Modular Network Design: A Scalable Architecture Framework
Modulaarinen verkon suunnittelu: Skaalautuva arkkitehtuurikehys
Johdanto modulaarinen verkkosuunnittelu
Verkon modulaarisuus on käytäntö, jossa verkot suunnitellaan yhteenliitetyiksi, tarkoitukseen rakennetuiksi segmenteiksi eikä monoliittisiksi rakenteiksi. Jokainen moduuli palvelee tiettyä toimintoa, on määritellyt rajat ja yhdistää viereisiin moduuleihin hyvin ymmärrettyjen rajapintojen kautta. Tämä lähestymistapa muuttaa verkkosuunnittelun taiteesta toistuvaksi insinööriksi.
Modulariteetin voima piilee sen kyvyssä luodaennustettavat kuviottätä voidaan soveltaa johdonmukaisesti organisaation koko infrastruktuurijalanjälkeen.
Miksi Modularity asiat
Edut kaikissa verkkoasteikoissa
Hyöty ... Pienet sivustot |---------|-------------|--------------|-------------| ..Yksinkertaistettu vianmääritysYksi insinööri voi ymmärtää koko topologia ... Joukkueet voivat erikoistua moduulilla .. ..Ennustettava skaalausLisää moduuleja tarpeen mukaan Kloonit testattu kuvioita . Laajenna ilman uudelleensuunnittelua ..Johdonmukainen turvallisuusSamat käytännöt kaikkialla ..Toiminnan tehokkuus| Template-based deployment | Automated provisioning | Standardized change management | ..Kustannusten valvonta| Right-size each module | Bulk purchasing by module type | Lifecycle management by tier |
Skaalaushaaste
Järjestöt pysyvät harvoin paikallaan. Moduulisuunnittelussa on oltava
- 10 000+ pienet kohteet: Haarakonttorit, vähittäiskaupat, etäpalvelut
- 1 000+ keskikokoista aluetta: Aluetoimistot, jakelukeskukset, tuotantolaitokset
- yli 100 suurta aluetta: Päämaja, datakeskukset, suuret kampukset
Ilman modulaarisuutta jokaisesta sivustosta tulee ainutlaatuinen lumihiutale, joka vaatii räätälöityä dokumentointia, erikoiskoulutusta ja kertaluonteista vianmääritystä. Modulaarinen, insinööri, joka ymmärtää kuvion voi toimia tehokkaasti millä tahansa sivustolla.
Ydinverkkomoduulit
Moduuli 1: Internet Edge Segment
Internet Edge on missä organisaatio tapaa ulkomaailman. Tämä moduuli sisältää:
- WAN/Internet-piirit(MPLS, DIA, laajakaista, LTE/5G)
- Edge-reitittimet(BGP peering, WAN termination)
- Palomuurit(valtiollinen tarkastus, NAT, VPN:n päättäminen)
- VLAN-segmentointitoimintojen erottamiseen
@startuml Internet Edge Module
!define ICONURL https://raw.githubusercontent.com/Roemer/plantuml-office/master/office2014
skinparam backgroundColor #FEFEFE
skinparam handwritten false
nwdiag {
internet [shape = cloud, description = "Internet"];
network ISP_Transit {
address = "VLAN 10-12"
color = "#FFE4E1"
description = "ISP/MPLS Transit"
internet;
ISP_A [description = "ISP-A\nCircuit"];
ISP_B [description = "ISP-B\nCircuit"];
MPLS [description = "MPLS\nCircuit"];
}
network Edge_Router_Segment {
address = "VLAN 10,11,12"
color = "#E6E6FA"
description = "Edge Router Aggregation"
ISP_A;
ISP_B;
MPLS;
Edge_Router [description = "Edge Router\n(BGP Peering)"];
}
network FW_Outside {
address = "VLAN 100"
color = "#FFFACD"
description = "Firewall Outside"
Edge_Router;
FW_Primary [description = "Firewall\nPrimary"];
FW_Secondary [description = "Firewall\nSecondary"];
}
network FW_HA_Sync {
address = "VLAN 101"
color = "#F0FFF0"
description = "HA Sync Link"
FW_Primary;
FW_Secondary;
}
network FW_Inside {
address = "VLAN 102"
color = "#E0FFFF"
description = "To Internal Edge"
FW_Primary;
FW_Secondary;
}
}
@enduml
Suunnittelun keskeiset periaatteet:
- Eri palveluntarjoajien punnitsevat piirit
- Palomuurin korkea saatavuus paria
- Tyhjät VLAN-rajat luottamusvyöhykkeiden välillä
- L3 pisteestä pisteeseen reitittimen ja palomuurin väliset yhteydet
Moduuli 2: Sisäinen reuna / TMZ Taso
Keskisuurten ja suurten alueiden osalta sisäinen reuna tarjoaa aggregaattikerroksen palveluja varten, jotka edellyttävät hallittua altistumista tai toimivat siirtymäpisteinä turvavyöhykkeiden välillä.
@startuml Internal Edge Module
skinparam backgroundColor #FEFEFE
nwdiag {
network From_Internet_Edge {
address = "VLAN 102"
color = "#E0FFFF"
description = "From Firewall Inside"
IntEdge_A [description = "Internal Edge\nSwitch A"];
IntEdge_B [description = "Internal Edge\nSwitch B"];
}
network MCLAG_Peer {
address = "Peer-Link"
color = "#DDA0DD"
description = "MCLAG/vPC Peer"
IntEdge_A;
IntEdge_B;
}
network WLC_Mgmt {
address = "VLAN 200 - 10.x.200.0/24"
color = "#FFE4B5"
description = "WLC Management"
IntEdge_A;
IntEdge_B;
WLC [description = "Wireless LAN\nController"];
}
network Proxy_Farm {
address = "VLAN 201 - 10.x.201.0/24"
color = "#FFDAB9"
description = "Proxy Services"
IntEdge_A;
IntEdge_B;
Proxy [description = "Web Proxy\nServers"];
}
network VPN_Services {
address = "VLAN 202 - 10.x.202.0/24"
color = "#E6E6FA"
description = "VPN Termination"
IntEdge_A;
IntEdge_B;
VPN [description = "VPN\nConcentrator"];
}
network Infrastructure {
address = "VLAN 204 - 10.x.204.0/24"
color = "#F0FFF0"
description = "Infrastructure Services"
IntEdge_A;
IntEdge_B;
DNS_DHCP [description = "DNS/DHCP\nServers"];
}
network To_Core {
address = "VLAN 205"
color = "#B0E0E6"
description = "Core Transit"
IntEdge_A;
IntEdge_B;
}
}
@enduml
Palvelut Tyypillisesti sisäisessä reunassa:
- Langattomat LAN-ohjaimet (WLC)
- Verkkoproksit ja sisällönsuodattimet
- VPN-keskittimet
- DNS/DHCP-infrastruktuuri
- Kuormitusvaa'at
- Jump hosts / bastion palvelimet
Moduuli 3: Ydinkerros
Ydin on suurnopeusrunko, joka yhdistää kaikki muut moduulit. Se tulisi optimoida:
- Suurin syöttö
- Vähimmäisviive
- Suuri saatavuus
- Yksinkertainen, nopea huolinta
@startuml Core Module
skinparam backgroundColor #FEFEFE
nwdiag {
network From_Internal_Edge {
address = "L3 Routed"
color = "#B0E0E6"
description = "From Internal Edge"
Core_A [description = "Core Switch A\n100G Backbone"];
Core_B [description = "Core Switch B\n100G Backbone"];
}
network Core_Interconnect {
address = "100G+ ISL"
color = "#FFB6C1"
description = "High-Speed Interconnect\nOSPF/IS-IS/BGP"
Core_A;
Core_B;
}
network To_Distribution_1 {
address = "L3 P2P"
color = "#98FB98"
description = "Building A"
Core_A;
Core_B;
Dist_1 [description = "Distribution 1\n(L3 Adjacent)"];
}
network To_Distribution_2 {
address = "L3 P2P"
color = "#DDA0DD"
description = "Building B"
Core_A;
Core_B;
Dist_2 [description = "Distribution 2\n(MCLAG)"];
}
network To_Distribution_3 {
address = "L3 P2P"
color = "#FFDAB9"
description = "Building C"
Core_A;
Core_B;
Dist_3 [description = "Distribution 3\n(MCLAG)"];
}
network To_DC_Border {
address = "L3 Routed"
color = "#87CEEB"
description = "Datacenter"
Core_A;
Core_B;
Border_Leaf [description = "Border Leaf\n(DC Fabric)"];
}
}
@enduml
Suunnittelun keskeiset periaatteet:
- Ei suoraan liitettyjä loppukäyttäjälaitteita
- L3-reititys ytimen kytkimien välillä (ei hakkupuuta)
- Kuormanjakoon sovelletaan yhtä kallista monipolkua (ECMP)
- Nopeaa lähentymistä koskevat pöytäkirjat
Moduuli 4: Jakelutaso
Jakelukerros aggregaatteja Pääsy kytkimet ja valvoa politiikkaa. Täällä verkon suunnittelun valinnoilla on eniten vaihtelua perustuen sivuston vaatimuksiin.
Jakelutasomuutokset
Muunnelma 1: L3 Adjacent (Reittikäyttö)
Tässä suunnittelussa jakelu- ja käyttötasot ovatL3 vieressäJokaisella kytkimellä on oma IP-alaverkko ja reitit suoraan jakeluun.
@startuml Distribution Variation 1 - L3 Adjacent
skinparam backgroundColor #FEFEFE
nwdiag {
network From_Core {
address = "L3 ECMP"
color = "#B0E0E6"
description = "From Core Layer"
Dist_A [description = "Distribution A\n(L3 Router)"];
Dist_B [description = "Distribution B\n(L3 Router)"];
}
network Dist_iBGP {
address = "iBGP Peering"
color = "#DDA0DD"
description = "ECMP/iBGP"
Dist_A;
Dist_B;
}
network P2P_Access_1 {
address = "10.x.2.0/30"
color = "#98FB98"
description = "L3 Point-to-Point"
Dist_A;
Dist_B;
Access_1 [description = "Access SW-1\n(L3 Gateway)"];
}
network P2P_Access_2 {
address = "10.x.2.8/30"
color = "#FFE4B5"
description = "L3 Point-to-Point"
Dist_A;
Dist_B;
Access_2 [description = "Access SW-2\n(L3 Gateway)"];
}
network P2P_Access_3 {
address = "10.x.2.16/30"
color = "#FFDAB9"
description = "L3 Point-to-Point"
Dist_A;
Dist_B;
Access_3 [description = "Access SW-3\n(L3 Gateway)"];
}
network User_VLAN_1 {
address = "10.x.32.0/24"
color = "#F0FFF0"
description = "Users - SW1"
Access_1;
Laptop_1 [description = "Laptops"];
Phone_1 [description = "Phones"];
}
network User_VLAN_2 {
address = "10.x.33.0/24"
color = "#FFF0F5"
description = "Users - SW2"
Access_2;
Laptop_2 [description = "Laptops"];
Camera_2 [description = "Cameras"];
}
network User_VLAN_3 {
address = "10.x.34.0/24"
color = "#F5FFFA"
description = "Users - SW3"
Access_3;
Laptop_3 [description = "Workstations"];
Camera_3 [description = "Cameras"];
}
}
@enduml
Aliverkon jako Esimerkki:
| Link | Subnet | |------|--------| Jakautuminen ytimeen 10.x.1.0/30, 10.x.1.4/30 10.x.2.0/30 10x.2.4/30 10x 32.0/24 .....
Hyödyt:
- Lähetysalueen eristäminen jokaisesta kytkimestä
- Yksinkertaistettu vianmääritys (alaverkon sisältämät asiat)
- Puita ei ole jaettu jakelun ja saatavuuden välillä
- Yhteenveto mahdollinen jakelukerroksessa
Huomiot:
- Vaaditaan L3-kytkimiä
- DHCP releaseasetukset jokaiselle käyttökytkimelle
- Monimutkaisempi IP-osoitteen hallinta
Muunnelma 2: LAKT-valtioiden kanssa toteutettavat MCLAG-ohjelmat
Tämä muotoilu käyttääMulti-Chassis Link Aggregation (MCLAG)kunAKT-maiden joukkolainatpääsykytkimiin, joissa on runkoja.
Valmistajaterminologia: Cisco kutsuu tätä vPC (Virtual Port Channel), Arista käyttää MLAG, Juniper käyttää MC-LAG, ja HPE/Aruba käyttää VSX. Toiminnallinen käyttäytyminen on samanlaista eri toimittajilla.
@startuml Distribution Variation 2 - MCLAG
skinparam backgroundColor #FEFEFE
nwdiag {
network From_Core {
address = "L3 Routed Uplinks"
color = "#B0E0E6"
description = "From Core Layer"
Dist_A [description = "Distribution A\n(MCLAG Member)"];
Dist_B [description = "Distribution B\n(MCLAG Member)"];
}
network MCLAG_Peer_Link {
address = "Peer-Link"
color = "#FFB6C1"
description = "MCLAG/vPC Peer-Link"
Dist_A;
Dist_B;
}
network LACP_To_Access {
address = "Po1 - LACP Trunk"
color = "#DDA0DD"
description = "VLANs 100,110,120 Trunked"
Dist_A;
Dist_B;
Access_1 [description = "Access SW-1\n(L2 Switch)"];
}
network Data_VLAN {
address = "VLAN 100 - 10.x.32.0/24"
color = "#98FB98"
description = "Data VLAN"
Access_1;
Laptops [description = "Laptops\nWorkstations"];
}
network Voice_VLAN {
address = "VLAN 110 - 10.x.64.0/24"
color = "#FFE4B5"
description = "Voice VLAN"
Access_1;
Phones [description = "IP Phones"];
}
network Security_VLAN {
address = "VLAN 120 - 10.x.96.0/24"
color = "#FFDAB9"
description = "Security VLAN"
Access_1;
Cameras [description = "Cameras\nBadge Readers"];
}
}
@enduml
SVI Placement (VRRP VIP jakelu pari):
- VLAN 100: 10.x.32.1/24
- VLAN 110: 10.x.64.1/24
- VLAN 120: 10.x.96.1/24
VLAN Trunk- asetukset:
Port-Channel - VLANs - Kohde ---------------------------- Po1 (MCLAG) .. | Po2 (MCLAG) | 100,110,120,130 | Access-2 | | Po3 (MCLAG) | 100,110 | Access-3 | Native VLAN
MCLAG-edut:
- Aktiivinen huolinta (molemmat yhdyssiteet)
- Toinen osa
- Yksi looginen kytkin pääsyn näkökulmasta
- Ei puun peittoa
Huomiot:
- VLAN:t span monikäyttökytkimet (suuremmat lähetysalueet)
- MCLAG:stä voi tulla pullonkaula
- STP tarvitaan edelleen silmukan eston varmuuskopiona
Muutos 3: Border Leaf for Spine / Leaf Datacenter
Datakeskusympäristöissä jakelukerros muuttuuBorder Leafyhdistää selkärangan ja lehtikankaan muuhun yritysverkostoon.
@startuml Distribution Variation 3 - Border Leaf Datacenter
skinparam backgroundColor #FEFEFE
nwdiag {
network Enterprise_Core {
address = "L3 Routed (eBGP/OSPF)"
color = "#B0E0E6"
description = "From Enterprise Core"
Border_A [description = "Border Leaf A\nVXLAN Gateway"];
Border_B [description = "Border Leaf B\nVXLAN Gateway"];
}
network Border_EVPN {
address = "VXLAN EVPN"
color = "#DDA0DD"
description = "EVPN Type-5 Routes"
Border_A;
Border_B;
Spine_1 [description = "Spine 1"];
Spine_2 [description = "Spine 2"];
}
network Spine_Fabric {
address = "eBGP Underlay"
color = "#FFB6C1"
description = "Spine Layer"
Spine_1;
Spine_2;
}
network Leaf_Tier_1 {
address = "VTEP"
color = "#98FB98"
description = "Compute Rack 1"
Spine_1;
Spine_2;
Leaf_1 [description = "Leaf 1"];
Leaf_2 [description = "Leaf 2"];
}
network Leaf_Tier_2 {
address = "VTEP"
color = "#FFE4B5"
description = "Storage/Services"
Spine_1;
Spine_2;
Leaf_3 [description = "Leaf 3"];
Leaf_4 [description = "Leaf 4"];
}
network Server_Rack_1 {
address = "VNI 10001"
color = "#F0FFF0"
description = "Compute Servers"
Leaf_1;
Leaf_2;
Servers_1 [description = "Rack Servers\nVMs/Containers"];
}
network Storage_Network {
address = "VNI 10002"
color = "#FFDAB9"
description = "Storage Arrays"
Leaf_3;
Storage [description = "SAN/NAS\nStorage"];
}
network Voice_Services {
address = "VNI 10003"
color = "#E6E6FA"
description = "UC Systems"
Leaf_4;
PBX [description = "PBX/UC\nSystems"];
}
}
@enduml
Datacenter Fabric Lisätietoja:
| Component | Function | .. ..Underlay| eBGP (ASN per switch) or OSPF | ..Ohitus| VXLAN with EVPN control plane | ..Border Leaf| VXLAN-to-VLAN gateway, External routes, Inter-VRF routing | ..Lehtityökuormat| Compute, Storage, Voice/UC, Infrastructure |
Hyödyt:
- Massive vaakaasteikko (Lisää lehtiparia tarpeen mukaan)
- Muu kangasarkkitehtuuri
- VRF:n/VNI:n kautta kulkeva monipolttoaine
- Optimaaliset itä-länsi-liikennemallit
Huomiot:
- VXLAN/EVPN:n toiminnallinen monimutkaisuus
- Tarvittavat erikoistaidot
- Suuremmat laitekustannukset
Moduuli 5: Pääsytaso
Pääsykerros on paikka, johon päätelaitteet yhdistävät. Jakelutopologiasta riippumatta käyttökytkimet tarjoavat:
@startuml Access Layer Module
skinparam backgroundColor #FEFEFE
nwdiag {
network Distribution_Uplink {
address = "L3 or LACP Trunk"
color = "#B0E0E6"
description = "Uplinks to Distribution"
Access_SW [description = "48-Port Access Switch\nPoE+ Capable"];
}
network Data_VLAN {
address = "VLAN 100 - Ports 1-8, 25-32"
color = "#98FB98"
description = "Data VLAN"
Access_SW;
Laptops [description = "Laptops\nWorkstations"];
}
network Voice_VLAN {
address = "VLAN 110 - Ports 9-16"
color = "#FFE4B5"
description = "Voice VLAN"
Access_SW;
Phones [description = "IP Phones"];
}
network Camera_VLAN {
address = "VLAN 120 - Ports 17-24"
color = "#FFDAB9"
description = "Security VLAN"
Access_SW;
Cameras [description = "IP Cameras"];
}
network Wireless_VLAN {
address = "VLAN 130 - Ports 33-40"
color = "#DDA0DD"
description = "Wireless AP VLAN"
Access_SW;
APs [description = "Wireless APs"];
}
network Mgmt_VLAN {
address = "VLAN 999 - Ports 41-44"
color = "#F0FFF0"
description = "Management VLAN"
Access_SW;
}
}
@enduml
Access Layer Security ominaisuudet:
- 802.1X / MAB-todentaminen
- Dynaaminen VLAN-jako
- Satamaturvallisuus
- DHCP-nuuskiminen
- Dynaaminen ARP-tarkastus
- IP- lähdesuoja
Täydellinen modulaarinen topologia
Näin kaikki moduulit yhdistävät täydellisen yritysverkoston:
@startuml Complete Modular Network Topology
skinparam backgroundColor #FEFEFE
title Complete Enterprise Modular Network
nwdiag {
internet [shape = cloud, description = "Internet/WAN"];
network Internet_Edge {
address = "Module 1"
color = "#FFE4E1"
description = "INTERNET EDGE MODULE"
internet;
ISP_A [description = "ISP-A"];
ISP_B [description = "ISP-B"];
MPLS [description = "MPLS"];
Edge_RTR [description = "Edge Router"];
FW_A [description = "FW-A"];
FW_B [description = "FW-B"];
}
network Internal_Edge {
address = "Module 2"
color = "#E6E6FA"
description = "INTERNAL EDGE / DMZ MODULE"
FW_A;
FW_B;
IntEdge_A [description = "IntEdge-A"];
IntEdge_B [description = "IntEdge-B"];
WLC [description = "WLC"];
Proxy [description = "Proxy"];
VPN [description = "VPN"];
DNS [description = "DNS/DHCP"];
}
network Core {
address = "Module 3"
color = "#B0E0E6"
description = "CORE MODULE"
IntEdge_A;
IntEdge_B;
Core_A [description = "Core-A"];
Core_B [description = "Core-B"];
}
network Distribution_L3 {
address = "Variation 1"
color = "#98FB98"
description = "DIST - L3 Adjacent\n(Building A)"
Core_A;
Core_B;
Dist_1A [description = "Dist-1A"];
Dist_1B [description = "Dist-1B"];
Access_L3 [description = "Access\n(L3)"];
}
network Distribution_MCLAG {
address = "Variation 2"
color = "#DDA0DD"
description = "DIST - MCLAG\n(Building B)"
Core_A;
Core_B;
Dist_2A [description = "Dist-2A"];
Dist_2B [description = "Dist-2B"];
Access_L2 [description = "Access\n(L2)"];
}
network Datacenter {
address = "Variation 3"
color = "#FFE4B5"
description = "DATACENTER\n(Spine/Leaf)"
Core_A;
Core_B;
Border_Leaf [description = "Border\nLeaf"];
Spine [description = "Spine"];
Leaf [description = "Leaf"];
Servers [description = "Servers\nStorage\nPBX"];
}
network Campus_Users {
address = "End Devices"
color = "#F0FFF0"
description = "Campus Users"
Access_L3;
Access_L2;
Users [description = "Laptops\nPhones\nCameras"];
}
}
@enduml
IP-ohjausstrategia VRF-eristäytymisellä
Multi-Segmentin, Multi-VRF Designin haaste
Kun verkostot kasvavat käsittämään useita turvavyöhykkeitä, liiketoimintayksiköitä tai säännösten noudattamista koskevia rajoja,VRF (Virtual Routing and Forwarding)tarjoaa reittitaulukon eristämisen. VRF:ien laajentaminen monilla tasoilla lisää kuitenkin monimutkaisuutta:
- Jokainen L3-hyppy vaatii transit aliverkon
- Alarajapinnat moninkertaistavat kokoonpanon monimutkaisuuden
- Vianmääritys spans useita reititys taulukoita
- Dokumentaation on seurattava VRF-jäsenyyttä jokaisella tasolla
Subnet Schema strategia
Hyvin suunniteltu subnet-skeema tekee kuvioista tunnistettavia, mikä vähentää kognitiivista kuormitusta ja konfiguraatiovirheitä.
Esimerkki: Large Manufacturing Site (10.0.0.0/13)
Kohteen jakaminen:10.0,0.0/13 (Valmistusalue Alpha) - 524.286 käyttökelpoista isäntää
@startuml VRF Subnet Schema
skinparam backgroundColor #FEFEFE
title Large Site VRF Allocation Schema (10.0.0.0/13)
nwdiag {
network Corporate_VRF {
address = "VRF: CORPORATE\n10.0.0.0/17"
color = "#98FB98"
description = "Production Users"
Corp_Transit [description = "Transit\n10.0.0.0/23"];
Corp_Users [description = "Users\n10.0.32.0/19"];
Corp_Voice [description = "Voice\n10.0.64.0/19"];
Corp_Wireless [description = "Wireless\n10.0.96.0/19"];
Corp_Server [description = "Servers\n10.0.112.0/20"];
}
network Guest_VRF {
address = "VRF: GUEST\n10.1.0.0/17"
color = "#FFE4B5"
description = "Visitor Network"
Guest_Transit [description = "Transit\n10.1.0.0/23"];
Guest_Users [description = "Users\n10.1.32.0/19"];
}
network Security_VRF {
address = "VRF: SECURITY\n10.2.0.0/17"
color = "#FFDAB9"
description = "Physical Security"
Sec_Transit [description = "Transit\n10.2.0.0/23"];
Sec_Camera [description = "Cameras\n10.2.32.0/19"];
Sec_Badge [description = "Badge Readers\n10.2.64.0/19"];
Sec_NVR [description = "NVR/VMS\n10.2.96.0/20"];
}
network IOT_VRF {
address = "VRF: IOT\n10.3.0.0/17"
color = "#E6E6FA"
description = "Manufacturing OT"
IOT_Transit [description = "Transit\n10.3.0.0/23"];
IOT_PLC [description = "PLCs\n10.3.32.0/19"];
IOT_HMI [description = "HMIs\n10.3.64.0/19"];
IOT_SCADA [description = "SCADA\n10.3.96.0/20"];
}
}
@enduml
Transit Segment Detail (10.0.0.0/23 - 510 käyttökelpoista IP:tä):
| Subnet | Link Description | ------------------------------------------- | 10.0.0.0/30 | FW-Inside → Internal-Edge-A | | 10.0.0.4/30 | FW-Inside → Internal-Edge-B | ... 10.0.8.30 ... 10.0.01.12/30 ... 10.0.6.16/30....... ... 10.0.0.20/30 100,0.24/30 Core-A → Jakelu-A ... 10.0.0.28.30.. Ydin-B → Jakelu-A ... 10.0.0.36/30.. 100,0.40/30 Distribution-A → Access-SW-1 ... 10.0.044/30.. ..
Huom:-31 aliverkkoa (RFC 3021) voidaan käyttää myös piste- ja piste-yhteyksissä, mikä säästää osoitetilaa.
Kuviontunnustusetuudet
Kun aliverkkokuviot ovat yhdenmukaiset kaikissa VRF:issä:
Mitä tiedät mitä voit päätellä - | Transit link in Corporate uses 10.0.0.40/30 | Guest equivalent is 10.1.0.40/30 | | Access-SW-5 users are on 10.0.36.0/24 | Security cameras on same switch are 10.2.36.0/24 | Site Alpha on 10,0.0.0/13
Näin insinöörit voivat:
- Ennakoidut IP-osoitteet ilman asiakirjoja
- Tunnista virheelliset aliverkot välittömästi
- Luo automaatiomalleja, jotka toimivat kaikkialla VRFs
- Kouluta uutta henkilökuntaa kuviossa, ei ulkoa
Sivuston kokomallit
Pieni sivustomalli (Branch Office)
@startuml Small Site Template
skinparam backgroundColor #FEFEFE
title Small Site Template (< 50 users)
nwdiag {
internet [shape = cloud];
network WAN {
color = "#FFE4E1"
description = "ISP/MPLS Circuit"
internet;
UTM [description = "UTM/SD-WAN\nAppliance\n(Router+FW+VPN+WLC)"];
}
network LAN {
address = "10.100.x.0/24"
color = "#98FB98"
description = "Single Subnet"
UTM;
Access [description = "Access Switch\n(or UTM ports)"];
}
network Endpoints {
color = "#F0FFF0"
description = "End Devices"
Access;
AP [description = "WiFi AP"];
Users [description = "Users"];
Phones [description = "Phones"];
}
}
@enduml
Pieniä sivuston suunnitteluhuomautuksia:
- Romahtanut suunnittelu: Kaikki toiminnot minimaalinen laitteisto
- Aliverkko: 24 tai 23 paikkaa kohti
- Esimerkki(Site 001)
Keskikokoinen sivustomalli (aluetoimisto)
@startuml Medium Site Template
skinparam backgroundColor #FEFEFE
title Medium Site Template (50-500 users)
nwdiag {
internet [shape = cloud];
network WAN_Edge {
color = "#FFE4E1"
description = "Internet Edge"
internet;
ISP_A [description = "ISP-A"];
ISP_B [description = "ISP-B/MPLS"];
Edge_RTR [description = "Edge Router"];
}
network Firewall_Tier {
color = "#FFDAB9"
description = "Firewall HA Pair"
Edge_RTR;
FW_A [description = "FW-A"];
FW_B [description = "FW-B"];
}
network Distribution {
address = "10.50.x.0/21"
color = "#DDA0DD"
description = "MCLAG Distribution\n(Dist/Core Combined)"
FW_A;
FW_B;
Dist_A [description = "Dist-A"];
Dist_B [description = "Dist-B"];
}
network Access_Tier {
color = "#98FB98"
description = "Access Switches (LACP)"
Dist_A;
Dist_B;
Acc1 [description = "Acc1"];
Acc2 [description = "Acc2"];
Acc3 [description = "Acc3"];
Acc4 [description = "Acc4"];
Acc5 [description = "Acc5"];
}
network Users {
color = "#F0FFF0"
description = "End Devices"
Acc1;
Acc2;
Acc3;
Acc4;
Acc5;
Endpoints [description = "Laptops/Phones\nCameras/APs"];
}
}
@enduml
Medium Site Design Notes:
- Osittainen mukautuvuus: Erillinen Edge ja Access tasot
- Aliverkko: 21/21/paikka (2 046 IP:tä)
- Esimerkki: 10,50.0,0.0/21 (Site 050)
Suuri sivusto malli (päätoimipaikka / kampus)
@startuml Large Site Template
skinparam backgroundColor #FEFEFE
title Large Site Template (500+ users)
nwdiag {
internet [shape = cloud];
network Internet_Edge {
color = "#FFE4E1"
description = "INTERNET EDGE MODULE"
internet;
ISP_A [description = "ISP-A"];
ISP_B [description = "ISP-B"];
MPLS [description = "MPLS"];
Edge_RTR [description = "Edge-RTR"];
FW_A [description = "FW-A"];
FW_B [description = "FW-B"];
}
network Internal_Edge {
color = "#E6E6FA"
description = "INTERNAL EDGE MODULE"
FW_A;
FW_B;
IntEdge_A [description = "IntEdge-A"];
IntEdge_B [description = "IntEdge-B"];
WLC [description = "WLC"];
Proxy [description = "Proxy"];
VPN [description = "VPN"];
DNS [description = "DNS"];
}
network Core {
color = "#B0E0E6"
description = "CORE MODULE"
IntEdge_A;
IntEdge_B;
Core_A [description = "Core-A"];
Core_B [description = "Core-B"];
}
network Dist_Var1 {
color = "#98FB98"
description = "L3 Adjacent"
Core_A;
Core_B;
Dist_1 [description = "Dist-1"];
Access_1 [description = "Access"];
}
network Dist_Var2 {
color = "#DDA0DD"
description = "MCLAG Trunk"
Core_A;
Core_B;
Dist_2 [description = "Dist-2"];
Access_2 [description = "Access"];
}
network Dist_Var3 {
color = "#FFE4B5"
description = "MCLAG Trunk"
Core_A;
Core_B;
Dist_3 [description = "Dist-3"];
Access_3 [description = "Access"];
}
network Datacenter {
color = "#87CEEB"
description = "SPINE/LEAF DC"
Core_A;
Core_B;
Border [description = "Border-Leaf"];
Spine [description = "Spine"];
Leaf [description = "Leaf"];
Servers [description = "Servers"];
}
}
@enduml
Suuret sivuston suunnitteluhuomautukset:
- Täysi mukautuvuus: Kaikki tasot fyysisesti erillään
- Aliverkko: /13 - /15/paikka (perustuu VRF:n määrään)
- Esimerkki: 10.0,0.0/13 (HQ) - 524.286 IPs
VRF ja L3 Segmentaatio: Edut ja monimutkaisuus
L3-segmentoinnin edut osayhteyksillä
- Turvallisuuseristys: VRF:ien välisen liikenteen on kuljettava palomuuri tai politiikkalaite
- Blast-radius-eristys: Kärsivällinen segmentti ei pääse suoraan muille VRF:ille
- Vaatimustenmukaisuusrajat: PCI, HIPAA tai OT-verkot erillisillä reititysalueilla
- Liikennetekniikka: Eri reitityskäytännöt VRF:ää kohti
Monimutkaisuusvaihtoehdot
Kun segmenttien on ulotettava useita tasoja, jokainen L3-raja lisää konfiguraatio yläpuolella:
@startuml Multi-VRF Path Through Tiers
skinparam backgroundColor #FEFEFE
title Multi-VRF Traffic Path: Camera to NVR
nwdiag {
network Camera_Segment {
address = "VLAN 120\n10.2.36.0/24"
color = "#FFDAB9"
description = "VRF: SECURITY"
Camera [description = "Camera"];
Access_SW [description = "Access-SW\nSub-int: 10.2.0.40/30"];
}
network Access_to_Dist {
address = "10.2.0.40/30"
color = "#DDA0DD"
description = "VRF: SECURITY"
Access_SW;
Distribution [description = "Distribution\nSub-int: 10.2.0.24/30"];
}
network Dist_to_Core {
address = "10.2.0.24/30"
color = "#B0E0E6"
description = "VRF: SECURITY"
Distribution;
Core [description = "Core\nSub-int: 10.2.0.8/30"];
}
network Core_to_IntEdge {
address = "10.2.0.8/30"
color = "#E6E6FA"
description = "VRF: SECURITY"
Core;
Internal_Edge [description = "Internal-Edge\nSub-int: 10.2.0.0/30"];
}
network IntEdge_to_FW {
address = "10.2.0.0/30"
color = "#FFE4E1"
description = "VRF: SECURITY"
Internal_Edge;
Firewall [description = "Firewall\nInter-VRF Policy"];
}
network DC_Path {
address = "VXLAN/EVPN"
color = "#87CEEB"
description = "Datacenter Fabric"
Firewall;
Border_Leaf [description = "Border-Leaf"];
Spine [description = "Spine"];
Leaf [description = "Leaf"];
NVR [description = "NVR"];
}
}
@enduml
Asetukset:
- 5 alaliitäntää VRF:ää kohti polkua kohti
- 4 VRF:ää × 5 alayksikköä = 20 alaliitäntää kytkintä kohti
- Reititän protokollan lisälaitteet jokaisessa VRF:ssä
- Reittien vuotamista tai palomuureja koskevat säännöt VRF-liikenteessä
Lieventämisstrategiat
- VRF-raja: Vain luoda VRFs aitojen eristämisvaatimukset
- Keskitä VRF-reititys: Yksi palomuuri politiikka kohta vs. jaettu
- Käyttö VXLAN/EVPN: Overlay vähentää fyysistä ala-interface hajaantumista
- Automatisointi: Mallit takaavat johdonmukaisen kokoonpanon
- Dokumentoi kaava: Kun opit, kuviot ovat nopeampia kuin etsiä
Yhteenveto: Skaalautuvan verkon luominen
Moduuliverkon suunnittelun tavoitteena on luodatoistuva kuviojoka mahdollistaa:
... Scale.. |-------|-------|---------| Pieni 10 000 + .. Keskikokoinen 1 000+ Edge + MCLAG Distribution + Access, 21 / sivusto . Suuret 100+ ... Täysi modulaarinen (Edge, sisäinen Edge, Core, Jakeluvaihtoehdot, DC-kangas), /13-/15 per sivusto
Avaimet
- Moduulit luovat rajoja: Kullakin moduulilla on määritelty tarkoitus ja liitäntä
- Kuviot mahdollistavat asteikon: Sama muotoilu kaikilla sivustoilla vähentää koulutusta ja virheitä
- VRFt eristää: Mutta lisää kokoonpanon monimutkaisuus jokaisella tasolla
- Subnet-skeema-aine: Ennakoitu käsittely vähentää kognitiivista kuormitusta
- Jakautuminen vaihtelee tarpeen mukaan: L3 vieressä, MCLAG/LACP tai selkäranka/lehti
- Oikea koko sivuston: Älä ylikehitä pieniä paikkoja
Luomalla nämä mallit ja soveltamalla niitä johdonmukaisesti organisaatiot voivat rakentaa verkostoja, jotka ulottuvat yhdestä haarakonttorista maailmanlaajuiseen yritykseen.
Artikkeliversio 2.0