Αυτό το άρθρο είναι το δεύτερο σε μια σειρά άρθρων «Πώς να αποκτήσετε τον έλεγχο της υποδομής δικτύου σας». Μπορείτε να βρείτε τα περιεχόμενα όλων των άρθρων της σειράς και τους συνδέσμους .
Στόχος μας σε αυτό το στάδιο είναι να βάλουμε τάξη στην τεκμηρίωση και τη διαμόρφωση.
Στο τέλος αυτής της διαδικασίας, θα πρέπει να έχετε το απαραίτητο σύνολο εγγράφων και ένα δίκτυο ρυθμισμένο σύμφωνα με αυτά.
Τώρα δεν θα μιλήσουμε για ελέγχους ασφαλείας - αυτό θα είναι το θέμα του τρίτου μέρους.
Η δυσκολία ολοκλήρωσης της εργασίας που έχει ανατεθεί σε αυτό το στάδιο, φυσικά, διαφέρει πολύ από εταιρεία σε εταιρεία.
Η ιδανική κατάσταση είναι όταν
- Το δίκτυό σας δημιουργήθηκε σύμφωνα με το έργο και έχετε ένα πλήρες σύνολο εγγράφων
- έχει εφαρμοστεί στην εταιρεία σας για δίκτυο
- σύμφωνα με αυτή τη διαδικασία, έχετε έγγραφα (συμπεριλαμβανομένων όλων των απαραίτητων διαγραμμάτων) που παρέχουν πλήρεις πληροφορίες σχετικά με την τρέχουσα κατάσταση των πραγμάτων
Σε αυτήν την περίπτωση, το έργο σας είναι αρκετά απλό. Θα πρέπει να μελετήσετε τα έγγραφα και να ελέγξετε όλες τις αλλαγές που έχουν γίνει.
Στη χειρότερη περίπτωση, θα έχετε
- ένα δίκτυο που δημιουργήθηκε χωρίς έργο, χωρίς σχέδιο, χωρίς έγκριση, από μηχανικούς που δεν έχουν επαρκές επίπεδο προσόντων,
- με χαοτικές, ατεκμηρίωτες αλλαγές, με πολλά «σκουπίδια» και μη βέλτιστες λύσεις
Είναι σαφές ότι η κατάστασή σας βρίσκεται κάπου στο ενδιάμεσο, αλλά δυστυχώς, σε αυτήν την κλίμακα του καλύτερου - χειρότερου, υπάρχει μεγάλη πιθανότητα να είστε πιο κοντά στο χειρότερο τέλος.
Σε αυτή την περίπτωση, θα χρειαστείτε επίσης την ικανότητα να διαβάζετε μυαλά, γιατί θα πρέπει να μάθετε να καταλαβαίνετε τι ήθελαν να κάνουν οι «σχεδιαστές», να αποκαταστήσετε τη λογική τους, να ολοκληρώσετε ό,τι δεν είχε τελειώσει και να αφαιρέσετε τα «σκουπίδια».
Και, φυσικά, θα χρειαστεί να διορθώσετε τα λάθη τους, να αλλάξετε (σε αυτό το στάδιο όσο το δυνατόν ελάχιστα) το σχέδιο και να αλλάξετε ή να δημιουργήσετε ξανά τα σχήματα.
Αυτό το άρθρο σε καμία περίπτωση δεν ισχυρίζεται ότι είναι πλήρες. Εδώ θα περιγράψω μόνο τις γενικές αρχές και θα επικεντρωθώ σε ορισμένα κοινά προβλήματα που πρέπει να επιλυθούν.
Σύνολο εγγράφων
Ας ξεκινήσουμε με ένα παράδειγμα.
Ακολουθούν ορισμένα έγγραφα που δημιουργούνται συνήθως στη Cisco Systems κατά τη διάρκεια του σχεδιασμού.
CR – Απαιτήσεις πελατών, απαιτήσεις πελατών (τεχνικές προδιαγραφές).
Δημιουργείται από κοινού με τον πελάτη και καθορίζει τις απαιτήσεις του δικτύου.HLD – Σχεδιασμός υψηλού επιπέδου, σχεδιασμός υψηλού επιπέδου με βάση τις απαιτήσεις δικτύου (CR). Το έγγραφο εξηγεί και αιτιολογεί τις αρχιτεκτονικές αποφάσεις που λαμβάνονται (τοπολογία, πρωτόκολλα, επιλογή υλικού,...). Το HLD δεν περιέχει λεπτομέρειες σχεδίασης, όπως τις διεπαφές και τις διευθύνσεις IP που χρησιμοποιούνται. Επίσης, η συγκεκριμένη διαμόρφωση υλικού δεν συζητείται εδώ. Αντίθετα, αυτό το έγγραφο προορίζεται να εξηγήσει βασικές έννοιες σχεδιασμού στην τεχνική διαχείριση του πελάτη.
LLD – Σχεδίαση χαμηλού επιπέδου, σχεδιασμός χαμηλού επιπέδου που βασίζεται σε σχεδιασμό υψηλού επιπέδου (HLD).
Θα πρέπει να περιέχει όλες τις απαραίτητες λεπτομέρειες για την υλοποίηση του έργου, όπως πληροφορίες σχετικά με τον τρόπο σύνδεσης και διαμόρφωσης του εξοπλισμού. Αυτός είναι ένας πλήρης οδηγός για την υλοποίηση του σχεδιασμού. Αυτό το έγγραφο θα πρέπει να παρέχει επαρκείς πληροφορίες για την εφαρμογή του ακόμη και από λιγότερο εξειδικευμένο προσωπικό.Κάτι, για παράδειγμα, διευθύνσεις IP, αριθμοί AS, σύστημα φυσικής εναλλαγής (καλωδίωση), μπορούν να "βγούν" σε ξεχωριστά έγγραφα, όπως π.χ. ΕΕΠ (Σχέδιο Υλοποίησης Δικτύου).
Η κατασκευή του δικτύου ξεκινά μετά τη δημιουργία αυτών των εγγράφων και πραγματοποιείται σύμφωνα με αυτά και στη συνέχεια ελέγχεται από τον πελάτη (δοκιμές) για συμμόρφωση με το σχεδιασμό.
Φυσικά, διαφορετικοί ολοκληρωτές, διαφορετικοί πελάτες και διαφορετικές χώρες μπορεί να έχουν διαφορετικές απαιτήσεις για την τεκμηρίωση του έργου. Θα ήθελα όμως να αποφύγω τις διατυπώσεις και να εξετάσω το θέμα επί της ουσίας του. Αυτό το στάδιο δεν αφορά το σχεδιασμό, αλλά την τοποθέτηση των πραγμάτων σε τάξη και χρειαζόμαστε ένα επαρκή σύνολο εγγράφων (διαγράμματα, πίνακες, περιγραφές...) για να ολοκληρώσουμε τις εργασίες μας.
Και κατά τη γνώμη μου, υπάρχει ένα συγκεκριμένο απόλυτο ελάχιστο, χωρίς το οποίο είναι αδύνατο να ελεγχθεί αποτελεσματικά το δίκτυο.
Αυτά είναι τα ακόλουθα έγγραφα:
- διάγραμμα (ημερολόγιο) φυσικής μεταγωγής (καλωδίωση)
- διάγραμμα δικτύου ή διαγράμματα με βασικές πληροφορίες L2/L3
Διάγραμμα φυσικής εναλλαγής
Σε ορισμένες μικρές εταιρείες, οι εργασίες που σχετίζονται με την εγκατάσταση εξοπλισμού και τη φυσική μεταγωγή (καλωδίωση) είναι ευθύνη των μηχανικών δικτύου.
Στην περίπτωση αυτή, το πρόβλημα επιλύεται εν μέρει με την ακόλουθη προσέγγιση.
- χρησιμοποιήστε μια περιγραφή στη διεπαφή για να περιγράψετε τι είναι συνδεδεμένο με αυτήν
- διοικητικός τερματισμός όλων των μη συνδεδεμένων θυρών εξοπλισμού δικτύου
Αυτό θα σας δώσει την ευκαιρία, ακόμη και σε περίπτωση προβλήματος με τη σύνδεση (όταν το cdp ή το lldp δεν λειτουργεί σε αυτήν τη διεπαφή), να προσδιορίσετε γρήγορα τι είναι συνδεδεμένο σε αυτήν τη θύρα.
Μπορείτε επίσης να δείτε εύκολα ποιες θύρες είναι κατειλημμένες και ποιες είναι ελεύθερες, κάτι που είναι απαραίτητο για τον προγραμματισμό συνδέσεων νέου εξοπλισμού δικτύου, διακομιστών ή σταθμών εργασίας.
Αλλά είναι σαφές ότι εάν χάσετε την πρόσβαση στον εξοπλισμό, θα χάσετε και την πρόσβαση σε αυτές τις πληροφορίες. Επιπλέον, με αυτόν τον τρόπο δεν θα μπορείτε να καταγράψετε τόσο σημαντικές πληροφορίες όπως τι είδους εξοπλισμό, τι κατανάλωση ρεύματος, πόσες θύρες, σε τι rack βρίσκεται, τι patch panel υπάρχουν και πού (σε ποιο rack/patch panel ) συνδέονται . Επομένως, η πρόσθετη τεκμηρίωση (όχι μόνο οι περιγραφές στον εξοπλισμό) εξακολουθεί να είναι πολύ χρήσιμη.
Η ιδανική επιλογή είναι να χρησιμοποιήσετε εφαρμογές που έχουν σχεδιαστεί για να λειτουργούν με αυτού του είδους τις πληροφορίες. Αλλά μπορείτε να περιοριστείτε σε απλούς πίνακες (για παράδειγμα, στο Excel) ή να εμφανίσετε τις πληροφορίες που θεωρείτε απαραίτητες στα διαγράμματα L1/L2.
Σημαντικό!
Ένας μηχανικός δικτύου, φυσικά, μπορεί να γνωρίζει πολύ καλά τις περιπλοκές και τα πρότυπα του SCS, τους τύπους rack, τους τύπους αδιάλειπτης παροχής ρεύματος, τι είναι κρύος και ζεστός διάδρομος, πώς να κάνει σωστή γείωση... όπως καταρχήν μπορεί γνωρίζουν τη φυσική των στοιχειωδών σωματιδίων ή C++. Αλλά πρέπει να καταλάβει κανείς ότι όλα αυτά δεν είναι ο τομέας της γνώσης του.
Ως εκ τούτου, είναι καλή πρακτική να υπάρχουν αποκλειστικά τμήματα ή αφοσιωμένοι άνθρωποι για την επίλυση προβλημάτων που σχετίζονται με την εγκατάσταση, τη σύνδεση, τη συντήρηση του εξοπλισμού, καθώς και τη φυσική μεταγωγή. Συνήθως για κέντρα δεδομένων πρόκειται για μηχανικούς κέντρων δεδομένων και για γραφείο είναι γραφείο υποστήριξης.
Εάν παρέχονται τέτοια τμήματα στην εταιρεία σας, τότε τα ζητήματα της καταγραφής της φυσικής εναλλαγής δεν είναι δική σας δουλειά και μπορείτε να περιοριστείτε μόνο στην περιγραφή της διεπαφής και στον διαχειριστικό τερματισμό αχρησιμοποίητων θυρών.
Διαγράμματα δικτύου
Δεν υπάρχει καθολική προσέγγιση για τη σχεδίαση διαγραμμάτων.
Το πιο σημαντικό πράγμα είναι ότι τα διαγράμματα πρέπει να παρέχουν μια κατανόηση του τρόπου ροής της κυκλοφορίας, μέσα από ποια λογικά και φυσικά στοιχεία του δικτύου σας.
Λέγοντας φυσικά στοιχεία εννοούμε
- ενεργό εξοπλισμό
- διεπαφές/θύρες ενεργού εξοπλισμού
Λογικά -
- λογικές συσκευές (N7K VDC, Palo Alto VSYS, ...)
- Επέκταση VRF
- Vilans
- υποδιεπαφές
- σήραγγες
- ζώνη
- ...
Επίσης, εάν το δίκτυό σας δεν είναι εντελώς στοιχειώδες, θα αποτελείται από διαφορετικά τμήματα.
Για παράδειγμα
- κέντρο δεδομένων
- Internet
- WAN
- απομακρυσμένη πρόσβαση
- LAN γραφείου
- DMZ
- ...
Είναι σοφό να έχετε πολλά διαγράμματα που δίνουν τόσο τη μεγάλη εικόνα (πώς ρέει η κυκλοφορία μεταξύ όλων αυτών των τμημάτων) όσο και μια λεπτομερή εξήγηση για κάθε μεμονωμένο τμήμα.
Δεδομένου ότι στα σύγχρονα δίκτυα μπορεί να υπάρχουν πολλά λογικά επίπεδα, είναι ίσως μια καλή (αλλά όχι απαραίτητη) προσέγγιση να δημιουργηθούν διαφορετικά κυκλώματα για διαφορετικά επίπεδα, για παράδειγμα, στην περίπτωση μιας προσέγγισης επικάλυψης αυτό θα μπορούσε να είναι τα ακόλουθα κυκλώματα:
- επικάλυμμα
- Υπόστρωμα L1/L2
- Υπόστρωμα L3
Φυσικά, το πιο σημαντικό διάγραμμα, χωρίς το οποίο είναι αδύνατο να κατανοήσετε την ιδέα του σχεδιασμού σας, είναι το διάγραμμα δρομολόγησης.
Σχέδιο δρομολόγησης
Τουλάχιστον, αυτό το διάγραμμα πρέπει να αντικατοπτρίζει
- ποια πρωτόκολλα δρομολόγησης χρησιμοποιούνται και πού
- βασικές πληροφορίες σχετικά με τις ρυθμίσεις πρωτοκόλλου δρομολόγησης (περιοχή/αριθμός AS/αναγνωριστικό δρομολογητή/…)
- σε ποιες συσκευές γίνεται ανακατανομή;
- όπου γίνεται το φιλτράρισμα και η συνάθροιση διαδρομής
- προεπιλεγμένες πληροφορίες διαδρομής
Επίσης, το σχήμα L2 (OSI) είναι συχνά χρήσιμο.
Σχέδιο L2 (OSI)
Αυτό το διάγραμμα μπορεί να εμφανίζει τις ακόλουθες πληροφορίες:
- τι VLAN
- ποιες θύρες είναι θύρες κορμού
- ποιες θύρες συγκεντρώνονται σε κανάλι αιθέρα (κανάλι θύρας), κανάλι εικονικής θύρας
- ποια πρωτόκολλα STP χρησιμοποιούνται και σε ποιες συσκευές
- βασικές ρυθμίσεις STP: backup root/root, κόστος STP, προτεραιότητα θύρας
- πρόσθετες ρυθμίσεις STP: BPDU guard/φίλτρο, root guard…
Τυπικά σχεδιαστικά λάθη
Ένα παράδειγμα κακής προσέγγισης για την κατασκευή ενός δικτύου.
Ας πάρουμε ένα απλό παράδειγμα κατασκευής ενός απλού LAN γραφείου.
Έχοντας εμπειρία διδασκαλίας τηλεπικοινωνιών σε φοιτητές, μπορώ να πω ότι σχεδόν κάθε φοιτητής μέχρι τα μέσα του δεύτερου εξαμήνου έχει τις απαραίτητες γνώσεις (ως μέρος του μαθήματος που δίδαξα) για να δημιουργήσει ένα απλό LAN γραφείου.
Τι είναι τόσο δύσκολο να συνδέσουμε διακόπτες μεταξύ τους, να ρυθμίσουμε VLAN, διεπαφές SVI (στην περίπτωση των διακοπτών L3) και να ρυθμίσουμε στατική δρομολόγηση;
Όλα θα λειτουργήσουν.
Αλλά ταυτόχρονα, ερωτήματα που σχετίζονται με
- ασφάλεια
- κράτηση
- κλιμάκωση δικτύου
- παραγωγικότητα
- διακίνηση
- αξιοπιστία
- ...
Κατά καιρούς ακούω τη δήλωση ότι ένα LAN γραφείου είναι κάτι πολύ απλό και συνήθως το ακούω από μηχανικούς (και διαχειριστές) που κάνουν τα πάντα εκτός από δίκτυα, και το λένε με τόση σιγουριά που μην εκπλαγείτε αν το LAN θα είναι γίνεται από άτομα με ανεπαρκή πρακτική και γνώση και θα γίνει με τα ίδια περίπου λάθη που θα περιγράψω παρακάτω.
Συνήθη λάθη σχεδιασμού L1 (OSI).
- Εάν, ωστόσο, είστε επίσης υπεύθυνος για το SCS, τότε ένα από τα πιο δυσάρεστα κληροδοτήματα που μπορεί να λάβετε είναι η απρόσεκτη και άστοχη αλλαγή.
Θα ταξινομήσω επίσης ως σφάλματα τύπου L1 που σχετίζονται με τους πόρους του χρησιμοποιούμενου εξοπλισμού, για παράδειγμα,
- ανεπαρκές εύρος ζώνης
- ανεπαρκές TCAM στον εξοπλισμό (ή αναποτελεσματική χρήση του)
- ανεπαρκής απόδοση (συχνά σχετίζεται με τείχη προστασίας)
Συνήθη λάθη σχεδιασμού L2 (OSI).
Συχνά, όταν δεν υπάρχει καλή κατανόηση του τρόπου λειτουργίας του STP και των πιθανών προβλημάτων που φέρνει μαζί του, οι διακόπτες συνδέονται χαοτικά, με προεπιλεγμένες ρυθμίσεις, χωρίς πρόσθετο συντονισμό STP.
Ως αποτέλεσμα, έχουμε συχνά τα εξής
- μεγάλη διάμετρος δικτύου STP, που μπορεί να οδηγήσει σε καταιγίδες εκπομπής
- Η ρίζα STP θα καθοριστεί τυχαία (με βάση τη διεύθυνση mac) και η διαδρομή κίνησης θα είναι υποβέλτιστη
- οι θύρες που συνδέονται με κεντρικούς υπολογιστές δεν θα διαμορφωθούν ως edge (portfast), κάτι που θα οδηγήσει σε επανυπολογισμό STP κατά την ενεργοποίηση/απενεργοποίηση τερματικών σταθμών
- το δίκτυο δεν θα τμηματοποιηθεί στο επίπεδο L1/L2, με αποτέλεσμα προβλήματα με οποιονδήποτε διακόπτη (για παράδειγμα, υπερφόρτωση ισχύος) να οδηγήσουν σε επανυπολογισμό της τοπολογίας STP και διακοπή της κυκλοφορίας σε όλα τα VLAN σε όλους τους μεταγωγείς (συμπεριλαμβανομένων των ένα κρίσιμο από την άποψη του τμήματος υπηρεσιών συνέχειας)
Παραδείγματα λαθών στο σχεδιασμό L3 (OSI).
Μερικά τυπικά λάθη των αρχαρίων δικτυωτών:
- Συχνή χρήση (ή χρήση μόνο) στατικής δρομολόγησης
- χρήση μη βέλτιστων πρωτοκόλλων δρομολόγησης για ένα δεδομένο σχέδιο
- υποβέλτιστη λογική τμηματοποίηση δικτύου
- μη βέλτιστη χρήση του χώρου διευθύνσεων, που δεν επιτρέπει τη συγκέντρωση δρομολογίων
- δεν υπάρχουν εφεδρικές διαδρομές
- δεν υπάρχει κράτηση για προεπιλεγμένη πύλη
- ασύμμετρη δρομολόγηση κατά την ανακατασκευή διαδρομών (μπορεί να είναι κρίσιμης σημασίας στην περίπτωση NAT/PAT, τείχη προστασίας με πλήρη κατάσταση)
- προβλήματα με το MTU
- όταν οι διαδρομές ανακατασκευάζονται, η κυκλοφορία διέρχεται από άλλες ζώνες ασφαλείας ή ακόμα και άλλα τείχη προστασίας, γεγονός που οδηγεί σε διακοπή αυτής της κυκλοφορίας
- κακή επεκτασιμότητα τοπολογίας
Κριτήρια για την αξιολόγηση της ποιότητας του σχεδιασμού
Όταν μιλάμε για βελτιστοποίηση/μη βέλτιστη, πρέπει να καταλάβουμε από τη σκοπιά με ποια κριτήρια μπορούμε να το αξιολογήσουμε. Εδώ, κατά την άποψή μου, είναι τα πιο σημαντικά (αλλά όχι όλα) κριτήρια (και εξήγηση σε σχέση με τα πρωτόκολλα δρομολόγησης):
- επεκτασιμότητα
Για παράδειγμα, αποφασίζετε να προσθέσετε ένα άλλο κέντρο δεδομένων. Πόσο εύκολα μπορείς να το κάνεις; - ευκολία χρήσης (διαχειρισιμότητα)
Πόσο εύκολες και ασφαλείς είναι οι λειτουργικές αλλαγές, όπως η ανακοίνωση ενός νέου δικτύου ή το φιλτράρισμα διαδρομών; - διαθεσιμότητα
Τι ποσοστό του χρόνου παρέχει το σύστημά σας το απαιτούμενο επίπεδο υπηρεσιών; - ασφάλεια
Πόσο ασφαλή είναι τα μεταδιδόμενα δεδομένα; - τιμή
Αλλαγές
Η βασική αρχή σε αυτό το στάδιο μπορεί να εκφραστεί με τον τύπο "μην κάνετε κακό".
Επομένως, ακόμα κι αν δεν συμφωνείτε απόλυτα με τη σχεδίαση και την επιλεγμένη υλοποίηση (διαμόρφωση), δεν είναι πάντα σκόπιμο να κάνετε αλλαγές. Μια λογική προσέγγιση είναι να ταξινομηθούν όλα τα εντοπισμένα προβλήματα σύμφωνα με δύο παραμέτρους:
- πόσο εύκολα μπορεί να διορθωθεί αυτό το πρόβλημα
- πόσο ρίσκο διατρέχει;
Πρώτα απ 'όλα, είναι απαραίτητο να εξαλειφθεί αυτό που μειώνει επί του παρόντος το επίπεδο της παρεχόμενης υπηρεσίας κάτω από το αποδεκτό επίπεδο, για παράδειγμα, προβλήματα που οδηγούν σε απώλεια πακέτων. Στη συνέχεια, διορθώστε ό,τι είναι πιο εύκολο και ασφαλές να διορθώσετε με φθίνουσα σειρά σοβαρότητας κινδύνου (από προβλήματα σχεδίασης ή διαμόρφωσης υψηλού κινδύνου έως προβλήματα χαμηλού κινδύνου).
Η τελειομανία σε αυτό το στάδιο μπορεί να είναι επιβλαβής. Φέρτε τη σχεδίαση σε ικανοποιητική κατάσταση και συγχρονίστε ανάλογα τη διαμόρφωση του δικτύου.
Πηγή: www.habr.com