Prohoster > Blog > quản lý > Cách kiểm soát cơ sở hạ tầng mạng của bạn. Chương hai. Vệ sinh và Tài liệu

Cách kiểm soát cơ sở hạ tầng mạng của bạn. Chương hai. Vệ sinh và Tài liệu

Bài viết này là bài thứ hai trong loạt bài “Cách kiểm soát cơ sở hạ tầng mạng của bạn”. Nội dung của tất cả các bài viết trong chuỗi và các liên kết có thể được tìm thấy đây.

Cách kiểm soát cơ sở hạ tầng mạng của bạn. Chương hai. Vệ sinh và Tài liệu

Mục tiêu của chúng tôi ở giai đoạn này là sắp xếp trật tự tài liệu và cấu hình.
Khi kết thúc quá trình này, bạn phải có bộ tài liệu cần thiết và cấu hình mạng phù hợp với chúng.

Bây giờ chúng ta sẽ không nói về kiểm tra bảo mật - đây sẽ là chủ đề của phần thứ ba.

Tất nhiên, độ khó để hoàn thành nhiệm vụ được giao ở giai đoạn này rất khác nhau giữa các công ty.

Tình huống lý tưởng là khi

  • mạng của bạn được tạo theo dự án và bạn có bộ tài liệu đầy đủ
  • đã được thực hiện trong công ty của bạn Quy trình quản lý và kiểm soát sự thay đổi cho mạng
  • Theo quy trình này, bạn có tài liệu (bao gồm tất cả các sơ đồ cần thiết) cung cấp thông tin đầy đủ về tình trạng hiện tại

Trong trường hợp này, nhiệm vụ của bạn khá đơn giản. Bạn nên nghiên cứu tài liệu và xem lại tất cả những thay đổi đã được thực hiện.

Trong trường hợp xấu nhất, bạn sẽ có

  • một mạng lưới được tạo ra mà không có dự án, không có kế hoạch, không có sự phê duyệt, bởi các kỹ sư không có đủ trình độ chuyên môn,
  • với những thay đổi hỗn loạn, không có giấy tờ, với rất nhiều giải pháp “rác rưởi” và dưới mức tối ưu

Rõ ràng là tình huống của bạn đang ở đâu đó ở giữa, nhưng thật không may, ở mức độ tốt hơn - tệ hơn này, khả năng cao là bạn sẽ tiến gần đến kết cục tồi tệ nhất.

Trong trường hợp này, bạn cũng sẽ cần khả năng đọc suy nghĩ, bởi vì bạn sẽ phải học cách hiểu những gì “nhà thiết kế” muốn làm, khôi phục logic của họ, hoàn thành những gì chưa hoàn thành và loại bỏ “rác”.
Và tất nhiên, bạn sẽ cần phải sửa lỗi của họ, thay đổi (ở giai đoạn này ở mức tối thiểu nhất có thể) thiết kế và thay đổi hoặc tạo lại các sơ đồ.

Bài viết này không có cách nào tuyên bố là đầy đủ. Ở đây tôi sẽ chỉ mô tả những nguyên tắc chung và tập trung vào một số vấn đề chung cần giải quyết.

Bộ tài liệu

Hãy bắt đầu với một ví dụ.

Dưới đây là một số tài liệu thường được tạo tại Cisco Systems trong quá trình thiết kế.

CR – Yêu cầu của khách hàng, yêu cầu của khách hàng (thông số kỹ thuật).
Nó được tạo ra cùng với khách hàng và xác định các yêu cầu mạng.

HLD – High Level Design, thiết kế cấp cao dựa trên yêu cầu mạng (CR). Tài liệu giải thích và chứng minh các quyết định kiến ​​trúc được thực hiện (cấu trúc liên kết, giao thức, lựa chọn phần cứng,...). HLD không chứa các chi tiết thiết kế, chẳng hạn như giao diện và địa chỉ IP được sử dụng. Ngoài ra, cấu hình phần cứng cụ thể không được thảo luận ở đây. Đúng hơn, tài liệu này nhằm mục đích giải thích các khái niệm thiết kế chính cho bộ phận quản lý kỹ thuật của khách hàng.

LLD – Thiết kế cấp thấp, thiết kế cấp thấp dựa trên thiết kế cấp cao (HLD).
Nó phải chứa tất cả các chi tiết cần thiết để thực hiện dự án, chẳng hạn như thông tin về cách kết nối và cấu hình thiết bị. Đây là hướng dẫn đầy đủ để thực hiện thiết kế. Tài liệu này phải cung cấp đầy đủ thông tin để thực hiện ngay cả đối với những người có trình độ kém hơn.

Một cái gì đó, ví dụ: địa chỉ IP, số AS, sơ đồ chuyển mạch vật lý (cáp), có thể được “đưa ra” trong các tài liệu riêng biệt, chẳng hạn như NIP (Kế hoạch triển khai mạng).

Việc xây dựng mạng bắt đầu sau khi tạo các tài liệu này và diễn ra theo đúng các tài liệu đó, sau đó được khách hàng kiểm tra (kiểm tra) xem có tuân thủ thiết kế hay không.

Tất nhiên, các nhà tích hợp khác nhau, khách hàng khác nhau và các quốc gia khác nhau có thể có những yêu cầu khác nhau đối với tài liệu dự án. Nhưng tôi muốn tránh những thủ tục và xem xét vấn đề theo giá trị của nó. Giai đoạn này không phải là thiết kế mà là sắp xếp mọi thứ theo thứ tự và chúng ta cần có đủ bộ tài liệu (sơ đồ, bảng biểu, mô tả...) để hoàn thành nhiệm vụ của mình.

Và theo tôi, có một mức tối thiểu tuyệt đối nhất định, nếu không có mức đó thì không thể kiểm soát mạng một cách hiệu quả.

Đây là những tài liệu sau:

  • sơ đồ (log) chuyển mạch vật lý (cáp)
  • sơ đồ mạng hoặc sơ đồ có thông tin L2/L3 cần thiết

Sơ đồ chuyển mạch vật lý

Ở một số công ty nhỏ, công việc liên quan đến lắp đặt thiết bị và chuyển mạch vật lý (cáp) là trách nhiệm của các kỹ sư mạng.

Trong trường hợp này, vấn đề được giải quyết một phần bằng cách tiếp cận sau.

  • sử dụng mô tả trên giao diện để mô tả những gì được kết nối với nó
  • tắt quản trị tất cả các cổng thiết bị mạng không được kết nối

Điều này sẽ giúp bạn có cơ hội, ngay cả trong trường hợp xảy ra sự cố với liên kết (khi cdp hoặc lldp không hoạt động trên giao diện này), để nhanh chóng xác định những gì được kết nối với cổng này.
Bạn cũng có thể dễ dàng xem cổng nào đang được sử dụng và cổng nào còn trống, điều này cần thiết cho việc lập kế hoạch kết nối các thiết bị mạng, máy chủ hoặc máy trạm mới.

Nhưng rõ ràng là nếu bạn mất quyền truy cập vào thiết bị thì bạn cũng sẽ mất quyền truy cập vào thông tin này. Ngoài ra, bằng cách này, bạn sẽ không thể ghi lại những thông tin quan trọng như loại thiết bị nào, mức tiêu thụ điện năng, bao nhiêu cổng, nó nằm trong rack nào, có những bảng vá lỗi nào và ở đâu (ở rack/patch panel nào? ) chúng được kết nối . Vì vậy, tài liệu bổ sung (không chỉ mô tả về thiết bị) vẫn rất hữu ích.

Tùy chọn lý tưởng là sử dụng các ứng dụng được thiết kế để hoạt động với loại thông tin này. Nhưng bạn có thể giới hạn bản thân ở các bảng đơn giản (ví dụ: trong Excel) hoặc hiển thị thông tin mà bạn cho là cần thiết trong sơ đồ L1/L2.

Quan trọng!

Tất nhiên, một kỹ sư mạng có thể biết khá rõ về sự phức tạp và tiêu chuẩn của SCS, các loại giá đỡ, các loại nguồn điện liên tục, lối đi nóng và lạnh là gì, cách nối đất đúng cách... về nguyên tắc thì anh ta có thể biết vật lý của các hạt cơ bản hoặc C++. Nhưng người ta vẫn phải hiểu rằng tất cả những điều này không phải là lĩnh vực kiến ​​​​thức của anh ấy.

Do đó, tốt nhất là nên có các bộ phận chuyên trách hoặc những người chuyên trách để giải quyết các vấn đề liên quan đến lắp đặt, kết nối, bảo trì thiết bị cũng như chuyển mạch vật lý. Thông thường đối với các trung tâm dữ liệu thì đây là kỹ sư của trung tâm dữ liệu và đối với văn phòng thì đó là bộ phận trợ giúp.

Nếu công ty của bạn cung cấp các bộ phận như vậy, thì vấn đề ghi nhật ký chuyển đổi vật lý không phải là nhiệm vụ của bạn và bạn chỉ có thể giới hạn bản thân trong việc mô tả về giao diện và tắt quản trị các cổng không sử dụng.

Sơ đồ mạng

Không có cách tiếp cận chung để vẽ sơ đồ.

Điều quan trọng nhất là các sơ đồ phải cung cấp sự hiểu biết về cách lưu lượng truy cập sẽ di chuyển, qua đó các phần tử logic và vật lý của mạng của bạn.

Chúng tôi muốn nói đến các yếu tố vật lý

  • thiết bị hoạt động
  • giao diện/cổng của thiết bị hoạt động

Theo logic -

  • thiết bị logic (N7K VDC, Palo Alto VSYS, ...)
  • VRF
  • Vilan
  • giao diện phụ
  • đường hầm
  • khu vực
  • ...

Ngoài ra, nếu mạng của bạn không hoàn toàn cơ bản, nó sẽ bao gồm các phân đoạn khác nhau.
Ví dụ

  • trung tâm dữ liệu
  • Internet
  • WAN
  • Truy cập từ xa
  • mạng LAN văn phòng
  • DMZ
  • ...

Sẽ là khôn ngoan nếu có một số sơ đồ cung cấp cả bức tranh tổng thể (cách lưu lượng truy cập giữa tất cả các phân đoạn này) và giải thích chi tiết về từng phân đoạn riêng lẻ.

Vì trong các mạng hiện đại có thể có nhiều lớp logic, nên có lẽ đây là một cách tiếp cận tốt (nhưng không cần thiết) để tạo các mạch khác nhau cho các lớp khác nhau, ví dụ, trong trường hợp cách tiếp cận lớp phủ, đây có thể là các mạch sau:

  • phủ
  • Lớp lót L1/L2
  • Lớp lót L3

Tất nhiên, sơ đồ quan trọng nhất mà không có nó thì bạn không thể hiểu được ý tưởng thiết kế của mình, đó là sơ đồ định tuyến.

Sơ đồ định tuyến

Ở mức tối thiểu, sơ đồ này sẽ phản ánh

  • giao thức định tuyến nào được sử dụng và ở đâu
  • thông tin cơ bản về cài đặt giao thức định tuyến (vùng/số AS/id bộ định tuyến/…)
  • phân phối lại xảy ra trên thiết bị nào?
  • nơi diễn ra quá trình lọc và tổng hợp tuyến đường
  • thông tin tuyến đường mặc định

Ngoài ra, sơ đồ L2 (OSI) thường hữu ích.

Sơ đồ L2 (OSI)

Sơ đồ này có thể hiển thị các thông tin sau:

  • Vlan nào
  • cổng nào là cổng trung kế
  • cổng nào được tổng hợp thành kênh ether (kênh cổng), kênh cổng ảo
  • giao thức STP nào được sử dụng và trên thiết bị nào
  • cài đặt STP cơ bản: sao lưu root/root, chi phí STP, mức độ ưu tiên cổng
  • cài đặt STP bổ sung: bảo vệ/bộ lọc BPDU, bảo vệ gốc…

Những lỗi thiết kế điển hình

Một ví dụ về cách tiếp cận tồi trong việc xây dựng mạng lưới.

Hãy lấy một ví dụ đơn giản về việc xây dựng một mạng LAN văn phòng đơn giản.

Với kinh nghiệm giảng dạy viễn thông cho sinh viên, tôi có thể nói rằng hầu như bất kỳ sinh viên nào đến giữa học kỳ thứ hai đều có kiến ​​thức cần thiết (như một phần của khóa học mà tôi đã dạy) để thiết lập một mạng LAN văn phòng đơn giản.

Có gì khó khăn khi kết nối các switch với nhau, thiết lập VLAN, giao diện SVI (trong trường hợp switch L3) và thiết lập định tuyến tĩnh?

Mọi thứ sẽ hoạt động.

Nhưng đồng thời, những câu hỏi liên quan đến

  • Bảo vệ
  • sự đặt chỗ
  • mở rộng quy mô mạng
  • năng suất
  • thông lượng
  • độ tin cậy
  • ...

Thỉnh thoảng tôi nghe thấy câu nói rằng mạng LAN văn phòng là một thứ gì đó rất đơn giản và tôi thường nghe điều này từ các kỹ sư (và người quản lý), những người làm mọi thứ trừ mạng, và họ nói điều này một cách tự tin đến mức đừng ngạc nhiên nếu mạng LAN sẽ hoạt động. được thực hiện bởi những người không có đủ kinh nghiệm và kiến ​​thức và sẽ mắc phải những lỗi gần giống như tôi sẽ mô tả bên dưới.

Những lỗi thiết kế L1 (OSI) thường gặp

  • Tuy nhiên, nếu bạn cũng chịu trách nhiệm về SCS, thì một trong những di sản khó chịu nhất mà bạn có thể nhận được là việc chuyển đổi bất cẩn và thiếu suy nghĩ.

Tôi cũng sẽ phân loại lỗi là loại L1 liên quan đến tài nguyên của thiết bị được sử dụng, ví dụ:

  • không đủ băng thông
  • TCAM trên thiết bị không đủ (hoặc sử dụng nó không hiệu quả)
  • hiệu suất không đủ (thường liên quan đến tường lửa)

Những lỗi thiết kế L2 (OSI) thường gặp

Thông thường, khi không hiểu rõ về cách hoạt động của STP và những vấn đề tiềm ẩn mà nó mang lại, các bộ chuyển mạch sẽ được kết nối một cách hỗn loạn, với cài đặt mặc định mà không cần điều chỉnh STP bổ sung.

Kết quả là chúng ta thường có những điều sau đây

  • đường kính mạng STP lớn, có thể dẫn đến bão phát sóng
  • Root STP sẽ được xác định ngẫu nhiên (dựa trên địa chỉ mac) và đường dẫn lưu lượng sẽ ở mức tối ưu
  • các cổng kết nối với máy chủ sẽ không được cấu hình là biên (portfast), điều này sẽ dẫn đến việc tính toán lại STP khi bật/tắt các trạm cuối
  • mạng sẽ không được phân đoạn ở cấp độ L1/L2, do đó các vấn đề với bất kỳ bộ chuyển mạch nào (ví dụ: quá tải điện) sẽ dẫn đến việc tính toán lại cấu trúc liên kết STP và dừng lưu lượng trong tất cả các Vlan trên tất cả các bộ chuyển mạch (bao gồm cả mạng một điểm quan trọng theo quan điểm của phân khúc dịch vụ liên tục)

Ví dụ về lỗi trong thiết kế L3 (OSI)

Một vài sai lầm điển hình của người mới làm quen với mạng:

  • Sử dụng thường xuyên (hoặc chỉ sử dụng) định tuyến tĩnh
  • sử dụng các giao thức định tuyến dưới mức tối ưu cho một thiết kế nhất định
  • phân đoạn mạng logic dưới mức tối ưu
  • việc sử dụng không gian địa chỉ dưới mức tối ưu, không cho phép tổng hợp tuyến đường
  • không có tuyến đường dự phòng
  • không đặt trước cho cổng mặc định
  • định tuyến không đối xứng khi xây dựng lại các tuyến đường (có thể rất quan trọng trong trường hợp NAT/PAT, tường lửa trạng thái đầy đủ)
  • vấn đề với MTU
  • khi các tuyến đường được xây dựng lại, lưu lượng truy cập sẽ đi qua các vùng bảo mật khác hoặc thậm chí các tường lửa khác, dẫn đến lưu lượng truy cập này bị giảm
  • khả năng mở rộng cấu trúc liên kết kém

Tiêu chí đánh giá chất lượng thiết kế

Khi nói về tính tối ưu/không tối ưu, chúng ta phải hiểu từ quan điểm chúng ta có thể đánh giá điều này theo tiêu chí nào. Theo quan điểm của tôi, đây là những tiêu chí quan trọng nhất (nhưng không phải tất cả) (và lời giải thích liên quan đến các giao thức định tuyến):

  • khả năng mở rộng
    Ví dụ: bạn quyết định thêm một trung tâm dữ liệu khác. Bạn có thể làm điều đó dễ dàng đến mức nào?
  • dễ sử dụng (khả năng quản lý)
    Các thay đổi vận hành như thông báo lưới điện mới hoặc lọc tuyến đường dễ dàng và an toàn đến mức nào?
  • khả dụng
    Hệ thống của bạn cung cấp mức dịch vụ được yêu cầu bao nhiêu phần trăm thời gian?
  • bảo vệ
    Dữ liệu được truyền an toàn đến mức nào?
  • giá

Thay đổi

Nguyên tắc cơ bản ở giai đoạn này có thể được thể hiện bằng công thức “không gây hại”.
Do đó, ngay cả khi bạn không hoàn toàn đồng ý với thiết kế và cách triển khai (cấu hình) đã chọn, không phải lúc nào bạn cũng nên thực hiện thay đổi. Một cách tiếp cận hợp lý là xếp hạng tất cả các vấn đề được xác định theo hai tham số:

  • vấn đề này có thể được khắc phục dễ dàng như thế nào
  • cô ấy phải chịu bao nhiêu rủi ro?

Trước hết, cần loại bỏ những gì hiện đang làm giảm mức độ dịch vụ được cung cấp dưới mức chấp nhận được, chẳng hạn như các vấn đề dẫn đến mất gói. Sau đó, khắc phục những gì dễ dàng và an toàn nhất để khắc phục theo thứ tự mức độ nghiêm trọng của rủi ro giảm dần (từ các vấn đề về thiết kế hoặc cấu hình có rủi ro cao đến các vấn đề có rủi ro thấp).

Chủ nghĩa cầu toàn ở giai đoạn này có thể có hại. Đưa thiết kế về trạng thái ưng ý và đồng bộ hóa cấu hình mạng cho phù hợp.

Nguồn: www.habr.com

Thêm một lời nhận xét