Bagaimana kami merancang dan mengimplementasikan jaringan baru pada Huawei di kantor Moskow, bagian 2

Dalam seri sebelumnya: Jet beralih ke jaringan baru berdasarkan pada vendor terkenal. Bagaimana proses sistem audit, mengumpulkan "Wishlist" dan menjinakkan "Mutant Reserve" berlangsung, baca di bagian pertama .

Kali ini saya akan berbicara tentang proses migrasi pengguna (lebih dari 1600 orang) dari jaringan lama ke yang baru. Saya mengundang semua orang yang tertarik pada kucing.

Jadi, jaringan perusahaan yang ada pada musim panas lalu:

• topologi "collapsed backbone" yang paling sederhana adalah inti jaringan (tingkat distribusi yang sama) yang dibentuk oleh dua sakelar tingkat jaringan yang digabungkan ke dalam kluster VSS;
• tingkat akses diwakili oleh sakelar dan tumpukan sakelar level saluran yang dipasang di persimpangan, dan terkadang langsung di koridor dan bahkan di ruang kerja;
• beberapa sakelar akses termasuk dalam rantai, yaitu sakelar termasuk dalam sakelar lain, dan yang terakhir sudah ada dalam kernel;
• toleransi kesalahan menghubungkan switch akses ke inti disediakan terutama melalui LACP, kadang-kadang tidak disediakan sama sekali;
• kontrol akses - melalui VLAN, perutean VLAN - pada intinya;
• sakelar akses dari tiga pabrikan dan empat generasi digunakan, pengguna terhubung dengan kecepatan dari 100 Mbit / s hingga 1 Gbit / s;
• beberapa pengguna masih menggunakan telepon analog, beberapa menggunakan telepon IP yang terhubung melalui injector PoE, dan sebagian kecil menggunakan telepon IP yang ditenagai oleh PoE dari sakelar akses.

Tantangan:

• membawa jaringan dalam bentuk yang layak;
• tidak mengganggu pekerjaan karyawan selama modernisasi;
• memperbaiki jumlah masalah maksimum yang mungkin telah terakumulasi selama 15 tahun operasi sebelumnya.

Kehidupan lama

Sebelumnya, sistem operasi dan perluasan jaringan di kantor adalah sebagai berikut: misalkan kita perlu mengatur pekerjaan untuk karyawan baru. Area tambahan disewa di pusat bisnis, perbaikan dilakukan, SCS diletakkan, dan kemudian komputer dan jaringan telepon dikerahkan.

Satu tempat kerja terdiri dari 2 hingga 4 soket RJ-45, tergantung pada kebutuhan unit. Salah satu soket ditugaskan melalui telepon (menerima tanda hijau), yang lain (dari satu hingga tiga) ditugaskan oleh komputer (menerima tanda biru).


Soket di tempat kerja yang khas

Setiap soket komputer pada tahap pembangunan jaringan dihubungkan ke port terpisah dari sakelar akses, setiap soket telepon - dengan port analog pertukaran telepon (di kamar lama) atau dengan port sakelar akses yang telah dikonfigurasi untuk transfer data VoIP (di kamar baru).

Skema seperti itu nyaman untuk operasi layanan. Pengguna pindah ke ruang baru, menghubungkan komputer ke soket komputer yang tersedia, dan telepon ke soket telepon yang tersedia.

Setelah itu, staf dukungan teknis, dengan fokus pada alamat MAC dari peralatan yang terhubung, menentukan VLAN yang diperlukan dan parameter lain pada port switch akses.

Tetapi pendekatan itu memiliki kelemahan - itu tidak ekonomis, hingga setengah dari pelabuhan tetap tidak digunakan. Cadangan semacam itu berguna jika, seiring waktu, tempat kerja tambahan diatur di dalam ruangan, tetapi kami belum berhasil menggunakan cadangan 50% sampai akhir.

Mempersiapkan Migrasi

Pada tahap pertama, kami memutuskan untuk mengganti semua sakelar akses. Sebagai standar, model keluarga Huawei S5720 dipilih, khususnya S5720-52X-PWR-SI-AC. Karakteristiknya:

• terhubung ke bagasi dengan kecepatan 10 Gbit / s;
• ditumpuk di atas antarmuka 10G konvensional;
• memungkinkan koneksi ke semua port pengguna dengan kecepatan 1 Gbit / s;
• menyediakan daya PoE pada semua port pengguna.

Dengan demikian, diizinkan untuk menghubungkan komputer, telepon IP, komputer melalui port IP apa pun, titik akses nirkabel, kamera pengawas video, dan perangkat lain ke port apa pun.
Kami harus mencari tahu outlet mana di kamar yang benar-benar digunakan dan apa yang terhubung dengannya. Kami memiliki:

• data proyek peletakan SCS tua dan tidak terlalu lama;
• Majalah kabel “Tidak cukup mutakhir” di seluruh lokasi perusahaan;
• tabel alamat MAC pada sakelar akses yang ada yang kami terima menggunakan peralatan jaringan bawaan;
• tabel korespondensi alamat MAC dari set telepon dan nomor internal pelanggan - dari pertukaran telepon.

Selanjutnya, kami menulis skrip kecil, yang, berdasarkan data ini, mengkompilasi tabel switching dan migrasi (tabel terpisah untuk setiap tahap pekerjaan berikutnya). Mereka berisi informasi berikut:

• ruangan;
• tanda porta di tempat kerja;
• menandai outlet pada panel patch di salib;
• nama (nama host) dari sakelar lama (tumpukan);
• nomor port pada sakelar lama;
• ID VLAN
• Alamat MAC perangkat yang terhubung (atau beberapa);
• jenis perangkat yang terhubung (ditentukan oleh alamat MAC);
• nama (nama host) dari sakelar baru (tumpukan);
• nomor port pada saklar baru.

Hasil Script

Dari tabel seperti itu, langsung jelas apa yang terhubung ke port tertentu - komputer, telepon, komputer melalui telepon (jika ada dua alamat MAC), atau sesuatu yang lebih kompleks.
Berdasarkan tabel, insinyur desain mengembangkan log kabel baru, dan insinyur implementasi pra-konfigurasi switch baru, yang pada tahap migrasi berikutnya dipasang di cross-over bukan yang lama.


Fragmen majalah lintas baru


Akses Pengaturan Port

Dengan demikian, pekerjaannya adalah sebagai berikut:

• nonaktifkan sakelar akses lama, lepaskan kabel patch;
• pasang sakelar akses baru, hubungkan daya;
• melakukan perpindahan lintas-majalah;
• berkeliling ruangan kerja, pastikan ponsel dan komputer berfungsi dengan baik.

Ini terlihat sederhana, tetapi ...

Tahap pertama adalah penggantian sakelar akses: tiga bulan kerja tanpa hari libur

Sejak pertengahan 2018, selama tiga bulan setiap akhir pekan kami mengganti saklar akses dan melakukan pergantian pekerjaan sesuai dengan tabel migrasi kami (total sekitar 3.500 port).
Migrasi pertama memakan waktu lebih dari 12 jam, selama waktu ini kami berhasil mengganti satu tumpukan akses dari lima sakelar dan menghubungkan kembali sekitar 200 port yang terhubung dengannya.
Sebagian besar waktu dihabiskan ... menyiapkan tali patch. Setiap kabel patch harus dibebaskan dari pengemasan dan dilekatkan dengan tag nomor di kedua sisi. Hanya setelah itu kabel patch dapat digunakan untuk beralih.

Pada migrasi berikutnya, kami mengoptimalkan proses, dan menyiapkan kabel patch terlebih dahulu. Oleh karena itu, migrasi terakhir memakan waktu 12 jam yang sama, dan selama waktu ini kami berhasil mengganti lima tumpukan akses, dari 3 hingga 5 sakelar di masing-masing, dan menghubungkan kembali lebih dari 1000 port.

Apa yang kita dapatkan sebagai hasilnya?

Pertama, majalah lintas negara yang diperbarui, yang kami bagikan dengan layanan operasi. Layanan ini telah mengembangkan aplikasi web sendiri untuk mendukung keadaan peralihan saat ini - sekarang dapat ditemukan pada sumber daya internal.

Kedua, pekerjaan yang terhubung ke sakelar akses modern baru. Secara paralel, kami akhirnya menyingkirkan telepon analog dan catu daya terpisah untuk telepon IP, memperbarui dan menyatukan firmware di telepon IP sehingga telepon dan sakelar saling mengenali dengan benar menggunakan protokol LLDP. Hal ini diperlukan agar ponsel memahami VLAN mana yang harus ditransmisikannya frame suara, dan di mana - frame peralatan terhubung melalui telepon. Dengan demikian, telepon dapat mengakses server pertukaran telepon, dan pengguna dapat menghubungkan komputer di stasiun kerja baik secara langsung ke outlet dinding atau melalui telepon.

Ketiga, kami mematikan semua port yang tidak terpakai dari peralatan aktif dan mengkonfigurasi fungsi keamanan port. Pada saat yang sama, kami merumuskan, menyetujui dan menyetujui peraturan tentang koneksi, sekarang tidak ada koneksi "oleh checkout".

Jadi, kami:

• merapikan dan mendokumentasikan semua koneksi peralatan kantor;
• menyingkirkan sakelar lama, injektor PoE, telepon analog;
• berkurangnya konsumsi energi peralatan (untuk persilangan individual dan tempat kerja - hingga 30%);
• meningkatkan pengalaman pengguna dan memelihara cadangan yang cukup memadai dari port peralatan aktif (dengan biaya peningkatan beban spesialis dukungan teknis, terutama ketika memindahkan karyawan ke tempat baru).

Migrasi dalam ayunan penuh - beralih ke jalan raya baru

Setelah tahap pertama selesai, situasi dengan koneksi pengguna kembali normal, tetapi tidak ada yang berubah dengan tulang punggung. Seperti disebutkan di atas, sebelum modernisasi, itu diatur cukup sederhana. Ada sekitar 100 VLAN yang dialihkan pada sakelar pusat, atau lebih tepatnya, pada dua sakelar yang digabungkan ke dalam kluster menggunakan teknologi VSS.

Sejalan dengan tahap migrasi pertama, kami membangun dan menguji jalan raya baru sesuai dengan prinsip-prinsip yang ditetapkan dalam artikel pertama :

• Switch inti Huawei CE8850 yang dipasang
• sakelar distribusi Huawei CE6870 yang diinstal;
• membuka FOCL tambahan;
• menyelesaikan semua koneksi;
• mengkonfigurasi protokol routing overlay dan underlay (tetapi sampai tahap pertama selesai, sakelar tidak bekerja dan memanaskan udara).

Selanjutnya, tahap migrasi berikutnya dimulai. Tidak terlalu lama, tetapi yang paling sulit.

Untuk memulai, kami mengembangkan dan menyetujui rencana pengalamatan IP baru yang memperhitungkan kebutuhan kami saat ini dan masa depan. Rencana baru mengidentifikasi rentang terpisah untuk semua L3VPNs yang direncanakan - untuk pengguna biasa dan pengguna pusat teknis, untuk sistem telepon, sistem konferensi video, kamera pengintai video, stan demonstrasi berbagai jenis dan kebutuhan lainnya.

Kemudian kami menghubungkan seluruh jaringan lama ke sepasang saklar distribusi sebagai tumpukan akses tunggal. Setelah itu, kami mulai mengalihkan tumpukan ke bagasi baru dengan mengubah nomor VLAN dan, dengan demikian, mengubah alamat IP pengguna yang terhubung ke rentang baru.

Kami merencanakan pekerjaan sedemikian rupa untuk mengalihkan sekelompok besar saklar akses pada suatu waktu. Mereka bekerja baik di malam hari atau di akhir pekan, tergantung pada spesifikasi pekerjaan unit yang beralih.

Sebelum mulai bekerja, kami melakukan operasi berikut sebelumnya:

1. mengatur server DHCP perusahaan sehingga menyediakan alamat IP dari rentang baru untuk pengguna yang beralih;
2. Konfigurasikan port pada sakelar distribusi, di mana ia direncanakan untuk menyertakan sakelar akses selama migrasi;
3. Menggunakan skrip lain yang dirancang khusus, kami menyiapkan konfigurasi yang dimodifikasi untuk sakelar yang dapat dialihkan.

Mereka bekerja dengan urutan sebagai berikut:

1. beralih sakelar akses dari bagasi lama ke yang baru;
2. pastikan sakelar dapat diakses pada antarmuka kontrol;
3. konfigurasi yang disiapkan untuk mengubah nomor VLAN dituangkan ke switch yang diaktifkan.

Sebelum melakukan pekerjaan di atas, VLAN yang mengandung antarmuka kontrol semua sakelar akses "direntangkan" antara yang lama dan yang baru, sehingga langkah 2 biasanya membutuhkan waktu minimum. Dalam kasus yang paling sederhana, workstation pengguna (serta telepon, printer, dan perangkat lainnya) segera menerima alamat IP dari rentang baru dari server DHCP dan terus bekerja tanpa perubahan.

Di mana itu tanpa masalah?

Kami menemui beberapa kesulitan di sepanjang jalan.
Pertama, printer berhenti bekerja untuk banyak pengguna. Pada beberapa workstation pengguna, akses ke printer dikonfigurasikan oleh alamat IP tertentu. Setelah mengalihkan printer ke rentang baru, mereka menerima alamat baru, dan pengguna kehilangan akses ke mereka. Untuk menyelesaikan masalah sehari setelah migrasi, kami mengalokasikan spesialis dukungan selama setengah hari untuk memintas pengguna yang menjalani migrasi dan mengkonfigurasi ulang printer untuk menggunakan nama DNS daripada alamat IP.

Saat memigrasi grup pengguna pertama, kami harus menyelesaikan beberapa masalah dengan mengatur firewall dengan benar sehingga mereka memungkinkan pengguna untuk pindah ke sumber daya perusahaan yang diperlukan. Dan dengan semua migrasi berikutnya, kami sudah tahu sebelumnya apa yang perlu dikonfigurasi.

Terakhir, kami memindahkan pusat layanan, yaitu staf shift tugas. Pergeseran tugas harus bekerja terus menerus dan sepanjang waktu, selalu memiliki akses ke sumber daya yang dibutuhkan untuk bekerja, dan ke sistem informasi pelanggan. Untuk orang-orang ini, kami mengorganisir pekerjaan sementara pada waktu yang telah disepakati sebelumnya dan di kamar yang terpisah. Seorang karyawan yang bertugas shift pindah ke ruangan ini, memastikan bahwa ia bisa mendapatkan akses ke semua sistem yang diperlukan. Kemudian sisanya pindah ke ruangan ini.

Kemudian kami melakukan migrasi unit terkait, mengundang salah satu petugas yang bertugas untuk kembali ke tempat mereka dan memeriksa ketersediaan semua sumber daya yang diperlukan. Masalah segera diperbaiki, jika ada yang terdeteksi. Ada beberapa masalah. Setelah itu, pergantian tugas lagi-lagi beralih dari "tempat penampungan sementara" ke mode kerja yang biasa di tempat kerja mereka dengan seluruh rangkaian sistem informasi yang mereka butuhkan.

Pada titik tertentu, kami menemukan bahwa tidak ada workstation pengguna tunggal yang tersisa di jaringan lama! Dan mereka membuka sampanye. Selanjutnya, kami mulai memigrasi segmen server. Skema lain sudah diterapkan untuk itu, karena server biasanya tidak dapat dihentikan bahkan selama 15 menit. Saya akan membahas ini secara terpisah di artikel berikutnya .

Maxim Klochkov
Konsultan Senior, Audit Jaringan dan Proyek Terpadu
Pusat Solusi Jaringan
Jet Infosystems