Wie Sie Ihre Netzwerkinfrastruktur unter Kontrolle bekommen. Kapitel eins: Beibehaltung.

Dieser Artikel ist der erste in der Serie "Wie man die Netzwerk-Infrastruktur unter Kontrolle bringt". Eine Übersicht aller Artikel der Serie sowie die entsprechenden Links finden Sie hier. hier.

Es gibt sicherlich Unternehmen, in denen eine einfache Netzwerkinfrastruktur für eine Stunde oder sogar einen Tag nicht kritisch ist. Leider oder zum Glück habe ich nicht in solchen Umgebungen gearbeitet. Doch Netzwerke sind unterschiedlich, die Anforderungen variieren, und auch die Ansätze sind divers. Dennoch wird die folgende Liste in vielen Fällen als "Must-Do" angesehen.

Beginnen wir mit den Ausgangsbedingungen.

Sie sind neu in Ihrer Arbeitsstelle, haben eine Beförderung erhalten oder möchten Ihre Aufgaben aus einer neuen Perspektive betrachten. Das Netzwerk des Unternehmens fällt in Ihren Verantwortungsbereich. Für Sie ist das in vielerlei Hinsicht eine Herausforderung und etwas Neues, was den beratenden Ton dieses Artikels teilweise rechtfertigt :). Ich hoffe jedoch, dass der Artikel auch für jeden Netzwerkingenieur von Nutzen sein kann.

Ihr erstes strategisches Ziel besteht darin, der Entropie entgegenzuwirken und das Niveau des bereitgestellten Services aufrechtzuerhalten.

Viele der unten beschriebenen Aufgaben können auf verschiedene Weise gelöst werden. Ich möchte das Thema der technischen Umsetzung absichtlich nicht ansprechen, denn oft ist es nicht so wichtig, wie Sie eine bestimmte Aufgabe gelöst haben, sondern vielmehr, wie Sie diese nutzen und ob Sie sie überhaupt nutzen. Es bringt beispielsweise wenig, ein professionell aufgebautes Überwachungssystem zu haben, wenn Sie nicht darauf schauen und nicht auf Warnmeldungen reagieren.

Ausrüstung

Zuerst müssen Sie verstehen, wo die größten Risiken liegen.

Es kann wieder unterschiedlich sein. Ich gehe davon aus, dass dies an einigen Stellen Sicherheitsfragen betreffen kann, an anderen Fragen zur Kontinuität des Services und vielleicht an noch anderen Punkten. Warum nicht?

Nehmen wir der Einfachheit halber an, dass es sich um die Kontinuität des Services handelt (so war es in allen Unternehmen, in denen ich gearbeitet habe).

In diesem Fall sollten Sie mit der Hardware beginnen. Hier ist eine Liste von Themen, auf die Sie achten sollten:

  • Klassifizierung der Hardware nach Kritikalität
  • Redundanz kritischer Hardware
  • Support, Lizenzen

Sie sollten mögliche Ausfälle, insbesondere bei der kritischen Hardware, die Sie einsetzen, in Betracht ziehen. Oft wird die Wahrscheinlichkeit von doppelten Problemen vernachlässigt, was dazu führen kann, dass Ihre Lösungen und der Support unnötig kostspielig werden. Bei wirklich kritischen Netzwerkkomponenten, deren Ausfall erhebliche Auswirkungen auf das Geschäft haben kann, sollten Sie auch darüber nachdenken.

Beispiel

Nehmen wir an, wir sprechen über den Root-Switch im Rechenzentrum.

Da wir uns darauf geeinigt haben, dass die Kontinuität des Dienstes das wichtigste Kriterium ist, ist es sinnvoll, eine «heiße» Redundanz für diese Hardware zu gewährleisten. Aber das ist noch nicht alles. Sie müssen auch entscheiden, wie lange es für Sie akzeptabel ist, nur mit einem verbleibenden Switch auszukommen, falls der erste Switch ausfällt, denn es besteht das Risiko, dass auch dieser ausfällt.

Wichtig! Sie sollten dieses Thema nicht alleine entscheiden. Sie müssen die Risiken, möglichen Lösungen und Kosten Ihrer Geschäftsführung oder dem Unternehmensmanagement vorstellen. Die Entscheidungen sollten von ihnen getroffen werden.

Wenn entschieden wurde, dass bei einer geringen Wahrscheinlichkeit eines doppelte Ausfalls die Funktionalität über einen Zeitraum von 4 Stunden an einem Switch grundsätzlich akzeptabel ist, können Sie einfach den entsprechenden Support in Anspruch nehmen (der in diesem Fall die Hardware innerhalb von 4 Stunden ersetzen wird).

Es besteht jedoch das Risiko, dass es nicht rechtzeitig geliefert wird. Leider befanden wir uns einmal in einer solchen Situation. Anstelle von vier Stunden benötigte die Ausrüstung eine Woche!!!

Daher sollte dieses Risiko auch besprochen werden, und möglicherweise wäre es für Sie besser, einen weiteren Switch (dritten) zu kaufen und ihn als Ersatzgerät (Kaltreserve) bereitzuhalten oder für Laborzwecke zu verwenden.

Wichtig! Erstellen Sie eine Tabelle aller Supportverträge, die Sie haben, mit Ablaufdaten und fügen Sie diese Ihrem Kalender hinzu, damit Sie mindestens einen Monat im Voraus eine Nachricht erhalten, dass Sie sich um die Verlängerung des Supports kümmern müssen.

Es wird Ihnen nicht verziehen, wenn Sie vergessen, den Support zu verlängern, und am Tag nach Ablauf die Hardware ausfällt.

Notfallarbeiten

Egal was in Ihrem Netzwerk passiert, idealerweise sollten Sie Zugang zu Ihrer Netzwerkausrüstung behalten.

Wichtig! Sie müssen über Konsolenzugang zu allen Geräten verfügen, und dieser Zugang darf nicht von der Funktionsfähigkeit des Datennetzes abhängen.

Zudem sollten Sie im Voraus mögliche negative Szenarien berücksichtigen und die erforderlichen Maßnahmen dokumentieren. Die Verfügbarkeit dieses Dokuments ist ebenfalls entscheidend, daher sollte es nicht nur in einem gemeinsamen Bereich der Abteilung abgelegt, sondern auch lokal auf den Rechnern der Ingenieure gespeichert werden.

Dort sollten unbedingt enthalten sein

  • Informationen, die für die Eröffnung eines Tickets beim Support des Anbieters oder Integrators erforderlich sind
  • Informationen, wie man auf die Geräte zugreift (Konsolen-, Managementzugang)

Es kann auch andere nützliche Informationen enthalten, wie z.B. eine Beschreibung des Upgrade-Prozesses verschiedener Geräte und hilfreiche Diagnosetechniken.

Partner

Jetzt müssen Sie die Risiken im Zusammenhang mit Partnern bewerten. Üblicherweise sind das

  • Internetprovider und Internet Exchange Points (IX)
  • Anbieter von Kommunikationskanälen

Welche Fragen sollten Sie sich stellen? Wie bei der Hardware sollten verschiedene Notfallszenarien in Betracht gezogen werden. Für Internetanbieter könnte dies zum Beispiel Folgendes bedeuten:

  • Was passiert, wenn Internetanbieter X aus irgendeinem Grund den Dienst für Sie einstellt?
  • Reicht die Bandbreite der anderen Anbieter aus?
  • Wie gut bleibt die Konnektivität?
  • Wie unabhängig sind Ihre Internetanbieter, und kann eine schwerwiegende Störung bei einem von ihnen Probleme bei den anderen verursachen?
  • Wie viele optische Leitungen gibt es in Ihr Rechenzentrum?
  • Was passiert, wenn eine dieser Leitungen vollständig zerstört wird?

Was die Leitungen angeht, so gab es in meiner Erfahrung in zwei verschiedenen Unternehmen zwei verschiedene Situationen: Rechenzentren untergebracht Ein Bagger beschädigte die Schächte und nur durch puren Zufall blieb unsere Glasfaser unbeschadet. So selten ist das nicht.

Und natürlich sollten Sie nicht nur diese Fragen stellen, sondern auch, wiederum mit der Unterstützung des Managements, in jeder Situation eine angemessene Lösung sicherstellen.

Backup

Der nächste prioritäre Punkt könnte das Backup der Hardwarekonfigurationen sein. Unabhängig davon ist dies ein äußerst wichtiger Aspekt. Ich möchte nicht die Fälle aufzählen, in denen Sie Ihre Konfiguration verlieren könnten; besser ist es, regelmäßig Backups zu machen und sich keine Gedanken darüber zu machen. Zudem kann ein regelmäßiges Backup sehr hilfreich sein, um Änderungen zu kontrollieren.

Wichtig! Machen Sie das Backup zur täglichen Routine. Es handelt sich nicht um so große Datenmengen, dass Sie daran sparen sollten. Am Morgen sollte der diensthabende Ingenieur (oder Sie) einen Bericht vom System erhalten, aus dem eindeutig hervorgeht, ob das Backup erfolgreich war oder nicht. Im Falle eines fehlgeschlagenen Backups sollte das Problem behoben oder ein Ticket erstellt werden (siehe Prozesse der Netzabteilung).

Software-Versionen

Die Frage, ob man die Software der Hardware aktualisieren sollte oder nicht, ist nicht so eindeutig. Auf der einen Seite gibt es bei alten Versionen bekannte Bugs und Sicherheitsanfälligkeiten, auf der anderen Seite ist neue Software zum einen nicht immer ein schmerzfreier Upgrade-Prozess und zum anderen können neue Bugs und Sicherheitsanfälligkeiten auftauchen.

Hier ist es wichtig, eine optimale Lösung zu finden. Einige offensichtliche Empfehlungen:

  • nur stabile Versionen verwenden
  • man sollte jedoch nicht auf zu alten Software-Versionen verweilen
  • Erstellen Sie eine Tabelle mit Informationen, wo welche Software installiert ist.
  • Lesen Sie regelmäßig die Berichte über Schwachstellen und Bugs in den Softwareversionen. Bei kritischen Problemen sollten Sie über ein Upgrade nachdenken.

In diesem Schritt sind Sie, mit Zugriff auf die Konsole des Geräts, Informationen zur Unterstützung und einer Beschreibung des Upgrade-Verfahrens, im Prinzip bereit für diesen Schritt. Idealerweise hätten Sie Laborausrüstung, um den gesamten Prozess zu testen, aber leider kommt das nicht oft vor.

Bei kritischen Geräten können Sie den Support des Anbieters kontaktieren und um Unterstützung beim Upgrade bitten.

Ticket-System

Jetzt können Sie sich umschauen. Sie müssen die Prozesse für die Zusammenarbeit mit anderen Abteilungen und innerhalb Ihres Teams etablieren.

Vielleicht ist das nicht zwingend erforderlich (z. B. wenn Ihr Unternehmen klein ist), aber ich würde dringend empfehlen, die Arbeit so zu organisieren, dass alle externen und internen Aufgaben über ein Ticketsystem laufen.

Das Ticket-System ist im Grunde Ihr Interface für interne und externe Kommunikation, und Sie sollten dieses Interface mit ausreichender Detailgenauigkeit beschreiben.

Lassen Sie uns als Beispiel eine wichtige und häufige Aufgabe zur Gewährung von Zugängen betrachten. Ich werde den Algorithmus beschreiben, der in einem unserer Unternehmen hervorragend funktioniert hat.

Beispiel

Zunächst einmal formulieren Kunden ihren Wunsch oft in einer für Netzwerkingenieure unverständlichen Sprache, das heißt, in der Sprache der Anwendungen, wie zum Beispiel: „Geben Sie mir Zugang zu 1C“.

Deshalb haben wir Anfragen von solchen Nutzern niemals direkt angenommen.
Und das war die erste Anforderung.

  • Anfragen zur Bereitstellung von Zugängen sollten von den technischen Abteilungen kommen (in unserem Fall waren das Unix-, Windows- und Helpdesk-Ingenieure).

Die zweite Anforderung ist, dass

  • der Zugang protokolliert werden muss (von der technischen Abteilung, von der wir diese Anfrage erhalten haben), und als Anfrage erhalten wir einen Link zu diesem protokollierten Zugang.

Das Formular dieser Anfrage sollte für uns verständlich sein, das heißt,

  • Die Anfrage muss Informationen darüber enthalten, aus welchem Netzwerk und in welches Subnetz der Zugang geöffnet werden soll, sowie über das Protokoll und (im Fall von TCP/UDP) die Ports.

Es muss auch angegeben werden,

  • wofür dieser Zugang eröffnet wird.
  • ob es sich um einen temporären oder permanenten Zugang handelt (falls temporär, bis zu welchem Datum).

Ein sehr wichtiger Punkt sind die Genehmigungen.

  • von der Leitung der Abteilung, die den Zugang beantragt hat (z. B. Buchhaltung).
  • von der Leitung der technischen Abteilung, von der diese Anfrage an die Netzabteilung gesendet wurde (z. B. Helpdesk).

Dabei wird der "Besitzer" dieses Zugangs als die Leitung der Abteilung betrachtet, die den Zugang beantragt hat (Buchhaltung in unserem Beispiel), und sie ist verantwortlich dafür, dass die Seite mit den protokollierten Zugängen für diese Abteilung aktuell bleibt.

Protokollierung

Das ist eine Herausforderung, in der man versinken kann. Aber wenn Sie einen proaktiven Ansatz verfolgen möchten, müssen Sie lernen, mit diesem Datenfluss umzugehen.

Hier sind einige praktische Empfehlungen:

  • Die Logs sollten täglich überprüft werden.
  • Bei geplanten Überprüfungen (und nicht in Notfallsituationen) können Sie sich auf die Kritikalitätslevel (Severity) 0, 1, 2 beschränken und nach Bedarf die ausgewählten Muster anderer Level hinzufügen.
  • Schreiben Sie ein Skript, das die Protokolle analysiert und die Protokolle ignoriert, deren Muster Sie auf die Ignorierliste gesetzt haben.

Dieser Ansatz ermöglicht es Ihnen im Laufe der Zeit, eine Ignorierliste von Protokollen zu erstellen, die für Sie nicht interessant sind, und nur die Beizubehalten, die Sie wirklich für wichtig halten.
Das hat bei uns hervorragend funktioniert.

Überwachung

Es ist nicht ungewöhnlich, dass ein Unternehmen kein Überwachungssystem hat. Sie könnten beispielsweise auf die Protokolle vertrauen, aber die Hardware könnte einfach "sterben", ohne etwas "zu sagen", oder ein UDP-Paket des Syslog-Protokolls könnte verloren gehen und nicht ankommen. Insgesamt ist natürlich aktive Überwachung wichtig und erforderlich.

Zwei der am häufigsten gefragten Beispiele aus meiner Praxis:

  • Überwachung der Bandbreitenauslastung, kritischer Verbindungen (zum Beispiel Verbindung zu Anbietern). Dadurch wird proaktiv ein potenzielles Problem der Dienstverschlechterung aufgrund von Datenverlust sichtbar und kann somit vermieden werden.
  • NetFlow-basierte Grafiken ermöglichen es, Anomalien im Datenverkehr einfach zu erkennen und sind äußerst nützlich für die Identifizierung bestimmter einfacher, aber entscheidender Hackerangriffe.

Wichtig! Stellen Sie SMS-Benachrichtigungen für die kritischsten Ereignisse ein. Dies gilt sowohl für das Monitoring als auch für das Logging. Wenn Sie keine Bereitschaftsschicht haben, sollten die SMS auch in der Freizeit ankommen.

Planen Sie den Prozess so, dass nicht alle Ingenieure unnötig geweckt werden. Wir hatten dafür einen Bereitschaftsingenieur.

Änderungskontrolle

Meiner Meinung nach ist es nicht notwendig, jede Änderung zu überwachen. Dennoch sollten Sie in der Lage sein, jederzeit leicht nachzuvollziehen, wer welche Änderungen im Netzwerk vorgenommen hat und warum.

Einige Hinweise:

  • Nutzen Sie ein Ticket-System, um detailliert zu dokumentieren, was im Rahmen dieses Tickets gemacht wurde, indem Sie beispielsweise die angewandte Konfiguration im Ticket festhalten.
  • Nutzen Sie die Kommentarfunktionen an Netzwerkgeräten (z. B. Commit-Kommentare bei Juniper). Sie können die Ticketnummer vermerken.
  • Verwenden Sie Diff-Analysen Ihrer Konfigurations-Backups.

Sie können dies als Prozess einführen, indem Sie täglich alle Tickets auf Änderungen überprüfen.

Prozesse

Sie müssen die Prozesse in Ihrem Team formalisieren und beschreiben. Wenn Sie bis zu diesem Punkt gekommen sind, sollten in Ihrem Team mindestens die folgenden Prozesse vorhanden sein:

Tägliche Prozesse:

  • Tickets bearbeiten
  • Logdateien analysieren
  • Änderungen überwachen
  • tägliche Checkliste

Jährliche Prozesse:

  • Verlängerung von Garantien und Lizenzen

Asynchrone Prozesse:

  • Reaktion auf verschiedene Notfälle

Abschluss des ersten Teils

Sie haben bemerkt, dass all dies nicht mit der Netzwerkkonfiguration, dem Design, den Netzwerkprotokollen, dem Routing oder der Sicherheit zu tun hat… Es geht um andere Dinge. Aber auch wenn sie möglicherweise langweilig erscheinen, sind es natürlich sehr wichtige Elemente der Arbeit einer Netzwerkabteilung.

Wie Sie sehen, haben Sie Ihre Netzwerke bisher nicht verbessert. Wenn es Sicherheitsanfälligkeiten gab, bestehen sie weiterhin. Wenn das Design schlecht war, bleibt es schlecht. Sie haben Ihre Fähigkeiten und Ihr Wissen als Netzwerkingenieur, für die wahrscheinlich viel Zeit, Aufwand und manchmal auch Geld investiert wurden, bisher nicht angewendet. Aber zuerst müssen Sie eine Grundlage schaffen (oder stärken), bevor Sie mit dem Bau beginnen.

Darüber, wie Sie Fehler suchen und beheben und Ihre Infrastruktur anschließend verbessern können – darum geht es in den folgenden Abschnitten.

Natürlich müssen Sie nicht alles nacheinander erledigen. Zeit kann entscheidend sein. Arbeiten Sie parallel, wenn es die Ressourcen zulassen.

Ein wichtiger Hinweis: Kommunizieren Sie, fragen Sie nach und beraten Sie sich mit Ihrem Team. Schließlich sind es die Mitarbeiter, die alles unterstützen und umsetzen müssen.

Quelle: habr.com

Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server 🔥 Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster