Ang artikulong ito ay ang pangalawa sa isang serye ng mga artikulong "Paano kontrolin ang iyong imprastraktura ng network." Ang mga nilalaman ng lahat ng mga artikulo sa serye at mga link ay matatagpuan .
Ang aming layunin sa yugtong ito ay gawing maayos ang dokumentasyon at pagsasaayos.
Sa pagtatapos ng prosesong ito, dapat ay mayroon kang kinakailangang hanay ng mga dokumento at isang network na na-configure alinsunod sa mga ito.
Ngayon hindi namin pag-uusapan ang tungkol sa mga pag-audit sa seguridad - ito ang magiging paksa ng ikatlong bahagi.
Ang kahirapan sa pagkumpleto ng gawaing itinalaga sa yugtong ito, siyempre, ay lubhang nag-iiba sa bawat kumpanya.
Ang ideal na sitwasyon ay kapag
- ang iyong network ay nilikha alinsunod sa proyekto at mayroon kang kumpletong hanay ng mga dokumento
- ay ipinatupad sa iyong kumpanya para sa network
- alinsunod sa prosesong ito, mayroon kang mga dokumento (kabilang ang lahat ng kinakailangang diagram) na nagbibigay ng kumpletong impormasyon tungkol sa kasalukuyang estado ng mga gawain
Sa kasong ito, ang iyong gawain ay medyo simple. Dapat mong pag-aralan ang mga dokumento at suriin ang lahat ng mga pagbabagong ginawa.
Sa pinakamasamang sitwasyon, magkakaroon ka
- isang network na nilikha nang walang proyekto, walang plano, walang pag-apruba, ng mga inhinyero na walang sapat na antas ng mga kwalipikasyon,
- na may magulong, hindi dokumentadong pagbabago, na may maraming "basura" at mga suboptimal na solusyon
Malinaw na ang iyong sitwasyon ay nasa pagitan, ngunit sa kasamaang palad, sa sukat na ito ng mas mahusay - mas masahol pa, may mataas na posibilidad na mas malapit ka sa pinakamasamang wakas.
Sa kasong ito, kakailanganin mo rin ang kakayahang magbasa ng mga isip, dahil kailangan mong matutunang maunawaan kung ano ang gustong gawin ng "mga taga-disenyo", ibalik ang kanilang lohika, tapusin ang hindi natapos at alisin ang "basura".
At, siyempre, kakailanganin mong itama ang kanilang mga pagkakamali, baguhin (sa yugtong ito nang minimal hangga't maaari) ang disenyo at baguhin o muling likhain ang mga scheme.
Ang artikulong ito sa anumang paraan ay hindi sinasabing kumpleto. Dito ay ilalarawan ko lamang ang mga pangkalahatang prinsipyo at tumuon sa ilang karaniwang problema na kailangang lutasin.
Set ng mga dokumento
Magsimula tayo sa isang halimbawa.
Nasa ibaba ang ilang mga dokumento na karaniwang ginagawa sa Cisco Systems sa panahon ng disenyo.
CR β Mga Kinakailangan ng Customer, mga kinakailangan ng kliyente (mga teknikal na detalye).
Ito ay nilikha kasama ng customer at tinutukoy ang mga kinakailangan sa network.HLD β High Level Design, high-level na disenyo batay sa network requirements (CR). Ipinapaliwanag at binibigyang-katwiran ng dokumento ang mga desisyon sa arkitektura na kinuha (topology, protocol, pagpili ng hardware,...). Ang HLD ay hindi naglalaman ng mga detalye ng disenyo, tulad ng mga interface at IP address na ginamit. Gayundin, ang partikular na pagsasaayos ng hardware ay hindi tinalakay dito. Sa halip, ang dokumentong ito ay inilaan upang ipaliwanag ang mga pangunahing konsepto ng disenyo sa teknikal na pamamahala ng customer.
LLD β Mababang Antas na Disenyo, mababang antas na disenyo batay sa mataas na antas na disenyo (HLD).
Dapat itong maglaman ng lahat ng mga detalye na kinakailangan upang maipatupad ang proyekto, tulad ng impormasyon kung paano ikonekta at i-configure ang kagamitan. Ito ay isang kumpletong gabay sa pagpapatupad ng disenyo. Ang dokumentong ito ay dapat magbigay ng sapat na impormasyon para sa pagpapatupad nito kahit ng mga hindi gaanong kwalipikadong tauhan.Isang bagay, halimbawa, ang mga IP address, AS number, physical switching scheme (cabling), ay maaaring "ilabas" sa magkahiwalay na mga dokumento, gaya ng PIN (Network Implementation Plan).
Ang pagtatayo ng network ay nagsisimula pagkatapos ng paglikha ng mga dokumentong ito at nangyayari sa mahigpit na alinsunod sa mga ito at pagkatapos ay sinuri ng customer (mga pagsubok) para sa pagsunod sa disenyo.
Siyempre, ang iba't ibang integrator, iba't ibang kliyente, at iba't ibang bansa ay maaaring may iba't ibang mga kinakailangan para sa dokumentasyon ng proyekto. Ngunit nais kong iwasan ang mga pormalidad at isaalang-alang ang isyu sa mga merito nito. Ang yugtong ito ay hindi tungkol sa disenyo, ngunit tungkol sa pag-aayos ng mga bagay, at kailangan namin ng sapat na hanay ng mga dokumento (mga diagram, talahanayan, paglalarawan...) upang makumpleto ang aming mga gawain.
At sa aking opinyon, mayroong isang tiyak na ganap na minimum, kung wala ito ay imposibleng epektibong makontrol ang network.
Ito ang mga sumusunod na dokumento:
- diagram (log) ng pisikal na paglipat (kable)
- network diagram o mga diagram na may mahalagang L2/L3 na impormasyon
Pisikal na switching diagram
Sa ilang maliliit na kumpanya, ang trabahong nauugnay sa pag-install ng kagamitan at pisikal na paglipat (cabling) ay responsibilidad ng mga network engineer.
Sa kasong ito, ang problema ay bahagyang nalutas sa pamamagitan ng sumusunod na diskarte.
- gumamit ng isang paglalarawan sa interface upang ilarawan kung ano ang konektado dito
- administratibong isinara ang lahat ng hindi konektadong mga port ng kagamitan sa network
Bibigyan ka nito ng pagkakataon, kahit na may problema sa link (kapag hindi gumagana ang cdp o lldp sa interface na ito), upang mabilis na matukoy kung ano ang konektado sa port na ito.
Madali mo ring makikita kung aling mga port ang inookupahan at alin ang libre, na kinakailangan para sa pagpaplano ng mga koneksyon ng mga bagong kagamitan sa network, mga server o mga workstation.
Ngunit malinaw na kung mawalan ka ng access sa kagamitan, mawawalan ka rin ng access sa impormasyong ito. Bilang karagdagan, sa paraang ito ay hindi mo maitala ang mahalagang impormasyon tulad ng kung anong uri ng kagamitan, anong konsumo ng kuryente, ilang port, anong rack ito, anong mga patch panel ang naroon at kung saan (sa anong rack/patch panel ) sila ay konektado . Samakatuwid, ang karagdagang dokumentasyon (hindi lamang mga paglalarawan sa kagamitan) ay lubhang kapaki-pakinabang.
Ang perpektong opsyon ay ang paggamit ng mga application na idinisenyo upang gumana sa ganitong uri ng impormasyon. Ngunit maaari mong limitahan ang iyong sarili sa mga simpleng talahanayan (halimbawa, sa Excel) o ipakita ang impormasyon na itinuturing mong kinakailangan sa L1/L2 diagram.
Mahalaga!
Ang isang network engineer, siyempre, ay lubos na nakakaalam ng mga intricacies at pamantayan ng SCS, mga uri ng mga rack, mga uri ng hindi naaabala na mga supply ng kuryente, kung ano ang malamig at mainit na pasilyo, kung paano gawin ang tamang saligan... tulad ng sa prinsipyo na magagawa niya alam ang physics ng elementary particles o C++. Ngunit dapat pa ring maunawaan ng isa na ang lahat ng ito ay hindi ang kanyang lugar ng kaalaman.
Samakatuwid, magandang kasanayan na magkaroon ng alinman sa mga dedikadong departamento o dedikadong tao upang malutas ang mga problemang may kaugnayan sa pag-install, koneksyon, pagpapanatili ng kagamitan, pati na rin ang pisikal na paglipat. Kadalasan para sa mga data center ito ay mga inhinyero ng data center, at para sa isang opisina ito ay help-desk.
Kung ang mga naturang dibisyon ay ibinigay sa iyong kumpanya, kung gayon ang mga isyu ng pag-log ng pisikal na paglipat ay hindi mo gawain, at maaari mo lamang limitahan ang iyong sarili sa paglalarawan sa interface at administratibong pagsasara ng mga hindi nagamit na port.
Mga diagram ng network
Walang unibersal na diskarte sa pagguhit ng mga diagram.
Ang pinakamahalagang bagay ay ang mga diagram ay dapat magbigay ng pag-unawa sa kung paano dadaloy ang trapiko, kung saan ang mga lohikal at pisikal na elemento ng iyong network.
Sa pamamagitan ng mga pisikal na elemento ang ibig nating sabihin
- aktibong kagamitan
- mga interface/port ng aktibong kagamitan
Sa ilalim ng lohikal -
- mga lohikal na device (N7K VDC, Palo Alto VSYS, ...)
- VRF
- Vilans
- mga subinterface
- mga lagusan
- sona
- ...
Gayundin, kung ang iyong network ay hindi ganap na elementarya, ito ay bubuo ng iba't ibang mga segment.
Halimbawa
- sentro ng datos
- Internet
- Maputla
- malayuang pag-access
- LAN ng opisina
- DMZ
- ...
Mahusay na magkaroon ng ilang mga diagram na nagbibigay ng parehong malaking larawan (kung paano dumadaloy ang trapiko sa pagitan ng lahat ng mga segment na ito) at isang detalyadong paliwanag ng bawat indibidwal na segment.
Dahil sa mga modernong network ay maaaring magkaroon ng maraming lohikal na mga layer, marahil ito ay isang mahusay (ngunit hindi kinakailangan) na diskarte upang gumawa ng iba't ibang mga circuit para sa iba't ibang mga layer, halimbawa, sa kaso ng isang overlay na diskarte ito ay maaaring ang mga sumusunod na circuit:
- overlay
- L1/L2 underlay
- L3 underlay
Siyempre, ang pinakamahalagang diagram, kung wala ito imposibleng maunawaan ang ideya ng iyong disenyo, ay ang routing diagram.
Routing scheme
Sa pinakamababa, ang diagram na ito ay dapat magpakita
- anong mga routing protocol ang ginagamit at saan
- pangunahing impormasyon tungkol sa mga setting ng routing protocol (lugar/AS number/router-id/β¦)
- sa aling mga device nangyayari ang muling pamimigay?
- kung saan nangyayari ang pagsasala at pagsasama-sama ng ruta
- default na impormasyon ng ruta
Gayundin, ang L2 scheme (OSI) ay kadalasang kapaki-pakinabang.
L2 scheme (OSI)
Maaaring ipakita ng diagram na ito ang sumusunod na impormasyon:
- anong mga VLAN
- kung aling mga port ang mga trunk port
- kung aling mga port ang pinagsama-sama sa ether-channel (port channel), virtual port channel
- anong mga STP protocol ang ginagamit at sa anong mga device
- pangunahing mga setting ng STP: root/root backup, STP cost, port priority
- karagdagang mga setting ng STP: BPDU guard/filter, root guard...
Karaniwang mga pagkakamali sa disenyo
Isang halimbawa ng masamang diskarte sa pagbuo ng network.
Kumuha tayo ng isang simpleng halimbawa ng pagbuo ng isang simpleng LAN ng opisina.
Sa pagkakaroon ng karanasan sa pagtuturo ng telecom sa mga mag-aaral, masasabi kong halos sinumang mag-aaral sa kalagitnaan ng ikalawang semestre ay may kinakailangang kaalaman (bilang bahagi ng kursong itinuro ko) upang mag-set up ng isang simpleng LAN ng opisina.
Ano ang napakahirap sa pagkonekta ng mga switch sa isa't isa, pag-set up ng mga VLAN, mga interface ng SVI (sa kaso ng mga switch ng L3) at pag-set up ng static na pagruruta?
Lahat ay gagana.
Ngunit sa parehong oras, ang mga tanong na may kaugnayan sa
- seguridad
- pagpapareserba
- pag-scale ng network
- pagiging produktibo
- throughput
- pagiging maaasahan
- ...
Paminsan-minsan naririnig ko ang pahayag na ang LAN ng opisina ay isang bagay na napakasimple at karaniwan kong naririnig ito mula sa mga inhinyero (at mga tagapamahala) na gumagawa ng lahat maliban sa mga network, at sinasabi nila ito nang may kumpiyansa na huwag magtaka kung ang LAN ay magiging ginawa ng mga taong walang sapat na kasanayan at kaalaman at gagawin na may humigit-kumulang sa parehong mga pagkakamali na ilalarawan ko sa ibaba.
Karaniwang L1 (OSI) na Mga Pagkakamali sa Disenyo
- Kung, gayunpaman, may pananagutan ka rin para sa SCS, kung gayon ang isa sa mga pinaka hindi kasiya-siyang pamana na maaari mong matanggap ay ang pabaya at hindi pinag-isipang paglipat.
Uuriin ko rin bilang mga error sa uri ng L1 na nauugnay sa mga mapagkukunan ng kagamitan na ginamit, halimbawa,
- hindi sapat na bandwidth
- hindi sapat na TCAM sa kagamitan (o hindi epektibong paggamit nito)
- hindi sapat na pagganap (kadalasang nauugnay sa mga firewall)
Karaniwang L2 (OSI) na Mga Pagkakamali sa Disenyo
Kadalasan, kapag walang mahusay na pag-unawa sa kung paano gumagana ang STP at kung anong mga potensyal na problema ang idudulot nito, ang mga switch ay konektado nang magulo, na may mga default na setting, nang walang karagdagang pag-tune ng STP.
Bilang resulta, madalas na mayroon tayong sumusunod
- malaking diameter ng network ng STP, na maaaring humantong sa mga bagyo sa pagsasahimpapawid
- Ang ugat ng STP ay random na matutukoy (batay sa mac address) at ang landas ng trapiko ay magiging suboptimal
- ang mga port na konektado sa mga host ay hindi iko-configure bilang edge (portfast), na hahantong sa muling pagkalkula ng STP kapag ino-on/off ang mga end station
- ang network ay hindi mase-segment sa antas ng L1/L2, bilang resulta kung saan ang mga problema sa anumang switch (halimbawa, power overload) ay hahantong sa muling pagkalkula ng STP topology at pagpapahinto ng trapiko sa lahat ng VLAN sa lahat ng switch (kabilang ang isang kritikal mula sa punto ng view ng segment ng pagpapatuloy ng serbisyo)
Mga halimbawa ng mga pagkakamali sa disenyo ng L3 (OSI).
Ilang karaniwang pagkakamali ng mga baguhang networker:
- Madalas na paggamit (o paggamit lamang) ng static na pagruruta
- paggamit ng mga suboptimal na routing protocol para sa isang partikular na disenyo
- suboptimal na lohikal na segmentasyon ng network
- suboptimal na paggamit ng address space, na hindi pinapayagan ang pagsasama-sama ng ruta
- walang backup na ruta
- walang reserbasyon para sa default na gateway
- asymmetric routing kapag muling nagtatayo ng mga ruta (maaaring kritikal sa kaso ng NAT/PAT, statefull firewalls)
- mga problema sa MTU
- kapag ang mga ruta ay itinayong muli, ang trapiko ay dumadaan sa iba pang mga zone ng seguridad o kahit na iba pang mga firewall, na humahantong sa trapikong ito ay bumaba
- mahinang scalability ng topology
Pamantayan para sa pagtatasa ng kalidad ng disenyo
Kapag pinag-uusapan natin ang tungkol sa optimality/non-optimality, dapat nating maunawaan mula sa punto ng view kung anong pamantayan ang maaari nating suriin ito. Dito, mula sa aking pananaw, ang pinakamahalaga (ngunit hindi lahat) na pamantayan (at paliwanag kaugnay ng mga protocol sa pagruruta):
- scalability
Halimbawa, nagpasya kang magdagdag ng isa pang data center. Gaano mo kadaling gawin ito? - kadalian ng paggamit (pamamahala)
Gaano kadali at secure ang mga pagbabago sa pagpapatakbo, tulad ng pag-anunsyo ng bagong grid o pag-filter ng mga ruta? - pagkakaroon
Ilang porsyento ng oras na ibinibigay ng iyong system ang kinakailangang antas ng serbisyo? - seguridad
Gaano ka-secure ang ipinadalang data? - presyo
Pagbabago
Ang pangunahing prinsipyo sa yugtong ito ay maaaring ipahayag ng pormula na "huwag makapinsala."
Samakatuwid, kahit na hindi ka lubos na sumasang-ayon sa disenyo at sa napiling pagpapatupad (configuration), hindi palaging ipinapayong gumawa ng mga pagbabago. Ang isang makatwirang diskarte ay ang pagraranggo ng lahat ng natukoy na problema ayon sa dalawang parameter:
- gaano kadali maaayos ang problemang ito
- gaano kalaki ang panganib na dinadala niya?
Una sa lahat, kinakailangang alisin kung ano ang kasalukuyang binabawasan ang antas ng serbisyong ibinibigay sa ibaba ng katanggap-tanggap na antas, halimbawa, mga problema na humahantong sa pagkawala ng packet. Pagkatapos ay ayusin kung ano ang pinakamadali at pinakaligtas na ayusin sa pagbaba ng pagkakasunud-sunod ng kalubhaan ng panganib (mula sa mga isyu sa disenyo o pagsasaayos na may mataas na peligro hanggang sa mga isyu sa mababang panganib).
Ang pagiging perpekto sa yugtong ito ay maaaring makapinsala. Dalhin ang disenyo sa isang kasiya-siyang estado at i-synchronize ang configuration ng network nang naaayon.
Pinagmulan: www.habr.com