Modular Network Design: A Scalable Architecture Framework
Disseny de xarxa modular: un entorn d' arquitectura escalable
Introducció al disseny de xarxa modular
La modular de xarxes és la pràctica de dissenyar les xarxes com a interrelacionades, per mitjà de segments basats en estructures monoliètiques. Cada mòdul serveix d' una funció específica, ha definit límits, i es connecta als mòduls adjacents a través d' interfícies d' administració benives. Aquesta aproximació transforma el disseny de xarxa d'un art en una disciplina d'enginyeria repetible.
El poder de la modularitat rau en la seva capacitat de crearpatrons previsiblesaixò es pot aplicar de forma consistent a través de tota la infraestructura de l'organització, a partir de l'alçada de milers de llocs petits, milers de llocs mitjans o centenars de grans campus d'empresa.
Per què matèria modulars
Bene correspon a totes les escales de xarxa
Package Benefit CYF Petits llocs baixos del Mritthonthon ------- ------------ ------------------------------------------------------------------------- 1]Resolució simplificatL' únic enginyer de l'EdCE pot entendre a tot el món els equips de topologia poden especializar-se amb un mòdul, lar camins escalades entre els propietaris de mòduls, dir-los que s'ha iniciat 1]Escalat preditable144 Afegeix mòduls com cal stretchedlov Slon Slon patrons provats BASE Estén sense redisseny 1]Seguretat consistentschoices Les mateixes polítiques a tot arreu de la postura Uniform de conformitat d'Auditors d' auditoria 1]Operació EfficenciaBASE plantilla basada en el desplegament Manveen Automid automitment, provisionalment de canvi estàndard per a la gestió d' canvis estàndard 1]Control de costAmidació de la dreta de cada mòdul, Absorqüent d' un mòdul, format per mòdul, gestió de cicles de la vida de l'Lliz per l' tierz
El desafiament d' escalat
Les organitzacions rarament es queden estàtics. Un disseny modular ha d' ajustar:
- 10.000+ llocs petites: oficines de la branca, ubicacions de detall, instal·lacions remotes
- 1.000 llocs mitjans: oficines regional, centres de distribució, fabricació de plantes
- 100+ grans llocs: Seu, centres de dades, campus principals
Sense modulars, cada lloc esdevé un únic floc de neu requereix una documentació personalitzada, formació especialitzada i un dels problemes que es resolen. Amb modularitat, un enginyer que entén que el patró pot treballar efectivament en qualsevol lloc.
Mòduls de xarxa principal
Mòdul 1: Segment de la vora d' Internet
Internet Edge és on la vostra organització coneix el món exterior. Aquest mòdul conté:
- Circuits WAN/ Internet(MPLS, DIA, banda ampla, LTE/5G)
- Encaminadors de vora(BGP parelling, Finalització)
- Tallafocs(la inspecció estatal, NAT, final VPN)
- Segmentació VLANper separació funcional
@startuml Internet Edge Module
!define ICONURL https://raw.githubusercontent.com/Roemer/plantuml-office/master/office2014
skinparam backgroundColor #FEFEFE
skinparam handwritten false
nwdiag {
internet [shape = cloud, description = "Internet"];
network ISP_Transit {
address = "VLAN 10-12"
color = "#FFE4E1"
description = "ISP/MPLS Transit"
internet;
ISP_A [description = "ISP-A\nCircuit"];
ISP_B [description = "ISP-B\nCircuit"];
MPLS [description = "MPLS\nCircuit"];
}
network Edge_Router_Segment {
address = "VLAN 10,11,12"
color = "#E6E6FA"
description = "Edge Router Aggregation"
ISP_A;
ISP_B;
MPLS;
Edge_Router [description = "Edge Router\n(BGP Peering)"];
}
network FW_Outside {
address = "VLAN 100"
color = "#FFFACD"
description = "Firewall Outside"
Edge_Router;
FW_Primary [description = "Firewall\nPrimary"];
FW_Secondary [description = "Firewall\nSecondary"];
}
network FW_HA_Sync {
address = "VLAN 101"
color = "#F0FFF0"
description = "HA Sync Link"
FW_Primary;
FW_Secondary;
}
network FW_Inside {
address = "VLAN 102"
color = "#E0FFFF"
description = "To Internal Edge"
FW_Primary;
FW_Secondary;
}
}
@enduml
Conjunts de disseny de tecles:
- Circuits Redundals de proveïdors diversos
- Parells d' alta capacitat del tallafocs
- Neteja els límits VLAN entre zones de confiança
- Enllaços de punt L3 entre encaminadors i tallafocs
Mòdul 2: Vora interna / DMZ TierCity name (optional, probably does not need a translation)
Per als llocs mitjans i grans, la vora interna proporciona una capa d' aggresió per serveis que requereixen una exposició controlada o serveixen com a punts de transició entre zones de seguretat.
@startuml Internal Edge Module
skinparam backgroundColor #FEFEFE
nwdiag {
network From_Internet_Edge {
address = "VLAN 102"
color = "#E0FFFF"
description = "From Firewall Inside"
IntEdge_A [description = "Internal Edge\nSwitch A"];
IntEdge_B [description = "Internal Edge\nSwitch B"];
}
network MCLAG_Peer {
address = "Peer-Link"
color = "#DDA0DD"
description = "MCLAG/vPC Peer"
IntEdge_A;
IntEdge_B;
}
network WLC_Mgmt {
address = "VLAN 200 - 10.x.200.0/24"
color = "#FFE4B5"
description = "WLC Management"
IntEdge_A;
IntEdge_B;
WLC [description = "Wireless LAN\nController"];
}
network Proxy_Farm {
address = "VLAN 201 - 10.x.201.0/24"
color = "#FFDAB9"
description = "Proxy Services"
IntEdge_A;
IntEdge_B;
Proxy [description = "Web Proxy\nServers"];
}
network VPN_Services {
address = "VLAN 202 - 10.x.202.0/24"
color = "#E6E6FA"
description = "VPN Termination"
IntEdge_A;
IntEdge_B;
VPN [description = "VPN\nConcentrator"];
}
network Infrastructure {
address = "VLAN 204 - 10.x.204.0/24"
color = "#F0FFF0"
description = "Infrastructure Services"
IntEdge_A;
IntEdge_B;
DNS_DHCP [description = "DNS/DHCP\nServers"];
}
network To_Core {
address = "VLAN 205"
color = "#B0E0E6"
description = "Core Transit"
IntEdge_A;
IntEdge_B;
}
}
@enduml
Serveis normalment a la vora interna:
- Controladors LAN sense fils (WLC)
- Filtres de servidors web i contingutName
- Concentadors VPN
- Infraestructures DNS/DHCP
- Saldos de càrrega
- Salteu màquines / servidors de base
Mòdul 3: Capa principal
El nucli és la columna de retorn d'alta velocitat que interconnecta tots els altres mòduls. S'ha d' optimitzar per:
- Màxim a través de rendiment
- Mínim de retard
- Alta disponibilitat
- Redirecció simple, ràpida
@startuml Core Module
skinparam backgroundColor #FEFEFE
nwdiag {
network From_Internal_Edge {
address = "L3 Routed"
color = "#B0E0E6"
description = "From Internal Edge"
Core_A [description = "Core Switch A\n100G Backbone"];
Core_B [description = "Core Switch B\n100G Backbone"];
}
network Core_Interconnect {
address = "100G+ ISL"
color = "#FFB6C1"
description = "High-Speed Interconnect\nOSPF/IS-IS/BGP"
Core_A;
Core_B;
}
network To_Distribution_1 {
address = "L3 P2P"
color = "#98FB98"
description = "Building A"
Core_A;
Core_B;
Dist_1 [description = "Distribution 1\n(L3 Adjacent)"];
}
network To_Distribution_2 {
address = "L3 P2P"
color = "#DDA0DD"
description = "Building B"
Core_A;
Core_B;
Dist_2 [description = "Distribution 2\n(MCLAG)"];
}
network To_Distribution_3 {
address = "L3 P2P"
color = "#FFDAB9"
description = "Building C"
Core_A;
Core_B;
Dist_3 [description = "Distribution 3\n(MCLAG)"];
}
network To_DC_Border {
address = "L3 Routed"
color = "#87CEEB"
description = "Datacenter"
Core_A;
Core_B;
Border_Leaf [description = "Border Leaf\n(DC Fabric)"];
}
}
@enduml
Conjunt de principis del nucli:
- No s' ha adjuntat directament els dispositius d' usuari final
- L3 rutting entre els interruptors del nucli (sense arbre de creixement)
- Path igual de cost (ECMP) per a carregar la distribució
- Protocols de convergència ràpida
Mòdul 4: Capa de distribució
La capa de distribució agrega canvis d'accés i força la política. Aquí és on les decisions de disseny de xarxa tenen la més variació basada en els requeriments de lloc.
Variacions de distribució
Variació 1: L3 Adjacent (accés controlat)
En aquest disseny, la distribució i les capes d' accés sónL3 adjacenteach access switch té la seva pròpia subxarxa IP i rutes directament a la distribució.
@startuml Distribution Variation 1 - L3 Adjacent
skinparam backgroundColor #FEFEFE
nwdiag {
network From_Core {
address = "L3 ECMP"
color = "#B0E0E6"
description = "From Core Layer"
Dist_A [description = "Distribution A\n(L3 Router)"];
Dist_B [description = "Distribution B\n(L3 Router)"];
}
network Dist_iBGP {
address = "iBGP Peering"
color = "#DDA0DD"
description = "ECMP/iBGP"
Dist_A;
Dist_B;
}
network P2P_Access_1 {
address = "10.x.2.0/30"
color = "#98FB98"
description = "L3 Point-to-Point"
Dist_A;
Dist_B;
Access_1 [description = "Access SW-1\n(L3 Gateway)"];
}
network P2P_Access_2 {
address = "10.x.2.8/30"
color = "#FFE4B5"
description = "L3 Point-to-Point"
Dist_A;
Dist_B;
Access_2 [description = "Access SW-2\n(L3 Gateway)"];
}
network P2P_Access_3 {
address = "10.x.2.16/30"
color = "#FFDAB9"
description = "L3 Point-to-Point"
Dist_A;
Dist_B;
Access_3 [description = "Access SW-3\n(L3 Gateway)"];
}
network User_VLAN_1 {
address = "10.x.32.0/24"
color = "#F0FFF0"
description = "Users - SW1"
Access_1;
Laptop_1 [description = "Laptops"];
Phone_1 [description = "Phones"];
}
network User_VLAN_2 {
address = "10.x.33.0/24"
color = "#FFF0F5"
description = "Users - SW2"
Access_2;
Laptop_2 [description = "Laptops"];
Camera_2 [description = "Cameras"];
}
network User_VLAN_3 {
address = "10.x.34.0/24"
color = "#F5FFFA"
description = "Users - SW3"
Access_3;
Laptop_3 [description = "Workstations"];
Camera_3 [description = "Cameras"];
}
}
@enduml
Exemple d' energia subnet:
Manveen Link Subnet Manveen 52... - Stark---- La distribució de l' Manveen a Core 10.x. 1. 0/ 30, 10.x. 1.4/ 3030 1] Dest- A per accedir a 1, 10.x. 2. 0/30 Manveen Dist- B per accedir a 1 2001- 10x. 2.4/30 Manveen Access- 1 Usuari VLAN 10.x. 332/24 Manveen Access- 2 Usuari VLAN 10.x. 3333. 0/24
Bene corresponts:
- Activació de domini de difusió en cada canvi d' accés
- Resolent problemes simplificats (ordres continguts a la subxarxa)
- No hi ha arbre amb cobertura entre distribució i accés
- Summartion possible a la capa de distribució
Consideracions:
- Requereix commutadors d' accés L3
- Configuració del repetidor DHCP en cada canvi d' accés
- Gestió d' adreces IP més complexa
Variació 2: MCLAG amb LACP Trunks
Aquest disseny usaAgregació d' enllaç multi-Xassas (MCLAG)a la distribució ambEnllaços LACPals interruptors d'accés que transporten a VLANs.
Terminologia del venedorCisco crida a aquest vPCP ( Canal de port virtual), Arista utilitza MLAG, Juniper utilitza MC-LAG, i HPE/Auba utilitza VSX. El comportament funcional és semblant als proveïdors.
@startuml Distribution Variation 2 - MCLAG
skinparam backgroundColor #FEFEFE
nwdiag {
network From_Core {
address = "L3 Routed Uplinks"
color = "#B0E0E6"
description = "From Core Layer"
Dist_A [description = "Distribution A\n(MCLAG Member)"];
Dist_B [description = "Distribution B\n(MCLAG Member)"];
}
network MCLAG_Peer_Link {
address = "Peer-Link"
color = "#FFB6C1"
description = "MCLAG/vPC Peer-Link"
Dist_A;
Dist_B;
}
network LACP_To_Access {
address = "Po1 - LACP Trunk"
color = "#DDA0DD"
description = "VLANs 100,110,120 Trunked"
Dist_A;
Dist_B;
Access_1 [description = "Access SW-1\n(L2 Switch)"];
}
network Data_VLAN {
address = "VLAN 100 - 10.x.32.0/24"
color = "#98FB98"
description = "Data VLAN"
Access_1;
Laptops [description = "Laptops\nWorkstations"];
}
network Voice_VLAN {
address = "VLAN 110 - 10.x.64.0/24"
color = "#FFE4B5"
description = "Voice VLAN"
Access_1;
Phones [description = "IP Phones"];
}
network Security_VLAN {
address = "VLAN 120 - 10.x.96.0/24"
color = "#FFDAB9"
description = "Security VLAN"
Access_1;
Cameras [description = "Cameras\nBadge Readers"];
}
}
@enduml
Emplaçament SVI (RRP VIP a la parella de distribució):
- VLAN 100: 10.x. 32. 1/24
- VLAN 110: 10.x. 64. 1/24
- VLAN 120: 10.x.96. 1/24
Configuració VLAN Trunk:
El destí de Port- Channel GLAN VLANs ------------------------------------ ---... -... -... -... -... - - ----- Kolab.. 1]P1 (MCLAG) 2001- 100, 110, 120 Access-1 1]P2 (MCLAG) 2001- 100, 110, 120, 130 Access2 Manveen Po3 (MCLAG) 2001- 100, 110 Access- 3 Manveen Nadiu VLAN 999 (desutilitzat) Manveen
MCLAG Beneit:
- Redirecció activa (amb enllaços usats)
- Subsegon falles
- Un simple commutador lògic des de la perspectiva d' accés
- No hi ha bloqueig en arbre
Consideracions:
- Hi ha múltiples canvis d' accés ( dominis de difusió més gran)
- LLAG parell d'enllaços es pot convertir en un coll embotellat
- Encara es requereix SPT com a còpia de seguretat del bucle de prevenció
Variation 3: Vores Laf per al Spine/ Luf Data center
En entorns de dades, la capa de distribució esdevé laFrontera LeafCity name (optional, probably does not need a translation)connectant el teixit a la resta de la xarxa d'empresa.
@startuml Distribution Variation 3 - Border Leaf Datacenter
skinparam backgroundColor #FEFEFE
nwdiag {
network Enterprise_Core {
address = "L3 Routed (eBGP/OSPF)"
color = "#B0E0E6"
description = "From Enterprise Core"
Border_A [description = "Border Leaf A\nVXLAN Gateway"];
Border_B [description = "Border Leaf B\nVXLAN Gateway"];
}
network Border_EVPN {
address = "VXLAN EVPN"
color = "#DDA0DD"
description = "EVPN Type-5 Routes"
Border_A;
Border_B;
Spine_1 [description = "Spine 1"];
Spine_2 [description = "Spine 2"];
}
network Spine_Fabric {
address = "eBGP Underlay"
color = "#FFB6C1"
description = "Spine Layer"
Spine_1;
Spine_2;
}
network Leaf_Tier_1 {
address = "VTEP"
color = "#98FB98"
description = "Compute Rack 1"
Spine_1;
Spine_2;
Leaf_1 [description = "Leaf 1"];
Leaf_2 [description = "Leaf 2"];
}
network Leaf_Tier_2 {
address = "VTEP"
color = "#FFE4B5"
description = "Storage/Services"
Spine_1;
Spine_2;
Leaf_3 [description = "Leaf 3"];
Leaf_4 [description = "Leaf 4"];
}
network Server_Rack_1 {
address = "VNI 10001"
color = "#F0FFF0"
description = "Compute Servers"
Leaf_1;
Leaf_2;
Servers_1 [description = "Rack Servers\nVMs/Containers"];
}
network Storage_Network {
address = "VNI 10002"
color = "#FFDAB9"
description = "Storage Arrays"
Leaf_3;
Storage [description = "SAN/NAS\nStorage"];
}
network Voice_Services {
address = "VNI 10003"
color = "#E6E6FA"
description = "UC Systems"
Leaf_4;
PBX [description = "PBX/UC\nSystems"];
}
}
@enduml
Detalls del centre de dades:
Component de la funció de l' AmarokUX 52...---------- 1]Recobriment1] eBGP (ASN per canvi) o OSPF Tidy 1]RecobrimentTLVXLAN amb l'avió de control EVPN 1]Frontera LeafCity name (optional, probably does not need a translation)Manveen VXLAN-a-VLAN, rutes externes, rutes Inter-VRF routoning 1]Càrrega de feina LeafSUBCCIÓ calcula, emmagatzematge, veu/ UC, Infraestructura ANSI
Bene corresponts:
- Escala horitzontal massiva (afegir parells de fulles com cal)
- Arquitectura de teixit que no està bloquejant
- Multi-tenància mitjançant VRF/VNI
- Patrons de tràfic d'est- oest
Consideracions:
- Complexitat operacional de VXLAN/ECVPN
- Es necessiten habilitats especialitzades
- Cost d' equip més alt
Mòdul 5: Capa d' accés
La capa d' accés és on es connecten els dispositius final. Independentment de la topologia de la distribució, els interruptors d' accés proporcionen:
@startuml Access Layer Module
skinparam backgroundColor #FEFEFE
nwdiag {
network Distribution_Uplink {
address = "L3 or LACP Trunk"
color = "#B0E0E6"
description = "Uplinks to Distribution"
Access_SW [description = "48-Port Access Switch\nPoE+ Capable"];
}
network Data_VLAN {
address = "VLAN 100 - Ports 1-8, 25-32"
color = "#98FB98"
description = "Data VLAN"
Access_SW;
Laptops [description = "Laptops\nWorkstations"];
}
network Voice_VLAN {
address = "VLAN 110 - Ports 9-16"
color = "#FFE4B5"
description = "Voice VLAN"
Access_SW;
Phones [description = "IP Phones"];
}
network Camera_VLAN {
address = "VLAN 120 - Ports 17-24"
color = "#FFDAB9"
description = "Security VLAN"
Access_SW;
Cameras [description = "IP Cameras"];
}
network Wireless_VLAN {
address = "VLAN 130 - Ports 33-40"
color = "#DDA0DD"
description = "Wireless AP VLAN"
Access_SW;
APs [description = "Wireless APs"];
}
network Mgmt_VLAN {
address = "VLAN 999 - Ports 41-44"
color = "#F0FFF0"
description = "Management VLAN"
Access_SW;
}
}
@enduml
Funcionalitats de seguretat de la capa d' accés:
- 802. 1X / Autenticació MAB
- Assignació dinàmica de VLAN
- Port seguretat
- Snooping DHCP
- Inspecció dinàmica ARP
- Guàrdia d' origen IP
Topologia modular completa
Així és com es connecten tots els mòduls per formar una xarxa d' empresa completa:
@startuml Complete Modular Network Topology
skinparam backgroundColor #FEFEFE
title Complete Enterprise Modular Network
nwdiag {
internet [shape = cloud, description = "Internet/WAN"];
network Internet_Edge {
address = "Module 1"
color = "#FFE4E1"
description = "INTERNET EDGE MODULE"
internet;
ISP_A [description = "ISP-A"];
ISP_B [description = "ISP-B"];
MPLS [description = "MPLS"];
Edge_RTR [description = "Edge Router"];
FW_A [description = "FW-A"];
FW_B [description = "FW-B"];
}
network Internal_Edge {
address = "Module 2"
color = "#E6E6FA"
description = "INTERNAL EDGE / DMZ MODULE"
FW_A;
FW_B;
IntEdge_A [description = "IntEdge-A"];
IntEdge_B [description = "IntEdge-B"];
WLC [description = "WLC"];
Proxy [description = "Proxy"];
VPN [description = "VPN"];
DNS [description = "DNS/DHCP"];
}
network Core {
address = "Module 3"
color = "#B0E0E6"
description = "CORE MODULE"
IntEdge_A;
IntEdge_B;
Core_A [description = "Core-A"];
Core_B [description = "Core-B"];
}
network Distribution_L3 {
address = "Variation 1"
color = "#98FB98"
description = "DIST - L3 Adjacent\n(Building A)"
Core_A;
Core_B;
Dist_1A [description = "Dist-1A"];
Dist_1B [description = "Dist-1B"];
Access_L3 [description = "Access\n(L3)"];
}
network Distribution_MCLAG {
address = "Variation 2"
color = "#DDA0DD"
description = "DIST - MCLAG\n(Building B)"
Core_A;
Core_B;
Dist_2A [description = "Dist-2A"];
Dist_2B [description = "Dist-2B"];
Access_L2 [description = "Access\n(L2)"];
}
network Datacenter {
address = "Variation 3"
color = "#FFE4B5"
description = "DATACENTER\n(Spine/Leaf)"
Core_A;
Core_B;
Border_Leaf [description = "Border\nLeaf"];
Spine [description = "Spine"];
Leaf [description = "Leaf"];
Servers [description = "Servers\nStorage\nPBX"];
}
network Campus_Users {
address = "End Devices"
color = "#F0FFF0"
description = "Campus Users"
Access_L3;
Access_L2;
Users [description = "Laptops\nPhones\nCameras"];
}
}
@enduml
Estratègia d' adreçació IP amb Isolació VRF
El desafiament del multi-Segment, disseny multi-VRF
Quan les xarxes creixen per incloure múltiples zones de seguretat, unitats de negoci, o compliments dels límits,VRF ( Virtual Routing i Endavant)la ruta proveeix l'aïllament de la taula. No obstant això, estendre VRFs a través de múltiples vinculadors afegeix complexitat:
- Cada L3P requereix una subxarxa transitada
- Complexa de configuració multinacionals
- S' han produït problemes per a múltiples taules d' assecat
- La documentació ha de seguir l' afiliació VRF a cada corbata
Estratègia d' esquema de subnet
Un esquema de subxarxa ben dissenyat fa patrons reconeguts, reduint els errors de càrrega i configuració cognitius.
Exemple: Gran Manu factring Place (1. 0. 0. 0/13)
Reserva del lloc:1, 0. 0/13 (Manuring Place Alpha) - 524, 286 màquines usables
@startuml VRF Subnet Schema
skinparam backgroundColor #FEFEFE
title Large Site VRF Allocation Schema (10.0.0.0/13)
nwdiag {
network Corporate_VRF {
address = "VRF: CORPORATE\n10.0.0.0/17"
color = "#98FB98"
description = "Production Users"
Corp_Transit [description = "Transit\n10.0.0.0/23"];
Corp_Users [description = "Users\n10.0.32.0/19"];
Corp_Voice [description = "Voice\n10.0.64.0/19"];
Corp_Wireless [description = "Wireless\n10.0.96.0/19"];
Corp_Server [description = "Servers\n10.0.112.0/20"];
}
network Guest_VRF {
address = "VRF: GUEST\n10.1.0.0/17"
color = "#FFE4B5"
description = "Visitor Network"
Guest_Transit [description = "Transit\n10.1.0.0/23"];
Guest_Users [description = "Users\n10.1.32.0/19"];
}
network Security_VRF {
address = "VRF: SECURITY\n10.2.0.0/17"
color = "#FFDAB9"
description = "Physical Security"
Sec_Transit [description = "Transit\n10.2.0.0/23"];
Sec_Camera [description = "Cameras\n10.2.32.0/19"];
Sec_Badge [description = "Badge Readers\n10.2.64.0/19"];
Sec_NVR [description = "NVR/VMS\n10.2.96.0/20"];
}
network IOT_VRF {
address = "VRF: IOT\n10.3.0.0/17"
color = "#E6E6FA"
description = "Manufacturing OT"
IOT_Transit [description = "Transit\n10.3.0.0/23"];
IOT_PLC [description = "PLCs\n10.3.32.0/19"];
IOT_HMI [description = "HMIs\n10.3.64.0/19"];
IOT_SCADA [description = "SCADA\n10.3.96.0/20"];
}
}
@enduml
Detall del segment de trànsit (1. 0. 0/ 23 - 510 usables IP):
Manveen Subnet Link Description utstr...----- shanbe-uts-Kahl 255. 1, 0. 0/ 30 30 FW- Inside Manveen interna- Edge- A 255. 0 255. 10. 0. 0.4/30 FW- In-side Manveen intern- Bdge- B 255. 10. 0. 8/ 30 prioritat interna- A Core- A 255. 0 255. 10. 0. 0. 12/ 30 prioritat interna- A Core- B 255. 10. 0. 16/ 30 prioritat interna- Edge- B Nucli Core- A 255. 0 255. 10. 0. 20/ 30 prioritat interna- Edge- B Core- B 255. 255. 10. 0. 24/ 30 00 Core- A de la distribució d' Internet 255. 10. 0. 28/ 30 íema Core- A Manveen distribució- B 255. 10. 0. 32/ 30 Manveen Core- B Manveen distribució- AName 255. 255. 255. 0.36/ 30 Manveen Core- B Manveen distribució- B 255. 10. 0. 0/ 30 de distribució d' A Manveen Access- SW-1 DOCTYPE 255. 10. 0. 0. 44/ 30 de distribució- B Akregator Access- SW- 1 íemtxy... 2001- 2009 (Pattern continua) phrasebook
Nota:/31 subxarxa (RFC 3021) també es poden usar per als enllaços de punt a punt, conservant l' espai d' adreces.
Reconeixement de patrons Bene corresponts
Quan els patrons de la subxarxa són consistents entre VRFs:
eka El que sap bibliography El que pots fer és que "2002- 8859- 04- 04- 2009.. L'enllaç de trànsit a Ciatorate utilitza 10. 0. 0/30 d' invitat equivalent és 10. 1, 0. 40/30 Els usuaris de l'accés a l'SW-5 són a 1, 0.36.0/24 càmeres de seguretat a la mateixa passa a 10. 2,36.0/24 KDEDIRS El lloc Alfa de 255. 0 és 1, 0. 0/13, Place BetaBeta pot ser 10. 8, 0/13 0000
Això permet als enginyers:
- Adreces IP predict sense consultar la documentació
- Reconeix les subxarxa configurades immediatament
- Creeu plantilles d' automatització que funcionen a través de VRFs
- Entrena nou personal al patró, no memorització
Plantilles de mida del lloc
Plantilla de lloc petita (Branch Office) Name
@startuml Small Site Template
skinparam backgroundColor #FEFEFE
title Small Site Template (< 50 users)
nwdiag {
internet [shape = cloud];
network WAN {
color = "#FFE4E1"
description = "ISP/MPLS Circuit"
internet;
UTM [description = "UTM/SD-WAN\nAppliance\n(Router+FW+VPN+WLC)"];
}
network LAN {
address = "10.100.x.0/24"
color = "#98FB98"
description = "Single Subnet"
UTM;
Access [description = "Access Switch\n(or UTM ports)"];
}
network Endpoints {
color = "#F0FFF0"
description = "End Devices"
Access;
AP [description = "WiFi AP"];
Users [description = "Users"];
Phones [description = "Phones"];
}
}
@enduml
Notes de disseny de lloc petites:
- Disseny deshabilitat: Totes les funcions en maquinari mínim
- Subnet: / 24 o / 23 per lloc
- Exemple: 10. 100. 1. 0/24 (Ste 001)
Plantilla de lloc mitjana (OficinaRegional) Comment
@startuml Medium Site Template
skinparam backgroundColor #FEFEFE
title Medium Site Template (50-500 users)
nwdiag {
internet [shape = cloud];
network WAN_Edge {
color = "#FFE4E1"
description = "Internet Edge"
internet;
ISP_A [description = "ISP-A"];
ISP_B [description = "ISP-B/MPLS"];
Edge_RTR [description = "Edge Router"];
}
network Firewall_Tier {
color = "#FFDAB9"
description = "Firewall HA Pair"
Edge_RTR;
FW_A [description = "FW-A"];
FW_B [description = "FW-B"];
}
network Distribution {
address = "10.50.x.0/21"
color = "#DDA0DD"
description = "MCLAG Distribution\n(Dist/Core Combined)"
FW_A;
FW_B;
Dist_A [description = "Dist-A"];
Dist_B [description = "Dist-B"];
}
network Access_Tier {
color = "#98FB98"
description = "Access Switches (LACP)"
Dist_A;
Dist_B;
Acc1 [description = "Acc1"];
Acc2 [description = "Acc2"];
Acc3 [description = "Acc3"];
Acc4 [description = "Acc4"];
Acc5 [description = "Acc5"];
}
network Users {
color = "#F0FFF0"
description = "End Devices"
Acc1;
Acc2;
Acc3;
Acc4;
Acc5;
Endpoints [description = "Laptops/Phones\nCameras/APs"];
}
}
@enduml
Notes de disseny del lloc mitjà:
- Modulació parcial: Distinct Edge i Access tieers
- Subnet: // 21 per lloc (2, 046 IP)
- Exemple: 10. 50. 0. 0/21 (Ste 050)
Plantilla de lloc gran (sona quartes/Campus)
@startuml Large Site Template
skinparam backgroundColor #FEFEFE
title Large Site Template (500+ users)
nwdiag {
internet [shape = cloud];
network Internet_Edge {
color = "#FFE4E1"
description = "INTERNET EDGE MODULE"
internet;
ISP_A [description = "ISP-A"];
ISP_B [description = "ISP-B"];
MPLS [description = "MPLS"];
Edge_RTR [description = "Edge-RTR"];
FW_A [description = "FW-A"];
FW_B [description = "FW-B"];
}
network Internal_Edge {
color = "#E6E6FA"
description = "INTERNAL EDGE MODULE"
FW_A;
FW_B;
IntEdge_A [description = "IntEdge-A"];
IntEdge_B [description = "IntEdge-B"];
WLC [description = "WLC"];
Proxy [description = "Proxy"];
VPN [description = "VPN"];
DNS [description = "DNS"];
}
network Core {
color = "#B0E0E6"
description = "CORE MODULE"
IntEdge_A;
IntEdge_B;
Core_A [description = "Core-A"];
Core_B [description = "Core-B"];
}
network Dist_Var1 {
color = "#98FB98"
description = "L3 Adjacent"
Core_A;
Core_B;
Dist_1 [description = "Dist-1"];
Access_1 [description = "Access"];
}
network Dist_Var2 {
color = "#DDA0DD"
description = "MCLAG Trunk"
Core_A;
Core_B;
Dist_2 [description = "Dist-2"];
Access_2 [description = "Access"];
}
network Dist_Var3 {
color = "#FFE4B5"
description = "MCLAG Trunk"
Core_A;
Core_B;
Dist_3 [description = "Dist-3"];
Access_3 [description = "Access"];
}
network Datacenter {
color = "#87CEEB"
description = "SPINE/LEAF DC"
Core_A;
Core_B;
Border [description = "Border-Leaf"];
Spine [description = "Spine"];
Leaf [description = "Leaf"];
Servers [description = "Servers"];
}
}
@enduml
Notes de disseny del lloc gran:
- Modulació completa: Tots els corbatas estan separats físicament
- Subnet: // 13 a / 15 per lloc (basat en el recompte VRF)
- Exemple: 1, 0. 0/ 13 (HQ) - 524, 286 IP
Segmentació VRF i L3: Bene correspon i complexitat
Bene correspon a L3 segmentació amb subInterface
- Isolació de seguretat: el trànsit entre VRFs ha de travessar un tallafocs o un dispositiu polític
- Contenidor del radi d' explosió: el segment compost no pot arribar directament a altres VRFs
- Límits de composició: PCI, HIPA, o xarxes OT en dominis separats
- Enginyeria del trànsit: Diverses polítiques per VRF
La complexitat del comerç
Quan els segments han d'ampliar múltiples corbatas, cada límit L3 afegeix la configuració superior:
@startuml Multi-VRF Path Through Tiers
skinparam backgroundColor #FEFEFE
title Multi-VRF Traffic Path: Camera to NVR
nwdiag {
network Camera_Segment {
address = "VLAN 120\n10.2.36.0/24"
color = "#FFDAB9"
description = "VRF: SECURITY"
Camera [description = "Camera"];
Access_SW [description = "Access-SW\nSub-int: 10.2.0.40/30"];
}
network Access_to_Dist {
address = "10.2.0.40/30"
color = "#DDA0DD"
description = "VRF: SECURITY"
Access_SW;
Distribution [description = "Distribution\nSub-int: 10.2.0.24/30"];
}
network Dist_to_Core {
address = "10.2.0.24/30"
color = "#B0E0E6"
description = "VRF: SECURITY"
Distribution;
Core [description = "Core\nSub-int: 10.2.0.8/30"];
}
network Core_to_IntEdge {
address = "10.2.0.8/30"
color = "#E6E6FA"
description = "VRF: SECURITY"
Core;
Internal_Edge [description = "Internal-Edge\nSub-int: 10.2.0.0/30"];
}
network IntEdge_to_FW {
address = "10.2.0.0/30"
color = "#FFE4E1"
description = "VRF: SECURITY"
Internal_Edge;
Firewall [description = "Firewall\nInter-VRF Policy"];
}
network DC_Path {
address = "VXLAN/EVPN"
color = "#87CEEB"
description = "Datacenter Fabric"
Firewall;
Border_Leaf [description = "Border-Leaf"];
Spine [description = "Spine"];
Leaf [description = "Leaf"];
NVR [description = "NVR"];
}
}
@enduml
Capçalera de configuració:
- 5 subinterces per VRF per camí
- 4 VRFs × 5 subints = 20 subportes per canvi
- Routing protocol adjaceències a cada VRF
- Regles de ruta o tallafocs per al trànsit inter-VRF
EfectionES
- Limita el comptador VRF: Crea només els requeriments d'aïllament
- Centralize inter- VRF routing: Punt únic de política de tallafocs contra distribuït
- Usa VXLAN/ECVPN: Overlay redueix l' expansió física de sub-inter
- Automatització: Plantilles assegura la configuració consistent
- Document el patró: un cop après, els patrons són més ràpids que la cerca
Resum: construir un patró de xarxa escalable
L'objectiu del disseny modular de xarxa és crear unapatró repetibleque permet:
Patró d' escalat de l' escalat de l'Adjecton 52...--Kardon... --Karder----- Manveen Petit 1, 10 + PROXY Plegat UTM + un sol canvi, / 24 per lloc web@ label eka Mitjà ascii 1000+ 2880 Edge + MCLAG distribució + accés, / 21 per lloc web kync Manveen Gran uid 100+ 2001- 2002 Full modular (Edge, Edge interna, Core, variants de distribució, teixit DC), / 13- 15 per llocíem
Bandes de claus
- Els mòduls creen límits: Cada mòdul té un propòsit i interfície definides
- Patrons d' escala: El mateix disseny de cada lloc redueix l'entrenament i els errors
- VRFs proveeix aïllament: Però afegiu la complexitat de configuració a cada tier
- Esquemes de subnet importar: adreça predidicable a la càrrega cognitiva
- La distribució varia segons la necessitat: L3 adjacent, MCLAG/LACP, o espina/ fr
- Mida correcta per al lloc: No sobreenginyeria de llocs petits
En establir aquests patrons i aplicar-los de forma consistent, les organitzacions poden construir xarxes d'una sola oficina de la branca a una empresa global, mentre mantén la simplicitat i la postura de seguretat operativa.
Versió de l' article 2. 0 2001-2002- 02- 02- 02- Update amb diagrames PlantUML nwdig