Dinten ieu kuring bakal nyarioskeun ka anjeun ngeunaan kumaha ideu nyiptakeun jaringan internal anyar pikeun perusahaan kami sumping sareng dilaksanakeun. Posisi Manajemén nyaéta yén anjeun kedah ngalakukeun proyék anu lengkep pikeun diri anjeun sareng klien. Upami urang ngalakukeun éta saé pikeun diri urang sorangan, urang tiasa ngajak palanggan sareng nunjukkeun kumaha naon anu urang nawiskeun anjeunna tiasa dianggo sareng jalanna. Kituna, urang ditilik ngembangkeun konsép jaringan anyar pikeun kantor Moscow pisan tuntas, ngagunakeun siklus produksi pinuh: analisis kaperluan departemen → Pilihan solusi teknis → desain → palaksanaan → nguji. Ku kituna hayu urang mimitian.
Milih Solusi Téknis: Mutant Sanctuary
Prosedur pikeun digawé dina sistem otomatis kompléks ayeuna pangalusna digambarkeun dina GOST 34.601-90 "Sistem otomatis. Tahap-tahap Penciptaan”, ku kituna urang digawé nurutkeun eta. Sareng parantos dina tahapan formasi syarat sareng pamekaran konsép, urang mendakan kasusah anu munggaran. Organisasi rupa-rupa propil - bank, pausahaan asuransi, pamekar software, jeung sajabana - pikeun tugas jeung standar maranéhanana, maranéhna butuh sababaraha jenis jaringan, nu specifics nu jelas tur standarisasi. Sanajan kitu, ieu moal jalan kalawan kami.
Naha?
Jet Infosystems nyaéta parusahaan IT diversified badag. Dina waktu nu sarua, departemén rojongan internal urang leutik (tapi reueus), éta ensures pungsionalitas jasa jeung sistem dasar. Perusahaan ngandung seueur divisi anu ngalaksanakeun fungsi anu béda: ieu mangrupikeun sababaraha tim outsourcing anu kuat, sareng pamekar in-house sistem bisnis, sareng kaamanan inpormasi, sareng arsiték sistem komputasi - sacara umum, saha waé éta. Sasuai, tugas, sistem sareng kawijakan kaamananna ogé béda. Nu, saperti nu diharapkeun, nyiptakeun kasusah dina prosés analisis kabutuhan jeung standarisasi.
Di dieu, contona, departemén pamekaran: karyawan na nyerat sareng nguji kode pikeun sajumlah ageung palanggan. Mindeng aya anu peryogi pikeun gancang ngatur lingkungan test, sarta terus terang diomongkeun, teu salawasna mungkin mun dirumuskeun sarat pikeun tiap proyék, sumberdaya ménta sarta ngawangun lingkungan test misah luyu jeung sagala peraturan internal. Ieu nimbulkeun kaayaan panasaran: hiji poé hamba hina anjeun ningali ka kamar pamekar sarta kapanggih handapeun méja hiji kluster Hadoop hade 20 desktops, nu ieu inexplicably disambungkeun ka jaringan umum. Ku teu sangka éta pantes netelakeun yén departemén IT perusahaan henteu terang ngeunaan ayana. Kaayaan ieu, sapertos seueur anu sanés, tanggung jawab kanyataan yén nalika pangwangunan proyék éta lahir istilah "cadangan mutan", ngajelaskeun kaayaan infrastruktur kantor anu panjang.
Atawa ieu conto sejen. Périodik, bangku tés disetél dina hiji jabatan. Ieu mangrupikeun kasus Jira sareng Confluence, anu dianggo dugi ka kawates ku Pusat Pangembangan Perangkat Lunak dina sababaraha proyék. Saatos sababaraha waktos, departemén sanés diajar ngeunaan sumber-sumber anu kapaké ieu, dievaluasi, sareng dina ahir taun 2018, Jira sareng Confluence ngalih tina status "kaulinan programer lokal" kana status "sumber daya perusahaan". Ayeuna pamilik kedah ditugaskeun ka sistem ieu, SLA, kabijakan kaamanan aksés / inpormasi, kabijakan cadangan, ngawaskeun, aturan pikeun ruteu pikeun ngalereskeun masalah kedah ditetepkeun - sacara umum, sadaya atribut sistem inpormasi anu lengkep kedah aya. .
Unggal divisi urang ogé mangrupa inkubator nu tumuwuh produk sorangan. Sababaraha di antarana maot dina tahap pamekaran, sababaraha anu kami anggo nalika ngerjakeun proyék, sedengkeun anu sanésna nyandak akar sareng janten solusi anu ditiru anu kami mimitian nganggo diri sareng ngajual ka klien. Pikeun unggal sistem sapertos kitu, éta desirable gaduh lingkungan jaringan sorangan, dimana eta bakal ngamekarkeun tanpa interfering kalawan sistem sejen, sarta di sawatara titik bisa terpadu kana infrastruktur parusahaan.
Salian ngembangkeun, urang boga pisan badag kalawan leuwih ti 500 pagawé, kabentuk kana tim pikeun tiap customer. Aranjeunna aub dina ngajaga jaringan sareng sistem sanés, ngawaskeun jarak jauh, ngabéréskeun klaim, sareng sajabana. Nyaéta, prasarana SC nyaéta, kanyataanna, infrastruktur palanggan anu ayeuna nuju damel. The peculiarity tina gawé bareng bagian ieu jaringan nyaéta yén workstations maranéhanana pikeun parusahaan urang sabagian éksternal, sarta sabagean internal. Ku alatan éta, pikeun SC kami ngalaksanakeun pendekatan di handap ieu - parusahaan nyadiakeun departemén pakait jeung jaringan jeung sumber sejenna, tempo workstations sahiji departemén ieu salaku sambungan éksternal (ku analogi jeung cabang jeung pamaké jauh).
Desain jalan raya: kami operator (reuwas)
Saatos ngira-ngira sagala pitfalls, urang sadar yén kami meunang jaringan operator telekomunikasi dina hiji kantor, sarta kami mimiti meta sasuai.
Urang dijieun jaringan inti kalayan bantuan nu mana wae internal, sarta dina mangsa nu bakal datang ogé éksternal, konsumén disadiakeun kalawan layanan diperlukeun: L2 VPN, L3 VPN atanapi L3 routing biasa. Sababaraha departemén peryogi aksés Internét anu aman, sedengkeun anu sanésna peryogi aksés anu bersih tanpa firewall, tapi dina waktos anu sami ngajagaan sumber daya perusahaan sareng jaringan inti tina lalu lintasna.
Urang informal "nyimpulkeun hiji SLA" kalawan unggal division. Luyu jeung éta, sagala kajadian anu timbul kudu dileungitkeun dina jangka waktu nu tangtu, tos sapuk. Sarat perusahaan pikeun jaringanna tétéla ketat. Waktu réspon maksimum pikeun kajadian nalika telepon sareng email gagal nyaéta 5 menit. Waktu pikeun mulangkeun pungsi jaringan salami gagalna biasana henteu langkung ti hiji menit.
Kusabab urang boga jaringan carrier-grade, Anjeun ngan bisa nyambung ka eta luyu ketat jeung aturan. Unit jasa netepkeun kawijakan sareng nyayogikeun jasa. Aranjeunna malah teu butuh informasi ngeunaan sambungan tina server husus, mesin virtual na workstations. Tapi dina waktos anu sareng, mékanisme panyalindungan diperlukeun, sabab teu hiji sambungan tunggal kudu nganonaktipkeun jaringan. Upami loop teu kahaja didamel, pangguna sanés kedah perhatikeun ieu, nyaéta, réspon anu nyukupan tina jaringan diperyogikeun. Sakur operator telekomunikasi terus-terusan ngarengsekeun masalah anu sigana rumit dina jaringan inti na. Éta nyayogikeun jasa ka seueur klien kalayan kabutuhan sareng lalu lintas anu béda. Dina waktos anu sami, palanggan anu béda henteu kedah ngalaman kasulitan tina lalu lintas batur.
Di bumi, urang ngarengsekeun masalah ieu ku cara kieu: urang ngawangun jaringan tulang tonggong L3 kalayan redundancy pinuh, nganggo protokol IS-IS. Jaringan overlay diwangun dina luhureun inti dumasar kana téknologi /, ngagunakeun protokol routing . Pikeun nyepetkeun konvergénsi protokol routing, téhnologi BFD dipaké.
Struktur jaringan
Dina tés, skéma ieu nunjukkeun dirina saé - nalika saluran atanapi saklar dipegatkeun, waktos konvergénsi henteu langkung ti 0.1-0.2 s, minimum pakét leungit (sering henteu), sesi TCP henteu robek, paguneman telepon. teu diganggu.
Underlay Lapisan - Routing
Overlay Lapisan - Routing
Huawei CE6870 switch kalawan lisensi VXLAN dipaké salaku switch distribution. Alat ieu gaduh rasio harga/kualitas anu optimal, ngamungkinkeun anjeun nyambungkeun palanggan dina laju 10 Gbit/s, sareng nyambung ka tulang tonggong dina laju 40–100 Gbit/s, gumantung kana transceiver anu digunakeun.
Huawei CE6870 saklar
Huawei CE8850 switch dipaké salaku switch inti. Tujuanana nyaéta pikeun ngirimkeun lalu lintas gancang sareng dipercaya. Taya alat disambungkeun ka aranjeunna iwal saklar distribution, aranjeunna teu nyaho nanaon tentang VXLAN, jadi model kalawan 32 40/100 Gbps palabuhan dipilih, kalawan lisénsi dasar nu nyadiakeun L3 routing sarta rojongan pikeun IS-IS jeung MP-BGP. protokol.
Anu handap nyaéta saklar inti Huawei CE8850
Dina tahap desain, sawala peupeus kaluar dina tim ngeunaan téknologi anu bisa dipaké pikeun nerapkeun sambungan lepat-toleran ka titik jaringan inti. Kantor Moscow kami aya di tilu gedong, kami gaduh 7 kamar distribusi, anu masing-masing dipasang dua saklar distribusi Huawei CE6870 (ngan saklar aksés anu dipasang di sababaraha kamar distribusi). Nalika ngamekarkeun konsép jaringan, dua pilihan redundansi dianggap:
- Konsolidasi distribusi switch kana tumpukan lepat-toleran di unggal kamar cross-konéksi. Pro: kesederhanaan jeung betah setelan. kalemahan: aya kamungkinan luhur gagalna sakabéh tumpukan nalika kasalahan lumangsung dina firmware alat jaringan ("memori bocor" jeung sajabana).
- Larapkeun téknologi gateway M-LAG sareng Anycast pikeun nyambungkeun alat ka saklar distribusi.
Tungtungna, urang netep dina pilihan kadua. Ieu rada leuwih hese pikeun ngonpigurasikeun, tapi geus ditémbongkeun dina prakna kinerja sarta reliabilitas tinggi.
Hayu urang mimiti nganggap nyambungkeun alat tungtung ka saklar distribusi:
Meuntas
Saklar aksés, pangladén, atawa alat séjénna anu merlukeun sambungan toleran-lepat kaasup kana dua saklar distribusi. téhnologi M-LAG nyadiakeun redundansi dina tingkat link data. Hal ieu dianggap yén dua saklar distribution némbongan ka alat disambungkeun salaku hiji alat. Redundansi sareng beban balancing dilaksanakeun nganggo protokol LACP.
Téknologi gateway Anycast nyayogikeun redundansi dina tingkat jaringan. Jumlah VRF anu cukup ageung dikonpigurasi dina unggal saklar distribusi (unggal VRF dimaksudkeun pikeun tujuanana - nyalira pikeun pangguna "biasa", misah pikeun teleponi, misah pikeun sagala rupa lingkungan tés sareng pamekaran, jsb.), sareng dina masing-masing. VRF boga sababaraha VLANs ngonpigurasi. Dina jaringan kami, saklar distribusi mangrupikeun gerbang standar pikeun sadaya alat anu nyambung ka aranjeunna. Alamat IP anu saluyu sareng antarmuka VLAN sami pikeun saklar distribusi. Lalulintas dialihkeun ngaliwatan saklar pangdeukeutna.
Ayeuna hayu urang tingali kumaha nyambungkeun switch distribusi ka kernel:
Kasabaran kasalahan disayogikeun dina tingkat jaringan nganggo protokol IS-IS. Punten dicatet yén jalur komunikasi L3 anu misah disayogikeun antara saklar, dina laju 100G. Sacara fisik, jalur komunikasi ieu mangrupikeun kabel Aksés Langsung; éta tiasa ditingali di katuhu dina poto saklar Huawei CE6870.
Alternatif bakal ngatur hiji "jujur" pinuh disambungkeun topologi béntang ganda, tapi, sakumaha disebutkeun di luhur, urang boga 7 cross-sambungkeun kamar di tilu wangunan. Sasuai, lamun urang geus milih topologi "bintang ganda", urang bakal diperlukeun persis dua kali saloba "jarak jauh" 40G transceiver. Tabungan di dieu pisan signifikan.
Sababaraha kecap kedah nyarios ngeunaan kumaha téknologi gateway VXLAN sareng Anycast tiasa dianggo babarengan. VXLAN, tanpa lebet kana detil, mangrupikeun torowongan pikeun ngangkut pigura Ethernet di jero pakét UDP. Interfaces loopback switch distribution dipaké salaku alamat IP tujuan torowongan VXLAN. Unggal kawin silang boga dua saklar jeung alamat panganteur loopback sarua, ku kituna pakét bisa anjog di salah sahiji aranjeunna, sarta pigura Ethernet bisa sasari ti dinya.
Upami saklar terang ngeunaan alamat MAC tujuan tina pigura anu dicandak, pigura bakal leres dikirimkeun ka tujuanana. Pikeun mastikeun yén kadua saklar distribusi anu dipasang dina sambungan silang anu sami gaduh inpormasi anu énggal ngeunaan sadaya alamat MAC anu "sumping" tina saklar aksés, mékanisme M-LAG tanggung jawab pikeun nyingkronkeun tabel alamat MAC (sareng ARP. tabél) dina duanana saklar M-LAG pasangan.
Balancing lalulintas kahontal alatan ayana dina jaringan underlay sababaraha ruteu ka interfaces loopback of switch distribution.
Gantina kacindekan
Sakumaha didadarkeun di luhur, salila nguji sarta operasi jaringan némbongkeun reliabiliti tinggi (waktu recovery pikeun gagal has teu leuwih ti ratusan milliseconds) jeung kinerja alus - unggal cross-connect disambungkeun ka inti ku dua saluran 40 Gbit / s. Saklar aksés dina jaringan kami ditumpuk sareng disambungkeun ka saklar distribusi via LACP / M-LAG sareng dua saluran 10 Gbit / s. A tumpukan biasana ngandung 5 switch kalawan 48 palabuhan unggal, sarta nepi ka 10 aksés tumpukan disambungkeun ka sebaran dina unggal cross-sambungkeun. Ku kituna, tulang tonggong nyadiakeun ngeunaan 30 Mbit / s per pamaké malah dina beban téoritis maksimum, nu dina waktu nulis cukup pikeun sakabéh aplikasi praktis urang.
Jaringan ieu ngamungkinkeun anjeun sacara lancar ngatur papasangan alat-alat anu sawenang-wenang anu nyambungkeun liwat L2 sareng L3, nyayogikeun isolasi lengkep tina lalu lintas (anu diaku ku layanan kaamanan inpormasi) sareng domain kasalahan (anu dipikaresep ku tim operasi).
Dina bagian salajengna urang bakal ngabejaan ka maneh kumaha urang hijrah ka jaringan anyar. Tetep di dieu!
Maxim Klochkov
Konsultan senior ti audit jaringan sareng grup proyék kompleks
Pusat Solusi Jaringan
"Sistem Info Jet"
sumber: www.habr.com