Tento článek je druhým ze série článků „Jak převzít kontrolu nad vaší síťovou infrastrukturou“. Obsah všech článků v seriálu a odkazy naleznete .
Naším cílem v této fázi je vnést pořádek do dokumentace a konfigurace.
Na konci tohoto procesu byste měli mít potřebnou sadu dokumentů a síť nakonfigurovanou v souladu s nimi.
Nyní nebudeme mluvit o bezpečnostních auditech – to bude předmětem třetího dílu.
Obtížnost splnění úkolu zadaného v této fázi se samozřejmě velmi liší od společnosti k společnosti.
Ideální stav je, když
- vaše síť byla vytvořena v souladu s projektem a máte kompletní sadu dokumentů
- byl implementován ve vaší společnosti pro síť
- v souladu s tímto procesem máte k dispozici dokumenty (včetně všech potřebných diagramů), které poskytují úplné informace o aktuálním stavu věci
V tomto případě je váš úkol docela jednoduchý. Měli byste si prostudovat dokumenty a zkontrolovat všechny provedené změny.
V nejhorším případě budete mít
- síť vytvořená bez projektu, bez plánu, bez schválení inženýry, kteří nemají dostatečnou úroveň kvalifikace,
- s chaotickými, nezdokumentovanými změnami, se spoustou „odpadků“ a neoptimálních řešení
Je jasné, že vaše situace je někde mezi, ale bohužel na této škále lepší – horší je velká pravděpodobnost, že budete blíže tomu nejhoršímu konci.
V tomto případě budete také potřebovat schopnost číst myšlenky, protože se budete muset naučit porozumět tomu, co „designéři“ chtěli udělat, obnovit jejich logiku, dokončit to, co nebylo dokončeno, a odstranit „odpad“.
A samozřejmě budete muset opravit jejich chyby, změnit (v této fázi co nejméně) design a změnit nebo znovu vytvořit schémata.
Tento článek si v žádném případě nenárokuje úplnost. Zde popíšu pouze obecné principy a zaměřím se na některé běžné problémy, které je třeba vyřešit.
Sada dokumentů
Začněme příkladem.
Níže jsou uvedeny některé dokumenty, které jsou obvykle vytvářeny v Cisco Systems během návrhu.
CR – Požadavky zákazníka, požadavky klienta (technické specifikace).
Vytváří se společně se zákazníkem a určuje požadavky na síť.HLD – High Level Design, high-level design založený na požadavcích sítě (CR). Dokument vysvětluje a zdůvodňuje přijatá architektonická rozhodnutí (topologie, protokoly, výběr hardwaru,...). HLD neobsahuje detaily návrhu, jako jsou použitá rozhraní a IP adresy. Také zde není diskutována konkrétní konfigurace hardwaru. Tento dokument je spíše určen k vysvětlení klíčových konceptů návrhu technickému vedení zákazníka.
LLD – Low Level Design, low-level design založený na high-level designu (HLD).
Měl by obsahovat všechny podrobnosti nezbytné k realizaci projektu, jako jsou například informace o připojení a konfiguraci zařízení. Toto je kompletní průvodce implementací návrhu. Tento dokument by měl poskytnout dostatek informací pro jeho implementaci i méně kvalifikovaným pracovníkům.Něco, například IP adresy, čísla AS, fyzické schéma přepínání (kabeláž), lze „uvést“ v samostatných dokumentech, jako je např. NIP (Plán implementace sítě).
Stavba sítě začíná po vytvoření těchto dokumentů a probíhá v přísném souladu s nimi a je následně zákazníkem kontrolována (testy) z hlediska souladu s projektem.
Různí integrátoři, různí klienti a různé země mohou mít samozřejmě různé požadavky na projektovou dokumentaci. Rád bych se ale vyhnul formalitám a posoudil problém podle jeho podstaty. V této fázi nejde o design, ale o uvedení věcí do pořádku a ke splnění našich úkolů potřebujeme dostatečnou sadu dokumentů (schémata, tabulky, popisy...).
A podle mě je určité naprosté minimum, bez kterého nelze síť efektivně ovládat.
Jedná se o následující dokumenty:
- diagram (log) fyzického přepínání (kabeláže)
- síťový diagram nebo diagramy se základními informacemi L2/L3
Fyzické spínací schéma
V některých malých společnostech jsou práce související s instalací zařízení a fyzickým přepínáním (kabeláží) v odpovědnosti síťových inženýrů.
V tomto případě je problém částečně vyřešen následujícím přístupem.
- pomocí popisu na rozhraní popište, co je k němu připojeno
- administrativní vypnutí všech nepřipojených portů síťových zařízení
To vám dá příležitost, i v případě problému s odkazem (když na tomto rozhraní nefunguje cdp nebo lldp), rychle zjistit, co je k tomuto portu připojeno.
Můžete také snadno zjistit, které porty jsou obsazené a které volné, což je nezbytné pro plánování připojení nových síťových zařízení, serverů nebo pracovních stanic.
Je ale jasné, že pokud ztratíte přístup k vybavení, ztratíte i přístup k těmto informacím. Navíc tímto způsobem nebudete moci zaznamenávat tak důležité informace, jako jaké zařízení, jakou spotřebu energie, kolik portů, v jakém racku je, jaké patch panely tam jsou a kde (v jakém racku/patch panelu ) jsou propojeny . Proto je další dokumentace (nejen popisy na zařízení) stále velmi užitečná.
Ideální možností je využít aplikace určené pro práci s tímto typem informací. Můžete se ale omezit na jednoduché tabulky (například v Excelu) nebo zobrazit informace, které považujete za nezbytné, v diagramech L1/L2.
Důležité!
Síťový inženýr samozřejmě může docela dobře znát složitosti a standardy SCS, typy racků, typy nepřerušitelných zdrojů napájení, co je studená a horká ulička, jak udělat správné uzemnění... stejně jako v zásadě umí znát fyziku elementárních částic nebo C++. Ale člověk musí stále chápat, že tohle všechno není jeho oblast znalostí.
Proto je dobrou praxí mít buď vyhrazená oddělení nebo specializované lidi, kteří budou řešit problémy související s instalací, připojením, údržbou zařízení a také fyzickým přepínáním. U datových center to jsou obvykle inženýři datových center a pro kanceláře je to help-desk.
Pokud jsou takové divize ve vaší společnosti k dispozici, pak problémy s logováním fyzického přepínání nejsou vaším úkolem a můžete se omezit pouze na popis na rozhraní a administrativní vypínání nepoužívaných portů.
Síťová schémata
Neexistuje žádný univerzální přístup ke kreslení diagramů.
Nejdůležitější je, že diagramy by měly poskytovat pochopení toho, jak bude provoz proudit, přes které logické a fyzické prvky vaší sítě.
Fyzickými prvky máme na mysli
- aktivní vybavení
- rozhraní/porty aktivního zařízení
Podle logiky -
- logická zařízení (N7K VDC, Palo Alto VSYS, ...)
- VRF
- Vilans
- dílčích rozhraní
- tunely
- zóna
- ...
Také, pokud vaše síť není úplně elementární, bude se skládat z různých segmentů.
Například
- datové centrum
- Internet
- WAN
- vzdálený přístup
- kancelářská LAN
- DMZ
- ...
Je rozumné mít několik diagramů, které poskytují jak celkový obraz (jak provoz proudí mezi všemi těmito segmenty), tak podrobné vysvětlení každého jednotlivého segmentu.
Protože v moderních sítích může být mnoho logických vrstev, je možná dobrý (ale ne nezbytný) přístup vytvořit různé obvody pro různé vrstvy, například v případě překryvného přístupu by to mohly být následující obvody:
- obložit
- Podložka L1/L2
- Podložka L3
Samozřejmě nejdůležitějším diagramem, bez kterého není možné pochopit myšlenku vašeho návrhu, je směrovací diagram.
Schéma směrování
Tento diagram by měl minimálně odrážet
- jaké směrovací protokoly se používají a kde
- základní informace o nastavení směrovacího protokolu (oblast/číslo AS/id-routeru/…)
- na jakých zařízeních dochází k redistribuci?
- kde dochází k filtrování a agregaci tras
- výchozí informace o trase
Také schéma L2 (OSI) je často užitečné.
Schéma L2 (OSI)
Tento diagram může zobrazovat následující informace:
- jaké VLANy
- které porty jsou trunk porty
- které porty jsou agregovány do ether-channel (port channel), virtuálního portu portu
- jaké protokoly STP se používají a na jakých zařízeních
- základní nastavení STP: záloha root/root, cena STP, priorita portu
- další nastavení STP: BPDU guard/filtr, root guard…
Typické chyby v designu
Příklad špatného přístupu k budování sítě.
Vezměme si jednoduchý příklad budování jednoduché kancelářské LAN.
Po zkušenostech s výukou telekomunikací studentům mohu říci, že prakticky každý student má v polovině druhého semestru potřebné znalosti (v rámci kurzu, který jsem vedl) k nastavení jednoduché kancelářské LAN.
Co je tak složitého na vzájemném propojení přepínačů, nastavení VLAN, rozhraní SVI (v případě přepínačů L3) a nastavení statického směrování?
Všechno bude fungovat.
Ale zároveň otázky související s
- bezpečnostní
- rezervace
- škálování sítě
- produktivita
- propustnost
- spolehlivost
- ...
Čas od času slyším tvrzení, že kancelářská LAN je něco velmi jednoduchého a obvykle to slýchávám od inženýrů (a manažerů), kteří dělají všechno kromě sítí, a říkají to tak sebejistě, že se nedivte, že LAN bude vyrobené lidmi s nedostatečnou praxí a znalostmi a budou vyrobeny s přibližně stejnými chybami, které popíšu níže.
Běžné konstrukční chyby L1 (OSI).
- Pokud jste přesto odpovědní za SCS, pak jedním z nejnepříjemnějších dědictví, které můžete obdržet, je nedbalé a nepromyšlené přepínání.
Jako typ L1 bych zařadil i chyby související se zdroji použitého zařízení, např.
- nedostatečná šířka pásma
- nedostatečný TCAM na zařízení (nebo jeho neefektivní použití)
- nedostatečný výkon (často souvisí s firewally)
Běžné konstrukční chyby L2 (OSI).
Často, když není dobře pochopeno, jak STP funguje a jaké potenciální problémy s tím přináší, jsou přepínače zapojeny chaoticky, s výchozím nastavením, bez dalšího ladění STP.
V důsledku toho máme často následující
- velký průměr STP sítě, což může vést k vysílací bouři
- Kořen STP bude určen náhodně (na základě mac adresy) a dopravní cesta nebude optimální
- porty připojené k hostitelům nebudou nakonfigurovány jako edge (portfast), což povede k přepočtu STP při zapínání/vypínání koncových stanic
- síť nebude segmentována na úrovni L1/L2, v důsledku čehož problémy s jakýmkoli přepínačem (například přetížení napájení) povedou k přepočtu topologie STP a zastavení provozu ve všech VLAN na všech přepínačích (včetně jeden kritický z hlediska segmentu kontinuity služeb)
Příklady chyb v návrhu L3 (OSI).
Několik typických chyb začínajících networkerů:
- Časté používání (nebo pouze používání) statického směrování
- použití suboptimálních směrovacích protokolů pro daný návrh
- suboptimální segmentace logické sítě
- suboptimální využití adresního prostoru, které neumožňuje agregaci směrování
- žádné záložní trasy
- žádná rezervace pro výchozí bránu
- asymetrické směrování při přestavbě tras (může být kritické v případě NAT/PAT, stavových firewallů)
- problémy s MTU
- když jsou trasy přestavěny, provoz prochází jinými bezpečnostními zónami nebo dokonce jinými firewally, což vede k vyřazení tohoto provozu
- špatná škálovatelnost topologie
Kritéria pro hodnocení kvality návrhu
Když mluvíme o optimalitě/neoptimalitě, musíme pochopit, z jakého hlediska to můžeme hodnotit. Zde jsou z mého pohledu nejvýznamnější (ale ne všechna) kritéria (a vysvětlení ve vztahu ke směrovacím protokolům):
- škálovatelnost
Například se rozhodnete přidat další datové centrum. Jak snadno to dokážete? - snadné použití (správa)
Jak snadné a bezpečné jsou provozní změny, jako je oznámení nové sítě nebo filtrování tras? - dostupnost
Jaké procento času poskytuje váš systém požadovanou úroveň služeb? - bezpečnostní
Jak bezpečná jsou přenášená data? - cena
Změny
Základní princip v této fázi lze vyjádřit formulí „neškodit“.
I když tedy zcela nesouhlasíte s návrhem a zvolenou implementací (konfigurací), není vždy vhodné provádět změny. Rozumným přístupem je seřadit všechny identifikované problémy podle dvou parametrů:
- jak snadno lze tento problém vyřešit
- jak velké riziko nese?
Nejprve je nutné odstranit to, co v současnosti snižuje úroveň poskytovaných služeb pod přijatelnou úroveň, například problémy vedoucí ke ztrátě paketů. Poté opravte to, co je nejjednodušší a nejbezpečnější opravit v sestupném pořadí podle závažnosti rizika (od vysoce rizikových problémů s návrhem nebo konfigurací po problémy s nízkým rizikem).
Perfekcionismus v této fázi může být škodlivý. Uveďte návrh do uspokojivého stavu a podle toho synchronizujte konfiguraci sítě.
Zdroj: www.habr.com