ProHoster > Blog > Ma'muriyat > Tarmoq infratuzilmangizni qanday nazorat qilish kerak. Ikkinchi bob. Tozalash va hujjatlar

Tarmoq infratuzilmangizni qanday nazorat qilish kerak. Ikkinchi bob. Tozalash va hujjatlar

Ushbu maqola "Tarmoq infratuzilmangizni qanday nazorat qilish kerak" turkumidagi ikkinchi maqoladir. Seriyadagi barcha maqolalarning mazmuni va havolalarni topishingiz mumkin shu yerda.

Tarmoq infratuzilmangizni qanday nazorat qilish kerak. Ikkinchi bob. Tozalash va hujjatlar

Ushbu bosqichdagi maqsadimiz hujjatlar va konfiguratsiyani tartibga solishdir.
Ushbu jarayonning oxirida sizda kerakli hujjatlar to'plami va ularga muvofiq tuzilgan tarmoq bo'lishi kerak.

Endi biz xavfsizlik auditlari haqida gapirmaymiz - bu uchinchi qismning mavzusi bo'ladi.

Ushbu bosqichda berilgan vazifani bajarish qiyinligi, albatta, kompaniyadan kompaniyaga juda farq qiladi.

Ideal holat - bu qachon

  • sizning tarmog'ingiz loyihaga muvofiq yaratilgan va sizda to'liq hujjatlar to'plami mavjud
  • kompaniyangizda joriy qilingan o'zgarishlarni nazorat qilish va boshqarish jarayoni tarmoq uchun
  • ushbu jarayonga muvofiq sizda hozirgi holat haqida to'liq ma'lumot beruvchi hujjatlar (shu jumladan barcha kerakli diagrammalar) mavjud.

Bunday holda, sizning vazifangiz juda oddiy. Siz hujjatlarni o'rganishingiz va kiritilgan barcha o'zgarishlarni ko'rib chiqishingiz kerak.

Eng yomon stsenariyda sizda bo'ladi

  • etarli darajada malakaga ega bo'lmagan muhandislar tomonidan loyihasiz, rejasiz, tasdiqlanmasdan yaratilgan tarmoq;
  • xaotik, hujjatsiz o'zgarishlar bilan, juda ko'p "axlat" va suboptimal echimlar bilan

Sizning vaziyatingiz oraliq joyda ekanligi aniq, lekin afsuski, bu miqyosda yaxshiroq - yomonroq, siz eng yomon oxiriga yaqinroq bo'lishingiz ehtimoli yuqori.

Bunday holda, sizga fikrlarni o'qish qobiliyati ham kerak bo'ladi, chunki siz "dizaynerlar" nima qilishni xohlashlarini tushunishni, ularning mantiqini tiklashni, tugallanmagan narsalarni tugatishni va "axlatni" olib tashlashni o'rganishingiz kerak bo'ladi.
Va, albatta, siz ularning xatolarini tuzatishingiz, dizaynni o'zgartirishingiz (bu bosqichda iloji boricha minimal darajada) va sxemalarni o'zgartirishingiz yoki qayta yaratishingiz kerak bo'ladi.

Ushbu maqola hech qanday tarzda to'liq deb da'vo qilmaydi. Bu erda men faqat umumiy tamoyillarni tasvirlab beraman va hal qilinishi kerak bo'lgan ba'zi umumiy muammolarga e'tibor qarataman.

Hujjatlar to'plami

Keling, misol bilan boshlaylik.

Quyida dizayn paytida Cisco Systems da odatda yaratiladigan ba'zi hujjatlar keltirilgan.

CR – Xaridor talablari, mijoz talablari (texnik spetsifikatsiyalar).
U mijoz bilan birgalikda tuziladi va tarmoq talablarini belgilaydi.

HLD – Yuqori darajadagi dizayn, tarmoq talablariga (CR) asoslangan yuqori darajadagi dizayn. Hujjatda qabul qilingan arxitektura qarorlari (topologiya, protokollar, apparat tanlash,...) tushuntiriladi va asoslanadi. HLDda ishlatiladigan interfeyslar va IP manzillar kabi dizayn tafsilotlari mavjud emas. Bundan tashqari, maxsus apparat konfiguratsiyasi bu erda muhokama qilinmaydi. Aksincha, ushbu hujjat mijozning texnik boshqaruviga asosiy dizayn tushunchalarini tushuntirish uchun mo'ljallangan.

LLD – Past darajadagi dizayn, yuqori darajadagi dizaynga (HLD) asoslangan past darajadagi dizayn.
U loyihani amalga oshirish uchun zarur bo'lgan barcha tafsilotlarni, masalan, uskunani ulash va sozlash haqida ma'lumotni o'z ichiga olishi kerak. Bu dizaynni amalga oshirish uchun to'liq qo'llanma. Ushbu hujjat hatto past malakali xodimlar tomonidan amalga oshirilishi uchun etarli ma'lumotni taqdim etishi kerak.

Biror narsa, masalan, IP-manzillar, AS raqamlari, jismoniy kommutatsiya sxemasi (kabel) alohida hujjatlarda "tashqariga qo'yilishi" mumkin, masalan. Soliq identifikatori (Tarmoqni amalga oshirish rejasi).

Tarmoqning qurilishi ushbu hujjatlar yaratilgandan so'ng boshlanadi va ularga qat'iy muvofiq ravishda sodir bo'ladi va keyinchalik buyurtmachi tomonidan loyihaga muvofiqligi tekshiriladi (sinovlar).

Albatta, turli integratorlar, turli mijozlar va turli mamlakatlar loyiha hujjatlari uchun turli talablarga ega bo'lishi mumkin. Lekin men rasmiyatchilikdan qochib, masalani o'z mohiyatiga ko'ra ko'rib chiqmoqchiman. Bu bosqich dizayn haqida emas, balki narsalarni tartibga solish bilan bog'liq bo'lib, vazifalarimizni bajarish uchun bizga etarli hujjatlar to'plami (diagrammalar, jadvallar, tavsiflar ...) kerak.

Va mening fikrimcha, ma'lum bir mutlaq minimum mavjud, ularsiz tarmoqni samarali boshqarish mumkin emas.

Bular quyidagi hujjatlar:

  • jismoniy kommutatsiya (kabel) diagrammasi (log)
  • tarmoq diagrammasi yoki asosiy L2/L3 ma'lumotlariga ega diagrammalar

Jismoniy kommutatsiya diagrammasi

Ba'zi kichik kompaniyalarda uskunalarni o'rnatish va jismoniy kommutatsiya (kabel) bilan bog'liq ishlar tarmoq muhandislari zimmasiga yuklanadi.

Bunday holda, muammo qisman quyidagi yondashuv bilan hal qilinadi.

  • unga nima ulanganligini tasvirlash uchun interfeysdagi tavsifdan foydalaning
  • barcha ulanmagan tarmoq uskunalari portlarini ma'muriy ravishda o'chirib qo'ying

Bu sizga havola bilan bog'liq muammo yuzaga kelgan taqdirda ham (cdp yoki lldp ushbu interfeysda ishlamasa) ushbu portga nima ulanganligini tezda aniqlash imkoniyatini beradi.
Shuningdek, yangi tarmoq uskunalari, serverlar yoki ish stantsiyalarining ulanishlarini rejalashtirish uchun zarur bo'lgan qaysi portlar band va qaysi biri bepul ekanligini osongina ko'rishingiz mumkin.

Ammo aniqki, agar siz uskunaga kirish imkoniyatidan mahrum bo'lsangiz, siz ushbu ma'lumotlardan ham mahrum bo'lasiz. Bundan tashqari, shu tarzda siz qanday uskuna, qanday quvvat iste'moli, nechta port, qaysi rackda, qanday patch panellar va qayerda (qaysi raf/patch panelda) kabi muhim ma'lumotlarni yozib bo'lmaydi. ) ular bog'langan. Shuning uchun, qo'shimcha hujjatlar (nafaqat uskunaning tavsiflari) hali ham juda foydali.

Ideal variant - bu turdagi ma'lumotlar bilan ishlash uchun mo'ljallangan ilovalardan foydalanish. Lekin siz o'zingizni oddiy jadvallar bilan cheklashingiz mumkin (masalan, Excelda) yoki kerakli deb hisoblagan ma'lumotlarni L1/L2 diagrammalarida ko'rsatishingiz mumkin.

Muhim!

Tarmoq muhandisi, shubhasiz, SCS ning nozik tomonlari va standartlarini, tokchalar turlarini, uzluksiz quvvat manbalarining turlarini, sovuq va issiq yo'lak nima ekanligini, qanday qilib to'g'ri erga ulashni yaxshi bilishi mumkin ... elementar zarralar fizikasini yoki C++ tilini bilish. Ammo bularning barchasi uning bilim sohasi emasligini hali ham tushunish kerak.

Shu sababli, uskunani o'rnatish, ulash, texnik xizmat ko'rsatish, shuningdek, jismoniy kommutatsiya bilan bog'liq muammolarni hal qilish uchun maxsus bo'limlar yoki maxsus odamlarga ega bo'lish yaxshi amaliyotdir. Odatda ma'lumotlar markazlari uchun bu ma'lumotlar markazi muhandislari, ofis uchun esa yordam stoli.

Agar sizning kompaniyangizda bunday bo'linmalar mavjud bo'lsa, unda jismoniy kommutatsiyani ro'yxatga olish masalalari sizning vazifangiz emas va siz o'zingizni faqat interfeysdagi tavsif va foydalanilmagan portlarni ma'muriy o'chirish bilan cheklashingiz mumkin.

Tarmoq diagrammalari

Diagrammalarni chizishda universal yondashuv yo'q.

Eng muhimi, diagrammalar sizning tarmog'ingizning qaysi mantiqiy va jismoniy elementlari orqali trafikning qanday o'tishi haqida tushuncha berishi kerak.

Jismoniy elementlar deganda biz tushunamiz

  • faol uskunalar
  • faol uskunaning interfeyslari/portlari

Mantiqiy ostida -

  • mantiqiy qurilmalar (N7K VDC, Palo Alto VSYS, ...)
  • VRF
  • Vilanlar
  • pastki interfeyslar
  • tunnellar
  • zonalari
  • ...

Bundan tashqari, agar sizning tarmog'ingiz butunlay elementar bo'lmasa, u turli segmentlardan iborat bo'ladi.
Misol uchun

  • ma'lumotlar markazi
  • internet
  • WAN
  • masofadan kirish
  • ofis LAN
  • DMZ
  • ...

Katta rasmni (barcha bu segmentlar o'rtasida trafik qanday o'tishini) va har bir alohida segmentni batafsil tushuntirishni beradigan bir nechta diagrammalarga ega bo'lish oqilona.

Zamonaviy tarmoqlarda mantiqiy qatlamlar ko'p bo'lishi mumkinligi sababli, turli qatlamlar uchun turli xil sxemalar yaratish yaxshi (lekin shart emas) yondashuv bo'lishi mumkin, masalan, qoplamali yondashuvda bu quyidagi sxemalar bo'lishi mumkin:

  • qoplama
  • L1/L2 taglik
  • L3 taglik

Albatta, sizning dizayningiz g'oyasini tushunib bo'lmaydigan eng muhim diagramma - bu marshrutlash diagrammasi.

Marshrut sxemasi

Hech bo'lmaganda, bu diagramma aks ettirilishi kerak

  • qanday marshrutlash protokollari ishlatiladi va qayerda
  • marshrutlash protokoli sozlamalari haqida asosiy ma'lumotlar (hudud/AS raqami/router-id/…)
  • Qayta taqsimlash qaysi qurilmalarda sodir bo'ladi?
  • filtrlash va marshrutni yig'ish sodir bo'lgan joyda
  • standart marshrut ma'lumotlari

Bundan tashqari, L2 sxemasi (OSI) ko'pincha foydalidir.

L2 sxemasi (OSI)

Ushbu diagramma quyidagi ma'lumotlarni ko'rsatishi mumkin:

  • qanday VLANlar
  • qaysi portlar magistral portlardir
  • qaysi portlar efir-kanalga (port kanali), virtual port kanaliga birlashtirilgan
  • qanday STP protokollari ishlatiladi va qaysi qurilmalarda
  • asosiy STP sozlamalari: ildiz / ildiz zaxirasi, STP narxi, port ustuvorligi
  • qo'shimcha STP sozlamalari: BPDU himoyasi/filtri, ildiz himoyasi…

Oddiy dizayn xatolari

Tarmoqni qurishda yomon yondashuvga misol.

Oddiy ofis LAN qurishning oddiy misolini olaylik.

Talabalarga telekomni o'rgatish tajribasiga ega bo'lgan holda shuni aytishim mumkinki, ikkinchi semestr o'rtalarida deyarli har qanday talaba oddiy ofis LANni o'rnatish uchun zarur bilimga (men o'rgatgan kursning bir qismi sifatida) ega.

Kalitlarni bir-biriga ulash, VLAN, SVI interfeyslarini (L3 kalitlari bo'lsa) sozlash va statik marshrutlashni o'rnatishda nima qiyin?

Hammasi ishlaydi.

Lekin ayni paytda, bilan bog'liq savollar

  • xavfsizlik
  • bron qilish
  • tarmoqni masshtablash
  • hosildorlik
  • o'tkazish qobiliyati
  • ishonchlilik
  • ...

Vaqti-vaqti bilan men ofis LAN juda oddiy narsa degan gapni eshitaman va men buni odatda tarmoqlardan tashqari hamma narsani bajaradigan muhandislardan (va menejerlardan) eshitaman va ular buni shu qadar ishonch bilan aytishadiki, agar LAN bo'lsa, hayron bo'lmang. amaliyoti va bilimi etarli bo'lmagan odamlar tomonidan qilingan va men quyida tasvirlab beradigan taxminan bir xil xatolar bilan amalga oshiriladi.

Umumiy L1 (OSI) dizayn xatolari

  • Agar, shunga qaramay, siz SCS uchun javobgar bo'lsangiz, unda siz olishingiz mumkin bo'lgan eng yoqimsiz meroslardan biri bu beparvo va o'ylanmagan almashtirishdir.

Men, shuningdek, ishlatiladigan uskunaning resurslari bilan bog'liq bo'lgan L1 tipidagi xatolarni tasniflagan bo'lardim, masalan,

  • o'tkazish qobiliyatining etarli emasligi
  • uskunada TCAMning etarli emasligi (yoki undan samarasiz foydalanish)
  • kam ishlash (ko'pincha xavfsizlik devorlari bilan bog'liq)

Umumiy L2 (OSI) dizayn xatolari

Ko'pincha, STP qanday ishlashi va u bilan qanday yuzaga kelishi mumkin bo'lgan muammolar haqida yaxshi tushuncha bo'lmasa, kalitlar qo'shimcha STP sozlamalarisiz standart sozlamalar bilan xaotik tarzda ulanadi.

Natijada, bizda ko'pincha quyidagilar mavjud

  • katta STP tarmog'ining diametri, bu esa eshittirish bo'ronlariga olib kelishi mumkin
  • STP ildizi tasodifiy (mac manzili asosida) aniqlanadi va trafik yo'li suboptimal bo'ladi
  • hostlarga ulangan portlar chekka (portfast) sifatida sozlanmaydi, bu oxirgi stantsiyalarni yoqish/o'chirishda STPni qayta hisoblashga olib keladi
  • tarmoq L1/L2 darajasida segmentlarga bo'linmaydi, buning natijasida har qanday kalit bilan bog'liq muammolar (masalan, quvvatni haddan tashqari yuklash) STP topologiyasini qayta hisoblashga va barcha kalitlarda (shu jumladan) barcha VLAN-larda trafikni to'xtatishga olib keladi. uzluksiz xizmat segmenti nuqtai nazaridan muhim)

L3 (OSI) dizaynidagi xatolarga misollar

Ajam tarmoqchilarning bir nechta odatiy xatolari:

  • Statik marshrutlashni tez-tez ishlatish (yoki faqat foydalanish).
  • berilgan dizayn uchun suboptimal marshrutlash protokollaridan foydalanish
  • suboptimal mantiqiy tarmoq segmentatsiyasi
  • manzil maydonidan suboptimal foydalanish, bu marshrutni birlashtirishga imkon bermaydi
  • zaxira marshrutlari yo'q
  • standart shlyuz uchun rezervatsiya yo'q
  • marshrutlarni qayta qurishda assimetrik marshrutlash (NAT/PAT, xavfsizlik devori holatida muhim bo'lishi mumkin)
  • MTU bilan bog'liq muammolar
  • marshrutlar qayta tiklanganda, trafik boshqa xavfsizlik zonalari yoki hatto boshqa xavfsizlik devorlari orqali o'tadi, bu esa ushbu trafikning to'xtatilishiga olib keladi.
  • topologiyaning yomon miqyosi

Dizayn sifatini baholash mezonlari

Biz optimallik/optimallik haqida gapirganda, biz buni qanday mezonlar nuqtai nazaridan baholashimiz mumkinligini tushunishimiz kerak. Bu erda, mening fikrimcha, eng muhim (ammo hammasi emas) mezonlar (va marshrutlash protokollari bilan bog'liq tushuntirish):

  • masshtablilik
    Masalan, siz boshqa ma'lumotlar markazini qo'shishga qaror qildingiz. Buni qanchalik oson qila olasiz?
  • foydalanish qulayligi (boshqarilishi)
    Yangi tarmoqni e'lon qilish yoki marshrutlarni filtrlash kabi operatsion o'zgarishlar qanchalik oson va xavfsiz?
  • mavjudligi
    Tizimingiz xizmat ko'rsatishning qancha foizini ta'minlaydi?
  • xavfsizlik
    O'tkazilgan ma'lumotlar qanchalik xavfsiz?
  • narxlari

O'zgarishlar

Ushbu bosqichdagi asosiy printsipni "zarar qilmang" formulasi bilan ifodalash mumkin.
Shuning uchun, dizayn va tanlangan amalga oshirish (konfiguratsiya) bilan to'liq rozi bo'lmasangiz ham, har doim ham o'zgartirishlar kiritish tavsiya etilmaydi. Oqilona yondashuv barcha aniqlangan muammolarni ikkita parametr bo'yicha tartiblashdir:

  • bu muammoni qanchalik oson hal qilish mumkin
  • u qanchalik xavf tug'diradi?

Avvalo, hozirgi vaqtda taqdim etilayotgan xizmat darajasini maqbul darajadan pastga tushiradigan narsalarni, masalan, paketlarni yo'qotishga olib keladigan muammolarni bartaraf etish kerak. Keyin xavf darajasini pasaytirish tartibida tuzatish uchun eng oson va xavfsiz narsani tuzating (yuqori xavfli dizayn yoki konfiguratsiya muammolaridan tortib, past xavflilariga qadar).

Ushbu bosqichda mukammallik zararli bo'lishi mumkin. Dizaynni qoniqarli holatga keltiring va tarmoq konfiguratsiyasini mos ravishda sinxronlang.

Manba: www.habr.com

a Izoh qo'shish