आज मैं इस बारे में बात करूंगा कि हमारी कंपनी के लिए एक नया आंतरिक नेटवर्क बनाने का विचार कैसे प्रकट हुआ और इसका एहसास हुआ। प्रबंधन की स्थिति - खुद के लिए आपको ग्राहक के रूप में एक ही पूर्ण परियोजना बनाने की आवश्यकता है। यदि हम इसे अपने लिए अच्छी तरह से करते हैं, तो हम ग्राहक को आमंत्रित करने और यह दिखाने में सक्षम होंगे कि हम उसे क्या पेशकश करते हैं। इसलिए, हमने पूर्ण उत्पादन चक्र का उपयोग करते हुए मॉस्को कार्यालय के लिए नए नेटवर्क की अवधारणा के विकास को बहुत अच्छी तरह से संपर्क किया: विभागों की जरूरतों का विश्लेषण → तकनीकी समाधान की पसंद → डिजाइन → कार्यान्वयन → परीक्षण। तो यहाँ हम चलते हैं।
तकनीकी समाधान की पसंद: म्यूटेंट का आरक्षित
एक जटिल स्वचालित प्रणाली पर काम करने की प्रक्रिया अब तक GOST 34.601-90 "स्वचालित सिस्टम" में वर्णित है। सृष्टि के चरण ”, इसलिए हमने इस पर काम किया। और पहले से ही आवश्यकताओं को बनाने और एक अवधारणा विकसित करने के चरणों में, हमने पहली कठिनाइयों का सामना किया। विभिन्न प्रोफाइल के संगठन - बैंक, बीमा कंपनियां, सॉफ्टवेयर डेवलपर्स, आदि - उनके कार्यों और मानकों के लिए, कुछ प्रकार के नेटवर्क की आवश्यकता होती है, जिनमें से विशिष्ट और स्पष्ट मानकीकृत हैं। हालांकि, यह हमारे साथ काम नहीं करेगा।
क्यों?
जेट इंफोसिस्टम एक बड़ी बहु-विषयक आईटी कंपनी है। इसी समय, हमारा आंतरिक सहायता विभाग छोटा है (लेकिन गर्व है), यह बुनियादी सेवाओं और प्रणालियों की उपलब्धता सुनिश्चित करता है। कंपनी में कई डिवीजन होते हैं जो अलग-अलग कार्य करते हैं: इसमें कई शक्तिशाली आउटसोर्सिंग टीम, और व्यापार प्रणालियों के अपने स्वयं के डेवलपर्स, और सूचना सुरक्षा, और कंप्यूटर परिसरों के आर्किटेक्ट शामिल हैं - सामान्य तौर पर, जो कोई भी नहीं है। तदनुसार, उनके कार्य, प्रणाली और सुरक्षा नीतियां भी भिन्न हैं। जरूरतों के विश्लेषण और उनके मानकीकरण की प्रक्रिया में क्या मुश्किलें पैदा की गई थीं।
उदाहरण के लिए, विकास विभाग: इसके कर्मचारी बड़ी संख्या में ग्राहकों के लिए कोड लिखते और परीक्षण करते हैं। अक्सर परीक्षण वातावरण को जल्दी से व्यवस्थित करने की आवश्यकता होती है, और स्पष्ट रूप से, प्रत्येक परियोजना के लिए सभी आंतरिक नियमों के अनुसार आवश्यकताओं का निर्माण, संसाधनों का अनुरोध करना और एक अलग परीक्षण वातावरण का निर्माण करना हमेशा संभव नहीं होता है। यह जिज्ञासु स्थितियों को जन्म देता है: एक बार जब आपके विनम्र नौकर ने डेवलपर्स के कमरे में देखा और टेबल के नीचे 20 डेस्कटॉप का एक अच्छी तरह से काम कर रहे हडोप क्लस्टर को देखा, जो अनावश्यक रूप से एक आम नेटवर्क से जुड़ा था। मुझे लगता है कि यह निर्दिष्ट करने के लायक नहीं है कि कंपनी के आईटी विभाग को इसके अस्तित्व के बारे में नहीं पता था। यह परिस्थिति, कई अन्य लोगों की तरह, इस तथ्य की अपराधी बन गई कि परियोजना के विकास के दौरान, "उत्परिवर्ती रिजर्व" शब्द का जन्म हुआ, जो लंबे समय से पीड़ित कार्यालय के बुनियादी ढांचे की स्थिति का वर्णन करता है।
या यहाँ एक और उदाहरण है। समय-समय पर, एक इकाई के अंदर एक परीक्षण बेंच स्थापित की जाती है। यह जीरा और कंफ्लुएंस के मामले में था, जिन्हें कुछ परियोजनाओं में सॉफ्टवेयर डेवलपमेंट सेंटर द्वारा सीमित रूप से उपयोग किया गया था। कुछ समय बाद, इन उपयोगी संसाधनों को अन्य प्रभागों में पाया गया, मूल्यांकन किया गया, और 2018 के अंत में, जीरा और कॉन्फ्लुएंस "स्थानीय खिलौना प्रोग्रामर" की स्थिति से "कंपनी संसाधनों" की स्थिति में चले गए। अब मालिक को इन प्रणालियों को सौंपा जाना चाहिए, SLAs, पहुंच / सुरक्षा नीतियों, बैकअप नीतियों, निगरानी नीतियों, समाधानों के अनुरोधों के लिए रूटिंग नियमों को परिभाषित किया जाना चाहिए - सामान्य तौर पर, एक संपूर्ण सूचना प्रणाली के सभी गुण मौजूद होने चाहिए।
हमारी प्रत्येक इकाई एक इनक्यूबेटर भी है जो अपने स्वयं के उत्पादों को विकसित करती है। उनमें से कुछ विकास के चरण में मर जाते हैं, जिनमें से कुछ हम परियोजनाओं पर काम की अवधि के दौरान उपयोग करते हैं, जबकि अन्य रूट लेते हैं और दोहराया समाधान बन जाते हैं जो हम खुद को लागू करना शुरू करते हैं और ग्राहकों को बेचते हैं। ऐसी प्रत्येक प्रणाली के लिए, अपना स्वयं का नेटवर्क वातावरण होना वांछनीय है, जहां यह अन्य प्रणालियों के साथ हस्तक्षेप किए बिना विकसित होगा, और कुछ बिंदु पर इसे कंपनी के बुनियादी ढांचे में एकीकृत किया जा सकता है।
विकास के अलावा, हमारे पास 500 से अधिक कर्मचारियों के साथ एक बहुत बड़ा
सेवा केंद्र है , जो प्रत्येक ग्राहक के लिए टीमों में बनता है। वे नेटवर्क और अन्य प्रणालियों के रखरखाव, रिमोट मॉनिटरिंग, अनुप्रयोगों के निपटान, और इसी तरह से लगे हुए हैं। यही है,
एससी का बुनियादी ढांचा वास्तव में ग्राहक का बुनियादी ढांचा है, जिसके साथ वे वर्तमान में काम कर रहे हैं। नेटवर्क के इस हिस्से के साथ काम करने की ख़ासियत यह है कि हमारी कंपनी के लिए उनके वर्कस्टेशन आंशिक रूप से बाहरी और आंशिक रूप से आंतरिक हैं। इसलिए, एससी के लिए हमने निम्नलिखित दृष्टिकोण को लागू किया - कंपनी इन इकाइयों के कार्यस्थानों को बाहरी कनेक्शन (शाखाओं और दूरस्थ उपयोगकर्ताओं के समान) के रूप में देखते हुए, नेटवर्क और अन्य संसाधनों के साथ संबंधित इकाई प्रदान करती है।
राजमार्ग डिजाइन: हम ऑपरेटर (आश्चर्य) हैं
सभी नुकसानों का मूल्यांकन करने के बाद, हमने महसूस किया कि हमें एक कार्यालय के भीतर एक दूरसंचार ऑपरेटर का नेटवर्क मिल रहा था, और उसी के अनुसार कार्य करना शुरू किया।
हमने एक बैकबोन नेटवर्क बनाया, जिसकी मदद से किसी भी आंतरिक, और दीर्घकालिक परिप्रेक्ष्य में, बाहरी उपभोक्ता को आवश्यक सेवा प्रदान की जाती है: L2 VPN, L3 VPN या पारंपरिक L3 रूटिंग। कुछ विभागों को सुरक्षित इंटरनेट की आवश्यकता है, जबकि अन्य को फायरवॉल के बिना स्वच्छ पहुंच की आवश्यकता है, लेकिन हमारे कॉर्पोरेट संसाधनों और उनके ट्रैफ़िक से कोर नेटवर्क के संरक्षण के साथ।
प्रत्येक विभाजन के साथ, हमने अनौपचारिक रूप से "एक SLA का समापन किया"। इसके अनुसार, उत्पन्न होने वाली सभी घटनाओं को समय की अवधि में एक निश्चित, पहले से सहमति में समाप्त किया जाना चाहिए। अपने नेटवर्क के लिए कंपनी की आवश्यकताएं सख्त हो गईं। टेलीफोन और ईमेल विफलताओं के लिए अधिकतम घटना प्रतिक्रिया समय 5 मिनट था। ठेठ विफलताओं के दौरान नेटवर्क का पुनर्प्राप्ति समय एक मिनट से अधिक नहीं है।
चूंकि हमारे पास एक कैरियर-क्लास नेटवर्क है, आप इसे केवल नियमों के अनुसार सख्त तरीके से जोड़ सकते हैं। सेवा विभाग नीतियां स्थापित करते हैं और सेवाएं प्रदान करते हैं। उन्हें विशिष्ट सर्वर, वर्चुअल मशीन और वर्कस्टेशन के कनेक्शन के बारे में भी जानकारी की आवश्यकता नहीं है। लेकिन एक ही समय में, सुरक्षा तंत्र की आवश्यकता होती है, क्योंकि किसी भी कनेक्शन को नेटवर्क को अक्षम नहीं करना चाहिए। गलती से एक लूप बनाते समय, अन्य उपयोगकर्ताओं को इस पर ध्यान नहीं देना चाहिए, अर्थात्, एक पर्याप्त नेटवर्क प्रतिक्रिया आवश्यक है। कोई भी टेलिकॉम ऑपरेटर लगातार अपने कोर नेटवर्क के भीतर इस तरह के जटिल कार्यों को हल करता है। यह विभिन्न आवश्यकताओं और यातायात के साथ कई ग्राहकों को सेवा प्रदान करता है। इसी समय, विभिन्न ग्राहकों को दूसरों के यातायात से असुविधा का अनुभव नहीं करना चाहिए।
घर पर, हमने इस समस्या को निम्नानुसार हल किया: हमने
आईएस-आईएस प्रोटोकॉल का उपयोग करके पूर्ण अतिरेक के साथ एक बुनियादी एल 3 नेटवर्क बनाया।
EVPN /
VXLAN तकनीक पर आधारित एक ओवरले नेटवर्क को
MPB -BGP रूटिंग
प्रोटोकॉल का उपयोग करके बैकबोन के ऊपर बनाया गया था। रूटिंग प्रोटोकॉल के अभिसरण में तेजी लाने के लिए,
बीएफडी तकनीक का उपयोग किया गया था।
नेटवर्क संरचनापरीक्षणों में, इस तरह की योजना उत्कृष्ट साबित हुई - जब कोई भी चैनल या स्विच बंद कर दिया जाता है, तो अभिसरण समय 0.1-0.2 s से अधिक नहीं होता है, कम से कम पैकेट (अक्सर कोई नहीं) खो जाता है, टीसीपी सत्र टूट नहीं जाते हैं, टेलीफोन वार्तालाप बाधित नहीं होते हैं।
अंडरले स्तर - रूटिंग
लेवल ओवरले - रूटिंगवितरण स्विच के रूप में, VXLAN लाइसेंस के साथ हुआवेई CE6870 स्विच का उपयोग किया गया था। इस उपकरण में मूल्य / गुणवत्ता का एक इष्टतम संयोजन है, आप ग्राहकों को 10 Gbit / s की गति से कनेक्ट करने और 40-100 Gbit / s की गति से ट्रंक से कनेक्ट करने की अनुमति देता है, जो उपयोग किए गए ट्रांसीवर पर निर्भर करता है।
हुआवेई CE6870 स्विचकोर स्विच के रूप में, हुआवेई CE8850 स्विच का उपयोग किया गया था। कार्य से - जल्दी और मज़बूती से यातायात संचारित करने के लिए। वितरण स्विच के अलावा कोई भी उपकरण उनसे जुड़ा नहीं है, वे VXLAN के बारे में कुछ भी नहीं जानते हैं, इसलिए 32 40/100 Gbit / s पोर्ट वाला एक मॉडल चुना गया था, जिसमें एक मूल लाइसेंस है जो L3 रूटिंग और IS-IS और MP-BGP प्रोटोकॉल के लिए समर्थन प्रदान करता है ।
सबसे कम Huawei CE8850 कोर स्विच हैडिजाइन चरण में, उन तकनीकों के बारे में टीम के भीतर एक चर्चा शुरू हुई जिसके साथ आप कोर नेटवर्क के नोड्स में एक असफल-सुरक्षित कनेक्शन को लागू कर सकते हैं। हमारा मास्को कार्यालय तीन भवनों में स्थित है, हमारे पास 7 क्रॉस रूम हैं, जिनमें से प्रत्येक में दो Huawei CE6870 वितरण स्विच स्थापित किए गए थे (कई क्रॉस रूम में केवल कुछ एक्सेस स्विच स्थापित किए गए थे)। नेटवर्क अवधारणा विकसित करते समय, दो बैकअप विकल्पों पर विचार किया गया था:
- प्रत्येक क्रॉस रूम में एक असफल-सुरक्षित स्टैक में वितरण स्विच का संयोजन। पेशेवरों: सादगी और सेटअप में आसानी। विपक्ष: नेटवर्क उपकरणों के फर्मवेयर ("मेमोरी लीक" और इसी तरह) में त्रुटियों को प्रकट करने पर पूरे स्टैक की विफलता की उच्च संभावना है।
- वितरण स्विच में उपकरणों को जोड़ने के लिए एम-एलएजी और एनीकास्ट गेटवे प्रौद्योगिकियों को लागू करें।
नतीजतन, हम दूसरे विकल्प पर बस गए। इसे कॉन्फ़िगर करना कुछ अधिक कठिन है, लेकिन व्यवहार में इसने अपने प्रदर्शन और उच्च विश्वसनीयता को दिखाया है।
वितरण स्विच में पहले टर्मिनल डिवाइस को जोड़ने पर विचार करें:
क्रॉस-बिंदुएक एक्सेस स्विच, सर्वर, या किसी भी अन्य डिवाइस के लिए दो वितरण स्विच में एक विफलता कनेक्शन की आवश्यकता होती है। M-LAG तकनीक लिंक अतिरेक प्रदान करती है। यह माना जाता है कि दो वितरण स्विच जुड़े उपकरणों के लिए एक डिवाइस की तरह दिखते हैं। अतिरेक और लोड संतुलन LACP प्रोटोकॉल का उपयोग करके किया जाता है।
एनीकट गेटवे तकनीक नेटवर्क स्तर पर अतिरेक प्रदान करती है। वितरण स्विच में से प्रत्येक को पर्याप्त मात्रा में वीआरएफ के साथ कॉन्फ़िगर किया गया है (प्रत्येक वीआरएफ को अपने स्वयं के उद्देश्यों के लिए डिज़ाइन किया गया है - "साधारण" उपयोगकर्ताओं के लिए अलग-अलग, टेलीफोनी के लिए, अलग-अलग - अलग परीक्षण और विकास के वातावरण के लिए, आदि), और प्रत्येक में वीआरएफ ने कई वीएलएएन को कॉन्फ़िगर किया। हमारे नेटवर्क में, वितरण स्विच उनसे जुड़े सभी उपकरणों के लिए डिफ़ॉल्ट गेटवे हैं। VLANs से संबंधित आईपी पते दोनों वितरण स्विच के लिए समान हैं। निकटतम स्विच के माध्यम से ट्रैफ़िक को रूट किया जाता है।
अब वितरण स्विच को कर्नेल से जोड़ने पर विचार करें:
आईएस-आईएस प्रोटोकॉल के अनुसार, नेटवर्क स्तर पर दोष सहिष्णुता प्रदान की जाती है। कृपया ध्यान दें - स्विचेस के बीच एक अलग L3 संचार लाइन 100G की गति से प्रदान की जाती है। शारीरिक रूप से, यह संचार लाइन एक डायरेक्ट एक्सेस केबल है, इसे Huawei CE6870 स्विच की तस्वीर में दाईं ओर देखा जा सकता है।
एक विकल्प "ईमानदार" पूरी तरह से जुड़े डबल स्टार टोपोलॉजी को व्यवस्थित करना होगा, लेकिन, जैसा कि ऊपर उल्लेख किया गया है, हमारे पास तीन भवनों में 7 क्रॉस रूम हैं। तदनुसार, यदि हमने "डबल स्टार" टोपोलॉजी को चुना है, तो हमें कई "लॉन्ग-रेंज" 40G ट्रांससीवर्स के रूप में दो बार की आवश्यकता होगी। यहां बचत बहुत महत्वपूर्ण है।
मुझे कुछ शब्द कहने की ज़रूरत है कि कैसे VXLAN और Anycast गेटवे तकनीक एक साथ काम करते हैं। VXLAN, यदि विवरण में नहीं जा रहा है, तो यूडीपी पैकेट के अंदर ईथरनेट फ्रेम परिवहन के लिए एक सुरंग है। वितरण स्विच के लूपबैक इंटरफेस को VXLAN सुरंग के गंतव्य आईपी पते के रूप में उपयोग किया जाता है। प्रत्येक स्विच में समान लूपबैक इंटरफ़ेस पते के साथ दो स्विच होते हैं, क्रमशः एक पैकेट उनमें से किसी पर भी आ सकता है, और इससे एक ईथरनेट फ्रेम निकाला जा सकता है।
यदि स्विच निकाले गए फ्रेम के गंतव्य मैक पते के बारे में जानता है, तो फ्रेम को सही ढंग से उसके गंतव्य तक पहुंचाया जाएगा। एम-एलएजी तंत्र, जो दोनों पर मैक एड्रेस टेबल (साथ ही एआरपी टेबल) के सिंक्रनाइज़ेशन के लिए प्रदान करता है, यह सुनिश्चित करने के लिए जिम्मेदार है कि एक क्रॉस में स्थापित दोनों वितरण स्विचेस एक्सेस स्विच से आने वाले सभी मैक पते के बारे में अप-टू-डेट जानकारी है। एम-एलएजी जोड़ी स्विच।
वितरण स्विच के लूपबैक इंटरफेस के लिए कई मार्गों के अंडरले नेटवर्क में मौजूदगी के कारण ट्रैफ़िक संतुलन प्राप्त किया जाता है।
एक निष्कर्ष के बजाय
जैसा कि ऊपर उल्लेख किया गया है, परीक्षण के दौरान और संचालन में, नेटवर्क ने उच्च विश्वसनीयता (सैकड़ों मिलीसेकंड से अधिक की विशिष्ट विफलताओं के लिए पुनर्प्राप्ति समय) और अच्छा प्रदर्शन दिखाया - प्रत्येक क्रॉस को 40 Gbit / s के दो चैनलों द्वारा कोर के साथ जोड़ा गया। हमारे नेटवर्क में एक्सेस स्विच स्टैक्ड हैं और दो 10 Gb / s चैनल के साथ LACP / M-LAG वितरण स्विच से जुड़े हैं। स्टैक में आमतौर पर प्रत्येक में 48 पोर्ट के साथ 5 स्विच होते हैं, प्रत्येक क्रॉस में 10 एक्सेस स्टैक वितरण से जुड़े होते हैं। इस प्रकार, बैकबोन अधिकतम सैद्धांतिक लोड पर भी, प्रति उपयोगकर्ता लगभग 30 Mbit / s प्रदान करता है, जो लेखन के समय हमारे सभी व्यावहारिक अनुप्रयोगों के लिए पर्याप्त है।
नेटवर्क आपको एल 2 और एल 3 के माध्यम से किसी भी मनमाने ढंग से जुड़े उपकरणों की जोड़ी को आसानी से व्यवस्थित करने की अनुमति देता है, जिससे यातायात का पूर्ण अलगाव (जो सूचना सुरक्षा सेवा द्वारा पसंद किया जाता है) और विफलता डोमेन (जो ऑपरेशन सेवा द्वारा पसंद किया जाता है) प्रदान करता है।
अगले भाग में , हम वर्णन करेंगे कि हम एक नए नेटवर्क में कैसे चले गए। देखते रहो!
मैक्सिम क्लोचकोव
वरिष्ठ सलाहकार, नेटवर्क लेखा परीक्षा और एकीकृत परियोजनाएं
नेटवर्क समाधान केंद्र
जेट इन्फोसिस्टम्स