ProHoster > Blog > podávání > Jak převzít kontrolu nad vaší síťovou infrastrukturou. Kapitola dvě. Čištění a dokumentace
Jak převzít kontrolu nad vaší síťovou infrastrukturou. Kapitola dvě. Čištění a dokumentace
Tento článek je druhým ze série článků „Jak převzít kontrolu nad vaší síťovou infrastrukturou“. Obsah všech článků v seriálu a odkazy naleznete zde.
Naším cílem v této fázi je vnést pořádek do dokumentace a konfigurace.
Na konci tohoto procesu byste měli mít potřebnou sadu dokumentů a síť nakonfigurovanou v souladu s nimi.
Nyní nebudeme mluvit o bezpečnostních auditech – to bude předmětem třetího dílu.
Obtížnost splnění úkolu zadaného v této fázi se samozřejmě velmi liší od společnosti k společnosti.
Ideální stav je, když
vaše síť byla vytvořena v souladu s projektem a máte kompletní sadu dokumentů
v souladu s tímto procesem máte k dispozici dokumenty (včetně všech potřebných diagramů), které poskytují úplné informace o aktuálním stavu věci
V tomto případě je váš úkol docela jednoduchý. Měli byste si prostudovat dokumenty a zkontrolovat všechny provedené změny.
V nejhorším případě budete mít
síť vytvořená bez projektu, bez plánu, bez schválení inženýry, kteří nemají dostatečnou úroveň kvalifikace,
s chaotickými, nezdokumentovanými změnami, se spoustou „odpadků“ a neoptimálních řešení
Je jasné, že vaše situace je někde mezi, ale bohužel na této škále lepší – horší je velká pravděpodobnost, že budete blíže tomu nejhoršímu konci.
V tomto případě budete také potřebovat schopnost číst myšlenky, protože se budete muset naučit porozumět tomu, co „designéři“ chtěli udělat, obnovit jejich logiku, dokončit to, co nebylo dokončeno, a odstranit „odpad“.
A samozřejmě budete muset opravit jejich chyby, změnit (v této fázi co nejméně) design a změnit nebo znovu vytvořit schémata.
Tento článek si v žádném případě nenárokuje úplnost. Zde popíšu pouze obecné principy a zaměřím se na některé běžné problémy, které je třeba vyřešit.
Sada dokumentů
Začněme příkladem.
Níže jsou uvedeny některé dokumenty, které jsou obvykle vytvářeny v Cisco Systems během návrhu.
CR – Požadavky zákazníka, požadavky klienta (technické specifikace).
Vytváří se společně se zákazníkem a určuje požadavky na síť.
HLD – High Level Design, high-level design založený na požadavcích sítě (CR). Dokument vysvětluje a zdůvodňuje přijatá architektonická rozhodnutí (topologie, protokoly, výběr hardwaru,...). HLD neobsahuje detaily návrhu, jako jsou použitá rozhraní a IP adresy. Také zde není diskutována konkrétní konfigurace hardwaru. Tento dokument je spíše určen k vysvětlení klíčových konceptů návrhu technickému vedení zákazníka.
LLD – Low Level Design, low-level design založený na high-level designu (HLD).
Měl by obsahovat všechny podrobnosti nezbytné k realizaci projektu, jako jsou například informace o připojení a konfiguraci zařízení. Toto je kompletní průvodce implementací návrhu. Tento dokument by měl poskytnout dostatek informací pro jeho implementaci i méně kvalifikovaným pracovníkům.
Něco, například IP adresy, čísla AS, fyzické schéma přepínání (kabeláž), lze „uvést“ v samostatných dokumentech, jako je např. NIP (Plán implementace sítě).
Stavba sítě začíná po vytvoření těchto dokumentů a probíhá v přísném souladu s nimi a je následně zákazníkem kontrolována (testy) z hlediska souladu s projektem.
Různí integrátoři, různí klienti a různé země mohou mít samozřejmě různé požadavky na projektovou dokumentaci. Rád bych se ale vyhnul formalitám a posoudil problém podle jeho podstaty. V této fázi nejde o design, ale o uvedení věcí do pořádku a ke splnění našich úkolů potřebujeme dostatečnou sadu dokumentů (schémata, tabulky, popisy...).
A podle mě je určité naprosté minimum, bez kterého nelze síť efektivně ovládat.
Jedná se o následující dokumenty:
diagram (log) fyzického přepínání (kabeláže)
síťový diagram nebo diagramy se základními informacemi L2/L3
Fyzické spínací schéma
V některých malých společnostech jsou práce související s instalací zařízení a fyzickým přepínáním (kabeláží) v odpovědnosti síťových inženýrů.
V tomto případě je problém částečně vyřešen následujícím přístupem.
pomocí popisu na rozhraní popište, co je k němu připojeno
administrativní vypnutí všech nepřipojených portů síťových zařízení
To vám dá příležitost, i v případě problému s odkazem (když na tomto rozhraní nefunguje cdp nebo lldp), rychle zjistit, co je k tomuto portu připojeno.
Můžete také snadno zjistit, které porty jsou obsazené a které volné, což je nezbytné pro plánování připojení nových síťových zařízení, serverů nebo pracovních stanic.
Je ale jasné, že pokud ztratíte přístup k vybavení, ztratíte i přístup k těmto informacím. Navíc tímto způsobem nebudete moci zaznamenávat tak důležité informace, jako jaké zařízení, jakou spotřebu energie, kolik portů, v jakém racku je, jaké patch panely tam jsou a kde (v jakém racku/patch panelu ) jsou propojeny . Proto je další dokumentace (nejen popisy na zařízení) stále velmi užitečná.
Ideální možností je využít aplikace určené pro práci s tímto typem informací. Můžete se ale omezit na jednoduché tabulky (například v Excelu) nebo zobrazit informace, které považujete za nezbytné, v diagramech L1/L2.
Důležité!
Síťový inženýr samozřejmě může docela dobře znát složitosti a standardy SCS, typy racků, typy nepřerušitelných zdrojů napájení, co je studená a horká ulička, jak udělat správné uzemnění... stejně jako v zásadě umí znát fyziku elementárních částic nebo C++. Ale člověk musí stále chápat, že tohle všechno není jeho oblast znalostí.
Proto je dobrou praxí mít buď vyhrazená oddělení nebo specializované lidi, kteří budou řešit problémy související s instalací, připojením, údržbou zařízení a také fyzickým přepínáním. U datových center to jsou obvykle inženýři datových center a pro kanceláře je to help-desk.
Pokud jsou takové divize ve vaší společnosti k dispozici, pak problémy s logováním fyzického přepínání nejsou vaším úkolem a můžete se omezit pouze na popis na rozhraní a administrativní vypínání nepoužívaných portů.
Síťová schémata
Neexistuje žádný univerzální přístup ke kreslení diagramů.
Nejdůležitější je, že diagramy by měly poskytovat pochopení toho, jak bude provoz proudit, přes které logické a fyzické prvky vaší sítě.
Fyzickými prvky máme na mysli
aktivní vybavení
rozhraní/porty aktivního zařízení
Podle logiky -
logická zařízení (N7K VDC, Palo Alto VSYS, ...)
VRF
Vilans
dílčích rozhraní
tunely
zóna
...
Také, pokud vaše síť není úplně elementární, bude se skládat z různých segmentů.
Například
datové centrum
Internet
WAN
vzdálený přístup
kancelářská LAN
DMZ
...
Je rozumné mít několik diagramů, které poskytují jak celkový obraz (jak provoz proudí mezi všemi těmito segmenty), tak podrobné vysvětlení každého jednotlivého segmentu.
Protože v moderních sítích může být mnoho logických vrstev, je možná dobrý (ale ne nezbytný) přístup vytvořit různé obvody pro různé vrstvy, například v případě překryvného přístupu by to mohly být následující obvody:
obložit
Podložka L1/L2
Podložka L3
Samozřejmě nejdůležitějším diagramem, bez kterého není možné pochopit myšlenku vašeho návrhu, je směrovací diagram.
Schéma směrování
Tento diagram by měl minimálně odrážet
jaké směrovací protokoly se používají a kde
základní informace o nastavení směrovacího protokolu (oblast/číslo AS/id-routeru/…)
na jakých zařízeních dochází k redistribuci?
kde dochází k filtrování a agregaci tras
výchozí informace o trase
Také schéma L2 (OSI) je často užitečné.
Schéma L2 (OSI)
Tento diagram může zobrazovat následující informace:
jaké VLANy
které porty jsou trunk porty
které porty jsou agregovány do ether-channel (port channel), virtuálního portu portu
jaké protokoly STP se používají a na jakých zařízeních
základní nastavení STP: záloha root/root, cena STP, priorita portu
další nastavení STP: BPDU guard/filtr, root guard…
Typické chyby v designu
Příklad špatného přístupu k budování sítě.
Vezměme si jednoduchý příklad budování jednoduché kancelářské LAN.
Po zkušenostech s výukou telekomunikací studentům mohu říci, že prakticky každý student má v polovině druhého semestru potřebné znalosti (v rámci kurzu, který jsem vedl) k nastavení jednoduché kancelářské LAN.
Co je tak složitého na vzájemném propojení přepínačů, nastavení VLAN, rozhraní SVI (v případě přepínačů L3) a nastavení statického směrování?
Všechno bude fungovat.
Ale zároveň otázky související s
bezpečnostní
rezervace
škálování sítě
produktivita
propustnost
spolehlivost
...
Čas od času slyším tvrzení, že kancelářská LAN je něco velmi jednoduchého a obvykle to slýchávám od inženýrů (a manažerů), kteří dělají všechno kromě sítí, a říkají to tak sebejistě, že se nedivte, že LAN bude vyrobené lidmi s nedostatečnou praxí a znalostmi a budou vyrobeny s přibližně stejnými chybami, které popíšu níže.
Běžné konstrukční chyby L1 (OSI).
Pokud jste přesto odpovědní za SCS, pak jedním z nejnepříjemnějších dědictví, které můžete obdržet, je nedbalé a nepromyšlené přepínání.
Jako typ L1 bych zařadil i chyby související se zdroji použitého zařízení, např.
nedostatečná šířka pásma
nedostatečný TCAM na zařízení (nebo jeho neefektivní použití)
nedostatečný výkon (často souvisí s firewally)
Běžné konstrukční chyby L2 (OSI).
Často, když není dobře pochopeno, jak STP funguje a jaké potenciální problémy s tím přináší, jsou přepínače zapojeny chaoticky, s výchozím nastavením, bez dalšího ladění STP.
V důsledku toho máme často následující
velký průměr STP sítě, což může vést k vysílací bouři
Kořen STP bude určen náhodně (na základě mac adresy) a dopravní cesta nebude optimální
porty připojené k hostitelům nebudou nakonfigurovány jako edge (portfast), což povede k přepočtu STP při zapínání/vypínání koncových stanic
síť nebude segmentována na úrovni L1/L2, v důsledku čehož problémy s jakýmkoli přepínačem (například přetížení napájení) povedou k přepočtu topologie STP a zastavení provozu ve všech VLAN na všech přepínačích (včetně jeden kritický z hlediska segmentu kontinuity služeb)
Příklady chyb v návrhu L3 (OSI).
Několik typických chyb začínajících networkerů:
Časté používání (nebo pouze používání) statického směrování
použití suboptimálních směrovacích protokolů pro daný návrh
suboptimální segmentace logické sítě
suboptimální využití adresního prostoru, které neumožňuje agregaci směrování
žádné záložní trasy
žádná rezervace pro výchozí bránu
asymetrické směrování při přestavbě tras (může být kritické v případě NAT/PAT, stavových firewallů)
problémy s MTU
když jsou trasy přestavěny, provoz prochází jinými bezpečnostními zónami nebo dokonce jinými firewally, což vede k vyřazení tohoto provozu
špatná škálovatelnost topologie
Kritéria pro hodnocení kvality návrhu
Když mluvíme o optimalitě/neoptimalitě, musíme pochopit, z jakého hlediska to můžeme hodnotit. Zde jsou z mého pohledu nejvýznamnější (ale ne všechna) kritéria (a vysvětlení ve vztahu ke směrovacím protokolům):
škálovatelnost
Například se rozhodnete přidat další datové centrum. Jak snadno to dokážete?
snadné použití (správa)
Jak snadné a bezpečné jsou provozní změny, jako je oznámení nové sítě nebo filtrování tras?
dostupnost
Jaké procento času poskytuje váš systém požadovanou úroveň služeb?
bezpečnostní
Jak bezpečná jsou přenášená data?
cena
Změny
Základní princip v této fázi lze vyjádřit formulí „neškodit“.
I když tedy zcela nesouhlasíte s návrhem a zvolenou implementací (konfigurací), není vždy vhodné provádět změny. Rozumným přístupem je seřadit všechny identifikované problémy podle dvou parametrů:
jak snadno lze tento problém vyřešit
jak velké riziko nese?
Nejprve je nutné odstranit to, co v současnosti snižuje úroveň poskytovaných služeb pod přijatelnou úroveň, například problémy vedoucí ke ztrátě paketů. Poté opravte to, co je nejjednodušší a nejbezpečnější opravit v sestupném pořadí podle závažnosti rizika (od vysoce rizikových problémů s návrhem nebo konfigurací po problémy s nízkým rizikem).
Perfekcionismus v této fázi může být škodlivý. Uveďte návrh do uspokojivého stavu a podle toho synchronizujte konfiguraci sítě.