En episodios anteriores: Jet cambiou a unha nova rede baseada nun provedor coñecido. Como se desenvolveu o proceso de auditar os sistemas, recoller "listas de desexos" e domar a "reserva mutante", le en .
Nesta ocasión falarei do proceso de migración de usuarios (máis de 1600 persoas) da rede antiga á nova. Convido a todos os que estean interesados a gato.
Entón, a rede existente da compañía no verán pasado:
- A topoloxía máis sinxela é a "columna troncal colapsada": o núcleo da rede (tamén coñecido como nivel de distribución) está formado por dous conmutadores de nivel de rede combinados nun clúster VSS;
- o nivel de acceso está representado por interruptores e pilas de interruptores de nivel de enlace instalados en conexións cruzadas, e ás veces directamente en corredores e mesmo en salas de traballo;
- parte dos interruptores de acceso está incluído nunha cadea, é dicir, o interruptor está incluído noutro interruptor, e este xa está no núcleo;
- A tolerancia a fallos de conectar os interruptores de acceso ao núcleo está asegurada principalmente a través de LACP, ás veces non está asegurada en absoluto;
- control de acceso - vía VLAN, enrutamento VLAN - no núcleo;
- utilízanse interruptores de acceso de tres fabricantes e catro xeracións, os usuarios conéctanse a velocidades de 100 Mbit/s a 1 Gbit/s;
- Algúns usuarios aínda usan teléfonos analóxicos, algúns usan teléfonos IP conectados a través de inxectores PoE e unha minoría aínda usa teléfonos IP alimentados por PoE desde interruptores de acceso.
Unha tarefa:
- poñer a rede en forma decente;
- non perturbar o traballo dos empregados durante a modernización;
- solucionar o maior número posible de problemas acumulados durante os 15 anos anteriores de funcionamento.
Vida anterior
Antes, o sistema para operar e ampliar a rede na oficina era o seguinte: supoñamos que necesitamos organizar espazos de traballo para os novos empregados. Alugouse espazo adicional no centro de negocios, fixéronse reparacións, colocouse SCS, despois de que se implantou unha rede informática e telefónica.
Segundo as necesidades do departamento, había de 2 a 4 tomas RJ-45 por centro de traballo. Unha das tomas foi designada como toma de teléfono (recibiu unha marca verde), o resto (de unha a tres) foron designadas como tomas de ordenador (recibiu unha marca azul).
Enchufes nun lugar de traballo típico
Incluso na fase de construción da rede, cada toma de ordenador estaba conectada a un porto de conmutador de acceso separado, cada toma de teléfono estaba conectada a un porto analóxico dunha central telefónica (en locais antigos) ou a un porto de conmutador de acceso preconfigurado para datos VoIP. transmisión (en novos locais).
Este esquema era conveniente para o servizo de operación. Os usuarios mudáronse a unha habitación nova, conectaron un ordenador a calquera toma de ordenador libre e un teléfono a calquera toma de teléfono libre.
Despois diso, o persoal de soporte técnico, centrándose nos enderezos MAC dos equipos conectados, rexistrou as VLAN necesarias e outros parámetros nos portos do interruptor de acceso.
Pero o enfoque tiña o seu inconveniente: non era económico e ata a metade dos portos permaneceron sen usar. Esa reserva é útil se co paso do tempo se organizan postos de traballo adicionais nas instalacións, pero nunca puidemos aproveitar a totalidade da reserva do 50%.
Preparación para a migración
Na primeira etapa, decidimos substituír todos os interruptores de acceso. Elixiuse o modelo familiar como estándar , concretamente S5720-52X-PWR-SI-AC. As súas características:
- conéctase á columna vertebral a unha velocidade de 10 Gbit/s;
- apilado usando interfaces 10G habituais;
- permite a conexión a todos os portos de usuario a unha velocidade de 1 Gbit/s;
- Ofrece alimentación PoE en todos os portos de usuario.
Así, calquera porto pódese usar para conectar un ordenador, teléfono IP, ordenador mediante teléfono IP, punto de acceso sen fíos, cámara CCTV e outros dispositivos.
Tivemos que descubrir cales son os puntos de venda das salas que se estaban a usar realmente e que estaba conectado a eles. Tiñamos:
- datos de proxectos de instalación de SCS antigos e non tan antigos;
- revistas de cable "non totalmente relevantes" para todos os locais da empresa;
- táboas de enderezos MAC nos conmutadores de acceso existentes, que obtivemos mediante equipos de rede incorporados;
- táboas de correspondencia entre enderezos MAC dos aparellos telefónicos e números internos de abonados - da central telefónica.
A continuación, escribimos un pequeno script que, en base a estes datos, compilaba táboas de conmutación e migración (unha táboa separada para cada seguinte etapa do traballo). Contiñan a seguinte información:
- locais;
- sinalización portuaria no lugar de traballo;
- marcando o enchufe no panel de conexión no crossover;
- nome de host do conmutador antigo (pila);
- número de porto no interruptor antigo;
- ID de VLAN;
- enderezo MAC do dispositivo conectado (ou varios);
- tipo de dispositivo conectado (determinado polo enderezo MAC);
- nome (nome de host) do novo interruptor (pila);
- número de porto no novo switch.
Resultados do guión
A partir desta táboa quedou claro inmediatamente o que estaba conectado exactamente a un porto específico: unha computadora, un teléfono, unha computadora a través dun teléfono (se houbese dous enderezos MAC) ou algo máis complexo.
Baseándose nas táboas, os enxeñeiros de deseño desenvolveron novos rexistros de cables e os enxeñeiros de implementación preconfiguraron novos interruptores, que na seguinte fase da migración instaláronse en conexións cruzadas para substituír aos antigos.
Fragmento da nova revista cross
Acceda á configuración do porto
Así, o traballo reduciuse ao seguinte:
- desconecte os antigos interruptores de acceso, retire os cables de conexión;
- instalar novos interruptores de acceso, conectar a enerxía;
- realizar a conmutación segundo o rexistro cruzado;
- pasear polas zonas de traballo, asegúrese de que os teléfonos e os ordenadores funcionan correctamente.
Parece sinxelo, pero...
A primeira fase é a substitución dos interruptores de acceso: tres meses de traballo os sete días da semana
Desde mediados de 2018, levamos tres meses substituíndo os interruptores de acceso cada fin de semana e cambiando de novo as estacións de traballo segundo as nosas táboas de migración (uns 3500 portos en total).
A primeira migración levounos máis de 12 horas; durante este tempo conseguimos substituír unha pila de acceso de cinco conmutadores e reconectar aproximadamente 200 portos conectados a ela.
O que máis tempo levou foi... preparar os cordóns. Cada cordón de conexión tivo que ser retirado da súa embalaxe e etiquetado cun número a ambos os dous lados. Só despois disto o cable de conexión podería usarse para cambiar.
Durante as próximas migracións, optimizamos o proceso e preparamos cables de conexión con antelación. Polo tanto, a última migración levou as mesmas 12 horas, e durante este tempo conseguimos substituír cinco pilas de acceso, de 3 a 5 switches en cada unha, e cambiar de novo máis de 1000 portos.
Que conseguimos ao final?
En primeiro lugar, o rexistro cruzado actualizado, que compartimos co servizo de operacións. O servizo desenvolveu a súa propia aplicación web para admitir o estado de conmutación actual; agora sempre se pode ver nun recurso interno.
En segundo lugar, as estacións de traballo conectadas a novos interruptores de acceso modernos. Ao mesmo tempo, finalmente desfixémonos dos teléfonos analóxicos e das fontes de alimentación separadas para teléfonos IP, actualizamos e unificamos o firmware dos teléfonos IP para que o teléfono e o interruptor se recoñezan correctamente mediante o protocolo LLDP. Isto é necesario para que o teléfono entenda en que VLAN debe transmitir cadros de voz e en que - cadros dos equipos conectados a través do teléfono. Así, o teléfono pode acceder aos servidores da central telefónica, e os usuarios poden conectar os ordenadores dos seus lugares de traballo ben directamente ao enchufe ou a través do teléfono.
En terceiro lugar, desactivamos todos os portos non utilizados dos equipos activos e configuramos a función de seguridade do porto. Paralelamente, formulamos, coordinamos e aprobamos a normativa de conexións, agora non hai conexións “máis aló da caixa rexistradora”.
Así, nós:
- ordenar e documentar todas as conexións dos equipos de oficina;
- desfaceuse dos vellos interruptores, inxectores PoE, teléfonos analóxicos;
- redución do consumo de enerxía dos equipos (en áreas individuais de campo e traballo - ata un 30%);
- mellorou a experiencia do usuario e mantivo unha reserva razoablemente suficiente de portos de equipos activos (a costa dun lixeiro aumento da carga de traballo dos especialistas en soporte técnico, especialmente cando os empregados se mudan a novas instalacións).
Migración en pleno apoxeo: cambio a unha nova estrada
Tras a conclusión da primeira etapa, a situación coas conexións dos usuarios volveu á normalidade, pero nada cambiou coa columna vertebral. Como se mencionou anteriormente, antes da modernización arranxouse de forma sinxela. Había preto de 100 VLAN que foron enrutadas nun switch central, ou mellor dito, en dous switches agrupados usando tecnoloxía VSS.
Paralelamente á primeira etapa da migración, construímos e probamos unha nova columna vertebral de acordo cos principios establecidos en :
- interruptores de núcleo Huawei CE8850 instalados;
- interruptores de distribución Huawei CE6870 instalados;
- estableceu liñas de fibra óptica adicionais;
- fixo todas as conexións;
- configurou os protocolos de enrutamento de superposición e subxacente (pero ata que se completou a primeira etapa, os interruptores estaban inactivos e quentaban o aire).
Entón comezou a seguinte etapa da migración. Non moi longo, pero o máis difícil.
Para comezar, elaboramos e acordamos un novo plan de enderezo IP que teña en conta as nosas necesidades actuais e futuras. O novo plan asignou rangos separados para todos os L3VPN planificados: para usuarios comúns e usuarios do centro técnico, para sistemas de telefonía, videoconferencia, cámaras CCTV, stands de demostración de varios tipos e outras necesidades.
Despois conectamos toda a rede antiga a un par de conmutadores de distribución como unha única pila de acceso. Despois diso, comezamos a cambiar as pilas á nova columna vertebral, cambiando os números de VLAN e, en consecuencia, cambiando os enderezos IP dos usuarios conectados a novos intervalos.
Planificamos o traballo de forma que cambiase un grupo bastante grande de interruptores de acceso á vez. Traballaban tanto de noite como de fin de semana, dependendo das especificidades do traballo das unidades conmutadas.
Antes de comezar a traballar, realizamos as seguintes operacións con antelación:
- configurou o servidor DHCP corporativo para que emitise enderezos IP do novo intervalo para usuarios cambiados;
- portos configurados nos interruptores de distribución, que estaban previstos para incluír interruptores de acceso durante a migración;
- usando outro script especialmente desenvolvido, preparáronse configuracións modificadas para interruptores conmutados.
Traballaron na seguinte orde:
- interruptores de acceso conmutados do tronco vello ao novo;
- asegurouse de que os interruptores sexan accesibles a través da interface de xestión;
- cargou unha configuración preparada previamente para os interruptores conmutados para cambiar os números de VLAN.
Antes de realizar o traballo anterior, a VLAN que contén as interfaces de xestión de todos os interruptores de acceso "estirouse" entre o tronco vello e o novo, polo que o paso 2 adoita levar un mínimo de tempo. No caso máis sinxelo, as estacións de traballo dos usuarios (así como teléfonos, impresoras e outros dispositivos) recibiron inmediatamente enderezos IP do novo rango do servidor DHCP e continuaron funcionando sen cambios.
Onde sen problemas?
Encontramos varias dificultades no camiño.
En primeiro lugar, as impresoras de moitos usuarios deixaron de funcionar. Nalgunhas estacións de traballo dos usuarios, o acceso ás impresoras configurouse mediante un enderezo IP específico. Despois de que as impresoras cambiaron a un novo intervalo, recibiron novos enderezos e os usuarios perderon o acceso a eles. Para resolver o problema, ao día seguinte da migración, asignamos unha persoa de asistencia durante medio día para que percorrese os usuarios migrados e reconfigure as impresoras para que utilicen nomes DNS en lugar de enderezos IP.
Ao migrar o primeiro grupo de usuarios, tivemos que resolver algúns problemas coa configuración correcta dos cortalumes para que permitisen aos usuarios migrados acceder aos recursos corporativos necesarios. E con todas as migracións posteriores, xa sabiamos de antemán o que había que configurar.
Por último, trasladamos o centro de servizos, é dicir, os empregados da quenda de servizo. A quenda de traballo debe funcionar de forma continua e 24 horas, e ter sempre acceso aos recursos necesarios para o traballo e aos sistemas de información dos clientes. Para estas persoas, organizamos espazos de traballo temporais en horarios previamente acordados e en salas separadas. Un empregado da quenda de servizo trasladouse a esta sala e asegurouse de que podía acceder a todos os sistemas necesarios. Despois de que o resto mudouse a esta sala.
Despois migramos a unidade correspondente, invitamos a un dos empregados da quenda de servizo a que regresase ao seu lugar e comprobemos a dispoñibilidade de todos os recursos necesarios. Os problemas resolvéronse rapidamente se se descubriu algún. Houbo poucos problemas. Despois diso, o cambio de deber pasou de novo do "abrigo temporal" ao modo habitual de funcionamento nos seus lugares de traballo con todo o conxunto de sistemas de información que necesitaban.
Nalgún momento, descubrimos que non quedaba nin un só lugar de traballo de usuario na antiga rede. E abriron o champaña. A continuación, comezamos a migrar o segmento do servidor. Aplicouse un esquema diferente, xa que o servidor normalmente non se pode deter nin sequera durante 15 minutos. Disto falarei por separado no seguinte artigo.
Máximo Klochkov
Consultor senior do grupo de auditoría de redes e proxectos complexos
Centro de solucións de rede
"Jet Infosystems"
Fonte: www.habr.com
