Como projetamos e implementamos a nova rede na Huawei no escritório de Moscou, parte 2

Nas séries anteriores: o Jet mudou para uma nova rede baseada no fornecedor notório. Como ocorreu o processo de auditoria dos sistemas, coletando “Lista de Desejos” e domando a “Reserva de Mutantes”, leia a primeira parte .

Desta vez, falarei sobre o processo de migração de usuários (mais de 1600 pessoas) da rede antiga para a nova. Convido todos os interessados ​​em gato.

Portanto, a rede existente da empresa no último verão:

• a topologia de backbone recolhido mais simples é o núcleo da rede (o mesmo nível de distribuição) formado por dois comutadores em nível de rede combinados em um cluster VSS;
• o nível de acesso é representado por interruptores e pilhas de interruptores de nível de canal instalados na cruz e, às vezes, diretamente nos corredores e até nas salas de trabalho;
• algumas das opções de acesso estão incluídas na cadeia, ou seja, a opção está incluída em outra opção e a última já está no kernel;
• a tolerância a falhas da conexão de comutadores de acesso ao núcleo é fornecida principalmente por meio do LACP, às vezes não é fornecida;
• controle de acesso - através de VLAN, roteamento VLAN - no núcleo;
• interruptores de acesso de três fabricantes e quatro gerações são usados; os usuários são conectados a velocidades de 100 Mbit / s a ​​1 Gbit / s;
• alguns usuários ainda usam telefones analógicos, outros usam telefones IP conectados por injetores PoE e uma minoria usa telefones IP alimentados por PoE a partir de switches de acesso.

Desafio:

• trazer a rede de forma decente;
• não perturbar o trabalho dos funcionários durante a modernização;
• corrija o número máximo possível de problemas acumulados nos últimos 15 anos de operação.

Vida velha

Anteriormente, o sistema de operação e expansão da rede no escritório era o seguinte: suponha que precisamos organizar tarefas para novos funcionários. Áreas adicionais foram alugadas no centro de negócios, reparos foram feitos, SCS foi instalado e, em seguida, uma rede de computadores e telefones foi implantada.

Um local de trabalho representou de 2 a 4 soquetes RJ-45, dependendo das necessidades da unidade. Uma das tomadas foi atribuída por telefone (recebeu uma marca verde), as outras (de um a três) foram atribuídas por computador (recebeu uma marca azul).


Soquetes em um local de trabalho típico

Cada soquete do computador na fase de construção da rede era conectado a uma porta separada do comutador de acesso, a cada soquete do telefone - com a porta analógica da central telefônica (em salas antigas) ou com a porta do comutador de acesso pré-configurada para transferência de dados VoIP (em novas salas).

Esse esquema era conveniente para a operação do serviço. Os usuários se mudaram para uma nova sala, conectaram o computador a qualquer tomada disponível e o telefone a qualquer tomada disponível.

Depois disso, a equipe de suporte técnico, concentrando-se nos endereços MAC do equipamento conectado, prescreveu as VLANs e outros parâmetros necessários nas portas dos comutadores de acesso.

Mas a abordagem teve sua desvantagem - não era econômica, até a metade dos portos permaneceu sem uso. Essa reserva é útil se, com o tempo, forem organizados locais de trabalho adicionais na sala, mas não conseguimos usar a reserva de 50% até o final.

Preparando para a migração

Na primeira etapa, decidimos substituir todos os switches de acesso. Como padrão, foi escolhido o modelo da família Huawei S5720 , especificamente o S5720-52X-PWR-SI-AC. Suas características:

• conecta ao tronco a uma velocidade de 10 Gbit / s;
• empilhados sobre interfaces 10G convencionais;
• permite a conexão a todas as portas do usuário a uma velocidade de 1 Gbit / s;
• fornece energia PoE em todas as portas do usuário.

Assim, é permitido conectar um computador, telefone IP, computador através de qualquer porta IP, pontos de acesso sem fio, câmeras de vigilância por vídeo e outros dispositivos a qualquer porta.
Tivemos que descobrir quais tomadas nos quartos são realmente usadas e o que está conectado a elas. Tivemos:

• dados de projetos de assentamento SCS antigos e não muito antigos;
• Revistas a cabo “não muito atualizadas” nas instalações da empresa
• tabelas de endereços MAC nos comutadores de acesso existentes que recebemos usando o equipamento de rede embutido;
• tabelas de correspondência de endereços MAC de aparelhos telefônicos e números internos de assinantes - da central telefônica.

Em seguida, escrevemos um pequeno script que, com base nesses dados, compilava tabelas de comutação e migração (uma tabela separada para cada próxima etapa do trabalho). Eles continham as seguintes informações:

• o quarto;
• marcação portuária no local de trabalho;
• marcar a saída no painel de remendo na cruz;
• nome (nome do host) do comutador antigo (pilha);
• número da porta no comutador antigo;
• ID da VLAN
• O endereço MAC do dispositivo conectado (ou vários);
• tipo de dispositivo conectado (determinado pelo endereço MAC);
• nome (nome do host) do novo comutador (pilha);
• número da porta no novo switch.

Resultados do Script

A partir dessa tabela, ficou imediatamente claro o que estava conectado a uma porta específica - um computador, telefone, computador via telefone (se houver dois endereços MAC) ou algo mais complexo.
Com base nas tabelas, os engenheiros de design desenvolveram novos logs de cabos e os engenheiros de implementação pré-configuraram novos comutadores, que no próximo estágio de migração foram instalados no cruzamento em vez dos antigos.


Fragmento de uma nova revista cruzada


Configurações da porta de acesso

Assim, o trabalho foi o seguinte:

• desabilite os antigos switches de acesso, remova os cabos de conexão;
• instalar novos switches de acesso, conectar energia;
• executar alternância entre revistas;
• circule pelas salas de trabalho, verifique se os telefones e computadores estão funcionando corretamente.

Parece simples, mas ...

A primeira etapa é a substituição dos comutadores de acesso: três meses de trabalho sem dias de folga

Desde meados de 2018, durante três meses todo fim de semana, substituíamos os switches de acesso e realizávamos um trabalho de acordo com nossas tabelas de migração (cerca de 3.500 portas no total).
A primeira migração levou mais de 12 horas. Nesse período, conseguimos substituir uma pilha de acesso de cinco comutadores e reconectar cerca de 200 portas conectadas a ela.
Passava a maior parte do tempo ... preparando cabos de manobra. Cada cabo de manobra teve que ser liberado da embalagem e colado com etiquetas numéricas dos dois lados. Somente depois disso o cabo de manobra poderia ser usado para alternar.

Nas próximas migrações, otimizamos o processo e preparamos patch cords com antecedência. Portanto, a última migração levou as mesmas 12 horas e, durante esse período, conseguimos substituir cinco pilhas de acesso, de 3 a 5 comutadores em cada um, e reconectar mais de 1000 portas.

O que conseguimos como resultado?

Em primeiro lugar, a revista cross-country atualizada, que compartilhamos com o serviço de operação. O serviço desenvolveu seu próprio aplicativo da web para suportar o estado atual da alternância - agora pode sempre ser encontrado no recurso interno.

Em segundo lugar, trabalhos conectados a novos comutadores de acesso modernos. Paralelamente, finalmente nos livramos de telefones analógicos e fontes de alimentação separadas para telefones IP, firmware atualizado e unificado nos telefones IP, para que o telefone e o switch se reconhecessem corretamente usando o protocolo LLDP. Isso é necessário para que o telefone entenda em qual VLAN deve transmitir quadros de voz e em que quadros do equipamento conectado via telefone. Assim, o telefone pode acessar os servidores de central telefônica e os usuários podem conectar computadores nas estações de trabalho, diretamente à tomada ou pelo telefone.

Em terceiro lugar, desligamos todas as portas não utilizadas do equipamento ativo e configuramos a função de segurança da porta. Ao mesmo tempo, formulamos, concordamos e aprovamos o regulamento sobre conexões, agora não há conexões "pelo caixa".

Assim, nós:

• arrumou e documentou todas as conexões do equipamento de escritório;
• se livrou de switches antigos, injetores PoE, telefones analógicos;
• consumo reduzido de energia do equipamento (para instalações cruzadas e de trabalho individuais - até 30%);
• aumentou a experiência do usuário e manteve uma reserva razoavelmente suficiente de portas de equipamentos ativos (ao custo de algum aumento na carga de especialistas em suporte técnico, especialmente ao transferir funcionários para novas instalações).

A migração está em pleno andamento - mudando para uma nova rodovia

Após a conclusão do primeiro estágio, a situação com as conexões do usuário voltou ao normal, mas nada mudou com o backbone. Como mencionado acima, antes da modernização, ela foi organizada de maneira bastante simples. Havia cerca de 100 VLANs que foram roteadas em um comutador central, ou melhor, em dois comutadores combinados em um cluster usando a tecnologia VSS.

Paralelamente à primeira etapa da migração, construímos e testamos uma nova rodovia, de acordo com os princípios estabelecidos no primeiro artigo :

• Switches centrais Huawei CE8850 instalados
• interruptores de distribuição Huawei CE6870 instalados;
• FOCL adicional pavimentado;
• completou todas as conexões;
• configurou os protocolos de roteamento overlay e underlay (mas até a conclusão do primeiro estágio, os comutadores estavam ociosos e aqueciam o ar).

Em seguida, o próximo estágio de migração começou. Não é muito longo, mas o mais difícil.

Para começar, desenvolvemos e concordamos com um novo plano de endereçamento IP que leva em consideração nossas necessidades atuais e futuras. O novo plano identificou faixas separadas para todos os L3VPNs planejados - para usuários comuns e usuários do centro técnico, para sistemas de telefonia, sistemas de videoconferência, câmeras de vigilância por vídeo, stands de demonstração de vários tipos e outras necessidades.

Em seguida, conectamos toda a rede antiga a um par de comutadores de distribuição como uma única pilha de acesso. Depois disso, começamos a alternar pilhas para o novo tronco, alterando os números de VLAN e, consequentemente, alterando os endereços IP dos usuários conectados para novos intervalos.

Planejamos o trabalho de maneira a alternar um grupo suficientemente grande de opções de acesso por vez. Eles trabalhavam à noite ou nos finais de semana, dependendo das especificidades do trabalho das unidades comutadas.

Antes de iniciar o trabalho, realizamos as seguintes operações com antecedência:

1. configurar um servidor DHCP corporativo para fornecer endereços IP do novo intervalo para usuários comutados;
2. Configure as portas nos comutadores de distribuição, nas quais foi planejado incluir comutadores de acesso durante a migração;
3. Usando outro script especialmente projetado, preparamos configurações modificadas para comutadores comutáveis.

Eles trabalharam na seguinte ordem:

1. comutadores de acesso comutados do tronco antigo para o novo;
2. verifique se os comutadores estão acessíveis na interface de controle;
3. a configuração preparada para alterar os números de VLAN foi derramada nos comutadores comutados.

Antes de executar os trabalhos acima, a VLAN contendo as interfaces de controle de todos os comutadores de acesso era "esticada" entre o antigo e o novo tronco; portanto, a etapa 2 geralmente levava um tempo mínimo. No caso mais simples, as estações de trabalho do usuário (assim como telefones, impressoras e outros dispositivos) receberam imediatamente endereços IP do novo intervalo do servidor DHCP e continuaram a trabalhar sem alterações.

Onde fica sem problemas?

Encontramos várias dificuldades ao longo do caminho.
Primeiro, as impressoras pararam de funcionar para muitos usuários. Nas estações de trabalho de alguns usuários, o acesso às impressoras foi configurado por um endereço IP específico. Depois de mudar as impressoras para um novo intervalo, eles receberam novos endereços e os usuários perderam o acesso a eles. Para resolver o problema no dia seguinte à migração, alocamos um especialista de suporte por meio dia para ignorar os usuários que foram submetidos à migração e reconfigurar as impressoras para usar nomes DNS em vez de endereços IP.

Ao migrar o primeiro grupo de usuários, tivemos que resolver alguns problemas com a configuração correta de firewalls, para que permitissem que os usuários passassem para os recursos corporativos necessários. E com todas as migrações subseqüentes, já sabíamos com antecedência o que precisava ser configurado.

Por fim, realocamos o centro de serviço, ou seja, a equipe de plantão. A mudança de plantão deve funcionar continuamente e 24 horas por dia, sempre com acesso aos recursos necessários para o trabalho e aos sistemas de informação dos clientes. Para essas pessoas, organizamos trabalhos temporários em horário pré-acordado e em salas separadas. Um funcionário em serviço estava se mudando para esta sala, garantindo que ele pudesse ter acesso a todos os sistemas necessários. Então o resto se mudou para esta sala.

Em seguida, realizamos a migração da unidade correspondente, convidamos um dos oficiais de plantão a retornar ao local e verificar a disponibilidade de todos os recursos necessários. Problemas corrigidos imediatamente, se houver algum. Houve poucos problemas. Depois disso, a mudança de plantão mudou novamente do “abrigo temporário” para o modo usual de trabalho em seus locais de trabalho, com todo o conjunto de sistemas de informação de que eles precisavam.

Em algum momento, descobrimos que não havia uma única estação de trabalho de usuário na rede antiga! E eles abriram o champanhe. Em seguida, começamos a migrar o segmento de servidores. Outro esquema já foi aplicado a ele, já que o servidor geralmente não pode ser parado por 15 minutos. Vou discutir isso separadamente no próximo artigo .

Maxim Klochkov
Consultor Sênior, Auditoria de Rede e Projetos Integrados
Centro de Soluções de Rede
Jet Infosystems