👨🏾‍🤝‍👨🏽 🍴 ♥️ ネットワークインフラストラクチャを制御する方法。第2章クリーニングとドキュメント 👨🏻‍🔬 📗 🚠

この記事は、「ネットワークインフラストラクチャを管理する方法」というタイトルの一連の記事の2番目です。 シリーズのすべての記事の内容とリンクはここで見つけることができます 。

この段階での目標は、ドキュメントと構成をクリーンアップすることです。

このプロセスの出力で、必要なドキュメントのセットとそれらに従って構成されたネットワークが必要です。

セキュリティ監査については説明しません-3番目の部分はこれに専念します。

もちろん、この段階でタスクを完了することの難しさは、企業によって大きく異なります。

理想的な状況は

ネットワークはプロジェクトに従って作成され、完全なドキュメントセットがあります
あなたの会社は、ネットワークの変更を監視および管理するプロセスを実装しています
このプロセスに従って、現在の状況に関する完全な情報を提供するドキュメント（必要なすべてのスキームを含む）があります。

この場合、タスクは非常に簡単です。文書を調べて、行われたすべての変更を確認する必要があります。

最悪のシナリオでは、あなたは

プロジェクトなし、計画なし、調整なし、十分なレベルの資格を持っていないエンジニアによって作成されたネットワーク
混oticとした、文書化されていない変更、多くの「ゴミ」と次善のソリューション

あなたの状況はどこかにあることは明らかですが、残念ながら、この規模ではより良いです-高い確率で悪化し、最悪の終わりに近づきます。

この場合、「デザイナー」が何をしたいのかを理解し、ロジックを復元し、完了していないものを終了し、「ガベージ」を削除する必要があるため、思考を読み取る機能も必要になります。

そして、もちろん、あなたは彼らの間違いを止め、設計を変更し（この段階で可能な限り少なくする）、回路を変更または再作成する必要があります。

この記事は、決して包括的なものではありません。ここでは、一般的な原則のみを説明し、対処する必要のある一般的な問題について説明します。

ドキュメントのセット

例から始めましょう。

以下は、シスコシステムズが通常設計で作成するドキュメントの一部です。

CR-カスタム要件、顧客要件（技術的な割り当て）。

顧客とともに作成され、ネットワーク要件を定義します。

HLD-ネットワーク設計（CR）に基づいた高レベル設計。このドキュメントでは、採用されたアーキテクチャの決定（トポロジ、プロトコル、機器の選択など）について説明し、正当化します。 HLDには、使用されているインターフェイスやIPアドレスなどの設計の詳細は含まれていません。また、特定の機器構成についてはここでは説明しません。むしろ、このドキュメントは、主要な設計概念を顧客の技術管理に説明することを目的としています。

LLD-低レベル設計、高レベル（HLD）に基づく低レベル設計。

機器の接続方法や構成方法など、プロジェクトの実装に必要なすべての詳細が含まれている必要があります。これは、設計実装の完全なガイドです。このドキュメントは、資格のない人でも実装に十分な情報を提供する必要があります。

たとえば、IPアドレス、AS番号、ケーブル接続などは、 NIP （ネットワーク実装計画）などの個別のドキュメントで「取り出す」ことができます。

ネットワーキングは、これらのドキュメントの作成後に開始され、それらに厳密に準拠して行われ、その後、設計に準拠しているかどうかがお客様（テスト）によってチェックされます。

もちろん、異なるインテグレーター、異なる顧客、異なる国では、プロジェクト文書の要件は異なる場合があります。しかし、私は手続きを避け、メリットの問題を検討したいと思います。この段階は設計ではなく、物事を整理することであり、タスクを完了するために十分なドキュメントのセット（スキーム、テーブル、説明など）が必要です。

そして、私の意見では、特定の絶対的な最小値があり、それなしではネットワークを効果的に制御することは不可能です。

これらは次のドキュメントです。

物理スイッチング（ケーブル）のスキーム（ログ）
重要なL2 / L3情報を持つネットワーク回線

物理スイッチングスキーム

一部の小規模企業では、機器の設置と物理的なケーブル配線に関連する作業はネットワークエンジニアの責任です。

この場合、次の方法で問題を部分的に解決します。

インターフェイスの説明を使用して、接続されているものを説明します
ネットワーク機器のすべての未接続ポートを管理上のシャットダウン

これにより、リンクに問題がある場合（cdpまたはlldpがこのインターフェイスで動作しない場合）でも、このポートに何が接続されているかをすばやく判断できます。

また、どのポートがビジーで、どのポートが空いているかを簡単に確認できます。これは、新しいネットワーク機器、サーバー、またはワークステーションの接続を計画するために必要です。

ただし、機器にアクセスできなくなると、この情報にアクセスできなくなることは明らかです。さらに、この方法では、どの機器、どの電力消費、いくつのポート、どのラックに配置されているか、どのパッチパネルがあり、どこ（どのラック/パッチパネル）に接続されているかなどの重要な情報を記録できません。したがって、ハードウェアの説明だけでなく、すべて同じ追加ドキュメントが非常に役立ちます。

理想的なオプションは、この種の情報を扱うように設計されたアプリケーションを使用することです。ただし、単純なテーブル（Excelなど）に制限したり、L1 / L2スキームで必要と思われる情報を表示したりできます。

重要！

もちろん、ネットワークエンジニアは、SCSの複雑さと標準、ラックの種類、無停電電源装置の種類、冷たくて熱い廊下が何であるかを非常によく理解できます。しかし、それにもかかわらず、これは彼の知識の分野ではないことを理解する必要があります。

したがって、設置、接続、機器のパフォーマンスのメンテナンス、および物理的な切り替えに関連する問題を解決するために、専任の部署または専任の人員を配置することをお勧めします。通常、データセンターの場合はエンジニアデータセンター、オフィスの場合はヘルプデスクです。

このようなユニットが社内で提供されている場合、物理的なスイッチングログの管理の問題はあなたのタスクではなく、インターフェイスでの説明と未使用のポートの管理上のシャットダウンのみに制限できます。

ネットワーク図

スキームを描くための普遍的なアプローチはありません。

最も重要なことは、スキームは、トラフィックがどのように進み、ネットワークのどの論理的および物理的要素を通過するかを理解する必要があることです。

物理的要素とは

アクティブ機器
アクティブな機器のインターフェース/ポート

論理の下で-

論理デバイス（N7K VDC、Palo Alto VSYS、...）
VRF
ビラナ
サブインターフェース
トンネル
ゾーン
...

また、ネットワークが完全に基本的なものではない場合、異なるセグメントで構成されます。

例えば

データセンター
インターネット
ワン
リモートアクセス
オフィスLAN
Dmz
...

一般的な状況（これらすべてのセグメント間でのトラフィックの流れ）と各セグメントの詳細な説明の両方を提供するいくつかのスキームを用意するのが妥当です。

現代のネットワークは多くの論理レベルを持つことができるため、適切な（ただし必須ではない）アプローチは、異なるレベルの異なるスキームを作成することである可能性があります。たとえば、オーバーレイアプローチの場合、これらは次のスキームです。

オーバーレイ
L1 / L2アンダーレイ
L3アンダーレイ

もちろん、設計のアイデアを理解することが不可能な最も重要なスキームは、ルーティングスキームです。

ルーティングスキーム

少なくとも、この図は反映する必要があります

ルーティングプロトコルと使用場所
ルーティングプロトコル設定に関する基本情報（エリア/ AS番号/ルーターID / ...）
デバイスの再配布が発生する場所
ルートのフィルタリングと集約が発生する場所
デフォルトルート情報

L2回線（OSI）も便利です。

L2回線（OSI）

次の情報がこの図に反映される場合があります。

何のVLAN
どのポートがトランクポートですか
イーサチャネル（ポートチャネル）、仮想ポートチャネルに集約されるポート
どのSTPプロトコルおよびどのデバイスが使用されているか
メインSTP設定：ルート/ルートバックアップ、STPコスト、ポートプライオリティ
高度なSTP設定：BPDUガード/フィルター、ルートガード...

典型的な設計エラー

ネットワーク構築への貧弱なアプローチの例。

簡単なオフィスLANを構築する簡単な例を見てみましょう。

学生に電気通信を教えた経験があるので、単純にオフィスLANをセットアップするために、2学期中期までに事実上すべての学生が（私が教えたコースの一部として）必要な知識を持っていると言えます。

スイッチを相互に接続し、VLAN、SVIインターフェイス（L3スイッチの場合）を構成し、静的ルーティングを設定するのが難しいのは何ですか？

すべてが機能します。

しかし、同時に、に関連する問題

保安
予約
ネットワークのスケーリング
性能
帯域幅
信頼性
...

時々、オフィスのLANは非常に単純なものであるという声を聞きますが、通常はネットワークではなくすべてを行うエンジニア（およびマネージャー）から聞いており、LANがあれば驚くことはありません練習と知識が不十分な人によって行われ、私が以下で説明するこれらの過ちでほぼ行われます。

共通設計L1レイヤーエラー（OSI）

それでも、SCSを含めてあなたに責任がある場合、不愉快で思慮のない切り替えは、最も不愉快な遺産の1つです。

また、L1と入力するには、使用する機器のリソースに関連するエラーを分類します。たとえば、

不十分な帯域幅
機器のTCAMが不十分（またはその非効率的な使用）
不十分なパフォーマンス（多くの場合、ファイアウォールを指します）

共通設計L2レイヤーエラー（OSI）

多くの場合、STPがどのように機能するのか、どのような潜在的な問題が生じるのかについて十分に理解していない場合、スイッチはSTPを追加調整することなく、デフォルト設定でランダムに接続します。

その結果、次のことがよくあります

ブロードキャストストームにつながる可能性があるネットワークの大きなSTP直径
STPルートはランダムに（MACアドレスに基づいて）決定され、トラフィックパスは次善のものになります
ホストに接続されたポートはエッジ（portfast）として設定されないため、エンドポイントのオン/オフを切り替えるときにSTPが再計算されます。
ネットワークはL1 / L2レベルでセグメント化されません。その結果、スイッチの問題（たとえば、電力の輻輳）がSTPトポロジーの再計算につながり、すべてのスイッチのすべてのVLANでトラフィックを停止します（連続性の観点からのクリティカルを含む）サービスセグメント）

L3設計エラーの例（OSI）

いくつかの典型的な間違い初心者初心者：

静的ルーティングの頻繁な使用（または使用のみ）
この設計に最適ではないルーティングプロトコルの使用
準最適論理ネットワークセグメンテーション
アドレス空間の非最適な使用。これはルート集約を許可しません
バックアップルートの欠如
デフォルトゲートウェイの冗長性の欠如
ルートを再構築するときの非対称ルーティング（NAT / PAT、ステートフルファイアウォールの場合に重要になる可能性があります）
MTUの問題
ルートを再構築すると、トラフィックは他のセキュリティゾーンまたは他のファイアウォールを通過するため、このトラフィックがドロップするという事実につながります
トポロジのスケーラビリティが低い

設計品質評価基準

最適性ではなく最適性について話すとき、これをどの基準で評価できるかを理解する必要があります。私の観点から、最も重要な（ただしすべてではない）基準（およびルーティングプロトコルに関連する復号化）は次のとおりです。

拡張性

たとえば、別のデータセンターを追加することにしました。どれだけ簡単にできるか。
管理の利便性（管理性）

新しいグリッドの発表やルートのフィルタリングなど、運用上の変更はどれほど簡単で安全か
利用可能

システムが必要なレベルのサービスを提供する時間の割合
保安

送信されたデータはどのくらい安全ですか？
価格

変更点

この段階での基本原則は、「害を与えない」という式で表現できます。

したがって、設計および選択した実装（構成）に完全に同意しない場合でも、変更を加えることは常に推奨されるとは限りません。合理的なアプローチは、特定されたすべての問題を2つの方法でランク付けすることです。

この問題をどれだけ簡単に修正できるか
彼女はどれだけのリスクを抱えている

まず第一に、現時点で提供されるサービスのレベルが許容範囲を下回るもの、たとえばパケット損失につながる問題を排除する必要があります。次に、リスクの重大度を下げるために、最も簡単で安全なものを排除します（より大きなリスクを伴う設計または構成の問題から小さなものへ）。

この段階での完璧主義は有害です。設計を満足のいく状態にし、それに応じてネットワーク構成を同期します。

ネットワークインフラストラクチャを制御する方法。 第2章 クリーニングとドキュメント