3. Extreme anahtarlarda kurumsal ağ tasarımı

Tünaydın arkadaşlar! Bugün bu konuya adanmış seriye devam edeceğim. Ekstrem anahtarlar Kurumsal ağ tasarımı ile ilgili makale.

Bu yazıda mümkün olduğunca kısa olmaya çalışacağım:

• Etnterprise ağını tasarlamaya yönelik modüler yaklaşımı açıklamak
• kurumsal bir ağın en önemli modüllerinden biri olan çekirdek ağın (ip-kampüs) yapım türlerini göz önünde bulundurun
• Kritik ağ düğümlerini ayırma seçeneklerinin avantajlarını ve dezavantajlarını açıklamak
• Küçük bir Kurumsal ağı tasarlamak/güncellemek için soyut bir örnek kullanma
• tasarlanan ağı uygulamak için Extreme anahtarlarını seçin
• fiberler ve IP adreslemeyle çalışın

Bu makale, telekom operatörlerinde veya coğrafi olarak dağıtılmış ağlara sahip büyük şirketlerde uzun yıllar çalışmış deneyimli mühendislerden ziyade, bir "ağ uzmanı" olarak yolculuğuna yeni başlayan ağ mühendisleri ve kurumsal ağ yöneticilerinin ilgisini çekecektir.

Her durumda, ilgilenenler için lütfen kediye bakın.

Modüler ağ tasarımı yaklaşımı

Makaleme, ağ tasarımına yönelik oldukça popüler bir modüler yaklaşımla başlayacağım; bu, ağın parçalarından oluşan bir bulmacayı tek bir resim halinde birleştirmenize olanak tanır.

İlk olarak, biraz soyutlama - Çoğu zaman bu yaklaşımı coğrafi haritaların yakınlaştırılması olarak hayal ediyorum; ilk yaklaşımda ülke, ikinci yaklaşımda bölgeler, üçüncü yaklaşımda şehirler vb. görünür.

Örnek olarak şu örneği düşünün:

• 1. yaklaşım - kurumsal ağın tamamı bir dizi farklı seviyeden oluşur:
  • omurga veya kampüs
  • sınır seviyesi
  • telekom operatörü seviyesi
  • Uzak alanlar

• 2. yaklaşım - bu seviyelerin her biri ayrı modüller halinde detaylandırılmıştır
  • Çekirdek ağ veya kampüs aşağıdakilerden oluşur:
    • Kurumsal ağı ve düzeylerini (erişim, dağıtım ve/veya çekirdek) açıklayan 3 veya 2 düzeyli modül
    • veri merkezini açıklayan modül - veri işlem merkezi (esasen altyapının sunucu kısmı)

  • sınır seviyesi ise aşağıdakilerden oluşur:
    • İnternet bağlantı modülü
    • Coğrafi olarak dağıtılmış kurumsal nesnelerin bağlanmasından sorumlu olan WAN ve MAN modülü
    • VPN tünelleri ve Uzaktan Erişim erişimi oluşturmak için modül
    • Çoğu küçük işletmede bu modüllerden birkaçı, hatta hepsi tek bir modülde birleştirilmiş halde bulunur.

  • sağlayıcı seviyesi:
    • Bu seviye, "dış dünyaya" bağlantıları içerir - koyu optik fiberler (operatörlerden fiber kiralama), iletişim kanalları (Ethernet, G.703, vb.), İnternet erişimi.

  • uzak seviye:
    • çoğunlukla bunlar bir işletmenin bir şehre, bölgeye, ülkeye ve hatta kıtalara dağılmış şubeleridir.
    • bu bölge aynı zamanda ana veri merkezinin işini kopyalayan bir yedek veri merkezi de içerebilir.
    • ve elbette son zamanlarda popülerlik kazanıyor - uzaktan çalışanlar (uzaktan işler)

• 3. yaklaşım - modüllerin her biri daha küçük modüllere veya seviyelere bölünmüştür. Örneğin, bir kampüs ağında:
  • 3 katmanlı ağ aşağıdakilere ayrılmıştır:
    • erişim düzeyi
    • dağıtım seviyesi
    • çekirdek düzeyi

  • Daha karmaşık durumlarda veri merkezi aşağıdakilere ayrılabilir:
    • 2 veya 3 seviyeli ağ kısmı
    • sunucu kısmı

  Yukarıdakilerin tümünü aşağıdaki basitleştirilmiş şekilde göstermeye çalışacağım:

  
  
  Yukarıdaki şekilde görülebileceği gibi, modüler yaklaşım, genel resmin gelecekte üzerinde çalışılabilecek bileşen unsurları halinde detaylandırılmasına ve yapılandırılmasına yardımcı olur.

  Bu makalenin amaçları doğrultusunda Kampüs İşletme düzeyine odaklanacağım ve onu daha ayrıntılı olarak anlatacağım.

  IP-CAMPUS ağlarının türleri

  Bir sağlayıcı için çalışırken ve özellikle daha sonra entegratör olarak çalışırken, müşteri ağlarının farklı "olgunluk düzeyiyle" karşı karşıya kaldım. Olgunluk terimini boşuna kullanmıyorum, çünkü çoğu zaman şirketin büyümesiyle birlikte ağ yapısının da büyüdüğü durumlar vardır ve bu prensip olarak doğaldır.

  Tek bir bina içinde yer alan küçük bir şirkette kurumsal ağ, güvenlik duvarı görevi gören yalnızca 1 kenar yönlendiricisinden, birkaç erişim anahtarından ve birkaç sunucudan oluşabilir.

  Böyle bir ağı "tek katmanlı" ağ olarak adlandırıyorum - kesinlikle açık bir ağ çekirdek katmanı yoktur, dağıtım katmanı uç yönlendiriciye kaydırılır (güvenlik duvarı, VPN ve muhtemelen proxy işlevleriyle) ve erişim anahtarları hem çalışanların bilgisayarlarına hem de sunucular.

  
  
  Bir kuruluş büyüdüğünde (çalışanların, hizmetlerin ve sunucuların sayısı arttığında) genellikle şunları yapmak gerekir:

  • ağdaki ve erişim bağlantı noktalarındaki anahtar sayısını artırın
  • sunucu kapasitesini artırın
  • yayın etki alanlarıyla mücadele edin - ağ bölümlendirmesini ve bölümler arasında yönlendirmeyi uygulayın
  • Yönetim için ek finansal maliyetlere yol açtığından çalışanlar için kesintiye neden olan ağ arızalarıyla uğraşmak (çalışan boşta, ücretler ödeniyor ancak iş yapılmıyor)
  • Arızalarla başa çıkma sürecinde, kritik ağ düğümlerinin (yönlendiriciler, anahtarlar, sunucular ve hizmetler) yedekliliğini düşünün
  • Ticari riskler ortaya çıkabileceğinden ve yine daha istikrarlı ağ işletimi için güvenlik politikasını sıkılaştırın

  Bütün bunlar, mühendisin (ağ yöneticisinin) er ya da geç ağın doğru yapısını düşünmesine ve 2 seviyeli bir modele gelmesine yol açmaktadır.

  Bu model zaten açıkça 2 düzeyi birbirinden ayırıyor: erişim düzeyi ve aynı zamanda çekirdek düzey (çökmüş çekirdek) olan dağıtım düzeyi.

  Birleşik dağıtım ve çekirdek katmanları aşağıdaki işlevleri yerine getirir:

  • erişim anahtarlarından gelen bağlantıları toplar
  • ağ bölümlerinin yönlendirilmesini sağlar - tek bir/24 ağa sığamayacak kadar çok kullanıcı ve cihaz vardır ve sığmaları durumunda yayın fırtınaları sürekli arızalara neden olur (özellikle kullanıcılar döngüler oluşturarak onlara yardım ederse)
  • bitişik anahtar bölümleri arasında iletişim sağlar (daha hızlı bağlantılar aracılığıyla)
  • kullanıcılar ve cihazları ile bu zamana kadar ayrı bir ağ segmentine (veri merkezi) ayrılmaya başlayan sunucu grubu arasındaki iletişimi sağlar.
  • işletmenin bu zamana kadar sahip olmaya başladığı güvenlik politikasını erişim anahtarlarıyla birlikte bir dereceye kadar sağlamaya başlar. Şirket büyüyor, ticari riskler de artıyor (burada yalnızca ticari sırlara ilişkin hükümleri, erişim politikalarının farklılaştırılmasını vb. değil, aynı zamanda ağın ve çalışanların temel kesinti sürelerini de kastediyorum).

  Böylece ağ er ya da geç 2 seviyeli bir modele dönüşür:

  
  
  Bu model, hem kullanıcılardan ve ağ cihazlarından (yazıcılar, erişim noktaları, VoIP cihazları, IP telefonlar, IP kameralar, vb.) gelen bağlantıları toplayan erişim seviyesi anahtarları hem de dağıtım seviyesi anahtarları ve çekirdekleri için özel gereksinimler getirir.

  Erişim anahtarları ağ performansı, güvenlik ve esneklik gereksinimlerini karşılamak için daha akıllı ve daha yetenekli olmalı ve:

  • farklı türde erişim bağlantı noktalarına ve ana bağlantı noktalarına sahip olun - tercihen trafik büyümesi ve bağlantı noktası sayısı için bir rezerv olasılığı ile
  • Yeterli anahtarlama kapasitesine ve verime sahip olmak
  • Mevcut güvenlik politikasını (ve ideal olarak diğer gereksinimlerinin büyümesini) karşılayacak gerekli güvenlik işlevselliğine sahip olmak
  • Güç kullanarak (PoE, PoE+) uzaktan yeniden başlatma yeteneği ile ulaşılması zor ağ cihazlarına güç verme yeteneğine sahip olun
  • ihtiyaç duyulan yerlerde kullanmak üzere kendi güç kaynağınızı rezerve edebilme
  • (mümkünse) işlevsellik açısından daha fazla büyüme potansiyeline sahip olmalıdır - bir erişim anahtarının sonunda bir dağıtım anahtarına dönüşmesi sık görülen bir örnektir

  Dağıtım anahtarları da aşağıdaki gereksinimlere tabidir:

  • hem erişim anahtarlarına doğru ana hat aşağı bağlantı bağlantı noktaları açısından hem de komşu dağıtım anahtarlarının eş arayüzlerine doğru (ve gelecekte çekirdeğe doğru olası yukarı bağlantı arayüzleri)
  • L2 ve L3 işlevselliği açısından
  • güvenlik işlevselliği açısından
  • Hata toleransının sağlanması açısından (yedeklilik, kümeleme ve güç yedekliliği)
  • trafiği dengelerken esneklik sağlama açısından
  • (mümkünse) işlevsellik açısından daha fazla potansiyele sahip olmak (toplama cihazının zamanla çekirdeğe dönüşmesi)
  • bazı durumlarda dağıtım anahtarlarında PoE, PoE+ portlarının kullanılması uygun olabilir.

  Dahası - eğer yönetim işletmenin aktif büyümesi ve gelişmesi yönünde bir politika izlerse, ağ gelecekte de gelişmeye devam edecektir - işletme komşu binaları kiralamaya başlayabilir, kendi binalarını inşa edebilir veya daha küçük rakipleri bünyesine katabilir, böylece artan çalışanların iş sayısı. Aynı zamanda ağ da büyüyor ve bu da şunları gerektiriyor:

  • çalışanlara işyerleri sağlamak - erişim bağlantı noktalarına sahip yeni erişim anahtarlarına ihtiyaç var
  • Erişim anahtarlarından gelen bağlantıları toplamak için yeni dağıtım anahtarlarının mevcudiyeti
  • yeni iletişim hatlarının inşası ve mevcut iletişim hatlarının modernizasyonu

  Sonuç olarak trafik aşağıdaki nedenlerden dolayı artar:

  • erişim bağlantı noktalarının ve buna bağlı olarak ağ kullanıcılarının artması nedeniyle
  • Kurumsal ağı ulaşım - telefon, güvenlik, mühendislik sistemleri vb. olarak seçen bitişik alt sistemlerden gelen trafiğin artması nedeniyle.
  • ek hizmetlerin sunulması nedeniyle - personelin büyümesiyle birlikte belirli yazılımlar gerektiren yeni departmanlar ortaya çıkıyor
  • veri merkezi bilgi işlem gücü, altyapı ve uygulama gereksinimlerini karşılamak için artıyor
  • ağ ve bilgi için güvenlik gereksinimleri artıyor - ünlü CIA üçlüsü (şaka), ama cidden, CIA - Gizlilik, Bütünlük ve Erişilebilirlik:
    • Bu bağlamda, ağın kritik seviyeleri (dağıtım ve veri merkezleri) için hata toleransı ve yedeklilik için ek gereksinimler ortaya çıkmaktadır.
    • yine, yeni güvenlik sistemlerinin (örneğin RKVI vb.) kullanılmaya başlanması nedeniyle trafikte bir artış var.

  Er ya da geç, trafiğin, hizmetlerin ve kullanıcı sayısının artması, ek bir ağ katmanının (yüksek hızlı iletişim bağlantılarını kullanarak paketlerin yüksek hızlı anahtarlama/yönlendirmesini gerçekleştirecek çekirdek) tanıtılması ihtiyacını doğuracaktır.

  Bu noktada işletme 3 seviyeli ağ modeline geçebilir:

  
  
  Yukarıdaki şekilde görebileceğiniz gibi, böyle bir ağda, dağıtım anahtarlarından gelen yüksek hızlı bağlantıları toplayan bir çekirdek düzeyi vardır. Bu nedenle çekirdek anahtarları aşağıdaki gereksinimlerle de karşı karşıyadır:

  • arayüz bant genişliği - 1GE, 2.5GE,10GE, 40GE, 100GE
  • anahtar performansı (anahtarlama kapasitesi ve yönlendirme performansı)
  • arayüz türleri - 1000BASE-T, SFP, SFP+, QSFP, QSFP+
  • arayüz sayısı ve seti
  • yedeklilik yetenekleri (yığınlama, kümeleme, kontrol kartlarının yedekliliği (modüler anahtarlarla ilgili), güç yedekliliği vb.)
  • işlevsellik

  Ağın bu seviyesinde kesinlikle teknik bir değişikliğe ihtiyaç vardır:

  • çekirdek düğümlerinin ve bağlantılarının yedekliliği (çok, çok, çok arzu edilir)
  • dağıtım seviyesi düğümlerinin ve bağlantılarının yedekliliği (kritikliğe bağlı olarak)
  • erişim anahtarları ve dağıtım seviyesi arasındaki iletişim bağlantılarının yedekliliği (gerekirse)
  • dinamik yönlendirme protokollerinin tanıtılması
  • hem çekirdekte hem de dağıtım ve erişim düzeylerinde trafik dengeleme (gerekirse)
  • ek hizmetlerin uygulanması - hem ulaşım hem de güvenlik hizmetleri (gerekirse)

  ve yasal olup, kuruluşun genel güvenlik politikasını aşağıdaki açılardan tamamlayan ağ güvenliği politikasını tanımlar:

  • erişim ve dağıtım anahtarlarında belirli güvenlik işlevlerinin uygulanması ve yapılandırılması için gereksinimler
  • Ağ ekipmanına erişim, izleme ve yönetim gereksinimleri (uzaktan erişim protokolleri, yönetim için izin verilen ağ bölümleri, günlük kaydı ayarları vb.)
  • rezervasyon gereklilikleri
  • gerekli minimum yedek parça kitinin oluşturulması için gereklilikler

  Bu bölümde, ağın ve işletmenin birkaç anahtar ve birkaç düzine çalışandan birkaç düzine (ve belki yüzlerce anahtar) ve yalnızca doğrudan çalışan çalışanlardan birkaç yüz (veya hatta binlerce) çalışana kadar evrimini kısaca anlattım. kurumsal ağda (ve sonuçta üretim departmanları ve mühendislik ağları da vardır).
  İşletmenin gerçekte bu kadar “mucizevi” ve hızlı bir şekilde gelişmesinin gerçekleşmediği açıktır.
  Bir işletmenin ve ağın başlangıçtaki 1. seviyeden anlattığım 3. seviyeye kadar büyümesi genellikle yıllar alır.

  Bütün bu gerçekleri neden yazıyorum? Daha sonra burada ROI - yatırım getirisi (yatırım getirisi/getirisi) gibi bir terimden bahsetmek ve bunun doğrudan ağ ekipmanı seçimini ilgilendiren tarafını ele almak istiyorum.

  Ekipman seçerken, ağ mühendisleri ve yöneticileri genellikle ekipmanı 2 faktöre göre seçerler: ekipmanın mevcut fiyatı ve belirli bir görevi veya görevleri çözmek için şu anda ihtiyaç duyulan minimum teknik işlevsellik (yedeklik için ekipman satın alma hakkında daha sonra konuşacağım) ).

  Aynı zamanda, ekipmanın daha fazla "büyümesine" yönelik olasılıklar da nadiren dikkate alınır. Ekipmanın işlevsellik veya performans açısından kendini tükettiği bir durum ortaya çıkarsa, gelecekte daha güçlü ve işlevsel olanlar satın alınır ve eskisi "to" ilkesiyle bir depoya veya ağ üzerinde bir yere teslim edilir. stand” (bu arada, bu aynı zamanda büyük bir hayvanat bahçesi ekipmanının ortaya çıkmasına ve onunla çalışan bir dizi bilgi sisteminin satın alınmasına da neden oluyor).

  Böylece ek lisansların bir kısmını satın almak yerine. Yeni, yüksek performanslı ekipmanlardan çok daha ucuz olan işlevsellik ve performans, aşağıdaki nedenlerden dolayı yeni donanım satın almanız ve fazla ödeme yapmanız gerekir:

  • ağ genellikle yavaş büyür ve ağınızdaki anahtarın işlevselliğinin veya performansının genişletilmesi uzun süre yeterli olabilir
  • Yabancı satıcıların ekipmanlarının dövize (dolar veya euro) bağlı olduğu bir sır değil. Dürüst olmak gerekirse, doların veya euronun büyümesi (veya nasıl baktığınıza bağlı olarak rublenin periyodik mini devalüasyonu), 10 yıl önceki doların ve şimdiki doların şimdikinden tamamen farklı şeyler olduğu gerçeğine yol açıyor. rublenin bakış açısı

  Yukarıdakilerin tümünü özetleyerek, daha geniş işlevselliğe sahip ağ ekipmanı satın almanın gelecekte tasarruf sağlayabileceğini belirtmek isterim.
  Burada ağıma ve altyapıma yatırım yapma bağlamında ekipman satın alma maliyetini değerlendiriyorum.

  Bu nedenle, pek çok satıcı (sadece Extreme değil), büyüdükçe öde ilkesine bağlı kalarak ekipmana birçok işlevsellik ve arayüz performansını artırma fırsatlarını paketliyor; bunlar daha sonra ayrı lisanslar satın alınarak etkinleştiriliyor. Ayrıca geniş bir arayüz ve işlemci kartı yelpazesine sahip modüler anahtarlar ve bunların hem sayısını hem de performansını sürekli olarak artırma olanağı sunarlar.

  Kritik düğümlerin yedekliliği

  Yazının bu bölümünde çekirdek, veri merkezi veya dağıtım anahtarları gibi önemli ağ düğümlerinin yedekliliğinin temel prensiplerini kısaca anlatmak istiyorum. Yığınlama ve kümeleme gibi yaygın rezervasyon türlerine bakarak başlamak istiyorum.

  Her yöntemin artıları ve eksileri var, bunlardan bahsetmek istiyorum.

  Aşağıda 2 yöntemi karşılaştıran genel bir özet tablosu bulunmaktadır:

  
  

  • yönetim — tablodan görülebileceği gibi, bu bağlamda istiflemenin bir avantajı vardır, çünkü yönetim açısından bakıldığında, birkaç anahtardan oluşan bir yığın, çok sayıda bağlantı noktasına sahip bir anahtar gibi görünür. Örneğin 8 farklı anahtarı kümeleme ile yönetmek yerine yığınlama ile yalnızca birini yönetebilirsiniz.
  • mesafe - şu anda, kesin olarak konuşursak, kümelemenin avantajı o kadar açık değildir, çünkü anahtarları istifleme bağlantı noktaları veya çift amaçlı bağlantı noktaları aracılığıyla istiflemeye yönelik teknolojiler ortaya çıkmıştır (örneğin, Extreme için SummitStack-V, Cisco için VSS, vb.), bu aynı zamanda alıcı-verici türlerine de bağlıdır. Burada, istifleme sırasında, genellikle sınırlı uzunlukta (0.5, 1, 1.5, 3 veya 5 metre) özel kablolarla bağlanan normal istifleme bağlantı noktalarını kullanmak zorunda olduğunuz seçeneklerin mevcut olduğu ilkesine dayalı olarak kümelemeye avantaj sağlanır.
  • Yazılım güncellemesi - burada kümelemenin istiflemeye göre bir avantajı olduğunu görüyoruz ve mesele şu: istifleme sırasında ekipmanın yazılım sürümünü güncellerken, ana anahtardaki yazılımı güncellersiniz, bu da daha sonra yeni yazılımı yerleştirme rolünü üstlenir. yığının yedek üye anahtarları. Bir yandan, bu işinizi kolaylaştırır, ancak yazılımı güncellemek genellikle ekipmanın donanımın yeniden başlatılmasını gerektirir, bu da tüm yığının yeniden başlatılmasına ve dolayısıyla işleminin ve onunla ilişkili tüm hizmetlerin bir süreliğine kesintiye uğramasına yol açar. zaman = yeniden başlatma süresi. Bu genellikle çekirdek ve veri merkezi için çok kritiktir. Kümeleme ile yazılımı arka arkaya güncelleyebileceğiniz, birbirinden bağımsız 2 cihazınız olur. Bu durumda hizmetlerde kesintilerin önüne geçilebilir.
  • ayarlar yapılandırması — burada elbette istiflemenin avantajı vardır, çünkü yönetim durumunda yalnızca bir cihazın ayarlarını ve onun yapılandırma dosyasını düzenlemeniz gerekir. Kümeleme ile yapılandırma dosyalarının sayısı küme düğümlerinin sayısına eşit olacaktır.
  • hata toleransı — burada her iki teknoloji de yaklaşık olarak eşittir, ancak kümelenmenin hâlâ küçük bir avantajı vardır. Bunun nedeni şudur: Yığına, çalışan işlemler ve protokoller açısından bakarsak, aşağıdakileri göreceğiz:
    • tüm ana süreçlerin ve protokollerin çalıştığı bir ana anahtar vardır (örneğin, dinamik yönlendirme protokolü - OSPF)
    • yığında çalışmak ve bunların içinden geçen trafiğe hizmet etmek için gerekli ana işlemleri çalıştıran başka yardımcı anahtar anahtarları da vardır
    • Bir ana anahtar arızalandığında, bir sonraki öncelikli ikincil anahtar bir ana arızayı algılar
    • kendisini bir ana yönetici olarak başlatır ve ana üzerinde çalışan tüm işlemleri başlatır (gözlemlediğimiz OSPF protokolü dahil)
    • İşlemlerin başlaması için bir süre sonra (genellikle oldukça kısa), OSPF protokolünün kendisi çalışmaya başlar
    • Bu nedenle, düğümlerden biri arızalanırsa, OSPF kümeleme sırasında yığınlamaya göre biraz daha hızlı çalışacaktır (yığındaki ikincil anahtardaki işlemleri ve protokolleri başlatmak ve başlatmak için gereken süre boyunca). Modern yığınlama protokollerinin ve anahtarlarının çok hızlı çalıştığını belirtmem gerekse de, bir yığın değiştirilirken trafik kesintisinin süresi genellikle bir saniyeden kısa sürer, ancak yine de bu parametrede nominal olarak kümeleme kazanır.

  • karmaşa — tablodan da görülebileceği gibi, karmaşıklık açısından istifleme kazanç sağlar. Bu, “kontrol” ve “ayar konfigürasyonu” öğelerinin doğrudan bir sonucudur. Tek bir düğümün yapılandırılması ve yönetilmesi çok daha az zaman alır. Ayrıca, kümeleme sırasında, çoğu zaman ek yönlendirme protokollerini veya ağ geçidi rezervasyon protokollerini (VRRP, HSRP ve diğerleri) yapılandırmanız gerekir.
  • birimlerin değiştirilmesi — istiflemenin burada açık bir avantajı var. Çoğu zaman, bir yığındaki bir anahtarı değiştirmek için gerekli minimum donanım ayarlarının yapılması gerekir, örneğin:
    • yeni anahtarın yazılımını yığın yazılım sürümüne güncelleyin (ve bu, anahtarlar yedek parça paketine ulaştığında hemen yapılabilir)
    • istifleme için birkaç temel komutu yapılandırın (ve bazı anahtar türleri için bu bile gerekli olmayabilir)
    • Arızalı yığın anahtarını çıkarın ve yenisini bağlayın
    • güç kaynağı ve ara kabloları bağlayın

  • esneklik — Kendi adıma ana parametrelerden birini düşünüyorum. Esneklik genel olarak karmaşık bir özellik olup, bir şeyin bir yükün etkisi altında değişebilme ve ortadan kalktıktan sonra orijinal formuna geri dönme özelliği anlamına gelmektedir. Tuhaf bir şekilde, kümeleme için, istifleme lehine özellikler açısından 4:3 skoru dikkate alındığında bile daha yüksek olacaktır. Tamamen insan faktörüyle ilgili. Evet, evet, şaşırmayın; birleşik kontrol, ayarların yapılandırılması ve hafif karmaşıklık gibi istifleme parametrelerinin gücü aynı zamanda insan faktörü devreye girdiğinde istiflemenin zayıflığında da yatmaktadır.

  BT alanındaki çalışmalarımda, bir sistem yapılandırılırken bir mühendisin bir komut girerken veya ekipmandaki bir özelliği etkinleştirirken/devre dışı bırakırken hata yapması ve bunun sonucunda tüm sistemin çökmesi ve manuel yeniden başlatma gerektirmesi gibi birçok durumla karşılaştım (ve açıkçası, özellikle başlangıçta ben de aynı hatayı yaptım). Putty uygulamasının hayranlarından bahsetmekte fayda var. Windows (Ah, şu sağ tıklayıp kopyalama özelliği!)

  Aslında her iki teknoloji de oldukça iyidir (özellikle artıklık olmamasıyla karşılaştırıldığında) ve her birinin kendi güçlü ve zayıf yönleri vardır, ancak çekirdek düzey ve yüksek yüklü bir veri merkezi için yine de kümelemeyi kullanmayı tercih ederim.

  Her ne kadar bu sadece benim görüşüm olsa da. Uzun yıllardır profesyonel düzeyde ağ desteğiyle ilgilenen birçok profesyonel mühendis, her iki teknolojiyi de eşit derecede kullanabilir - bunların hepsi deneyim ve niteliklere bağlıdır.

  Ağ düğümlerini yığınlamaya ve ayırmaya yönelik teknolojilere ek olarak, ağ düğümünün kendi bölümlerini ve düğümler arasındaki bağlantıları ayırmaya yönelik genel ilkeler de vardır:

  Bir ağ düğümü içindeki rezervasyonla şunu kastediyorum:

  • güç kaynaklarının yedekliliği - birbirini kopyalayan (ve tercihen 2. güç kaynağı kategorisine bağlı) 1 güç kaynağının kurulması hayatınızı çok daha kolaylaştırabilir.
  • kontrol panolarının yedekliliği - büyük ölçüde birbirini kopyalayan birkaç kontrol panosunun bağlantısını sağlayan modüler anahtarlar için geçerlidir.
  • arayüz kartlarının yedekliliği - çoğunlukla modüler anahtarlar için de geçerlidir.

  Bağlantıların/bağlantıların rezervasyonu temel olarak aşağıdakilerle örtüşen kablo yollarının (veya açık alanlar durumunda radyo bağlantılarının) varlığı anlamına gelir:

  • Bina içindeki farklı kablo kanalları ve kanalları üzerinden dağıtım
  • 2 veya daha fazla bina, şehir, bölge veya ülke düzeyinde bölge üzerindeki coğrafi dağılım (hacimsel halkalar olarak adlandırılır)

  Aynı zamanda, yedek iletişim bağlantıları oluştururken, ekipman için bir dizi öneriye uymak gerekir:

  • modüler bir anahtarın arayüz kartlarının çoğaltılması durumunda veya bir yığının varlığında, bağlantıların birimler arasında dağıtılması gerekir - modüler anahtarlar durumunda arayüz kartları ve bir yığın durumunda anahtarlar.
  • Bağlantıları gruplar halinde birleştirmek ve aralarındaki yükü dengelemek için iletişim toplama protokollerinin (LACP, MLT, PAgP, vb.) kullanılması tavsiye edilir.
  • ECMP (Eşit Maliyetli Çok Yollu) protokollerini destekleyen yönlendiriciler kullanın - birden fazla paket tek bir yol boyunca iletildiğinde, bu paketler tek bir en iyi yoldan (ve arayüzden) geçmez, ancak birkaç en iyi yola dağıtılır (ve Yönlendirme protokolü ölçümlerinin eşitliği ile belirlenen ve nihai yönlendirme tablosunun doldurulmasından sorumlu olan çeşitli arayüzler).

  Ve şimdi, söz verdiğim gibi, uygulamamdan gerçek bir durumu ve birkaç yıl önce gerçekleşen kritik düğümleri ayırırken tasarruf ilkesini anlatacağım:

  • X adını vereceğim bir şirketin standart 3 katmanlı bir ağ modeli vardı:
    • birden fazla çekirdekli
    • birkaç düzine toplama
    • birkaç bin erişim anahtarı
    • birkaç onbinlerce kullanıcı

  • ağ oldukça karmaşık bir şekilde inşa edildi:
    • bir dizi dinamik yönlendirme protokolü ve protokolüyle - OSPF, MP-BGP, MPLS, PIM, IGMP, IPv6 vb.
    • bir dizi hizmet - İnternet erişimi, L2 ve L3 VPN, VoIP, IPTV, kiralık hatlar vb.

  • ancak ağda bir darboğaz vardı; BGP sınırlayıcının işlevlerini birleştiren ve bazı kullanıcı hizmetlerini sonlandıran bir sınır yönlendiricisi
  • evet, bir uçak kanadı kadar maliyetli (birkaç milyon ruble)
  • evet, o zamanlar en ünlü ağ satıcısının en iyi cihazlarından biriydi
  • evet, mükemmel bir MTBF derecesine sahip, çok güvenilir olması gerekiyordu
  • evet, 4x2 şemasına göre monte edilmiş ve farklı UEPS ve girişlerden bağlanan 2 güç kaynağı vardı.

  Ancak tüm bunlar ağ için tek bir arıza noktası olduğu gerçeğini değiştirmiyordu.

  Ve bir gün, ben ve meslektaşlarım için hiç de harika olmayan bu yönlendirici uzun süre öldü (daha sonra UEPS üzerinden güç hattında bir tür arıza olduğunu öğrendik ve bu da 2 güç kaynağının çıkışına yol açtı. aynı zamanda ve ne zaman Bu durumda bloklardan biri, cihazın ortak veri yoluna bağlı olan RP yönlendirici modülünü ve arayüz kartını yaktı).

  Yedek kartlarımız - RP ve bir arayüz kartımız yoktu, ancak ekipmanın veya bileşenlerinin NBD planı kapsamında ortaklardan biriyle değiştirilmesine ilişkin bir sözleşme vardı.

  Ne yazık ki, o zamanlar ortakların stoklarında yalnızca bir arayüz kartı vardı, ancak RP kartı yoktu; yalnızca birkaç gün sonra (3 gün sonra) geldi.

  Sonuç olarak, ağda tek bir arıza noktasının varlığı (destek sözleşmesi ve ekipman değişimi olsa bile) aşağıdaki finansal maliyetlere yol açmıştır:

  • şirketin bu sınıra atfedilebilen veya bu sınırla ilgili hizmetlerinin payı %60-70 civarındaydı
  • Daha sonra hesaplandığı gibi, o dönemde günlük kâr yaklaşık 900 bin ruble (yaklaşık) idi.
  • Böylece, 3 günlük kesinti süresinde teorik olarak 1 milyon 620 bin ruble ile 1 milyon 890 bin ruble arasında kar kaybı yaşandı.

  Tabii ki, kullanıcıların çoğunluğunun tazminatı para olarak değil, hizmet olarak iade edildiğinden net kayıplar daha azdı, ancak hala oradaydılar:

  • kurumsal kullanıcılar için tazminatın bir kısmı
  • Tüm bu 3-4 gün boyunca tam güçle çalışan şirket çalışanları için artan maliyetler - fazla mesai, gece vardiyaları, artan vardiyalar vb.
  • itibar kayıpları da önemli
  • ve en önemlisi - hem yönetimin hem de çalışanların ve müşterilerin sinirleri

  Sonuç olarak şirketin politikası revize edildi:

  • NBD şartları uyarınca değiştirme sözleşmesini reddetti
  • normal hizmet sözleşmesinden ayrıldı
  • ana yönlendiricinin işlevselliğinin% 1'ını rezerve etmek için yaklaşık 1.3 - 90 milyon ruble tutarında bir yedek yönlendirici satın aldı

  Daha sonra, ek ekipmanın satın alınması ve ana ekipmanın rezervasyonu, dış bağlantıların, trafiğin ve bunların arasındaki kullanıcıların yükünü dengelemeyi mümkün kıldı ve şirkete daha sonraki kazalarda bir güvenlik marjı sağladı.

  Kurumsal Ağ Tasarımı Örneği

  Yazının bu bölümünde kurumsal omurga ağını hesaplarken ana noktaları özetlemeye çalışacağım. PPDIOO (Hazırla-Planlama-Tasarım-Uygula-İşlet-Optimize Et) tekniğinin tamamıyla sizi aşırı yüklemeyeceğim, yalnızca ana noktalarını özetleyeceğim:

  • Hazırlık/Hazırlık - Ağ modernizasyonunun ulaşmak istediğiniz hedefleri hakkında yönetiminizle birlikte karar vermeniz gerekir - hata toleransını artırma, yeni hizmetler veya teknolojiler sunma. Burada teknik ve organizasyonel kısıtlamaların tanımını atlayacağım, çünkü organizasyonun bir çalışanı olduğunuzu ve bunların üstesinden gelmek için geniş bir zaman kaynağına sahip olduğunuzu varsayıyorum. Aşağıda bütçeleme konusuna döneceğim.
  • Planlama - burada mevcut ağınızın tam bir tanımını oluşturmanız gerekecektir (eğer henüz bilmiyorsanız), ör. ağı şu anki haliyle tanımlayın:
    • ekipmanın miktarı ve türü
    • bağlantı noktalarının sayısı ve türleri
    • Binaların içinde ve arasında mevcut kablo yolları ve anahtarlama şemaları
    • güç kaynağı devreleri
    • L2 ve L3 adresleme
    • Erişim noktalarını ve denetleyicileri gösteren Wi-Fi ağlarının haritalarını oluşturun
    • sunucu grubunuzu tanımlayın
    • Tüm hizmetlerinizi ve aralarındaki bağlantıları tanımlamanız tavsiye edilir.
    • Halihazırda bir ağ güvenlik politikası ve ağ erişim kontrolü politikasını şu veya bu şekilde uyguladıysanız, tasarım yaparken bunu dikkate aldığınızdan emin olun.
    • İkinci adımın esas olarak kablo altyapısı ve güç kaynağı devrelerinden başlayıp hizmetlerle (uygulamalar ve bağlantı noktaları) biten ağın eksiksiz bir envanteri olduğunu hemen belirteceğim. Bu adım çok ama çok zaman alıcı ve hatta bazen sıkıcıdır. Siz veya selefiniz dokümantasyonu ve hatta temel bir izleme sistemini sürdürmediyseniz, bunu düşünmenin zamanı gelmiştir. Ağ, zaman içinde değişen hızlarda değişme eğilimindedir ve yalnızca güncel belgelere veya bir izleme sistemine sahip olmak, ağ durumunu takip etmenize ve yönetimini kolaylaştırmanıza yardımcı olabilir. Ancak bu zaten işletme adımı için geçerlidir.

  • Tasarım - Bir önceki adımda ağınız hakkında edindiğiniz tüm bilgilerle donanmış olarak, sonunda oturup ağınızı nasıl modernleştireceğinizi düşünürsünüz. Aşağıda küçük bir ağ hesaplama örneği göstermeye çalışacağım.

  Kendim için çekirdek ağı hesaplarken ve tasarlarken bana yol gösterecek ilk verileri içeren küçük bir liste derledim.

  Hazırlama adımını elimizde bulunanların ve yapmayı planladığımız şeylerin bir listesi olarak hayal edelim:

  • yaklaşık 700-800 işe sahip oldukça büyük bir işletme var (burada kurumsal ağa erişim gerektiren çalışanları kastediyorum)
  • İşletmenin sınırları içerisinde birkaç ayrı bina bulunmaktadır:
  • Ana binalar:
    • bina sayısı - 2 adet.
    • binadaki kat sayısı - 7 adet.
    • bir binada kat başına düşen telekomünikasyon kabini sayısı - 3 (toplam 21) adet
    • binadaki çalışan sayısı =~ 250 kişi

  • Ek muhafazalar:
    • bina sayısı - 10 adet.
    • binadaki/atölyedeki kat sayısı - 2 adet.
    • binadaki telekomünikasyon kabini sayısı - 3 adet.
    • binadaki çalışan sayısı =~ 20 kişi

  • Mevcut ağ çekirdek seviyesi (bu arada, şu veya bu şekilde birden fazla kez karşılaştığım çok yaygın bir şema ve bağlantı noktalarının bileşimi) sunulmaktadır:
    • 2 L2 anahtarı:
      • 1 Gb RJ-45 bağlantı noktaları - 24 adet.
      • 1 Gb SFP bağlantı noktaları - 4 adet.
    • 1. L2 anahtarı:
      • 1 Gb SFP bağlantı noktaları - 24 adet.
    • çekirdek topolojisi - halka
    • anahtarlar arasındaki eşler arası bağlantılar optik fiberler kullanılarak etkinleştirilir
    • anahtarlar dolaplı küçük sunucu odalarında bulunur
  • Mevcut dağıtım seviyesi:
    • Erişim anahtarlarından gelen bağlantıların toplanması açısından ağ çekirdek düzeyiyle birleştirilmiş
    • L3 adresleme sınır yönlendiricisine ve/veya güvenlik duvarına yerleştirilir
  • Mevcut erişim düzeyi:
    • 2 x 16 Mb RJ-100 erişim bağlantı noktası ve 45 Gigabit uplink kombo bağlantı noktası RJ-2/SFP ile L45 anahtarlar
    • anahtarlar katlardaki dolaplarda bulunur
    • erişim anahtarı topolojisi:
      • ortada çekirdek/dağıtım anahtarı bulunan yıldız (hub-and-spoke - hub ve jant telleri)
      • kiriş/kol, katlara göre anahtarların bir dalıdır - bir zincirde 3 parça
    • yönetilmeyen erişim anahtarları var
    • 9 ek durumda anahtarlar medya dönüştürücüler aracılığıyla bağlanır (optikten elektrik sinyali dönüştürücülere)
  • Mevcut kablo altyapısı:
    • Binalar arası kablo sistemi:
      • 2 ana bina arasında 8 fiber kapasiteli optik kablo bulunmaktadır.
      • Ek binalardan biri (çekirdek anahtarın kurulu olduğu yer) ile ana binaların her biri arasında her biri 1 fiber kapasiteli 8 adet optik kablo bulunmaktadır.
      • Eklemeler arasında 1 adet optik kablo bulunmaktadır. 4 fiber kapasiteli çekirdek anahtarların kurulu olduğu kasalar ve kasalar (bunların dağılımı aşağıdaki resimde gösterilmektedir)
      • tüm kablolarda fiber tipi - tek mod/SMF
      • 2 fiberli tek modlu SFP alıcı-vericileri kullanılır
      • Kabloların bir kısmı ayrı odalarda (çapraz salonlar/sunucu odaları) optik çapraz bağlantılarda (ODF) sonlandırılır ve bazı kablolar ise zemin seviyesindeki SHTO'larda sonlandırılır.

    • Bina içi kablo sistemi:
      • Sunucu odaları ile katlardaki ilk kabinler arasında karışık kablo yapısı bulunmaktadır:
      • Cat5e bakır kablolar - 10 adet (veya 100 çift kablo)
      • 4 veya 8 fiber için fiber optik çok modlu/MMF kablosu - 1 adet.
      • Zemin dolapları arasında 4 fiber için fiber optik çok modlu/MMF kablo
      • Zemin dolapları ve erişim prizleri arasındaki bakır Cat5e kablolar
    • mevcut veri merkezi:
      • birkaç sunucu var, örneğin 6 adet
      • 1. ana binadaki çekirdek anahtara 1 Gb bağlantı noktaları dahil edildi
      • tüm kurumsal uygulamalar sunucularda barındırılmaktadır
    • L2, L3 adresleme ve yönlendirme:
      • ağda birkaç VLAN var - bina başına 2,3
      • sunucular ayrı bir /24 ağa tahsis edilmiştir
      • Dahili ihtiyaçlar için - 172.16.0.0/16 aralığına dahil olan gri B sınıfı ağlar kullanılır
      • L3 adresleri sınır yönlendiricisinde ve/veya güvenlik duvarında sonlandırılır
      • Statik yönlendirme kullanılıyor
    • Ek Bilgiler:
      • telefon:
        • Binalarda ve bazı binalarda, geleneksel telefon eski tarz dijital PBX'ler (IP-PBX değil) kullanılarak dağıtılır.
        • belirli bir kapasiteye sahip pahalı bakır kablo hatlarının döşenmesi ve binaların içinde telefon için yinelenen bir SCS inşa edilmesi maliyeti olmadan yeni binalara telefon kurmak gerekir
        • Zaman içerisinde IP telefon sisteminin işletme geneline tanıtılması, CRM sistemleri ile birleştirilmesi ve tüm çalışanların buna aktarılması planlanmaktadır.
      • liman kapasitesi:
        • trunk portların ve erişim portlarının mevcut kapasitesinin analiz edilmesi ve en az %25-30'unun gelecekteki ihtiyaçlara ayrılması gerekmektedir.
        • erişim bağlantı noktalarının ve ana bağlantıların mevcut veriminin yeterliliğini analiz etmek
        • İlgili sistemlerden (video gözetimi ve telefon) cihazlar için PoE/PoE+ erişim bağlantı noktaları sağlayın
      • CCTV:
        • kurumsal ağın bir video gözetim ağı için aktarım olarak kullanılması planlanmaktadır
        • CCTV kameraları için PoE bağlantı noktalarının sağlanması gereklidir
      • kablosuz sistemler:
        • Gelecekte çalışanların mobilitesine yönelik kablosuz altyapının devreye alınması planlanıyor
        • erişim noktaları için PoE portlarının sağlanması gereklidir
      • bütçe, zamanlama ve ekipman gereksinimleri:
        • mevcut ekipmanlardan en iyi şekilde yararlanın
        • Bir ağ tasarlarken, ağ kapasitesinin N yıl önceden artırılma olasılığını dikkate alın
        • Bir ağ tasarlarken, her türlü güvenlik işlevine yönelik desteği dikkate alın - burada bağlantı noktası güvenliğinden başlayıp 802.1x kullanan kullanıcıların kimlik doğrulaması ve yetkilendirilmesiyle biten işlevlerin bir listesi bulunmaktadır.
        • Birincil öneme sahip kritik ağ düğümlerini (çekirdek ve veri merkezi) mümkün olduğunca ayırın ve ikincil öneme sahip düğümleri (dağıtım düğümleri) ayırma olasılığını sağlayın
        • proje bütçesi birkaç aşamada tutarlı finansman sağlamalıdır
        • bütçe miktarı - burada her işletme kendi mali göstergelerinin rehberliğinde kendisi belirler
        • son teslim tarihleri ​​- en ideal durumda, bu, çalışanları tarafından uygulanan dahili bir şirket projesi olduğundan veya nispeten rahat olacaklarından - örneğin 1 yıl (veya daha fazla) olduğundan, belirgin bir son tarih olmayacaktır. Daha kötü durumda bu süre 3 aydan XNUMX aya kadar uzayabilir.
      • mevcut ağ sorunlarını çözün:
        • paket kaybı
        • Erişim bağlantı noktalarındaki döngülerle mücadele etmek için STP protokol ailesinin kullanılmasıyla ilişkili az çok akıllı erişim anahtarlarında DHCP ile ilgili sorunlar.
        • çalışanların her VLAN'ında bir DHCP sunucu arayüzünün varlığından kurtulun
        • ofislerdeki yönetilen/yönetilmeyen anahtarların izinsiz açılması ve bunlara çeşitli cihazların bağlanmasıyla ilişkili anahtarlama döngülerinin oluşması
        • Liste uzayıp gidiyor...

      Adım Planlama - daha önce yazdığım gibi mevcut ağınızın durumunun karakterizasyonu, yüksek kaliteli bir izleme sisteminin varlığına ve belgeleme derecesine bağlıdır. Bu adımda şunları yapmanız gerekir:

      • daha fazla analiz için en azından mevcut ağı çizin
      • ekipmandan veri toplayın:
        • ana bağlantı noktalarındaki trafik
        • bağlantı noktalarındaki hatalar
        • Anahtarlarda ve yönlendiricilerde CPU yükü ve bellek tüketimi
        • L2-L3 şemalarını VLAN'lara ve IP adreslerine göre tanımlama
      • kablo güzergah şemalarını yükseltin:
        • optik çapraz bağlantılar için fiber devreler ve bağlantı şemaları
        • sunucu odaları ve katlar arasındaki bakır kablo dağıtım şemaları
        • katlar ve odalar arasındaki bakır kablo dağıtım şemaları
        • sunucu odaları ve kabinlerdeki optik çapraz bağlantıların ve bağlantı panellerinin varlığını kontrol edin
      • sunucu ve zemin dolaplarındaki güç kaynağı devrelerini kontrol edin
      • kritik düğümlerde UPS ve akünün varlığını kontrol edin
      • tüm verileri analiz et

      Hazırlık aşamasındaki verilere dayanarak yaklaşık bir mantıksal diyagram oluşturdum:

      
      
      Daha sonra modüler yaklaşımı takip ederek işletmenin seviyelerini ve modüllerini vurgulamak gerekir:

      
      
      Bu yazımda Edge konusuna değinmeyeceğim ancak Campus modüllerinin her biri için temel tezleri kısaca hatırlatacağım:

      • Erişim - bu düzeyde şunları sağlamalıdır:
        • ağa kullanıcı erişimi için gerekli sayıda bağlantı noktası
        • güvenlik politikalarının yürütülmesi - trafiğin ve protokollerin filtrelenmesi
        • VLAN'ları kullanarak yayın alanı sıkıştırması ve ağ bölümlemesi
        • ses trafiği için ayrı VLAN'ların uygulanması
        • QoS desteği
        • PoE erişim bağlantı noktaları desteği
        • IP çoklu yayın desteği
        • dağıtım seviyesiyle birlikte yukarı akış iletişim bağlantılarının hata toleransı (arzu edilir)
      • Dağıtım - bu seviyede aşağıdakiler sağlanmalıdır:
        • erişim anahtarlarını bağlamak için gerekli sayıda bağlantı noktası
        • erişim anahtarı bağlantılarının toplanması ve yedekliliği
        • IP yönlendirme
        • paket filtreleme
        • QoS desteği
        • Bağlantılar, ekipman ve güç kaynağı seviyesinde hata toleransı (son derece arzu edilir)
      • Çekirdek şunları sağlamalıdır:
        • yüksek hızlı anahtarlama ve paket yönlendirme
        • dağıtım anahtarlarını bağlamak için gerekli sayıda bağlantı noktası
        • hızlı ağ yakınsaması ile IP yönlendirme ve dinamik yönlendirme protokolleri desteği
        • QoS desteği
        • Ekipmana ve kontrol düzlemine erişimi korumak için güvenlik işlevselliği
        • donanım ve güç kaynağı düzeyinde hata toleransı (gerekli)
      • Veri merkezi - bu modülün ağ katmanı şunları sağlamalıdır:
        • yüksek hızlı iletişim bağlantıları
        • sunuculara bağlanmak için gerekli sayıda bağlantı noktası
        • hem sunucular ile veri merkezi anahtarları arasındaki hem de veri merkezi anahtarları ile ağ çekirdeği arasındaki iletişim bağlantılarının yedekliliği (gerekli)
        • ekipman ve güç kaynağı yedekliliği (gerekli)
        • QoS desteği

      Daha sonra portlarımızı ve iletişim bağlantılarımızı sayıp gereksinimleri belirlememiz gerekiyor.
      Erişim düzeyi - bağlantı noktası hesaplama tablosu

      Böylece erişim portlarının binalar arasındaki dağılımına ilişkin veriler elde ettik. Artık erişim düzeyi gereksinimlerini ve yorumları analiz etmeniz ve çözüm seçeneklerini özetlemeniz gerekiyor.
      Erişim düzeyi - gereksinimler ve çözüm seçenekleri

      Daha sonra aşağıdaki seviyeler için bağlantı noktalarını ve iletişim bağlantılarını sayacağız:

      Dağıtım düzeyi

      Çekirdek seviyesi

      Veri merkezi düzeyi

      Hesaplarken şunu elde ettik:

      • erişim düzeyi — Tercihen 24 Gb erişim bağlantı noktalarına ve PoE desteğine ve geniş işlevselliğe sahip optik yukarı bağlantı SFP bağlantı noktalarına sahip 48 ve 1 bağlantı noktalı erişim anahtarları gereklidir:
        • toplamda 504 erişim bağlantı noktası sağlayacaklar; bu, prensip olarak, iş istasyonu başına 2 bağlantı noktasının (bir IP telefon ve bir veri bağlantı noktası) kullanılmasına karar verilmesi durumunda yedek bağlantı noktalarının gereksinimlerini karşılayacak.
        • Gereksinimler için erişim bağlantı noktaları sağlayan, her katta PoE işlevine sahip bir adet 48 bağlantı noktalı anahtar kullanmak mümkündür:
          • rezerv - ana binalarda yaklaşık 102 yedek liman (%22). Ek binalar için biraz daha fazla - %25.
          • video izleme
          • Kablosuz ağ
      • dağıtım seviyesi — en az 12 SFP+ bağlantı noktasına sahip 48 ila 2 bağlantı noktası içeren, yığınlama yetenekleri ve genişletilmiş işlevselliğe sahip, ayrıca yedek güç kaynaklarının varlığına sahip bir dizi SFP bağlantı noktası içeren anahtarlar gereklidir.
      • çekirdek düzeyi — MC-LAG desteğiyle hem yığınlama hem de kümeleme desteğine sahip 12 ila 24 SFP/SFP+ bağlantı noktası arasında yüksek hızlı anahtarlar gereklidir. Trafiği dengelemek için yönlendirme araçlarını kullanmanın da mümkün olduğunu belirtmeliyim. En yeni nesil L3 anahtarları ve yönlendiricileri, aynı ölçümle 4 veya daha fazla rotada trafik dengelemeyle ECMP'yi destekler.
      • veri merkezi seviyesi — MC-LAG desteğiyle hem yığınlama hem de kümeleme desteğine sahip 8 ila 24 SFP/SFP+ bağlantı noktasına sahip anahtarlar gereklidir.

      Hedef ağ diyagramı sonunda oluştu bu tür

      Proje uygulaması için Extreme anahtarlarının seçilmesi

      Şimdi asıl meseleye geldik - projemizin uygulanması için anahtar seçme anına. Ortaya çıkan hedef devre için aşağıdaki Extreme anahtarlar uygundur:

      Seviye
      model
      bağlantı noktaları
      Açıklama

      çekirdek
      x620-16x-Taban *

      x670-G2-48x-4q-Taban*
      16 x 10GE SFP+
       
       
       
      48x10GE SFP+ ve 4x40GE QSFP+
      Temel çekirdek ihtiyaçları için:

      • yüksek hızlı bağlantılar
      • gelişmiş yönlendirme ve güvenlik işlevselliği
      • ek güç kaynağı yedeklemesi güç kaynakları
      • istifleme ve kümeleme desteği

      Minimum gereksinimlerle x620 serisi bir anahtar yeterli olacaktır.
      Bağlantı noktası sayısı ve daha geniş işlevsellik için genişletilmiş gereksinimleriniz varsa x670-G2 serisi anahtarları düşünmelisiniz.

      Veri merkezi

      x620-16x-Taban*

      x590-24x-1q-2c*

      x670-G2-48x-4q-Taban*

      16 x 10GE SFP+
       
       
       
      24x10GE SFP, 1xQSFP+, 2xQSFP28
       
       
      48x10GE SFP+ ve 4x40GE QSFP+

      Temel veri merkezi ihtiyaçları için:

      • yüksek hızlı bağlantılar
      • ek güç kaynağı yedeklemesi güç kaynakları
      • istifleme ve kümeleme desteği

      Minimum gereksinimlerle x620 serisi bir anahtar yeterli olacaktır.
      Bağlantı noktası sayısı ve daha geniş işlevsellik için gereksinimlerin artması durumunda, x670-G2 ve x590-24x-1q-2c serisi anahtarları göz önünde bulundurmaya değer.

      dağıtım

      X460-G2-24x-10GE4-Base*

      X460-G2-48x-10GE4-Base*

      24x1GE SFP, 8x1000 RJ-45, 4x10GE SFP+
       
       
       
      48x1GE SFP, 4x10GE SFP+

      Temel dağıtım ihtiyaçları için:

      • gerekli sayıda optik bağlantı noktası
      • ek güç kaynağı yedeklemesi güç kaynakları
      • istifleme ve kümeleme desteği
      • gerekli L3 işlevselliği

      x460-G2 serisi anahtarlar idealdir. Genişletme ve 10G, CX (yığınlama için) ve QSFP+ bağlantı noktaları ekleme özelliğine sahip yedek güç kaynaklarının varlığı, bunları 1 Gb'ye kadar bağlantı noktalarına sahip dağıtım katmanı için ideal anahtarlar haline getirir.

      giriş

      X440-G2-24p-10GE4*

      X440-G2-24t-10GE4*

      X440-G2-48t-10GE4*

      X440-G2-48p-10GE4*

      24x1000BASE-T(4 x SFP birleşimi), 4x10GE SFP+ (PoE bütçesi 380 W)
       
      24x1000BASE-T(4 x SFP birleşimi), 4x10GE SFP+
       
       
      24x1000BASE-T(4 x SFP birleşimi), 4x10GE SFP+ birleşimi bağlantı noktaları
       
      48x1000BASE-T(4 x SFP birleşimi),4x10GE SFP+ birleşik bağlantı noktaları (PoE bütçesi 740 W)

      Erişim ihtiyaçları için:

      • gerekli sayıda erişim bağlantı noktası
      • PoE/PoE+ desteği
      • işlevsellik ve bağlantı noktalarını genişletme yeteneği
      • 10 Gb bağlantı noktalarını kutudan çıkarma desteği şeklinde ek bonus

      Bağlantı noktaları, performans ve işlevsellik açısından esnekliği nedeniyle bu hatta dikkat etmenizi öneririm.

      *seçilen anahtarların teknik özelliklerini serinin ilk makalesinde bulabilirsiniz - Extreme anahtarlarının incelemesi

      Makaleyi burada bitirebilirim ancak her mühendisin ağını geliştirirken veya yükseltirken karşılaşacağı 2 ek hususu vurgulamak isterim:

      • kablo güzergahlarıyla çalışın - fiberler ve bakır hatlar
      • IP adresleme

      Liflerle çalışmak

      Yukarıda ulaşılması gereken hedef şemasını verdim. Bunu uygulamak için aşağıdaki sayıda ekipman bağlantısı gereklidir:

      iletişim bağlantısı sayısı

      Tablodan görülebileceği gibi ağ seviyelerinin (çekirdek modül, veri merkezleri ve 2 binadaki dağıtımlar) hata toleransını sağlamak için gereken minimum fiber sayısı 10 adettir.

      Ağ karakterizasyonu aşamasında binalar arasındaki kabloda sadece 8 adet fiber bulunduğunu öğrendik. Böyle bir durumda ne yapmalı?

      Birkaç çözüm sunacağım:

      • İlk belirgin adım, Bina 1 - Bina 1 ve Bina 1 - Bina 2 arasındaki kabloda serbest fiberlerin kullanılmasıdır (tablodan da görebileceğiniz gibi - her kablodaki 2 fiberden sadece 8'si kullanılmaktadır). Bunu yapmak için, durum 1'deki çapraz bağlantılar arasına optik çapraz bağlantılar kurmak ve gerekirse optik bütçe rezerviyle SFP modüllerini kullanmak yeterlidir.
      • ikinci adım, CWDM teknolojisinin kullanılmasıdır - taşıyıcı dalga boylarının tek bir fiber içinde çoğullanması. Bu teknoloji DWMD'den çok daha ucuzdur ve uygulanması oldukça basittir. Temel olarak gereksinimler, belirli bir uzunluk ve bütçeye sahip optik fiberlerin ve SFP/SFP+ alıcı-vericilerin kalitesine yöneliktir. Önceki bir makalede söylediğim gibi, anahtarların üçüncü taraf alıcı-vericileri tanıma yeteneği, hayatımızı büyük ölçüde kolaylaştırabilir ve ek optik kabloların yapımı için sermaye maliyetlerini azaltabilir.
      • Üçüncü adım, ilave optik kablolar döşeyerek fiber sayısını artırma olasılığını değerlendirmektir.

      Daha sonra, dağıtım anahtarlarının kurulu olduğu ve ilave anahtarların bulunduğu binalar arasındaki fiber sayısına bakacağız. binalar 2-10. Burada da her şey o kadar net değil:

      • ilk olarak, hedef planımızı uygulamak için yeterli fiber yok - anahtar başına 2 fiber (hatırladığımız gibi, kasa başına 4 OB'li kablolarımız var)
      • ikincisi, binalar arasında yeterli sayıda fiber olsa bile binaların içinde MMF fiberleri kullanılıyor, bu da SMF ve MMF fiberlerini basitçe bağlamamıza izin vermeyecek (binalar arası 300-400 metrenin üzerindeki mesafelerden bahsediyorum)

      Bu gibi durumlarda aşağıdaki seçenekler değerlendirilebilir:

      • her SMF anahtarının fiberlerle sağlanması:
        • Mesafe izin veriyorsa, anahtarların arasına ek uzun bağlantı kabloları uzatabilirsiniz. Bir zamanlar 30-50 m uzunluğunda patch cordlar kullanıyorduk.
        • dolaplar arasına nispeten ucuz, düşük kapasiteli bir optik SMF kablosu döşeyin
        • son çare olarak çeşitli SMF-MMF dönüştürücülerini kullanın
      • Binalar arasında kullanılan fiber miktarını en aza indirmek için şunları yapabilirsiniz:
        • x440-G2 erişim anahtarlarının istifleme işlevini kullanın - zemindeki her anahtar için 1 SMF fiber kullanırken, bu, 6 fiber ve bağlantı noktası yerine her iki tarafta 3 fiber ve bağlantı noktası kullanmanıza olanak tanır
        • daldaki ilk anahtarı ve sonuncuyu bağlamak için 2 fiber kullanın. Uç erişim anahtarlarındaki bağlantıları toplayın ve elde edilen halkada STP protokollerini kullanın.

      IP adresleme

      Burada devremiz için yaklaşık bir adresleme hesabı vereceğim.

      Şu anda birkaç B sınıfı ağımız var - 172.16.0.0/16. IP adresi alanını hesaplarken aşağıdaki hususlar bana rehberlik edecektir:

      • İkinci sekizlinin 4 biti binaları gösterecektir - 172.16.0.0/12.
      • Octet 3 binadaki kat numarasını gösterecektir.
      • Noktadan noktaya ekipman bağlantıları ve kontrol ağı için Octet 3 = 255 tahsis edilecektir.
      • Anahtarları yönetmek için kat başına bir yönetim VLAN'ı.
      • anahtar başına bir kullanıcı VLAN'ı (ortalama 24 bağlantı noktası).
      • anahtar başına bir Ses VLAN'ı (ortalama 24 bağlantı noktası).
      • Video gözetim sistemi için kat başına bir VLAN.
      • Wi-Fi cihazları için kat başına bir vlan.

      Sonunda böyle tablolarla karşılaştım:
      ağ 172.16.0.0/14
      ağ 172.20.0.0/14

      Yukarıdaki tabloda, bir tarafta ağların binalar ve katlar arasında, diğer tarafta ise ağların (kullanıcı, yönetim ve servis) yaklaşık dağılımını verdim.

      Aslında, 172.16.0.0/12 gri ağını seçmek en uygun olanı değildir, çünkü binalar için ağ sayısını (16'dan 31'e kadar) sınırlandırır ve ayrıca ağ bloklarını kesmesi gereken uzak ofisler de vardır. 10.0.0.0/8 ağlarını kullanma veya 172.16.0.0/12 ağlarını (örneğin hizmet ihtiyaçları ve sunucular için) ve 10.0.0.0/8'i (kullanıcı ağları için) paylaşma seçeneği olabilir.

      Genel olarak, IP ağlarını tahsis etme yaklaşımı da modülerdir ve uzak şubelerdeki sınır yönlendiricilerinin yanı sıra dağıtım düzeylerinde alt ağları tek bir özet ağda toplama kurallarına uyulması tavsiye edilir. Bu birkaç nedenden dolayı yapılır:

      • yönlendiricilerdeki yönlendirme tablolarını en aza indirmek için
      • yönlendirme protokollerinin servis trafiğini en aza indirmek için (iç içe alt ağlar kullanılamadığında her türlü güncelleme mesajı)
      • L3 ağlarının yönetimini ve daha iyi okunabilirliğini basitleştirmek için

      Her ne kadar ilk 2 noktaya gelince, modern yönlendiricilerin gücünün 15-20 yıl öncesine göre çok daha yüksek olduğunu ve RAM'lerinde büyük yönlendirme tabloları içermelerine ve fiyat ve iletişim kanalı kapasitesi oranına izin verdiklerini belirtmekte fayda var. E1/T1 akışlarının yaygın olarak kullanıldığı zamanlardaki fiyatlara kıyasla düşüş göstermiştir (G.703).

      Sonuç

      Arkadaşlar bu yazımda kampüs ağlarını tasarlamanın temel ilkelerinden olabildiğince kısaca bahsetmeye çalıştım. Evet, oldukça fazla materyal vardı ve bu, aşağıdaki gibi konulara değinmememe rağmen:

      • kurumsal sınırın organizasyonu (ve bu, anahtarları, sınırları, güvenlik duvarı, IPS/IDS sistemleri, DMZ, VPN ve diğer şeylerle farklı bir hikaye)
      • Wi-Fi ağlarının organizasyonu
      • VoIP ağlarının organizasyonu
      • veri merkezlerinin organizasyonu
      • güvenlik (ve bu aynı zamanda hacim ve gereksinimler açısından saf bir ağ altyapısının tasarımından daha düşük olmayan ve hatta bazen onu aşan kendi ayrı dünyasıdır)
      • güç mühendisliği
      • Liste uzayıp gidiyor

      Aslında bir kurumsal ağ tasarlamak ve oluşturmak, çok fazla zaman ve kaynak gerektiren oldukça zahmetli bir iştir.

      Ancak umarım makalem, başlangıç ​​​​seviyesinde bu göreve nasıl yaklaşacağınızı değerlendirmenize ve anlamanıza yardımcı olacaktır.

      Bu son makale değil Extreme Networks, bu yüzden bizi izlemeye devam edin ( Telegram, Facebook, VK, TS Çözüm Günlüğü)!

Kaynak: habr.com