Geekly articles weekly

3. Conception de réseaux d'entreprise sur des commutateurs extrêmes



Bonjour mes amis! Aujourd'hui, je poursuivrai la série sur les commutateurs extrêmes avec un article sur la conception de réseaux d'entreprise.

Dans l'article, je vais essayer aussi brièvement que possible:

  • décrire une approche modulaire de la conception de réseaux Etnterprise
  • considérer les types de construction de l'un des modules les plus importants du réseau d'entreprise - le réseau central (ip-campus)
  • décrire les avantages et les inconvénients des options de sauvegarde pour les nœuds de réseau critiques
  • sur un exemple abstrait, concevoir / mettre à jour un petit réseau d'entreprise
  • Choisissez des commutateurs extrêmes pour implémenter votre réseau conçu
  • travailler avec des fibres et l'adressage IP

Cet article sera plus intéressant pour les ingénieurs réseau et les administrateurs réseau qui commencent tout juste leur carrière en tant que «networker» que pour les ingénieurs expérimentés qui ont travaillé pendant de nombreuses années dans des opérateurs de télécommunications ou dans de grandes entreprises avec des réseaux géographiquement distribués.

Dans tous les cas, intéressé, veuillez demander un chat.

Approche de conception de réseau modulaire


Je vais commencer mon article avec une approche modulaire plutôt populaire de la conception de réseaux, qui vous permet d'assembler un puzzle à partir de pièces du réseau en une image complète.

Tout d'abord, un peu d'abstraction - Je présente très souvent cette approche comme un zoom sur les géocartes, quand en première approximation un pays est visible, dans la deuxième région, dans la troisième ville, etc.

À titre d'exemple, considérons cet exemple:

  • 1ère approximation - l'ensemble du réseau d'entreprise est un ensemble de différents niveaux:
    • réseau central ou campus
    • niveau limite
    • niveau des opérateurs télécoms
    • régions éloignées

  • 2ème approximation - chacun de ces niveaux est détaillé sur des modules séparés
    • le réseau central ou le campus comprend:
      • Module à 3 ou 2 niveaux décrivant le réseau d'entreprise et ses niveaux - accès, distribution et / ou cœur
      • un module décrivant un centre de données - un centre de données (essentiellement la partie serveur de l'infrastructure)

    • le niveau limite à son tour se compose de:
      • module de connexion Internet
      • Module WAN et MAN, chargé de connecter les objets géographiquement distribués de l'entreprise
      • module de construction de tunnels VPN et d'accès à distance
      • souvent, de nombreuses petites entreprises ont plusieurs de ces modules, ou même tous, sont combinés en un seul

    • niveau du fournisseur:
      • Ce niveau comprend les communications «vers le monde extérieur» - fibres optiques sombres (location de fibres auprès des opérateurs), canaux de communication (Ethernet, G.703, etc.), accès Internet.

    • niveau à distance:
      • pour la plupart, ce sont des succursales d'une entreprise qui sont réparties dans une ville, une région, un pays ou même des continents.
      • cette zone peut également inclure un centre de données de sauvegarde, qui reproduit le travail du principal
      • et bien sûr, les télétravailleurs (postes de travail distants) qui ont gagné en popularité ces derniers temps


  • 3e approximation - chacun des modules est divisé en modules ou niveaux plus petits. Par exemple, sur un réseau de campus:
    • Le réseau à 3 niveaux est divisé en:
      • niveau d'accès
      • niveau de distribution
      • niveau de base

    • Le centre de données dans les cas plus complexes peut être divisé en:
      • Partie réseau à 2 ou 3 niveaux
      • côté serveur


    Je vais essayer d'afficher tout ce qui précède dans la figure simplifiée suivante:



    Comme le montre la figure ci-dessus, l'approche modulaire permet de détailler et de structurer l'image globale en éléments constitutifs, avec lesquels vous pouvez déjà travailler à l'avenir.

    Dans cet article, je vais me concentrer sur le niveau Campus Enterprise et le décrire plus en détail.

    Types de réseaux de campus IP


    Lorsque je travaillais chez un prestataire et surtout plus tard dans le travail d'un intégrateur, je suis tombé sur différentes «maturité» des réseaux clients. Je n'utilise pas le terme maturité pour rien, car bien souvent il y a des cas où la structure du réseau croît avec la croissance de l'entreprise elle-même et cela, en principe, est logique.

    Dans une petite entreprise située dans le même bâtiment, un réseau d'entreprise peut se composer d'un seul routeur frontière qui agit comme un pare-feu, de plusieurs commutateurs d'accès et de quelques serveurs.

    J'appelle un tel réseau pour moi un réseau «à un niveau» - il n'a pas de niveau de cœur de réseau explicite, le niveau de distribution est déplacé vers le routeur frontalier (avec pare-feu, VPN et éventuellement fonctions de proxy), et les commutateurs d'accès servent les ordinateurs des employés et le serveur.



    Dans le cas de la croissance de l'entreprise - une augmentation du nombre d'employés, de services et de serveurs, vous devez souvent:

    • augmenter le nombre de commutateurs réseau et de ports d'accès
    • augmenter la capacité du serveur
    • combattre les domaines de diffusion - implémenter la segmentation du réseau et le routage inter-segments
    • pour faire face aux pannes de réseau qui provoquent des temps d'arrêt des employés, car cela entraîne des dépenses financières supplémentaires pour la gestion (l'employé est inactif, le salaire est payé, mais le travail n'est pas fait)
    • dans le processus de gestion des pannes, pensez à sauvegarder les nœuds de réseau critiques - routeurs, commutateurs, serveurs et services
    • resserrer la politique de sécurité, car des risques commerciaux peuvent survenir et, encore une fois, pour un fonctionnement plus stable du réseau

    Tout cela conduit au fait que l'ingénieur (administrateur réseau) réfléchit tôt ou tard à la bonne construction du réseau et aboutit à un modèle à 2 niveaux.

    Ce modèle se distingue déjà clairement de 2 niveaux - le niveau d'accès et le niveau de distribution, qui en combinaison est également le niveau de base (noyau effondré).

    La distribution combinée et le niveau du noyau remplissent les fonctions suivantes:

    • agrège les liens des commutateurs d'accès
    • introduit le routage des segments de réseau - il y a tellement d'utilisateurs et d'appareils qu'ils ne tiennent pas sur le même réseau / 24, et s'ils le sont, les tempêtes de diffusion provoquent des échecs permanents (surtout si les utilisateurs les aident en créant des boucles)
    • assure la communication entre les segments de commutation voisins (via des liaisons plus rapides)
    • Il assure la communication entre les utilisateurs et leurs appareils et la batterie de serveurs, qui à ce moment-là commence également à se démarquer dans un segment de réseau distinct - le centre de données.
    • commence à fournir, avec les commutateurs d'accès, à un degré ou à un autre, la politique de sécurité qui commence à apparaître dans l'entreprise à ce moment. L'entreprise se développe, les risques commerciaux augmentent également (ici je veux parler non seulement des dispositions sur les secrets commerciaux, la différenciation des politiques d'accès, etc., mais aussi des temps d'arrêt élémentaires du réseau et des salariés).

    Ainsi, le réseau évolue tôt ou tard vers un modèle à 2 niveaux:



    Dans ce modèle, des exigences spéciales apparaissent à la fois pour les commutateurs de niveau d'accès qui regroupent les liens des utilisateurs et des périphériques réseau (imprimantes, points d'accès, périphériques VoIP, téléphones IP, caméras IP, etc.) et les commutateurs de niveau de distribution et les noyaux.

    Les commutateurs d'accès devraient déjà être plus intelligents et fonctionnels pour répondre aux exigences de performances, de sécurité et de flexibilité du réseau, et devraient:

    • avoir différents types de ports d'accès et de ports de jonction - de préférence avec la possibilité d'une marge pour la croissance du trafic et le nombre de ports
    • avoir une capacité de commutation et une bande passante suffisantes
    • avoir les fonctionnalités de sécurité nécessaires qui satisferaient la politique de sécurité actuelle (et idéalement, la croissance de ses exigences supplémentaires)
    • pouvoir alimenter des périphériques réseau difficiles d'accès avec la possibilité de les redémarrer à distance sur l'alimentation (PoE, PoE +)
    • être en mesure de réserver leur propre énergie électrique pour l'utiliser dans les endroits où cela est nécessaire
    • avoir (si possible) un potentiel de croissance supplémentaire d'une fonctionnalité est un exemple fréquent lorsqu'un commutateur d'accès se transforme en commutateur de distribution au fil du temps

    Les commutateurs de distribution, à leur tour, sont également soumis aux exigences suivantes:

    • à la fois en termes de ports de jonction en aval vers les commutateurs d'accès et vers les interfaces homologues des commutateurs de distribution voisins (et, par la suite, les éventuelles interfaces de liaison montante vers le cœur)
    • en termes de fonction L2 et L3
    • en termes de fonctionnalité de sécurité
    • en termes de tolérance aux pannes (redondance, clustering et redondance de l'alimentation)
    • concernant la flexibilité dans l'équilibrage du trafic
    • avoir (si possible) un potentiel de croissance fonctionnel supplémentaire (transformation dans le temps du dispositif d'agrégation en cœur)
    • dans certains cas sur les commutateurs de distribution, il peut être approprié d'utiliser des ports PoE, PoE +.

    De plus, si l'entreprise poursuit une politique de croissance active et de développement de l'entreprise, le réseau continuera également à se développer à l'avenir - l'entreprise peut commencer à louer des bâtiments voisins, construire ses propres bâtiments ou absorber des concurrents plus petits, augmentant ainsi le nombre d'emplois pour les employés. Dans le même temps, le réseau se développe également, ce qui nécessite:

    • fournir des emplois aux employés - de nouveaux commutateurs d'accès avec ports d'accès sont nécessaires
    • disponibilité de nouveaux commutateurs de distribution pour l'agrégation de liens à partir des commutateurs d'accès
    • la construction de nouvelles ainsi que la modernisation des lignes de communication existantes

    En conséquence, il y a une augmentation du trafic pour les raisons suivantes:

    • en raison de l'augmentation des ports d'accès et, par conséquent, des utilisateurs du réseau
    • en raison de l'augmentation du trafic des sous-systèmes connexes qui choisissent le réseau d'entreprise pour eux-mêmes comme transport - téléphonie, sécurité, systèmes d'ingénierie, etc.
    • en raison de l'introduction de services supplémentaires - avec la croissance du personnel, de nouveaux départements apparaissent qui nécessitent certains logiciels
    • capacité de calcul du centre de données pour répondre aux exigences d'infrastructure et d'application
    • les exigences de sécurité pour le réseau et l'information augmentent - la célèbre triade CIA (je plaisante), mais sérieusement, la CIA - Confidentialité, intégrité et disponibilité:

      • à cet égard, aux niveaux critiques du réseau - distribution et centre de données, il existe des exigences supplémentaires en matière de tolérance aux pannes et de redondance
      • Encore une fois, il y a une augmentation du trafic en raison de l'introduction de nouveaux systèmes de sécurité - par exemple, RCVI, etc.


    Tôt ou tard, la croissance du trafic, des services et du nombre d'utilisateurs entraînera la nécessité d'introduire un niveau supplémentaire du réseau - le noyau, qui effectuera la commutation / routage à haute vitesse des paquets à l'aide de liaisons de communication à grande vitesse.

    À ce stade, l'entreprise peut passer à un modèle de réseau à trois niveaux:



    Comme vous pouvez le voir sur la figure ci-dessus - dans un tel réseau, il existe un niveau de base qui regroupe les liaisons de vitesse des commutateurs de distribution. Ainsi, les commutateurs du noyau ont également des exigences pour:

    • largeur de bande d'interface - 1GE, 2,5GE, 10GE, 40GE, 100GE
    • performances des commutateurs (capacité de commutation et performances de transmission)
    • types d'interface - 1000BASE-T, SFP, SFP +, QSFP, QSFP +
    • nombre et ensemble d'interfaces
    • options de redondance (empilement, clustering, redondance des cartes de contrôle (pertinentes pour les commutateurs modulaires), alimentation redondante, etc.)
    • fonctionnel

    A ce niveau du réseau, il est définitivement nécessaire que sa modification technique:

    • Réservation des nœuds et des liens du noyau (très, très, très souhaitable)
    • réservation de nœuds et de liens de niveau distribution (selon la criticité)
    • réservation de liaisons de communication entre les commutateurs d'accès et le niveau de distribution (si nécessaire)
    • entrée de protocole de routage dynamique
    • équilibrer le trafic à la fois dans le noyau et aux niveaux de distribution et d'accès (si nécessaire)
    • introduction de services supplémentaires - services de transport et de sécurité (si nécessaire)

    et juridique, définissant la politique de sécurité du réseau de l'entreprise, qui complète la politique générale de sécurité en termes de:

    • exigences pour la mise en œuvre et la configuration de certaines fonctions de sécurité sur les commutateurs d'accès et de distribution
    • exigences d'accès, de surveillance et de gestion des équipements réseau (protocoles d'accès à distance autorisés pour gérer les segments de réseau, paramètres de journalisation, etc.)
    • conditions de réservation
    • exigences pour la formation de l'ensemble minimal de pièces de rechange nécessaire

    Dans cette section, j'ai brièvement décrit l'évolution du réseau et de l'entreprise de plusieurs commutateurs et quelques dizaines d'employés à plusieurs dizaines (ou peut-être des centaines de commutateurs) et plusieurs centaines (voire des milliers) de seuls les employés qui travaillent directement dans le réseau d'entreprise (et après tout il existe également des services de production et des réseaux d'ingénierie).
    Il est clair qu'en réalité, un développement aussi «merveilleux» et rapide de l'entreprise ne se produit pas.
    Il faut généralement des années à une entreprise et à un réseau pour passer du premier niveau initial au troisième que j'ai décrit.

    Pourquoi est-ce que j'écris toutes ces vérités communes? Ensuite, ce que je veux mentionner ici, c'est un terme comme ROI - retour sur investissement (retour / retour sur investissement) et considérer son côté qui se rapporte directement au choix de l'équipement réseau.

    Lors du choix de l'équipement, les ingénieurs réseau et leurs gestionnaires choisissent souvent l'équipement en fonction de 2 facteurs - le prix actuel de l'équipement et la fonctionnalité technique minimale qui est actuellement nécessaire pour résoudre une ou des tâches spécifiques (je discuterai de l'achat d'équipement pour la sauvegarde plus tard).

    Dans le même temps, les possibilités de "croissance" ultérieure des équipements sont rarement envisagées. Si une situation survient lorsque l'équipement s'épuise en termes de fonctionnalité ou de productivité, alors plus puissant et fonctionnel est acheté à l'avenir, et l'ancien est livré à l'entrepôt, ou quelque part au réseau sur le principe de «rester» (cela, en passant, provoque également l'apparition d'un grand zoo d'équipement et l'acquisition d'un ensemble de systèmes d'information fonctionnant avec).

    Ainsi, au lieu d'acheter une partie des licences à ajouter. la fonctionnalité et les performances, qui sont beaucoup moins chères que les nouveaux équipements plus performants, vous devez acheter un nouveau matériel et payer trop cher pour les raisons suivantes:

    • le réseau se développe souvent lentement et l'expansion des fonctionnalités, ou les performances du commutateur de votre réseau peuvent durer longtemps
    • Ce n'est un secret pour personne que l'équipement des vendeurs étrangers est lié aux devises étrangères (dollar ou euro). Pour être honnête - la croissance du dollar ou de l'euro (ou la mini-dévaluation périodique du rouble, voici comment regarder) conduit au fait que le dollar il y a 10 ans et le dollar sont maintenant des choses complètement différentes du point de vue du rouble

    Pour résumer tout ce qui précède, je tiens à noter que l'achat d'équipement réseau avec des fonctionnalités plus larges maintenant peut conduire à des économies à l'avenir.
    Ici, je considère les coûts d'achat d'équipement dans le cadre d'un investissement dans mon réseau et mon infrastructure.

    Ainsi, de nombreux fournisseurs (pas seulement Extreme) adhèrent au principe du paiement à mesure que vous grandissez, offrant à l'équipement un tas de fonctionnalités et d'opportunités pour augmenter la productivité des interfaces, qui sont ensuite activées par l'achat de licences individuelles. Ils offrent également des commutateurs modulaires avec une large gamme de cartes d'interface et de processeur, et la possibilité d'augmenter progressivement à la fois leur nombre et leurs performances.

    Réservation de noeud critique


    Dans cette partie de l'article, je voudrais décrire brièvement les principes de base de la redondance de nœuds de réseau importants tels que les commutateurs principaux, les centres de données ou la distribution. Et je veux commencer par examiner les types courants de redondance - l'empilement et le clustering.

    Chacune de ces méthodes a ses avantages et ses inconvénients, dont je voudrais parler.

    Voici un tableau récapitulatif général comparant 2 méthodes:



    • gestion - comme le montre le tableau, l'empilement est un avantage à cet égard car du point de vue de la gestion d'une pile de plusieurs commutateurs, il semble qu'il s'agisse d'un commutateur avec un grand nombre de ports. Au lieu de gérer par exemple 8 commutateurs différents lors du clustering, vous ne pouvez en gérer qu'un lors de l'empilement.
    • distance - pour le moment, à proprement parler, l'avantage du clustering n'est pas si évident, car il existe des technologies pour empiler les commutateurs via des ports d'empilage ou des ports à double usage (par exemple, SummitStack-V avec Extreme, VSS avec Cisco, etc.), qui dépendent également des types d'émetteurs-récepteurs. Ici, l'avantage est donné au clustering sur le principe que lors de l'empilement, il existe des options dans lesquelles vous devez utiliser les ports d'empilage habituels, qui sont souvent connectés avec des câbles spéciaux d'une longueur limitée - 0,5, 1, 1,5, 3 ou 5 mètres.
    • mise à jour logicielle - ici, nous voyons que le clustering a un avantage sur l'empilement et la chose est la suivante - lors de la mise à jour de la version logicielle de l'équipement pendant l'empilement, vous mettez à jour le logiciel sur le commutateur principal, qui prend plus tard le rôle de placer un nouveau logiciel sur les commutateurs de secours de la pile. D'une part, cela facilite votre travail, mais les mises à jour logicielles nécessitent souvent un redémarrage matériel de l'équipement, ce qui entraîne un redémarrage de la pile entière et donc une interruption de son travail et de tous les services qui lui sont associés pendant un temps = temps de redémarrage. Ceci est généralement très critique pour le cœur et le centre de données. Dans le clustering - vous avez 2 appareils indépendants les uns des autres, sur lesquels vous pouvez mettre à jour le logiciel séquentiellement l'un après l'autre. Dans le même temps, les interruptions de service peuvent être évitées.
    • configuration des paramètres - ici, l'avantage est bien sûr avec l'empilement, car dans le cas et avec la gestion, vous devez modifier les paramètres pour un seul appareil et son fichier de configuration. Dans le clustering, le nombre de fichiers de configuration sera égal au nombre de nœuds de cluster.
    • tolérance aux pannes - ici, les deux technologies sont à peu près égales, mais le clustering a néanmoins un léger avantage. La raison ici réside dans ce qui suit - si nous considérons la pile du point de vue de l'exécution des processus et des protocoles, nous verrons ce qui suit:
      • il existe un commutateur principal sur lequel tous les processus et protocoles principaux sont en cours d'exécution (par exemple, le protocole de routage dynamique - OSPF)
      • il existe d'autres commutateurs esclaves qui exécutent les principaux processus nécessaires pour travailler dans la pile et servir le trafic qui les traverse
      • si le commutateur maître-commutateur échoue, le commutateur esclave prioritaire suivant détecte une défaillance maître
      • il s'initie en tant que maître et démarre tous les processus qui ont travaillé sur le maître (y compris le protocole OSPF que nous observons)
      • ( ), OSPF
      • OSPF ( , slave ). , , , - .

    • — , . «» « ». . — VRRP, HSRP .
    • — . , :
      • ( )
      • ( )

    • — . , - . 4:3 . . -, — , , , .

    IT ( , ), /o , . Putty Windows ( ).

    ( ) , - .

    . , , — .

    , :

    :

    • — 2- , ( 1- ) .
    • — , .
    • — .

    / ( ) :

    • 2- , , ( )

    :

    • , , — .
    • (LACP, MLT, PAgP ..) .
    • ECMP (Equal-Cost-Multi-Path) — best path ( ) best-path ( ), , .

    , , , :

    • , X, 3- :

    • :

      • — OSPF, MP-BGP, MPLS, PIM, IGMP, IPv6 ..
      • — , L2 L3 VPN, VoIP, IPTV, ..

    • — , BGP-
    • , ( )
    • ,
    • , — MTBF
    • , 4 , 22 .

    , .

    , ( , - . , 2- RP , ).

    — RP , NBD.

    , RP, ( 3 ).

    ( ) :

    • , , 60-70%
    • , 900 . ()
    • 3 1 620 . 1 890 .

    , , , :

    • , 3-4 — , , ..
    • ,
    • — , ,

    :

    • NBD
    • 1 — 1.3 90%

    , , .

    Enterprise


    . PPDIOO (Prepare-Planning-Design-Implement-Operate-Optimize), :

    • Prepare/ — , — , . — , , . .
    • Planning/ — ( ), .. :

      • L2 L3
      • Wi-Fi c
      • , , , , ( ). - . , . . operate.

    • Design/ — , , - . .

    , .

    Prepare , :

    • , 700-800 ( , )
    • - :
    • :

      • — 2
      • — 7
      • — 3 ( 21)
      • =~ 250

    • :

      • — 10
      • / — 2
      • — 3
      • =~ 20

    • ( , ) :
      • 2- L2:

        • 1Gb RJ-45 — 24
        • 1Gb SFP — 4
      • 1- L2:

        • 1Gb SFP — 24
      • peer-to-peer
    • :
      • L3 /
    • :

      • L2 16 x 100 Mb RJ-45 2- combo- RJ-45/SFP
      • :

        • (hub-and-spoke — ) /
        • /spoke — 3
      • 9 ( )
    • :

      • :
        • 2- 8
        • 1- ( ) 8
        • 1- . 4 ( )
        • — /SMF
        • 2- SFP
        • (ODF) (-/),

      • :

        • :
        • Cat5e — 10 ( 100 )
        • /MMF 4 8 — 1
        • /MMF 4
        • Cat5e
      • :

        • , 6
        • 1Gb 1-
      • L2, L3 :
        • VLAN — 2,3
        • /24
        • B, — 172.16.0.0/16
        • L3 /
      • informations supplémentaires:

        • :
          • ( IP-)
          • ,
          • IP- , CRM-
        • :

          • , 25-30%
          • PoE/PoE+ —
        • :
          • PoE
        • :

          • PoE
        • , :

          • N
          • — , port-security 802.1.
          • — , —
          • montant du budget - ici, chaque entreprise détermine déjà elle-même, guidée par ses indicateurs financiers
          • délais - dans le cas le plus idéal, il n'y aura pas de délais clairs, car il s'agit d'un projet interne de l'entreprise qui est mis en œuvre par les forces de ses employés, ou ils seront relativement à l'aise - par exemple, 1 an (ou plus). Dans le pire des cas, cela peut aller de 3 mois à six mois.
        • résoudre les problèmes de réseau actuels:

          • perte de paquets
          • problèmes avec DHCP sur des commutateurs d'accès plus ou moins intelligents associés à l'utilisation de la famille de protocoles STP pour lutter contre les boucles sur les ports d'accès.
          • se débarrasser de la présence d'une interface de serveur DHCP dans chaque VLAN d'employés
          • l'apparition de boucles de commutation associées à l'inclusion non autorisée de commutateurs gérés / non gérés dans les armoires et à la connexion de divers périphériques à celles-ci
          • la liste s'allonge encore et encore ...

        L'étape de planification - une caractéristique de l'état de votre réseau actuel, comme je l'ai déjà écrit, dépend de la disponibilité d'un système de surveillance de haute qualité et du degré de sa documentation. Dans cette étape, vous devrez:

        • au moins esquisser un réseau existant pour une analyse plus approfondie
        • collecter des données sur l'équipement:

          • trafic du port principal
          • erreurs de port
          • Utilisation du processeur et consommation de mémoire sur les commutateurs et les routeurs
          • peindre les schémas L2-L3 par VLAN et adresses IP
        • augmenter les diagrammes de routage des câbles:

          • diagrammes de fibres optiques et de câblage croisé
          • schémas de distribution de câbles en cuivre entre le serveur et le sol
          • schémas de distribution des câbles en cuivre entre les planchers et les armoires
          • vérifier les croisements optiques et les panneaux de brassage dans le serveur et les armoires
        • vérifier les schémas d'alimentation dans les armoires de serveur et de plancher
        • vérifier l'onduleur et la batterie sur les sites critiques
        • analyser toutes les données

        Guidé par les données de l'étape de préparation, j'ai obtenu un schéma logique approximatif:



        De plus, suivant l'approche modulaire, il est nécessaire de mettre en évidence les niveaux et modules de l'entreprise:



        Je n'aborderai pas les frontières dans cet article, mais rappellerai brièvement les thèses de base pour chacun des modules Campus:

        • L'accès - à ce niveau devrait fournir:
          • le nombre de ports requis pour l'accès des utilisateurs au réseau
          • application des politiques de sécurité - filtrage du trafic et des protocoles
          • compression de domaine de diffusion et segmentation de réseau à l'aide de VLAN
          • implémentation de VLAN séparés pour le trafic vocal
          • Prise en charge de la QoS
          • prise en charge des ports d'accès PoE
          • Prise en charge de la multidiffusion IP
          • tolérance aux pannes des liaisons montantes en liaison avec le niveau de distribution (souhaitable)
        • Distribution - à ce niveau devrait être fourni:

          • le nombre de ports requis pour connecter les commutateurs d'accès
          • agrégation et réservation de liens de commutation d'accès
          • Routage IP
          • filtrage de paquets
          • Prise en charge de la QoS
          • tolérance aux pannes au niveau des liaisons, des équipements et de l'alimentation (très souhaitable)
        • Le noyau - devrait fournir:

          • vitesse de commutation et de routage des paquets élevée
          • nombre de ports requis pour connecter les commutateurs de distribution
          • prise en charge du routage IP et des protocoles de routage dynamique avec convergence réseau rapide
          • Prise en charge de la QoS
          • fonctionnalité de sécurité pour protéger l'accès à l'équipement et au plan de contrôle
          • tolérance aux pannes au niveau de l'équipement et de l'alimentation (obligatoire)
        • DPC - le niveau réseau de ce module doit fournir:

          • liaisons de communication à haut débit
          • le nombre de ports requis pour connecter les serveurs
          • réservation de liaisons de communication entre les serveurs et les commutateurs du centre de données, et entre les commutateurs du centre de données et le cœur du réseau (obligatoire)
          • redondance de l'équipement et de l'alimentation (obligatoire)
          • Prise en charge de la QoS

        Ensuite, nous devons calculer nos ports et nos liaisons de communication et déterminer les exigences.
        Niveau d'accès - Tableau de calcul des ports

        Nous avons donc obtenu les données sur la répartition des ports d'accès pour les bâtiments. Vous devez maintenant analyser les exigences de niveau d'accès et les commentaires et définir les solutions.
        Niveau d'accès - Exigences et options de solution

        Ensuite, nous calculons les ports et les liaisons de communication pour les niveaux suivants:

        Niveau de distribution

        Niveau de base

        Niveau du centre de données

        Dans le calcul, nous avons obtenu ce qui suit:

        • niveau d'accès - nécessite des commutateurs d'accès 24 et 48 ports, de préférence avec des ports d'accès 1 Gb et des ports SFP de liaison montante optique avec prise en charge PoE et de nombreuses fonctionnalités:

          • au total, ils donneront 504 ports d'accès, qui, en principe, couvriront les besoins des ports de rechange, s'il est décidé d'utiliser 2 ports par poste de travail - un téléphone IP et un port de données.
          • il est possible d'utiliser à chaque étage un commutateur 48 ports avec fonctionnalité PoE, fournissant des ports d'accès pour les besoins:

            • réserve - environ 102 ports de rechange (22%) sur les bâtiments principaux. Pour les bâtiments supplémentaires un peu plus - 25%.
            • vidéosurveillance
            • réseau sans fil
        • niveau de distribution - nécessite des commutateurs avec un ensemble de ports SFP de 12 à 48 ports avec au moins 2 ports SFP +, avec des capacités d'empilement et des fonctionnalités avancées, ainsi que des blocs d'alimentation redondants.
        • niveau du noyau - nécessite des commutateurs à grande vitesse de 12 à 24 ports SFP / SFP + avec prise en charge à la fois de l'empilement et du clustering avec prise en charge de MC-LAG. Je dois dire qu'il est possible d'utiliser des outils de routage pour équilibrer le trafic. Les générations récentes de commutateurs et routeurs L3 prennent en charge ECMP avec un équilibrage du trafic sur 4 itinéraires ou plus avec la même métrique.
        • niveau du centre de données - nécessite des commutateurs de 8 à 24 ports SFP / SFP + avec prise en charge de l'empilage et du clustering avec prise en charge de MC-LAG.

        Le schéma du réseau cible s'est finalement avéré être

        Choix de commutateurs extrêmes pour un projet


        Eh bien, nous arrivons à l'essentiel - le moment de choisir des commutateurs pour la mise en œuvre de notre projet. Les commutateurs Extreme suivants conviennent au circuit cible résultant:
        NiveauModèlePortsLa description
        noyaux620-16x-Base *

        x670-G2-48x-4q-Base *        		16 x 10GE SFP +



        48x10GE SFP + et 4x40 GE QSFP +        		Pour les besoins de base du noyau:
        • liaisons haut débit
        • fonctions avancées de routage et de sécurité
        • alimentation de secours rouge. alimentations
        • support d'empilage et de clustering

        Avec des exigences minimales, le commutateur de la série x620 convient.
        En cas d'exigences étendues pour le nombre de ports et de fonctionnalités plus étendues, il convient de considérer les commutateurs de la série x670-G2.
        Centre de données
        		x620-16x-Base *

        x590-24x-1q-2c *

        x670-G2-48x-4q-Base *
        		16 x 10GE SFP +



        SFP 24x10GE, 1xQSFP +, 2xQSFP28


        48x10GE SFP + et 4x40 GE QSFP +
        		Pour les besoins de base des datacenters:
        • liaisons haut débit
        • alimentation de secours rouge. alimentations
        • support d'empilage et de clustering

        Avec des exigences minimales, le commutateur de la série x620 convient.
        Dans le cas d'exigences étendues pour le nombre de ports et de fonctionnalités plus étendues, il convient de considérer les commutateurs des séries x670-G2 et x590-24x-1q-2c.
        distribution
        		X460-G2-24x-10GE4-Base *

        X460-G2-48x-10GE4-Base *
        		24x1GE SFP, 8x1000 RJ-45, 4x10GE SFP +



        SFP 48x1GE, SFP 4x10GE
        		Pour les besoins de distribution de base:
        • nombre requis de ports optiques
        • alimentation de secours rouge. alimentations
        • support d'empilage et de clustering
        • fonctionnalité L3 nécessaire

        Les commutateurs de la série x460-G2 sont idéaux. La disponibilité d'alimentations redondantes avec la possibilité d'étendre et d'ajouter des ports 10G, CX (pour l'empilage) et QSFP + en fait des commutateurs idéaux pour le niveau de distribution avec des ports jusqu'à 1 Go.
        accès
        		X440-G2-24p-10GE4 *

        X440-G2-24t-10GE4 *

        X440-G2-48t-10GE4 *

        X440-G2-48p-10GE4 *
        		24x1000BASE-T (combo 4 x SFP), 4x10GE SFP + (budget PoE 380 W)

        24x1000BASE-T (combo 4 x SFP), 4x10GE SFP +


        24x1000BASE-T (4 x combo SFP), 4x10GE SFP + ports combo

        48x1000BASE-T (4 x combo SFP), 4x10GE SFP + ports combo (budget PoE 740 W)
        		Pour les besoins d'accès:
        • nombre requis de ports d'accès
        • Prise en charge PoE / PoE +
        • fonctionnalité et extensibilité des ports
        • bonus supplémentaire sous forme de support pour empiler les ports 10 Go hors de la boîte

        Je recommande de prêter attention à cette ligne sous la forme de sa flexibilité en termes de ports, de performances et de fonctionnalités.

        * La spécification des commutateurs sélectionnés se trouve dans le premier article de la série - un aperçu des commutateurs Extreme

        À ce sujet, je pourrais terminer l'article, mais je voudrais souligner deux autres aspects auxquels tout ingénieur devra faire face lors du développement ou de la mise à niveau de son réseau:

        • travailler avec des chemins de câbles - fibres et lignes de cuivre
        • Adressage IP

        Manipulation des fibres


        Ci-dessus, j'ai dirigé le schéma cible auquel vous devez venir. Pour sa mise en œuvre, le nombre de connexions suivant pour l'équipement est requis:

        nombre de liens

        Comme le montre le tableau, le nombre minimum de fibres nécessaires pour garantir la tolérance aux pannes des niveaux du réseau (module central, centre de données et distributions dans 2 bâtiments) est de 10 pièces.

        Au stade de la caractérisation du réseau, nous avons découvert qu'il n'y a que 8 fibres dans le câble entre les bâtiments. Que faire dans cette situation?

        Je vais donner quelques solutions:

        • la première étape évidente consiste à utiliser des fibres libres dans le câble entre le bâtiment 1 - bâtiment 1 et le bâtiment 1 - bâtiment 2 (comme le montre le tableau - seules 2 des 8 fibres de chaque câble sont utilisées). Pour ce faire, il suffit de placer des croisements optiques entre les croix dans le cas 1 et, si nécessaire, d'utiliser des modules SFP avec une marge de budget optique.
        • la deuxième étape est l'utilisation de la technologie CWDM - compactage des longueurs d'onde porteuses dans une seule fibre. Cette technologie est beaucoup moins chère que DWMD et assez simple à mettre en œuvre. Fondamentalement, les exigences portent sur la qualité des fibres optiques et des émetteurs-récepteurs SFP / SFP + d'une certaine longueur et d'un certain budget. Comme je l'ai dit dans un article précédent, la capacité des commutateurs à reconnaître les émetteurs-récepteurs tiers peut grandement simplifier nos vies et réduire le coût en capital de la construction de câbles optiques supplémentaires.
        • La troisième étape consiste à envisager la possibilité d'augmenter les fibres en posant des câbles optiques supplémentaires.

        Ensuite, nous examinons le nombre de fibres entre les bâtiments avec des commutateurs de distribution installés et supplémentaires. bâtiments 2-10. Ici aussi, loin de tout, c'est si simple:

        • tout d'abord, il n'y a pas assez de fibres pour mettre en œuvre notre schéma cible - 2 fibres pour chaque commutateur (comme nous le rappelons, nous avons des câbles avec 4 OV pour chaque cas)
        • deuxièmement, même s'il y a un nombre suffisant de fibres entre les bâtiments, les fibres MMF sont utilisées à l'intérieur des bâtiments, ce qui ne nous permettra pas de simplement rejoindre les fibres SMF et MMF (je parle de distances entre bâtiments de plus de 300 à 400 mètres)

        Dans de tels cas, les options suivantes peuvent être envisagées:

        • fourniture de chaque commutateur avec des fibres SMF:

          • si la distance le permet, vous pouvez étendre de longs cordons de raccordement supplémentaires entre les commutateurs. À une époque, nous avons utilisé des cordons de brassage de 30 à 50 m de long.
          • exécuter un câble SMF de petite capacité relativement bon marché entre les armoires
          • utiliser en dernier recours divers convertisseurs SMF-MMF
        • Pour minimiser les fibres utilisées entre les bâtiments, vous pouvez:

          • utiliser la fonctionnalité d'empilement des commutateurs d'accès x440-G2 - en même temps, utiliser 1 fibre SMF pour chaque commutateur au sol, ce qui permet au lieu de 6 fibres et ports d'utiliser 3 fibres et ports de chaque côté
          • utilisez 2 fibres pour connecter le premier interrupteur de la branche et le dernier. Agréger les liens sur les commutateurs d'accès frontaliers et utiliser les protocoles STP dans l'anneau résultant.

        Adressage IP


        Ici, je vais donner un calcul d'adressage approximatif pour notre circuit.

        Pour le moment, nous avons plusieurs réseaux de classe B - 172.16.0.0/16. Lors du calcul de l'espace d'adressage IP, je serai guidé par les considérations suivantes:

        • 4 bits du deuxième octet indiqueront les bâtiments - 172.16.0.0/12.
        • Un octet de 3 indiquera le numéro d'étage du bâtiment.
        • 3 octets = 255 seront alloués aux liaisons point à point des équipements et du réseau de contrôle.
        • une gestion VLAN par étage pour la gestion des commutateurs.
        • un VLAN utilisateur par commutateur (24 ports en moyenne).
        • un VLAN voix par commutateur (24 ports en moyenne).
        • un VLAN pour système de vidéosurveillance par étage.
        • un vlan pour les appareils Wi-Fi par étage.

        J'ai obtenu quelque chose comme les tableaux suivants:
        réseau 172.16.0.0/14
        réseau 172.20.0.0/14

        Dans le tableau ci-dessus, j'ai donné une séparation approximative des réseaux entre les bâtiments et les étages d'une part et les réseaux (utilisateur, gestion et service) d'autre part.

        En fait, le choix du réseau gris 172.16.0.0/12 n'est pas le plus optimal, car il nous limite dans le nombre de réseaux (de 16 à 31) pour les bâtiments, et il y a aussi des bureaux distants qui ont également besoin de couper des blocs de réseau, peut-être plus optimaux il y aura une option utilisant les réseaux 10.0.0.0/8, ou partageant les réseaux 172.16.0.0/12 (par exemple, pour les besoins du bureau et les serveurs) et 10.0.0.0/8 (pour les réseaux d'utilisateurs).

        En général, l'approche de l'attribution des réseaux IP est également modulaire et il est conseillé de respecter les règles de sommation des sous-réseaux en un seul réseau récapitulatif aux niveaux de distribution, ainsi que sur les routeurs frontaliers dans les succursales distantes. Cela se fait pour plusieurs raisons:

        • pour minimiser les tables de routage sur les routeurs
        • pour minimiser la surcharge des protocoles de routage (toutes sortes de messages de mise à jour, si les sous-réseaux ne sont pas disponibles)
        • pour simplifier l'administration et une meilleure lisibilité des réseaux L3

        Bien que les 2 premiers points, il convient de noter que la puissance des routeurs modernes est beaucoup plus élevée que celle qui existait il y a 15 à 20 ans et vous permet de contenir de grandes tables de routage dans votre RAM, et le rapport du prix et de la bande passante des canaux de communication a diminué par rapport à aux prix des époques d'utilisation générale des flux E1 / T1 (G.703).

        Conclusion


        Mes amis, dans cet article, j'ai essayé de parler brièvement des principes de base de la conception de réseaux de campus. Oui, il y avait beaucoup de matériel, et cela malgré le fait que je n'ai pas abordé des sujets tels que:

        • organisation de la frontière de l'entreprise (et c'est une autre histoire avec ses commutateurs, ses bordures, son pare-feu, ses systèmes IPS / IDS, DMZ, VPN et autres)
        • organisation de réseaux Wi-Fi
        • organisation de réseaux VoIP
        • organisation du centre de données
        • la sécurité (et c'est aussi son propre monde distinct, qui en termes de volume et d'exigences n'est pas inférieur à la conception d'une infrastructure de réseau propre, et parfois la dépasse)
        • génie énergétique
        • la liste s'allonge encore et encore

        En fait, la conception et la construction d'un réseau d'entreprise est une tâche assez laborieuse, nécessitant beaucoup de temps et de ressources.

        Mais j'espère que mon article vous aidera à évaluer et à comprendre au niveau initial comment aborder cette tâche.

        Ceci est loin du dernier article sur Extreme Networks , alors restez à l'écoute ( Telegram , Facebook , VK , TS Solution Blog )!

Source: https://habr.com/ru/post/fr475332/

More articles:


All Articles