Artikel ini adalah yang kedua dari serangkaian artikel yang berjudul “Bagaimana Mengambil Infrastruktur Jaringan Di Bawah Kontrol Anda”. Isi semua artikel dalam seri dan tautan dapat ditemukan di sini .
Tujuan kami pada tahap ini adalah untuk membersihkan dokumentasi dan konfigurasi.
Pada hasil dari proses ini, Anda harus memiliki kumpulan dokumen yang diperlukan dan jaringan yang dikonfigurasi sesuai dengan mereka.
Sekarang kita tidak akan berbicara tentang audit keamanan - bagian ketiga akan dikhususkan untuk ini.
Kesulitan menyelesaikan tugas pada tahap ini, tentu saja, sangat bervariasi dari perusahaan ke perusahaan.
Situasi ideal adalah kapan
- jaringan Anda dibuat sesuai dengan proyek dan Anda memiliki set dokumen lengkap
- perusahaan Anda telah menerapkan proses untuk memantau dan mengelola perubahan untuk jaringan
- sesuai dengan proses ini, Anda memiliki dokumen (termasuk semua skema yang diperlukan) yang memberikan informasi lengkap tentang keadaan terkini
Dalam hal ini, tugas Anda cukup sederhana. Anda harus mempelajari dokumen dan melihat semua perubahan yang telah dibuat.
Dalam skenario terburuk, Anda akan memilikinya
- jaringan yang dibuat tanpa proyek, tanpa rencana, tanpa koordinasi, oleh insinyur yang tidak memiliki tingkat kualifikasi yang memadai,
- dengan perubahan kacau, tidak berdokumen, dengan banyak "sampah" dan solusi yang kurang optimal
Jelas bahwa situasi Anda ada di antara keduanya, tetapi, sayangnya, lebih baik pada skala ini - lebih buruk dengan probabilitas tinggi, Anda akan lebih dekat ke akhir terburuk.
Dalam hal ini, Anda juga perlu kemampuan untuk membaca pikiran, karena Anda harus belajar untuk memahami apa yang "desainer" ingin lakukan, mengembalikan logika mereka, menyelesaikan apa yang belum selesai dan menghapus "sampah".
Dan, tentu saja, Anda harus menghentikan kesalahan mereka, mengubah (pada tahap ini sesedikit mungkin) desain dan mengubah atau membuat ulang rangkaian.
Artikel ini tidak dimaksudkan untuk bersifat komprehensif dengan cara apa pun. Di sini saya hanya akan menjelaskan prinsip-prinsip umum dan membahas beberapa masalah umum yang harus diatasi.
Kumpulan dokumen
Mari kita mulai dengan sebuah contoh.
Berikut ini adalah beberapa dokumen yang biasanya dibuat oleh Cisco Systems dalam desain.
CR - Persyaratan Khusus, persyaratan pelanggan (penugasan teknis).
Itu dibuat bersama-sama dengan pelanggan dan mendefinisikan persyaratan jaringan.
HLD - Desain Tingkat Tinggi, desain tingkat tinggi yang didasarkan pada persyaratan jaringan (CR). Dokumen tersebut menjelaskan dan membenarkan keputusan arsitektur yang diadopsi (topologi, protokol, pemilihan peralatan, ...). HLD tidak mengandung detail desain, misalnya, tentang antarmuka yang digunakan dan alamat IP. Selain itu, konfigurasi peralatan spesifik tidak dibahas di sini. Sebaliknya, dokumen ini dimaksudkan untuk menjelaskan konsep desain utama kepada manajemen teknis pelanggan.
LLD - Desain Tingkat Rendah, desain tingkat rendah berdasarkan tingkat tinggi (HLD).
Ini harus berisi semua detail yang diperlukan untuk pelaksanaan proyek, seperti informasi tentang cara menghubungkan dan mengkonfigurasi peralatan. Ini adalah panduan lengkap untuk implementasi desain. Dokumen ini harus memberikan informasi yang cukup untuk implementasinya bahkan oleh personel yang tidak terlalu berkualitas.
Sesuatu, misalnya, alamat IP, nomor AS, kabel, dapat "dikeluarkan" dalam dokumen terpisah, seperti NIP (Network Implementation Plan).
Konstruksi jaringan dimulai setelah pembuatan dokumen-dokumen ini dan terjadi sesuai dengan mereka dan kemudian diperiksa oleh pelanggan (tes) untuk kesesuaian dengan desain.
Tentu saja, integrator yang berbeda, pelanggan yang berbeda, di negara yang berbeda, persyaratan untuk dokumentasi proyek dapat berbeda. Tapi saya ingin menghindari formalitas dan mempertimbangkan masalah pada manfaatnya. Tahap ini bukan tentang desain, tetapi tentang menata hal-hal dan kita perlu satu set dokumen (skema, tabel, deskripsi ...) yang cukup untuk menyelesaikan tugas kita.
Dan menurut saya, ada minimum absolut tertentu, yang tanpanya mustahil untuk secara efektif mengontrol jaringan.
Ini adalah dokumen-dokumen berikut:
- skema (log) dari switching fisik (kabel)
- sirkuit atau sirkuit jaringan dengan informasi L2 / L3 yang signifikan
Skema Pengalihan Fisik
Di beberapa perusahaan kecil, pekerjaan yang berhubungan dengan pemasangan peralatan dan pemasangan kabel fisik adalah tanggung jawab insinyur jaringan.
Dalam hal ini, masalahnya sebagian diselesaikan dengan pendekatan berikut.
- gunakan deskripsi pada antarmuka untuk menggambarkan apa yang terhubung dengannya
- secara administratif mematikan semua port peralatan jaringan yang tidak terhubung
Ini akan memberi Anda kesempatan, bahkan jika ada masalah dengan tautan (ketika cdp atau lldp tidak berfungsi pada antarmuka ini), dengan cepat menentukan apa yang terhubung ke port ini.
Anda juga dapat dengan mudah melihat port mana yang sibuk dan mana yang gratis, yang diperlukan untuk merencanakan koneksi untuk peralatan jaringan baru, server atau workstation.
Tetapi jelas bahwa jika Anda kehilangan akses ke peralatan, maka Anda akan kehilangan akses ke informasi ini. Selain itu, dengan cara ini Anda tidak akan dapat mencatat informasi penting seperti peralatan seperti apa, dengan konsumsi daya apa, dengan berapa banyak port, di mana rak berada, panel patch apa yang ada dan di mana (di mana rak / panel patch) mereka terhubung . Oleh karena itu, semua dokumentasi tambahan yang sama (tidak hanya deskripsi perangkat keras) sangat berguna.
Pilihan ideal adalah menggunakan aplikasi yang dirancang untuk bekerja dengan informasi semacam ini. Tetapi Anda dapat membatasi diri untuk tabel sederhana (misalnya, di Excel) atau menampilkan informasi yang Anda anggap perlu dalam skema L1 / L2.
Penting!
Seorang insinyur jaringan, tentu saja, dapat dengan baik mengetahui seluk-beluk dan standar SCS, jenis rak, jenis catu daya tak terputus, apa koridor yang dingin dan panas, membuat landasan yang tepat ... seperti pada prinsipnya dia bisa mengetahui fisika partikel atau C ++. Tetapi orang harus mengerti, bahwa semua ini bukan bidang pengetahuannya.
Oleh karena itu, adalah praktik yang baik untuk memiliki departemen yang berdedikasi atau orang-orang yang berdedikasi untuk menyelesaikan masalah yang terkait dengan instalasi, koneksi, pemeliharaan kinerja peralatan, serta pergantian fisik. Biasanya, untuk pusat data, ini adalah insinyur pusat data, dan untuk kantor, help-desk.
Jika unit seperti itu disediakan di perusahaan Anda, maka masalah pemeliharaan log switching fisik bukanlah tugas Anda, dan Anda dapat membatasi diri hanya dengan menjelaskan pada antarmuka dan secara administratif mematikan port yang tidak digunakan.
Diagram jaringan
Tidak ada pendekatan universal untuk skema menggambar.
Yang paling penting, skema harus memberikan pemahaman tentang bagaimana lalu lintas akan pergi, melalui mana elemen logis dan fisik jaringan Anda.
Yang kami maksud dengan elemen fisik
- peralatan aktif
- antarmuka / port peralatan aktif
Di bawah logika -
- perangkat logis (N7K VDC, Palo Alto VSYS, ...)
- VRF
- vilanas
- subinterfaces
- terowongan
- zona
- ...
Juga, jika jaringan Anda tidak sepenuhnya elementer, itu akan terdiri dari segmen yang berbeda.
Sebagai contoh
- pusat data
- internet
- Wan
- akses jarak jauh
- LAN kantor
- Dmz
- ...
Adalah masuk akal untuk memiliki beberapa skema yang memberikan gambaran umum (bagaimana lalu lintas berjalan di antara semua segmen ini) dan penjelasan rinci dari setiap segmen individu.
Karena jaringan modern dapat memiliki banyak level logis, ada kemungkinan bahwa pendekatan yang baik (tetapi tidak wajib) adalah membuat skema yang berbeda untuk level yang berbeda, misalnya, dalam kasus pendekatan overlay, ini dapat berupa skema berikut:
- hamparan
- Underlay L1 / L2
- Underlay L3
Tentu saja, skema paling penting yang tanpanya mustahil untuk memahami ide desain Anda adalah skema routing.
Skema routing
Paling tidak, diagram ini harus mencerminkan
- protokol routing apa dan di mana digunakan
- informasi dasar tentang pengaturan protokol routing (area / nomor AS / router-id / ...)
- tempat redistribusi perangkat terjadi
- tempat penyaringan dan agregasi rute terjadi
- informasi rute default
Juga sering bermanfaat adalah sirkuit L2 (OSI).
Sirkuit L2 (OSI)
Informasi berikut dapat tercermin dalam diagram ini:
- apa vlan
- port mana yang merupakan port trunk
- port mana yang dikumpulkan dalam ether-channel (port channel), saluran port virtual
- protokol STP apa dan perangkat apa yang digunakan
- Pengaturan utama STP: cadangan root / root, biaya STP, prioritas port
- pengaturan STP lanjutan: BPDU guard / filter, root guard ...
Kesalahan Desain Khas
Contoh pendekatan yang buruk untuk membangun jaringan.
Mari kita ambil contoh sederhana membangun LAN kantor sederhana.
Memiliki pengalaman mengajar telekomunikasi kepada siswa, saya dapat mengatakan bahwa hampir semua siswa pada pertengahan semester kedua memiliki pengetahuan yang diperlukan (sebagai bagian dari kursus yang saya ajarkan) untuk mendirikan LAN kantor yang sederhana.
Apa yang sulit untuk menghubungkan switch satu sama lain, mengkonfigurasi antarmuka VLAN, SVI (dalam kasus switch L3) dan mengatur routing statis?
Semuanya akan berhasil.
Tetapi pada saat yang sama, masalah terkait dengan
- keamanan
- pemesanan
- skala jaringan
- kinerja
- bandwidth
- keandalan
- ...
Kadang-kadang, saya mendengar pernyataan bahwa LAN kantor adalah sesuatu yang sangat sederhana dan saya biasanya mendengarnya dari insinyur (dan manajer) yang melakukan segalanya, tetapi bukan jaringan, dan mereka mengatakannya dengan penuh percaya diri sehingga tidak heran jika LAN akan dilakukan oleh orang-orang dengan praktik dan pengetahuan yang tidak memadai, dan akan dibuat dengan kira-kira kesalahan yang akan saya jelaskan di bawah ini.
Kesalahan Desain L1 Lapisan Umum (OSI)
- Namun, jika Anda bertanggung jawab, termasuk untuk SCS, maka salah satu warisan paling tidak menyenangkan yang mungkin Anda dapatkan adalah peralihan yang ceroboh dan tanpa pertimbangan.
Juga, untuk mengetik L1, saya akan mengklasifikasikan kesalahan yang terkait dengan sumber daya peralatan yang digunakan, misalnya,
- bandwidth tidak cukup
- TCAM tidak mencukupi pada peralatan (atau penggunaannya yang tidak efisien)
- kinerja tidak mencukupi (sering merujuk pada firewall)
Kesalahan Desain L2 Lapisan Umum (OSI)
Seringkali, ketika tidak ada pemahaman yang baik tentang bagaimana STP bekerja, apa potensi masalah yang menyertainya, switch terhubung secara acak, dengan pengaturan default, tanpa penyetelan tambahan STP.
Akibatnya, kita sering memiliki yang berikut ini
- diameter STP besar dari jaringan, yang dapat menyebabkan Broadcast badai
- Root STP akan ditentukan secara acak (berdasarkan alamat mac) dan jalur lalu lintas akan menjadi kurang optimal
- port yang terhubung ke host tidak akan dikonfigurasikan sebagai edge (portfast), yang akan mengarah pada penghitungan ulang STP ketika switching titik akhir on / off
- jaringan tidak akan tersegmentasi pada level L1 / L2, akibatnya masalah dengan sakelar apa pun (misalnya, kelebihan daya) akan menyebabkan penghitungan ulang topologi STP dan menghentikan lalu lintas di semua VLAN pada semua sakelar (termasuk kritis dari sudut pandang kontinuitas) segmen layanan)
Contoh Kesalahan Desain L3 (OSI)
Beberapa kesalahan khas yang dilakukan networker pemula:
- sering menggunakan (atau hanya menggunakan) routing statis
- penggunaan protokol routing yang tidak optimal untuk desain ini
- segmentasi jaringan logis suboptimal
- penggunaan ruang alamat yang tidak optimal, yang tidak memungkinkan agregasi rute
- kurangnya rute cadangan
- kurangnya redundansi untuk gateway default
- perutean asimetris ketika membangun kembali rute (bisa sangat penting dalam kasus NAT / PAT, statefull firewall)
- masalah dengan MTU
- ketika membangun kembali rute, lalu lintas melewati zona keamanan lain atau bahkan firewall lain, yang mengarah pada kenyataan bahwa lalu lintas ini menurun
- skalabilitas topologi yang buruk
Kriteria Penilaian Kualitas Desain
Ketika kita berbicara tentang optimalitas / bukan optimalitas, kita harus memahami dalam hal kriteria apa kita dapat mengevaluasi ini. Di sini, dari sudut pandang saya, kriteria yang paling signifikan (tetapi tidak semua) (dan dekripsi dalam kaitannya dengan protokol routing):
- skalabilitas
Misalnya, Anda memutuskan untuk menambah pusat data lain. Betapa mudahnya Anda bisa melakukannya. - kenyamanan dalam manajemen (pengelolaan)
Seberapa mudah dan amannya perubahan operasional, seperti mengumumkan kisi baru atau rute pemfilteran - ketersediaan
Berapa persen waktu yang dibutuhkan sistem Anda untuk memberikan tingkat layanan yang diperlukan - keamanan
Seberapa amankah data yang dikirimkan? - harga
Perubahan
Prinsip dasar pada tahap ini dapat diekspresikan oleh formula "jangan membahayakan".
Oleh karena itu, bahkan jika Anda tidak cukup setuju dengan desain dan implementasi yang dipilih (konfigurasi), tidak selalu disarankan untuk melakukan perubahan. Pendekatan yang masuk akal adalah untuk menentukan peringkat semua masalah yang diidentifikasi dalam dua cara:
- betapa mudahnya masalah ini dapat diperbaiki
- berapa banyak risiko yang dia bawa
Pertama-tama, perlu untuk menghilangkan apa yang saat ini mengurangi tingkat layanan yang disediakan di bawah yang diizinkan, misalnya, masalah yang menyebabkan paket loss. Kemudian hilangkan apa yang paling mudah dan paling aman untuk dihilangkan untuk mengurangi keparahan risiko (dari masalah desain atau konfigurasi yang membawa risiko lebih besar ke risiko yang lebih kecil).
Perfeksionisme pada tahap ini bisa berbahaya. Bawa desain ke kondisi memuaskan dan sinkronkan konfigurasi jaringan sesuai dengannya.