Geekly articles weekly

Cómo tomar el control de su infraestructura de red. CAPITULO DOS Limpieza y documentacion

Este artículo es el segundo de una serie de artículos titulados "Cómo tomar la infraestructura de red bajo su control". El contenido de todos los artículos de la serie y los enlaces se puede encontrar aquí .

imagen

Nuestro objetivo en esta etapa es limpiar la documentación y la configuración.
En la salida de este proceso, debe tener el conjunto de documentos necesarios y una red configurada de acuerdo con ellos.

Ahora no hablaremos de auditorías de seguridad, la tercera parte se dedicará a esto.

La dificultad de completar la tarea en esta etapa, por supuesto, varía mucho de una compañía a otra.

La situación ideal es cuando

  • su red se creó de acuerdo con el proyecto y tiene un conjunto completo de documentos
  • su empresa ha implementado un proceso para monitorear y administrar el cambio en la red
  • de acuerdo con este proceso, tiene documentos (incluidos todos los esquemas necesarios) que proporcionan información completa sobre el estado actual de las cosas

En este caso, su tarea es bastante simple. Debe estudiar los documentos y ver todos los cambios que se han realizado.

En el peor de los casos, tendrás

  • una red creada sin un proyecto, sin un plan, sin coordinación, por ingenieros que no tienen un nivel suficiente de calificación,
  • con cambios caóticos e indocumentados, con muchas "basura" y soluciones subóptimas

Está claro que su situación está en un punto intermedio, pero, desafortunadamente, es mejor en esta escala; peor con una alta probabilidad, estará más cerca del peor final.

En este caso, también necesitará la capacidad de leer pensamientos, ya que tendrá que aprender a entender lo que los "diseñadores" querían hacer, restaurar su lógica, terminar lo que no estaba terminado y eliminar la "basura".
Y, por supuesto, deberá detener sus errores, cambiar (en esta etapa, lo menos posible) el diseño y cambiar o recrear los circuitos.

Este artículo no pretende ser exhaustivo de ninguna manera. Aquí describiré solo principios generales y me detendré en algunos problemas comunes que deben abordarse.

Conjunto de documentos


Comencemos con un ejemplo.

Los siguientes son algunos de los documentos que Cisco Systems generalmente crea en el diseño.

CR - Requisitos personalizados, requisitos del cliente (asignación técnica).
Se crea junto con el cliente y define los requisitos de la red.

HLD : diseño de alto nivel, un diseño de alto nivel basado en los requisitos de red (CR). El documento explica y justifica las decisiones arquitectónicas adoptadas (topología, protocolos, selección de equipos, ...). HLD no contiene detalles de diseño, por ejemplo, sobre las interfaces utilizadas y las direcciones IP. Además, la configuración específica del equipo no se trata aquí. Más bien, este documento está destinado a explicar los conceptos clave de diseño a la gestión técnica del cliente.

LLD - Diseño de bajo nivel, diseño de bajo nivel basado en alto nivel (HLD).
Debe contener todos los detalles necesarios para la implementación del proyecto, como información sobre cómo conectar y configurar el equipo. Esta es una guía completa para la implementación del diseño. Este documento debe proporcionar información suficiente para su implementación incluso por personal no muy calificado.

Algo, por ejemplo, las direcciones IP, los números AS, el cableado, se pueden "extraer" en documentos separados, como el NIP (Plan de implementación de red).

La conexión en red comienza después de la creación de estos documentos y ocurre en estricta conformidad con ellos y luego es verificada por el cliente (pruebas) para verificar el cumplimiento del diseño.

Por supuesto, diferentes integradores, diferentes clientes, en diferentes países, los requisitos para la documentación del proyecto pueden ser diferentes. Pero me gustaría evitar las formalidades y considerar el tema en cuanto al fondo. Esta etapa no se trata de diseño, sino de poner las cosas en orden y necesitamos un conjunto de documentos (esquemas, tablas, descripciones ...) suficientes para completar nuestras tareas.

Y en mi opinión, hay un cierto mínimo absoluto, sin el cual es imposible controlar efectivamente la red.

Estos son los siguientes documentos:

  • esquema (log) de conmutación física (cableado)
  • circuito de red o circuitos con información significativa L2 / L3

Esquema de cambio físico


En algunas pequeñas empresas, el trabajo relacionado con la instalación de equipos y el cableado físico es responsabilidad de los ingenieros de redes.

En este caso, el problema se resuelve parcialmente con el siguiente enfoque.

  • use la descripción en la interfaz para describir lo que está conectado a ella
  • apagar administrativamente todos los puertos de equipos de red no conectados

Esto le dará la oportunidad, incluso en caso de un problema con el enlace (cuando cdp o lldp no funcionan en esta interfaz), determine rápidamente qué está conectado a este puerto.
También puede ver fácilmente qué puertos están ocupados y cuáles están libres, lo cual es necesario para planificar conexiones para nuevos equipos de red, servidores o estaciones de trabajo.

Pero está claro que si pierde el acceso al equipo, perderá el acceso a esta información. Además, de esta manera no podrá registrar información tan importante como qué tipo de equipo, con qué consumo de energía, con cuántos puertos, en qué rack están ubicados, qué paneles de conexión están allí y dónde (a qué rack / panel de conexiones) están conectados . Por lo tanto, de todos modos, la documentación adicional (no solo las descripciones de hardware) es muy útil.

La opción ideal es usar aplicaciones diseñadas para trabajar con este tipo de información. Pero puede restringirse a tablas simples (por ejemplo, en Excel) o mostrar la información que considere necesaria en los esquemas L1 / L2.
Importante!

Un ingeniero de redes, por supuesto, puede conocer las complejidades y los estándares de SCS, los tipos de bastidores, los tipos de fuentes de alimentación ininterrumpida, qué es un corredor frío y caliente, hacer una conexión a tierra adecuada ... al igual que en principio puede conocer la física de partículas o C ++. Pero uno debe comprender, sin embargo, que todo esto no es su campo de conocimiento.

Por lo tanto, es una buena práctica contar con departamentos dedicados o personas dedicadas para resolver los problemas asociados con la instalación, conexión, mantenimiento del rendimiento del equipo, así como la conmutación física. Por lo general, para los centros de datos, se trata de ingenieros de centros de datos y para la oficina, el servicio de asistencia.

Si se proporcionan tales unidades en su empresa, entonces los problemas de mantener un registro de conmutación física no son su tarea, y puede limitarse a describir solo en la interfaz y cerrar administrativamente los puertos no utilizados.

Diagramas de red


No existe un enfoque universal para los esquemas de dibujo.

Lo más importante es que los esquemas deben dar una idea de cómo irá el tráfico, a través de qué elementos lógicos y físicos de su red.

Por elementos físicos entendemos

  • equipo activo
  • interfaces / puertos de equipos activos

Debajo de la lógica -

  • dispositivos lógicos (N7K VDC, Palo Alto VSYS, ...)
  • VRF
  • vilanas
  • subinterfaces
  • túneles
  • zonas
  • ...

Además, si su red no es completamente elemental, constará de diferentes segmentos.
Por ejemplo

  • centro de datos
  • el internet
  • Wan
  • acceso remoto
  • LAN de oficina
  • Dmz
  • ...

Sería razonable tener varios esquemas que brinden una imagen general (cómo va el tráfico entre todos estos segmentos) y una explicación detallada de cada segmento individual.

Dado que las redes modernas pueden tener muchos niveles lógicos, es posible que un buen enfoque (pero no obligatorio) sea hacer diferentes esquemas para diferentes niveles, por ejemplo, en el caso de un enfoque de superposición, estos podrían ser los siguientes esquemas:

  • superposición
  • Capa base L1 / L2
  • Capa base L3

Por supuesto, el esquema más importante sin el cual es imposible entender la idea de su diseño es un esquema de enrutamiento.

Esquema de enrutamiento


Como mínimo, este diagrama debe reflejar

  • qué protocolos de enrutamiento y dónde se utilizan
  • información básica sobre la configuración del protocolo de enrutamiento (área / número AS / id de enrutador / ...)
  • en qué dispositivos se produce la redistribución
  • donde se produce el filtrado y la agregación de rutas
  • información de ruta predeterminada

También suele ser útil el circuito L2 (OSI).

Circuito L2 (OSI)


La siguiente información puede reflejarse en este diagrama:

  • que vlan
  • qué puertos son puertos troncales
  • qué puertos están agregados en ether-channel (canal de puerto), canal de puerto virtual
  • qué protocolos STP y en qué dispositivos se utilizan
  • Configuración principal de STP: respaldo de raíz / raíz, costo de STP, prioridad de puerto
  • Configuración avanzada de STP: protección / filtro BPDU, protección raíz ...

Errores de diseño típicos


Un ejemplo de un enfoque pobre para construir una red.

Tomemos un ejemplo simple de construir una LAN de oficina simple.

Al tener experiencia enseñando telecomunicaciones a los estudiantes, puedo decir que prácticamente cualquier estudiante a mediados del segundo semestre tiene los conocimientos necesarios (como parte del curso que enseñé) para configurar una LAN de oficina simple.

¿Qué es difícil conectar los conmutadores entre sí, configurar las interfaces VLAN, SVI (en el caso de los conmutadores L3) y configurar el enrutamiento estático?

Todo funcionará

Pero al mismo tiempo, cuestiones relacionadas con

  • seguridad
  • reserva
  • escala de red
  • rendimiento
  • ancho de banda
  • fiabilidad
  • ...

A veces, escucho la declaración de que una LAN de oficina es algo muy simple y generalmente lo escucho de ingenieros (y gerentes) que hacen todo, pero no redes, y lo dicen con tanta confianza que no se sorprenderá si la LAN será realizado por personas con práctica y conocimiento insuficientes, y se realizará con aproximadamente los errores que describiré a continuación.

Errores comunes de capa de diseño L1 (OSI)


  • Sin embargo, si usted es responsable, incluso de SCS, entonces uno de los legados más desagradables que puede obtener es el cambio descuidado e irreflexivo.

Además, para escribir L1, clasificaría los errores relacionados con los recursos del equipo utilizado, por ejemplo,

  • ancho de banda insuficiente
  • TCAM insuficiente en el equipo (o su uso ineficiente)
  • rendimiento insuficiente (a menudo se refiere a firewalls)

Errores comunes de capa de diseño L2 (OSI)


A menudo, cuando no hay una buena comprensión de cómo funciona STP, qué problemas potenciales trae consigo, los interruptores se conectan aleatoriamente, con configuraciones predeterminadas, sin una sintonización adicional de STP.

Como resultado, a menudo tenemos lo siguiente

  • gran diámetro de STP de la red, que puede provocar tormentas de difusión
  • La raíz STP se determinará aleatoriamente (según la dirección mac) y la ruta de tráfico será subóptima
  • los puertos conectados a los hosts no se configurarán como edge (portfast), lo que conducirá a un nuevo cálculo de STP al activar / desactivar los puntos finales
  • la red no se segmentará en el nivel L1 / L2, como resultado de lo cual los problemas con cualquier conmutador (por ejemplo, sobrecarga de energía) provocarán el recálculo de la topología STP y la detención del tráfico en todas las VLAN en todos los conmutadores (incluidos los críticos desde el punto de vista de la continuidad) segmento de servicio)

Ejemplos de errores de diseño L3 (OSI)


Algunos errores típicos networkers novatos:

  • uso frecuente (o solo uso) de enrutamiento estático
  • uso de protocolos de enrutamiento que no son óptimos para este diseño
  • segmentación de red lógica subóptima
  • uso no óptimo del espacio de direcciones, que no permite la agregación de rutas
  • falta de rutas de respaldo
  • falta de redundancia para la puerta de enlace predeterminada
  • enrutamiento asimétrico al reconstruir rutas (puede ser crítico en el caso de NAT / PAT, firewalls con estado)
  • problemas con MTU
  • Al reconstruir rutas, el tráfico atraviesa otras zonas de seguridad o incluso otros cortafuegos, lo que lleva al hecho de que este tráfico cae
  • escasa escalabilidad de la topología

Criterios de evaluación de la calidad del diseño


Cuando hablamos de optimización / no optimización, debemos entender en términos de qué criterios podemos evaluar esto. Aquí, desde mi punto de vista, los criterios más significativos (pero no todos) (y descifrado en relación con los protocolos de enrutamiento):

  • escalabilidad
    Por ejemplo, decide agregar otro centro de datos. Qué fácil puedes hacerlo.
  • conveniencia en la gestión (manejabilidad)
    Cuán fáciles y seguros son los cambios operativos, como anunciar una nueva cuadrícula o filtrar rutas
  • disponibilidad
    ¿Qué porcentaje del tiempo proporciona su sistema el nivel de servicio requerido?
  • seguridad
    ¿Qué tan seguros son los datos transmitidos?
  • precio

Cambios


El principio básico en esta etapa puede expresarse mediante la fórmula "no hacer daño".
Por lo tanto, incluso si no está del todo de acuerdo con el diseño y la implementación (configuración) elegida, no siempre es aconsejable realizar cambios. Un enfoque razonable es clasificar todos los problemas identificados de dos maneras:

  • con qué facilidad se puede solucionar este problema
  • cuanto riesgo tiene ella

En primer lugar, es necesario eliminar lo que en la actualidad reduce el nivel del servicio proporcionado por debajo del nivel aceptable, por ejemplo, problemas que conducen a la pérdida de paquetes. Luego, elimine lo que es más fácil y seguro de eliminar para reducir la gravedad del riesgo (desde problemas de diseño o configuración que conllevan mayores riesgos hasta los más pequeños).

El perfeccionismo en esta etapa puede ser dañino. Lleve el diseño a un estado satisfactorio y sincronice la configuración de red de acuerdo con él.

Source: https://habr.com/ru/post/es434750/

More articles:


All Articles