ネットワーク インフラストラクチャを制御する方法。 第XNUMX章。 クリーニングと文書化

この記事は、「ネットワーク インフラストラクチャを制御する方法」シリーズ記事の XNUMX 番目です。 シリーズのすべての記事の内容とリンクが見つかります。 ここで.

この段階での目標は、ドキュメントと構成に秩序をもたらすことです。
このプロセスの最後には、必要な一連のドキュメントと、それらに従って構成されたネットワークが完成するはずです。

ここではセキュリティ監査については説明しません。これは第 XNUMX 部の主題になります。

この段階で割り当てられたタスクを完了する難易度は、当然のことながら企業によって大きく異なります。

理想的な状況は次のようなときです

• あなたのネットワークはプロジェクトに従って作成されており、完全なドキュメントセットを持っています
• あなたの会社でも導入されました 変更制御と管理プロセス ネットワーク用
• このプロセスに従って、現状に関する完全な情報を提供する文書 (必要なすべての図を含む) が手に入ります。

この場合、タスクは非常に簡単です。 ドキュメントを調べて、加えられたすべての変更を確認する必要があります。

最悪のシナリオでは、

• 十分なレベルの資格を持たないエンジニアによって、プロジェクトなし、計画なし、承認なしで作成されたネットワーク。
• 無秩序で文書化されていない変更があり、多くの「ゴミ」と次善のソリューションが含まれています

あなたの状況がその中間にあることは明らかですが、残念ながら、この程度の改善と悪化のスケールでは、最悪の結末に近づく可能性が高くなります。

この場合、「デザイナー」が何をしたかったのかを理解し、ロジックを復元し、未完成のものを完成させ、「ゴミ」を取り除くことを学ぶ必要があるため、心を読む能力も必要になります。
そしてもちろん、間違いを修正し、（この段階ではできるだけ最小限に）設計を変更し、スキームを変更または再作成する必要があります。

この記事は決して完全であるとは主張しません。 ここでは一般原則のみを説明し、解決する必要があるいくつかの一般的な問題に焦点を当てます。

書類一式

例から始めましょう。

以下は、設計時にシスコシステムズで習慣的に作成されるドキュメントの一部です。

CR – 顧客の要件、クライアントの要件 (技術仕様)。
これは顧客と共同で作成され、ネットワーク要件を決定します。

HLD – 高レベル設計、ネットワーク要件 (CR) に基づく高レベル設計。 この文書では、アーキテクチャ上の決定 (トポロジ、プロトコル、ハードウェアの選択など) を説明し、正当化します。 HLD には、使用されるインターフェイスや IP アドレスなどの設計の詳細は含まれません。 また、ここでは特定のハードウェア構成については説明しません。 むしろ、この文書は、顧客の技術管理者に主要な設計概念を説明することを目的としています。

LLD – 低レベル設計、高レベル設計 (HLD) に基づく低レベル設計。
これには、機器の接続方法や構成方法に関する情報など、プロジェクトの実装に必要なすべての詳細が含まれている必要があります。 これは、設計を実装するための完全なガイドです。 この文書は、資格のない担当者でも実装できるように十分な情報を提供する必要があります。

たとえば、IP アドレス、AS 番号、物理スイッチング スキーム (ケーブル配線) などは、次のような別のドキュメントに「出力」できます。 NIP (ネットワーク実装計画)。

ネットワークの構築は、これらの文書の作成後に開始され、文書に厳密に従って行われ、その後、設計への準拠が顧客によってチェック (テスト) されます。

もちろん、インテグレーター、クライアント、国が異なれば、プロジェクトの文書化に対する要件も異なる場合があります。 しかし、私は形式的なことを避けて、その問題を本質的に検討したいと思います。 この段階は設計に関するものではなく、物事を整理するためのものであり、タスクを完了するには十分なドキュメントのセット (図、表、説明など) が必要です。

私の意見では、一定の絶対的な最小値があり、それがなければネットワークを効果的に制御することは不可能です。

これらは次の文書です。

• 物理スイッチング (ケーブル配線) の図 (ログ)
• ネットワーク図、または重要な L2/L3 情報を含む図

物理スイッチング図

一部の小規模企業では、機器の設置や物理的なスイッチング (ケーブル配線) に関連する作業がネットワーク エンジニアの責任となります。

この場合、問題は次のアプローチによって部分的に解決されます。

• インターフェイス上の説明を使用して、インターフェイスに接続されているものを説明します
• 接続されていないすべてのネットワーク機器ポートを管理上シャットダウンします。

これにより、リンクに問題が発生した場合（このインターフェイスで cdp または lldp が機能しない場合）でも、このポートに何が接続されているかを迅速に判断する機会が得られます。
また、どのポートが占有されており、どのポートが空いているかを簡単に確認できます。これは、新しいネットワーク機器、サーバー、またはワークステーションの接続を計画する場合に必要です。

しかし、機器にアクセスできなくなると、この情報にもアクセスできなくなることは明らかです。 さらに、この方法では、どのような種類の機器、どのような消費電力、ポートの数、どのラックにあるのか、どのパッチパネルがどこにあるか (どのラック/パッチパネルにあるのか) などの重要な情報を記録できなくなります。 )それらは接続されています。 したがって、追加のドキュメント (機器に関する説明だけでなく) は依然として非常に役立ちます。

理想的なオプションは、この種の情報を処理するように設計されたアプリケーションを使用することです。 ただし、単純なテーブル (Excel など) に限定したり、必要と思われる情報を L1/L2 図に表示したりすることもできます。

重要！

もちろん、ネットワーク エンジニアは、SCS の複雑さと標準、ラックの種類、無停電電源装置の種類、コールド アイルとホット アイルとは何か、適切な接地方法などをよく知っています。素粒子の物理学または C++ を知っていること。 しかし、これはすべて彼の知識の領域ではないことを理解する必要があります。

したがって、機器の設置、接続、保守、および物理的な切り替えに関連する問題を解決するために、専任の部門または専任担当者を置くことをお勧めします。 通常、データセンターの場合はデータセンターのエンジニア、オフィスの場合はヘルプデスクです。

社内にそのような部門が設けられている場合は、物理スイッチングのログ記録の問題はあなたの仕事ではなく、インターフェイスに関する説明と未使用ポートの管理上のシャットダウンのみに限定できます。

ネットワーク図

図を描くための普遍的なアプローチはありません。

最も重要なことは、図によってトラフィックがどのように流れ、ネットワークのどの論理要素と物理要素を通過するかを理解できるようにすることです。

物理的要素とは、

• アクティブな機器
• アクティブな機器のインターフェイス/ポート

論理下 -

• 論理デバイス (N7K VDC、Palo Alto VSYS など)
• VRF
• ヴィランズ
• サブインターフェース
• トンネル
• ゾーン
• ...

また、ネットワークが完全に初歩的なものではない場合、ネットワークはさまざまなセグメントで構成されます。
例えば

• データセンター
• интернет
• WAN
• リモートアクセス
• オフィスLAN
• DMZ
• ...

全体像 (これらすべてのセグメント間でトラフィックがどのように流れるか) と、個々のセグメントの詳細な説明の両方を示す図をいくつか用意することが賢明です。

最新のネットワークでは論理層が多数存在する可能性があるため、層ごとに異なる回路を作成することはおそらく良い (必須ではありません) アプローチです。たとえば、オーバーレイ アプローチの場合、これは次の回路になります。

• オーバーレイ
• L1/L2アンダーレイ
• L3アンダーレイ

もちろん、最も重要な図は、それなしでは設計のアイデアを理解することが不可能であり、配線図です。

ルーティングスキーム

少なくとも、この図は次のことを反映している必要があります。

• どのルーティング プロトコルがどこで使用されているか
• ルーティングプロトコル設定に関する基本情報（エリア/AS番号/ルータID/…）
• どのデバイスで再配布が行われますか?
• フィルタリングとルート集約が行われる場所
• デフォルトルート情報

また、L2 スキーム (OSI) も役立つことがよくあります。

L2スキーム(OSI)

この図には次の情報が表示される場合があります。

• どの VLAN
• どのポートがトランクポートであるか
• どのポートがイーサチャネル（ポートチャネル）、仮想ポートチャネルに集約されるか
• どの STP プロトコルがどのデバイスで使用されているか
• 基本的な STP 設定: ルート/ルート バックアップ、STP コスト、ポートの優先順位
• 追加の STP 設定: BPDU ガード/フィルター、ルート ガード…

典型的な設計ミス

ネットワーク構築の悪いアプローチの例。

簡単なオフィス LAN を構築する簡単な例を見てみましょう。

学生に電気通信を教えた経験があるので、ほぼすべての学生が、(私が教えたコースの一環として) XNUMX 学期半ばまでに、簡単なオフィス LAN をセットアップするために必要な知識を持っていると言えます。

スイッチ間の接続、VLAN、SVI インターフェイス (L3 スイッチの場合) の設定、スタティック ルーティングの設定の何がそんなに難しいのでしょうか?

すべてうまくいきます。

しかし同時に、次のような疑問も出てきました。

• 安全
• 予約
• ネットワークのスケーリング
• 生産性
• スループット
• 信頼性
• ...

時々、オフィス LAN は非常に単純なものであるという発言を聞きます。通常、これはネットワーク以外のあらゆる業務に携わるエンジニア (およびマネージャー) から聞きます。彼らは自信を持ってこれを言うので、LAN が壊れても驚かないでしょう。これは練習も知識も不十分な人によって行われ、以下で説明するのとほぼ同じ間違いを犯すことになります。

L1 (OSI) 設計のよくある間違い

• それにもかかわらず、あなたが SCS の責任者でもある場合、あなたが受ける可能性のある最も不快な遺産の XNUMX つは、不注意で無計画な切り替えです。

また、使用される機器のリソースに関連するエラーもタイプ L1 として分類します。たとえば、

• 帯域幅が不十分です
• 機器上の TCAM が不十分（または TCAM が効果的に使用されていない）
• パフォーマンスが不十分 (ファイアウォールに関連することが多い)

L2 (OSI) 設計のよくある間違い

多くの場合、STP がどのように動作するのか、また STP によってどのような潜在的な問題が発生するのかが十分に理解されていない場合、追加の STP チューニングを行わずに、デフォルト設定でスイッチが無秩序に接続されてしまいます。

その結果、次のようなことがよくあります。

• STP ネットワークの直径が大きいため、ブロードキャスト ストームが発生する可能性があります
• STP ルートはランダムに (MAC アドレスに基づいて) 決定され、トラフィック パスは最適化されません。
• ホストに接続されているポートはエッジ (ポートファスト) として設定されないため、エンド ステーションの電源をオン/オフにするときに STP が再計算されます。
• ネットワークは L1/L2 レベルでセグメント化されません。その結果、スイッチに問題 (電力過負荷など) が発生すると、STP トポロジが再計算され、すべてのスイッチ (スイッチを含む) のすべての VLAN でトラフィックが停止します。 XNUMX つは継続性サービス セグメントの観点から重要です)

L3 (OSI) 設計の間違いの例

初心者ネットワーカーの典型的な間違いをいくつか挙げます。

• 静的ルーティングを頻繁に使用する (または使用のみ)
• 特定の設計に対して最適ではないルーティング プロトコルを使用する
• 最適ではない論理ネットワークのセグメンテーション
• アドレス空間の使用が最適ではなく、ルート集約が許可されない
• バックアップルートがない
• デフォルトゲートウェイの予約なし
• ルートを再構築するときの非対称ルーティング (NAT/PAT、ステートフル ファイアウォールの場合に重要になる可能性があります)
• MTUの問題
• ルートが再構築されると、トラフィックは他のセキュリティ ゾーンや他のファイアウォールを通過するため、このトラフィックはドロップされます。
• トポロジのスケーラビリティが低い

デザインの品質を評価する基準

最適性/非最適性について語るとき、それをどのような基準で評価できるのかを理解する必要があります。 私の観点から、最も重要な (すべてではない) 基準 (およびルーティング プロトコルに関連した説明) を以下に示します。

• スケーラビリティ
  たとえば、別のデータセンターを追加するとします。 どれくらい簡単にできるでしょうか？
• 使いやすさ（管理性）
  新しいグリッドの発表やルートのフィルタリングなど、運用上の変更はどのくらい簡単かつ安全ですか?
• 可用性
  あなたのシステムは、必要なレベルのサービスを提供する時間の何パーセントですか?
• 安全
  送信されるデータの安全性はどの程度ですか?
• 価格

変更点

この段階での基本原則は「害を与えない」という式で表すことができます。
したがって、設計と選択した実装 (構成) に完全に同意できない場合でも、変更を加えることが常に推奨されるわけではありません。 合理的なアプローチは、特定されたすべての問題を XNUMX つのパラメータに従ってランク付けすることです。

• この問題はどのくらい簡単に解決できるでしょうか
• 彼女はどれだけのリスクを負うのか？

まず第一に、現在提供されているサービスのレベルを許容レベル以下に低下させているもの、たとえばパケット損失につながる問題を排除する必要があります。 次に、リスクの重大度の降順に (リスクの高い設計または構成の問題からリスクの低い問題まで)、修正するのが最も簡単で安全なものを修正します。

この段階での完璧主義は有害になる可能性があります。 設計を満足のいく状態にし、それに応じてネットワーク構成を同期します。

出所： habr.com