Dina iki aku bakal pitutur marang kowe bab carane idea saka nggawe jaringan internal anyar kanggo perusahaan kita teka lan dileksanakake. Posisi manajemen yaiku sampeyan kudu nindakake proyek lengkap sing padha karo klien. Yen kita nindakake kanthi apik kanggo awake dhewe, kita bisa ngundang pelanggan lan nuduhake kepiye apa sing ditawakake dheweke bisa digunakake lan kerjane. Mulane, kita nyedhaki pangembangan konsep jaringan anyar kanggo kantor Moskow kanthi teliti, nggunakake siklus produksi lengkap: analisis kabutuhan departemen β pilihan solusi teknis β desain β implementasi β testing. Dadi ayo miwiti.
Milih Solusi Teknis: Mutant Sanctuary
Prosedur kanggo nggarap sistem otomatis kompleks saiki paling apik diterangake ing GOST 34.601-90 "Sistem otomatis. Tahap-tahap Penciptaanβ, mula kita makarya miturut. Lan wis ing tahap tatanan syarat lan pangembangan konsep, kita nemoni kangelan pisanan. Organisasi saka macem-macem profil - bank, perusahaan asuransi, pangembang piranti lunak, lan liya-liyane - kanggo tugas lan standar, dheweke butuh jinis jaringan tartamtu, spesifik sing jelas lan standar. Nanging, iki ora bakal bisa digunakake karo kita.
Kenapa?
Jet Infosystems minangka perusahaan IT macem-macem gedhe. Ing wektu sing padha, departemen dhukungan internal kita cilik (nanging bangga), njamin fungsi layanan lan sistem dhasar. Perusahaan kasebut ngemot akeh divisi sing nindakake fungsi sing beda-beda: iki minangka sawetara tim outsourcing sing kuat, lan pangembang internal sistem bisnis, lan keamanan informasi, lan arsitek sistem komputasi - umume, sapa wae. Dadi, tugas, sistem lan kabijakan keamanan uga beda. Sing, kaya sing dikarepake, nggawe kesulitan ing proses analisis lan standarisasi kabutuhan.
Ing kene, umpamane, departemen pangembangan: karyawan nulis lan nyoba kode kanggo akeh pelanggan. Asring ana perlu kanggo cepet ngatur lingkungan test, lan sakbenere ngandika, iku ora tansah bisa kanggo ngramu syarat kanggo saben project, njaluk sumber daya lan mbangun lingkungan test kapisah miturut kabeh peraturan internal. Iki nyebabake kahanan sing aneh: ing sawijining dina abdi sampeyan sing asor katon ing kamar pangembang lan nemokake ing ngisor meja klompok Hadoop 20 desktop sing bisa digunakake kanthi bener, sing ora bisa dingerteni disambungake menyang jaringan umum. Aku ora mikir kudu njlentrehake manawa departemen IT perusahaan ora ngerti babagan orane. Kahanan iki, kaya akeh liyane, tanggung jawab kanggo kasunyatan sing sajrone pangembangan proyek kasebut, istilah "cadangan mutan" lair, nggambarake kahanan infrastruktur kantor sing wis suwe.
Utawa iki conto liyane. Secara berkala, bangku tes disetel ing departemen. Iki kedadeyan karo Jira lan Confluence, sing digunakake kanthi winates dening Pusat Pengembangan Perangkat Lunak ing sawetara proyek. Sawise sawetara wektu, departemen liyane sinau babagan sumber daya sing migunani iki, ngevaluasi, lan ing pungkasan taun 2018, Jira lan Confluence pindhah saka status "dolanan programer lokal" menyang status "sumber daya perusahaan." Saiki pemilik kudu ditugasake kanggo sistem kasebut, SLA, kabijakan keamanan akses / informasi, kabijakan serep, pemantauan, aturan kanggo panjaluk rute kanggo ndandani masalah kudu ditetepake - umume, kabeh atribut sistem informasi lengkap kudu ana. .
Saben divisi kita uga minangka inkubator sing ngasilake produk dhewe. Sawetara wong mati ing tahap pangembangan, sawetara sing digunakake nalika nggarap proyek, dene liyane njupuk oyod lan dadi solusi tiron sing wiwit digunakake lan adol menyang klien. Kanggo saben sistem kuwi, iku seng di pengeni kanggo duwe lingkungan jaringan dhewe, ngendi iku bakal berkembang tanpa ngganggu sistem liyane, lan ing sawetara titik bisa Integrasi menyang infrastruktur perusahaan.
Saliyane pembangunan, kita duwe gedhe banget karo luwih saka 500 karyawan, kawangun menyang tim kanggo saben customer. Dheweke melu njaga jaringan lan sistem liyane, ngawasi remot, ngrampungake tuntutan, lan liya-liyane. Tegese, infrastruktur SC, nyatane, infrastruktur pelanggan sing saiki lagi kerja. Keanehan nggarap bagean jaringan iki yaiku stasiun kerja kanggo perusahaan kita sebagian njaba, lan sebagian internal. Mulane, kanggo SC kita ngetrapake pendekatan ing ngisor iki - perusahaan nyedhiyakake departemen sing cocog karo jaringan lan sumber daya liyane, nganggep stasiun kerja departemen kasebut minangka sambungan eksternal (kanthi analogi karo cabang lan pangguna remot).
Desain dalan: kita minangka operator (kaget)
Sawise netepake kabeh pitfalls, kita nyadari yen kita entuk jaringan operator telekomunikasi ing siji kantor, lan kita wiwit tumindak.
We digawe jaringan inti karo bantuan kang sembarang internal, lan ing mangsa uga external, konsumen kasedhiya karo layanan sing dibutuhake: L2 VPN, L3 VPN utawa L3 nuntun biasa. Sawetara departemen mbutuhake akses Internet sing aman, dene liyane mbutuhake akses sing resik tanpa firewall, nanging ing wektu sing padha nglindhungi sumber daya perusahaan lan jaringan inti saka lalu lintas.
Kita ora resmi "nyimpulake SLA" karo saben divisi. Selaras karo iku, kabeh kedadeyan sing muncul kudu diilangi ing wektu tartamtu sing wis disepakati. Persyaratan perusahaan kanggo jaringan kasebut dadi ketat. Wektu nanggepi maksimal kanggo kedadeyan nalika gagal telpon lan email yaiku 5 menit. Wektu kanggo mulihake fungsi jaringan sajrone kegagalan khas ora luwih saka siji menit.
Amarga kita duwe jaringan kelas operator, sampeyan mung bisa nyambung menyang kasebut miturut aturan sing ketat. Unit layanan nyetel kabijakan lan nyedhiyakake layanan. Dheweke ora butuh informasi babagan sambungan server tartamtu, mesin virtual lan stasiun kerja. Nanging ing wektu sing padha, mekanisme proteksi dibutuhake, amarga ora ana sambungan siji sing kudu mateni jaringan. Yen daur ulang ora sengaja digawe, pangguna liyane ora kudu sok dong mirsani iki, yaiku, respon sing cukup saka jaringan perlu. Sembarang operator telekomunikasi terus-terusan ngrampungake masalah sing katon rumit ing jaringan inti. Iki nyedhiyakake layanan kanggo akeh klien kanthi kabutuhan lan lalu lintas sing beda. Ing wektu sing padha, pelanggan sing beda-beda kudu ora ngalami gangguan saka lalu lintas wong liya.
Ing omah, kita ngrampungake masalah iki kanthi cara ing ngisor iki: kita mbangun jaringan backbone L3 kanthi redundansi lengkap, nggunakake protokol IS-IS. Jaringan overlay dibangun ing ndhuwur inti adhedhasar teknologi /, nggunakake protokol routing . Kanggo nyepetake konvergensi protokol routing, teknologi BFD digunakake.
Struktur jaringan
Ing tes, skema iki nuduhake dhewe apik banget - nalika saluran utawa saklar apa wae sing dicopot, wektu konvergensi ora luwih saka 0.1-0.2 s, minimal paket ilang (asring ora ana), sesi TCP ora suwek, obrolan telpon. ora diselani.
Underlay Layer - Routing
Numpuki Layer - Routing
Ngalih Huawei CE6870 kanthi lisensi VXLAN digunakake minangka switch distribusi. Piranti iki nduweni rasio rega/kualitas sing optimal, ngidini sampeyan nyambungake pelanggan kanthi kacepetan 10 Gbit/s, lan nyambung menyang backbone kanthi kecepatan 40β100 Gbit/s, gumantung saka transceiver sing digunakake.
Huawei CE6870 ngalih
Huawei CE8850 ngalih digunakake minangka inti ngalih. Tujuane kanggo ngirim lalu lintas kanthi cepet lan andal. Ora ana piranti sing disambungake kajaba ngalih distribusi, dheweke ora ngerti apa-apa babagan VXLAN, mula model karo port 32 40/100 Gbps dipilih, kanthi lisensi dhasar sing nyedhiyakake rute L3 lan dhukungan kanggo IS-IS lan MP-BGP. protokol.
Sing paling ngisor yaiku saklar inti Huawei CE8850
Ing tataran desain, diskusi pecah ing tim babagan teknologi sing bisa digunakake kanggo ngleksanakake sambungan fault-tolerant menyang node jaringan inti. Kantor Moskow kita dumunung ing telung bangunan, kita duwe 7 kamar distribusi, ing saben loro saklar distribusi Huawei CE6870 dipasang (mung saklar akses sing dipasang ing sawetara kamar distribusi). Nalika ngembangake konsep jaringan, rong opsi redundansi dianggep:
- Konsolidasi distribusi ngalih menyang tumpukan fault-tolerant ing saben kamar salib-sambungan. Pros: gamblang lan ease saka persiyapan. Cacat: ana kemungkinan gagal kabeh tumpukan nalika ana kesalahan ing perangkat kukuh piranti jaringan ("memori bocor" lan liya-liyane).
- Gunakake teknologi gateway M-LAG lan Anycast kanggo nyambungake piranti menyang switch distribusi.
Pungkasane, kita mutusake pilihan kapindho. Iku Luwih angel kanggo ngatur, nanging wis ditampilake ing laku kinerja lan linuwih dhuwur.
Ayo dipikirake dhisik nyambungake piranti pungkasan menyang switch distribusi:
nyabrang
Switch akses, server, utawa piranti liyane sing mbutuhake sambungan fault-tolerant kalebu ing rong switch distribusi. Teknologi M-LAG nyedhiyakake redundansi ing level link data. Dianggep yen rong switch distribusi katon ing peralatan sing disambungake minangka piranti siji. Redundansi lan imbangan beban ditindakake kanthi nggunakake protokol LACP.
Teknologi gateway Anycast nyedhiyakake redundansi ing tingkat jaringan. Jumlah VRF sing cukup akeh dikonfigurasi ing saben switch distribusi (saben VRF dimaksudake kanggo tujuan dhewe - kanthi kapisah kanggo pangguna "biasa", kanthi kapisah kanggo telpon, kanthi kapisah kanggo macem-macem lingkungan tes lan pangembangan, lan liya-liyane. VRF wis sawetara VLANs diatur. Ing jaringan kita, switch distribusi minangka gateway standar kanggo kabeh piranti sing disambungake. Alamat IP sing cocog karo antarmuka VLAN padha kanggo loro switch distribusi. Lalu lintas diarahake liwat saklar paling cedhak.
Saiki ayo goleki nyambungake switch distribusi menyang kernel:
Toleransi kesalahan diwenehake ing tingkat jaringan nggunakake protokol IS-IS. Wigati dimangerteni manawa jalur komunikasi L3 sing kapisah diwenehake ing antarane switch, kanthi kecepatan 100G. Secara fisik, jalur komunikasi iki minangka kabel Akses Langsung; bisa dideleng ing sisih tengen ing foto switch Huawei CE6870.
Alternatif bakal ngatur topologi lintang dobel "jujur" sing disambungake kanthi lengkap, nanging, kaya kasebut ing ndhuwur, kita duwe 7 kamar salib ing telung bangunan. Mulane, yen kita wis milih topologi "bintang pindho", kita kudu persis kaping pindho minangka akeh "long-jarak" 40G transceiver. Tabungan ing kene pancen signifikan.
Sawetara tembung kudu diucapake babagan carane teknologi gateway VXLAN lan Anycast bisa digunakake bebarengan. VXLAN, tanpa nerangake rincian, minangka trowongan kanggo ngeterake pigura Ethernet ing paket UDP. Antarmuka loopback switch distribusi digunakake minangka alamat IP tujuan trowongan VXLAN. Saben silang wis loro ngalih karo alamat antarmuka loopback padha, supaya paket bisa teka ing samubarang mau, lan pigura Ethernet bisa dijupuk saka iku.
Yen saklar ngerti babagan alamat MAC tujuan saka pigura sing dijupuk, pigura kasebut bakal dikirim kanthi bener menyang panggonan sing dituju. Kanggo mesthekake yen loro saklar distribusi sing diinstal ing sambungan silang sing padha duwe informasi paling anyar babagan kabeh alamat MAC "teka" saka switch akses, mekanisme M-LAG tanggung jawab kanggo nyinkronake tabel alamat MAC (uga ARP. tabel) ing loro ngalih pasangan M-LAG.
Balancing lalu lintas digayuh amarga ana ing jaringan underlay sawetara rute menyang antarmuka loopback switch distribusi.
Tinimbang kesimpulan
Kaya kasebut ing ndhuwur, sajrone testing lan operasi jaringan nuduhake linuwih dhuwur (wektu Recovery kanggo Gagal khas ora luwih saka atusan milliseconds) lan kinerja apik - saben salib-sambungan disambungake menyang inti dening loro saluran 40 Gbit / s. Ngalih akses ing jaringan kita ditumpuk lan disambungake menyang switch distribusi liwat LACP / M-LAG kanthi rong saluran 10 Gbit / s. A tumpukan biasane ngemot 5 ngalih karo 48 bandar saben, lan munggah 10 akses tumpukan disambungake menyang distribusi ing saben salib-sambungan. Mangkono, backbone nyedhiyakake babagan 30 Mbit / s saben pangguna sanajan ing beban teoritis maksimal, sing nalika nulis cukup kanggo kabeh aplikasi praktis.
Jaringan kasebut ngidini sampeyan ngatur kanthi lancar pasangan piranti apa wae sing disambungake kanthi sewenang-wenang liwat L2 lan L3, nyedhiyakake pengasingan lalu lintas lengkap (sing disenengi layanan keamanan informasi) lan domain kesalahan (sing disenengi tim operasi).
Ing bagean sabanjure kita bakal pitutur marang kowe carane kita migrasi menyang jaringan anyar. Tetep dirungokake!
Maxim Klochkov
Konsultan senior saka audit jaringan lan grup proyek kompleks
Pusat Solusi Jaringan
"Sistem Info Jet"
Source: www.habr.com