Artikel ini ialah yang kedua dalam siri artikel "Cara mengawal infrastruktur rangkaian anda." Kandungan semua artikel dalam siri dan pautan boleh didapati .
Matlamat kami pada peringkat ini adalah untuk mengatur dokumentasi dan konfigurasi.
Pada akhir proses ini, anda harus mempunyai set dokumen yang diperlukan dan rangkaian yang dikonfigurasikan mengikutnya.
Sekarang kita tidak akan bercakap tentang audit keselamatan - ini akan menjadi subjek bahagian ketiga.
Kesukaran menyelesaikan tugas yang diberikan pada peringkat ini, sudah tentu, sangat berbeza dari syarikat ke syarikat.
Keadaan yang ideal ialah apabila
- rangkaian anda telah dibuat mengikut projek dan anda mempunyai set dokumen yang lengkap
- telah dilaksanakan di syarikat anda untuk rangkaian
- mengikut proses ini, anda mempunyai dokumen (termasuk semua gambar rajah yang diperlukan) yang memberikan maklumat lengkap tentang keadaan semasa
Dalam kes ini, tugas anda agak mudah. Anda harus mengkaji dokumen dan menyemak semua perubahan yang telah dibuat.
Dalam senario kes terburuk, anda akan mengalaminya
- rangkaian yang dibuat tanpa projek, tanpa rancangan, tanpa kelulusan, oleh jurutera yang tidak mempunyai tahap kelayakan yang mencukupi,
- dengan perubahan yang huru-hara, tidak berdokumen, dengan banyak penyelesaian "sampah" dan suboptimum
Adalah jelas bahawa keadaan anda berada di suatu tempat di antara, tetapi malangnya, pada skala ini lebih baik - lebih teruk, terdapat kebarangkalian yang tinggi bahawa anda akan lebih hampir kepada penghujung yang paling teruk.
Dalam kes ini, anda juga memerlukan keupayaan untuk membaca fikiran, kerana anda perlu belajar memahami apa yang "pereka" mahu lakukan, memulihkan logik mereka, menyelesaikan apa yang belum selesai dan mengeluarkan "sampah".
Dan, sudah tentu, anda perlu membetulkan kesilapan mereka, menukar (pada peringkat ini seminimum mungkin) reka bentuk dan mengubah atau mencipta semula skema.
Artikel ini sama sekali tidak mendakwa ia lengkap. Di sini saya akan menerangkan hanya prinsip umum dan memberi tumpuan kepada beberapa masalah biasa yang perlu diselesaikan.
Set dokumen
Mari kita mulakan dengan contoh.
Di bawah adalah beberapa dokumen yang lazimnya dibuat di Cisco Systems semasa reka bentuk.
CR β Keperluan Pelanggan, keperluan pelanggan (spesifikasi teknikal).
Ia dicipta bersama dengan pelanggan dan menentukan keperluan rangkaian.HLD β Reka Bentuk Tahap Tinggi, reka bentuk peringkat tinggi berdasarkan keperluan rangkaian (CR). Dokumen tersebut menerangkan dan mewajarkan keputusan seni bina yang diambil (topologi, protokol, pemilihan perkakasan,...). HLD tidak mengandungi butiran reka bentuk, seperti antara muka dan alamat IP yang digunakan. Juga, konfigurasi perkakasan khusus tidak dibincangkan di sini. Sebaliknya, dokumen ini bertujuan untuk menerangkan konsep reka bentuk utama kepada pengurusan teknikal pelanggan.
LLD β Reka Bentuk Aras Rendah, reka bentuk peringkat rendah berdasarkan reka bentuk peringkat tinggi (HLD).
Ia harus mengandungi semua butiran yang diperlukan untuk melaksanakan projek, seperti maklumat tentang cara menyambung dan mengkonfigurasi peralatan. Ini adalah panduan lengkap untuk melaksanakan reka bentuk. Dokumen ini harus menyediakan maklumat yang mencukupi untuk pelaksanaannya walaupun oleh kakitangan yang kurang berkelayakan.Sesuatu, sebagai contoh, alamat IP, nombor AS, skema pensuisan fizikal (pengkabelan), boleh "dipadamkan" dalam dokumen berasingan, seperti PIN (Rancangan Pelaksanaan Rangkaian).
Pembinaan rangkaian bermula selepas penciptaan dokumen ini dan berlaku mengikut ketat dengan mereka dan kemudian diperiksa oleh pelanggan (ujian) untuk pematuhan dengan reka bentuk.
Sudah tentu, penyepadu yang berbeza, pelanggan yang berbeza, dan negara yang berbeza mungkin mempunyai keperluan yang berbeza untuk dokumentasi projek. Tetapi saya ingin mengelakkan formaliti dan mempertimbangkan isu itu berdasarkan meritnya. Peringkat ini bukan mengenai reka bentuk, tetapi tentang menyusun sesuatu, dan kami memerlukan set dokumen yang mencukupi (rajah, jadual, penerangan...) untuk menyelesaikan tugas kami.
Dan pada pendapat saya, terdapat minimum mutlak tertentu, tanpanya mustahil untuk mengawal rangkaian dengan berkesan.
Ini adalah dokumen berikut:
- gambar rajah (log) pensuisan fizikal (pengkabelan)
- rajah rangkaian atau rajah dengan maklumat L2/L3 yang penting
Rajah pensuisan fizikal
Di sesetengah syarikat kecil, kerja yang berkaitan dengan pemasangan peralatan dan pensuisan fizikal (pengkabelan) adalah tanggungjawab jurutera rangkaian.
Dalam kes ini, masalah sebahagiannya diselesaikan dengan pendekatan berikut.
- gunakan penerangan pada antara muka untuk menerangkan perkara yang disambungkan kepadanya
- menutup secara pentadbiran semua port peralatan rangkaian yang tidak disambungkan
Ini akan memberi anda peluang, walaupun sekiranya berlaku masalah dengan pautan (apabila cdp atau lldp tidak berfungsi pada antara muka ini), untuk menentukan dengan cepat apa yang disambungkan ke port ini.
Anda juga boleh melihat port mana yang diduduki dan mana yang percuma, yang diperlukan untuk merancang sambungan peralatan rangkaian, pelayan atau stesen kerja baharu.
Tetapi jelas bahawa jika anda kehilangan akses kepada peralatan, anda juga akan kehilangan akses kepada maklumat ini. Di samping itu, dengan cara ini anda tidak akan dapat merekodkan maklumat penting seperti jenis peralatan, penggunaan kuasa, berapa banyak port, rak apa yang ada, panel tampalan yang ada dan di mana (dalam panel rak/tampalan apa ) mereka bersambung . Oleh itu, dokumentasi tambahan (bukan hanya penerangan pada peralatan) masih sangat berguna.
Pilihan yang ideal ialah menggunakan aplikasi yang direka bentuk untuk bekerja dengan jenis maklumat ini. Tetapi anda boleh mengehadkan diri anda kepada jadual ringkas (contohnya, dalam Excel) atau memaparkan maklumat yang anda anggap perlu dalam rajah L1/L2.
Penting!
Seorang jurutera rangkaian, sudah tentu, boleh mengetahui dengan baik selok-belok dan piawaian SCS, jenis rak, jenis bekalan kuasa yang tidak terganggu, apa itu lorong sejuk dan panas, bagaimana untuk melakukan pembumian yang betul... sama seperti pada dasarnya dia boleh mengetahui fizik zarah asas atau C++. Tetapi seseorang mesti memahami bahawa semua ini bukan bidang pengetahuannya.
Oleh itu, amalan yang baik untuk mempunyai sama ada jabatan yang berdedikasi atau orang yang berdedikasi untuk menyelesaikan masalah yang berkaitan dengan pemasangan, sambungan, penyelenggaraan peralatan, serta pensuisan fizikal. Biasanya untuk pusat data ini adalah jurutera pusat data, dan untuk pejabat ia adalah meja bantuan.
Jika bahagian sedemikian disediakan dalam syarikat anda, maka isu penukaran fizikal log bukan tugas anda, dan anda boleh mengehadkan diri anda hanya kepada penerangan mengenai antara muka dan penutupan pentadbiran port yang tidak digunakan.
Gambar rajah rangkaian
Tiada pendekatan universal untuk melukis gambar rajah.
Perkara yang paling penting ialah rajah harus memberikan pemahaman tentang cara trafik akan mengalir, melalui elemen logik dan fizikal rangkaian anda.
Dengan unsur fizikal yang kami maksudkan
- peralatan aktif
- antara muka/port peralatan aktif
Di bawah logik -
- peranti logik (N7K VDC, Palo Alto VSYS, ...)
- VRF
- Vilans
- subantara muka
- terowong
- zon
- ...
Selain itu, jika rangkaian anda tidak sepenuhnya asas, ia akan terdiri daripada segmen yang berbeza.
Sebagai contoh
- Pusat data
- Internet
- WAN
- akses jauh
- LAN pejabat
- DMZ
- ...
Adalah bijak untuk mempunyai beberapa rajah yang memberikan gambaran besar (cara trafik mengalir antara semua segmen ini) dan penjelasan terperinci bagi setiap segmen individu.
Memandangkan dalam rangkaian moden terdapat banyak lapisan logik, mungkin pendekatan yang baik (tetapi tidak perlu) untuk membuat litar yang berbeza untuk lapisan yang berbeza, contohnya, dalam kes pendekatan tindanan ini boleh menjadi litar berikut:
- overlay
- L1/L2 lapisan bawah
- L3 lapisan bawah
Sudah tentu, gambar rajah yang paling penting, tanpanya mustahil untuk memahami idea reka bentuk anda, ialah gambarajah penghalaan.
Skim penghalaan
Sekurang-kurangnya, rajah ini harus mencerminkan
- apakah protokol penghalaan yang digunakan dan di mana
- maklumat asas tentang tetapan protokol penghalaan (kawasan/nombor AS/router-id/β¦)
- pada peranti manakah pengagihan semula berlaku?
- tempat penapisan dan pengagregatan laluan berlaku
- maklumat laluan lalai
Juga, skema L2 (OSI) selalunya berguna.
Skim L2 (OSI)
Rajah ini mungkin menunjukkan maklumat berikut:
- apa VLAN
- port yang manakah merupakan port trunk
- port mana yang diagregatkan ke dalam saluran eter (saluran port), saluran port maya
- protokol STP yang digunakan dan pada peranti apa
- tetapan STP asas: sandaran root/root, kos STP, keutamaan port
- tetapan STP tambahan: pengawal/penapis BPDU, pengawal akarβ¦
Kesilapan reka bentuk biasa
Contoh pendekatan buruk untuk membina rangkaian.
Mari kita ambil contoh mudah membina LAN pejabat ringkas.
Mempunyai pengalaman mengajar telekomunikasi kepada pelajar, saya boleh mengatakan bahawa hampir mana-mana pelajar pada pertengahan semester kedua mempunyai pengetahuan yang diperlukan (sebagai sebahagian daripada kursus yang saya ajar) untuk menyediakan LAN pejabat yang mudah.
Apakah yang sukar untuk menyambung suis antara satu sama lain, menyediakan VLAN, antara muka SVI (dalam kes suis L3) dan menyediakan penghalaan statik?
Semuanya akan berfungsi.
Tetapi pada masa yang sama, soalan yang berkaitan dengan
- keselamatan
- tempahan
- penskalaan rangkaian
- produktiviti
- daya pengeluaran
- kebolehpercayaan
- ...
Dari semasa ke semasa saya mendengar kenyataan bahawa LAN pejabat adalah sesuatu yang sangat mudah dan saya biasanya mendengar ini daripada jurutera (dan pengurus) yang melakukan segala-galanya kecuali rangkaian, dan mereka mengatakan ini dengan yakin bahawa tidak terkejut jika LAN akan menjadi dibuat oleh orang yang tidak mempunyai amalan dan pengetahuan yang mencukupi dan akan dibuat dengan lebih kurang kesilapan yang sama yang akan saya huraikan di bawah.
Kesilapan Reka Bentuk L1 (OSI) Biasa
- Walau bagaimanapun, jika anda juga bertanggungjawab untuk SCS, maka salah satu warisan yang paling tidak menyenangkan yang mungkin anda terima ialah penukaran yang cuai dan tidak difikirkan.
Saya juga akan mengklasifikasikan sebagai ralat jenis L1 yang berkaitan dengan sumber peralatan yang digunakan, contohnya,
- lebar jalur tidak mencukupi
- TCAM yang tidak mencukupi pada peralatan (atau penggunaan yang tidak berkesan)
- prestasi tidak mencukupi (selalunya berkaitan dengan tembok api)
Kesilapan Reka Bentuk L2 (OSI) Biasa
Selalunya, apabila tiada pemahaman yang baik tentang cara STP berfungsi dan apakah masalah yang mungkin dibawa bersamanya, suis disambungkan secara huru-hara, dengan tetapan lalai, tanpa penalaan STP tambahan.
Akibatnya, kita sering mempunyai perkara berikut
- diameter rangkaian STP yang besar, yang boleh membawa kepada ribut penyiaran
- STP root akan ditentukan secara rawak (berdasarkan alamat mac) dan laluan trafik akan menjadi suboptimum
- port yang disambungkan kepada hos tidak akan dikonfigurasikan sebagai tepi (portfast), yang akan membawa kepada pengiraan semula STP apabila menghidupkan/mematikan stesen akhir
- rangkaian tidak akan dibahagikan pada tahap L1/L2, akibatnya masalah dengan mana-mana suis (contohnya, lebihan kuasa) akan membawa kepada pengiraan semula topologi STP dan menghentikan trafik dalam semua VLAN pada semua suis (termasuk satu kritikal dari sudut segmen perkhidmatan kesinambungan)
Contoh kesilapan dalam reka bentuk L3 (OSI).
Beberapa kesilapan tipikal perangkaian pemula:
- Penggunaan yang kerap (atau penggunaan sahaja) penghalaan statik
- penggunaan protokol penghalaan suboptimum untuk reka bentuk tertentu
- pembahagian rangkaian logik suboptimum
- penggunaan ruang alamat yang tidak optimum, yang tidak membenarkan pengagregatan laluan
- tiada laluan sandaran
- tiada tempahan untuk pintu masuk lalai
- penghalaan tidak simetri apabila membina semula laluan (boleh menjadi kritikal dalam kes NAT/PAT, firewall penuh negeri)
- masalah dengan MTU
- apabila laluan dibina semula, trafik melalui zon keselamatan lain atau pun tembok api lain, yang menyebabkan trafik ini digugurkan
- skalabilitas topologi yang lemah
Kriteria untuk menilai kualiti reka bentuk
Apabila kita bercakap tentang optimum / tidak optimum, kita mesti memahami dari sudut pandangan apakah kriteria yang kita boleh menilai ini. Di sini, dari sudut pandangan saya, adalah kriteria yang paling penting (tetapi tidak semua) (dan penjelasan berhubung dengan protokol penghalaan):
- kebolehskalaan
Sebagai contoh, anda memutuskan untuk menambah pusat data lain. Seberapa mudah anda boleh melakukannya? - kemudahan penggunaan (kebolehurusan)
Sejauh manakah perubahan operasi mudah dan selamat, seperti mengumumkan grid baharu atau menapis laluan? - ketersediaan
Berapakah peratusan masa sistem anda menyediakan tahap perkhidmatan yang diperlukan? - keselamatan
Sejauh manakah keselamatan data yang dihantar? - harga
Perubahan
Prinsip asas pada peringkat ini boleh dinyatakan dengan formula "jangan membahayakan."
Oleh itu, walaupun anda tidak bersetuju sepenuhnya dengan reka bentuk dan pelaksanaan yang dipilih (konfigurasi), tidak selalu dinasihatkan untuk membuat perubahan. Pendekatan yang munasabah adalah untuk menyusun semua masalah yang dikenal pasti mengikut dua parameter:
- betapa mudahnya masalah ini dapat diselesaikan
- berapa banyak risiko yang dia tanggung?
Pertama sekali, adalah perlu untuk menghapuskan apa yang kini mengurangkan tahap perkhidmatan yang disediakan di bawah tahap yang boleh diterima, sebagai contoh, masalah yang membawa kepada kehilangan paket. Kemudian betulkan perkara yang paling mudah dan selamat untuk diperbaiki dalam susunan keterukan risiko yang berkurangan (daripada reka bentuk atau isu konfigurasi yang berisiko tinggi kepada yang berisiko rendah).
Perfeksionisme pada peringkat ini boleh membahayakan. Bawa reka bentuk ke keadaan yang memuaskan dan selaraskan konfigurasi rangkaian dengan sewajarnya.
Sumber: www.habr.com