Geekly articles weekly

3. Desain Jaringan Perusahaan pada Sakelar Ekstrim



Selamat sore teman! Hari ini saya akan melanjutkan seri tentang Extreme Switches dengan artikel tentang Desain Jaringan Perusahaan.

Dalam artikel ini saya akan mencoba sesingkat mungkin:

  • menggambarkan pendekatan modular untuk desain jaringan Etnterprise
  • pertimbangkan jenis-jenis konstruksi salah satu modul terpenting dari jaringan perusahaan - jaringan inti (ip-kampus)
  • menggambarkan keuntungan dan kerugian dari opsi cadangan untuk node jaringan kritis
  • pada contoh abstrak, desain / perbarui jaringan perusahaan kecil
  • Pilih Sakelar Ekstrim untuk Menerapkan Jaringan yang Dirancang
  • bekerja dengan serat dan pengalamatan IP

Artikel ini akan lebih menarik bagi insinyur jaringan dan administrator jaringan yang baru memulai karir mereka sebagai profesional jaringan, daripada insinyur berpengalaman yang telah bekerja selama bertahun-tahun di operator telekomunikasi atau di perusahaan besar dengan jaringan yang didistribusikan secara geografis.

Dalam hal apa pun, tertarik silakan meminta kucing.

Pendekatan Desain Jaringan Modular


Saya akan memulai artikel saya dengan pendekatan modular yang agak populer untuk desain jaringan, yang memungkinkan Anda untuk menyusun puzzle dari potongan-potongan jaringan menjadi satu gambar lengkap.

Pertama, sedikit abstraksi - Saya sangat sering menyajikan pendekatan ini sebagai zoom pada geo-maps, ketika dalam perkiraan pertama suatu negara terlihat, di wilayah kedua, di kota ketiga, dll.

Sebagai contoh, perhatikan contoh ini:

  • Perkiraan pertama - seluruh jaringan perusahaan adalah sekumpulan tingkat yang berbeda:
    • jaringan inti atau kampus
    • tingkat batas
    • tingkat operator telekomunikasi
    • daerah terpencil

  • Perkiraan kedua - masing-masing level ini dirinci pada modul terpisah
    • jaringan inti atau kampus terdiri dari:
      • Modul 3 atau 2 tingkat yang menggambarkan jaringan perusahaan dan levelnya - akses, distribusi, dan / atau inti
      • modul yang menggambarkan pusat data - pusat data (pada dasarnya bagian server dari infrastruktur)

    • level batas pada gilirannya terdiri dari:
      • modul koneksi internet
      • Modul WAN dan MAN, yang bertanggung jawab untuk menghubungkan objek yang didistribusikan secara geografis dari perusahaan
      • modul untuk membangun terowongan VPN dan akses akses jarak jauh
      • seringkali banyak perusahaan kecil memiliki beberapa modul ini, atau bahkan semuanya, digabungkan menjadi satu

    • tingkat penyedia:
      • Level ini mencakup komunikasi "ke dunia luar" - serat optik gelap (penyewaan serat dari operator), saluran komunikasi (Ethernet, G.703, dll.), Akses Internet.

    • tingkat jauh:
      • sebagian besar, ini adalah cabang dari suatu perusahaan yang didistribusikan di dalam kota, wilayah, negara, atau bahkan benua.
      • zona ini juga dapat mencakup pusat data cadangan, yang menduplikasi pekerjaan utama
      • dan tentu saja, teleworker (workstation jarak jauh) yang telah mendapatkan popularitas akhir-akhir ini


  • Perkiraan ke-3 - masing-masing modul dipecah menjadi modul atau level yang lebih kecil. Misalnya, di jaringan kampus:
    • Jaringan 3 tingkat dibagi menjadi:
      • tingkat akses
      • tingkat distribusi
      • tingkat inti

    • Pusat data dalam kasus yang lebih kompleks dapat dibagi menjadi:
      • 2 atau 3 bagian jaringan tingkat
      • sisi server


    Saya akan mencoba menampilkan semua hal di atas dalam gambar sederhana berikut:



    Seperti dapat dilihat dari gambar di atas, pendekatan modular membantu untuk merinci dan menyusun keseluruhan gambar menjadi elemen-elemen penyusun yang dapat dikerjakan di masa depan.

    Dalam artikel ini, saya akan fokus pada level Campus Enterprise dan menjelaskannya secara lebih rinci.

    Jenis-jenis Jaringan IP-Kampus


    Ketika saya bekerja di penyedia dan terutama kemudian dalam pekerjaan integrator, saya menemukan "kematangan" jaringan pelanggan yang berbeda. Saya tidak menggunakan istilah jatuh tempo untuk apa-apa, karena cukup sering ada kasus ketika struktur jaringan tumbuh dengan pertumbuhan perusahaan itu sendiri dan ini, pada prinsipnya, logis.

    Di sebuah perusahaan kecil yang berlokasi di dalam gedung yang sama, jaringan perusahaan hanya dapat terdiri dari 1 router perbatasan yang bertindak sebagai firewall, beberapa sakelar akses, dan beberapa server.

    Saya menyebut jaringan semacam itu untuk saya sendiri sebagai jaringan "satu tingkat" - sama sekali tidak ada tingkat inti jaringan yang eksplisit di dalamnya, tingkat distribusi dialihkan ke router perbatasan (dengan firewall, VPN, dan kemungkinan fungsi proxy), dan sakelar akses melayani komputer dan server karyawan.



    Dalam hal pertumbuhan perusahaan - peningkatan jumlah karyawan, layanan, dan server, seringkali Anda harus:

    • menambah jumlah switch jaringan dan port akses
    • meningkatkan kapasitas server
    • fight broadcasts domains - mengimplementasikan segmentasi jaringan dan rute antar segmen
    • untuk menangani kegagalan jaringan yang menyebabkan downtime karyawan, karena ini memerlukan biaya keuangan tambahan untuk manajemen (karyawan menganggur, gaji dibayarkan, tetapi pekerjaan tidak dilakukan)
    • dalam proses mengatasi kegagalan, pikirkan tentang membuat cadangan node jaringan yang kritis - router, switch, server dan layanan
    • kencangkan kebijakan keamanan, karena risiko komersial mungkin timbul dan, sekali lagi, untuk operasi jaringan yang lebih stabil

    Semua ini mengarah pada fakta bahwa insinyur (administrator jaringan) cepat atau lambat akan berpikir tentang pembangunan jaringan yang benar dan sampai pada model 2-level.

    Model ini sudah dengan jelas membedakan dirinya dari 2 level - level akses dan level distribusi, yang juga merupakan level inti (collapsed-core).

    Tingkat distribusi dan kernel gabungan melakukan fungsi-fungsi berikut:

    • menggabungkan tautan dari sakelar akses
    • memperkenalkan perutean segmen jaringan - ada begitu banyak pengguna dan perangkat yang mereka tidak muat di jaringan yang sama / 24, dan jika ya, badai penyiaran menyebabkan kegagalan permanen (terutama jika pengguna membantu mereka dengan membuat loop)
    • menyediakan komunikasi antara segmen switch tetangga (melalui tautan yang lebih cepat)
    • Ini menyediakan komunikasi antara pengguna dan perangkat mereka dan server pertanian, yang juga saat ini mulai menonjol di segmen jaringan yang terpisah - pusat data.
    • mulai memberikan, bersama-sama dengan sakelar akses, ke tingkat tertentu, kebijakan keamanan yang mulai muncul di perusahaan pada saat ini. Perusahaan ini berkembang, risiko komersial juga meningkat (di sini maksud saya tidak hanya ketentuan tentang rahasia dagang, diferensiasi kebijakan akses, dll., Tetapi juga pada downtime dasar jaringan dan karyawan).

    Dengan demikian, jaringan cepat atau lambat tumbuh menjadi model 2 tingkat:



    Dalam model ini, persyaratan khusus muncul untuk sakelar level akses yang menggabungkan tautan dari pengguna dan perangkat jaringan (printer, titik akses, perangkat VoIP, telepon IP, kamera IP, dll.) Dan sakelar level distribusi dan kernel.

    Sakelar akses harus lebih cerdas dan fungsional untuk memenuhi persyaratan kinerja jaringan, keamanan dan fleksibilitas, dan harus:

    • memiliki berbagai jenis port akses dan port trunk - lebih disukai dengan kemungkinan margin untuk pertumbuhan lalu lintas, dan jumlah port
    • memiliki kapasitas switching dan bandwidth yang memadai
    • memiliki fungsi keamanan yang diperlukan yang akan memenuhi kebijakan keamanan saat ini (dan idealnya, pertumbuhan persyaratan lebih lanjut)
    • dapat menyalakan perangkat jaringan yang sulit dijangkau dengan kemampuan untuk me-reboot mereka dari jauh (PoE, PoE +)
    • dapat menyimpan daya listrik mereka sendiri untuk menggunakannya di tempat-tempat di mana diperlukan
    • untuk memiliki (jika mungkin) potensi pertumbuhan lebih lanjut dari fungsional adalah contoh yang sering ketika saklar akses berubah menjadi saklar distribusi dari waktu ke waktu

    Sakelar distribusi, pada gilirannya, juga tunduk pada persyaratan berikut:

    • baik dalam hal port hilir trunk menuju sakelar akses, dan menuju antarmuka peer dari sakelar distribusi tetangga (dan selanjutnya memungkinkan antarmuka uplink menuju inti)
    • dalam hal fungsional L2 dan L3
    • dalam hal fungsi keamanan
    • dalam hal memastikan toleransi kesalahan (redundansi, pengelompokan dan redundansi catu daya)
    • tentang fleksibilitas dalam menyeimbangkan lalu lintas
    • memiliki (jika mungkin) potensi pertumbuhan fungsional lebih lanjut (transformasi dari waktu ke waktu perangkat agregasi menjadi inti)
    • dalam beberapa kasus pada sakelar distribusi, mungkin perlu menggunakan port PoE, PoE +.

    Lebih jauh, lebih lanjut: jika perusahaan mengejar kebijakan pertumbuhan aktif dan pengembangan perusahaan, jaringan juga akan terus berkembang di masa depan - perusahaan dapat mulai menyewakan gedung-gedung tetangga, membangun gedung sendiri atau menyerap pesaing yang lebih kecil, sehingga meningkatkan jumlah pekerjaan bagi karyawan. Pada saat yang sama, jaringan juga berkembang, yang membutuhkan:

    • menyediakan karyawan dengan pekerjaan - switch akses baru dengan port akses diperlukan
    • ketersediaan sakelar distribusi baru untuk agregasi tautan dari sakelar akses
    • pembangunan baru serta modernisasi jalur komunikasi yang ada

    Akibatnya, ada peningkatan lalu lintas karena alasan berikut:

    • karena peningkatan port akses dan, karenanya, pengguna jaringan
    • karena peningkatan lalu lintas subsistem terkait yang memilih jaringan perusahaan untuk dirinya sendiri sebagai transportasi - telepon, keamanan, sistem teknik, dll.
    • karena pengenalan layanan tambahan - dengan pertumbuhan staf, departemen baru muncul yang memerlukan perangkat lunak tertentu
    • kapasitas komputasi pusat data untuk memenuhi persyaratan infrastruktur dan aplikasi
    • persyaratan keamanan untuk jaringan dan informasi sedang tumbuh - triad CIA yang terkenal (hanya bercanda), tetapi serius, CIA - Kerahasiaan, Integritas, dan Ketersediaan:

      • dalam hal ini, ke tingkat kritis jaringan - distribusi dan pusat data ada persyaratan tambahan untuk toleransi kesalahan dan redundansi
      • Sekali lagi, ada peningkatan lalu lintas karena pengenalan sistem keamanan baru - misalnya, RCVI, dll.


    Cepat atau lambat, pertumbuhan lalu lintas, layanan, dan jumlah pengguna akan mengarah pada kebutuhan untuk memperkenalkan tingkat tambahan jaringan - kernel, yang akan melakukan switching / routing paket berkecepatan tinggi menggunakan tautan komunikasi berkecepatan tinggi.

    Pada titik ini, perusahaan dapat beralih ke model jaringan 3-tier:



    Seperti yang dapat Anda lihat pada gambar di atas - dalam jaringan seperti itu ada tingkat inti yang mengumpulkan tautan cepat dari sakelar distribusi. Dengan demikian, sakelar kernel juga memiliki persyaratan untuk:

    • bandwidth antarmuka - 1GE, 2.5GE, 10GE, 40GE, 100GE
    • beralih kinerja (kapasitas switching dan kinerja penerusan)
    • jenis antarmuka - 1000BASE-T, SFP, SFP +, QSFP, QSFP +
    • jumlah dan set antarmuka
    • opsi redundansi (susun, pengelompokan, redundansi kartu kendali (relevan untuk sakelar modular), catu daya redundan, dll.)
    • fungsional

    Pada level jaringan ini, sudah pasti diperlukan modifikasi teknisnya:

    • Reservasi node dan tautan kernel (sangat, sangat, sangat diinginkan)
    • pemesanan node dan tautan dari tautan level distribusi (tergantung pada kritikalitasnya)
    • pemesanan tautan komunikasi antara sakelar akses dan tingkat distribusi (jika perlu)
    • input protokol routing dinamis
    • menyeimbangkan lalu lintas di kernel dan di tingkat distribusi dan akses (jika perlu)
    • pengenalan layanan tambahan - layanan transportasi dan keamanan (jika perlu)

    dan legal, menentukan kebijakan keamanan jaringan perusahaan, yang melengkapi kebijakan keamanan umum dalam hal:

    • persyaratan untuk implementasi dan konfigurasi fungsi keamanan tertentu pada sakelar akses dan distribusi
    • persyaratan untuk akses, pemantauan, dan pengelolaan peralatan jaringan (protokol akses jarak jauh diizinkan untuk mengelola segmen jaringan, pengaturan logging, dll.)
    • persyaratan reservasi
    • persyaratan untuk pembentukan set suku cadang minimum yang diperlukan

    Pada bagian ini, saya menjelaskan secara singkat evolusi jaringan dan perusahaan dari beberapa switch dan beberapa lusinan karyawan menjadi beberapa lusinan (atau mungkin ratusan switch) dan beberapa ratus (atau bahkan ribuan) hanya karyawan yang bekerja langsung dalam jaringan perusahaan (dan setelah semua ada juga departemen produksi dan jaringan teknik).
    Jelas bahwa dalam kenyataannya perkembangan perusahaan yang "luar biasa" dan cepat itu tidak terjadi.
    Biasanya dibutuhkan bertahun-tahun bagi perusahaan dan jaringan untuk tumbuh dari tingkat pertama ke 3 yang saya jelaskan.

    Mengapa saya menulis semua kebenaran umum ini? Lalu, apa yang ingin saya sebutkan di sini adalah istilah seperti ROI - pengembalian investasi (pengembalian / pengembalian investasi) dan mempertimbangkan sisi yang terkait langsung dengan pilihan peralatan jaringan.

    Ketika memilih peralatan, insinyur jaringan dan manajer mereka sering memilih peralatan berdasarkan 2 faktor - harga peralatan saat ini dan fungsionalitas teknis minimum yang saat ini diperlukan untuk menyelesaikan tugas atau tugas tertentu (saya akan membahas pembelian peralatan untuk cadangan nanti).

    Pada saat yang sama, kemungkinan "pertumbuhan" peralatan lebih lanjut jarang dipertimbangkan. Jika suatu situasi muncul ketika peralatan kehabisan tenaga dalam hal fungsionalitas atau produktivitas, maka lebih kuat dan fungsional dibeli di masa depan, dan yang lama dikirim ke gudang, atau di suatu tempat ke jaringan dengan prinsip "tetap" (ini, omong-omong, juga menyebabkan penampilan kebun binatang besar peralatan) dan pengadaan banyak sistem informasi yang bekerja dengannya).

    Jadi, alih-alih membeli bagian dari lisensi untuk ditambahkan. fungsi dan kinerja, yang jauh lebih murah daripada peralatan baru dan lebih berkinerja tinggi, Anda harus membeli perangkat keras baru dan membayar lebih untuk alasan berikut:

    • jaringan sering tumbuh lambat dan perluasan fungsionalitas, atau kinerja pergantian jaringan Anda dapat bertahan lama
    • Bukan rahasia lagi bahwa peralatan vendor asing terikat dengan mata uang asing (dolar atau euro). Sejujurnya - pertumbuhan dolar atau euro (atau devaluasi-rubel mini berkala, berikut ini cara melihat) mengarah pada fakta bahwa dolar 10 tahun yang lalu dan dolar sekarang merupakan hal yang sama sekali berbeda dari sudut pandang rubel

    Merangkum semua hal di atas, saya ingin mencatat bahwa membeli peralatan jaringan dengan fungsi yang lebih luas sekarang dapat mengarah pada penghematan di masa depan.
    Di sini, saya mempertimbangkan biaya pembelian peralatan dalam konteks berinvestasi di jaringan dan infrastruktur saya.

    Dengan demikian, banyak vendor (tidak hanya Ekstrim) mematuhi prinsip pay-as-you-grow, meletakkan pada peralatan banyak fungsi dan peluang untuk meningkatkan produktivitas antarmuka, yang kemudian diaktifkan dengan pembelian lisensi individual. Mereka juga menawarkan sakelar modular dengan berbagai antarmuka dan kartu prosesor, dan kemampuan untuk secara bertahap meningkatkan jumlah dan kinerjanya.

    Reservasi Node Kritis


    Pada bagian artikel ini, saya ingin menjelaskan secara singkat prinsip-prinsip dasar redundansi node jaringan penting seperti switch inti, pusat data atau distribusi. Dan saya ingin memulai dengan melihat jenis redundansi yang umum - susun dan pengelompokan.

    Setiap metode memiliki pro dan kontra, yang ingin saya bicarakan.

    Di bawah ini adalah tabel ringkasan umum yang membandingkan 2 metode:



    • manajemen - seperti yang dapat dilihat dari tabel, penumpukan merupakan keuntungan dalam hal ini, karena dari sudut pandang mengelola setumpuk beberapa sakelar, tampaknya merupakan satu sakelar dengan sejumlah besar port. Alih-alih mengelola misalnya 8 switch berbeda selama pengelompokan, Anda hanya dapat mengelola satu ketika menumpuk.
    • jarak - pada saat ini, secara tegas, keuntungan dari clustering tidak begitu jelas, karena ada teknologi untuk menumpuk switch melalui port stacking atau port tujuan ganda (misalnya, SummitStack-V dengan Extreme, VSS dengan Cisco, dll.), yang juga tergantung pada jenis transceiver. Di sini keuntungan diberikan kepada pengelompokan pada prinsip bahwa ketika menumpuk ada opsi di mana Anda harus menggunakan port penumpukan biasa, yang sering dihubungkan dengan kabel khusus dengan panjang terbatas - 0,5, 1, 1,5, 3 atau 5 meter.
    • pembaruan peranti lunak - di sini kita melihat bahwa pengelompokan memiliki keunggulan dibandingkan penumpukan dan berikut ini adalah kasusnya - ketika memperbarui versi peranti lunak dari peralatan selama penumpukan, Anda memperbarui peranti lunak pada sakelar utama, yang kemudian mengambil peran menempatkan peranti lunak baru pada sakelar-sakelar stack anggota yang siaga. Di satu sisi, ini membuat pekerjaan Anda lebih mudah, tetapi pembaruan perangkat lunak seringkali memerlukan reboot perangkat keras dari peralatan, yang mengarah ke reboot seluruh stack dan dengan demikian mengganggu pekerjaannya dan semua layanan yang terkait dengannya untuk suatu waktu = waktu reboot. Ini biasanya sangat penting untuk inti dan pusat data. Dalam pengelompokan - Anda memiliki 2 perangkat yang tidak tergantung satu sama lain, di mana Anda dapat memperbarui perangkat lunak secara berurutan. Pada saat yang sama, gangguan layanan dapat dihindari.
    • konfigurasi pengaturan - di sini keuntungannya tentu saja dengan susun, karena dalam kasus ini dan dengan manajemen Anda perlu mengedit pengaturan hanya untuk satu perangkat dan file konfigurasinya. Dalam clustering, jumlah file konfigurasi akan sama dengan jumlah node cluster.
    • toleransi kesalahan - di sini kedua teknologi kira-kira sama, tetapi pengelompokan memiliki sedikit keuntungan. Alasannya di sini terletak pada hal berikut - jika kita mempertimbangkan tumpukan dari sudut pandang proses dan protokol yang berjalan, maka kita akan melihat yang berikut:
      • ada saklar induk tempat semua proses dan protokol utama berjalan (misalnya, protokol routing dinamis - OSPF)
      • ada sakelar sakelar slave lain yang menjalankan proses utama yang diperlukan untuk bekerja di stack dan melayani lalu lintas yang melewatinya
      • jika sakelar master sakelar gagal, sakelar prioritas berikutnya mendeteksi kegagalan utama
      • itu memulai dirinya sebagai master dan memulai semua proses yang bekerja pada master (termasuk protokol OSPF yang kami amati)
      • ( ), OSPF
      • OSPF ( , slave ). , , , - .

    • โ€” , . ยซยป ยซ ยป. . โ€” VRRP, HSRP .
    • โ€” . , :
      • ( )
      • ( )

    • โ€” . , - . 4:3 . . -, โ€” , , , .

    IT ( , ), /o , . Putty Windows ( ).

    ( ) , - .

    . , , โ€” .

    , :

    :

    • โ€” 2- , ( 1- ) .
    • โ€” , .
    • โ€” .

    / ( ) :

    • 2- , , ( )

    :

    • , , โ€” .
    • (LACP, MLT, PAgP ..) .
    • ECMP (Equal-Cost-Multi-Path) โ€” best path ( ) best-path ( ), , .

    , , , :

    • , X, 3- :

    • :

      • โ€” OSPF, MP-BGP, MPLS, PIM, IGMP, IPv6 ..
      • โ€” , L2 L3 VPN, VoIP, IPTV, ..

    • โ€” , BGP-
    • , ( )
    • ,
    • , โ€” MTBF
    • , 4 , 22 .

    , .

    , ( , - . , 2- RP , ).

    โ€” RP , NBD.

    , RP, ( 3 ).

    ( ) :

    • , , 60-70%
    • , 900 . ()
    • 3 1 620 . 1 890 .

    , , , :

    • , 3-4 โ€” , , ..
    • ,
    • โ€” , ,

    :

    • NBD
    • 1 โ€” 1.3 90%

    , , .

    Enterprise


    . PPDIOO (Prepare-Planning-Design-Implement-Operate-Optimize), :

    • Prepare/ โ€” , โ€” , . โ€” , , . .
    • Planning/ โ€” ( ), .. :

      • L2 L3
      • Wi-Fi c
      • , , , , ( ). - . , . . operate.

    • Design/ โ€” , , - . .

    , .

    Prepare , :

    • , 700-800 ( , )
    • - :
    • :

      • โ€” 2
      • โ€” 7
      • โ€” 3 ( 21)
      • =~ 250

    • :

      • โ€” 10
      • / โ€” 2
      • โ€” 3
      • =~ 20

    • ( , ) :
      • 2- L2:

        • 1Gb RJ-45 โ€” 24
        • 1Gb SFP โ€” 4
      • 1- L2:

        • 1Gb SFP โ€” 24
      • โ€”
      • peer-to-peer
    • :
      • L3 /
    • :

      • L2 16 x 100 Mb RJ-45 2- combo- RJ-45/SFP
      • :

        • (hub-and-spoke โ€” ) /
        • /spoke โ€” 3
      • 9 ( )
    • :

      • :
        • 2- 8
        • 1- ( ) 8
        • 1- . 4 ( )
        • โ€” /SMF
        • 2- SFP
        • (ODF) (-/),

      • :

        • :
        • Cat5e โ€” 10 ( 100 )
        • /MMF 4 8 โ€” 1
        • /MMF 4
        • Cat5e
      • :

        • , 6
        • 1Gb 1-
      • L2, L3 :
        • VLAN โ€” 2,3
        • /24
        • B, โ€” 172.16.0.0/16
        • L3 /
      • :

        • :
          • ( IP-)
          • ,
          • IP- , CRM-
        • :

          • , 25-30%
          • PoE/PoE+ โ€”
        • :
          • PoE
        • :

          • PoE
        • , :

          • N
          • โ€” , port-security 802.1.
          • โ€” , โ€”
          • jumlah anggaran - di sini, setiap perusahaan sudah menentukan sendiri, dipandu oleh indikator keuangannya
          • tenggat waktu - dalam kasus paling ideal, tidak akan ada tenggat waktu yang jelas, karena ini adalah proyek internal perusahaan, yang dilaksanakan oleh kekuatan karyawannya, atau mereka akan relatif nyaman - misalnya, 1 tahun (atau lebih). Dalam kasus terburuk, bisa dari 3 bulan hingga enam bulan.
        • memperbaiki masalah jaringan saat ini:

          • paket hilang
          • masalah dengan DHCP pada switch akses yang kurang lebih cerdas terkait dengan penggunaan keluarga protokol STP untuk memerangi loop pada port akses.
          • menyingkirkan kehadiran antarmuka server DHCP di setiap VLAN karyawan
          • terjadinya loop pengalihan yang terkait dengan penyertaan sakelar yang dikelola / tidak dikelola secara tidak sah dalam kabinet dan menghubungkan berbagai perangkat dengan mereka
          • daftar berjalan dan terus ...

        Langkah Perencanaan - karakteristik keadaan jaringan Anda saat ini, seperti yang sudah saya tulis, tergantung pada ketersediaan sistem pemantauan berkualitas tinggi dan tingkat dokumentasinya. Pada langkah ini Anda harus:

        • setidaknya buat sketsa jaringan yang ada untuk analisis lebih lanjut
        • mengumpulkan data dari peralatan:

          • lalu lintas port trunk
          • kesalahan port
          • Penggunaan CPU dan konsumsi memori pada sakelar dan router
          • melukis skema L2-L3 dengan VLAN dan alamat IP
        • naikkan diagram rute kabel:

          • diagram serat dan kabel silang optik
          • skema distribusi kabel tembaga antara server dan lantai
          • skema distribusi kabel tembaga antara lantai dan lemari
          • periksa crossover optik dan panel tambalan di server dan lemari
        • periksa skema daya di server dan kabinet lantai
        • periksa UPS dan baterai di situs-situs penting
        • menganalisis semua data

        Dipandu oleh data dari tahap persiapan, saya mendapat perkiraan diagram logis:



        Selanjutnya, mengikuti pendekatan modular, perlu untuk menyoroti level dan modul perusahaan:



        Saya tidak akan menyentuh perbatasan dalam artikel ini, tetapi mengingat secara singkat tesis dasar untuk masing-masing modul Kampus:

        • Akses - pada level ini harus menyediakan:
          • jumlah port yang diperlukan untuk akses pengguna ke jaringan
          • penegakan kebijakan keamanan - menyaring lalu lintas dan protokol
          • kompresi broadcast domain dan segmentasi jaringan menggunakan VLAN
          • implementasi VLAN terpisah untuk lalu lintas suara
          • Dukungan QoS
          • dukungan untuk port akses PoE
          • Dukungan IP multicast
          • toleransi kesalahan tautan uplink dalam hubungannya dengan tingkat distribusi (diinginkan)
        • Distribusi - pada level ini harus disediakan:

          • jumlah port yang diperlukan untuk menghubungkan sakelar akses
          • agregasi dan pemesanan tautan sakelar akses
          • Routing IP
          • penyaringan paket
          • Dukungan QoS
          • toleransi kesalahan pada level tautan, peralatan dan catu daya (sangat diinginkan)
        • Inti - harus menyediakan:

          • packet switching dan kecepatan routing yang tinggi
          • diperlukan sejumlah port untuk menghubungkan sakelar distribusi
          • dukungan untuk IP routing dan protokol routing dinamis dengan konvergensi jaringan yang cepat
          • Dukungan QoS
          • fungsi keamanan untuk melindungi akses ke peralatan dan mengendalikan pesawat
          • toleransi kesalahan pada tingkat peralatan dan catu daya (wajib)
        • DPC - level jaringan dari modul ini harus menyediakan:

          • tautan komunikasi kecepatan tinggi
          • jumlah port yang diperlukan untuk menghubungkan server
          • reservasi tautan komunikasi antara server dan sakelar pusat data, dan antara sakelar pusat data dan inti jaringan (wajib)
          • peralatan dan redundansi daya (wajib)
          • Dukungan QoS

        Selanjutnya, kita perlu menghitung port dan tautan komunikasi kita dan menentukan persyaratannya.
        Level Akses - Bagan Perhitungan Port

        Jadi, kami mendapat data tentang distribusi port akses untuk bangunan. Sekarang Anda perlu menganalisis persyaratan untuk tingkat akses dan komentar serta solusi garis besar.
        Level Akses - Persyaratan dan Opsi Solusi

        Selanjutnya, kami menghitung port dan tautan komunikasi untuk level berikut:

        Tingkat distribusi

        Tingkat inti

        Tingkat Pusat Data

        Dalam perhitungan kami mendapat yang berikut:

        • tingkat akses - memerlukan sakelar akses port 24 dan 48, lebih disukai dengan port akses 1Gb dan port SFP uplink optik dengan dukungan PoE dan fungsionalitas luas:

          • secara total, mereka akan memberikan 504 port akses, yang, pada prinsipnya, akan mencakup persyaratan port cadangan, jika diputuskan untuk menggunakan 2 port per workstation - telepon IP dan port data.
          • adalah mungkin untuk menggunakan di setiap lantai switch 48-port dengan fungsionalitas PoE, menyediakan port akses untuk persyaratan:

            • cadangan - sekitar 102 pelabuhan cadangan (22%) di bangunan utama. Untuk bangunan tambahan sedikit lebih banyak - 25%.
            • pengawasan video
            • jaringan nirkabel
        • tingkat distribusi - memerlukan sakelar dengan satu set port SFP dari 12 hingga 48 port dengan setidaknya 2 port SFP +, dengan kemampuan menumpuk dan fungsionalitas canggih, serta catu daya yang berlebihan.
        • level kernel - membutuhkan sakelar kecepatan tinggi dari 12 hingga 24 port SFP / SFP + dengan dukungan untuk penumpukan dan pengelompokan dengan dukungan untuk MC-LAG. Saya harus mengatakan bahwa adalah mungkin untuk menggunakan alat perutean untuk menyeimbangkan lalu lintas. Sakelar dan router L3 generasi terbaru mendukung ECMP dengan penyeimbangan lalu lintas pada 4 rute atau lebih dengan metrik yang sama.
        • tingkat pusat data - membutuhkan sakelar dari 8 hingga 24 port SFP / SFP + dengan dukungan untuk penumpukan dan pengelompokan dengan dukungan untuk MC-LAG.

        Diagram jaringan target pada akhirnya ternyata

        Memilih Sakelar Ekstrim untuk Proyek


        Nah, di sini kita sampai pada hal utama - saat memilih sakelar untuk implementasi proyek kami. Sakelar ekstrim berikut cocok untuk sirkuit target yang dihasilkan:
        LevelModelPelabuhanDeskripsi
        intix620-16x-Base *

        x670-G2-48x-4q-Base *        		16 x 10GE SFP +



        48x10GE SFP + dan 4x40 GE QSFP +        		Untuk kebutuhan dasar kernel:
        • tautan berkecepatan tinggi
        • perutean canggih dan fitur keamanan
        • cadangan daya merah. pasokan listrik
        • dukungan susun dan pengelompokan

        Dengan persyaratan minimum, sakelar x620 series cocok.
        Dalam hal persyaratan yang diperluas untuk jumlah port dan fungsionalitas yang lebih luas, ada baiknya mempertimbangkan sakelar seri x670-G2.
        Pusat data
        		x620-16x-Base *

        x590-24x-1q-2c *

        x670-G2-48x-4q-Base *
        		16 x 10GE SFP +



        SFP 24x10GE, 1xQSFP +, 2xQSFP28


        48x10GE SFP + dan 4x40 GE QSFP +
        		Untuk kebutuhan pusat data dasar:
        • tautan berkecepatan tinggi
        • cadangan daya merah. pasokan listrik
        • dukungan susun dan pengelompokan

        Dengan persyaratan minimum, sakelar x620 series cocok.
        Dalam hal persyaratan yang diperluas untuk jumlah port dan fungsionalitas yang lebih luas, ada baiknya mempertimbangkan sakelar seri x670-G2 dan x590-24x-1q-2c.
        distribusi
        		X460-G2-24x-10GE4-Base *

        X460-G2-48x-10GE4-Base *
        		24x1GE SFP, 8x1000 RJ-45, 4x10GE SFP +



        48x1GE SFP, 4x10GE SFP +
        		Untuk kebutuhan distribusi dasar:
        • diperlukan sejumlah port optik
        • cadangan daya merah. pasokan listrik
        • dukungan susun dan pengelompokan
        • fungsi L3 yang diperlukan

        Sakelar Seri x460-G2 sangat ideal. Ketersediaan catu daya redundan dengan kemampuan untuk memperluas dan menambah port 10G, CX (untuk susun) dan QSFP + menjadikannya switch yang ideal untuk tingkat distribusi dengan port hingga 1 Gb.
        akses
        		X440-G2-24p-10GE4 *

        X440-G2-24t-10GE4 *

        X440-G2-48t-10GE4 *

        X440-G2-48p-10GE4 *
        		24x1000BASE-T (4 x SFP combo), 4x10GE SFP + (PoE budget 380 W)

        24x1000BASE-T (4 x SFP combo), 4x10GE SFP +


        24x1000BASE-T (kombo 4 x SFP), port kombo SFP + 4x10GE

        48x1000BASE-T (kombo 4 x SFP), port kombo SFP + 4x10GE (PoE budget 740 W)
        		Untuk kebutuhan akses:
        • diperlukan sejumlah port akses
        • Dukungan PoE / PoE +
        • fungsi dan perluasan port
        • bonus tambahan dalam bentuk dukungan untuk menumpuk port 10Gb di luar kotak

        Saya merekomendasikan untuk memperhatikan garis ini dalam bentuk fleksibilitas dalam hal port, kinerja dan fungsionalitas.

        * Spesifikasi sakelar yang dipilih dapat ditemukan di artikel pertama seri - tinjauan sakelar Ekstrim

        Mengenai hal ini saya dapat menyelesaikan artikel ini, tetapi saya ingin menyoroti 2 aspek tambahan yang akan dihadapi oleh insinyur mana pun ketika mengembangkan atau meningkatkan jaringannya:

        • bekerja dengan rute kabel - serat dan jalur tembaga
        • Alamat IP

        Penanganan serat


        Di atas, saya memimpin skema target yang perlu datang. Untuk implementasinya, diperlukan sejumlah koneksi untuk peralatan berikut:

        jumlah tautan

        Seperti dapat dilihat dari tabel, jumlah minimum serat yang diperlukan untuk memastikan toleransi kesalahan tingkat jaringan (modul inti, pusat data dan distribusi di 2 bangunan) adalah 10 buah.

        Pada tahap karakterisasi jaringan, kami menemukan bahwa hanya ada 8 serat di kabel antara bangunan. Apa yang harus dilakukan dalam situasi ini?

        Saya akan memberikan beberapa solusi:

        • langkah pertama yang jelas adalah menggunakan serat bebas dalam kabel antara bangunan 1 - bangunan 1 dan bangunan 1 - bangunan 2 (seperti dapat dilihat dari tabel - hanya 2 dari 8 serat di setiap kabel yang digunakan). Untuk melakukan ini, cukup untuk menempatkan crossover optik antara salib dalam kasus 1 dan, jika perlu, gunakan modul SFP dengan margin anggaran optik.
        • langkah kedua adalah penggunaan teknologi CWDM - pemadatan panjang gelombang pembawa dalam satu serat. Teknologi ini jauh lebih murah daripada DWMD dan cukup mudah diterapkan. Pada dasarnya, persyaratan ditempatkan pada kualitas serat optik dan SFP / SFP + transceiver dengan panjang dan anggaran tertentu. Seperti yang saya katakan di artikel sebelumnya, kemampuan switch untuk mengenali transceiver pihak ketiga dapat sangat menyederhanakan kehidupan kita dan mengurangi biaya modal untuk membangun kabel optik tambahan.
        • Langkah ketiga adalah mempertimbangkan kemungkinan peningkatan serat dengan memasang kabel optik tambahan.

        Selanjutnya, kita melihat jumlah serat antara bangunan dengan sakelar distribusi yang terpasang dan tambahan. bangunan 2-10. Di sini juga, jauh dari segalanya sangat sederhana:

        • pertama, tidak ada cukup serat untuk mengimplementasikan skema target kami - 2 serat untuk setiap sakelar (seingat kami, kami memiliki kabel dengan 4 OV untuk setiap kasing)
        • kedua, bahkan jika ada jumlah serat yang cukup di antara bangunan, serat MMF digunakan di dalam bangunan, yang tidak akan memungkinkan kita untuk hanya bergabung dengan serat SMF dan MMF (Saya berbicara tentang jarak antara bangunan lebih dari 300-400 meter)

        Dalam kasus tersebut, opsi berikut dapat dipertimbangkan:

        • penyediaan setiap sakelar dengan serat SMF:

          • jika jarak memungkinkan, Anda dapat memperpanjang kabel tambalan panjang tambahan di antara sakelar. Pada suatu waktu, kami menggunakan kabel patch dengan panjang 30-50 m.
          • jalankan kabel SMF kapasitas kecil yang relatif murah di antara kabinet
          • sebagai upaya terakhir gunakan berbagai konverter SMF-MMF
        • Untuk meminimalkan serat yang digunakan di antara bangunan, Anda dapat:

          • gunakan fungsi susun dari sakelar akses x440-G2 - pada saat yang sama gunakan 1 serat SMF untuk setiap sakelar di lantai, yang memungkinkan alih-alih 6 serat dan port untuk menggunakan 3 serat dan port di setiap sisi
          • gunakan 2 serat untuk menghubungkan saklar pertama di cabang dan yang terakhir. Gabungkan tautan pada sakelar akses perbatasan dan gunakan protokol STP di dering yang dihasilkan.

        Alamat IP


        Di sini saya akan memberikan perkiraan perhitungan pengalamatan untuk sirkuit kami.

        Saat ini, kami memiliki beberapa jaringan kelas B - 172.16.0.0/16. Saat menghitung ruang alamat IP, saya akan dipandu oleh pertimbangan berikut:

        • 4 bit dari oktet kedua akan menunjukkan bangunan - 172.16.0.0/12.
        • 3 oktet akan menunjukkan nomor lantai bangunan.
        • 3 oktet = 255 akan dialokasikan untuk tautan titik-ke-titik peralatan dan jaringan kontrol.
        • satu manajemen VLAN per lantai untuk manajemen sakelar.
        • satu pengguna VLAN per sakelar (rata-rata 24 port).
        • satu Voice VLAN per switch (rata-rata 24 port).
        • satu VLAN untuk sistem pengawasan video per lantai.
        • satu vlan untuk perangkat Wi-Fi per lantai.

        Saya mendapat sesuatu seperti tabel berikut:
        jaringan 172.16.0.0/14
        jaringan 172.20.0.0/14

        Dalam tabel di atas, saya memberikan perkiraan pemisahan jaringan antara bangunan dan lantai di satu sisi dan jaringan (pengguna, manajemen, dan layanan) di sisi lain.

        Bahkan, pilihan jaringan abu-abu 172.16.0.0/12 bukan yang paling optimal, karena membatasi kita dalam jumlah jaringan (16-31) untuk bangunan, dan ada juga kantor jarak jauh yang juga perlu memotong blok jaringan, mungkin lebih optimal akan ada opsi menggunakan 10.0.0.0/8 jaringan, atau berbagi 172.16.0.0/12 jaringan (misalnya, untuk kebutuhan kantor dan server) dan 10.0.0.0/8 (untuk jaringan pengguna).

        Secara umum, pendekatan alokasi jaringan IP juga modular, dan disarankan untuk mematuhi aturan untuk menjumlahkan subnet ke dalam satu jaringan ringkasan di tingkat distribusi, serta pada router perbatasan di cabang-cabang terpencil. Ini dilakukan karena beberapa alasan:

        • untuk meminimalkan tabel routing pada router
        • untuk meminimalkan overhead protokol routing (semua jenis pesan pembaruan, jika subnet tidak tersedia)
        • untuk menyederhanakan administrasi dan keterbacaan jaringan L3 yang lebih baik

        Meskipun pada 2 poin pertama perlu dicatat bahwa kekuatan router modern jauh lebih tinggi daripada 15-20 tahun yang lalu dan memungkinkan Anda untuk memuat tabel routing besar dalam RAM Anda, dan rasio harga dan bandwidth saluran komunikasi telah menurun dibandingkan dengan dengan harga kali penggunaan umum arus E1 / T1 (G.703).

        Kesimpulan


        Teman-teman, dalam artikel ini saya mencoba berbicara secara singkat tentang prinsip-prinsip dasar merancang jaringan kampus. Ya, ada cukup banyak materi, dan ini terlepas dari kenyataan bahwa saya tidak menyentuh topik-topik seperti:

        • organisasi batas perusahaan (dan ini adalah cerita lain dengan sakelar, perbatasan, firewall, sistem IPS / IDS, DMZ, VPN, dan hal-hal lain)
        • organisasi jaringan Wi-Fi
        • organisasi jaringan VoIP
        • organisasi pusat data
        • keamanan (dan ini juga dunianya sendiri yang terpisah, yang dalam hal volume dan persyaratan tidak kalah dengan desain infrastruktur jaringan yang bersih, dan kadang-kadang melampaui itu)
        • rekayasa daya
        • daftar berjalan dan terus

        Bahkan, merancang dan membangun jaringan perusahaan adalah tugas yang agak melelahkan, membutuhkan banyak waktu dan sumber daya.

        Tapi saya harap artikel saya akan membantu Anda mengevaluasi dan memahami di tingkat awal bagaimana mendekati tugas ini.

        Ini jauh dari artikel terakhir tentang Jaringan Ekstrim , jadi tetap ikuti perkembangannya ( Telegram , Facebook , VK , TS Solution Blog )!

Source: https://habr.com/ru/post/id475332/

More articles:


All Articles