ProHoster > Blog > podávání > Jak jsme navrhli a implementovali novou síť na Huawei v moskevské kanceláři, část 2

Jak jsme navrhli a implementovali novou síť na Huawei v moskevské kanceláři, část 2

Jak jsme navrhli a implementovali novou síť na Huawei v moskevské kanceláři, část 2

V předchozích dílech: Jet přešel na novou síť založenou na známém dodavateli. Jak probíhal proces auditování systémů, sbírání „seznamů přání“ a krocení „mutantní rezervy“ se dočtete v první část.

Tentokrát budu hovořit o procesu migrace uživatelů (více než 1600 lidí) ze staré sítě do nové. Zvu všechny zájemce na kočku.

Takže stávající síť společnosti od loňského léta:

  • Nejjednodušší topologií je „collapsed backbone“ – jádro sítě (také známé jako distribuční úroveň) je tvořeno dvěma přepínači na úrovni sítě spojenými do VSS clusteru;
  • úroveň přístupu představují přepínače a sady přepínačů na úrovni spojů instalované v křížových spojích a někdy přímo na chodbách a dokonce i v pracovních místnostech;
  • část přístupových spínačů je zahrnuta v řetězci, tj. spínač je součástí dalšího spínače a ten je již v jádru;
  • odolnost proti poruchám spojovacích jádrových přístupových spínačů je zajištěna především prostřednictvím LACP, někdy není zajištěna vůbec;
  • řízení přístupu - přes VLAN, VLAN routing - na jádře;
  • jsou použity přístupové přepínače od tří výrobců a čtyř generací, uživatelé jsou připojeni rychlostí od 100 Mbit/s do 1 Gbit/s;
  • Někteří uživatelé stále používají analogové telefony, někteří používají IP telefony připojené přes PoE injektory a menšina stále používá IP telefony napájené PoE z přístupových přepínačů.

Úkol:

  • uvést síť do slušného stavu;
  • nenarušovat práci zaměstnanců při modernizaci;
  • opravit co nejvíce problémů, které se nahromadily za posledních 15 let provozu.

Předchozí život

Dříve byl systém pro provoz a rozšiřování sítě v kanceláři následující: Předpokládejme, že potřebujeme zorganizovat pracovní prostory pro nové zaměstnance. Byly pronajaty další prostory v obchodním centru, byly provedeny opravy, položena SCS, poté byla nasazena počítačová a telefonní síť.

Na jedno pracoviště byly dle potřeb oddělení 2 až 4 zásuvky RJ-45. Jedna ze zásuvek byla označena jako telefonní zásuvka (byla označena zeleně), zbytek (od jedné do tří) byl označen jako počítačové zásuvky (dostalo modré označení).

Jak jsme navrhli a implementovali novou síť na Huawei v moskevské kanceláři, část 2
Zásuvky na typickém pracovišti

Již ve fázi budování sítě byla každá zásuvka počítače připojena k samostatnému portu přístupového spínače, každá telefonní zásuvka byla připojena k analogovému portu telefonní ústředny (ve starých prostorách) nebo k portu přístupového spínače předem nakonfigurovaného pro VoIP data přenos (v nových prostorách).

Toto schéma bylo výhodné pro provozní službu. Uživatelé se přestěhovali do nové místnosti, zapojili počítač do libovolné volné počítačové zásuvky a telefon do jakékoli volné telefonní zásuvky.

Poté pracovníci technické podpory se zaměřením na MAC adresy připojených zařízení zaregistrovali potřebné VLAN a další parametry na portech přístupového přepínače.

Tento přístup měl ale svou nevýhodu – byl neekonomický a až polovina portů zůstala nevyužita. Taková rezerva je užitečná, pokud se časem v prostorách zorganizují další pracovní místa, ale 50% rezervu se nám nikdy nepodařilo plně využít.

Příprava na migraci

V první fázi jsme se rozhodli vyměnit všechny přístupové spínače. Jako standardní byl zvolen rodinný model Huawei S5720, konkrétně S5720-52X-PWR-SI-AC. Jeho vlastnosti:

  • připojuje se k páteřní síti rychlostí 10 Gbit/s;
  • stohovat pomocí běžných 10G rozhraní;
  • umožňuje připojení ke všem uživatelským portům rychlostí 1 Gbit/s;
  • Poskytuje napájení PoE na všech uživatelských portech.

Jakýkoli port lze tedy použít pro připojení počítače, IP telefonu, počítače přes IP telefon, bezdrátového přístupového bodu, CCTV kamery a dalších zařízení.
Museli jsme zjistit, které zásuvky v místnostech se skutečně používají a co je k nim připojeno. Měli jsme:

  • data ze starých a ne tak starých instalačních projektů SCS;
  • „ne ​​zcela relevantní“ kabelové časopisy pro všechny prostory společnosti;
  • tabulky MAC adres na stávajících přístupových přepínačích, které jsme získali pomocí vestavěného síťového vybavení;
  • korespondenční tabulky mezi MAC adresami telefonních přístrojů a interními čísly účastníků - z telefonní ústředny.

Dále jsme napsali malý skript, který na základě těchto dat sestavil přepínací a migrační tabulky (samostatná tabulka pro každou další fázi práce). Obsahovaly následující informace:

  • prostory;
  • označení přístavů na pracovišti;
  • označení zásuvky na propojovacím panelu v crossoveru;
  • hostname starého přepínače (stack);
  • číslo portu na starém přepínači;
  • VLAN ID;
  • MAC adresa připojeného zařízení (nebo několika);
  • typ připojeného zařízení (určeno MAC adresou);
  • jméno (hostname) nového přepínače (stack);
  • číslo portu na novém přepínači.

Jak jsme navrhli a implementovali novou síť na Huawei v moskevské kanceláři, část 2
Výsledky skriptu

Z takové tabulky bylo hned jasné, co přesně je na konkrétní port připojeno - počítač, telefon, počítač přes telefon (pokud byly dvě MAC adresy), nebo něco složitějšího.
Na základě tabulek konstruktéři vyvinuli nové kabelové protokoly a implementační inženýři předkonfigurovali nové přepínače, které byly v další fázi migrace instalovány do křížových propojení, aby nahradily ty staré.

Jak jsme navrhli a implementovali novou síť na Huawei v moskevské kanceláři, část 2
Fragment nového křížového zásobníku

Jak jsme navrhli a implementovali novou síť na Huawei v moskevské kanceláři, část 2
Přístup k nastavení portu

Práce se tedy scvrkla na následující:

  • odpojte staré přístupové spínače, odstraňte propojovací kabely;
  • nainstalujte nové přístupové spínače, připojte napájení;
  • provést spínání podle křížového protokolu;
  • procházejte se po pracovních oblastech, ujistěte se, že telefony a počítače fungují správně.

Vypadá to jednoduše, ale...

První etapou je výměna přístupových spínačů: tři měsíce práce sedm dní v týdnu

Od poloviny roku 2018 každý víkend po dobu tří měsíců vyměňujeme přístupové přepínače a přepínáme pracovní stanice podle našich migračních tabulek (celkem asi 3500 XNUMX portů).
První migrace nám zabrala více než 12 hodin během této doby se nám podařilo vyměnit jeden přístupový stack pěti switchů a znovu připojit přibližně 200 k němu připojených portů.
Nejvíce času zabralo... příprava propojovacích kabelů. Každý patch kabel musel být vyjmut z obalu a označen číslem na obou stranách. Teprve poté bylo možné použít propojovací kabel pro přepínání.

Během dalších migrací jsme proces optimalizovali a předem připravili propojovací kabely. Poslední migrace proto trvala stejných 12 hodin a během této doby se nám podařilo vyměnit pět přístupových zásobníků, od 3 do 5 přepínačů v každém, a znovu přepnout více než 1000 portů.

Co jsme nakonec dostali?

Za prvé, aktualizovaný cross log, který jsme sdíleli s provozní službou. Služba vyvinula vlastní webovou aplikaci pro podporu aktuálního stavu přepínání – nyní jej lze vždy zobrazit na interním zdroji.

Za druhé, pracovní stanice připojené k novým moderním přístupovým přepínačům. Zároveň jsme se konečně zbavili analogových telefonů a samostatných zdrojů pro IP telefony, aktualizovali a sjednotili firmware v IP telefonech tak, aby se telefon a switch správně rozpoznaly pomocí protokolu LLDP. To je nezbytné, aby telefon pochopil, ve které VLAN by měl přenášet hlasové rámce a ve kterých - rámcích zařízení připojených přes telefon. Telefon tak může přistupovat k serverům telefonní ústředny a uživatelé mohou na svých pracovištích připojit počítače buď přímo do zásuvky, nebo přes telefon.

Za třetí jsme vypnuli všechny nepoužívané porty aktivního zařízení a nakonfigurovali funkci zabezpečení portů. Zároveň jsme formulovali, koordinovali a schvalovali předpisy o spojích, nyní nejsou spoje „za pokladnou“.

Takže my:

  • dát do pořádku a zdokumentovat všechna připojení kancelářské techniky;
  • zbavili se starých přepínačů, PoE injektorů, analogových telefonů;
  • snížená spotřeba energie zařízení (v jednotlivých běžeckých a pracovních oblastech - až o 30 %);
  • zlepšení uživatelské zkušenosti a zachování přiměřeně dostatečné rezervy portů aktivního vybavení (za cenu mírného zvýšení zátěže specialistů technické podpory, zejména při stěhování zaměstnanců do nových prostor).

Migrace v plném proudu - přechod na novou dálnici

Po dokončení první etapy se situace s uživatelskými připojeními vrátila do normálu, ale s páteří se nic nezměnilo. Jak bylo uvedeno výše, před modernizací to bylo zařízeno docela jednoduše. Existovalo asi 100 VLAN, které byly směrovány na centrální přepínač, nebo spíše na dva přepínače seskupené pomocí technologie VSS.

Souběžně s první fází migrace jsme vybudovali a otestovali novou páteř v souladu s principy uvedenými v první článek:

  • nainstalované základní přepínače Huawei CE8850;
  • nainstalované distribuční přepínače Huawei CE6870;
  • položena další optická vlákna;
  • provedl všechna spojení;
  • nakonfiguroval protokoly směrování překrytí a podložení (ale dokud nebyla dokončena první fáze, přepínače byly nečinné a ohřívaly vzduch).

Pak začala další etapa migrace. Ne moc dlouhé, ale nejtěžší.

Nejprve jsme vyvinuli a dohodli se na novém plánu adresování IP, který zohledňuje naše současné i budoucí potřeby. Nový plán vyčlenil samostatné rozsahy pro všechny plánované L3VPN - pro běžné uživatele a uživatele technických center, pro telefonní systémy, videokonference, CCTV kamery, předváděcí stánky různých typů a další potřeby.

Poté jsme připojili celou původní síť k jednomu páru distribučních přepínačů jako jeden přístupový zásobník. Poté jsme začali přepínat stacky na novou páteř, měnili jsme čísla VLAN a podle toho jsme měnili IP adresy připojených uživatelů na nové rozsahy.

Práci jsme naplánovali tak, abychom najednou přepínali poměrně velkou skupinu přístupových přepínačů. Pracovalo se buď v noci, nebo o víkendech, v závislosti na specifikách práce spínaných jednotek.

Před zahájením práce jsme předem provedli následující operace:

  1. nakonfiguroval podnikový server DHCP tak, aby přepínaným uživatelům přiděloval IP adresy z nového rozsahu;
  2. nakonfigurované porty na distribučních přepínačích, které byly plánovány tak, aby zahrnovaly přístupové přepínače během migrace;
  3. pomocí dalšího speciálně vyvinutého skriptu byly připraveny upravené konfigurace pro spínané přepínače.

Pracovali v následujícím pořadí:

  1. přepínané přístupové přepínače ze starého kufru do nového;
  2. ujistěte se, že přepínače jsou přístupné přes rozhraní pro správu;
  3. nahrál do přepínaných přepínačů předem připravenou konfiguraci pro změnu čísel VLAN.

Před provedením výše uvedené práce byla VLAN obsahující rozhraní pro správu všech přístupových přepínačů „natažena“ mezi starý a nový trunk, takže krok 2 obvykle zabral minimum času. V nejjednodušším případě uživatelské pracovní stanice (stejně jako telefony, tiskárny a další zařízení) okamžitě obdržely IP adresy z nového rozsahu z DHCP serveru a pokračovaly v práci beze změn.

Jak jsme navrhli a implementovali novou síť na Huawei v moskevské kanceláři, část 2

Kde bez problémů?

Cestou jsme narazili na několik problémů.
Za prvé, tiskárny mnoha uživatelů přestaly fungovat. Na některých pracovních stanicích uživatelů byl přístup k tiskárnám nakonfigurován pomocí konkrétní IP adresy. Poté, co tiskárny přešly na nový rozsah, obdržely nové adresy a uživatelé k nim ztratili přístup. Abychom problém vyřešili, den po migraci jsme vyčlenili jednoho pracovníka podpory na půl dne, aby obcházel migrované uživatele a překonfiguroval tiskárny tak, aby místo IP adres používaly názvy DNS.

Při migraci úplně první skupiny uživatelů jsme museli vyřešit některé problémy se správnou konfigurací firewallů tak, aby migrovaným uživatelům umožňovaly přístup k potřebným firemním zdrojům. A se všemi následujícími migracemi jsme již předem věděli, co je potřeba nakonfigurovat.

V neposlední řadě jsme přesunuli servisní středisko, konkrétně směnové zaměstnance. Směna musí pracovat nepřetržitě a nepřetržitě a mít vždy přístup ke zdrojům potřebným pro práci a k ​​zákaznickým informačním systémům. Pro tyto lidi jsme zorganizovali dočasné pracovní prostory v předem dohodnutých časech a v oddělených místnostech. Do této místnosti se nastěhoval jeden zaměstnanec směny a ujistil se, že má přístup ke všem potřebným systémům. Poté se zbytek přestěhoval do této místnosti.

Poté jsme provedli migraci příslušné jednotky, pozvali jednoho ze směnových zaměstnanců, aby se vrátil na své místo a ověřil dostupnost všech potřebných zdrojů. Problémy byly okamžitě vyřešeny, pokud byly nějaké objeveny. Problémů bylo málo. Poté se pracovní směna opět přesunula z „provizorního úkrytu“ do běžného režimu provozu na jejich pracovištích s celou sadou informačních systémů, které potřebovali.

V určitém okamžiku jsme zjistili, že ve staré síti nezůstalo jediné uživatelské pracoviště! A otevřeli šampaňské. Dále jsme začali s migrací segmentu serverů. Bylo na něj aplikováno jiné schéma, protože server obvykle nelze zastavit ani na 15 minut. O tom budu mluvit samostatně v příštím článku.

Maxim Klochkov
Senior konzultant skupiny síťového auditu a komplexních projektů
Centrum síťových řešení
"Jet Infosystems"

Zdroj: www.habr.com

Kupte si spolehlivý hosting pro stránky s DDoS ochranou, VPS VDS servery 🔥 Kupte si spolehlivý webhosting s ochranou DDoS, VPS VDS servery | ProHoster