ネットワークを構築しない方法

良い一日。

実際、このような些細なことについて記事を書くとは思っていませんでしたが、ネットワークを構築するための最も単純なルールを無視することに5度目がつきました。 それがいくつかの小さな机の問題であったが、これは大規模なプロバイダー、銀行、州事務所の場合であり、その名前は何らかの理由で開示しません。



以下に書かれていることはすべて純粋に私の意見であり、誰にも押し付けないことを直ちに予約してください。 また、私たちが主にIPネットワークについて話していることを予約してください。現代世界ではIPなしでどこにいるのでしょうか？

実際、通信ネットワークに関与する組織の問題はすべて、いくつかのグループに分類できます。

• SCSの物理構造
• SCSの論理構造
• モニタリング
• アクセス制御、セキュリティ、およびリモートアクセス
• アプリケーション処理システム
• バックアップシステム

これらすべては非常に明確で、知られ、噛み砕かれているように思われるかもしれませんが、現実はもっと厳しいです。



ポイント番号1から始めましょう-SCSの物理構造

例を挙げないために、今、私は理解できない理由で、冷酷な道路労働者が地面に横たわり、数ヶ月ぶら下がっていない光学系をいかに傷つけているかを目の当たりにしています。 この状況で最も興味深いのは、光学系が機能していることです...



しかし、もっとありふれたものに戻りましょう-データセンター、サーバー、中央制御センターなど。



私は、大手プロバイダーや州政府から銀行、そしてどこでも、ヘッダーの写真にあるような場所で、約5つの仕事を変更しました。 ある大手プロバイダーの唯一のものは、ボスがとられたいくつかの模範的なサイトでした。 残りのノードはすべて悲しかったです。



オーガナイザーを購入し、ワイヤーを慎重に置き、ステッカーを貼り付け、キロメートルの「切れ目」を残さずに、クロスジャーナルを維持する必要性について話す価値はないと思います。 これらの簡単な操作では、これは次のようにはなりません。







これで：







私は同僚と一緒にそのような「鼻」で何かを整理したことを覚えていますが、サイトにアクセスできただけでなく、1か月後にウェブが再び成長しました。 そのような「鼻」の主な問題は、すべてのタスクが期限「昨日」に設定されていることであり、インストーラーは「美しさ」を本当に気にせず、とにかくワイヤーを投げます。そして地獄のウェブが成長します。 光ケーブルの敷設と分離のスキームですべてがそれほど悪くない場合、そして屋内での相互接続のスキームでは、すべてが悲しいです。



また、通信センターで定期的にほこりを吹き飛ばす価値があります。これはより良い状況です。私の雇用者の約半分がこれを行いました。 しかし、彼はほこり乳石がルーターからどのように垂れ下がったのかを実際に目撃しました。



私の最も「痛い」点は、 SCSの論理構造です 。

私はあなたと抽象的なストーリーテラーとして話すのではなく、静的ルーティング、アドレス計画の欠如、1年以上にわたって完全な無政府状態でかなり大きなネットワークを提供してきた人として。 動的ルーティングを導入する必要性に関するすべての議論は、「最も信頼できる静的」というフレーズに分解されました。



もちろん、一部の小規模なローカルエリアネットワークでは、静的統計が非常に適切ですが、ネットワークの地理が快適なオフィスの境界を超えて大きくなったら、静的統計を放棄するときが来ました。



ただし、IGPを使用したネットワーク（OSPF）があり、1つのAREAに数百のルーターがあるという悲しい例があります。 その人は、異なるタイプのゾーンがあるという事実は言うまでもなく、単にネットワークをゾーンに分割する必要があると疑っていませんでした。 質問への回答がありました-「まだ動作します」。



記述は 、ポート、VLAN、サブインターフェイス、VLANインターフェイスに署名するという理由で発明されました-すべてを書きます。 あなたの後を追う人やあなたを助ける人は、何キロものarpやmacテーブルを勉強したくないので、12個のスイッチとルーターを調べて、すべてがどのように機能するかを理解してください。 また、帯域幅を指定します。ルートのコストを計算する際に考慮されなくても、常にチャネルの帯域幅を見つけることができます。さらに、監視に役立ちます（以下で詳しく説明します）。



図を描く！ 個別のL2 / L3回路は言うまでもなく、通常の回路はどこにもありませんでした。 しかし、その後、各企業には、このいまいましいチャネルをどのように接続したかを覚えているという点で、最も「価値のある」従業員がいます。 スキームを提供するリクエストに応じて、せいぜい、古代のフォリオが金庫から取り出され、その上に2行の雲が描かれます。



別の例があります。オペレーターが回路をチャネルに送ったところ、すべてのデバイスが正方形の形で描かれ、回路は完全に読めなくなりました。 ルーター、スイッチ、衛星などのアイコン 理由があって、読みやすい図を描いてください、紳士！



アドレス計画は、ネットワークの出現の段階でアプリオリがすべきことです。 しかし、実際には、それは単に存在しないか、場合によっては交差点でさえ、異なる範囲の断片に「噛まれ」ます。 静的L3との組み合わせで、ループは1つではなく、ユーザーに保証されます。



アドレスプランに加えて、vlan'miでタブレットを保持するのは良いことです。特にプロバイダーの場合はQinQを上げ、通信サービスを提供する方が良いでしょう。vlanは使い果たされて交差する傾向があるからです。



また、ネットワーク設計などもあります。 それを保存すると、悲しい結果につながります。 マルチキャストが1つのVLANで実行され、ADSLがラストマイルとして使用され、vpiの誤った設定、加入者のモデムのvciがL2ループ、テレビストリーム、インターネットにつながるため、IP-TVサービスを提供する有名な大手オペレーターが1人いますうまく機能せず、すべての加入者が苦しんでいます。



別の非常に痛い主題はvlan1です。 なぜ、それが制御に、なぜデータ送信にも使用され、L2ループを不思議に思うのでしょうか？ 別のVLANを選択してネイティブにできないのはなぜですか？ 管理されていないスイッチがアクセスしているときにループを探すのは特に「いい」ことです。



次の議題- 監視

何らかの理由で、多くの小規模プロバイダーは、加入者からの電話のみで問題に対応することを好みます。 大きくても、せいぜい、すべての監視はicmpのみに基づいています。



Zabbix、Cacti、Dudeなど、多数の優れたオープンソース監視システムがあります。 また、このクリーチャーは有料のものです。 監視がどれほど重要であるかを言う必要はないと思います。icmpに加えて、 snmpも存在します。



しかし、それでも私は、Zabbixの優れた監視機能を備えていると主張する雇用主に出くわしました。 実際、それをセットアップした人はドキュメントを読むことを気にせず、プラーが過負荷になり、それに応じてデータが失われ、データがほとんど収集されず、ノード上のすべてのデータが手動で入力されました。 MySQL構成は標準でした。



現在、この監視は神の形で行われ、 LLD （低レベル検出）が構成されています。これにより、インターフェイス、トンネル、モジュール、ファン、電源などが自動的に追加および削除されます。 グラフの署名内の情報はdescriptから取得され、インターフェイスの速度はbandwitchから取得されるため、この情報を更新する必要があります。 私にとってZabbixでひどくやられたことはハウスキーピングだけです-大規模なインストールにはパーティション分割が必要です。



すべてからではなく、少なくとも重要なノードから、機器からsyslogを収集します。 Zabbixを介してこれを実行することは可能ですが、解決策は「重く」なると思われます（Zabbixブログに対応する記事があります）。



いくつかのNetFlowコレクターを展開し、ある種のアナライザーを配置すると、チャンネルをオーバーロードしているユーザーとその内容を常に確認できます。 何らかの請求がある場合は、それを使用できます。



マイナーポイントではない- アクセス制御、セキュリティ、およびリモートアクセス

原則として、AAAという言葉で、「これは何ですか」と聞いただけですか。 -または-「ああ、わかった-バッテリーだ！」 したがって、1つのローカルアカウントがすべてに使用されるか、それぞれに独自のアカウントがあります。 いずれにせよ、従業員が解雇されたとき、特に彼が自分でそれを受け入れなかったとき、誰もが目を膨らませて走り回り、他に登録されている場所を探します。 Tacacs +を展開する方法についての記事があります。 さらに、ログでは、機器をだれが何をしたかがわかります。



RADIUSを使用する人もいれば、他のものを発明する人もいます。 個人的に、私はTacaca +が好きです。ほとんどすべての最新の機器がこのプロトコルをサポートしています。



また、少なくとも「白い」アドレスを持つ機器では、私たちの狭い目の友人が寝ないように、アクセスするようにACLを設定します。



コントロールを外側に解放しないでください。つまり、ssh、telnet、rdpなどです。 すでにリリースしている場合は、少なくとも特定のIPにファイアウォールを設定してください。 個人的に、私は常にアクセス用にopenvpnを展開し、各従業員に個別のキーを生成しました。

例を見ないために、私の現在の職場では、Cisco機器にネットワークを持ち、ローカルアカウントと特権モード用の異なるパスワードを持っています。もちろん誰も覚えていません。 非人的な意志により、このネットワークにTacacs +を展開することができました。地理的に離れた2つの冗長サーバーが同期されています。 しかし、それにもかかわらず、新しい機器をセットアップするとき、1つではなく100万のローカルアカウントをセットアップし続けます。 Tacacs +の実行中にローカルアカウントが機能しないという主張に対する答えは、「ローカルアカウントは信頼できますが、どうなりますか」です。



また、Tacacs +を起動したときに、許可ログに多数のエントリが表示されました。root、guestなどとしてログインしようとしました。 中国の友人から。 アクセスACLについて尋ねられたとき、彼は目を丸くしました。 ところで、今では大規模な銀行についてでした...



実際、 アプリケーション処理システムをリストに含めることは考えていませんでしたが、数千人の加入者を抱える通信サービスに従事している州のオフィスで、アプリケーションが電話で受信され、印刷され、ドラムロール、ファックスでパフォーマーに送信されることがありました！ しかし、一般的に、この点に関しては、すべてが問題ありませんが、ゼロで作業する必要があったすべてのシステムの「使用可能性」は例外です。



どうぞ- バックアップシステム

電力サージ、火災、洪水、クリーナー、その他の自然災害により機器が故障する可能性があることを説明する必要はないと思います。 すぐに置き換えるには、設定が必要です。 彼は、男性が記憶から燃え尽きたルーターの構成に「出産」し、同時に耳や体の他の部分から蒸気を吸う様子を目撃しました。 たとえば、Rancid + SVN（ EvilMause氏が示唆したように 、Rancidはベンダーの機器からバックアップを作成することを余儀なくされる可能性があります） しかし、誰でも最も簡単なスクリプトをbash、またはルーターで実行される別の言語で記述し、構成ファイルをftp / tftpにコピーしてフォルダーで並べ替えるコマンドを与えると、Tacacs +を使用すると、制限付きの権限でアカウントを作成できます。



ところで、シスコの機器は、RWコミュニティの場合、snmpを介した構成の変更とコピーをサポートしますが、コミュニティはACLにバインドする必要があります。それ以外の場合...特にsnmp 1またはv2cの場合。 同じ銀行内で、ACLにバインドせずにRW snmpコミュニティが設定された多くの場所で、コミュニティは「パブリック」ほど複雑ではありませんでした。 しかしある日、伝説によると、ある「ハッカー」が銀行のネットワークに侵入し、IPルーティングをオフにしました。 彼はどうやってそれをしたの？！



サーバーの場合、Baculaのようなものを使用できます。本当に怠areでRAIDコントローラーのないサーバーの場合は、少なくともLinux RAIDのSoftRAID 1を使用しますが、組み込みのFakeRAIDは使用しません。 少なくともある種のデータバックアップがあります。 そして何よりも、現代のテクノロジーの時代に住んでいるので、仮想化を使用してください。 ただし、ほとんどのオペレーターのサーバー側だけはそれほど悪くはありません。 しかし、バックアップに問題があります。 Banksでは、すべての作業がAUに関連付けられているため、これで事態は大幅に改善されます。



まとめると

衛星SCPSネットワークの方向を見ると、会話はIPネットワークについてのみでした。未知のソースからの「干渉」に苦しんでいます。 VSATでは、「奇跡的に」タイムスロットが終了します。 個人的にHUB iDirectがどれほど美しく構成されているかを個人的に目撃しました。 このモデルには、それぞれの負荷を分散できる2つのプロトコルプロセッサがあり、それぞれダイナミクスが必要です。このシステムがサポートするプロトコルはRIPv2のみです。 しかし、この人は大量のルーターを作成しました-プロトコルプロセッサの静的、すべてを1つのプロトコルプロセッサでラップし、より大きなメトリックで2番目のルータへのルートを作成することさえしません。 したがって、「不可解な」理由でモデムの半分が機能せず、2番目のプロトコルプロセッサへの負荷転送の場合、すべてが機能しませんでした。 または、計算が正しいことを全員に保証しようとしたデザイナーであり、彼はアンテナがフィールドに単独で立っているポールに正確に配置されている理由を理解していませんでした（実際にはそうです）。 幸いなことに、私はPDHとSDHに触れたことはありませんが、物事はもう少し楽しいようです。 私は電話について話すことができません;私は彼女と働いたことがない。



これらはすべて、あなたが話すことすらすべきではない明白なことのように思えますが、...しかし、私たちは持っているものを持っています。 おそらく他の地域では状況は根本的に異なっていますが、信じがたいです。



これはすべて、次の理由で発生するようです。

• 営利企業は主にビジネスのニーズに焦点を当てており、当然のことながら、「上級」マネージャーは企業の利益ではなく個人の利益に焦点を当てています。 その結果-タスクの非現実的な期限、処理のための支払いの欠如、そして有罪の検索。 状態で、「business」および「commerce」という単語を削除します。
• 最初の結果として、彼らの仕事に対する労働者の一定の態度が形成されます。
• 有能な専門家のスタッフの代わりに、他のどこにも連れて行かれなかった昨日の小学生または人文科学を1人と10人雇うために、スタッフが節約されます。
• 技術専門家とディレクターの間の層として機能する有能なフィールドマネージャーの不足。 原則として、マネージャーは有能ではなく、すべてが部​​下の肩にかかるか、長い間すべてを獲得しています。
• 購入したお金を節約したり、「カット」したいという欲求。 これは、割り当てられた義務に対応していない、互換性がない、または単に不要な機器が購入されるという事実につながります。
  
  




この意識の流れを最後まで読む忍耐を持っている人にとって、私はただ泣き言を言っているように思えるかもしれません、そしてあなたに同意しますが、同じ問題を5回繰り返した後、自分を抑えるのは難しいです。



繰り返しますが、記事に記載されていることはすべて純粋に私の意見であり、個人的な経験に基づいていることを思い出します。 これは誰かがそのような間違いをしないことを期待して書かれています。



ありがとう