ProHoster > Blog > İdarə > Şəbəkə infrastrukturunuza necə nəzarət etmək olar. İkinci fəsil. Təmizlik və sənədləşmə

Şəbəkə infrastrukturunuza necə nəzarət etmək olar. İkinci fəsil. Təmizlik və sənədləşmə

Bu məqalə "Şəbəkə infrastrukturunuza nəzarəti necə ələ keçirməli" məqalələr silsiləsində ikincidir. Dövrdəki bütün məqalələrin məzmunu və keçidləri tapa bilərsiniz burada.

Şəbəkə infrastrukturunuza necə nəzarət etmək olar. İkinci fəsil. Təmizlik və sənədləşmə

Bu mərhələdəki məqsədimiz sənədləşmə və konfiqurasiyada nizam-intizam yaratmaqdır.
Bu prosesin nəticəsi olaraq, lazımi sənədlər toplusuna və onlara uyğun olaraq konfiqurasiya edilmiş şəbəkəyə sahib olmalısınız.

İndi biz təhlükəsizlik auditindən danışmayacağıq - üçüncü hissə buna həsr olunacaq.

Bu mərhələdəki tapşırığın mürəkkəbliyi, əlbəttə ki, şirkətdən şirkətə çox dəyişir.

İdeal vəziyyət nə vaxtdır

  • şəbəkəniz layihəyə uyğun yaradılmışdır və sizdə tam sənədlər dəsti var
  • şirkətinizdə həyata keçirilir dəyişikliklərə nəzarət və idarəetmə prosesi şəbəkə üçün
  • bu prosesə uyğun olaraq, mövcud vəziyyət haqqında tam məlumat verən sənədləriniz (bütün zəruri diaqramlar daxil olmaqla) var.

Bu vəziyyətdə, vəzifəniz olduqca sadədir. Sənədləri öyrənməli və edilən bütün dəyişiklikləri nəzərdən keçirməlisiniz.

Ən pis halda siz olacaqsınız

  • layihə olmadan, plansız, koordinasiya olmadan, kifayət qədər ixtisas səviyyəsinə malik olmayan mühəndislər tərəfindən yaradılan şəbəkə,
  • xaotik, sənədsiz dəyişikliklərlə, çoxlu "zibil" və optimal olmayan həllər ilə

Aydındır ki, vəziyyətiniz ortadadır, amma təəssüf ki, bu miqyasda daha yaxşı - yüksək ehtimalla daha pis, ən pis sona yaxınlaşacaqsınız.

Bu vəziyyətdə, zehni oxumaq qabiliyyətinə də ehtiyacınız olacaq, çünki "dizaynerlərin" nə etmək istədiklərini başa düşməyi, məntiqlərini bərpa etməyi, bitməmiş şeyi bitirməyi və "zibilləri" çıxarmağı öyrənməli olacaqsınız.
Və əlbəttə ki, onların səhvlərini düzəltməli, dizaynı dəyişdirməli (bu mərhələdə mümkün qədər az) və sxemləri dəyişdirməli və ya yenidən yaratmalısınız.

Bu məqalə heç bir şəkildə tam olduğunu iddia etmir. Burada mən yalnız ümumi prinsipləri təsvir edəcəyəm və həll edilməli olan bəzi ümumi problemlər üzərində dayanacağam.

Sənədlər toplusu

Bir nümunə ilə başlayaq.

Aşağıdakılar dizayn zamanı adətən Cisco Systems-də yaradılan sənədlərdən bəziləridir.

CR – Müştəri tələbləri, müştəri tələbləri (texniki tapşırıq).
Müştəri ilə birlikdə yaradılır və şəbəkəyə olan tələbləri müəyyən edir.

HLD – Yüksək Səviyyəli Dizayn, şəbəkə tələblərinə əsaslanan yüksək səviyyəli dizayn (CR). Sənəd qəbul edilmiş memarlıq qərarlarını (topologiya, protokollar, avadanlıq seçimi,...) izah edir və əsaslandırır. HLD-yə interfeyslər və istifadə edilən IP ünvanları kimi dizayn detalları daxil deyil. Həmçinin, xüsusi aparat konfiqurasiyası burada müzakirə edilmir. Əksinə, bu sənəd müştərinin texniki rəhbərliyinə əsas dizayn konsepsiyalarını izah etmək üçün nəzərdə tutulub.

LLD – Aşağı Səviyyəli Dizayn, yüksək səviyyəyə (HLD) əsaslanan aşağı səviyyəli dizayn.
O, layihənin həyata keçirilməsi üçün zəruri olan bütün detalları, məsələn, avadanlığın qoşulması və qurulması haqqında məlumatları ehtiva etməlidir. Bu dizaynın həyata keçirilməsi üçün tam bələdçidir. Bu sənəd hətta çox ixtisaslı kadrlar tərəfindən həyata keçirilməsi üçün kifayət qədər məlumat verməlidir.

Bir şey, məsələn, IP ünvanları, AS nömrələri, fiziki keçid sxemi (kabelləşdirmə) kimi ayrı sənədlərə "göstərilə" bilər. NIP (Şəbəkə İcra Planı).

Şəbəkənin tikintisi bu sənədlərin yaradılmasından sonra başlanır və onlara ciddi şəkildə uyğun olaraq baş verir və sonra sifarişçi tərəfindən layihəyə uyğunluğu yoxlanılır (sınaqlar).

Təbii ki, müxtəlif inteqratorlar, müxtəlif müştərilər, müxtəlif ölkələrin layihə sənədləri üçün fərqli tələbləri ola bilər. Amma mən istərdim ki, formallıqdan qaçaq və məsələyə mahiyyəti üzrə baxım. Bu mərhələ dizaynla bağlı deyil, hər şeyi qaydaya salmaqdan ibarətdir və tapşırıqlarımızı yerinə yetirmək üçün kifayət qədər sənədlər toplusuna (diaqramlar, cədvəllər, təsvirlər ...) ehtiyacımız var.

Və mənim fikrimcə, müəyyən mütləq minimum var, onsuz şəbəkəyə effektiv nəzarət etmək mümkün deyil.

Bunlar aşağıdakı sənədlərdir:

  • fiziki keçidin (kabellərin) sxemi (log)
  • əsas L2/L3 məlumatı olan şəbəkə diaqramı və ya diaqramları

Fiziki keçid diaqramı

Bəzi kiçik şirkətlərdə avadanlıqların quraşdırılması və fiziki kommutasiya (kabel çəkilməsi) ilə bağlı işlər şəbəkə mühəndislərinin üzərinə düşür.

Bu vəziyyətdə problem aşağıdakı yanaşma ilə qismən həll olunur.

  • onunla əlaqəli olanı təsvir etmək üçün interfeysdə təsvirdən istifadə edin
  • bağlı olmayan bütün şəbəkə avadanlığı portlarını inzibati şəkildə bağlayın

Bu, hətta əlaqə ilə bağlı problem olsa belə (cdp və ya lldp bu interfeysdə işləmədikdə) bu porta nəyin qoşulduğunu tez müəyyən etmək imkanı verəcək.
Siz həmçinin yeni şəbəkə avadanlıqları, serverlər və ya iş stansiyaları üçün əlaqələrin planlaşdırılması üçün zəruri olan hansı portların işğal edildiyini və hansının pulsuz olduğunu asanlıqla görə bilərsiniz.

Ancaq aydındır ki, avadanlıqlara girişi itirsəniz, o zaman bu məlumatlara girişi itirəcəksiniz. Bundan əlavə, bu yolla siz hansı avadanlıqla, hansı enerji sərfiyyatı ilə, neçə portla, hansı rafda yerləşdiyi, hansı patç panellərin və harada (hansı rəfdə) kimi vacib məlumatları qeyd edə bilməyəcəksiniz. / patch panel) birləşdirilir. Buna görə də, əlavə sənədlər (yalnız aparatdakı təsvirlər deyil) hələ də çox faydalıdır.

İdeal seçim bu cür məlumatlarla işləmək üçün nəzərdə tutulmuş proqramlardan istifadə etməkdir. Ancaq özünüzü sadə cədvəllərlə (məsələn, Excel-də) məhdudlaşdıra və ya L1 / L2 diaqramlarında zəruri hesab etdiyiniz məlumatları göstərə bilərsiniz.

Mühüm!

Şəbəkə mühəndisi, əlbəttə ki, SCS-nin incəliklərini və standartlarını, rəflərin növlərini, fasiləsiz enerji təchizatı növlərini, soyuq və isti keçidin nə olduğunu, düzgün torpaqlamanı, ... prinsipcə bacardığı kimi kifayət qədər yaxşı bilir. elementar hissəciklər fizikasını və ya C++ dilini bilmək. Ancaq başa düşməliyik ki, bütün bunlar onun bilik sahəsi deyil.

Buna görə də, avadanlığın quraşdırılması, qoşulması, texniki xidməti, eləcə də fiziki keçidlə bağlı problemləri həll etmək üçün ya xüsusi şöbələrin, ya da xüsusi insanların olması yaxşı təcrübədir. Adətən məlumat mərkəzləri üçün bu məlumat mərkəzi mühəndisləri, ofis üçün isə yardım masasıdır.

Əgər şirkətinizdə bu cür bölmələr təmin edilirsə, o zaman fiziki keçidin qeydiyyatı məsələləri sizin vəzifəniz deyil və siz özünüzü interfeysin təsviri və istifadə olunmamış portların inzibati bağlanması ilə məhdudlaşdıra bilərsiniz.

Şəbəkə diaqramları

Diaqramların çəkilməsinə universal yanaşma yoxdur.

Ən əsası, sxemlər trafikin necə keçəcəyini, şəbəkənizin hansı məntiqi və fiziki elementlərindən keçəcəyini başa düşməlidir.

Fiziki elementlər dedikdə biz nəzərdə tuturuq

  • aktiv avadanlıq
  • aktiv avadanlıqların interfeysləri/portları

Məntiq altında -

  • məntiqi qurğular (N7K VDC, Palo Alto VSYS, ...)
  • VRF
  • Wealans
  • alt interfeyslər
  • tunellər
  • zona
  • ...

Həmçinin, əgər şəbəkəniz tamamilə elementar deyilsə, o, müxtəlif seqmentlərdən ibarət olacaq.
Məsələn

  • məlumat mərkəzi
  • интернет
  • WAN
  • uzaqdan giriş
  • ofis LAN
  • DMZ
  • ...

Həm böyük mənzərəni (bütün bu seqmentlər arasında trafikin necə keçdiyini), həm də hər bir fərdi seqmentin ətraflı izahını verən bir neçə diaqrama sahib olmaq müdrik olardı.

Müasir şəbəkələrdə bir çox məntiqi səviyyələr ola bildiyi üçün, yəqin ki, müxtəlif səviyyələr üçün müxtəlif sxemlər hazırlamaq yaxşı (lakin məcburi deyil) yanaşmadır, məsələn, üst-üstə düşmə yanaşması vəziyyətində bu sxemlər ola bilər:

  • overlay
  • L1/L2 altlıq
  • L3 altlıq

Əlbəttə ki, dizaynınızın ideyasını başa düşmək mümkün olmayan ən vacib sxem marşrutlaşdırma sxemidir.

Marşrut sxemi

Ən azı bu diaqram göstərilməlidir

  • hansı marşrutlaşdırma protokollarından istifadə olunur və harada
  • marşrutlaşdırma protokolu parametrləri haqqında əsas məlumat (sahə/AS nömrəsi/router-id/…)
  • Hansı cihazlarda yenidən paylanır?
  • süzgəcdən keçirmə və marşrut toplamanın baş verdiyi yer
  • standart marşrut məlumatı

Həmçinin, L2 sxemi (OSI) tez-tez faydalıdır.

L2 sxemi (OSI)

Bu diaqram aşağıdakı məlumatları göstərə bilər:

  • hansı VLAN-lar
  • hansı portlar magistral portlardır
  • hansı portların efir-kanalda (port kanalı), virtual port kanalında cəmləşdiyi
  • hansı STP protokollarından istifadə olunur və hansı cihazlarda
  • əsas STP parametrləri: kök/kök ehtiyat nüsxəsi, STP dəyəri, port prioriteti
  • əlavə STP parametrləri: BPDU qoruyucusu/filtri, kök qoruyucusu…

Ümumi Dizayn Səhvləri

Şəbəkə qurmaq üçün pis yanaşma nümunəsi.

Sadə bir ofis LAN qurmaq üçün sadə bir nümunə götürək.

Tələbələrə telekomun tədrisi üzrə təcrübəyə malik olduğum üçün deyə bilərəm ki, ikinci semestrin ortalarına qədər demək olar ki, hər bir tələbə sadə ofis LAN qurmaq üçün lazımi biliyə (tədris etdiyim kurs çərçivəsində) malikdir.

Keçidləri bir-birinə bağlamaq, VLAN-ları, SVI interfeyslərini (L3 açarları vəziyyətində) konfiqurasiya etmək və statik marşrutlaşdırma qurmaqda bu qədər çətin olan nədir?

Hər şey işləyəcək.

Ancaq eyni zamanda əlaqədar məsələlər

  • təhlükəsizlik
  • rezervasiya
  • şəbəkə miqyası
  • performans
  • ötürmə qabiliyyəti
  • etibarlılıq
  • ...

Vaxtaşırı mən ofis LAN-ının çox sadə bir şey olduğu ifadəsini eşidirəm və mən bunu adətən şəbəkələrdən başqa heç nə ilə məşğul olmayan mühəndislərdən (və menecerlərdən) eşidirəm və bunu o qədər əminliklə deyirlər ki, LAN-ın yaradılacağına təəccüblənməyin. kifayət qədər təcrübə və biliyə malik olmayan insanlar tərəfindən və aşağıda təsvir edəcəyim təxminən eyni səhvlərlə ediləcək.

Tipik L1 Layer Dizayn Səhvləri (OSI)

  • Buna baxmayaraq, siz QKDK üçün də məsuliyyət daşıyırsınızsa, onda əldə edə biləcəyiniz ən xoşagəlməz miraslardan biri diqqətsiz və düşünməmiş keçiddir.

İstifadə olunan avadanlığın resursları ilə bağlı səhvləri də daxil edərdim, məsələn,

  • qeyri-kafi bant genişliyi
  • avadanlıqda qeyri-kafi TCAM (və ya ondan səmərəsiz istifadə)
  • qeyri-kafi performans (tez-tez firewall adlanır)

Tipik L2 Layer Dizayn Səhvləri (OSI)

Tez-tez, STP-nin necə işlədiyini, onunla hansı potensial problemləri gətirdiyini yaxşı başa düşmədikdə, açarlar təsadüfi olaraq, standart parametrlərlə, əlavə STP tənzimləməsi olmadan birləşdirilir.

Nəticədə, biz tez-tez aşağıdakılara sahib oluruq

  • yayım fırtınalarına səbəb ola biləcək böyük STP şəbəkə diametri
  • STP kökü təsadüfi (mac ünvanına əsasən) müəyyən ediləcək və trafik yolu suboptimal olacaq
  • hostlara qoşulan portlar kənar (portfast) kimi konfiqurasiya edilməyəcək, bu da son stansiyalar yandırıldıqda/söndürüldükdə STP-nin yenidən hesablanmasına səbəb olacaq.
  • şəbəkə L1 / L2 səviyyəsində seqmentləşdirilməyəcək, bunun nəticəsində hər hansı bir keçidlə bağlı problemlər (məsələn, enerjinin həddindən artıq yüklənməsi) STP topologiyasının yenidən hesablanmasına səbəb olacaq və bütün keçidlərdə (o cümlədən) bütün VLAN-larda trafikin dayandırılmasına səbəb olacaqdır. fasiləsiz xidmət seqmenti baxımından kritik olan biri)

L3 dizaynında (OSI) səhv nümunələri

Başlayan şəbəkəçilərin bir neçə tipik səhvləri:

  • statik marşrutlaşdırmanın tez-tez istifadəsi (və ya yalnız istifadə).
  • verilmiş dizayn üçün optimal olmayan marşrutlaşdırma protokollarının istifadəsi
  • suboptimal məntiqi şəbəkə seqmentasiyası
  • marşrutun birləşməsinə imkan verməyən ünvan sahəsinin optimal istifadəsi
  • ehtiyat marşrutların olmaması
  • standart şlüz üçün artıqlıq yoxdur
  • marşrutları yenidən qurarkən asimmetrik marşrutlaşdırma (NAT/PAT, tam təhlükəsizlik divarları vəziyyətində kritik ola bilər)
  • MTU ilə problemlər
  • marşrutu dəyişdirərkən trafik digər təhlükəsizlik zonalarından və ya hətta digər firewalllardan keçir, bu da bu trafikin azalmasına səbəb olur.
  • zəif topologiya miqyası

Dizayn keyfiyyətinin qiymətləndirilməsi meyarları

Optimallıq/qeyri-optimallıq haqqında danışarkən onu hansı meyarlar əsasında qiymətləndirə biləcəyimizi başa düşməliyik. Budur, mənim fikrimcə, ən əhəmiyyətli (lakin hamısı deyil) meyarlar (və marşrutlaşdırma protokolları ilə əlaqədar dekodlaşdırma):

  • miqyaslılıq
    Məsələn, başqa bir məlumat mərkəzi əlavə etmək qərarına gəldiniz. Nə qədər asan edə bilərsiniz.
  • idarəetmə asanlığı
    Yeni şəbəkənin elan edilməsi və ya marşrutların süzülməsi kimi əməliyyat dəyişikliklərinin edilməsi nə qədər asan və təhlükəsizdir
  • mövcudluğu
    Sisteminiz tələb olunan xidmət səviyyəsini vaxtın neçə faizini təmin edir?
  • təhlükəsizlik
    Göndərilən məlumatlar nə dərəcədə təhlükəsizdir?
  • qiymət

Dəyişikliklər

Bu mərhələdəki əsas prinsip "zərər verməyin" düsturu ilə ifadə edilə bilər.
Buna görə də, dizayn və seçilmiş icra (konfiqurasiya) ilə tam razı olmasanız belə, həmişə dəyişiklik etmək məsləhət görülmür. Ağlabatan yanaşma bütün müəyyən edilmiş problemləri iki parametrə görə sıralamaqdır:

  • bu problemi necə asanlıqla həll etmək olar
  • nə qədər risk daşıyır

İlk növbədə, hazırda göstərilən xidmət səviyyəsini məqbul səviyyədən aşağı salan şeyləri, məsələn, paket itkilərinə səbəb olan problemləri aradan qaldırmalısınız. Sonra riskin şiddətini azaltmaq üçün ən asan və təhlükəsiz olanı düzəldin (daha böyük risk yaradan dizayn və ya konfiqurasiya problemlərindən daha az riskə doğru).

Bu mərhələdə mükəmməllik zərərli ola bilər. Dizaynı qənaətbəxş vəziyyətə gətirin və ona uyğun olaraq şəbəkə konfiqurasiyasını sinxronlaşdırın.

Mənbə: www.habr.com

Добавить комментарий