Tento článok je druhým zo série článkov „Ako prevziať kontrolu nad sieťovou infraštruktúrou“. Obsah všetkých článkov v sérii a odkazy nájdete .
Naším cieľom v tejto fáze je vniesť poriadok do dokumentácie a konfigurácie.
Na konci tohto procesu by ste mali mať potrebnú sadu dokumentov a sieť nakonfigurovanú v súlade s nimi.
Teraz sa nebudeme baviť o bezpečnostných auditoch – to bude predmetom tretej časti.
Náročnosť dokončenia zadanej úlohy v tejto fáze sa samozrejme v jednotlivých spoločnostiach veľmi líši.
Ideálny stav je, keď
- vaša sieť bola vytvorená v súlade s projektom a máte kompletnú sadu dokumentov
- bol implementovaný vo vašej spoločnosti pre sieť
- v súlade s týmto procesom máte dokumenty (vrátane všetkých potrebných schém), ktoré poskytujú úplné informácie o aktuálnom stave vecí
V tomto prípade je vaša úloha celkom jednoduchá. Mali by ste si preštudovať dokumenty a skontrolovať všetky zmeny, ktoré boli vykonané.
V najhoršom prípade budete mať
- sieť vytvorená bez projektu, bez plánu, bez schválenia inžiniermi, ktorí nemajú dostatočnú úroveň kvalifikácie,
- s chaotickými, nezdokumentovanými zmenami, s množstvom „odpadkov“ a neoptimálnych riešení
Je jasné, že vaša situácia je niekde medzi, no bohužiaľ, na tejto škále lepšie – horšie je veľká pravdepodobnosť, že budete bližšie k tomu najhoršiemu koncu.
V tomto prípade budete potrebovať aj schopnosť čítať myšlienky, pretože sa budete musieť naučiť porozumieť tomu, čo chceli „dizajnéri“ urobiť, obnoviť ich logiku, dokončiť to, čo nebolo dokončené, a odstrániť „odpad“.
A, samozrejme, budete musieť opraviť ich chyby, zmeniť (v tejto fáze čo najmenej) dizajn a zmeniť alebo znovu vytvoriť schémy.
Tento článok si v žiadnom prípade netvrdí, že je úplný. Tu popíšem len všeobecné princípy a zameriam sa na niektoré bežné problémy, ktoré je potrebné vyriešiť.
Sada dokumentov
Začnime príkladom.
Nižšie sú uvedené niektoré dokumenty, ktoré sa zvyčajne vytvárajú v spoločnosti Cisco Systems počas návrhu.
CR – Požiadavky zákazníka, požiadavky klienta (technické špecifikácie).
Vytvára sa spoločne so zákazníkom a určuje požiadavky na sieť.HLD – Dizajn na vysokej úrovni, dizajn na vysokej úrovni založený na požiadavkách siete (CR). Dokument vysvetľuje a zdôvodňuje prijaté architektonické rozhodnutia (topológia, protokoly, výber hardvéru,...). HLD neobsahuje detaily návrhu, ako sú použité rozhrania a IP adresy. Tiež tu nie je diskutovaná špecifická hardvérová konfigurácia. Tento dokument je skôr určený na vysvetlenie kľúčových konceptov dizajnu technickému manažmentu zákazníka.
LLD – Nízkoúrovňový dizajn, nízkoúrovňový dizajn založený na vysokoúrovňovom dizajne (HLD).
Mal by obsahovať všetky podrobnosti potrebné na realizáciu projektu, ako napríklad informácie o pripojení a konfigurácii zariadenia. Toto je úplný sprievodca implementáciou dizajnu. Tento dokument by mal poskytnúť dostatok informácií na jeho implementáciu aj menej kvalifikovaným pracovníkom.Niečo, napríklad IP adresy, čísla AS, fyzická schéma prepínania (kabeláž), môže byť „uvedené“ v samostatných dokumentoch, ako napr. NIP (Plán implementácie siete).
Výstavba siete začína po vytvorení týchto dokumentov a prebieha v prísnom súlade s nimi a je následne kontrolovaná zákazníkom (testy), či je v súlade s projektom.
Samozrejme, rôzni integrátori, rôzni klienti a rôzne krajiny môžu mať rôzne požiadavky na projektovú dokumentáciu. Rád by som sa však vyhol formalitám a zvážil túto otázku podľa jej podstaty. Táto etapa nie je o dizajne, ale o uvedení vecí do poriadku a na splnenie našich úloh potrebujeme dostatočný súbor dokumentov (schémy, tabuľky, popisy...).
A podľa mňa je tam isté absolútne minimum, bez ktorého sa nedá efektívne riadiť sieť.
Ide o nasledujúce dokumenty:
- diagram (log) fyzického prepínania (kabeláže)
- sieťový diagram alebo diagramy so základnými informáciami L2/L3
Fyzická schéma spínania
V niektorých malých spoločnostiach sú za prácu spojenú s inštaláciou zariadení a fyzickým prepínaním (kabelážou) zodpovední sieťoví inžinieri.
V tomto prípade je problém čiastočne vyriešený nasledujúcim prístupom.
- pomocou popisu na rozhraní popíšte, čo je k nemu pripojené
- administratívne vypnúť všetky nepripojené porty sieťových zariadení
To vám dá príležitosť, dokonca aj v prípade problému s odkazom (keď na tomto rozhraní nefunguje cdp alebo lldp), rýchlo zistiť, čo je pripojené k tomuto portu.
Môžete tiež ľahko zistiť, ktoré porty sú obsadené a ktoré sú voľné, čo je potrebné pre plánovanie pripojenia nových sieťových zariadení, serverov alebo pracovných staníc.
Je ale jasné, že ak stratíte prístup k zariadeniu, stratíte prístup aj k týmto informáciám. Navyše si týmto spôsobom nebudete môcť zaznamenať také dôležité informácie, ako je to, aké zariadenie, aká spotreba energie, koľko portov, v akom je racku, aké patch panely sú tam a kde (v akom racku/patch paneli ) sú spojené . Preto je ďalšia dokumentácia (nielen popisy na zariadení) stále veľmi užitočná.
Ideálnou možnosťou je použiť aplikácie určené na prácu s týmto typom informácií. Môžete sa však obmedziť na jednoduché tabuľky (napríklad v Exceli) alebo zobraziť informácie, ktoré považujete za potrebné, v diagramoch L1/L2.
Dôležité!
Sieťový inžinier, samozrejme, vie celkom dobre poznať zložitosti a štandardy SCS, typy rackov, typy neprerušiteľných zdrojov napájania, čo je studená a horúca ulička, ako urobiť správne uzemnenie... tak ako v zásade vie poznať fyziku elementárnych častíc alebo C++. Ale človek musí stále pochopiť, že toto všetko nie je jeho oblasťou vedomostí.
Preto je dobrou praxou mať buď špecializované oddelenia alebo špecializovaných ľudí na riešenie problémov súvisiacich s inštaláciou, pripojením, údržbou zariadení, ako aj fyzickým prepínaním. Pre dátové centrá sú to zvyčajne inžinieri dátových centier a pre kancelárie je to help-desk.
Ak sú vo vašej spoločnosti takéto divízie k dispozícii, potom otázky protokolovania fyzického prepínania nie sú vašou úlohou a môžete sa obmedziť iba na popis rozhrania a administratívne vypnutie nepoužívaných portov.
Sieťové diagramy
Univerzálny prístup ku kresleniu diagramov neexistuje.
Najdôležitejšie je, že diagramy by mali poskytovať pochopenie toho, ako bude plynúť prevádzka, cez ktoré logické a fyzické prvky vašej siete.
Fyzickými prvkami máme na mysli
- aktívne vybavenie
- rozhrania/porty aktívneho zariadenia
Podľa logiky -
- logické zariadenia (N7K VDC, Palo Alto VSYS, ...)
- VRF
- Vilans
- podrozhraniach
- tunely
- zóna
- ...
Taktiež, ak vaša sieť nie je úplne elementárna, bude pozostávať z rôznych segmentov.
Napríklad
- dátové centrum
- Internet
- WAN
- vzdialený prístup
- kancelárska LAN
- DMZ
- ...
Je rozumné mať niekoľko diagramov, ktoré poskytujú celkový obraz (ako prúdi návštevnosť medzi všetkými týmito segmentmi), ako aj podrobné vysvetlenie každého jednotlivého segmentu.
Keďže v moderných sieťach môže byť veľa logických vrstiev, je možno dobrý (ale nie nevyhnutný) prístup vytvoriť rôzne obvody pre rôzne vrstvy, napríklad v prípade prekrývacieho prístupu by to mohli byť nasledujúce obvody:
- obložiť
- Podložka L1/L2
- Podložka L3
Samozrejme, najdôležitejším diagramom, bez ktorého nie je možné pochopiť myšlienku vášho návrhu, je smerovací diagram.
Schéma smerovania
Tento diagram by mal odrážať minimálne
- aké smerovacie protokoly sa používajú a kde
- základné informácie o nastaveniach smerovacieho protokolu (oblasť/číslo AS/id-routera/…)
- na ktorých zariadeniach dochádza k redistribúcii?
- kde dochádza k filtrovaniu a agregácii ciest
- predvolené informácie o trase
Často je tiež užitočná schéma L2 (OSI).
Schéma L2 (OSI)
Tento diagram môže zobrazovať nasledujúce informácie:
- aké siete VLAN
- ktoré porty sú kmeňové porty
- ktoré porty sú agregované do ether-channel (portový kanál), virtuálny portový kanál
- aké protokoly STP sa používajú a na akých zariadeniach
- základné nastavenia STP: záloha root/root, cena STP, priorita portu
- ďalšie nastavenia STP: BPDU guard/filter, root guard…
Typické chyby v dizajne
Príklad zlého prístupu k budovaniu siete.
Uveďme si jednoduchý príklad budovania jednoduchej kancelárskej LAN.
Po skúsenostiach s výučbou telekomu pre študentov môžem povedať, že prakticky každý študent v polovici druhého semestra má potrebné znalosti (ako súčasť kurzu, ktorý som viedol) na nastavenie jednoduchej kancelárskej LAN.
Čo je také ťažké na prepájaní prepínačov medzi sebou, nastavovaní VLAN, SVI rozhraní (v prípade L3 prepínačov) a nastavovaní statického smerovania?
Všetko bude fungovať.
Ale zároveň otázky súvisiace s
- bezpečnosť
- rezervácia
- škálovanie siete
- produktivitu
- priepustnosť
- spoľahlivosť
- ...
Z času na čas počujem tvrdenie, že kancelárska LAN je niečo veľmi jednoduché a zvyčajne to počúvam od inžinierov (a manažérov), ktorí robia všetko okrem sietí, a hovoria to tak sebavedomo, že sa nečudujte, že LAN bude vyrobené ľuďmi s nedostatočnou praxou a znalosťami a budú vyrobené s približne rovnakými chybami, ktoré popíšem nižšie.
Bežné chyby v dizajne L1 (OSI).
- Ak ste aj napriek tomu zodpovední za SCS, potom jedným z najnepríjemnejších dedičstiev, ktoré môžete dostať, je neopatrné a nepremyslené prepínanie.
Do typu L1 by som zaradil aj chyby súvisiace so zdrojmi použitých zariadení, napr.
- nedostatočná šírka pásma
- nedostatočné TCAM na zariadení (alebo jeho neefektívne využitie)
- nedostatočný výkon (často súvisí s bránami firewall)
Bežné chyby v dizajne L2 (OSI).
Často, keď nie je dobre pochopené, ako funguje STP a aké potenciálne problémy s tým prináša, sú prepínače zapojené chaoticky, s predvolenými nastaveniami, bez ďalšieho ladenia STP.
V dôsledku toho máme často nasledovné
- veľký priemer siete STP, čo môže viesť k vysielaným búrkam
- STP root bude určený náhodne (na základe mac adresy) a dopravná cesta nebude optimálna
- porty pripojené k hostiteľom nebudú nakonfigurované ako edge (portfast), čo povedie k prepočítaniu STP pri zapnutí/vypnutí koncových staníc
- sieť nebude segmentovaná na úrovni L1/L2, v dôsledku čoho problémy s ktorýmkoľvek prepínačom (napríklad preťaženie napájania) povedú k prepočítaniu topológie STP a zastaveniu prevádzky vo všetkých VLAN na všetkých prepínačoch (vrátane jeden kritický z hľadiska segmentu kontinuity služieb)
Príklady chýb v dizajne L3 (OSI).
Niekoľko typických chýb začínajúcich networkerov:
- Časté používanie (alebo len používanie) statického smerovania
- použitie suboptimálnych smerovacích protokolov pre daný návrh
- suboptimálna logická segmentácia siete
- suboptimálne využitie adresného priestoru, ktoré neumožňuje agregáciu smerovania
- žiadne záložné trasy
- žiadna rezervácia pre predvolenú bránu
- asymetrické smerovanie pri prestavbe trás (môže byť kritické v prípade NAT/PAT, stavových firewallov)
- problémy s MTU
- keď sú trasy prestavané, prevádzka prechádza cez iné bezpečnostné zóny alebo dokonca iné brány firewall, čo vedie k tomu, že táto prevádzka je zrušená
- slabá škálovateľnosť topológie
Kritériá hodnotenia kvality dizajnu
Keď hovoríme o optimálnosti/neoptimálnosti, musíme pochopiť, z akého hľadiska to môžeme hodnotiť. Tu sú z môjho pohľadu najvýznamnejšie (ale nie všetky) kritériá (a vysvetlenie vo vzťahu k smerovacím protokolom):
- škálovateľnosť
Napríklad sa rozhodnete pridať ďalšie dátové centrum. Ako ľahko to dokážete? - jednoduchosť použitia (ovládateľnosť)
Aké jednoduché a bezpečné sú prevádzkové zmeny, ako je ohlásenie novej siete alebo filtrovanie trás? - dostupnosť
Koľko percent času poskytuje váš systém požadovanú úroveň služieb? - bezpečnosť
Ako bezpečné sú prenášané údaje? - cena
zmeny
Základný princíp v tejto fáze možno vyjadriť formulkou „neškodiť“.
Preto aj keď úplne nesúhlasíte s návrhom a zvolenou implementáciou (konfiguráciou), nie je vždy vhodné robiť zmeny. Rozumným prístupom je zoradiť všetky identifikované problémy podľa dvoch parametrov:
- ako ľahko sa dá tento problém vyriešiť
- kolko riskuje?
V prvom rade je potrebné odstrániť to, čo v súčasnosti znižuje úroveň poskytovaných služieb pod prijateľnú úroveň, napríklad problémy vedúce k strate paketov. Potom opravte to, čo je najjednoduchšie a najbezpečnejšie opraviť v klesajúcom poradí závažnosti rizika (od vysoko rizikových problémov s návrhom alebo konfiguráciou po problémy s nízkym rizikom).
Perfekcionizmus v tejto fáze môže byť škodlivý. Uveďte dizajn do uspokojivého stavu a podľa toho zosynchronizujte konfiguráciu siete.
Zdroj: hab.com