3. Progettazione di reti aziendali su switch Extreme

Buon pomeriggio, amici! Oggi continuerò la serie dedicata a Interruttori estremi articolo sulla progettazione di reti aziendali.

In questo articolo cercherò di essere il più breve possibile:

• descrivere un approccio modulare alla progettazione di reti Etnterprise
• considerare i tipi di costruzione di uno dei moduli più importanti della rete aziendale: la rete backbone (IP-campus)
• descrivere i vantaggi e gli svantaggi delle opzioni per la ridondanza dei nodi di rete critici
• utilizzando un esempio astratto per progettare/aggiornare una piccola rete aziendale
• selezionare gli switch Extreme per implementare la rete progettata
• lavorare con fibre e indirizzamento IP

Questo articolo sarà di maggiore interesse per gli ingegneri di rete e gli amministratori di reti aziendali che stanno appena iniziando il loro percorso come esperti di rete, piuttosto che per gli ingegneri esperti che hanno lavorato per molti anni presso operatori di telecomunicazioni o grandi aziende con reti distribuite geograficamente.

In ogni caso, gli interessati sono invitati a continuare a leggere.

Approccio modulare alla progettazione di rete

Inizierò il mio articolo con un approccio modulare alla progettazione di reti piuttosto diffuso, che consente di assemblare un puzzle di pezzi di rete in un'unica immagine completa.

Innanzitutto un po' di astrazione: spesso immagino questo approccio come uno zoom sulle mappe geografiche, dove nella prima approssimazione è visibile il paese, nella seconda le regioni, nella terza le città, ecc.

A titolo di esempio, consideriamo quanto segue:

• Prima approssimazione: l'intera rete aziendale è un insieme di diversi livelli:
  • rete dorsale o campus
  • livello di confine
  • livello di operatore di telecomunicazioni
  • aree remote

• Seconda approssimazione: ciascuno di questi livelli è dettagliato in moduli separati
  • La rete backbone o campus è composta da:
    • Modulo a 3 o 2 livelli che descrive la rete aziendale e i suoi livelli: accesso, distribuzione e/o core
    • modulo che descrive il centro di elaborazione dati (essenzialmente la parte server dell'infrastruttura)

  • il livello limite a sua volta è costituito da:
    • modulo di connessione internet
    • Moduli WAN e MAN, responsabili della connessione di oggetti aziendali distribuiti geograficamente
    • modulo per la creazione di tunnel VPN e accesso remoto
    • Spesso, molte piccole imprese hanno diversi di questi moduli, o addirittura tutti, combinati in uno

  • livello del fornitore:
    • Questo livello comprende le connessioni “verso il mondo esterno” – fibre ottiche spente (fibre prese in leasing dagli operatori), canali di comunicazione (Ethernet, G.703, ecc.), accesso a Internet.

  • Livello remoto:
    • Nella maggior parte dei casi si tratta di filiali di un'impresa distribuite all'interno di una città, una regione, un paese o addirittura un continente.
    • Questa zona può anche includere un data center di backup che duplica il lavoro di quello principale.
    • e naturalmente, ultimamente i telelavoratori (posti di lavoro remoti) stanno guadagnando popolarità.

• Terza approssimazione: ogni modulo è suddiviso in moduli o livelli più piccoli. Ad esempio, in una rete di campus:
  • La rete a 3 livelli è suddivisa in:
    • livello di accesso
    • livello di distribuzione
    • livello centrale

  • Nei casi più complessi, il data center può essere suddiviso in:
    • Parte di rete a 2 o 3 livelli
    • parte del server

  Cercherò di visualizzare tutto quanto sopra nella seguente figura semplificata:

  
  
  Come si può vedere dalla figura sopra, l'approccio modulare aiuta a dettagliare e strutturare il quadro generale in elementi costitutivi con cui è poi possibile lavorare.

  In questo articolo mi concentrerò sul livello Campus Enterprise e lo descriverò più nel dettaglio.

  Tipi di reti IP-CAMPUS

  Quando lavoravo per un provider e soprattutto in seguito, quando ho lavorato come integratore, ho riscontrato diversi livelli di "maturità" delle reti dei clienti. Non a caso utilizzo il termine "maturità", poiché spesso la struttura della rete cresce con la crescita dell'azienda stessa, e questo è, in linea di principio, naturale.

  In una piccola azienda situata all'interno di un singolo edificio, la rete aziendale può essere composta da un solo router di confine che funge da firewall, diversi switch di accesso e un paio di server.

  Io definisco una rete di questo tipo una rete "a livello singolo": non ha assolutamente alcun livello di rete centrale ovvio, il livello di distribuzione è spostato sul router di confine (con firewall, VPN e possibilmente funzioni proxy) e gli switch di accesso servono sia i computer dei dipendenti che i server.

  
  
  In caso di crescita aziendale, ovvero aumento del numero di dipendenti, servizi e server, è spesso necessario:

  • aumentare il numero di switch nella rete e nelle porte di accesso
  • aumentare la capacità del server
  • domini di trasmissione di combattimento: implementare la segmentazione di rete e il routing tra i segmenti
  • contrastare i guasti della rete che causano tempi di inattività per i dipendenti, poiché ciò comporta costi finanziari aggiuntivi per la direzione (il dipendente è inattivo, lo stipendio viene pagato, ma il lavoro non viene svolto)
  • nel processo di gestione dei guasti, pensa al backup dei nodi di rete critici: router, switch, server e servizi
  • rafforzare le politiche di sicurezza, poiché potrebbero sorgere rischi commerciali e, ancora una volta, per un funzionamento della rete più stabile

  Tutto ciò porta al fatto che l'ingegnere (amministratore di rete) prima o poi pensa alla corretta costruzione della rete e arriva a un modello a 2 livelli.

  Questo modello distingue già chiaramente due livelli: il livello di accesso e il livello di distribuzione, che è anche il livello core (collapsed-core).

  Lo strato combinato di distribuzione e nucleo svolge le seguenti funzioni:

  • aggrega i collegamenti dagli switch di accesso
  • introduce il routing dei segmenti di rete: ci sono così tanti utenti e dispositivi che non rientrano in una singola rete /24 e, se ci riescono, le tempeste di trasmissione causano guasti costanti (soprattutto se gli utenti li aiutano creando loop)
  • fornisce la comunicazione tra segmenti di switch adiacenti (tramite collegamenti più veloci)
  • Fornisce la comunicazione tra gli utenti e i loro dispositivi e la server farm, che a questo punto inizia anche a essere allocata in un segmento di rete separato: il data center.
  • inizia a fornire, insieme agli switch di accesso, in un modo o nell'altro, la politica di sicurezza che l'azienda inizia a sviluppare in quel momento. L'azienda cresce, e crescono anche i rischi commerciali (qui non mi riferisco solo alle disposizioni sui segreti commerciali, sulla differenziazione delle politiche di accesso, ecc., ma anche sui tempi di inattività elementari della rete e dei dipendenti).

  Pertanto, prima o poi la rete si sviluppa fino a raggiungere un modello a 2 livelli:

  
  
  Questo modello introduce requisiti speciali sia per gli switch di livello di accesso, che aggregano i collegamenti degli utenti e dei dispositivi di rete (stampanti, punti di accesso, dispositivi VoIP, telefoni IP, telecamere IP, ecc.), sia per gli switch di distribuzione e di livello core.

  Gli switch di accesso devono essere più intelligenti e in grado di soddisfare i requisiti di prestazioni, sicurezza e flessibilità della rete e devono:

  • avere diversi tipi di porte di accesso e porte trunk, preferibilmente con la possibilità di riservarle per la crescita del traffico, nonché per il numero di porte
  • avere una capacità di commutazione e una larghezza di banda sufficienti
  • avere la funzionalità di sicurezza necessaria che soddisfi l'attuale politica di sicurezza (e idealmente, la crescita dei suoi ulteriori requisiti)
  • avere la capacità di alimentare dispositivi di rete difficili da raggiungere con la possibilità di riavviarli da remoto tramite alimentatore (PoE, PoE+)
  • poter riservare la propria alimentazione elettrica per utilizzarla nei luoghi in cui è necessaria
  • avere (se possibile) ulteriore potenziale di crescita nella funzionalità - un esempio comune quando uno switch di accesso alla fine si trasforma in uno switch di distribuzione

  A loro volta, gli interruttori di distribuzione devono soddisfare anche i seguenti requisiti:

  • sia in termini di porte downlink trunk verso gli switch di accesso, sia verso le interfacce peer degli switch di distribuzione vicini (e in seguito, possibili interfacce uplink verso il core)
  • nelle parti funzionali L2 e L3
  • in termini di funzionalità di sicurezza
  • in termini di garanzia della tolleranza ai guasti (ridondanza, clustering e ridondanza dell'alimentazione)
  • in termini di garanzia di flessibilità nel bilanciamento del traffico
  • avere (se possibile) ulteriore potenziale di crescita della funzionalità (trasformazione nel tempo del dispositivo di aggregazione in un nucleo)
  • In alcuni casi, potrebbe essere opportuno utilizzare porte PoE e PoE+ sugli switch di distribuzione.

  E c'è di più: se il management persegue una politica di crescita e sviluppo attivo dell'impresa, la rete continuerà a svilupparsi anche in futuro: l'impresa può iniziare ad affittare edifici adiacenti, costruire edifici propri o assorbire concorrenti più piccoli, aumentando così il numero di posti di lavoro per i dipendenti. Allo stesso tempo, anche la rete cresce, il che richiede:

  • Fornire postazioni di lavoro ai dipendenti: sono necessari nuovi switch di accesso con porte di accesso
  • disponibilità di nuovi switch di distribuzione per l'aggregazione dei collegamenti dagli switch di accesso
  • costruzione di nuove linee di comunicazione e ammodernamento di quelle esistenti

  Di conseguenza, il traffico aumenta per i seguenti motivi:

  • a causa dell'aumento delle porte di accesso e, di conseguenza, degli utenti della rete
  • a causa dell'aumento del traffico dei sottosistemi correlati che scelgono la rete aziendale come mezzo di trasporto: telefonia, sicurezza, sistemi di ingegneria, ecc.
  • a causa dell'introduzione di servizi aggiuntivi - con l'aumento del personale, compaiono nuovi dipartimenti che richiedono software specifici
  • La potenza di calcolo dei data center sta aumentando per soddisfare i requisiti infrastrutturali e applicativi
  • I requisiti di sicurezza per le reti e le informazioni sono in crescita: la famosa triade della CIA (scherzo), ma seriamente, CIA: Riservatezza, Integrità e Disponibilità:
    • a questo proposito, ulteriori requisiti di tolleranza ai guasti e ridondanza emergono a livelli di rete critici: distribuzione e data center
    • ancora una volta, si registra un aumento del traffico dovuto all'introduzione di nuovi sistemi di sicurezza, ad esempio RKVI, ecc.

  Prima o poi, la crescita del traffico, dei servizi e del numero di utenti porterà alla necessità di implementare un ulteriore livello di rete, un core che eseguirà la commutazione/l'instradamento ad alta velocità dei pacchetti utilizzando collegamenti di comunicazione ad alta velocità.

  A questo punto, l'azienda può passare a un modello di rete a 3 livelli:

  
  
  Come si può vedere nella figura sopra, una rete di questo tipo ha un livello core che aggrega i collegamenti ad alta velocità provenienti dagli switch di distribuzione. Pertanto, gli switch core hanno anche requisiti per:

  • larghezza di banda dell'interfaccia: 1GE, 2.5GE, 10GE, 40GE, 100GE
  • Capacità di commutazione e prestazioni di inoltro
  • tipi di interfaccia - 1000BASE-T, SFP, SFP+, QSFP, QSFP+
  • il numero e l'insieme delle interfacce
  • opzioni di ridondanza (stacking, clustering, ridondanza della scheda di controllo (rilevante per gli switch modulari), ridondanza dell'alimentazione, ecc.)
  • funzionalità

  A questo livello della rete, la sua modifica tecnica è sicuramente necessaria:

  • ridondanza dei nodi e dei collegamenti principali (molto, molto, molto auspicabile)
  • ridondanza dei nodi e dei collegamenti delle connessioni a livello di distribuzione (a seconda della criticità)
  • ridondanza dei collegamenti di comunicazione tra gli switch di accesso e il livello di distribuzione (se necessario)
  • introduzione di protocolli di routing dinamici
  • bilanciamento del traffico sia nel core che a livello di distribuzione e accesso (se necessario)
  • implementazione di servizi aggiuntivi, sia di trasporto che di sicurezza (se necessario)

  nonché legale, definendo la politica di sicurezza della rete dell'impresa, che integra la politica di sicurezza generale in termini di:

  • requisiti per l'implementazione e la configurazione di determinate funzioni di sicurezza sugli switch di accesso e distribuzione
  • requisiti per l'accesso, il monitoraggio e la gestione delle apparecchiature di rete (protocolli di accesso remoto, segmenti di rete consentiti per la gestione, impostazioni di registrazione, ecc.)
  • requisiti di prenotazione
  • requisiti per la formazione del kit minimo necessario di pezzi di ricambio

  In questa sezione ho descritto brevemente l'evoluzione della rete e dell'azienda da diversi switch e un paio di dozzine di dipendenti a diverse decine (e forse centinaia di switch) e diverse centinaia (o addirittura migliaia) di dipendenti che lavorano direttamente nella rete aziendale (e ci sono anche reparti di produzione e reti di ingegneria).
  È chiaro che nella realtà uno sviluppo così “miracoloso” e rapido dell’impresa non si verifica.
  Di solito ci vogliono anni perché un'azienda e una rete crescano dal Livello 1 iniziale al Livello 3 che sto descrivendo.

  Perché scrivo tutte queste banalità? Perché voglio menzionare qui un termine come ROI (ritorno sull'investimento) e considerare quell'aspetto che riguarda direttamente la scelta delle apparecchiature di rete.

  Quando scelgono le apparecchiature, gli ingegneri di rete e i loro manager spesso le scelgono in base a due fattori: il prezzo attuale dell'apparecchiatura e la funzionalità tecnica minima attualmente necessaria per risolvere un'attività o delle attività specifiche (più avanti parlerò dell'acquisto di apparecchiature di backup).

  Allo stesso tempo, le possibilità di un'ulteriore "crescita" delle apparecchiature vengono raramente prese in considerazione. Quando si verifica una situazione in cui le apparecchiature hanno esaurito le loro funzionalità o prestazioni, si acquistano apparecchiature più potenti e funzionali e quelle vecchie vengono consegnate a un magazzino o da qualche parte nella rete, secondo il principio del "così come stanno" (a proposito, questo è anche il motivo della comparsa di un vasto parco di apparecchiature e dell'acquisto di una serie di sistemi informativi che le utilizzano).

  Pertanto, invece di acquistare alcune licenze per funzionalità e prestazioni aggiuntive, che sono molto più economiche di nuove apparecchiature più efficienti, è necessario acquistare nuovo hardware e pagare di più per i seguenti motivi:

  • la rete spesso cresce lentamente e l'espansione delle funzionalità o le prestazioni dello switch di rete potrebbero essere sufficienti per lungo tempo
  • Non è un segreto che le attrezzature dei fornitori esteri siano legate alla valuta estera (dollaro o euro). A dire il vero, la crescita del dollaro o dell'euro (o la periodica mini-svalutazione del rublo, a seconda dei punti di vista) fa sì che il dollaro di 10 anni fa e il dollaro di oggi siano due valori completamente diversi dal punto di vista del rublo.

  Per riassumere quanto detto sopra, vorrei sottolineare che acquistare subito apparecchiature di rete con funzionalità più ampie può comportare risparmi in futuro.
  Qui considero i costi di acquisto delle apparecchiature nel contesto degli investimenti nella mia rete e infrastruttura.

  Pertanto, molti fornitori (non solo Extreme) aderiscono al principio "pay-as-you-grow", prevedendo una serie di funzionalità e opportunità per aumentare le prestazioni di interfaccia delle apparecchiature, che vengono successivamente attivate acquistando licenze separate. Offrono inoltre switch modulari con un'ampia gamma di schede di interfaccia e processore, e la possibilità di aumentarne costantemente sia il numero che le prestazioni.

  Ridondanza dei nodi critici

  In questa parte dell'articolo, vorrei descrivere brevemente i principi fondamentali della ridondanza di nodi di rete importanti come switch core, data center o distribuzioni. Vorrei iniziare considerando le tipologie generali di ridondanza: stacking e clustering.

  Ogni metodo ha i suoi pro e contro, di cui vorrei parlare.

  Di seguito è riportata una tabella riassuntiva generale che confronta i due metodi:

  
  

  • управление — come si può vedere dalla tabella, in questo senso lo stacking presenta un vantaggio poiché, dal punto di vista gestionale, uno stack di più switch è rappresentato da un unico switch con un numero elevato di porte. Invece di gestire, ad esempio, 8 switch diversi durante il clustering, è possibile gestirne solo uno durante lo stacking.
  • distanza — al momento, in senso stretto, il vantaggio del clustering non è così ovvio, poiché sono apparse tecnologie di stacking degli switch tramite porte di stacking o porte a doppio scopo (ad esempio, SummitStack-V per Extreme, VSS per Cisco, ecc.), che dipendono anche dal tipo di transceiver. In questo caso, il vantaggio del clustering si basa sul principio che, durante lo stacking, esistono opzioni che richiedono l'utilizzo di porte di stacking standard, spesso collegate con cavi speciali di lunghezza limitata: 0.5, 1, 1.5, 3 o 5 metri.
  • aggiornamento software — Qui vediamo che il clustering ha un vantaggio rispetto allo stacking e il punto è il seguente: quando si aggiorna la versione software dell'apparecchiatura con lo stacking, si aggiorna il software sullo switch master, che poi assume il ruolo di installare il nuovo software sugli switch membri di standby dello stack. Da un lato, questo semplifica il lavoro, ma l'aggiornamento del software richiede spesso un riavvio hardware dell'apparecchiatura, che comporta il riavvio dell'intero stack e quindi un'interruzione del suo funzionamento e di tutti i servizi ad esso collegati per un tempo pari al tempo di riavvio. Di solito, questo è molto critico per il core e il data center. Con il clustering si hanno 2 dispositivi indipendenti l'uno dall'altro, sui quali è possibile aggiornare il software in sequenza. In questo caso, si possono evitare interruzioni dei servizi.
  • impostazioni di configurazione — qui il vantaggio è ovviamente legato allo stacking, poiché nel caso della gestione è necessario modificare le impostazioni di un solo dispositivo e il relativo file di configurazione. Nel clustering, il numero di file di configurazione sarà pari al numero di nodi del cluster.
  • tolleranza ai guasti — qui entrambe le tecnologie sono approssimativamente equivalenti, ma il clustering presenta comunque un leggero vantaggio. Il motivo è il seguente: se consideriamo lo stack dal punto di vista dei processi e dei protocolli in esecuzione, osserveremo quanto segue:
    • esiste uno switch principale su cui vengono eseguiti tutti i processi e i protocolli principali (ad esempio, il protocollo di routing dinamico - OSPF)
    • ci sono altri switch slave-switch che eseguono i processi principali necessari per lavorare nello stack e gestire il traffico che li attraversa
    • Quando l'interruttore principale si guasta, l'interruttore secondario con priorità più alta rileva il guasto del master
    • si avvia come master e avvia tutti i processi che erano in esecuzione sul master (incluso il protocollo OSPF che stiamo osservando)
    • dopo un certo tempo di avvio del processo (di solito abbastanza breve), il protocollo OSPF stesso inizia a funzionare
    • Pertanto, OSPF funzionerà un po' più velocemente in caso di guasto di uno dei nodi durante il clustering rispetto allo stacking (per il tempo necessario ad avviare e inizializzare processi e protocolli sullo switch slave dello stack). Sebbene i protocolli e gli switch di stacking moderni funzionino molto rapidamente, spesso la durata dell'interruzione del traffico durante lo stack switching è inferiore a un secondo, ma nominalmente il clustering vince comunque in questo parametro.

  • complessità — come si può vedere dalla tabella, l'accumulo di dati vince in termini di complessità. Questa è una conseguenza diretta delle voci "gestione" e "configurazione delle impostazioni". Un singolo nodo richiede molto meno tempo per la configurazione e la gestione. Inoltre, durante il clustering, è spesso necessario configurare protocolli di routing aggiuntivi o protocolli di ridondanza del gateway, come VRRP, HSRP e altri.
  • sostituzione di unità — qui lo stacking presenta un chiaro vantaggio. Molto spesso, per sostituire uno switch in uno stack, è necessario eseguire le impostazioni minime necessarie per l'apparecchiatura, ad esempio:
    • aggiornare il software del nuovo switch alla versione del software dello stack (e questo può essere fatto immediatamente dopo aver ricevuto gli switch nel kit dei pezzi di ricambio)
    • impostare alcuni comandi di base per lo stacking (e per alcuni tipi di switch anche questo potrebbe non essere necessario)
    • rimuovere lo stack switch non riuscito e collegarne uno nuovo
    • collegare l'alimentatore e i cavi di collegamento

  • elasticità — Lo considero uno dei parametri principali. In generale, l'elasticità è una caratteristica complessa, ovvero la proprietà di qualcosa di modificarsi sotto l'influenza di un carico e di tornare alla sua forma originale dopo la sua scomparsa. Stranamente, per il clustering sarà più alto anche tenendo conto del punteggio di 4:3 nelle caratteristiche a favore dello stacking. È tutta una questione di fattore umano. Sì, sì, non sorprendetevi: la forza di parametri di stacking come il controllo unificato, la configurazione delle impostazioni e la complessità semplificata è il punto debole dello stacking quando entra in gioco il fattore umano.

  Nel mio lavoro in ambito IT, ho incontrato molte situazioni (e, francamente, ho anche commesso lo stesso errore io stesso, soprattutto all'inizio) in cui, durante la configurazione di uno stack, un ingegnere commetteva un errore inserendo un comando o abilitando/disabilitando una funzionalità sull'apparecchiatura, con conseguente crash dell'intero stack e necessità di un riavvio manuale. Vale la pena menzionare i fan dell'app Putty per Windows (Oh, questa copia con il tasto destro del mouse).

  In realtà, entrambe le tecnologie sono piuttosto valide (soprattutto se confrontate con l'assenza di ridondanza) e ciascuna ha i suoi punti di forza e di debolezza, ma per il livello core e per un data center molto carico, preferirei comunque utilizzare il clustering.

  Anche se questa è solo la mia opinione, molti ingegneri professionisti che da anni si occupano di supporto di rete possono utilizzare entrambe le tecnologie allo stesso modo: tutto dipende dall'esperienza e dalle qualifiche.

  Oltre alle tecnologie di stacking e ridondanza dei nodi di rete, esistono anche principi generali di ridondanza di parti del nodo di rete stesso e di connessioni tra i nodi:

  Per ridondanza all'interno di un nodo di rete intendo:

  • alimentatori ridondanti: installare 2 alimentatori che si duplicano a vicenda (e preferibilmente collegati alla prima categoria di alimentatori) può semplificarti notevolmente la vita.
  • ridondanza delle schede di controllo, per lo più correlata agli switch modulari, che prevedono il collegamento di più schede di controllo duplicate.
  • ridondanza della scheda di interfaccia: si applica principalmente anche agli switch modulari.

  Per ridondanza dei collegamenti/collegamenti si intende principalmente la presenza di percorsi di cavi duplicati (o collegamenti radio nel caso di spazi aperti) con:

  • distribuiti attraverso vari condotti e canali per cavi all'interno dell'edificio
  • distribuzione geografica sul territorio a livello di 2 o più edifici, di una città, di una regione o di un paese (i cosiddetti anelli volumetrici)

  In questo caso, quando si realizzano collegamenti di comunicazione di backup, è necessario seguire una serie di raccomandazioni per l'apparecchiatura:

  • in caso di duplicazione delle schede di interfaccia di uno switch modulare, o in presenza di uno stack, è necessario distribuire i collegamenti tra le unità: schede di interfaccia nel caso di switch modulari e switch nel caso di uno stack.
  • Si consiglia di utilizzare protocolli di aggregazione dei link (LACP, MLT, PAgP, ecc.) per combinare i link in gruppi e bilanciare il carico tra di essi.
  • utilizzare router che supportano i protocolli ECMP (Equal-Cost-Multi-Path), quando, durante la consegna di più pacchetti lungo un percorso, questi pacchetti non passano attraverso un percorso migliore (e un'interfaccia), ma vengono distribuiti su più percorsi migliori (e più interfacce), determinati dall'uguaglianza delle metriche del protocollo di routing, che a sua volta è responsabile del riempimento della tabella di routing finale.

  E ora, come promesso, descriverò un caso reale tratto dalla mia pratica e il principio del risparmio quando si riservano nodi critici, accaduto diversi anni fa:

  • Un'azienda, che chiamerò X, aveva un modello di rete standard a 3 livelli:
    • con più core
    • diverse decine di aggregazioni
    • diverse migliaia di switch di accesso
    • da diverse decine di migliaia di utenti

  • la rete è stata costruita in modo piuttosto complesso:
    • con una serie di protocolli di routing dinamici e protocolli: OSPF, MP-BGP, MPLS, PIM, IGMP, IPv6, ecc.
    • una serie di servizi: accesso a Internet, VPN L2 e L3, VoIP, IPTV, linee dedicate, ecc.

  • ma c'era un collo di bottiglia nella rete: il router di confine, che combinava le funzioni di un router di confine BGP e interrompeva alcuni servizi utente
  • Sì, è costato quanto un'ala di aereo (diversi milioni di rubli)
  • Sì, a quel tempo era uno dei dispositivi di punta della linea del più famoso fornitore di reti
  • Sì, doveva essere molto affidabile, con un eccellente MTBF
  • Sì, aveva 4 alimentatori, assemblati secondo lo schema 2x2 e collegati da diversi UEPS e ingressi.

  Ma tutto ciò non cambiava il fatto che lui rappresentasse un singolo punto di errore nella rete.

  E un giorno, tutt'altro che meraviglioso per me e i miei colleghi, questo router ha tirato le cuoia (in seguito abbiamo scoperto che c'era una specie di guasto sulla linea di alimentazione attraverso l'UEPS, che ha portato al guasto simultaneo di 2 alimentatori e, allo stesso tempo, uno degli alimentatori ha bruciato il modulo RP del router e la scheda di interfaccia, che erano collegati al bus dati comune del dispositivo).

  Non avevamo schede di riserva (RP e schede di interfaccia), ma avevamo un contratto per la sostituzione delle apparecchiature o dei loro componenti con uno dei partner nell'ambito del programma NBD.

  Purtroppo, a quel tempo i partner avevano in magazzino solo la scheda di interfaccia, ma nessuna scheda RP, che arrivò solo pochi giorni dopo (3 giorni dopo).

  Di conseguenza, la presenza di un singolo punto di errore nella rete (anche con un contratto di supporto e la sostituzione delle apparecchiature) ha comportato i seguenti costi finanziari:

  • la quota dei servizi dell'azienda, correlati o connessi a questo confine, era di circa il 60-70%
  • come è stato calcolato in seguito, il profitto giornaliero era di circa 900 mila rubli a quel tempo
  • quindi, durante 3 giorni di inattività, teoricamente, sono stati persi profitti per un importo compreso tra 1 milione 620 mila rubli e 1 milione 890 mila rubli

  Naturalmente le perdite nette sono state minori, poiché il risarcimento per la maggior parte degli utenti non è stato restituito sotto forma di denaro, bensì sotto forma di servizi, che però sono comunque esistiti:

  • parte del compenso per gli utenti aziendali
  • aumento dei costi per i dipendenti dell'azienda che lavoravano tutti i 3-4 giorni a pieno regime: straordinari, turni di notte, turni prolungati, ecc.
  • perdite di reputazione, il che non è irrilevante
  • e, cosa più importante, i nervi sia del management che dei dipendenti, così come dei clienti

  Di conseguenza, la politica aziendale è stata rivista:

  • ha rifiutato il contratto sostitutivo in base alla condizione NBD
  • ha lasciato il consueto contratto di servizio
  • ha acquistato un router duplicato del valore di circa 1-1.3 milioni di rubli per eseguire il backup del 90% delle funzionalità di quello principale

  Successivamente, l'acquisto di apparecchiature aggiuntive e il backup di quelle principali ci hanno consentito di bilanciare il carico sui collegamenti esterni, sul traffico e sugli utenti tra loro, e hanno fornito un margine di sicurezza all'azienda in caso di incidenti futuri.

  Esempio di progettazione di una rete aziendale

  In questa parte dell'articolo cercherò di delineare i punti principali del calcolo della rete backbone aziendale. Non vi sovraccaricherò con l'intera metodologia PPDIOO (Preparazione-Pianificazione-Progettazione-Implementazione-Operatività-Ottimizzazione), ma mi limiterò a delinearne i punti principali:

  • Preparare/Preparazione — È necessario concordare con il management gli obiettivi di modernizzazione della rete che si desidera raggiungere: aumentare la tolleranza ai guasti, implementare nuovi servizi o tecnologie. Tralascerò di definire i limiti, sia tecnici che organizzativi, in questa sede, poiché presumo che siate dipendenti dell'organizzazione e abbiate un ampio margine di tempo per superarli. Tornerò sull'argomento del budget più avanti.
  • Pianificazione/Плания — qui dovrai creare una descrizione completa della tua rete attuale (se non la conosci ancora), ovvero descrivere la rete così com'è adesso:
    • quantità e tipo di attrezzatura
    • numero e tipi di porte
    • percorsi dei cavi esistenti e schemi di commutazione all'interno e tra gli edifici
    • schemi di alimentazione
    • Indirizzamento L2 e L3
    • creare mappe di rete Wi-Fi con punti di accesso e controller
    • descrivi la tua server farm
    • È consigliabile descrivere tutti i tuoi servizi e le connessioni tra loro
    • Se hai già implementato una policy di sicurezza di rete e una policy di controllo dell'accesso alla rete in una forma o nell'altra, assicurati di tenerne conto durante la progettazione
    • Faccio subito notare che il secondo passaggio, in sostanza, consiste in un inventario completo della rete, a partire dall'infrastruttura dei cavi e dagli schemi di alimentazione, per finire con i servizi (applicazioni e relative porte). Questa fase è molto, molto laboriosa e a volte persino noiosa. Se voi o il vostro predecessore non avete conservato la documentazione o almeno un sistema di monitoraggio elementare, allora è il momento di pensarci. La rete tende a cambiare nel tempo a una velocità maggiore o minore, e solo mantenendo una documentazione aggiornata o un sistema di monitoraggio potete monitorarne le condizioni e facilitarne l'amministrazione. Ma questo vale già per la fase operativa.

  • Progettazione/Progettazione — Una volta acquisita la conoscenza completa della tua rete, acquisita nel passaggio precedente, finalmente ti siedi e pensi a come potenziarla. Di seguito cercherò di illustrare un piccolo esempio di calcolo di rete.

  Per quanto mi riguarda, ho compilato un piccolo elenco di dati iniziali che utilizzerò per calcolare e progettare la rete di supporto.

  Immaginiamo la fase di preparazione come un elenco di ciò che abbiamo a disposizione e di ciò che intendiamo fare:

  • c'è un'azienda abbastanza grande con un numero approssimativo di posti di lavoro, circa 700-800 pezzi (qui intendo quei dipendenti che necessitano di accesso alla rete aziendale)
  • All’interno del territorio dell’impresa si trovano diversi edifici separati:
  • Edifici principali:
    • numero di edifici - 2 pezzi
    • Numero di piani nell'edificio - 7
    • numero di armadi per telecomunicazioni per piano in un edificio - 3 (totale 21) pezzi.
    • numero di dipendenti nell'edificio =~ 250 persone

  • Alloggiamenti aggiuntivi:
    • numero di edifici - 10 pezzi
    • numero di piani nell'edificio/officina - 2 pz.
    • Numero di armadi per le telecomunicazioni nell'edificio: 3 pezzi.
    • numero di dipendenti nell'edificio =~ 20 persone

  • Di seguito viene presentato il livello attuale del core della rete (tra l'altro, uno schema molto comune che ho riscontrato più di una volta in una forma o nell'altra e nella composizione delle porte):
    • 2 interruttori L2:
      • Porte RJ-1 da 45 Gb - 24 pezzi.
      • Porte SFP da 1 Gb - 4 pezzi
    • 1° interruttore L2:
      • Porte SFP da 1 Gb - 24 pezzi
    • topologia del nucleo - anello
    • i collegamenti peer-to-peer tra gli switch sono abilitati tramite fibre ottiche
    • gli switch sono posizionati in piccole sale server con armadi
  • Livello di distribuzione attuale:
    • combinato con il livello core della rete in termini di aggregazione dei collegamenti dagli switch di accesso
    • L'indirizzamento L3 viene spostato sul router di confine e/o sul firewall
  • Livello di accesso attuale:
    • Switch L2 con 16 porte di accesso RJ-100 da 45 Mb e 2 porte combo RJ-45/SFP uplink Gigabit
    • gli interruttori sono posizionati negli armadietti ai piani
    • topologia dello switch di accesso:
      • stella (mozzo e raggi) con un interruttore centrale/distribuzione al centro
      • beam/spoke è una diramazione di interruttori sui pavimenti - 3 pezzi in una catena
    • ci sono switch di accesso non gestiti
    • in altri 9 casi gli switch sono collegati tramite convertitori di media (convertitori di segnale ottico in segnale elettrico)
  • Infrastruttura via cavo attuale:
    • Sistema di cablaggio tra edifici:
      • c'è un cavo ottico tra i 2 edifici principali con una capacità di 8 fibre
      • c'è 1 cavo ottico tra uno degli edifici aggiuntivi (dove è installato lo switch principale) e ciascuno degli edifici principali con una capacità di 8 fibre ciascuno
      • c'è 1 cavo ottico tra i contenitori aggiuntivi e i contenitori con switch core installati con una capacità di 4 fibre (la loro distribuzione è mostrata nell'immagine sottostante)
      • il tipo di fibra in tutti i cavi è monomodale/SMF
      • Vengono utilizzati transceiver SFP monomodali a 2 fibre
      • alcuni cavi sono terminati in quadri di distribuzione ottica (ODF) in stanze separate (stanze incrociate/sale server) e alcuni cavi sono terminati in sale di controllo a livello del pavimento

    • Sistema di cablaggio all'interno degli edifici:
      • Tra le sale server e i primi armadi ai piani è presente una struttura di cablaggio mista:
      • cavi in ​​rame Cat5e - 10 pezzi (o 100 coppie di cavi)
      • Cavo in fibra ottica multimodale/MMF per 4 o 8 fibre - 1 pz.
      • Cavo in fibra ottica multimodale/MMF a 4 fibre tra armadi a pavimento
      • Cavi in ​​rame Cat5e tra armadietti a pavimento e prese di accesso
    • Data center attuale:
      • ci sono diversi server, ad esempio 6 pezzi
      • porte da 1 Gb incluse nello switch principale nel 1° edificio principale
      • Tutte le applicazioni aziendali vengono spostate sui server
    • Indirizzamento e routing L2, L3:
      • Ci sono diverse VLAN nella rete: 2,3 per edificio
      • i server sono assegnati a una rete separata /24
      • per le esigenze interne vengono utilizzate reti di classe B grigia, comprese nell'intervallo - 172.16.0.0/16
      • Gli indirizzi L3 vengono terminati sul router di confine e/o sul firewall
      • viene utilizzato il routing statico
    • informazioni aggiuntive:
      • telefonia:
        • La telefonia tradizionale che utilizza il vecchio PBX digitale (non IP-PBX) è stata implementata in edifici e alcune unità
        • è necessario dotare i nuovi edifici di telefoni, senza i costi di posa di costose linee di cavi in ​​rame di una certa capacità e di costruzione di un duplicato SCS per la telefonia all'interno degli edifici
        • Nel tempo si prevede di implementare la telefonia IP in tutta l'azienda, di combinarla con i sistemi CRM e di trasferirvi tutti i dipendenti.
      • Capacità del porto:
        • È necessario analizzare la capacità attuale delle porte trunk e delle porte di accesso e riservarne almeno il 25-30% per le esigenze future
        • analizzare la sufficienza della capacità di trasmissione attuale delle porte di accesso e dei collegamenti trunk
        • prevedere la presenza di porte di accesso PoE/PoE+ per dispositivi provenienti da sistemi adiacenti - videosorveglianza e telefonia
      • videosorveglianza:
        • Si prevede di utilizzare la rete aziendale come mezzo di trasporto per la rete di videosorveglianza
        • È necessario fornire porte PoE per le telecamere CCTV
      • sistemi senza fili:
        • In futuro si prevede di implementare un'infrastruttura wireless per la mobilità dei dipendenti
        • È necessario fornire porte PoE per i punti di accesso
      • budget, scadenze e requisiti delle attrezzature:
        • sfrutta al meglio le tue attrezzature esistenti
        • quando si progetta una rete, tenere in considerazione la possibilità di espandere la capacità della rete per N anni a venire
        • Quando si progetta una rete, bisogna tenere in considerazione il supporto per tutte le possibili funzioni di sicurezza: ecco un elenco di funzionalità, a partire dalla sicurezza delle porte fino all'autenticazione e all'autorizzazione degli utenti tramite 802.1x.
        • nella misura massima possibile, riservare i nodi di rete critici di primaria importanza - il core e il data center, e prevedere la possibilità di riservare i nodi di secondaria importanza - i nodi di distribuzione
        • il budget del progetto dovrebbe prevedere un finanziamento sequenziale in più fasi
        • importo del budget - qui ogni impresa determina per sé, guidata dai suoi indicatori finanziari
        • Termini - nel caso ideale, non ci saranno termini espliciti, poiché si tratta di un progetto interno all'azienda, implementato dai suoi dipendenti, oppure saranno relativamente comodi - ad esempio, 1 anno (o più). Nel caso peggiore, può variare da 3 a XNUMX mesi.
      • risolvere i problemi di rete attuali:
        • perdita di pacchetti
        • Problemi DHCP su switch di accesso più o meno intelligenti correlati all'uso della famiglia di protocolli STP per combattere i loop sulle porte di accesso.
        • eliminare la presenza di un'interfaccia server DHCP in ogni VLAN dei dipendenti
        • l'emergere di loop di commutazione associati all'attivazione non autorizzata di switch gestiti/non gestiti negli uffici e alla connessione di tutti i tipi di dispositivi ad essi
        • la lista potrebbe continuare all'infinito...

      La fase di pianificazione, ovvero la caratterizzazione dello stato attuale della rete, come ho già scritto, dipende dalla disponibilità di un sistema di monitoraggio della qualità e dal livello della sua documentazione. In questa fase, sarà necessario:

      • almeno abbozzare la rete esistente per ulteriori analisi
      • raccogliere dati dalle apparecchiature:
        • traffico sulle porte trunk
        • errori sulle porte
        • Carico della CPU e consumo di memoria su switch e router
        • descrivere gli schemi L2-L3 tramite VLAN e indirizzi IP
      • diagrammi del percorso dei cavi di sollevamento:
        • schemi di fibra ottica e schemi di cablaggio di interconnessione ottica
        • schemi di distribuzione dei cavi in ​​rame tra sale server e piani
        • schemi di distribuzione dei cavi in ​​rame tra piani e uffici
        • verificare la presenza di croci ottiche e pannelli di permutazione nelle sale server e negli armadi
      • controllare i circuiti di alimentazione nei server e negli armadi a pavimento
      • verificare la presenza di UPS e batterie sui nodi critici
      • analizzare tutti i dati

      Sulla base dei dati raccolti nella fase di preparazione, ho elaborato un diagramma logico approssimativo:

      
      
      Successivamente, seguendo l'approccio modulare, è necessario identificare i livelli e i moduli dell'impresa:

      
      
      In questo articolo non parlerò di Edge, ma ricorderò brevemente le tesi di base di ciascuno dei moduli Campus:

      • Accesso - a questo livello bisogna garantire:
        • il numero di porte necessarie affinché gli utenti possano accedere alla rete
        • implementazione di politiche di sicurezza - filtraggio del traffico e dei protocolli
        • Compressione del dominio di trasmissione e segmentazione della rete tramite VLAN
        • Implementazione di VLAN separate per il traffico vocale
        • Supporto QoS
        • supporto per porte di accesso PoE
        • Supporto multicast IP
        • tolleranza ai guasti degli uplink in combinazione con il livello di distribuzione (auspicabile)
      • Distribuzione - a questo livello si deve garantire quanto segue:
        • il numero richiesto di porte per la connessione degli switch di accesso
        • aggregazione e ridondanza dei collegamenti di commutazione di accesso
        • Instradamento IP
        • filtraggio dei pacchetti
        • Supporto QoS
        • tolleranza ai guasti a livello di collegamento, hardware e alimentazione (altamente auspicabile)
      • Il nucleo deve fornire:
        • commutazione ad alta velocità e instradamento dei pacchetti
        • il numero richiesto di porte per il collegamento degli switch di distribuzione
        • supporto per protocolli di routing IP e routing dinamico con rapida convergenza di rete
        • Supporto QoS
        • funzionalità di sicurezza per proteggere l'accesso alle apparecchiature e al piano di controllo
        • tolleranza ai guasti hardware e di alimentazione (obbligatoria)
      • Data center: il livello di rete di questo modulo deve fornire:
        • collegamenti di comunicazione ad alta velocità
        • il numero di porte necessarie per connettere i server
        • ridondanza dei collegamenti di comunicazione sia tra server e switch del data center, sia tra switch del data center e core della rete (obbligatorio)
        • apparecchiature e alimentazione di backup (obbligatorio)
        • Supporto QoS

      Ora dobbiamo contare le nostre porte e i collegamenti di comunicazione e determinare i requisiti.
      Livello di accesso - Tabella di calcolo della porta

      Abbiamo quindi ricevuto i dati sulla distribuzione delle porte di accesso per edificio. Ora dobbiamo analizzare i requisiti e i commenti relativi al livello di accesso e delineare le opzioni di soluzione.
      Livello di accesso - Requisiti e opzioni di soluzione

      Successivamente, calcoleremo le porte e i collegamenti di comunicazione per i seguenti livelli:

      Livello di distribuzione

      Livello centrale

      Livello del data center

      Facendo i calcoli abbiamo ottenuto quanto segue:

      • livello di accesso — Sono necessari switch di accesso a 24 e 48 porte, preferibilmente con porte di accesso da 1 Gb e con porte uplink ottiche SFP con supporto PoE e ampia funzionalità:
        • in totale forniranno 504 porte di accesso, che in linea di principio copriranno i requisiti di porte di riserva se si decide di utilizzare 2 porte per postazione di lavoro: un telefono IP e una porta dati.
        • È possibile utilizzare uno switch a 48 porte con funzionalità PoE su ogni piano, fornendo porte di accesso per i requisiti:
          • riserva - circa 102 porte di riserva (22%) sugli edifici principali. Per gli edifici aggiuntivi un po' di più - 25%.
          • videosorveglianza
          • rete senza fili
      • livello di distribuzione — sono richiesti switch con un set di porte SFP da 12 a 48 porte con almeno 2 porte SFP+, con possibilità di stacking e funzionalità estese, nonché la presenza di alimentatori di backup.
      • livello centrale — Sono necessari switch ad alta velocità con 12-24 porte SFP/SFP+ con supporto sia per lo stacking che per il clustering con supporto MC-LAG. È anche possibile utilizzare strumenti di routing per il bilanciamento del traffico. Le ultime generazioni di switch e router L3 supportano ECMP con bilanciamento del traffico su 4 o più percorsi con la stessa metrica.
      • livello di data center — Sono richiesti switch con 8-24 porte SFP/SFP+ con supporto sia per lo stacking che per il clustering con supporto MC-LAG.

      Lo schema di rete target è stato finalmente raggiunto tale

      Selezione di switch estremi per l'implementazione del progetto

      Bene, siamo arrivati ​​al punto principale: il momento di scegliere gli switch per l'implementazione del nostro progetto. I seguenti switch Extreme sono adatti allo schema di destinazione risultante:

      Livello
      Modello
      porti
      Descrizione

      nucleo
      x620-16x-Base*

      x670-G2-48x-4q-Base*
      16 SFP+ da 10 GE
       
       
       
      48x10GE SFP+ e 4x40GE QSFP+
      Per le esigenze fondamentali del kernel:

      • collegamenti ad alta velocità
      • Funzionalità avanzate di routing e sicurezza
      • alimentazione di backup con alimentatori aggiuntivi
      • supporto per stacking e clustering

      Lo switch della serie x620 è adatto a soddisfare i requisiti minimi.
      Per requisiti più estesi in termini di numero di porte e funzionalità più ampie, vale la pena prendere in considerazione gli switch della serie x670-G2.

      Banca dati

      x620-16x-Base*

      x590-24x-1q-2c*

      x670-G2-48x-4q-Base*

      16 SFP+ da 10 GE
       
       
       
      24x10GE SFP, 1xQSFP+, 2xQSFP28
       
       
      48x10GE SFP+ e 4x40GE QSFP+

      Per le esigenze di base del data center:

      • collegamenti ad alta velocità
      • alimentazione di backup con alimentatori aggiuntivi
      • supporto per stacking e clustering

      Lo switch della serie x620 è adatto a soddisfare i requisiti minimi.
      In caso di requisiti più estesi per il numero di porte e funzionalità più ampie, vale la pena prendere in considerazione gli switch delle serie x670-G2 e x590-24x-1q-2c.

      distribuzione

      X460-G2-24x-10GE4-Base*

      X460-G2-48x-10GE4-Base*

      24x1GE SFP, 8x1000 RJ-45, 4x10GE SFP+
       
       
       
      48x1GE SFP, 4x10GE SFP+

      Per esigenze di distribuzione di base:

      • numero richiesto di porte ottiche
      • alimentazione di backup con alimentatori aggiuntivi
      • supporto per stacking e clustering
      • funzionalità L3 richiesta

      Gli switch della serie x460-G2 sono ideali. La presenza di alimentatori ridondanti con la possibilità di espandere e aggiungere porte 10G, CX (per lo stacking) e QSFP+ li rende switch ideali per il livello di distribuzione con porte fino a 1 Gb.

      accesso

      X440-G2-24p-10GE4*

      X440-G2-24t-10GE4*

      X440-G2-48t-10GE4*

      X440-G2-48p-10GE4*

      24x1000BASE-T (4 x SFP combo), 4x10GE SFP+ (budget PoE 380 W)
       
      24x1000BASE-T (4 x SFP combo), 4x10GE SFP+
       
       
      24 porte combo 1000BASE-T (4 x SFP), 4 porte combo 10GE SFP+
       
      48 porte combo 1000BASE-T (4 x SFP), 4 porte combo 10GE SFP+ (budget PoE 740 W)

      Per esigenze di accesso:

      • numero richiesto di porte di accesso
      • Supporto PoE/PoE+
      • funzionalità e capacità di espansione delle porte
      • un bonus aggiuntivo sotto forma di supporto per l'impilamento di porte da 10 Gb "out of the box"

      Consiglio di prestare attenzione a questa linea per la sua flessibilità in termini di porte, prestazioni e funzionalità.

      *le specifiche degli switch selezionati possono essere trovate nel primo articolo della serie — Recensione di Extreme Switches

      Potrei concludere l'articolo qui, ma vorrei sottolineare due aspetti aggiuntivi che qualsiasi ingegnere incontrerà durante lo sviluppo o l'aggiornamento della propria rete:

      • lavorare con percorsi di cavi - fibre e linee di rame
      • indirizzamento IP

      Lavorare con le fibre

      Sopra ho indicato lo schema obiettivo a cui è necessario arrivare. Per la sua implementazione è necessario il seguente numero di connessioni per le apparecchiature:

      numero di collegamenti di comunicazione

      Come si può vedere dalla tabella, il numero minimo di fibre necessarie per garantire la tolleranza ai guasti dei livelli di rete (modulo core, data center e distribuzione in 2 edifici) è di 10 pezzi.

      Nella fase di caratterizzazione della rete, abbiamo scoperto che il cavo tra gli edifici ha solo 8 fibre. Cosa fare in questa situazione?

      Vi darò alcune soluzioni:

      • Il primo passo ovvio è utilizzare le fibre di riserva nel cavo tra l'edificio 1 e l'edificio 1 e tra l'edificio 1 e l'edificio 2 (come si può vedere dalla tabella, vengono utilizzate solo 2 delle 8 fibre in ciascun cavo). Per fare ciò, è sufficiente installare dei cross-connect ottici tra i cross-connect dell'edificio 1 e, se necessario, utilizzare moduli SFP con una riserva di budget ottico.
      • Il secondo passo è utilizzare la tecnologia CWDM, ovvero il multiplexing delle lunghezze d'onda portanti all'interno di una singola fibra. Questa tecnologia è molto più economica della DWDM ed è piuttosto semplice da implementare. I requisiti riguardano principalmente la qualità delle fibre ottiche e dei transceiver SFP/SFP+ di una certa lunghezza e budget. Come ho detto nell'articolo precedente, la capacità degli switch di riconoscere i transceiver di terze parti può semplificarci notevolmente la vita e ridurre i costi di capitale per la costruzione di cavi ottici aggiuntivi.
      • Il terzo passo consiste nel valutare la possibilità di aumentare il numero di fibre mediante la posa di ulteriori cavi ottici.

      Ora esaminiamo il numero di fibre tra gli edifici con switch di distribuzione installati e gli edifici aggiuntivi 2-10. Anche qui non tutto è così chiaro:

      • in primo luogo, non ci sono abbastanza fibre per implementare il nostro schema target: 2 fibre per ogni switch (come ricordiamo, abbiamo cavi con 4 OB per ogni caso)
      • in secondo luogo, anche se c'è un numero sufficiente di fibre tra gli edifici, all'interno degli edifici vengono utilizzate fibre MMF, il che non ci consentirà di collegare semplicemente fibre SMF e MMF (parlo di distanze tra edifici superiori a 300-400 metri)

      In questi casi si possono prendere in considerazione le seguenti opzioni:

      • Fornitura di fibre a ciascun switch SMF:
        • Se la distanza lo consente, è possibile estendere i cavi di collegamento tra gli switch con cavi di collegamento più lunghi. Un tempo, usavamo cavi di collegamento lunghi 30-50 m.
        • posare un cavo ottico SMF a bassa capacità relativamente economico tra i cabinet
        • come ultima risorsa, utilizzare vari convertitori SMF-MMF
      • Per ridurre al minimo la quantità di fibra ottica utilizzata tra gli edifici, è possibile:
        • utilizzare la funzionalità di stacking degli switch di accesso x440-G2, utilizzando 1 fibra SMF per ogni switch sul pavimento, il che consentirà di utilizzare 6 fibre e porte su ciascun lato anziché 3 fibre e porte
        • Utilizzare 2 fibre per collegare il primo switch del ramo e l'ultimo. Aggregare i collegamenti sugli switch di accesso edge e utilizzare i protocolli STP nell'anello risultante.

      indirizzamento IP

      Qui fornirò un calcolo approssimativo dell'indirizzamento per il nostro schema.

      Al momento disponiamo di diverse reti di classe B: 172.16.0.0/16. Nel calcolo dello spazio degli indirizzi IP, mi baserò sulle seguenti considerazioni:

      • I 4 bit del secondo ottetto rappresenteranno gli edifici: 172.16.0.0/12.
      • L'ottetto 3 indicherà il numero del piano dell'edificio.
      • 3 ottetti = 255 saranno assegnati ai collegamenti punto-punto delle apparecchiature e della rete di controllo.
      • una VLAN di gestione per piano per la gestione degli switch.
      • una VLAN utente per switch (in media 24 porte).
      • una VLAN vocale per switch (in media 24 porte).
      • una VLAN per il sistema di videosorveglianza per piano.
      • una VLAN per dispositivi Wi-Fi per piano.

      Ho ottenuto tabelle che assomigliavano più o meno a queste:
      rete 172.16.0.0/14
      rete 172.20.0.0/14

      Nella tabella soprastante ho fornito una distribuzione approssimativa delle reti per edifici e piani da un lato e per reti (utenti, gestione e servizi) dall'altro.

      In effetti, la scelta della rete grigia 172.16.0.0/12 non è la più ottimale, poiché ci limita nel numero di reti (da 16 a 31) per gli edifici, e ci sono anche uffici remoti che hanno anche bisogno di tagliare blocchi di rete, forse un'opzione più ottimale sarebbe usare reti 10.0.0.0/8, o l'uso congiunto delle reti 172.16.0.0/12 (ad esempio, per esigenze di servizio e server) e 10.0.0.0/8 (per le reti degli utenti).

      In generale, anche l'approccio all'allocazione delle reti IP è modulare ed è auspicabile rispettare le regole di riepilogazione delle subnet in un'unica rete di riepilogo a livello di distribuzione, nonché sui router edge nelle filiali remote. Questo viene fatto per diversi motivi:

      • per ridurre al minimo le tabelle di routing sui router
      • per ridurre al minimo il traffico di servizio dei protocolli di routing (tutti i tipi di messaggi di aggiornamento, quando le subnet nidificate non sono disponibili)
      • per semplificare l'amministrazione e migliorare la leggibilità delle reti L3

      Sebbene valga la pena notare per quanto riguarda i primi 2 punti che la capacità dei router moderni è molto più elevata rispetto a quelli di 15-20 anni fa e consente loro di contenere grandi tabelle di routing nella loro RAM, il rapporto tra prezzo e larghezza di banda dei canali di comunicazione è diminuito rispetto ai prezzi dei tempi di utilizzo diffuso dei flussi E1/T1 (G.703).

      conclusione

      Amici, in questo articolo ho cercato di illustrare nel modo più breve possibile i principi fondamentali della progettazione di reti universitarie. Sì, il materiale era piuttosto ampio, e questo nonostante non abbia toccato argomenti come:

      • organizzazione del confine aziendale (e questa è una storia a parte con i suoi switch, confini, firewall, sistemi IPS/IDS, DMZ, VPN e altre cose)
      • Organizzazione della rete Wi-Fi
      • Organizzazione delle reti VoIP
      • organizzazione del data center
      • sicurezza (e anche questo è un mondo a parte, che in termini di volume e requisiti non è inferiore alla progettazione di un'infrastruttura di rete pulita, e a volte addirittura la supera)
      • ingegneria energetica
      • la lista continua all'infinito

      In effetti, progettare e costruire una rete aziendale è un compito piuttosto laborioso che richiede molto tempo e risorse.

      Ma spero che il mio articolo vi aiuti a valutare e comprendere a livello basilare come affrontare questo compito.

      Questo è ben lontano dall'essere l'ultimo articolo su Reti estreme, quindi rimanete sintonizzati (Telegram, Facebook, VK, Blog sulle soluzioni TS)!

Fonte: habr.com