本文是标题为“如何控制网络基础结构”的系列文章中的第二篇。 该系列中所有文章的内容和链接都可以在这里找到 。
我们现阶段的目标是清理文档和配置。
在此过程的输出中,您应该具有必要的文档集和根据它们配置的网络。
现在我们不再谈论安全审核-第三部分将专门讨论这一点。
当然,在这个阶段完成任务的难度因公司而异。
理想的情况是
- 您的网络是根据项目创建的,并且您拥有全套文档
- 贵公司已实施了监视和管理网络变更的过程
- 根据此过程,您将拥有可提供有关当前状况的完整信息的文档(包括所有必要的方案)
在这种情况下,您的任务非常简单。 您应该研究文档并查看已进行的所有更改。
在最坏的情况下,您将拥有
- 没有资格的工程师在没有项目,没有计划,没有协调的情况下创建的网络,
- 具有混乱的,未记录的更改,以及大量的“垃圾”和次优解决方案
很显然,您的处境介于两者之间,但不幸的是,在这种情况下情况会更好-极有可能出现更糟的情况,您将更接近最坏的情况。
在这种情况下,您还需要具有阅读思想的能力,因为您将必须学习理解“设计师”想要做什么,恢复他们的逻辑,完成未完成的事情并删除“垃圾”。
并且,当然,您将需要停止他们的错误,更改(在此阶段尽可能少地)设计并更改或重新创建电路。
本文不打算以任何方式全面。 在这里,我将仅描述一般原则,并集中讨论一些必须解决的常见问题。
套文件
让我们从一个例子开始。
以下是Cisco Systems通常在设计中创建的一些文档。
CR-自定义要求,客户要求(技术任务)。
它与客户一起创建并定义网络要求。
HLD-高级设计,基于网络需求(CR)的高级设计。 该文档说明并证明了所采用的体系结构决策(拓扑,协议,设备选择等)。 HLD不包含设计详细信息,例如,有关使用的接口和IP地址的信息。 另外,此处不讨论特定的设备配置。 相反,本文档旨在说明客户技术管理的关键设计概念。
LLD-低层设计,基于高层(HLD)的低层设计。
它应包含项目实施所需的所有详细信息,例如有关如何连接和配置设备的信息。 这是设计实施的完整指南。 即使不是非常有资格的人员,该文档也应提供足够的信息以供实施。
诸如IP地址,AS号,电缆之类的内容可以在单独的文档中“取出”,例如NIP (网络实施计划)。
网络构建在创建这些文档之后开始,并严格按照它们进行,然后由客户检查(测试)是否符合设计要求。
当然,不同的集成商,不同的客户,不同的国家/地区对项目文档的要求可能会有所不同。 但是我想避免手续,而是根据案情考虑这一问题。 这个阶段与设计无关,而在于使事情井然有序,我们需要一组足以完成任务的文档(方案,表格,说明...)。
在我看来,存在一定的绝对最小值,否则就无法有效地控制网络。
这些是以下文件:
- 物理交换(电缆)的方案(日志)
- 网络电路或具有大量L2 / L3信息的电路
物理交换方案
在一些小公司中,与设备安装和物理布线相关的工作是网络工程师的责任。
在这种情况下,可以通过以下方法部分解决该问题。
- 在接口上使用描述来描述与其连接的内容
- 以管理方式关闭网络设备的所有未连接端口
即使在链路出现问题时(当cdp或lldp在此接口上不起作用时),这也将为您提供机会,快速确定连接到该端口的端口。
您还可以轻松查看哪些端口正在忙碌,哪些端口空闲,这对于规划新网络设备,服务器或工作站的连接是必需的。
但是很明显,如果您无法访问设备,则将无法访问此信息。 此外,以这种方式,您将无法记录重要信息,例如哪种设备,什么功率消耗,多少个端口,哪个机架位于,什么配线架以及它们连接到哪个位置(哪个机架/配线架) 。 因此,所有相同的其他文档(不仅是硬件说明)非常有用。
理想的选择是使用旨在处理此类信息的应用程序。 但是您可以将自己限制为简单的表(例如在Excel中),也可以显示您认为在L1 / L2方案中必需的信息。
重要!
当然,网络工程师可以非常清楚SCS的复杂性和标准,机架的类型,不间断电源的类型,冷热走廊是什么,进行适当的接地...就像从原理上他可以了解粒子物理学或C ++一样。 但是,一个人必须明白,这不是他的知识领域。
因此,优良作法是由专门的部门或专门人员解决与安装,连接,设备性能维护以及物理交换相关的问题。 通常,对于数据中心,这是数据中心工程师,对于办公室,是服务台。
如果您的公司中提供了此类设备,那么维护物理交换日志的问题就不是您的任务,并且您可以限制自己仅描述接口并以管理方式关闭未使用的端口。
网络图
没有通用的绘图方案。
最重要的是,这些方案应了解流量将如何通过网络的逻辑和物理元素。
所谓物理元素,是指
根据逻辑-
- 逻辑设备(N7K VDC,Palo Alto VSYS等)
- VRF
- 维拉纳斯
- 子接口
- 隧道
- 区域
- ...
另外,如果您的网络不是完全基础的,它将由不同的网段组成。
举个例子
合理的做法是,有几种方案可以给出总体情况(所有这些网段之间的流量如何)以及每个单独网段的详细说明。
由于现代网络可以具有许多逻辑级别,因此一种好的(但不是强制性的)方法可能针对不同的级别制定不同的方案,例如,在重叠方法的情况下,这些方案可以是以下方案:
当然,最重要的方案是路由方案,没有它,就不可能理解您的设计思想。
路由方案
该图至少应反映
- 什么路由协议以及在哪里使用
- 有关路由协议设置的基本信息(区域/ AS编号/路由器ID / ...)
- 在哪些设备上发生重新分配
- 发生路由过滤和聚合的地方
- 默认路线信息
L2电路(OSI)通常也很有用。
L2电路(OSI)
以下信息可能会反映在该图中:
- 什么vlan
- 哪些端口是中继端口
- 哪些端口聚合在以太通道(端口通道),虚拟端口通道中
- 什么STP协议以及在哪些设备上使用
- STP主要设置:根/根备份,STP成本,端口优先级
- 先进的STP设置:BPDU防护/过滤器,根防护...
典型设计错误
一个不良的网络构建方法示例。
让我们以构建简单的办公室局域网的简单示例为例。
拥有向学生教授电信的经验,我可以说,实际上,到第二学期中期的任何一个学生都拥有必要的知识(作为我所教课程的一部分),以便建立简单的办公室局域网。
将交换机彼此连接,配置VLAN,SVI接口(对于L3交换机)以及设置静态路由有什么困难?
一切都会正常。
但与此同时,与
有时,我会听到这样的说法:办公室局域网很简单,我通常会听到工程师(和经理)的话,他们做任何事情,但不做网络工作,他们如此自信地说,如果局域网不感到惊讶将由实践和知识不足的人进行,并且将大致与我将在下面描述的错误有关。
常见设计L1层错误(OSI)
- 但是,如果您要负责,包括对SCS的负责,那么您可能会遇到的最不愉快的遗产之一就是粗心大意和无意识的转换。
另外,要键入L1,我将与使用的设备资源相关的错误分类,例如,
- 带宽不足
- 设备上的TCAM不足(或使用效率低下)
- 性能不足(通常指防火墙)
常见设计L2层错误(OSI)
通常,当对STP的工作原理,所带来的潜在问题没有很好的了解时,交换机将以默认设置随机连接,而无需额外调整STP。
结果,我们经常有以下情况
- 网络的STP直径较大,可能导致广播风暴
- STP根将是随机确定的(基于mac地址),并且流量路径将不是最佳的
- 连接到主机的端口不会配置为边缘(端口快速),这将导致在打开/关闭端点时重新计算STP
- 网络将不会在L1 / L2级别上进行分段,因此,任何交换机的问题(例如,电源过载)都将导致STP拓扑的重新计算并停止所有交换机上所有VLAN中的流量(包括从连续性角度来看很关键的问题)服务细分)
L3设计错误示例(OSI)
新手网络人员的一些典型错误:
- 频繁使用(或仅使用)静态路由
- 使用对本设计而言并非最佳的路由协议
- 次优逻辑网络分段
- 地址空间的非最佳使用,不允许路由聚合
- 缺乏备用路线
- 缺少默认网关的冗余
- 重建路由时的非对称路由(对于NAT / PAT,全状态防火墙可能至关重要)
- MTU的问题
- 重建路由时,流量会通过其他安全区域甚至其他防火墙,这导致该流量下降
- 拓扑可伸缩性差
设计质量评估标准
当我们谈论最优/非最优时,我们必须了解可以评估这一标准的标准。 在我看来,最重要(但不是全部)的标准(以及与路由协议有关的解密):
- 可扩展性
例如,您决定添加另一个数据中心。 您可以轻松完成。 - 管理上的便利性(可管理性)
操作更改(例如宣布新电网或过滤路线)有多么容易和安全? - 可用性
您的系统在多少百分比的时间内提供所需的服务水平 - 安全性
传输的数据有多安全? - 价格
变化
这个阶段的基本原则可以用“不伤害”的表达方式来表达。
因此,即使您不太同意设计和所选的实现(配置),也不总是建议进行更改。 合理的方法是以两种方式对所有已发现的问题进行排名:
首先,有必要消除当前将提供的服务水平降低到允许的以下水平,例如导致包丢失的问题。 然后消除最简单,最安全的消除方法,以降低风险的严重性(从设计或配置问题中将更大的风险转移到较小的风险中)。
在这个阶段的完美主义可能是有害的。 使设计达到令人满意的状态,并根据它同步网络配置。