本文是「如何控製網路基礎設施」系列文章的第二篇。 此系列所有文章內容及連結均可找到 .
我們現階段的目標是使文件和配置變得有秩序。
在此過程結束時,您應該擁有一組必要的文件以及根據它們配置的網路。
現在我們不會談論安全審計——這將是第三部分的主題。
當然,完成這個階段分配的任務的難度,各家公司差異很大。
理想的情況是當
- 您的網路是根據專案創建的,並且您擁有一套完整的文檔
- 已在貴公司實施 對於網路
- 根據此流程,您擁有提供有關當前事態的完整資訊的文件(包括所有必要的圖表)
在這種情況下,您的任務非常簡單。 您應該研究這些文件並查看已進行的所有變更。
在最壞的情況下,你將有
- 由不具備足夠資質的工程師在沒有專案、計劃、批准的情況下創建的網絡,
- 存在混亂、未記錄的更改,存在大量“垃圾”和次優解決方案
很明顯,您的情況介於兩者之間,但不幸的是,在這種更好 - 更差的範圍內,您很可能會更接近最壞的結局。
在這種情況下,你還需要讀心術的能力,因為你要學會理解「設計師」想要做什麼,恢復他們的邏輯,完成沒有完成的事情,清除「垃圾」。
當然,您需要糾正他們的錯誤,更改(在這個階段盡可能少地)設計並更改或重新建立方案。
本文絕不聲稱是完整的。 這裡我只描述一般原理,重點在於一些需要解決的常見問題。
文件集
讓我們從一個例子開始。
以下是思科系統公司在設計過程中通常會建立的一些文件。
CR – 客戶要求,客戶要求(技術規格)。
它是與客戶共同創建並確定網路要求。HLD – High Level Design,基於網路需求(CR)的高層設計。 該文檔解釋並證明了所採取的架構決策(拓撲、協定、硬體選擇…)。 HLD 不包含設計細節,例如所使用的介面和 IP 位址。 另外,具體的硬體配置這裡就不討論了。 相反,本文檔旨在向客戶的技術管理人員解釋關鍵設計概念。
LLD – Low Level Design,基於高層設計(HLD)的低層設計。
它應包含實施項目所需的所有詳細信息,例如有關如何連接和配置設備的資訊。 這是實現設計的完整指南。 本文件應為其實施提供足夠的信息,即使是由不太合格的人員實施。例如,IP 位址、AS 編號、實體交換方案(佈線)等內容可以「放在」單獨的文件中,例如 PIN (網路實施計劃)。
創建這些文件後就開始網路的構建,並嚴格按照這些文件進行,然後由客戶檢查(測試)是否符合設計。
當然,不同的整合商、不同的客戶、不同的國家可能對專案文件有不同的要求。 但我想避免拘泥於形式,而是根據問題本身來考慮。 這個階段不是設計,而是把事情整理好,我們需要一組足夠的文件(圖表、表格、描述......)來完成我們的任務。
在我看來,存在著一定的絕對最小值,沒有它就不可能有效地控制網路。
這些是以下文件:
- 物理交換(佈線)圖(日誌)
- 網路圖或包含基本 L2/L3 資訊的圖表
物理切換圖
在一些小公司中,與設備安裝和實體交換(佈線)相關的工作是網路工程師的職責。
在這種情況下,透過以下方法可以部分解決該問題。
- 使用介面上的描述來描述與其連接的內容
- 以管理方式關閉所有未連接的網路設備端口
即使在連結出現問題時(當 cdp 或 lldp 在此介面上不起作用時),這也使您有機會快速確定連接到此連接埠的連接埠。
您也可以輕鬆查看哪些連接埠被佔用、哪些連接埠空閒,這對於規劃新網路設備、伺服器或工作站的連線是必要的。
但很明顯,如果您無法存取設備,您也將無法存取這些資訊。 另外,這樣你將無法記錄諸如什麼類型的設備,什麼功耗,有多少端口,在什麼機架上,有哪些配線架以及在哪裡(在什麼機架/配線架中)等重要資訊。 )他們是相連的。 因此,額外的文件(不僅僅是設備上的描述)仍然非常有用。
理想的選擇是使用專為處理此類資訊而設計的應用程式。 但您可以將自己限制為簡單的表格(例如,在 Excel 中)或在 L1/L2 圖中顯示您認為必要的資訊。
重要的信息!
當然,網路工程師可以非常了解SCS的複雜性和標準、機架類型、不間斷電源類型、什麼是冷通道和熱通道、如何正確接地……原則上他可以了解基本粒子物理學或 C++。 但還是要明白,這一切都不是他的知識範圍。
因此,最好有專門的部門或專門的人員來解決與設備安裝、連接、維護以及實體交換相關的問題。 通常對於資料中心來說,這是資料中心工程師,對辦公室來說,這是幫助台。
如果您的公司提供了這樣的部門,那麼記錄實體交換的問題就不是您的任務,您可以將自己限制為僅對介面進行描述以及管理關閉未使用的連接埠。
網路圖
繪製圖表沒有通用的方法。
最重要的是,這些圖表應該讓您了解流量如何流動、通過網路的哪些邏輯和實體元素。
我們所說的物理元素是指
- 主動設備
- 有源設備的介面/端口
在邏輯下 -
- 邏輯設備(N7K VDC、Palo Alto VSYS,...)
- 可變射頻
- 維蘭斯
- 子介面
- 隧道
- 區
- ...
此外,如果您的網路不是完全初級的,它將由不同的網段組成。
例如
- 資料中心
- 網際網路
- 廣域網
- 遠程訪問
- 辦公室區域網
- DMZ
- ...
明智的做法是使用幾張圖表來提供整體情況(所有這些路段之間的流量如何流動)以及每個單獨路段的詳細說明。
由於在現代網路中可以有許多邏輯層,因此為不同層製作不同的電路可能是一個很好的(但不是必需的)方法,例如,在覆蓋方法的情況下,這可能是以下電路:
- 覆蓋
- L1/L2 襯墊
- L3 底墊
當然,最重要的圖是路由圖,沒有它就不可能理解你的設計想法。
路由方案
該圖至少應反映
- 使用什麼路由協定以及在哪裡使用
- 有關路由協定設定的基本資訊(區域/AS 號/router-id/...)
- 重新分發發生在哪些裝置上?
- 發生過濾和路由聚合的地方
- 預設路由訊息
此外,L2 方案 (OSI) 通常很有用。
L2 方案 (OSI)
該圖可能顯示以下資訊:
- 什麼 VLAN
- 哪些連接埠是中繼端口
- 哪些埠聚合成ether-channel(埠通道)、虛擬埠通道
- 使用哪些 STP 協定以及在哪些裝置上使用
- 基本STP設定:根/根備份、STP成本、連接埠優先權
- 其他 STP 設定:BPDU 保護/過濾器、根保護…
典型的設計錯誤
建構網路的不良方法的一個例子。
我們舉一個簡單的例子,搭建一個簡單的辦公室區域網路。
憑藉向學生教授電信的經驗,我可以說幾乎任何學生在第二學期中期都具備建立簡單的辦公室區域網路所需的知識(作為我教授的課程的一部分)。
將交換器相互連接、設定 VLAN、SVI 介面(對於 L3 交換器)以及設定靜態路由有何困難?
一切都會成功。
但同時,相關問題
- 安全
- 預訂
- 網路擴充
- 生產力
- 吞吐量
- 可靠性
- ...
我時不時地聽到這樣的說法:辦公室LAN 非常簡單,而且我通常從除了網路之外什麼都做的工程師(和經理)那裡聽到這樣的說法,他們如此自信地說,如果LAN 將成為現實,請不要感到驚訝。由實踐和知識不足的人所犯,並且會犯與我將在下面描述的大致相同的錯誤。
常見的 L1 (OSI) 設計錯誤
- 然而,如果您也對 SCS 負責,那麼您可能收到的最令人不快的遺產之一就是粗心和考慮不周的切換。
我還將與所用設備的資源相關的 L1 類型錯誤分類為,例如,
- 頻寬不足
- 設備上的 TCAM 不足(或未有效使用)
- 效能不足(通常與防火牆有關)
常見的 L2 (OSI) 設計錯誤
通常,當沒有很好地理解 STP 的工作原理以及它帶來的潛在問題時,交換機會使用預設設定進行混亂的連接,而無需額外的 STP 調整。
結果,我們經常會出現以下情況
- STP網路直徑較大,可能導致廣播風暴
- STP 根將隨機決定(基於 MAC 位址),且流量路徑將不是最優的
- 連接到主機的連接埠不會被配置為邊緣(portfast),這將導致開啟/關閉終端站時重新計算STP
- 網路不會在 L1/L2 層級進行分段,因此任何交換器的問題(例如電源過載)都會導致重新計算 STP 拓撲並停止所有交換器上所有 VLAN 中的流量(包括從連續性服務領域的角度來看,這一點至關重要)
L3 (OSI) 設計中的錯誤範例
網路新手的幾個典型錯誤:
- 經常使用(或僅使用)靜態路由
- 對於給定的設計使用次優路由協定
- 次優邏輯網路分段
- 位址空間的使用不理想,不允許路由聚合
- 無備援路由
- 沒有預留預設網關
- 重建路由時的非對稱路由(對於 NAT/PAT、全狀態防火牆可能至關重要)
- MTU 問題
- 重建路由時,流量會經過其他安全區域甚至其他防火牆,導致流量被丟棄
- 拓撲可擴展性差
評估設計品質的標準
當我們談論最優/非最優時,我們必須從什麼標準的角度來理解這一點。 從我的角度來看,這裡是最重要的(但不是全部)標準(以及與路由協定相關的解釋):
- 可擴展性
例如,您決定新增另一個資料中心。 你能輕鬆做到嗎? - 易用性(可管理性)
營運變更(例如宣布新的電網或過濾路線)有多容易和安全? - 可用性
您的系統提供所需服務等級的時間百分比是多少? - 安全
傳輸資料的安全性如何? - 價格
變化
這階段的基本原則可以用「不傷害」這個公式來表達。
因此,即使您不完全同意設計和所選的實現(配置),也不總是建議進行更改。 合理的方法是根據兩個參數對所有已識別的問題進行排名:
- 這個問題有多容易解決
- 她承擔了多大的風險?
首先,有必要消除目前導致服務水準低於可接受水準的因素,例如導致資料包遺失的問題。 然後按照風險嚴重性的降序(從高風險設計或配置問題到低風險問題)修復最容易和最安全的問題。
這個階段的完美主義可能是有害的。 使設計達到令人滿意的狀態並相應地同步網路配置。
來源: www.habr.com