ProHoster > Blog > uprava > Kako preuzeti kontrolu nad svojom mrežnom infrastrukturom. Drugo poglavlje. Čišćenje i dokumentacija
Kako preuzeti kontrolu nad svojom mrežnom infrastrukturom. Drugo poglavlje. Čišćenje i dokumentacija
Ovaj je članak drugi u nizu članaka “Kako preuzeti kontrolu nad svojom mrežnom infrastrukturom.” Sadržaj svih članaka u seriji i poveznice možete pronaći здесь.
Cilj nam je u ovoj fazi uvesti red u dokumentaciju i konfiguraciju.
Na kraju ovog procesa trebali biste imati potreban skup dokumenata i mrežu konfiguriranu u skladu s njima.
Sada nećemo govoriti o sigurnosnim revizijama – to će biti tema trećeg dijela.
Težina dovršavanja zadatka dodijeljenog u ovoj fazi, naravno, uvelike varira od tvrtke do tvrtke.
Idealna situacija je kada
vaša mreža je napravljena u skladu s projektom i imate kompletnu dokumentaciju
u skladu s ovim procesom imate dokumente (uključujući sve potrebne dijagrame) koji daju potpunu informaciju o trenutnom stanju stvari
U ovom slučaju, vaš zadatak je vrlo jednostavan. Trebali biste proučiti dokumente i pregledati sve promjene koje su napravljene.
U najgorem slučaju, imat ćete
mreža napravljena bez projekta, bez plana, bez odobrenja, od strane inženjera koji nemaju dovoljnu razinu kvalifikacija,
s kaotičnim, nedokumentiranim promjenama, s puno „smeća“ i neoptimalnih rješenja
Jasno je da je vaša situacija negdje između, ali nažalost, na ovoj ljestvici bolje – gore velika je vjerojatnost da ćete biti bliže najgorem kraju.
U ovom slučaju trebat će vam i sposobnost čitanja misli, jer ćete morati naučiti razumjeti što su "dizajneri" htjeli učiniti, vratiti njihovu logiku, dovršiti ono što nije dovršeno i ukloniti "smeće".
I, naravno, morat ćete ispraviti njihove pogreške, promijeniti (u ovoj fazi što je moguće minimalnije) dizajn i promijeniti ili ponovno izraditi sheme.
Ovaj članak ni na koji način ne tvrdi da je potpun. Ovdje ću opisati samo opća načela i usredotočiti se na neke uobičajene probleme koje je potrebno riješiti.
Set dokumenata
Počnimo s primjerom.
Ispod su neki dokumenti koji se obično izrađuju u Cisco Systems tijekom projektiranja.
CR – Zahtjevi kupaca, zahtjevi klijenata (tehničke specifikacije).
Izrađuje se zajedno s korisnikom i određuje mrežne zahtjeve.
HLD – Dizajn visoke razine, dizajn visoke razine temeljen na zahtjevima mreže (CR). Dokument objašnjava i opravdava donesene arhitektonske odluke (topologija, protokoli, odabir hardvera,...). HLD ne sadrži detalje dizajna, kao što su sučelja i IP adrese koje se koriste. Također, ovdje se ne raspravlja o specifičnoj hardverskoj konfiguraciji. Umjesto toga, ovaj je dokument namijenjen tehničkom menadžmentu kupca objasniti ključne koncepte dizajna.
LLD – Dizajn niske razine, dizajn niske razine temeljen na dizajnu visoke razine (HLD).
Trebao bi sadržavati sve detalje potrebne za provedbu projekta, kao što su informacije o tome kako spojiti i konfigurirati opremu. Ovo je potpuni vodič za implementaciju dizajna. Ovaj dokument trebao bi pružiti dovoljno informacija za njegovu provedbu čak i od strane manje kvalificiranog osoblja.
Nešto, npr. IP adrese, AS brojevi, fizička komutacijska shema (kabliranje), može se “izbaciti” u zasebne dokumente, kao npr. NIP (Plan implementacije mreže).
Izgradnja mreže počinje nakon izrade ovih dokumenata i odvija se u strogom skladu s njima, a zatim je provjerava kupac (testovi) za usklađenost s projektom.
Naravno, različiti integratori, različiti klijenti i različite zemlje mogu imati različite zahtjeve za projektnu dokumentaciju. No, želio bih izbjeći formalnosti i razmotriti pitanje po meritumu. U ovoj se fazi ne radi o dizajnu, već o dovođenju stvari u red, a potreban nam je dovoljan skup dokumenata (dijagrami, tablice, opisi...) da bismo izvršili svoje zadatke.
I po mom mišljenju, postoji određeni apsolutni minimum, bez kojeg je nemoguće učinkovito kontrolirati mrežu.
To su sljedeći dokumenti:
dijagram (log) fizičke komutacije (kabliranja)
mrežni dijagram ili dijagrami s bitnim L2/L3 informacijama
Fizički sklopni dijagram
U nekim malim poduzećima posao vezan uz instalaciju opreme i fizičko prespajanje (kabliranje) odgovornost je mrežnih inženjera.
U ovom slučaju problem je djelomično riješen sljedećim pristupom.
upotrijebite opis na sučelju da biste opisali što je s njim povezano
administrativno isključi sve nepovezane priključke mrežne opreme
To će vam dati priliku, čak i u slučaju problema s vezom (kada cdp ili lldp ne rade na ovom sučelju), da brzo odredite što je spojeno na ovaj priključak.
Također možete jednostavno vidjeti koji su portovi zauzeti, a koji slobodni, što je potrebno za planiranje povezivanja nove mrežne opreme, poslužitelja ili radnih stanica.
No jasno je da ako izgubite pristup opremi, izgubit ćete i pristup ovim informacijama. Osim toga, na ovaj način nećete moći zabilježiti tako važne informacije kao što je vrsta opreme, koja potrošnja energije, koliko portova, u kojem se stalku nalazi, koji patch paneli postoje i gdje (u kojem rack-u/patch panelu ) oni su povezani . Stoga je dodatna dokumentacija (ne samo opisi na opremi) još uvijek vrlo korisna.
Idealna opcija je korištenje aplikacija dizajniranih za rad s ovom vrstom informacija. Ali možete se ograničiti na jednostavne tablice (na primjer, u Excelu) ili prikazati informacije koje smatrate potrebnima u L1/L2 dijagramima.
Važno!
Mrežni inženjer, naravno, može prilično dobro poznavati sitnice i standarde SCS-a, vrste regala, vrste besprekidnih izvora napajanja, što je hladni, a što topli prolaz, kako napraviti pravilno uzemljenje... kao što u principu može poznavati fiziku elementarnih čestica ili C++. Ali ipak treba shvatiti da sve to nije njegovo područje znanja.
Stoga je dobra praksa imati ili namjenske odjele ili namjenske osobe za rješavanje problema povezanih s instalacijom, spajanjem, održavanjem opreme, kao i fizičkim prebacivanjem. Obično su za podatkovne centre to inženjeri podatkovnih centara, a za urede to je help desk.
Ako su takve podjele predviđene u vašoj tvrtki, onda pitanja evidentiranja fizičkog komutiranja nisu vaš zadatak i možete se ograničiti samo na opis na sučelju i administrativno isključivanje neiskorištenih portova.
Mrežni dijagrami
Ne postoji univerzalni pristup crtanju dijagrama.
Najvažnije je da dijagrami trebaju omogućiti razumijevanje kako će teći promet, kroz koje logičke i fizičke elemente vaše mreže.
Pod fizičkim elementima podrazumijevamo
aktivna oprema
sučelja/priključci aktivne opreme
Pod logičnim -
logički uređaji (N7K VDC, Palo Alto VSYS, ...)
VRF
Vilans
podsučelja
tunelima
zona
...
Također, ako vaša mreža nije potpuno elementarna, sastojat će se od različitih segmenata.
Na primjer
podatkovni centar
Internet
WAN
daljinski pristup
uredski LAN
DMZ
...
Mudro je imati nekoliko dijagrama koji daju širu sliku (kako promet teče između svih ovih segmenata) i detaljno objašnjenje svakog pojedinog segmenta.
Budući da u modernim mrežama može postojati mnogo logičkih slojeva, možda je dobar (ali ne i nužan) pristup napraviti različite sklopove za različite slojeve, na primjer, u slučaju pristupa preklapanja to mogu biti sljedeći sklopovi:
prekriti
L1/L2 podloga
L3 podloga
Naravno, najvažniji dijagram, bez kojeg je nemoguće razumjeti ideju vašeg dizajna, je dijagram usmjeravanja.
Shema usmjeravanja
U najmanju ruku, ovaj dijagram bi trebao odražavati
koji se protokoli usmjeravanja koriste i gdje
osnovne informacije o postavkama protokola usmjeravanja (područje/AS broj/router-id/…)
na kojim uređajima dolazi do redistribucije?
gdje dolazi do filtriranja i agregacije ruta
informacije o zadanoj ruti
Također, L2 shema (OSI) je često korisna.
L2 shema (OSI)
Ovaj dijagram može prikazivati sljedeće informacije:
koji VLAN-ovi
koji su priključci magistralni priključci
koji su portovi agregirani u ether-channel (port kanal), virtualni port kanal
koji se STP protokoli koriste i na kojim uređajima
osnovne STP postavke: root/root sigurnosna kopija, STP cijena, prioritet porta
Uzmimo jednostavan primjer izgradnje jednostavnog uredskog LAN-a.
S obzirom na iskustvo u predavanju studenata o telekomu, mogu reći da gotovo svaki student do sredine drugog semestra ima potrebno znanje (u sklopu kolegija koji sam predavao) za postavljanje jednostavnog uredskog LAN-a.
Što je toliko teško u međusobnom povezivanju preklopnika, postavljanju VLAN-ova, SVI sučelja (u slučaju L3 preklopnika) i postavljanju statičkog usmjeravanja?
Sve će raditi.
Ali u isto vrijeme, pitanja vezana uz
sigurnost
rezervacija
mrežno skaliranje
produktivnost
propusnost
pouzdanost
...
S vremena na vrijeme čujem izjavu da je uredski LAN nešto vrlo jednostavno i obično to čujem od inženjera (i menadžera) koji se bave svime osim mrežama, a oni to govore tako samouvjereno da se nemojte iznenaditi ako će LAN biti napravljen od strane ljudi s nedovoljno prakse i znanja i bit će napravljen s otprilike istim greškama koje ću opisati u nastavku.
Uobičajene pogreške u dizajnu L1 (OSI).
Ako ste ipak odgovorni i za SCS, onda je jedno od najneugodnijih naslijeđa koje možete dobiti neoprezno i nepromišljeno prebacivanje.
Također bih klasificirao kao tip L1 pogreške povezane s resursima korištene opreme, na primjer,
nedovoljna propusnost
nedovoljan TCAM na opremi (ili njegova neučinkovita uporaba)
nedovoljna izvedba (često povezana s vatrozidima)
Uobičajene pogreške u dizajnu L2 (OSI).
Često, kada nema dobrog razumijevanja kako STP radi i koje potencijalne probleme nosi sa sobom, preklopnici se spajaju kaotično, sa zadanim postavkama, bez dodatnog podešavanja STP-a.
Kao rezultat toga, često imamo sljedeće
veliki promjer STP mreže, što može dovesti do oluja emitiranja
STP root bit će određen nasumično (na temelju mac adrese) i prometna putanja bit će suboptimalna
portovi povezani s hostovima neće biti konfigurirani kao edge (portfast), što će dovesti do ponovnog izračuna STP-a prilikom uključivanja/isključivanja krajnjih stanica
mreža neće biti segmentirana na razini L1/L2, zbog čega će problemi s bilo kojim preklopnikom (na primjer, preopterećenje napajanja) dovesti do ponovnog izračuna STP topologije i zaustavljanja prometa u svim VLAN-ovima na svim preklopnicima (uključujući jedan kritičan s gledišta segmenta usluge kontinuiteta)
Primjeri grešaka u dizajnu L3 (OSI).
Nekoliko tipičnih pogrešaka mrežnih početnika:
Česta upotreba (ili samo upotreba) statičkog usmjeravanja
korištenje suboptimalnih protokola usmjeravanja za dati dizajn
suboptimalna logička segmentacija mreže
suboptimalna upotreba adresnog prostora, koja ne dopušta agregaciju ruta
nema rezervnih ruta
nema rezervacije za zadani pristupnik
asimetrično usmjeravanje pri ponovnoj izgradnji ruta (može biti kritično u slučaju NAT/PAT, vatrozida s punim stanjem)
problemi s MTU
kada se rute ponovno izgrade, promet prolazi kroz druge sigurnosne zone ili čak druge vatrozide, što dovodi do pada prometa
loša skalabilnost topologije
Kriteriji za ocjenu kvalitete dizajna
Kada govorimo o optimalnosti/neoptimalnosti, moramo shvatiti s gledišta po kojim kriterijima to možemo ocjenjivati. Ovdje su, s moje točke gledišta, najznačajniji (ali ne svi) kriteriji (i objašnjenje u vezi s protokolima usmjeravanja):
skalabilnost
Na primjer, odlučili ste dodati još jedan podatkovni centar. Koliko lako to možete učiniti?
jednostavnost korištenja (upravljivost)
Koliko su jednostavne i sigurne operativne promjene, poput najave nove mreže ili filtriranja ruta?
dostupnost
U kojem postotku vremena vaš sustav pruža potrebnu razinu usluge?
sigurnosti
Koliko su sigurni preneseni podaci?
cijena
promjene
Osnovno načelo u ovoj fazi može se izraziti formulom "ne naškoditi".
Stoga, čak i ako se ne slažete u potpunosti s dizajnom i odabranom izvedbom (konfiguracijom), nije uvijek preporučljivo raditi izmjene. Razuman pristup je rangirati sve identificirane probleme prema dva parametra:
kako se lako ovaj problem može riješiti
koliki rizik ona snosi?
Prije svega, potrebno je eliminirati ono što trenutno smanjuje razinu pružene usluge ispod prihvatljive razine, primjerice probleme koji dovode do gubitka paketa. Zatim popravite ono što je najlakše i najsigurnije popraviti u padajućem redoslijedu prema ozbiljnosti rizika (od problema s dizajnom ili konfiguracijom visokog rizika do problema s niskim rizikom).
Perfekcionizam u ovoj fazi može biti štetan. Dovedite dizajn u zadovoljavajuće stanje i sukladno tome sinkronizirajte konfiguraciju mreže.