ProHoster > Blog > uprava > Kako preuzeti kontrolu nad svojom mrežnom infrastrukturom. Drugo poglavlje. Čišćenje i dokumentacija

Kako preuzeti kontrolu nad svojom mrežnom infrastrukturom. Drugo poglavlje. Čišćenje i dokumentacija

Ovaj je članak drugi u nizu članaka “Kako preuzeti kontrolu nad svojom mrežnom infrastrukturom.” Sadržaj svih članaka u seriji i poveznice možete pronaći здесь.

Kako preuzeti kontrolu nad svojom mrežnom infrastrukturom. Drugo poglavlje. Čišćenje i dokumentacija

Cilj nam je u ovoj fazi uvesti red u dokumentaciju i konfiguraciju.
Na kraju ovog procesa trebali biste imati potreban skup dokumenata i mrežu konfiguriranu u skladu s njima.

Sada nećemo govoriti o sigurnosnim revizijama – to će biti tema trećeg dijela.

Težina dovršavanja zadatka dodijeljenog u ovoj fazi, naravno, uvelike varira od tvrtke do tvrtke.

Idealna situacija je kada

  • vaša mreža je napravljena u skladu s projektom i imate kompletnu dokumentaciju
  • je implementiran u vašoj tvrtki kontrola promjena i proces upravljanja za mrežu
  • u skladu s ovim procesom imate dokumente (uključujući sve potrebne dijagrame) koji daju potpunu informaciju o trenutnom stanju stvari

U ovom slučaju, vaš zadatak je vrlo jednostavan. Trebali biste proučiti dokumente i pregledati sve promjene koje su napravljene.

U najgorem slučaju, imat ćete

  • mreža napravljena bez projekta, bez plana, bez odobrenja, od strane inženjera koji nemaju dovoljnu razinu kvalifikacija,
  • s kaotičnim, nedokumentiranim promjenama, s puno „smeća“ i neoptimalnih rješenja

Jasno je da je vaša situacija negdje između, ali nažalost, na ovoj ljestvici bolje – gore velika je vjerojatnost da ćete biti bliže najgorem kraju.

U ovom slučaju trebat će vam i sposobnost čitanja misli, jer ćete morati naučiti razumjeti što su "dizajneri" htjeli učiniti, vratiti njihovu logiku, dovršiti ono što nije dovršeno i ukloniti "smeće".
I, naravno, morat ćete ispraviti njihove pogreške, promijeniti (u ovoj fazi što je moguće minimalnije) dizajn i promijeniti ili ponovno izraditi sheme.

Ovaj članak ni na koji način ne tvrdi da je potpun. Ovdje ću opisati samo opća načela i usredotočiti se na neke uobičajene probleme koje je potrebno riješiti.

Set dokumenata

Počnimo s primjerom.

Ispod su neki dokumenti koji se obično izrađuju u Cisco Systems tijekom projektiranja.

CR – Zahtjevi kupaca, zahtjevi klijenata (tehničke specifikacije).
Izrađuje se zajedno s korisnikom i određuje mrežne zahtjeve.

HLD – Dizajn visoke razine, dizajn visoke razine temeljen na zahtjevima mreže (CR). Dokument objašnjava i opravdava donesene arhitektonske odluke (topologija, protokoli, odabir hardvera,...). HLD ne sadrži detalje dizajna, kao što su sučelja i IP adrese koje se koriste. Također, ovdje se ne raspravlja o specifičnoj hardverskoj konfiguraciji. Umjesto toga, ovaj je dokument namijenjen tehničkom menadžmentu kupca objasniti ključne koncepte dizajna.

LLD – Dizajn niske razine, dizajn niske razine temeljen na dizajnu visoke razine (HLD).
Trebao bi sadržavati sve detalje potrebne za provedbu projekta, kao što su informacije o tome kako spojiti i konfigurirati opremu. Ovo je potpuni vodič za implementaciju dizajna. Ovaj dokument trebao bi pružiti dovoljno informacija za njegovu provedbu čak i od strane manje kvalificiranog osoblja.

Nešto, npr. IP adrese, AS brojevi, fizička komutacijska shema (kabliranje), može se “izbaciti” u zasebne dokumente, kao npr. NIP (Plan implementacije mreže).

Izgradnja mreže počinje nakon izrade ovih dokumenata i odvija se u strogom skladu s njima, a zatim je provjerava kupac (testovi) za usklađenost s projektom.

Naravno, različiti integratori, različiti klijenti i različite zemlje mogu imati različite zahtjeve za projektnu dokumentaciju. No, želio bih izbjeći formalnosti i razmotriti pitanje po meritumu. U ovoj se fazi ne radi o dizajnu, već o dovođenju stvari u red, a potreban nam je dovoljan skup dokumenata (dijagrami, tablice, opisi...) da bismo izvršili svoje zadatke.

I po mom mišljenju, postoji određeni apsolutni minimum, bez kojeg je nemoguće učinkovito kontrolirati mrežu.

To su sljedeći dokumenti:

  • dijagram (log) fizičke komutacije (kabliranja)
  • mrežni dijagram ili dijagrami s bitnim L2/L3 informacijama

Fizički sklopni dijagram

U nekim malim poduzećima posao vezan uz instalaciju opreme i fizičko prespajanje (kabliranje) odgovornost je mrežnih inženjera.

U ovom slučaju problem je djelomično riješen sljedećim pristupom.

  • upotrijebite opis na sučelju da biste opisali što je s njim povezano
  • administrativno isključi sve nepovezane priključke mrežne opreme

To će vam dati priliku, čak i u slučaju problema s vezom (kada cdp ili lldp ne rade na ovom sučelju), da brzo odredite što je spojeno na ovaj priključak.
Također možete jednostavno vidjeti koji su portovi zauzeti, a koji slobodni, što je potrebno za planiranje povezivanja nove mrežne opreme, poslužitelja ili radnih stanica.

No jasno je da ako izgubite pristup opremi, izgubit ćete i pristup ovim informacijama. Osim toga, na ovaj način nećete moći zabilježiti tako važne informacije kao što je vrsta opreme, koja potrošnja energije, koliko portova, u kojem se stalku nalazi, koji patch paneli postoje i gdje (u kojem rack-u/patch panelu ) oni su povezani . Stoga je dodatna dokumentacija (ne samo opisi na opremi) još uvijek vrlo korisna.

Idealna opcija je korištenje aplikacija dizajniranih za rad s ovom vrstom informacija. Ali možete se ograničiti na jednostavne tablice (na primjer, u Excelu) ili prikazati informacije koje smatrate potrebnima u L1/L2 dijagramima.

Važno!

Mrežni inženjer, naravno, može prilično dobro poznavati sitnice i standarde SCS-a, vrste regala, vrste besprekidnih izvora napajanja, što je hladni, a što topli prolaz, kako napraviti pravilno uzemljenje... kao što u principu može poznavati fiziku elementarnih čestica ili C++. Ali ipak treba shvatiti da sve to nije njegovo područje znanja.

Stoga je dobra praksa imati ili namjenske odjele ili namjenske osobe za rješavanje problema povezanih s instalacijom, spajanjem, održavanjem opreme, kao i fizičkim prebacivanjem. Obično su za podatkovne centre to inženjeri podatkovnih centara, a za urede to je help desk.

Ako su takve podjele predviđene u vašoj tvrtki, onda pitanja evidentiranja fizičkog komutiranja nisu vaš zadatak i možete se ograničiti samo na opis na sučelju i administrativno isključivanje neiskorištenih portova.

Mrežni dijagrami

Ne postoji univerzalni pristup crtanju dijagrama.

Najvažnije je da dijagrami trebaju omogućiti razumijevanje kako će teći promet, kroz koje logičke i fizičke elemente vaše mreže.

Pod fizičkim elementima podrazumijevamo

  • aktivna oprema
  • sučelja/priključci aktivne opreme

Pod logičnim -

  • logički uređaji (N7K VDC, Palo Alto VSYS, ...)
  • VRF
  • Vilans
  • podsučelja
  • tunelima
  • zona
  • ...

Također, ako vaša mreža nije potpuno elementarna, sastojat će se od različitih segmenata.
Na primjer

  • podatkovni centar
  • Internet
  • WAN
  • daljinski pristup
  • uredski LAN
  • DMZ
  • ...

Mudro je imati nekoliko dijagrama koji daju širu sliku (kako promet teče između svih ovih segmenata) i detaljno objašnjenje svakog pojedinog segmenta.

Budući da u modernim mrežama može postojati mnogo logičkih slojeva, možda je dobar (ali ne i nužan) pristup napraviti različite sklopove za različite slojeve, na primjer, u slučaju pristupa preklapanja to mogu biti sljedeći sklopovi:

  • prekriti
  • L1/L2 podloga
  • L3 podloga

Naravno, najvažniji dijagram, bez kojeg je nemoguće razumjeti ideju vašeg dizajna, je dijagram usmjeravanja.

Shema usmjeravanja

U najmanju ruku, ovaj dijagram bi trebao odražavati

  • koji se protokoli usmjeravanja koriste i gdje
  • osnovne informacije o postavkama protokola usmjeravanja (područje/AS broj/router-id/…)
  • na kojim uređajima dolazi do redistribucije?
  • gdje dolazi do filtriranja i agregacije ruta
  • informacije o zadanoj ruti

Također, L2 shema (OSI) je često korisna.

L2 shema (OSI)

Ovaj dijagram može prikazivati ​​sljedeće informacije:

  • koji VLAN-ovi
  • koji su priključci magistralni priključci
  • koji su portovi agregirani u ether-channel (port kanal), virtualni port kanal
  • koji se STP protokoli koriste i na kojim uređajima
  • osnovne STP postavke: root/root sigurnosna kopija, STP cijena, prioritet porta
  • dodatne STP postavke: BPDU guard/filter, root guard…

Tipične pogreške u dizajnu

Primjer lošeg pristupa izgradnji mreže.

Uzmimo jednostavan primjer izgradnje jednostavnog uredskog LAN-a.

S obzirom na iskustvo u predavanju studenata o telekomu, mogu reći da gotovo svaki student do sredine drugog semestra ima potrebno znanje (u sklopu kolegija koji sam predavao) za postavljanje jednostavnog uredskog LAN-a.

Što je toliko teško u međusobnom povezivanju preklopnika, postavljanju VLAN-ova, SVI sučelja (u slučaju L3 preklopnika) i postavljanju statičkog usmjeravanja?

Sve će raditi.

Ali u isto vrijeme, pitanja vezana uz

  • sigurnost
  • rezervacija
  • mrežno skaliranje
  • produktivnost
  • propusnost
  • pouzdanost
  • ...

S vremena na vrijeme čujem izjavu da je uredski LAN nešto vrlo jednostavno i obično to čujem od inženjera (i menadžera) koji se bave svime osim mrežama, a oni to govore tako samouvjereno da se nemojte iznenaditi ako će LAN biti napravljen od strane ljudi s nedovoljno prakse i znanja i bit će napravljen s otprilike istim greškama koje ću opisati u nastavku.

Uobičajene pogreške u dizajnu L1 (OSI).

  • Ako ste ipak odgovorni i za SCS, onda je jedno od najneugodnijih naslijeđa koje možete dobiti neoprezno i ​​nepromišljeno prebacivanje.

Također bih klasificirao kao tip L1 pogreške povezane s resursima korištene opreme, na primjer,

  • nedovoljna propusnost
  • nedovoljan TCAM na opremi (ili njegova neučinkovita uporaba)
  • nedovoljna izvedba (često povezana s vatrozidima)

Uobičajene pogreške u dizajnu L2 (OSI).

Često, kada nema dobrog razumijevanja kako STP radi i koje potencijalne probleme nosi sa sobom, preklopnici se spajaju kaotično, sa zadanim postavkama, bez dodatnog podešavanja STP-a.

Kao rezultat toga, često imamo sljedeće

  • veliki promjer STP mreže, što može dovesti do oluja emitiranja
  • STP root bit će određen nasumično (na temelju mac adrese) i prometna putanja bit će suboptimalna
  • portovi povezani s hostovima neće biti konfigurirani kao edge (portfast), što će dovesti do ponovnog izračuna STP-a prilikom uključivanja/isključivanja krajnjih stanica
  • mreža neće biti segmentirana na razini L1/L2, zbog čega će problemi s bilo kojim preklopnikom (na primjer, preopterećenje napajanja) dovesti do ponovnog izračuna STP topologije i zaustavljanja prometa u svim VLAN-ovima na svim preklopnicima (uključujući jedan kritičan s gledišta segmenta usluge kontinuiteta)

Primjeri grešaka u dizajnu L3 (OSI).

Nekoliko tipičnih pogrešaka mrežnih početnika:

  • Česta upotreba (ili samo upotreba) statičkog usmjeravanja
  • korištenje suboptimalnih protokola usmjeravanja za dati dizajn
  • suboptimalna logička segmentacija mreže
  • suboptimalna upotreba adresnog prostora, koja ne dopušta agregaciju ruta
  • nema rezervnih ruta
  • nema rezervacije za zadani pristupnik
  • asimetrično usmjeravanje pri ponovnoj izgradnji ruta (može biti kritično u slučaju NAT/PAT, vatrozida s punim stanjem)
  • problemi s MTU
  • kada se rute ponovno izgrade, promet prolazi kroz druge sigurnosne zone ili čak druge vatrozide, što dovodi do pada prometa
  • loša skalabilnost topologije

Kriteriji za ocjenu kvalitete dizajna

Kada govorimo o optimalnosti/neoptimalnosti, moramo shvatiti s gledišta po kojim kriterijima to možemo ocjenjivati. Ovdje su, s moje točke gledišta, najznačajniji (ali ne svi) kriteriji (i objašnjenje u vezi s protokolima usmjeravanja):

  • skalabilnost
    Na primjer, odlučili ste dodati još jedan podatkovni centar. Koliko lako to možete učiniti?
  • jednostavnost korištenja (upravljivost)
    Koliko su jednostavne i sigurne operativne promjene, poput najave nove mreže ili filtriranja ruta?
  • dostupnost
    U kojem postotku vremena vaš sustav pruža potrebnu razinu usluge?
  • sigurnosti
    Koliko su sigurni preneseni podaci?
  • cijena

promjene

Osnovno načelo u ovoj fazi može se izraziti formulom "ne naškoditi".
Stoga, čak i ako se ne slažete u potpunosti s dizajnom i odabranom izvedbom (konfiguracijom), nije uvijek preporučljivo raditi izmjene. Razuman pristup je rangirati sve identificirane probleme prema dva parametra:

  • kako se lako ovaj problem može riješiti
  • koliki rizik ona snosi?

Prije svega, potrebno je eliminirati ono što trenutno smanjuje razinu pružene usluge ispod prihvatljive razine, primjerice probleme koji dovode do gubitka paketa. Zatim popravite ono što je najlakše i najsigurnije popraviti u padajućem redoslijedu prema ozbiljnosti rizika (od problema s dizajnom ili konfiguracijom visokog rizika do problema s niskim rizikom).

Perfekcionizam u ovoj fazi može biti štetan. Dovedite dizajn u zadovoljavajuće stanje i sukladno tome sinkronizirajte konfiguraciju mreže.

Izvor: www.habr.com

Dodajte komentar