-G2-48p-10GE4*

        24x1000BASE-T(4 x SFP kombi), 4x10GE SFP+ (PoE büdcəsi 380W)
         
        24x1000BASE-T(4 x SFP kombi), 4x10GE SFP+
         
         
        24x1000BASE-T(4 x SFP kombi), 4x10GE SFP+ kombi portları
         
        48x1000BASE-T (4 x SFP kombinatı), 4x10GE SFP+ kombo portları (PoE büdcəsi 740W)

        Giriş ehtiyacları üçün:

        • tələb olunan sayda giriş portları
        • PoE/PoE+ dəstəyi
        • funksionallıq və genişləndirilə bilən portlar
        • qutudan 10Gb portların yığılması üçün dəstək şəklində əlavə bonus

        Portlar, performans və funksionallıq baxımından çevikliyi şəklində bu xəttə diqqət yetirməyi tövsiyə edirəm.

        *seçilmiş açarların spesifikasiyası dövrün birinci məqaləsində tapıla bilər - Ekstremal açarlara baxış

        Bununla bağlı məqaləni bitirə bilərdim, lakin hər hansı bir mühəndisin şəbəkəsini inkişaf etdirərkən və ya təkmilləşdirərkən qarşılaşacağı əlavə 2 cəhəti qeyd etmək istərdim:

        • kabel marşrutları ilə işləmək - liflər və mis xətlər
        • IP ünvanlanması

        Liflərlə işləmək

        Yuxarıda, gəlməli olduğunuz hədəf sxemini verdim. Onun həyata keçirilməsi üçün avadanlıq üçün aşağıdakı sayda əlaqə tələb olunur:

        rabitə əlaqələrinin sayı

        Cədvəldən göründüyü kimi, şəbəkə səviyyələrinin (əsas modul, məlumat mərkəzi və 2 binada paylama) nasazlıqlara dözümlülüyünü təmin etmək üçün tələb olunan minimum lif sayı 10 ədəddir.

        Şəbəkənin səciyyələndirilməsi mərhələsində binalar arasında kabeldə cəmi 8 lif olduğunu bildik. Belə bir vəziyyətdə nə etməli?

        Bəzi həllər təqdim edəcəyəm:

        • İlk aşkar addım 1-ci bina 1 ilə bina 1-bina 2 arasındakı kabeldə sərbəst liflərdən istifadə etməkdir (cədvəldən göründüyü kimi, hər bir kabeldəki 2 lifdən yalnız 8-si istifadə olunur). Bunu etmək üçün 1-ci halda çarpaz birləşmələr arasında optik çarpaz birləşmələr qoymaq kifayətdir və lazım olduqda, optik büdcə marjası ilə SFP modullarından istifadə edin.
        • ikinci addım - CWDM texnologiyasından istifadə etmək mümkündür - bir lif daxilində daşıyıcı dalğa uzunluqlarının multipleksləşdirilməsi. Bu texnologiya DWMD-dən xeyli ucuzdur və tətbiqi olduqca asandır. Əsasən, tələblər optik liflərin və SFP / SFP + müəyyən uzunluq və büdcə ötürücülərinin keyfiyyətinə qoyulur. Əvvəlki məqalədə dediyim kimi, açarların üçüncü tərəf ötürücülərini tanımaq qabiliyyəti həyatımızı xeyli asanlaşdıra və əlavə optik kabellərin qurulması üçün kapital xərclərini azalda bilər.
        • üçüncü addım əlavə optik kabellərin çəkilməsi ilə liflərin artırılması imkanlarının nəzərdən keçirilməsidir.

        Sonra, quraşdırılmış paylayıcı açarları və əlavələri olan binalar arasında liflərin sayına baxırıq. binalar 2-10. Burada da hər şey o qədər də aydın deyil:

        • birincisi, hədəf dövrəmizi həyata keçirmək üçün kifayət qədər lif yoxdur - hər bir keçid üçün 2 lif var (xatırladığımız kimi, hər bir vəziyyət üçün 4 OB olan kabellərimiz var)
        • ikincisi, binalar arasında kifayət qədər lif olsa belə, korpusların içərisində MMF lifləri istifadə olunur ki, bu da bizə sadəcə SMF və MMF liflərini birləşdirməyə imkan verməyəcək (300-400 metrdən çox binalar arasındakı məsafədən danışıram)

        Belə hallarda aşağıdakı variantları nəzərdən keçirmək olar:

        • hər bir SMF açarını liflərlə təmin etmək:
          • məsafə imkan verirsə, açarlar arasında əlavə uzun yamaq kordlarını uzata bilərsiniz. Bir vaxtlar 30-50 m uzunluğunda yamaqlardan istifadə edirdik.
          • kabinetlər arasında nisbətən ucuz aşağı tutumlu SMF optik kabel çəkdirmək
          • ekstremal seçim kimi müxtəlif SMF-MMF çeviricilərindən istifadə edin
        • Binalar arasında liflərin istifadəsini minimuma endirmək üçün aşağıdakıları edə bilərsiniz:
          • x440-G2 giriş açarlarının yığma funksiyasından istifadə edin - döşəmədəki hər keçidə 1 SMF lifi istifadə edərkən, bu, 6 lif və port əvəzinə hər tərəfdən 3 lif və portdan istifadə etməyə imkan verəcək
          • filialdakı ilk açarı və sonuncunu birləşdirmək üçün hər biri 2 lifdən istifadə edin. Kənar giriş açarlarında bağlantıları birləşdirin və nəticədə yaranan halqada STP protokollarından istifadə edin.

        IP ünvanlanması

        Burada sxemimiz üçün ünvanlamanın təxmini hesablamasını verəcəyəm.

        Hazırda bir neçə B sinif şəbəkəmiz var - 172.16.0.0/16. IP ünvan sahəsini hesablayarkən aşağıdakı mülahizələri rəhbər tutacağam:

        • İkinci oktetin 4 biti binaları təyin edəcək - 172.16.0.0/12.
        • 3-cü oktet binadakı mərtəbə nömrəsini göstərəcək.
        • 3 oktet = 255 nöqtə-nöqtə avadanlıq keçidləri və nəzarət şəbəkəsi üçün ayrılacaq.
        • açarları idarə etmək üçün hər mərtəbə üçün bir idarəetmə VLAN.
        • hər keçid üçün bir istifadəçi VLAN (orta hesabla 24 port).
        • hər keçid üçün bir Səsli VLAN (orta hesabla 24 port).
        • hər mərtəbədə video nəzarət sistemi üçün bir VLAN.
        • mərtəbə başına Wi-Fi cihazları üçün bir vlan.

        Mən belə cədvəllərlə bitirdim:
        şəbəkə 172.16.0.0/14
        şəbəkə 172.20.0.0/14

        Yuxarıdakı cədvəldə mən şəbəkələrin bir tərəfdən binalar və mərtəbələr, digər tərəfdən isə şəbəkələr (istifadəçi, idarəetmə və xidmət) üzrə təxmini paylanmasını vermişəm.

        Əslində, boz şəbəkə 172.16.0.0/12 seçimi ən optimal deyil, çünki bu, bizi binalar üçün şəbəkələrin sayına (16-dan 31-ə qədər) məhdudlaşdırır və şəbəkəni kəsmək lazım olan uzaq ofislər də var. bloklar, bəlkə də daha optimal 10.0.0.0/8 şəbəkələrindən istifadə edən və ya 172.16.0.0/12 şəbəkələrini (məsələn, xidmət ehtiyacları və serverlər üçün) və 10.0.0.0/8 (istifadəçi şəbəkələri üçün) paylaşan seçim olacaq.

        Ümumiyyətlə, İP şəbəkələrinin bölüşdürülməsinə yanaşma da moduldur və paylama səviyyələrində, eləcə də uzaq filiallarda kənar marşrutlaşdırıcılarda alt şəbəkələrin bir ümumi şəbəkəyə cəmlənməsi qaydalarına riayət etmək arzu edilir. Bu bir neçə səbəbə görə edilir:

        • marşrutlaşdırıcılarda marşrutlaşdırma cədvəllərini minimuma endirmək üçün
        • marşrutlaşdırma protokollarının xidmət trafikini minimuma endirmək (iç içə alt şəbəkələr mövcud olmadıqda bütün növ yeniləmə mesajları)
        • L3 şəbəkələrinin idarə edilməsini və daha yaxşı oxunmasını sadələşdirmək

        İlk 2 nöqtədə qeyd etmək lazımdır ki, müasir marşrutlaşdırıcıların imkanları 15-20 il əvvəl olanlardan qat-qat yüksəkdir və RAM-da böyük marşrutlaşdırma cədvəllərini saxlamağa imkan verir və rabitə kanallarının qiymət və ötürmə qabiliyyəti nisbəti. E1 / T1 axınlarının ümumi istifadəsi vaxtlarının qiymətləri ilə müqayisədə azalmışdır (G.703).

        Nəticə

        Dostlar, bu yazıda kampus şəbəkələrinin layihələndirilməsinin əsas prinsipləri haqqında mümkün qədər qısaca danışmağa çalışdım. Bəli, material olduqca çox oldu və bu kimi mövzulara toxunmamağıma baxmayaraq:

        • müəssisə sərhədinin təşkili (və bu, açarları, sərhədləri, firewall, IPS / IDS sistemləri, DMZ, VPN və digər şeylər ilə ayrı bir hekayədir)
        • Wi-Fi şəbəkələrinin təşkili
        • VoIP şəbəkələrinin təşkili
        • məlumat mərkəzinin təşkili
        • təhlükəsizlik (və bu, həm də həcmi və tələbləri baxımından təmiz şəbəkə infrastrukturunun dizaynından aşağı olmayan və bəzən hətta onu üstələyən öz ayrıca dünyasıdır)
        • enerji mühəndisliyi
        • siyahı davam edir

        Əslində, müəssisə şəbəkəsinin layihələndirilməsi və qurulması çox vaxt və resurs tələb edən kifayət qədər əziyyətli bir işdir.

        Ancaq ümid edirəm ki, mənim məqaləm bu vəzifəyə necə yanaşmaq lazım olduğunu ilkin səviyyədə qiymətləndirməyə və anlamağa kömək edəcəkdir.

        Bu, haqqındakı son məqalə deyil Ekstremal şəbəkələrbuna görə də bizi izləyinTeleqram, Facebook, VK, TS Solution Blog)!

Mənbə: www.habr.com

DDoS mühafizəsi, VPS VDS serverləri olan saytlar üçün etibarlı hostinq alın 🔥 DDoS qorunması, VPS VDS serverləri ilə etibarlı veb sayt hostinqi alın | ProHoster