Comment nous avons conçu et mis en œuvre le nouveau réseau sur Huawei dans le bureau de Moscou, partie 2

Dans la série précédente: Jet est passé à un nouveau réseau basé sur le célèbre fournisseur. Comment s'est déroulé le processus d'audit des systèmes, de collecte de la «liste de souhaits» et d'apprivoisement de la «réserve mutante», dans la première partie .

Cette fois, je vais parler du processus de migration des utilisateurs (plus de 1600 personnes) de l'ancien réseau vers le nouveau. J'invite toutes les personnes intéressées par cat.

Ainsi, le réseau existant de l'entreprise depuis l'été dernier:

• la topologie la plus simple de «réseau fédéré effondré» est le cœur de réseau (le même niveau de distribution) formé de deux commutateurs de niveau réseau combinés en un cluster VSS;
• le niveau d'accès est représenté par des commutateurs et des piles de commutateurs de niveau de canal installés dans la croix, et parfois directement dans les couloirs et même dans les ateliers;
• certains des commutateurs d'accès sont inclus dans la chaîne, c'est-à-dire que le commutateur est inclus dans un autre commutateur, et le dernier est déjà dans le noyau;
• la tolérance aux pannes de la connexion des commutateurs d'accès au cœur est fournie principalement par le biais du LACP, parfois elle n'est pas du tout fournie;
• contrôle d'accès - via VLAN, routage VLAN - au cœur;
• des commutateurs d'accès de trois fabricants et quatre générations sont utilisés, les utilisateurs sont connectés à des vitesses allant de 100 Mbit / s à 1 Gbit / s;
• certains utilisateurs utilisent encore des téléphones analogiques, certains utilisent des téléphones IP connectés via des injecteurs PoE et une minorité utilise des téléphones IP alimentés par PoE à partir de commutateurs d'accès.

Défi:

• amener le réseau sous une forme décente;
• ne pas perturber le travail des employés lors de la modernisation;
• fixer le nombre maximum de problèmes qui se sont accumulés au cours des 15 dernières années de fonctionnement.

Vieille vie

Auparavant, le système d'exploitation et d'extension du réseau dans le bureau était le suivant: supposons que nous devions organiser les emplois des nouveaux employés. Des locaux supplémentaires ont été loués dans le centre d'affaires, des réparations ont été effectuées, SCS a été posé, puis un réseau informatique et téléphonique a été déployé.

Un poste de travail représentait, de 2 à 4 prises RJ-45, selon les besoins de l'unité. L'une des prises a été attribuée par téléphone (a reçu une marque verte), les autres (de une à trois) ont été attribuées par ordinateur (a reçu une marque bleue).


Prises dans un lieu de travail typique

Chaque prise d'ordinateur au stade de la construction du réseau était connectée à un port séparé du commutateur d'accès, chaque prise téléphonique - avec le port analogique du central téléphonique (dans les anciennes pièces) ou avec le port du commutateur d'accès préconfiguré pour le transfert de données VoIP (dans les nouvelles pièces).

Un tel schéma était pratique pour l'opération de service. Les utilisateurs ont déménagé dans une nouvelle pièce, connecté l'ordinateur à n'importe quelle prise d'ordinateur disponible et le téléphone à n'importe quelle prise téléphonique disponible.

Après cela, le personnel du support technique, en se concentrant sur les adresses MAC de l'équipement connecté, a prescrit les VLAN nécessaires et d'autres paramètres sur les ports des commutateurs d'accès.

Mais l'approche avait son inconvénient - elle n'était pas économique, jusqu'à la moitié des ports restaient inutilisés. Une telle réserve est utile si, au fil du temps, des postes de travail supplémentaires sont organisés dans la salle, mais nous n'avons pas réussi à utiliser la réserve de 50% à la fin.

Préparation à la migration

À la première étape, nous avons décidé de remplacer tous les commutateurs d'accès. En standard, le modèle de la famille Huawei S5720 a été choisi, en particulier le S5720-52X-PWR-SI-AC. Ses caractéristiques:

• se connecte au tronc à une vitesse de 10 Gbit / s;
• empilés sur des interfaces 10G conventionnelles;
• permet la connexion à tous les ports utilisateur à une vitesse de 1 Gbit / s;
• fournit une alimentation PoE sur tous les ports utilisateur.

Ainsi, il est autorisé de connecter un ordinateur, un téléphone IP, un ordinateur via n'importe quel port IP, des points d'accès sans fil, des caméras de surveillance vidéo et d'autres appareils à n'importe quel port.
Nous avons dû trouver quelles prises dans les chambres sont réellement utilisées et ce qui y est connecté. Nous avions:

• les données des projets de pose de SCS anciens et peu anciens;
• Magazines de câblodistribution «pas tout à fait à jour» dans les locaux de l'entreprise;
• des tableaux d'adresses MAC sur les commutateurs d'accès existants que nous avons reçus à l'aide de l'équipement réseau intégré;
• tableaux de correspondance des adresses MAC des postes téléphoniques et des numéros internes d'abonnés - à partir du central téléphonique.

Ensuite, nous avons écrit un petit script qui, sur la base de ces données, a compilé des tables de commutation et de migration (une table distincte pour chaque prochaine étape de travail). Ils contenaient les informations suivantes:

• la chambre;
• marquage des ports sur le lieu de travail;
• marquer la sortie sur le panneau de brassage dans la croix;
• nom (nom d'hôte) de l'ancien commutateur (pile);
• numéro de port sur l'ancien commutateur;
• ID VLAN
• L'adresse MAC de l'appareil connecté (ou plusieurs);
• type d'appareil connecté (déterminé par l'adresse MAC);
• nom (nom d'hôte) du nouveau commutateur (pile);
• numéro de port sur le nouveau commutateur.

Résultats du script

À partir d'un tel tableau, il était immédiatement clair ce qui était connecté à un port spécifique - un ordinateur, un téléphone, un ordinateur via le téléphone (s'il y a deux adresses MAC), ou quelque chose de plus complexe.
Sur la base des tableaux, les ingénieurs de conception ont développé de nouveaux journaux de câbles et les ingénieurs d'implémentation ont préconfiguré de nouveaux commutateurs qui, à l'étape suivante de la migration, ont été installés en croisement au lieu des anciens.


Fragment d'un nouveau magazine cross


Paramètres du port d'accès

Ainsi, le travail était le suivant:

• désactiver les anciens commutateurs d'accès, retirer les cordons de brassage;
• installer de nouveaux commutateurs d'accès, connecter l'alimentation;
• effectuer la commutation entre magasins;
• faites le tour des salles de travail, assurez-vous que les téléphones et les ordinateurs fonctionnent correctement.

Cela semble simple, mais ...

La première étape est le remplacement des commutateurs d'accès: trois mois de travail sans jours de repos

Depuis la mi-2018, pendant trois mois chaque week-end, nous avons remplacé les commutateurs d'accès et effectué un changement de travail selon nos tables de migration (environ 3 500 ports au total).
La première migration nous a pris plus de 12 heures, pendant ce temps, nous avons réussi à remplacer une pile d'accès de cinq commutateurs et à reconnecter environ 200 ports qui y sont connectés.
La plupart du temps a été consacré à la préparation de cordons de brassage. Chaque cordon de raccordement devait être libéré de l'emballage et collé avec des étiquettes numérotées des deux côtés. Ce n'est qu'après cela que le cordon de raccordement peut être utilisé pour la commutation.

Lors des prochaines migrations, nous avons optimisé le processus et préparé des cordons de brassage à l'avance. Par conséquent, la dernière migration a pris les mêmes 12 heures, et pendant ce temps, nous avons réussi à remplacer cinq piles d'accès, de 3 à 5 commutateurs chacune, et à reconnecter plus de 1000 ports.

Qu'avons-nous obtenu en conséquence?

Tout d'abord, le magazine cross-country mis à jour, que nous avons partagé avec le service d'exploitation. Le service a développé sa propre application Web pour prendre en charge l'état actuel de la commutation - elle peut désormais toujours être trouvée sur la ressource interne.

Deuxièmement, les travaux liés aux nouveaux commutateurs d'accès modernes. En parallèle, nous nous sommes finalement débarrassés des téléphones analogiques et des alimentations séparées pour les téléphones IP, des micrologiciels mis à jour et unifiés dans les téléphones IP afin que le téléphone et le commutateur se reconnaissent correctement en utilisant le protocole LLDP. Ceci est nécessaire pour que le téléphone comprenne dans quel VLAN il doit transmettre des trames vocales et dans quelles - trames de l'équipement connecté via le téléphone. Ainsi, le téléphone peut accéder aux serveurs du central téléphonique et les utilisateurs peuvent connecter des ordinateurs sur les postes de travail soit directement à la prise murale, soit via le téléphone.

Troisièmement, nous avons désactivé tous les ports inutilisés de l'équipement actif et configuré la fonction de sécurité des ports. Dans le même temps, nous avons formulé, approuvé et approuvé le règlement sur les connexions, maintenant il n'y a plus de connexions «au moment du paiement».

Ainsi, nous:

• rangé et documenté toutes les connexions de l'équipement de bureau;
• s'est débarrassé des vieux commutateurs, des injecteurs PoE, des téléphones analogiques;
• réduction de la consommation d'énergie des équipements (pour les locaux individuels de cross et de travail - jusqu'à 30%);
• augmenté l'expérience utilisateur et maintenu une réserve raisonnablement suffisante de ports d'équipement actifs (au prix d'une certaine augmentation de la charge de spécialistes du support technique, en particulier lors du déménagement des employés dans de nouveaux locaux).

La migration bat son plein - passer à une nouvelle autoroute

Une fois la première étape terminée, la situation des connexions utilisateur est revenue à la normale, mais rien n'a changé avec la dorsale. Comme mentionné ci-dessus, avant la modernisation, il a été organisé tout simplement. Il y avait environ 100 VLAN qui étaient acheminés sur un commutateur central, ou plutôt sur deux commutateurs combinés en un cluster utilisant la technologie VSS.

Parallèlement à la première étape de la migration, nous avons construit et testé une nouvelle autoroute conformément aux principes énoncés dans le premier article :

• Commutateurs de base Huawei CE8850 installés
• installé des commutateurs de distribution Huawei CE6870;
• FOCL supplémentaire pavé;
• terminé toutes les connexions;
• configuré les protocoles de routage de superposition et de sous-couche (mais jusqu'à ce que la première étape soit terminée, les commutateurs étaient inactifs et chauffaient l'air).

Ensuite, la prochaine étape de la migration a commencé. Pas très long, mais le plus difficile.

Pour commencer, nous avons développé et convenu un nouveau plan d'adressage IP qui prend en compte nos besoins actuels et futurs. Le nouveau plan a identifié des gammes distinctes pour tous les L3VPN prévus - pour les utilisateurs ordinaires et les utilisateurs du centre technique, pour les systèmes de téléphonie, les systèmes de vidéoconférence, les caméras de vidéosurveillance, les stands de démonstration de divers types et d'autres besoins.

Nous avons ensuite connecté l'ensemble de l'ancien réseau à une paire de commutateurs de distribution en une seule pile d'accès. Après cela, nous avons commencé à basculer les piles vers le nouveau tronc en modifiant les numéros de VLAN et, en conséquence, en modifiant les adresses IP des utilisateurs connectés vers de nouvelles plages.

Nous avons planifié les travaux de manière à commuter un groupe suffisamment large de commutateurs d'accès à la fois. Ils travaillaient la nuit ou le week-end, selon les spécificités du travail des unités commutées.

Avant de commencer les travaux, nous avons effectué à l'avance les opérations suivantes:

1. configurer un serveur DHCP d'entreprise afin qu'il fournisse des adresses IP de la nouvelle gamme pour les utilisateurs commutés;
2. Configurer les ports sur les commutateurs de distribution, dans lesquels il était prévu d'inclure des commutateurs d'accès lors de la migration;
3. À l'aide d'un autre script spécialement conçu, nous avons préparé des configurations modifiées pour les commutateurs commutables.

Ils ont travaillé dans l'ordre suivant:

1. l'accès commuté bascule de l'ancien tronc vers le nouveau;
2. assurez-vous que les commutateurs sont accessibles sur l'interface de contrôle;
3. la configuration préparée pour changer les numéros de VLAN a été versée sur les commutateurs commutés.

Avant d'effectuer les travaux ci-dessus, le VLAN contenant les interfaces de contrôle de tous les commutateurs d'accès était «étiré» entre l'ancien et le nouveau tronc, donc l'étape 2 prenait généralement un minimum de temps. Dans le cas le plus simple, les postes de travail des utilisateurs (ainsi que les téléphones, imprimantes et autres périphériques) ont immédiatement reçu les adresses IP de la nouvelle gamme du serveur DHCP et ont continué à fonctionner sans modifications.

Où est-ce sans problème?

Nous avons rencontré plusieurs difficultés en cours de route.
Tout d'abord, les imprimantes ont cessé de fonctionner pour de nombreux utilisateurs. Sur certains postes de travail d'utilisateurs, l'accès aux imprimantes a été configuré par une adresse IP spécifique. Après avoir basculé les imprimantes vers une nouvelle gamme, elles ont reçu de nouvelles adresses et les utilisateurs n'y ont plus accès. Pour résoudre le problème le lendemain de la migration, nous avons affecté un spécialiste du support pendant une demi-journée pour contourner les utilisateurs qui ont subi la migration et reconfigurer les imprimantes pour utiliser des noms DNS plutôt que des adresses IP.

Lors de la migration du tout premier groupe d'utilisateurs, nous avons dû résoudre certains problèmes de configuration correcte des pare-feu afin de permettre aux utilisateurs d'accéder aux ressources d'entreprise nécessaires. Et avec toutes les migrations ultérieures, nous savions déjà à l'avance ce qui doit être configuré.

Enfin, nous avons relocalisé le centre de services, à savoir le personnel de quart de travail. Le quart de travail doit fonctionner en continu et 24h / 24, avoir toujours accès aux ressources nécessaires au travail et aux systèmes d'information des clients. Pour ces personnes, nous avons organisé des emplois temporaires à une heure convenue à l'avance et dans des chambres séparées. Un employé en service se déplaçait dans cette salle, s'assurant qu'il pouvait avoir accès à tous les systèmes nécessaires. Puis les autres ont emménagé dans cette pièce.

Ensuite, nous avons procédé à la migration de l'unité correspondante, invité un des officiers de quart à retourner chez lui et vérifier la disponibilité de toutes les ressources nécessaires. Problèmes résolus rapidement, le cas échéant. Il y a eu peu de problèmes. Après cela, le quart de travail est de nouveau passé du «refuge temporaire» au mode de travail habituel sur leur lieu de travail avec l'ensemble des systèmes d'information dont ils avaient besoin.

À un moment donné, nous avons constaté qu'il ne restait plus un seul poste de travail utilisateur sur l'ancien réseau! Et ils ont ouvert le champagne. Ensuite, nous avons commencé la migration du segment de serveur. Un autre schéma lui a déjà été appliqué, car le serveur ne peut généralement pas être arrêté, même pendant 15 minutes. Je vais en discuter séparément dans le prochain article .

Maxim Klochkov
Consultant principal, Audit de réseau et projets intégrés
Centre de solutions réseau
Jet Infosystems