ProHoster > Блог > Захиргаа > Сүлжээний дэд бүтцээ хэрхэн хянах вэ. Хоёрдугаар бүлэг. Цэвэрлэгээ ба бичиг баримт

Сүлжээний дэд бүтцээ хэрхэн хянах вэ. Хоёрдугаар бүлэг. Цэвэрлэгээ ба бичиг баримт

Энэ нийтлэл нь "Сүлжээний дэд бүтцээ хэрхэн хянах вэ" цуврал нийтлэлийн хоёр дахь нь юм. Цуврал дахь бүх нийтлэлийн агуулга, холбоосыг олж болно энд.

Сүлжээний дэд бүтцээ хэрхэн хянах вэ. Хоёрдугаар бүлэг. Цэвэрлэгээ ба бичиг баримт

Энэ үе шатанд бидний зорилго бол баримт бичиг, тохиргоог эмх цэгцтэй болгох явдал юм.
Энэ процессын төгсгөлд та шаардлагатай баримт бичгийн багц, тэдгээрийн дагуу тохируулсан сүлжээтэй байх ёстой.

Одоо бид аюулгүй байдлын аудитын талаар ярихгүй - энэ нь гурав дахь хэсгийн сэдэв байх болно.

Энэ үе шатанд өгөгдсөн даалгаврыг биелүүлэхэд хүндрэлтэй байгаа нь мэдээжийн хэрэг компани болгонд ихээхэн ялгаатай байдаг.

Хамгийн тохиромжтой нөхцөл бол хэзээ юм

  • Таны сүлжээг төслийн дагуу үүсгэсэн бөгөөд танд иж бүрэн баримт бичиг байна
  • танай компанид хэрэгжсэн өөрчлөлтийн хяналт, удирдлагын үйл явц сүлжээний хувьд
  • Энэ үйл явцын дагуу танд өнөөгийн байдлын талаар бүрэн мэдээлэл өгөх баримт бичиг (шаардлагатай бүх диаграммууд) байна.

Энэ тохиолдолд таны даалгавар маш энгийн. Та баримт бичгийг судалж, оруулсан бүх өөрчлөлтийг шалгах хэрэгтэй.

Хамгийн муу тохиолдолд танд ийм зүйл тохиолдох болно

  • төсөлгүй, төлөвлөгөөгүй, зөвшөөрөлгүй, хангалттай түвшний мэргэшилгүй инженерээр үүсгэсэн сүлжээ,
  • эмх замбараагүй, бичиг баримтгүй өөрчлөлтүүдтэй, маш олон “хог” болон оновчтой бус шийдлүүдтэй

Таны нөхцөл байдал энэ хооронд хаа нэгтээ байгаа нь тодорхой байна, гэхдээ харамсалтай нь, энэ хэмжээгээр илүү сайн - илүү муу, та хамгийн муу төгсгөлд ойртох магадлал өндөр байна.

Энэ тохиолдолд танд оюун ухааныг унших чадвар хэрэгтэй болно, учир нь та "дизайнерууд" юу хийхийг хүсч байгаагаа ойлгож, логикийг нь сэргээж, дуусаагүй зүйлийг дуусгаж, "хог" -ыг арилгаж сурах хэрэгтэй болно.
Мэдээжийн хэрэг та алдаагаа засах, дизайныг өөрчлөх (энэ үе шатанд аль болох бага байх), схемийг өөрчлөх эсвэл дахин үүсгэх шаардлагатай болно.

Энэ нийтлэл нь бүрэн гүйцэд гэж ямар ч байдлаар мэдэгддэггүй. Энд би зөвхөн ерөнхий зарчмуудыг тайлбарлаж, шийдвэрлэх шаардлагатай зарим нийтлэг асуудлуудад анхаарлаа хандуулах болно.

Баримт бичгийн багц

Нэг жишээгээр эхэлье.

Загвар хийх явцад Cisco Systems-д бий болдог зарим баримт бичгүүдийг доор харуулав.

CR – Хэрэглэгчийн шаардлага, үйлчлүүлэгчийн шаардлага (техникийн үзүүлэлтүүд).
Энэ нь хэрэглэгчтэй хамтран бүтээгдсэн бөгөөд сүлжээний шаардлагыг тодорхойлдог.

ЭМД – Өндөр түвшний дизайн, сүлжээний шаардлага (CR) дээр суурилсан өндөр түвшний дизайн. Баримт бичигт гаргасан архитектурын шийдвэрийг (топологи, протокол, техник хангамжийн сонголт,...) тайлбарлаж, зөвтгөсөн болно. HLD нь ашигласан интерфейс, IP хаяг гэх мэт дизайны дэлгэрэнгүй мэдээллийг агуулаагүй болно. Мөн тусгай тоног төхөөрөмжийн тохиргоог энд авч үзэхгүй. Харин энэ баримт бичиг нь хэрэглэгчийн техникийн удирдлагад дизайны гол ойлголтуудыг тайлбарлах зорилготой юм.

Докторантур – Доод түвшний дизайн, өндөр түвшний дизайн (HLD) дээр суурилсан доод түвшний загвар.
Энэ нь төхөөрөмжийг хэрхэн холбох, тохируулах тухай мэдээлэл гэх мэт төслийг хэрэгжүүлэхэд шаардлагатай бүх мэдээллийг агуулсан байх ёстой. Энэ бол дизайныг хэрэгжүүлэх бүрэн гарын авлага юм. Энэхүү баримт бичиг нь ур чадвар багатай боловсон хүчин ч хэрэгжүүлэхэд хангалттай мэдээлэл өгөх ёстой.

Жишээлбэл, IP хаяг, AS дугаар, физик сэлгэн залгах схем (кабель) гэх мэт зүйлийг тусдаа баримт бичигт "гаргаж" болно. NIP (Сүлжээг хэрэгжүүлэх төлөвлөгөө).

Сүлжээний барилгын ажил нь эдгээр баримт бичгүүдийг бий болгосны дараа эхэлж, тэдгээрийн дагуу хатуу явагддаг бөгөөд дараа нь захиалагч (туршилт) зураг төсөлд нийцэж байгаа эсэхийг шалгадаг.

Мэдээжийн хэрэг, янз бүрийн интеграторууд, өөр өөр үйлчлүүлэгчид, өөр өөр улс орнууд төслийн баримт бичигт өөр өөр шаардлага тавьж болно. Гэхдээ албан ёсны зүйлээс зайлсхийж, асуудлыг үндэслэлээр нь авч үзэхийг хүсч байна. Энэ үе шат нь загвар зохион бүтээх тухай биш, харин аливаа зүйлийг эмх цэгцтэй болгоход зориулагдсан бөгөөд бидний даалгаврыг биелүүлэхийн тулд бидэнд хангалттай баримт бичиг (диаграмм, хүснэгт, тайлбар ...) хэрэгтэй.

Миний бодлоор тодорхой үнэмлэхүй доод хэмжээ байдаг бөгөөд үүнгүйгээр сүлжээг үр дүнтэй хянах боломжгүй юм.

Эдгээр нь дараахь баримт бичиг юм.

  • физик сэлгэн залгах (кабель) диаграмм (лог)
  • сүлжээний диаграм эсвэл үндсэн L2/L3 мэдээлэл бүхий диаграмм

Физик шилжих диаграм

Зарим жижиг компаниудад тоног төхөөрөмж суурилуулах, физик сэлгэн залгах (кабель) хийх ажлыг сүлжээний инженерүүд хариуцдаг.

Энэ тохиолдолд асуудлыг дараах аргаар хэсэгчлэн шийдвэрлэнэ.

  • Интерфэйс дээрх тайлбарыг ашиглан юу холбогдсоныг тайлбарлана уу
  • бүх холбогдоогүй сүлжээний төхөөрөмжийн портуудыг захиргааны аргаар хаах

Энэ нь холбоостой холбоотой асуудал гарсан ч (cdp эсвэл lldp энэ интерфэйс дээр ажиллахгүй байх үед) энэ порттой юу холбогдсоныг хурдан тодорхойлох боломжийг танд олгоно.
Мөн та шинэ сүлжээний төхөөрөмж, сервер эсвэл ажлын станцуудын холболтыг төлөвлөхөд шаардлагатай ямар портууд, аль нь үнэ төлбөргүй байгааг хялбархан харж болно.

Гэхдээ хэрэв та тоног төхөөрөмжид хандах эрхээ алдсан тохиолдолд энэ мэдээлэлд хандах боломжгүй болох нь тодорхой байна. Нэмж дурдахад, ийм байдлаар та ямар төрлийн төхөөрөмж, ямар цахилгаан зарцуулалт, хэдэн порт, ямар тавиуртай, ямар патч хавтан, хаана (ямар тавиур/патч самбарт) гэх мэт чухал мэдээллийг бүртгэх боломжгүй болно. ) тэд холбогдсон байна. Тиймээс нэмэлт баримт бичиг (зөвхөн тоног төхөөрөмж дээрх тайлбар биш) маш хэрэгтэй хэвээр байна.

Хамгийн тохиромжтой сонголт бол ийм төрлийн мэдээлэлтэй ажиллахад зориулагдсан програмуудыг ашиглах явдал юм. Гэхдээ та энгийн хүснэгтүүдээр (жишээлбэл, Excel дээр) өөрийгөө хязгаарлах эсвэл шаардлагатай гэж үзсэн мэдээллээ L1/L2 диаграммд харуулах боломжтой.

Чухал!

Мэдээжийн хэрэг сүлжээний инженер нь SCS-ийн нарийн төвөгтэй байдал, стандартууд, тавиуруудын төрөл, тасалдалгүй тэжээлийн хангамжийн төрөл, хүйтэн, халуун коридор гэж юу болох, газардуулга хэрхэн зөв хийх талаар маш сайн мэддэг. энгийн бөөмсийн физик эсвэл C++ мэдлэгтэй байх. Гэхдээ энэ бүхэн түүний мэдлэгийн талбар биш гэдгийг ойлгох ёстой.

Тиймээс тоног төхөөрөмжийг суурилуулах, холбох, засвар үйлчилгээ хийх, түүнчлэн физик шилжүүлэлттэй холбоотой асуудлыг шийдвэрлэх тусгай хэлтэс эсвэл тусгай хүмүүстэй байх нь сайн туршлага юм. Ихэвчлэн дата төвийн хувьд энэ нь дата төвийн инженерүүд, оффисын хувьд тусламжийн ширээ юм.

Хэрэв танай компанид ийм хэлтэсүүд байгаа бол физик шилжүүлгийг бүртгэх асуудал нь таны даалгавар биш бөгөөд та зөвхөн интерфейсийн тайлбар, ашиглагдаагүй портуудыг захиргааны унтрах замаар хязгаарлаж болно.

Сүлжээний диаграммууд

Диаграммыг зурах бүх нийтийн арга байдаггүй.

Хамгийн гол нь диаграммууд нь таны сүлжээний ямар логик болон физик элементүүдээр дамжин траффик хэрхэн урсах тухай ойлголтыг өгөх ёстой.

Физик элементүүдээр бид үүнийг хэлж байна

  • идэвхтэй тоног төхөөрөмж
  • идэвхтэй тоног төхөөрөмжийн интерфейс/порт

Логикийн дор -

  • логик төхөөрөмжүүд (N7K VDC, Palo Alto VSYS, ...)
  • VRF
  • Виланс
  • дэд интерфэйсүүд
  • хонгилууд
  • бүсүүд
  • ...

Мөн хэрэв таны сүлжээ бүрэн энгийн биш бол өөр өөр сегментээс бүрдэх болно.
Жишээ нь

  • мэдээллийн төв
  • Интернет
  • WAN
  • алсын хандалт
  • оффисын LAN
  • DMZ
  • ...

Том дүр зургийг (эдгээр бүх сегментүүдийн хооронд замын хөдөлгөөний урсгал хэрхэн явагддаг) болон сегмент бүрийн нарийвчилсан тайлбарыг агуулсан хэд хэдэн диаграммтай байх нь ухаалаг хэрэг юм.

Орчин үеийн сүлжээнд олон логик давхарга байж болох тул өөр өөр давхаргад өөр өөр хэлхээ хийх нь сайн (гэхдээ шаардлагагүй) арга байж болох юм, жишээлбэл, давхцах хандлагын хувьд энэ нь дараах хэлхээ байж болно.

  • overlay
  • L1/L2 дэвсгэр
  • L3 суурь

Мэдээжийн хэрэг, таны дизайны санааг ойлгох боломжгүй хамгийн чухал диаграм бол чиглүүлэлтийн диаграм юм.

Чиглүүлэлтийн схем

Наад зах нь энэ диаграммыг тусгах ёстой

  • ямар чиглүүлэлтийн протоколуудыг хаана ашигладаг
  • чиглүүлэлтийн протоколын тохиргооны талаарх үндсэн мэдээлэл (талбай/AS дугаар/чиглүүлэгчийн дугаар/…)
  • ямар төхөөрөмжүүд дээр дахин хуваарилалт явагддаг вэ?
  • шүүлтүүр болон маршрутын нэгтгэл хаана явагддаг
  • анхдагч маршрутын мэдээлэл

Мөн L2 схем (OSI) нь ихэвчлэн ашигтай байдаг.

L2 схем (OSI)

Энэ диаграмм нь дараахь мэдээллийг харуулж болно.

  • ямар VLAN
  • аль портууд нь их биений портууд юм
  • аль портуудыг эфир суваг (портын суваг), виртуал порт суваг болгон нэгтгэдэг
  • ямар STP протоколууд, ямар төхөөрөмж дээр ашиглагддаг
  • Үндсэн STP тохиргоо: root/root нөөц, STP зардал, портын тэргүүлэх чиглэл
  • нэмэлт STP тохиргоо: BPDU хамгаалалт/шүүлтүүр, эх хамгаалалт…

Ердийн дизайны алдаа

Сүлжээг бий болгоход буруу ханддаг жишээ.

Энгийн оффисын LAN барих энгийн жишээг авч үзье.

Оюутнуудад харилцаа холбооны чиглэлээр хичээл зааж байсан туршлагатай тул XNUMX-р улирлын дундуур бараг ямар ч оюутан энгийн оффисын LAN-г бий болгоход шаардлагатай мэдлэгтэй (миний заасан хичээлийн нэг хэсэг) байдаг гэж би хэлж чадна.

Шилжүүлэгчийг хооронд нь холбох, VLAN, SVI интерфэйс (L3 шилжүүлэгчийн хувьд) тохируулах, статик чиглүүлэлт хийхэд ямар хэцүү байдаг вэ?

Бүх зүйл ажиллах болно.

Гэхдээ үүнтэй зэрэгцэн холбоотой асуултууд

  • аюулгүй байдал
  • захиалга
  • сүлжээний өргөтгөл
  • бүтээмж
  • нэвтрүүлэх чадвар
  • найдвартай байдал
  • ...

Би оффисын LAN бол маш энгийн зүйл гэсэн үгийг үе үе сонсдог бөгөөд үүнийг сүлжээнээс бусад бүх зүйлийг хийдэг инженерүүдээс (болон менежерүүдээс) сонсдог бөгөөд тэд үүнийг маш итгэлтэйгээр хэлдэг тул LAN нь ийм байх болно гэдэгт гайхах хэрэггүй. хангалттай туршлага, мэдлэггүй хүмүүс хийсэн бөгөөд миний доор тайлбарлахтай ижил алдаатай байх болно.

Нийтлэг L1 (OSI) дизайны алдаа

  • Гэсэн хэдий ч та SCS-ийг хариуцаж байгаа бол таны хүлээж авах хамгийн тааламжгүй өв залгамжлалын нэг бол хайхрамжгүй, буруу бодож сэлгэх явдал юм.

Би мөн ашигласан тоног төхөөрөмжийн нөөцтэй холбоотой L1 төрлийн алдааг ангилах болно, жишээлбэл,

  • зурвасын өргөн хангалтгүй
  • Тоног төхөөрөмжийн TCAM хангалтгүй (эсвэл үр ашиггүй ашиглах)
  • хангалтгүй гүйцэтгэл (ихэвчлэн галт ханатай холбоотой)

Нийтлэг L2 (OSI) дизайны алдаа

Ихэнхдээ STP хэрхэн ажилладаг, ямар асуудал дагуулдаг талаар сайн ойлголтгүй үед унтраалга нь STP нэмэлт тохируулгагүйгээр анхдагч тохиргоотой эмх замбараагүй холбогдсон байдаг.

Үүний үр дүнд бид ихэвчлэн дараах байдалтай байдаг

  • өргөн цар хүрээтэй шуурга үүсгэж болзошгүй STP сүлжээний том диаметр
  • STP үндэс нь санамсаргүй байдлаар (mac хаяг дээр үндэслэн) тодорхойлогддог бөгөөд замын хөдөлгөөний зам нь оновчтой биш байх болно
  • Хостуудтай холбогдсон портуудыг ирмэг (portfast) гэж тохируулахгүй бөгөөд энэ нь эцсийн станцуудыг асаах/унтраах үед STP дахин тооцоолоход хүргэдэг.
  • сүлжээг L1/L2 түвшинд сегментлэхгүй бөгөөд үүний үр дүнд аливаа унтраалгатай холбоотой асуудал (жишээлбэл, хэт ачаалал) STP топологийг дахин тооцоолох, бүх шилжүүлэгч дээрх бүх VLAN дахь урсгалыг зогсооход хүргэнэ (үүнд тасралтгүй үйлчилгээний сегментийн үүднээс авч үзвэл нэг чухал зүйл)

L3 (OSI) дизайн дахь алдааны жишээ

Шинэхэн сүлжээчдийн цөөн хэдэн ердийн алдаа:

  • Статик чиглүүлэлтийн байнгын хэрэглээ (эсвэл зөвхөн ашиглах).
  • тухайн загварт тохирохгүй чиглүүлэлтийн протоколуудыг ашиглах
  • оновчтой бус логик сүлжээний сегментчилэл
  • Маршрутыг нэгтгэхийг зөвшөөрдөггүй хаягийн зайг оновчтой бус ашиглах
  • нөөц зам байхгүй
  • өгөгдмөл гарцын захиалга байхгүй
  • Маршрутыг сэргээн засварлах үед тэгш хэмт бус чиглүүлэлт (NAT/PAT, төрийн бүрэн галт хананы хувьд чухал байж болно)
  • MTU-тай холбоотой асуудлууд
  • Маршрутуудыг дахин барих үед замын хөдөлгөөн бусад хамгаалалтын бүсүүд эсвэл бусад галт ханаар дамждаг бөгөөд энэ нь замын хөдөлгөөнийг зогсооход хүргэдэг.
  • топологийн өргөтгөх чадвар муу

Загварын чанарыг үнэлэх шалгуур

Бид оновчтой/оновчтой бус гэж ярихдаа үүнийг ямар шалгуураар үнэлж болохыг ойлгох ёстой. Энд миний бодлоор хамгийн чухал (гэхдээ бүгд биш) шалгуурууд (ба чиглүүлэлтийн протоколуудтай холбоотой тайлбарууд):

  • өргөтгөх чадвар
    Жишээлбэл, та өөр дата төв нэмэхээр шийдсэн. Та үүнийг хэр амархан хийж чадах вэ?
  • ашиглахад хялбар (удирдах чадвар)
    Шинэ сүлжээ зарлах, маршрутыг шүүх гэх мэт үйл ажиллагааны өөрчлөлтүүд хэр хялбар бөгөөд аюулгүй байдаг вэ?
  • олдоц
    Танай систем хэдэн хувь нь шаардлагатай үйлчилгээг үзүүлж байна вэ?
  • аюулгүй байдал
    Дамжуулсан өгөгдөл хэр найдвартай вэ?
  • үнэ

Өөрчлөлтүүд

Энэ үе шатны үндсэн зарчмыг "хор хөнөөл учруулахгүй" гэсэн томъёогоор илэрхийлж болно.
Тиймээс, хэрэв та дизайн, сонгосон хэрэгжилт (тохиргоо) -тай бүрэн санал нийлэхгүй байсан ч өөрчлөлт оруулахыг үргэлж зөвлөдөггүй. Боломжит арга бол тодорхойлсон бүх асуудлыг хоёр параметрийн дагуу эрэмблэх явдал юм.

  • энэ асуудлыг хэр амархан шийдэж чадах бол
  • тэр хэр их эрсдэл хүлээх вэ?

Юуны өмнө, одоогийн байдлаар үзүүлж буй үйлчилгээний түвшинг хүлээн зөвшөөрөгдөх түвшнээс доогуур бууруулж байгаа зүйлийг, жишээлбэл, пакет алдагдахад хүргэдэг асуудлуудыг арилгах шаардлагатай. Дараа нь эрсдэлийн зэрэглэлийг бууруулах дарааллаар (өндөр эрсдэлтэй дизайн эсвэл тохиргооны асуудлаас эрсдэл багатай хүртэл) засахад хамгийн хялбар бөгөөд аюулгүйг засаарай.

Энэ үе шатанд төгс төгөлдөр байдал нь хор хөнөөл учруулж болзошгүй юм. Дизайныг сэтгэл хангалуун байдалд хүргэж, сүлжээний тохиргоог зохих ёсоор синхрончлох.

Эх сурвалж: www.habr.com

сэтгэгдэл нэмэх