ProHoster > Blog > Pangangasiwa > Paano kami nagdisenyo at nagpatupad ng bagong network sa Huawei sa opisina ng Moscow, bahagi 2

Paano kami nagdisenyo at nagpatupad ng bagong network sa Huawei sa opisina ng Moscow, bahagi 2

Paano kami nagdisenyo at nagpatupad ng bagong network sa Huawei sa opisina ng Moscow, bahagi 2

Sa mga nakaraang episode: Lumipat si Jet sa isang bagong network batay sa isang kilalang vendor. Paano naganap ang proseso ng mga sistema ng pag-audit, pagkolekta ng "mga listahan ng nais" at pag-aamo sa "mutant reserve", nabasa sa ang unang bahagi.

Sa pagkakataong ito ay magsasalita ako tungkol sa proseso ng paglilipat ng mga user (higit sa 1600 katao) mula sa lumang network patungo sa bago. Inaanyayahan ko ang lahat na interesado sa pusa.

Kaya, ang kasalukuyang network ng kumpanya noong nakaraang tag-araw:

  • Ang pinakasimpleng topology ay "collapsed backbone" - ang core ng network (kilala rin bilang ang distribution level) ay nabuo ng dalawang network-level switch na pinagsama sa isang VSS cluster;
  • ang antas ng pag-access ay kinakatawan ng mga switch at stack ng mga switch-level na link na naka-install sa mga cross-connection, at kung minsan ay direkta sa mga corridors at maging sa mga work room;
  • bahagi ng mga access switch ay kasama sa isang chain, ibig sabihin, ang switch ay kasama sa isa pang switch, at ang huli ay nasa core na;
  • ang fault-tolerance ng pagkonekta ng mga core access switch ay sinisigurado pangunahin sa pamamagitan ng LACP, kung minsan ay hindi ito nasisiguro;
  • access control - sa pamamagitan ng VLAN, VLAN routing - sa core;
  • access switch mula sa tatlong tagagawa at apat na henerasyon ay ginagamit, ang mga gumagamit ay konektado sa bilis mula 100 Mbit/s hanggang 1 Gbit/s;
  • Ang ilang mga gumagamit ay gumagamit pa rin ng mga analog na telepono, ang ilan ay gumagamit ng mga IP phone na konektado sa pamamagitan ng PoE injector, at isang minorya ang gumagamit pa rin ng mga IP phone na pinapagana ng PoE mula sa mga switch ng access.

Problema:

  • dalhin ang network sa disenteng hugis;
  • hindi makagambala sa trabaho ng mga empleyado sa panahon ng modernisasyon;
  • ayusin ang maraming problema hangga't maaari na naipon sa nakaraang 15 taon ng operasyon.

Nakaraang buhay

Dati, ang sistema para sa pagpapatakbo at pagpapalawak ng network sa opisina ay ang mga sumusunod: kunwari kailangan nating ayusin ang mga workspace para sa mga bagong empleyado. Ang karagdagang puwang ay inupahan sa sentro ng negosyo, ginawa ang pag-aayos, inilatag ang SCS, pagkatapos nito ay na-deploy ang isang computer at network ng telepono.

Depende sa mga pangangailangan ng departamento, mayroong mula 2 hanggang 4 na RJ-45 socket bawat lugar ng trabaho. Ang isa sa mga socket ay itinalaga bilang socket ng telepono (nakatanggap ng berdeng pagmamarka), ang natitira (mula isa hanggang tatlo) ay itinalaga bilang mga socket ng computer (nakatanggap ng asul na pagmamarka).

Paano kami nagdisenyo at nagpatupad ng bagong network sa Huawei sa opisina ng Moscow, bahagi 2
Mga socket sa isang karaniwang lugar ng trabaho

Kahit na sa yugto ng pagbuo ng network, ang bawat computer socket ay konektado sa isang hiwalay na access switch port, ang bawat socket ng telepono ay konektado sa isang analog port ng isang telephone exchange (sa lumang lugar) o sa isang access switch port na na-pre-configure para sa VoIP data transmission (sa bagong lugar).

Ang pamamaraan na ito ay maginhawa para sa serbisyo ng pagpapatakbo. Lumipat ang mga gumagamit sa isang bagong silid, nagsaksak ng computer sa anumang libreng socket ng computer, at isang telepono sa anumang libreng socket ng telepono.

Pagkatapos nito, ang mga kawani ng teknikal na suporta, na tumutuon sa mga MAC address ng konektadong kagamitan, ay nagrehistro ng mga kinakailangang VLAN at iba pang mga parameter sa mga access switch port.

Ngunit ang diskarte ay may kakulangan nito - ito ay hindi matipid, at hanggang sa kalahati ng mga port ay nanatiling hindi nagamit. Ang ganitong reserba ay kapaki-pakinabang kung, sa paglipas ng panahon, ang mga karagdagang lugar ng trabaho ay isinaayos sa lugar, ngunit hindi pa namin ganap na nagamit ang 50% na reserba.

Paghahanda para sa migration

Sa unang yugto, nagpasya kaming palitan ang lahat ng access switch. Ang modelo ng pamilya ay pinili bilang pamantayan Huawei S5720, partikular ang S5720-52X-PWR-SI-AC. Mga katangian nito:

  • kumokonekta sa backbone sa bilis na 10 Gbit/s;
  • nakasalansan gamit ang mga regular na 10G interface;
  • nagbibigay-daan sa koneksyon sa lahat ng mga port ng user sa bilis na 1 Gbit/s;
  • Nagbibigay ng PoE power sa lahat ng user port.

Kaya, ang anumang port ay maaaring gamitin upang ikonekta ang isang computer, IP phone, computer sa pamamagitan ng IP phone, wireless access point, CCTV camera at iba pang mga device.
Kinailangan naming malaman kung aling mga saksakan sa mga silid ang aktwal na ginagamit at kung ano ang konektado sa kanila. Mayroon kaming:

  • data mula sa luma at hindi masyadong lumang mga proyekto sa pag-install ng SCS;
  • "hindi ganap na nauugnay" na mga cable magazine para sa lahat ng lugar ng kumpanya;
  • Mga talahanayan ng MAC address sa mga kasalukuyang switch ng access, na nakuha namin gamit ang built-in na kagamitan sa network;
  • mga talahanayan ng pagsusulatan sa pagitan ng mga MAC address ng mga set ng telepono at mga panloob na numero ng mga subscriber - mula sa palitan ng telepono.

Susunod, nagsulat kami ng isang maliit na script na, batay sa data na ito, pinagsama-sama ang switching at migration table (isang hiwalay na talahanayan para sa bawat susunod na yugto ng trabaho). Naglalaman sila ng sumusunod na impormasyon:

  • lugar;
  • pagmamarka ng port sa lugar ng trabaho;
  • pagmamarka ng socket sa patch panel sa crossover;
  • hostname ng lumang switch (stack);
  • numero ng port sa lumang switch;
  • VLAN ID;
  • MAC address ng konektadong device (o marami);
  • uri ng konektadong aparato (tinutukoy ng MAC address);
  • pangalan (hostname) ng bagong switch (stack);
  • numero ng port sa bagong switch.

Paano kami nagdisenyo at nagpatupad ng bagong network sa Huawei sa opisina ng Moscow, bahagi 2
Mga resulta ng script

Mula sa naturang talahanayan ay agad na malinaw kung ano ang eksaktong konektado sa isang tiyak na port - isang computer, isang telepono, isang computer sa pamamagitan ng isang telepono (kung mayroong dalawang MAC address), o isang bagay na mas kumplikado.
Batay sa mga talahanayan, ang mga inhinyero ng disenyo ay nakabuo ng mga bagong cable log, at ang mga inhinyero ng pagpapatupad ay nag-pre-configure ng mga bagong switch, na sa susunod na yugto ng paglipat ay na-install sa mga cross-connect upang palitan ang mga luma.

Paano kami nagdisenyo at nagpatupad ng bagong network sa Huawei sa opisina ng Moscow, bahagi 2
Fragment ng bagong cross magazine

Paano kami nagdisenyo at nagpatupad ng bagong network sa Huawei sa opisina ng Moscow, bahagi 2
I-access ang Mga Setting ng Port

Kaya, ang gawain ay bumagsak sa mga sumusunod:

  • idiskonekta ang mga lumang switch ng access, alisin ang mga patch cord;
  • mag-install ng mga bagong access switch, kumonekta sa kapangyarihan;
  • magsagawa ng paglipat ayon sa cross log;
  • maglakad-lakad sa mga lugar ng trabaho, tiyaking gumagana nang maayos ang mga telepono at computer.

Mukhang simple, pero...

Ang unang yugto ay ang pagpapalit ng access switch: tatlong buwang trabaho pitong araw sa isang linggo

Mula noong kalagitnaan ng 2018, pinapalitan namin ang mga switch ng access tuwing weekend sa loob ng tatlong buwan at muling inililipat ang mga workstation ayon sa aming mga talahanayan ng paglilipat (mga 3500 port sa kabuuan).
Ang unang paglipat ay umabot sa amin ng higit sa 12 oras sa panahong ito, napalitan namin ang isang access stack ng limang switch at muling kumonekta sa humigit-kumulang 200 port na nakakonekta dito.
Ang pinakamatagal ay... paghahanda ng mga patch cord. Ang bawat patch cord ay kailangang tanggalin sa packaging nito at may label na numero sa magkabilang panig. Pagkatapos lamang nito ay maaaring gamitin ang patch cord para sa paglipat.

Sa mga susunod na paglilipat, na-optimize namin ang proseso at naghanda ng mga patch cord nang maaga. Samakatuwid, ang huling paglipat ay tumagal ng parehong 12 oras, at sa panahong ito, nagawa naming palitan ang limang access stack, mula 3 hanggang 5 switch sa bawat isa, at muling lumipat ng higit sa 1000 port.

Ano ang nakuha natin sa huli?

Una, ang na-update na cross log, na ibinahagi namin sa serbisyo ng pagpapatakbo. Ang serbisyo ay nakabuo ng sarili nitong web application upang suportahan ang kasalukuyang katayuan ng paglipat - maaari na itong palaging matingnan sa isang panloob na mapagkukunan.

Pangalawa, ang mga workstation na konektado sa mga bagong modernong switch ng access. Kasabay nito, sa wakas ay tinanggal namin ang mga analog na telepono at hiwalay na mga supply ng kuryente para sa mga IP phone, na-update at pinag-isa ang firmware sa mga IP phone upang ang telepono at ang switch ay makilala nang tama ang isa't isa gamit ang LLDP protocol. Ito ay kinakailangan upang maunawaan ng telepono kung saan VLAN dapat itong magpadala ng mga voice frame, at kung saan - mga frame ng kagamitan na konektado sa pamamagitan ng telepono. Kaya, maaaring ma-access ng telepono ang mga server ng palitan ng telepono, at ang mga gumagamit ay maaaring kumonekta ng mga computer sa kanilang mga lugar ng trabaho nang direkta sa outlet o sa pamamagitan ng telepono.

Pangatlo, pinatay namin ang lahat ng hindi nagamit na port ng mga aktibong kagamitan at na-configure ang function ng port security. Kasabay nito, kami ay bumalangkas, nag-coordinate at nag-apruba ng mga regulasyon sa mga koneksyon ngayon ay walang mga koneksyon "nalampasan ang cash register".

Kaya, kami ay:

  • ilagay sa ayos at dokumentado ang lahat ng koneksyon ng kagamitan sa opisina;
  • tinanggal ang mga lumang switch, PoE injector, analog phone;
  • nabawasan ang pagkonsumo ng enerhiya ng kagamitan (sa mga indibidwal na cross-country at mga lugar ng trabaho - hanggang 30%);
  • pinahusay na karanasan ng user at nagpapanatili ng sapat na sapat na reserba ng mga aktibong port ng kagamitan (sa halaga ng bahagyang pagtaas sa workload ng mga espesyalista sa teknikal na suporta, lalo na kapag lumipat ang mga empleyado sa bagong lugar).

Puspusan ang paglipat - paglipat sa isang bagong highway

Matapos ang pagkumpleto ng unang yugto, ang sitwasyon sa mga koneksyon ng gumagamit ay bumalik sa normal, ngunit walang nagbago sa gulugod. Tulad ng nabanggit sa itaas, bago ang paggawa ng makabago ito ay isinaayos nang simple. Mayroong humigit-kumulang 100 VLAN na na-ruta sa isang sentral na switch, o sa halip, sa dalawang switch na naka-cluster gamit ang teknolohiya ng VSS.

Kasabay ng unang yugto ng paglipat, bumuo at sumubok kami ng bagong backbone alinsunod sa mga prinsipyong itinakda sa unang artikulo:

  • naka-install na Huawei CE8850 core switch;
  • naka-install na Huawei CE6870 distribution switch;
  • naglatag ng karagdagang mga linya ng fiber-optic;
  • ginawa ang lahat ng koneksyon;
  • na-configure ang overlay at underlay na mga routing protocol (ngunit hanggang sa makumpleto ang unang yugto, ang mga switch ay idle at pinainit ang hangin).

Pagkatapos ay nagsimula ang susunod na yugto ng migration. Hindi masyadong mahaba, ngunit ang pinakamahirap.

Upang magsimula sa, kami ay bumuo at sumang-ayon sa isang bagong IP addressing plan na isinasaalang-alang ang aming kasalukuyan at hinaharap na mga pangangailangan. Ang bagong plano ay naglaan ng magkakahiwalay na hanay para sa lahat ng nakaplanong L3VPN - para sa mga ordinaryong user at teknikal na gumagamit ng sentro, para sa mga sistema ng telephony, video conferencing, CCTV camera, demonstration stand ng iba't ibang uri at iba pang pangangailangan.

Pagkatapos ay ikinonekta namin ang buong legacy na network sa isang pares ng mga switch ng pamamahagi bilang isang solong access stack. Pagkatapos nito, sinimulan namin ang paglipat ng mga stack sa isang bagong backbone, pagpapalit ng mga numero ng VLAN at, nang naaayon, pagpapalit ng mga IP address ng mga konektadong user sa mga bagong hanay.

Pinlano namin ang gawain sa paraang magpalipat-lipat ng medyo malaking grupo ng mga switch ng access sa isang pagkakataon. Nagtatrabaho sila sa gabi o sa katapusan ng linggo, depende sa mga detalye ng gawain ng mga lumipat na yunit.

Bago simulan ang trabaho, isinagawa namin ang mga sumusunod na operasyon nang maaga:

  1. na-configure ang corporate DHCP server upang mag-isyu ito ng mga IP address mula sa bagong hanay para sa mga lumipat na user;
  2. naka-configure na mga port sa mga switch ng pamamahagi, na binalak na isama ang mga switch ng access sa panahon ng paglipat;
  3. gamit ang isa pang espesyal na binuong script, inihanda ang mga binagong configuration para sa mga switched switch.

Nagtrabaho sila sa sumusunod na pagkakasunud-sunod:

  1. inilipat ang mga switch ng access mula sa lumang trunk patungo sa bago;
  2. siguraduhin na ang mga switch ay naa-access sa pamamagitan ng interface ng pamamahala;
  3. nag-upload ng pre-prepared configuration sa mga switched switch para baguhin ang mga numero ng VLAN.

Bago isagawa ang gawain sa itaas, ang VLAN na naglalaman ng mga interface ng pamamahala ng lahat ng mga switch ng access ay "nakaunat" sa pagitan ng luma at bagong trunk, kaya ang hakbang 2 ay karaniwang tumatagal ng isang minimum na oras. Sa pinakasimpleng kaso, ang mga workstation ng user (pati na rin ang mga telepono, printer at iba pang device) ay agad na nakatanggap ng mga IP address mula sa bagong hanay mula sa DHCP server at patuloy na gumana nang walang pagbabago.

Paano kami nagdisenyo at nagpatupad ng bagong network sa Huawei sa opisina ng Moscow, bahagi 2

Saan walang problema?

Nakatagpo kami ng ilang mga paghihirap sa daan.
Una, huminto sa paggana ang mga printer ng maraming user. Sa mga workstation ng ilang user, na-configure ang access sa mga printer gamit ang isang partikular na IP address. Matapos lumipat ang mga printer sa isang bagong hanay, nakatanggap sila ng mga bagong address, at nawalan ng access ang mga user sa kanila. Upang malutas ang isyu, sa araw pagkatapos ng paglipat, naglaan kami ng isang taong sumusuporta sa kalahating araw upang maglibot sa mga migrate na user at muling i-configure ang mga printer na gumamit ng mga pangalan ng DNS sa halip na mga IP address.

Kapag nag-migrate sa pinakaunang pangkat ng mga user, kinailangan naming lutasin ang ilang problema sa wastong pag-configure ng mga firewall upang mabigyang-daan nila ang mga lumipat na user na ma-access ang mga kinakailangang mapagkukunan ng kumpanya. At sa lahat ng kasunod na paglilipat, alam na namin nang maaga kung ano ang kailangang i-configure.

Huli sa lahat, inilipat namin ang service center, ang mga empleyado ng duty shift. Ang paglilipat ng tungkulin ay dapat gumana nang tuluy-tuloy at sa buong orasan, at laging may access sa mga mapagkukunang kailangan para sa trabaho at sa mga sistema ng impormasyon ng customer. Para sa mga taong ito, nag-organisa kami ng mga pansamantalang workspace sa mga oras na paunang napagkasunduan at sa magkahiwalay na kwarto. Isang empleyado ng duty shift ang lumipat sa silid na ito at tiniyak na maa-access niya ang lahat ng kinakailangang sistema. Pagkatapos ay lumipat ang iba sa silid na ito.

Pagkatapos ay lumipat kami sa nauugnay na yunit, inanyayahan ang isa sa mga empleyado ng duty shift na bumalik sa kanyang lugar at suriin ang pagkakaroon ng lahat ng kinakailangang mapagkukunan. Ang mga problema ay agad na nalutas kung may natuklasan. Nagkaroon ng kaunting mga problema. Pagkatapos nito, ang paglipat ng tungkulin ay muling lumipat mula sa "pansamantalang kanlungan" patungo sa karaniwang paraan ng pagpapatakbo sa kanilang mga lugar ng trabaho kasama ang buong hanay ng mga sistema ng impormasyon na kailangan nila.

Sa ilang mga punto, natuklasan namin na walang isang lugar ng trabaho ng gumagamit na natitira sa lumang network! At binuksan nila ang champagne. Susunod, sinimulan naming i-migrate ang segment ng server. Ang ibang scheme ay inilapat dito, dahil ang server ay karaniwang hindi maaaring ihinto kahit sa loob ng 15 minuto. Pag-uusapan ko ito nang hiwalay sa susunod na artikulo.

Maxim Klochkov
Senior consultant ng network audit at complex projects group
Network Solutions Center
"Mga Jet Infosystem"

Pinagmulan: www.habr.com

Magdagdag ng komento