Este artigo é o segundo de uma série de artigos intitulados "Como colocar a infraestrutura de rede sob seu controle". O conteúdo de todos os artigos da série e os links podem ser encontrados aqui .
Nosso objetivo nesta fase é limpar a documentação e a configuração.
Na saída desse processo, você deve ter o conjunto de documentos necessário e uma rede configurada de acordo com eles.
Agora não falaremos sobre auditorias de segurança - a terceira parte será dedicada a isso.
A dificuldade de concluir a tarefa nesta fase, é claro, varia muito de empresa para empresa.
A situação ideal é quando
- sua rede foi criada de acordo com o projeto e você tem um conjunto completo de documentos
- sua empresa implementou um processo para monitorar e gerenciar alterações na rede
- de acordo com esse processo, você possui documentos (incluindo todos os esquemas necessários) que fornecem informações completas sobre o estado atual das coisas
Nesse caso, sua tarefa é bastante simples. Você deve estudar os documentos e analisar todas as alterações que foram feitas.
No pior cenário, você terá
- uma rede criada sem um projeto, sem um plano, sem coordenação, por engenheiros que não possuem um nível de qualificação suficiente,
- com mudanças caóticas e não documentadas, com muitas soluções "lixo" e abaixo do ideal
É claro que sua situação está em algum lugar, mas, infelizmente, é melhor nessa escala - pior com uma alta probabilidade, você estará mais perto do pior fim.
Nesse caso, você também precisará ler pensamentos, porque precisará aprender a entender o que os “designers” queriam fazer, restaurar sua lógica, terminar o que não estava terminado e remover o “lixo”.
E, é claro, você precisará interromper seus erros, alterar (neste estágio o menos possível) o design e alterar ou recriar o circuito.
Este artigo não pretende ser abrangente de nenhuma maneira. Aqui vou descrever apenas princípios gerais e me debruçar sobre alguns problemas comuns que precisam ser abordados.
Conjunto de documentos
Vamos começar com um exemplo.
A seguir, estão alguns dos documentos que a Cisco Systems normalmente cria no design.
CR - Requisitos personalizados, requisitos do cliente (atribuição técnica).
Ele é criado junto com o cliente e define os requisitos de rede.
HLD - High Level Design, um design de alto nível baseado nos requisitos de rede (CR). O documento explica e justifica as decisões arquiteturais adotadas (topologia, protocolos, seleção de equipamentos, ...). O HLD não contém detalhes de design, por exemplo, sobre as interfaces usadas e os endereços IP. Além disso, a configuração específica do equipamento não é discutida aqui. Em vez disso, este documento pretende explicar os principais conceitos de design para o gerenciamento técnico do cliente.
LLD - Design de baixo nível, design de baixo nível baseado em alto nível (HLD).
Ele deve conter todos os detalhes necessários para a implementação do projeto, como informações sobre como conectar e configurar o equipamento. Este é um guia completo para a implementação do design. Este documento deve fornecer informações suficientes para sua implementação, mesmo por pessoal pouco qualificado.
Algo, por exemplo, endereços IP, números AS, cabeamento, pode ser "retirado" em documentos separados, como NIP (Plano de Implementação de Rede).
A construção da rede começa após a criação desses documentos e ocorre em estrita conformidade com eles e, em seguida, é verificada pelo cliente (testes) quanto à conformidade com o design.
Obviamente, diferentes integradores, diferentes clientes, em diferentes países, os requisitos para a documentação do projeto podem ser diferentes. Mas gostaria de evitar formalidades e considerar a questão de mérito. Esse estágio não é sobre design, mas sobre como colocar as coisas em ordem e precisamos de um conjunto de documentos (esquemas, tabelas, descrições ...) suficientes para concluir nossas tarefas.
E, na minha opinião, existe um certo mínimo absoluto, sem o qual é impossível controlar efetivamente a rede.
Estes são os seguintes documentos:
- esquema (log) de comutação física (cabeamento)
- circuito de rede ou circuitos com informações L2 / L3 significativas
Esquema de comutação física
Em algumas pequenas empresas, o trabalho relacionado à instalação de equipamentos e cabeamento físico é de responsabilidade dos engenheiros de rede.
Nesse caso, o problema é parcialmente resolvido pela seguinte abordagem.
- use a descrição na interface para descrever o que está conectado a ela
- desligamento administrativo de todas as portas desconectadas do equipamento de rede
Isso lhe dará a oportunidade, mesmo no caso de um problema com o link (quando cdp ou lldp não funcionar nessa interface), determine rapidamente o que está conectado a essa porta.
Você também pode ver facilmente quais portas estão ocupadas e quais são livres, o que é necessário para o planejamento de conexões para novos equipamentos de rede, servidores ou estações de trabalho.
Mas é claro que, se você perder o acesso ao equipamento, perderá o acesso a essas informações. Além disso, dessa forma, você não poderá registrar informações tão importantes como que tipo de equipamento, com que consumo de energia, com quantas portas, em que rack está localizado, quais painéis de conexões estão lá e onde (a qual rack / painel de conexões) eles estão conectados . Portanto, mesmo assim, a documentação adicional (não apenas as descrições de hardware) é muito útil.
A opção ideal é usar aplicativos projetados para trabalhar com esse tipo de informação. Mas você pode restringir-se a tabelas simples (por exemplo, no Excel) ou exibir as informações que considerar necessárias nos esquemas L1 / L2.
Importante!
Um engenheiro de rede, é claro, pode muito bem conhecer os meandros e os padrões do SCS, tipos de racks, tipos de fontes de alimentação ininterruptas, o que é um corredor quente e frio, fazer o aterramento adequado ... assim como, em princípio, ele pode conhecer a física de partículas ou C ++. Mas é preciso entender, no entanto, que tudo isso não é seu campo de conhecimento.
Portanto, é uma boa prática ter departamentos ou pessoas dedicadas para resolver problemas associados à instalação, conexão, manutenção do desempenho do equipamento e comutação física. Normalmente, para data centers, são os engenheiros de data center e, para o escritório, o suporte técnico.
Se essas unidades forem fornecidas em sua empresa, os problemas de manutenção de um log de comutação físico não são sua tarefa, e você pode limitar-se a descrever apenas na interface e desligar administrativamente as portas não utilizadas.
Diagramas de rede
Não existe uma abordagem universal para desenhar esquemas.
Mais importante ainda, os esquemas devem fornecer uma compreensão de como o tráfego passará, através dos quais elementos lógicos e físicos da sua rede.
Por elementos físicos queremos dizer
- equipamento ativo
- interfaces / portas do equipamento ativo
Sob a lógica -
- dispositivos lógicos (N7K VDC, Palo Alto VSYS, ...)
- VRF
- vilanas
- subinterfaces
- túneis
- zonas
- ...
Além disso, se sua rede não for completamente elementar, ela consistirá em diferentes segmentos.
Por exemplo
- data center
- a internet
- Wan
- acesso remoto
- LAN do escritório
- Dmz
- ...
Seria razoável ter vários esquemas, fornecendo uma imagem geral (como o tráfego ocorre entre todos esses segmentos) e uma explicação detalhada de cada segmento individual.
Como as redes modernas podem ter muitos níveis lógicos, é possível que uma boa abordagem (mas não obrigatória) seja criar esquemas diferentes para níveis diferentes, por exemplo, no caso de uma abordagem de sobreposição, esses podem ser os seguintes esquemas:
- sobreposição
- Base L1 / L2
- Underlay L3
Obviamente, o esquema mais importante sem o qual é impossível entender a idéia do seu design é um esquema de roteamento.
Esquema de roteamento
No mínimo, este diagrama deve refletir
- quais protocolos de roteamento e onde são usados
- informações básicas sobre as configurações do protocolo de roteamento (área / número do AS / ID do roteador / ...)
- em que dispositivos ocorre a redistribuição
- onde ocorre a filtragem e agregação de rotas
- informações de rota padrão
Também frequentemente é útil o circuito L2 (OSI).
Circuito L2 (OSI)
As informações a seguir podem ser refletidas neste diagrama:
- que vlan
- quais portas são portas de tronco
- quais portas são agregadas no canal éter (canal da porta), canal da porta virtual
- quais protocolos STP e em quais dispositivos são usados
- Configurações principais do STP: backup raiz / raiz, custo do STP, prioridade da porta
- configurações avançadas de STP: protetor / filtro BPDU, protetor de raiz ...
Erros típicos de design
Um exemplo de uma abordagem ruim para a construção de uma rede.
Vamos dar um exemplo simples de criar uma LAN simples de escritório.
Tendo experiência em ensinar telecomunicações para estudantes, posso dizer que praticamente qualquer aluno no meio do segundo semestre tem o conhecimento necessário (como parte do curso que ministrei) para configurar uma LAN simples de escritório.
O que é difícil conectar comutadores entre si, configurar interfaces VLAN, SVI (no caso de comutadores L3) e configurar o roteamento estático?
Tudo vai dar certo.
Mas, ao mesmo tempo, questões relacionadas a
- segurança
- reserva
- escala de rede
- performance
- largura de banda
- confiabilidade
- ...
Às vezes, ouço a afirmação de que uma LAN de escritório é algo muito simples e costumo ouvi-la de engenheiros (e gerentes) que fazem tudo, mas não redes, e dizem com tanta confiança que não se surpreendem se a LAN serão cometidos por pessoas com prática e conhecimento insuficientes e serão cometidos com aproximadamente os erros que descreverei abaixo.
Erros comuns da camada L1 de design (OSI)
- Se, no entanto, você é responsável, inclusive pelo SCS, um dos legados mais desagradáveis que você pode obter é a troca descuidada e sem consideração.
Além disso, para digitar L1, eu classificaria erros relacionados aos recursos do equipamento usado, por exemplo,
- largura de banda insuficiente
- TCAM insuficiente no equipamento (ou seu uso ineficiente)
- desempenho insuficiente (geralmente se refere a firewalls)
Erros comuns da camada L2 de design (OSI)
Freqüentemente, quando não há um bom entendimento de como o STP funciona, que problemas em potencial ele traz, os comutadores se conectam aleatoriamente, com configurações padrão, sem ajuste adicional do STP.
Como resultado, geralmente temos o seguinte
- grande diâmetro STP da rede, o que pode levar a tempestades de transmissão
- A raiz STP será determinada aleatoriamente (com base no endereço mac) e o caminho do tráfego será abaixo do ideal
- as portas conectadas aos hosts não serão configuradas como borda (portfast), o que levará ao recálculo do STP ao ativar / desativar os terminais
- a rede não será segmentada no nível L1 / L2, como resultado dos problemas com qualquer comutador (por exemplo, congestionamento de energia) levará ao recálculo da topologia STP e à interrupção do tráfego em todas as VLANs em todos os comutadores (inclusive críticos do ponto de vista da continuidade) segmento de serviço)
Exemplos de erro de projeto L3 (OSI)
Alguns erros típicos de rede iniciantes:
- uso frequente (ou somente uso) de roteamento estático
- uso de protocolos de roteamento que não são ideais para esse design
- segmentação de rede lógica abaixo do ideal
- uso não ideal do espaço de endereço, o que não permite a agregação de rotas
- falta de rotas de backup
- falta de redundância para o gateway padrão
- roteamento assimétrico ao reconstruir rotas (pode ser crítico no caso de NAT / PAT, firewalls estaduais)
- problemas com MTU
- ao reconstruir rotas, o tráfego passa por outras zonas de segurança ou até outros firewalls, o que leva ao fato de que esse tráfego diminui
- baixa escalabilidade de topologia
Critérios de avaliação da qualidade do projeto
Quando falamos em otimização / não otimização, precisamos entender em termos de quais critérios podemos avaliar isso. Aqui, do meu ponto de vista, os critérios mais significativos (mas não todos) (e descriptografia em relação aos protocolos de roteamento):
- escalabilidade
Por exemplo, você decide adicionar outro data center. Quão fácil você pode fazer isso. - conveniência em gerenciamento (gerenciabilidade)
Quão fáceis e seguras são as mudanças operacionais, como anunciar uma nova grade ou rotas de filtragem - disponibilidade
Qual a porcentagem de tempo que seu sistema fornece o nível de serviço necessário - segurança
Quão seguros são os dados transmitidos? - preço
Alterações
O princípio básico nesta fase pode ser expresso pela fórmula "não faça mal".
Portanto, mesmo que você não concorde totalmente com o design e a implementação escolhida (configuração), nem sempre é recomendável fazer alterações. Uma abordagem razoável é classificar todos os problemas identificados de duas maneiras:
- com que facilidade esse problema pode ser resolvido
- quanto risco ela carrega
Antes de tudo, é necessário eliminar o que atualmente reduz o nível do serviço fornecido abaixo dos problemas permitidos, por exemplo, que levam à perda de pacotes. Em seguida, elimine o que é mais fácil e mais seguro de eliminar, a fim de reduzir a gravidade do risco (de problemas de design ou configuração que envolvem riscos maiores para menores).
O perfeccionismo nesta fase pode ser prejudicial. Coloque o design em um estado satisfatório e sincronize a configuração de rede de acordo com ele.