Artikel ini adalah bagian kedua dari serangkaian artikel “Cara mengendalikan infrastruktur jaringan Anda.” Isi semua artikel dalam seri dan tautan dapat ditemukan .
Tujuan kami pada tahap ini adalah menertibkan dokumentasi dan konfigurasi.
Di akhir proses ini, Anda harus memiliki kumpulan dokumen yang diperlukan dan jaringan yang dikonfigurasi sesuai dengannya.
Sekarang kita tidak akan berbicara tentang audit keamanan - ini akan menjadi pokok bahasan bagian ketiga.
Kesulitan dalam menyelesaikan tugas yang diberikan pada tahap ini tentunya sangat bervariasi dari satu perusahaan ke perusahaan lainnya.
Situasi yang ideal adalah kapan
- jaringan Anda dibuat sesuai dengan proyek dan Anda memiliki satu set dokumen lengkap
- telah diterapkan di perusahaan Anda untuk jaringan
- Sesuai dengan proses ini, Anda memiliki dokumen (termasuk semua diagram yang diperlukan) yang memberikan informasi lengkap tentang keadaan saat ini
Dalam hal ini, tugas Anda cukup sederhana. Anda harus mempelajari dokumen dan meninjau semua perubahan yang telah dilakukan.
Dalam skenario terburuk, Anda akan mengalaminya
- jaringan yang dibuat tanpa proyek, tanpa rencana, tanpa persetujuan, oleh insinyur yang tidak memiliki tingkat kualifikasi yang memadai,
- dengan perubahan yang kacau dan tidak terdokumentasi, dengan banyak “sampah” dan solusi yang kurang optimal
Jelas bahwa situasi Anda berada di antara keduanya, namun sayangnya, dalam skala lebih baik - lebih buruk ini, ada kemungkinan besar bahwa Anda akan semakin mendekati akhir yang terburuk.
Dalam hal ini, Anda juga memerlukan kemampuan membaca pikiran, karena Anda harus belajar memahami apa yang ingin dilakukan oleh “desainer”, mengembalikan logika mereka, menyelesaikan apa yang belum selesai dan membuang “sampah”.
Dan, tentu saja, Anda perlu memperbaiki kesalahan mereka, mengubah (pada tahap ini seminimal mungkin) desain dan mengubah atau membuat ulang skema.
Artikel ini sama sekali tidak mengklaim lengkap. Di sini saya hanya akan menjelaskan prinsip-prinsip umum dan fokus pada beberapa masalah umum yang harus diselesaikan.
Kumpulan dokumen
Mari kita mulai dengan sebuah contoh.
Berikut adalah beberapa dokumen yang biasanya dibuat di Cisco Systems selama desain.
CR – Persyaratan Pelanggan, persyaratan klien (spesifikasi teknis).
Itu dibuat bersama dengan pelanggan dan menentukan persyaratan jaringan.HLD – Desain Tingkat Tinggi, desain tingkat tinggi berdasarkan kebutuhan jaringan (CR). Dokumen tersebut menjelaskan dan membenarkan keputusan arsitektur yang diambil (topologi, protokol, pemilihan perangkat keras,...). HLD tidak memuat detail desain, seperti antarmuka dan alamat IP yang digunakan. Selain itu, konfigurasi perangkat keras spesifik tidak dibahas di sini. Sebaliknya, dokumen ini dimaksudkan untuk menjelaskan konsep desain utama kepada manajemen teknis pelanggan.
LLD – Low Level Design, desain tingkat rendah berdasarkan desain tingkat tinggi (HLD).
Ini harus berisi semua rincian yang diperlukan untuk melaksanakan proyek, seperti informasi tentang cara menghubungkan dan mengkonfigurasi peralatan. Ini adalah panduan lengkap untuk mengimplementasikan desain. Dokumen ini harus memberikan informasi yang cukup untuk pelaksanaannya bahkan oleh personel yang kurang berkualifikasi.Sesuatu, misalnya, alamat IP, nomor AS, skema peralihan fisik (pengkabelan), dapat “dikeluarkan” dalam dokumen terpisah, seperti NIP (Rencana Implementasi Jaringan).
Pembangunan jaringan dimulai setelah pembuatan dokumen-dokumen ini dan terjadi sesuai dengan dokumen-dokumen tersebut dan kemudian diperiksa oleh pelanggan (pengujian) untuk kesesuaian dengan desain.
Tentu saja, integrator yang berbeda, klien yang berbeda, dan negara yang berbeda mungkin memiliki persyaratan yang berbeda untuk dokumentasi proyek. Namun saya ingin menghindari formalitas dan mempertimbangkan masalah ini berdasarkan manfaatnya. Tahap ini bukan tentang desain, tetapi tentang menata segala sesuatunya, dan kita memerlukan seperangkat dokumen yang memadai (diagram, tabel, deskripsi...) untuk menyelesaikan tugas kita.
Dan menurut pendapat saya, ada batas minimum tertentu, yang tanpanya kontrol jaringan tidak mungkin dilakukan secara efektif.
Ini adalah dokumen-dokumen berikut:
- diagram (log) peralihan fisik (pengkabelan)
- diagram jaringan atau diagram dengan informasi penting L2/L3
Diagram peralihan fisik
Di beberapa perusahaan kecil, pekerjaan yang berhubungan dengan instalasi peralatan dan peralihan fisik (kabel) adalah tanggung jawab insinyur jaringan.
Dalam hal ini, sebagian masalahnya diselesaikan dengan pendekatan berikut.
- gunakan deskripsi pada antarmuka untuk mendeskripsikan apa yang terhubung dengannya
- mematikan secara administratif semua port peralatan jaringan yang tidak terhubung
Ini akan memberi Anda kesempatan, bahkan jika ada masalah dengan tautan (ketika cdp atau lldp tidak berfungsi pada antarmuka ini), untuk dengan cepat menentukan apa yang terhubung ke port ini.
Anda juga dapat dengan mudah melihat port mana yang terisi dan mana yang gratis, yang diperlukan untuk merencanakan koneksi peralatan jaringan, server, atau stasiun kerja baru.
Namun yang jelas jika Anda kehilangan akses terhadap peralatan tersebut, Anda juga akan kehilangan akses terhadap informasi ini. Selain itu, dengan cara ini Anda tidak akan dapat mencatat informasi penting seperti jenis peralatan apa, berapa konsumsi daya, berapa banyak port, di rak apa, panel patch apa yang ada dan di mana (di rak/panel patch apa ) mereka terhubung. Oleh karena itu, dokumentasi tambahan (bukan sekedar deskripsi peralatan) masih sangat berguna.
Pilihan ideal adalah menggunakan aplikasi yang dirancang untuk bekerja dengan jenis informasi ini. Namun Anda dapat membatasi diri pada tabel sederhana (misalnya, di Excel) atau menampilkan informasi yang Anda anggap perlu dalam diagram L1/L2.
Penting!
Seorang insinyur jaringan, tentu saja, dapat mengetahui dengan baik seluk-beluk dan standar SCS, jenis rak, jenis catu daya yang tidak pernah terputus, apa itu lorong yang dingin dan panas, bagaimana melakukan pengardean yang benar... seperti pada prinsipnya dia bisa mengetahui fisika partikel elementer atau C++. Namun harus tetap dipahami bahwa semua itu bukanlah bidang ilmunya.
Oleh karena itu, merupakan praktik yang baik untuk memiliki departemen khusus atau orang yang berdedikasi untuk memecahkan masalah terkait pemasangan, penyambungan, pemeliharaan peralatan, serta peralihan fisik. Biasanya untuk pusat data ini adalah teknisi pusat data, dan untuk kantor adalah meja bantuan.
Jika divisi seperti itu disediakan di perusahaan Anda, maka masalah pencatatan peralihan fisik bukanlah tugas Anda, dan Anda dapat membatasi diri hanya pada deskripsi antarmuka dan penutupan administratif port yang tidak digunakan.
Diagram jaringan
Tidak ada pendekatan universal untuk menggambar diagram.
Yang paling penting adalah diagram harus memberikan pemahaman tentang bagaimana lalu lintas akan mengalir, melalui elemen logis dan fisik jaringan Anda.
Yang kami maksud dengan elemen fisik adalah
- peralatan aktif
- antarmuka/port peralatan aktif
Di bawah logis -
- perangkat logis (N7K VDC, Palo Alto VSYS, ...)
- VRF
- vilan
- subantarmuka
- terowongan
- daerah
- ...
Selain itu, jika jaringan Anda tidak sepenuhnya dasar, jaringan tersebut akan terdiri dari segmen yang berbeda.
Misalnya
- Pusat Data
- Internet
- WAN
- akses jarak jauh
- LAN kantor
- DMZ
- ...
Sebaiknya sediakan beberapa diagram yang memberikan gambaran besar (bagaimana lalu lintas mengalir di antara semua segmen ini) dan penjelasan rinci tentang masing-masing segmen.
Karena dalam jaringan modern terdapat banyak lapisan logis, mungkin merupakan pendekatan yang baik (tetapi tidak perlu) untuk membuat sirkuit yang berbeda untuk lapisan yang berbeda, misalnya, dalam kasus pendekatan overlay, ini dapat berupa sirkuit berikut:
- hamparan
- Lapisan bawah L1/L2
- lapisan bawah L3
Tentu saja, diagram yang paling penting, yang tanpanya mustahil untuk memahami ide desain Anda, adalah diagram perutean.
Skema perutean
Minimal, diagram ini harus mencerminkan
- protokol perutean apa yang digunakan dan di mana
- informasi dasar tentang pengaturan protokol routing (area/nomor AS/router-id/…)
- di perangkat manakah redistribusi terjadi?
- tempat pemfilteran dan agregasi rute terjadi
- informasi rute default
Selain itu, skema L2 (OSI) seringkali berguna.
Skema L2 (OSI)
Diagram ini mungkin menunjukkan informasi berikut:
- VLAN apa
- port mana yang merupakan port utama
- port mana yang dikumpulkan menjadi saluran ether (saluran port), saluran port virtual
- protokol STP apa yang digunakan dan pada perangkat apa
- pengaturan STP dasar: root/cadangan root, biaya STP, prioritas port
- pengaturan STP tambahan: pelindung/filter BPDU, pelindung root…
Kesalahan desain yang umum
Contoh pendekatan yang buruk dalam membangun jaringan.
Mari kita ambil contoh sederhana membangun LAN kantor sederhana.
Memiliki pengalaman mengajar telekomunikasi kepada siswa, saya dapat mengatakan bahwa hampir semua siswa pada pertengahan semester kedua memiliki pengetahuan yang diperlukan (sebagai bagian dari mata kuliah yang saya ajarkan) untuk menyiapkan LAN kantor sederhana.
Apa susahnya menghubungkan switch satu sama lain, mengatur VLAN, antarmuka SVI (dalam kasus switch L3) dan mengatur routing statis?
Semuanya akan bekerja.
Tetapi pada saat yang sama, pertanyaan terkait
- keamanan
- reservasi
- penskalaan jaringan
- produktifitas
- keluaran
- keandalan
- ...
Dari waktu ke waktu saya mendengar pernyataan bahwa LAN kantor adalah sesuatu yang sangat sederhana dan saya biasanya mendengarnya dari para insinyur (dan manajer) yang melakukan segalanya kecuali jaringan, dan mereka mengatakan ini dengan sangat percaya diri sehingga tidak heran jika LAN akan menjadi sesuatu yang sangat sederhana. dibuat oleh orang-orang yang kurang latihan dan pengetahuan dan akan dibuat dengan kesalahan yang kurang lebih sama yang akan saya jelaskan di bawah.
Kesalahan Umum Desain L1 (OSI).
- Namun, jika Anda juga bertanggung jawab atas SCS, maka salah satu warisan paling tidak menyenangkan yang mungkin Anda terima adalah peralihan yang ceroboh dan tidak dipikirkan dengan matang.
Saya juga akan mengklasifikasikan kesalahan tipe L1 yang terkait dengan sumber daya peralatan yang digunakan, misalnya,
- bandwidth yang tidak mencukupi
- TCAM yang tidak mencukupi pada peralatan (atau penggunaannya tidak efektif)
- kinerja yang tidak memadai (seringkali terkait dengan firewall)
Kesalahan Umum Desain L2 (OSI).
Seringkali, ketika tidak ada pemahaman yang baik tentang cara kerja STP dan potensi masalah apa yang ditimbulkannya, sakelar dihubungkan secara kacau, dengan pengaturan default, tanpa penyetelan STP tambahan.
Akibatnya, kita sering mengalami hal berikut
- diameter jaringan STP yang besar, yang dapat menyebabkan badai siaran
- Root STP akan ditentukan secara acak (berdasarkan alamat mac) dan jalur lalu lintas akan menjadi kurang optimal
- port yang terhubung ke host tidak akan dikonfigurasi sebagai edge (portfast), yang akan menyebabkan penghitungan ulang STP saat menghidupkan/mematikan stasiun akhir
- jaringan tidak akan tersegmentasi pada level L1/L2, akibatnya masalah pada switch apa pun (misalnya, kelebihan daya) akan menyebabkan penghitungan ulang topologi STP dan penghentian lalu lintas di semua VLAN di semua switch (termasuk switch). salah satu yang penting dari sudut pandang segmen layanan kontinuitas)
Contoh kesalahan dalam desain L3 (OSI).
Beberapa kesalahan umum yang dilakukan penggiat jejaring pemula:
- Sering menggunakan (atau hanya menggunakan) perutean statis
- penggunaan protokol perutean suboptimal untuk desain tertentu
- segmentasi jaringan logis suboptimal
- penggunaan ruang alamat yang kurang optimal, yang tidak memungkinkan agregasi rute
- tidak ada rute cadangan
- tidak ada reservasi untuk gateway default
- perutean asimetris saat membangun kembali rute (dapat menjadi penting dalam kasus NAT/PAT, firewall statefull)
- masalah dengan MTU
- ketika rute dibangun kembali, lalu lintas melewati zona keamanan lain atau bahkan firewall lain, yang menyebabkan lalu lintas ini dihentikan
- skalabilitas topologi yang buruk
Kriteria untuk menilai kualitas desain
Jika kita berbicara tentang optimalitas/non-optimalitas, kita harus memahami dari sudut pandang kriteria apa kita dapat mengevaluasinya. Di sini, dari sudut pandang saya, adalah kriteria yang paling signifikan (tetapi tidak semua) (dan penjelasan terkait dengan protokol perutean):
- skalabilitas
Misalnya, Anda memutuskan untuk menambah pusat data lain. Seberapa mudah Anda melakukannya? - kemudahan penggunaan (pengelolaan)
Seberapa mudah dan aman perubahan operasional, seperti mengumumkan jaringan baru atau memfilter rute? - ketersediaan
Berapa persentase waktu sistem Anda menyediakan tingkat layanan yang dibutuhkan? - keamanan
Seberapa amankah data yang dikirimkan? - harga
Perubahan
Prinsip dasar pada tahap ini dapat diungkapkan dengan rumusan “jangan merugikan”.
Oleh karena itu, meskipun Anda tidak sepenuhnya setuju dengan desain dan implementasi (konfigurasi) yang dipilih, tidak selalu disarankan untuk melakukan perubahan. Pendekatan yang masuk akal adalah dengan mengurutkan semua masalah yang teridentifikasi berdasarkan dua parameter:
- betapa mudahnya masalah ini diperbaiki
- seberapa besar risiko yang dia tanggung?
Pertama-tama, perlu untuk menghilangkan apa yang saat ini mengurangi tingkat layanan yang diberikan di bawah tingkat yang dapat diterima, misalnya masalah yang menyebabkan hilangnya paket. Kemudian perbaiki apa yang paling mudah dan aman untuk diperbaiki dalam urutan tingkat keparahan risiko (dari masalah desain atau konfigurasi yang berisiko tinggi ke masalah yang berisiko rendah).
Perfeksionisme pada tahap ini bisa berbahaya. Bawa desain ke kondisi yang memuaskan dan sinkronkan konfigurasi jaringan yang sesuai.
Sumber: www.habr.com