Modular Network Design: A Scalable Architecture Framework
Modular Network Design: A Scalable Architecture Framework
עיצוב רשת Modular Network Design
מודולריות רשת היא הנוהג של תכנון רשתות כמו פלחות מקושרות, בנויות מטרה ולא מבנים מונוליטיים. כל מודול משרת פונקציה מסוימת, הגדיר גבולות, ומתחבר למודולים סמוכים באמצעות ממשקים ממושמעים היטב. גישה זו הופכת את עיצוב הרשת מאמנות למשמעת הנדסית חוזרת.
הכוח של המודולריות הוא ביכולתו ליצורתבניות צפויותזה יכול להיות מיושם באופן עקבי על כל טביעת הרגל של תשתיות הארגון - בין אם זה משתרע על עשרות אלפי אתרים קטנים, אלפי אתרים בינוניים, או מאות קמפוסים ארגוניים גדולים.
למה נורמטיביות משנה
יתרונות בכל רשתות
בונוס | Small Sites | Medium Sites | Large Sites ---------------------------------------------------------------------------------------------------- |פתרון בעיותמהנדס יחיד יכול להבין את הטופולוגיה כולה; צוותים יכולים להתמחות על ידי מודול | נתיבי הסלמה ברורים בין בעלי מודולים |תגית: Scalingהוסף מודולים לפי הצורך | Clone מוכח דפוסים |אבטחה עקביתאותה מדיניות בכל מקום | אחידות יציבה |יעילות תפעולפריסה המבוססת על תבנית | הקצאה אוטומטית | ניהול שינוי סטנדרטי |בקרת עלויות• איכות נכונה כל מודול | רכישת בולק על ידי סוג מודול | ניהול מחזור חיים על ידי שכבה
The Scaling Challenge
ארגונים לעתים רחוקות נשארים סטטיים. עיצוב מודולרי חייב להתאים:
- 10,000 אתרים קטניםמשרדים, מיקומים קמעונאיים, מתקנים מרוחקים
- 1,000 אתרים בינונייםמשרדים אזוריים, מרכזי הפצה, מפעלי ייצור
- 100+ אתרים גדוליםמטה, מרכזי נתונים, קמפוסים גדולים
ללא מודולריות, כל אתר הופך פתית שלג ייחודית הדורשת תיעוד מותאם אישית, הכשרה מיוחדת ופתרון בעיות חד פעמי. עם מודולריות, מהנדס שמבין את התבנית יכול לעבוד ביעילות בכל אתר.
מודול רשתות Core
המונחים: Internet Edge Segment
האינטרנט Edge הוא המקום שבו הארגון שלך פוגש את העולם החיצון. מודול זה מכיל:
- WAN / Internet Circles(MPLS, DIA, פס רחב, LTE/5G)
- המונחים:(BGP peering, WAN End)
- חומת אש(בדיקה ממשלתית, NAT, VPN End)
- VLANהפרדה פונקציונלית
@startuml Internet Edge Module
!define ICONURL https://raw.githubusercontent.com/Roemer/plantuml-office/master/office2014
skinparam backgroundColor #FEFEFE
skinparam handwritten false
nwdiag {
internet [shape = cloud, description = "Internet"];
network ISP_Transit {
address = "VLAN 10-12"
color = "#FFE4E1"
description = "ISP/MPLS Transit"
internet;
ISP_A [description = "ISP-A\nCircuit"];
ISP_B [description = "ISP-B\nCircuit"];
MPLS [description = "MPLS\nCircuit"];
}
network Edge_Router_Segment {
address = "VLAN 10,11,12"
color = "#E6E6FA"
description = "Edge Router Aggregation"
ISP_A;
ISP_B;
MPLS;
Edge_Router [description = "Edge Router\n(BGP Peering)"];
}
network FW_Outside {
address = "VLAN 100"
color = "#FFFACD"
description = "Firewall Outside"
Edge_Router;
FW_Primary [description = "Firewall\nPrimary"];
FW_Secondary [description = "Firewall\nSecondary"];
}
network FW_HA_Sync {
address = "VLAN 101"
color = "#F0FFF0"
description = "HA Sync Link"
FW_Primary;
FW_Secondary;
}
network FW_Inside {
address = "VLAN 102"
color = "#E0FFFF"
description = "To Internal Edge"
FW_Primary;
FW_Secondary;
}
}
@enduml
עקרונות עיצוב מרכזיים:
- מעגלים אדומים של ספקים מגוונים
- טפט גבוה זמינות זוגות
- גבולות ברורים בין אזורי אמון
- L3 Point-to-point קישורים בין נתב ופיירוול
המונחים: Internal Edge / DMZ Tier
עבור אתרים בינוניים וגדולים, ה- Internal Edge מספק שכבת ggregation עבור שירותים הדורשים חשיפה מבוקרת או לשמש נקודות מעבר בין אזורי אבטחה.
@startuml Internal Edge Module
skinparam backgroundColor #FEFEFE
nwdiag {
network From_Internet_Edge {
address = "VLAN 102"
color = "#E0FFFF"
description = "From Firewall Inside"
IntEdge_A [description = "Internal Edge\nSwitch A"];
IntEdge_B [description = "Internal Edge\nSwitch B"];
}
network MCLAG_Peer {
address = "Peer-Link"
color = "#DDA0DD"
description = "MCLAG/vPC Peer"
IntEdge_A;
IntEdge_B;
}
network WLC_Mgmt {
address = "VLAN 200 - 10.x.200.0/24"
color = "#FFE4B5"
description = "WLC Management"
IntEdge_A;
IntEdge_B;
WLC [description = "Wireless LAN\nController"];
}
network Proxy_Farm {
address = "VLAN 201 - 10.x.201.0/24"
color = "#FFDAB9"
description = "Proxy Services"
IntEdge_A;
IntEdge_B;
Proxy [description = "Web Proxy\nServers"];
}
network VPN_Services {
address = "VLAN 202 - 10.x.202.0/24"
color = "#E6E6FA"
description = "VPN Termination"
IntEdge_A;
IntEdge_B;
VPN [description = "VPN\nConcentrator"];
}
network Infrastructure {
address = "VLAN 204 - 10.x.204.0/24"
color = "#F0FFF0"
description = "Infrastructure Services"
IntEdge_A;
IntEdge_B;
DNS_DHCP [description = "DNS/DHCP\nServers"];
}
network To_Core {
address = "VLAN 205"
color = "#B0E0E6"
description = "Core Transit"
IntEdge_A;
IntEdge_B;
}
}
@enduml
שירותים בדרך כלל ב- Internal Edge:
- Wireless LAN Controller (WLC)
- Web Proxies ופילטרי תוכן
- VPN concentrators
- תשתיות DNS/DHCP
- תגית: Balancers
- Jump מארחים / bastion server
מודול 3: Core Layer
הליבה היא עמוד השדרה המהיר המקשר בין כל המודולים האחרים. זה צריך להיות מותאם עבור:
- מקסימום באמצעותput
- מינימום
- זמינות גבוהה
- פשוט, מהיר
@startuml Core Module
skinparam backgroundColor #FEFEFE
nwdiag {
network From_Internal_Edge {
address = "L3 Routed"
color = "#B0E0E6"
description = "From Internal Edge"
Core_A [description = "Core Switch A\n100G Backbone"];
Core_B [description = "Core Switch B\n100G Backbone"];
}
network Core_Interconnect {
address = "100G+ ISL"
color = "#FFB6C1"
description = "High-Speed Interconnect\nOSPF/IS-IS/BGP"
Core_A;
Core_B;
}
network To_Distribution_1 {
address = "L3 P2P"
color = "#98FB98"
description = "Building A"
Core_A;
Core_B;
Dist_1 [description = "Distribution 1\n(L3 Adjacent)"];
}
network To_Distribution_2 {
address = "L3 P2P"
color = "#DDA0DD"
description = "Building B"
Core_A;
Core_B;
Dist_2 [description = "Distribution 2\n(MCLAG)"];
}
network To_Distribution_3 {
address = "L3 P2P"
color = "#FFDAB9"
description = "Building C"
Core_A;
Core_B;
Dist_3 [description = "Distribution 3\n(MCLAG)"];
}
network To_DC_Border {
address = "L3 Routed"
color = "#87CEEB"
description = "Datacenter"
Core_A;
Core_B;
Border_Leaf [description = "Border Leaf\n(DC Fabric)"];
}
}
@enduml
עקרונות עיצוב:
- לא מחובר ישירות למשתמשי קצה
- L3 routing בין מתגי ליבה (ללא עץ המשתרע)
- שווה ערך רבפט (ECMP) עבור הפצה
- פרוטוקולי התכנסות מהירים
מודול 4: שכבת הפצה
שכבת ההפצה מצטברת מתגי Access ואכיפת מדיניות. זה המקום שבו אפשרויות עיצוב רשת יש את הווריאציות ביותר בהתבסס על דרישות האתר.
המונחים: Tier Variations
המונחים: L3 Adjacent (Routed Access)
בעיצוב זה, שכבות ההפצה והגישה הםL3לכל מתג גישה יש תת-רשת IP משלה ודרכים ישירות להפצה.
@startuml Distribution Variation 1 - L3 Adjacent
skinparam backgroundColor #FEFEFE
nwdiag {
network From_Core {
address = "L3 ECMP"
color = "#B0E0E6"
description = "From Core Layer"
Dist_A [description = "Distribution A\n(L3 Router)"];
Dist_B [description = "Distribution B\n(L3 Router)"];
}
network Dist_iBGP {
address = "iBGP Peering"
color = "#DDA0DD"
description = "ECMP/iBGP"
Dist_A;
Dist_B;
}
network P2P_Access_1 {
address = "10.x.2.0/30"
color = "#98FB98"
description = "L3 Point-to-Point"
Dist_A;
Dist_B;
Access_1 [description = "Access SW-1\n(L3 Gateway)"];
}
network P2P_Access_2 {
address = "10.x.2.8/30"
color = "#FFE4B5"
description = "L3 Point-to-Point"
Dist_A;
Dist_B;
Access_2 [description = "Access SW-2\n(L3 Gateway)"];
}
network P2P_Access_3 {
address = "10.x.2.16/30"
color = "#FFDAB9"
description = "L3 Point-to-Point"
Dist_A;
Dist_B;
Access_3 [description = "Access SW-3\n(L3 Gateway)"];
}
network User_VLAN_1 {
address = "10.x.32.0/24"
color = "#F0FFF0"
description = "Users - SW1"
Access_1;
Laptop_1 [description = "Laptops"];
Phone_1 [description = "Phones"];
}
network User_VLAN_2 {
address = "10.x.33.0/24"
color = "#FFF0F5"
description = "Users - SW2"
Access_2;
Laptop_2 [description = "Laptops"];
Camera_2 [description = "Cameras"];
}
network User_VLAN_3 {
address = "10.x.34.0/24"
color = "#F5FFFA"
description = "Users - SW3"
Access_3;
Laptop_3 [description = "Workstations"];
Camera_3 [description = "Cameras"];
}
}
@enduml
המונחים:
קישור | Subnet ---------- הפצה ל Core | 10.x.1.0/30, 10.x.1.4/30 Dist-A to Access-1 | 10.x.2.0/30 Dist-B to Access-1 | 10.x.2.4/30 Access-1 User VLAN | 10.x.32.0/24 Access-2 User VLAN | 10.x.33.0/24
יתרונות:
- בידוד התחום בכל מתג גישה
- פתרון בעיות מפוכח (מספרים הכלולים ב- Subnet)
- אין מעבר לעץ בין הפצה וגישה
- Summarization אפשרי ב שכבת הפצה
שיקולים:
- דרושים L3-capable Access tags
- תצורה של DHCP לכל מתג גישה
- ניהול IP מורכב יותר
המונחים: MCLAG with LACP Trunks
עיצוב זה משתמשMulti-Chassis Link Aggregation (MCLAG)הפצה עםLACPלגימני גישה שנשאו VLAN.
המונחים Terminologyסיסקו מכנה את ערוץ ה- vPC (Virtual Port Channel), Arista משתמשת ב-MLAG, ג'וניפר משתמשת ב- MC-LAG, ו-HPE/Aruba משתמשת ב- VSX. התנהגות פונקציונלית דומה על ידי ספקים.
@startuml Distribution Variation 2 - MCLAG
skinparam backgroundColor #FEFEFE
nwdiag {
network From_Core {
address = "L3 Routed Uplinks"
color = "#B0E0E6"
description = "From Core Layer"
Dist_A [description = "Distribution A\n(MCLAG Member)"];
Dist_B [description = "Distribution B\n(MCLAG Member)"];
}
network MCLAG_Peer_Link {
address = "Peer-Link"
color = "#FFB6C1"
description = "MCLAG/vPC Peer-Link"
Dist_A;
Dist_B;
}
network LACP_To_Access {
address = "Po1 - LACP Trunk"
color = "#DDA0DD"
description = "VLANs 100,110,120 Trunked"
Dist_A;
Dist_B;
Access_1 [description = "Access SW-1\n(L2 Switch)"];
}
network Data_VLAN {
address = "VLAN 100 - 10.x.32.0/24"
color = "#98FB98"
description = "Data VLAN"
Access_1;
Laptops [description = "Laptops\nWorkstations"];
}
network Voice_VLAN {
address = "VLAN 110 - 10.x.64.0/24"
color = "#FFE4B5"
description = "Voice VLAN"
Access_1;
Phones [description = "IP Phones"];
}
network Security_VLAN {
address = "VLAN 120 - 10.x.96.0/24"
color = "#FFDAB9"
description = "Security VLAN"
Access_1;
Cameras [description = "Cameras\nBadge Readers"];
}
}
@enduml
SVI Placement (VRRP VIP on Distribution Pair):
- VLAN 100: 10.x.32.1/24
- VLAN 110: 10.x.64.1/24
- VLAN 120: 10.x.96.1/24
VLAN Trunk Configuration:
פורט-צ'נל | VLANs ...---------------------------------------- פו1 (MCLAG) | 100,110,120 | Access-1 פו2 (MCLAG) | 100,110,120,130 | Access-2 פו3 (MCLAG) | 100,110 | Access-3 Native VLAN | 999 (לא בשימוש)
יתרונות MCLAG:
- קידום פעיל (הן קישורים מנוצלים)
- הכשל השני
- מתג הגיוני יחיד מנקודת מבט גישה
- לא חסימת עץ
שיקולים:
- VLANs משתרעת על פני מתגי גישה מרובים (שטחים משודרים גדולים)
- MCLAG peer-link יכול להפוך לצוואר בקבוק
- STP עדיין נדרש כגיבוי למניעה
מיקום: Border Leaf for Spine/Leaf Datacenter
בסביבות מרכזי נתונים, שכבת ההפצה הופכת להיותBorder Leafמחבר את הבד עמוד השדרה/לף לשאר רשת הארגון.
@startuml Distribution Variation 3 - Border Leaf Datacenter
skinparam backgroundColor #FEFEFE
nwdiag {
network Enterprise_Core {
address = "L3 Routed (eBGP/OSPF)"
color = "#B0E0E6"
description = "From Enterprise Core"
Border_A [description = "Border Leaf A\nVXLAN Gateway"];
Border_B [description = "Border Leaf B\nVXLAN Gateway"];
}
network Border_EVPN {
address = "VXLAN EVPN"
color = "#DDA0DD"
description = "EVPN Type-5 Routes"
Border_A;
Border_B;
Spine_1 [description = "Spine 1"];
Spine_2 [description = "Spine 2"];
}
network Spine_Fabric {
address = "eBGP Underlay"
color = "#FFB6C1"
description = "Spine Layer"
Spine_1;
Spine_2;
}
network Leaf_Tier_1 {
address = "VTEP"
color = "#98FB98"
description = "Compute Rack 1"
Spine_1;
Spine_2;
Leaf_1 [description = "Leaf 1"];
Leaf_2 [description = "Leaf 2"];
}
network Leaf_Tier_2 {
address = "VTEP"
color = "#FFE4B5"
description = "Storage/Services"
Spine_1;
Spine_2;
Leaf_3 [description = "Leaf 3"];
Leaf_4 [description = "Leaf 4"];
}
network Server_Rack_1 {
address = "VNI 10001"
color = "#F0FFF0"
description = "Compute Servers"
Leaf_1;
Leaf_2;
Servers_1 [description = "Rack Servers\nVMs/Containers"];
}
network Storage_Network {
address = "VNI 10002"
color = "#FFDAB9"
description = "Storage Arrays"
Leaf_3;
Storage [description = "SAN/NAS\nStorage"];
}
network Voice_Services {
address = "VNI 10003"
color = "#E6E6FA"
description = "UC Systems"
Leaf_4;
PBX [description = "PBX/UC\nSystems"];
}
}
@enduml
פרטים נוספים:
המונחים: Function ---------- |המונחיםEBGP (ASN לכל מתג) או OSPF |OverlayVXLAN עם מטוס בקרת VPN |Border LeafVXLAN-to-VLAN Gateway, מסלולים חיצוניים, Inter-VRF routing |תגית: Leaf Workloadsאחסון, קול / מדע, תשתיות
יתרונות:
- סולם האופקי מסיבי (add על זוגות במידת הצורך)
- אדריכלות ללא בלוק
- תדירות באמצעות VRF/VNI
- דפוסי תנועה מזרח-מערביים
שיקולים:
- מורכבות תפעולית של VXLAN/EVPN
- כישורים מיוחדים דרושים
- עלויות ציוד גבוהות יותר
קטגוריה 5: Access Layer
שכבת Access היא המקום שבו מכשירים הקצה מתחברים. ללא קשר לטופולוגיה הפצה, מתגי הגישה מספקים:
@startuml Access Layer Module
skinparam backgroundColor #FEFEFE
nwdiag {
network Distribution_Uplink {
address = "L3 or LACP Trunk"
color = "#B0E0E6"
description = "Uplinks to Distribution"
Access_SW [description = "48-Port Access Switch\nPoE+ Capable"];
}
network Data_VLAN {
address = "VLAN 100 - Ports 1-8, 25-32"
color = "#98FB98"
description = "Data VLAN"
Access_SW;
Laptops [description = "Laptops\nWorkstations"];
}
network Voice_VLAN {
address = "VLAN 110 - Ports 9-16"
color = "#FFE4B5"
description = "Voice VLAN"
Access_SW;
Phones [description = "IP Phones"];
}
network Camera_VLAN {
address = "VLAN 120 - Ports 17-24"
color = "#FFDAB9"
description = "Security VLAN"
Access_SW;
Cameras [description = "IP Cameras"];
}
network Wireless_VLAN {
address = "VLAN 130 - Ports 33-40"
color = "#DDA0DD"
description = "Wireless AP VLAN"
Access_SW;
APs [description = "Wireless APs"];
}
network Mgmt_VLAN {
address = "VLAN 999 - Ports 41-44"
color = "#F0FFF0"
description = "Management VLAN"
Access_SW;
}
}
@enduml
תכונות אבטחה שכבתיות:
- 802.1X / MAB אימות
- דינמיקה VLAN
- נמל אבטחה
- DHCP snooping
- דינמיקה ARP
- IP Source Guard
Total Modular Topology
הנה איך כל המודולים מתחברים ליצירת רשת ארגונית מלאה:
@startuml Complete Modular Network Topology
skinparam backgroundColor #FEFEFE
title Complete Enterprise Modular Network
nwdiag {
internet [shape = cloud, description = "Internet/WAN"];
network Internet_Edge {
address = "Module 1"
color = "#FFE4E1"
description = "INTERNET EDGE MODULE"
internet;
ISP_A [description = "ISP-A"];
ISP_B [description = "ISP-B"];
MPLS [description = "MPLS"];
Edge_RTR [description = "Edge Router"];
FW_A [description = "FW-A"];
FW_B [description = "FW-B"];
}
network Internal_Edge {
address = "Module 2"
color = "#E6E6FA"
description = "INTERNAL EDGE / DMZ MODULE"
FW_A;
FW_B;
IntEdge_A [description = "IntEdge-A"];
IntEdge_B [description = "IntEdge-B"];
WLC [description = "WLC"];
Proxy [description = "Proxy"];
VPN [description = "VPN"];
DNS [description = "DNS/DHCP"];
}
network Core {
address = "Module 3"
color = "#B0E0E6"
description = "CORE MODULE"
IntEdge_A;
IntEdge_B;
Core_A [description = "Core-A"];
Core_B [description = "Core-B"];
}
network Distribution_L3 {
address = "Variation 1"
color = "#98FB98"
description = "DIST - L3 Adjacent\n(Building A)"
Core_A;
Core_B;
Dist_1A [description = "Dist-1A"];
Dist_1B [description = "Dist-1B"];
Access_L3 [description = "Access\n(L3)"];
}
network Distribution_MCLAG {
address = "Variation 2"
color = "#DDA0DD"
description = "DIST - MCLAG\n(Building B)"
Core_A;
Core_B;
Dist_2A [description = "Dist-2A"];
Dist_2B [description = "Dist-2B"];
Access_L2 [description = "Access\n(L2)"];
}
network Datacenter {
address = "Variation 3"
color = "#FFE4B5"
description = "DATACENTER\n(Spine/Leaf)"
Core_A;
Core_B;
Border_Leaf [description = "Border\nLeaf"];
Spine [description = "Spine"];
Leaf [description = "Leaf"];
Servers [description = "Servers\nStorage\nPBX"];
}
network Campus_Users {
address = "End Devices"
color = "#F0FFF0"
description = "Campus Users"
Access_L3;
Access_L2;
Users [description = "Laptops\nPhones\nCameras"];
}
}
@enduml
אסטרטגיה עם VRF Isolation
האתגר של Multi-Segment, Multi-VRF Design
כאשר רשתות צומחות לכלול אזורי אבטחה מרובים, יחידות עסקיות או גבולות עמידה,VRF (Virtual Routing and Forwarding)מספק בידוד שולחן. עם זאת, הרחבת VRFs באמצעות מספר tiers מוסיפה מורכבות:
- כל דגם L3 דורש תת-תחבורה
- מגמות משנה מכפילות מורכבות תצורה
- פתרון בעיות טבלאות מרובות
- מסמך חייב לעקוב אחר חברות VRF בכל שכבה
אסטרטגיית Subnet Schema
Schema subnet מעוצב היטב עושה דפוסים לזיהוי, צמצום שגיאות עומס קוגניטיבי ותצורה.
אתר הייצור הגדול (10.0.0.0/13)
אתר Allocation:10.0.0.0/13 (ניהול אתר אלפא) - 524,286 מארחים
@startuml VRF Subnet Schema
skinparam backgroundColor #FEFEFE
title Large Site VRF Allocation Schema (10.0.0.0/13)
nwdiag {
network Corporate_VRF {
address = "VRF: CORPORATE\n10.0.0.0/17"
color = "#98FB98"
description = "Production Users"
Corp_Transit [description = "Transit\n10.0.0.0/23"];
Corp_Users [description = "Users\n10.0.32.0/19"];
Corp_Voice [description = "Voice\n10.0.64.0/19"];
Corp_Wireless [description = "Wireless\n10.0.96.0/19"];
Corp_Server [description = "Servers\n10.0.112.0/20"];
}
network Guest_VRF {
address = "VRF: GUEST\n10.1.0.0/17"
color = "#FFE4B5"
description = "Visitor Network"
Guest_Transit [description = "Transit\n10.1.0.0/23"];
Guest_Users [description = "Users\n10.1.32.0/19"];
}
network Security_VRF {
address = "VRF: SECURITY\n10.2.0.0/17"
color = "#FFDAB9"
description = "Physical Security"
Sec_Transit [description = "Transit\n10.2.0.0/23"];
Sec_Camera [description = "Cameras\n10.2.32.0/19"];
Sec_Badge [description = "Badge Readers\n10.2.64.0/19"];
Sec_NVR [description = "NVR/VMS\n10.2.96.0/20"];
}
network IOT_VRF {
address = "VRF: IOT\n10.3.0.0/17"
color = "#E6E6FA"
description = "Manufacturing OT"
IOT_Transit [description = "Transit\n10.3.0.0/23"];
IOT_PLC [description = "PLCs\n10.3.32.0/19"];
IOT_HMI [description = "HMIs\n10.3.64.0/19"];
IOT_SCADA [description = "SCADA\n10.3.96.0/20"];
}
}
@enduml
העברת מידע (10.0.0/23 - 510 IPable):
תגית: Link Description ------------------- 10.0.0/30 | FW-Inside 10.0.0.4/30 | FW-Inside 10.0.8/30 | Internal-Edge-A 10.0.0.12/30 | Internal-Edge-A 10.0.0.16/30 | Internal-Edge-B 10.0.20/30 | Internal-Edge-B 10.0.24/30 | Core-A 10.0.28/30 | Core-A 10.0.0.32/30 | Core-B 10.0.0.36/30 | Core-B 10.0.0.40/30 | הפצה-A 10.0.0.44/30 | הפצה-B (Pattern ממשיך)
הערה:/31 subnets (RFC 3021) ניתן להשתמש גם עבור קישורים נקודה לנקודה, שמירה על שטח כתובת.
יתרונות זיהוי דפוס
כאשר תבניות תת-נט עקביות ב- VRFs:
מה אתה יודע / What You Can Infer --------------------------------------- קישור המעבר בתאגיד משתמש 10.0.0.40/30; המקבילה לאורחים היא 10.1.0.40/30 משתמשי Access-SW-5 נמצאים ב-10.0.36.0/24 | מצלמות אבטחה באותו מתג הן 10.2.36.0/24 Site Alpha הוא 10.0.0.0.0/13 | אתר Beta יכול להיות 10.8.0.0/13
זה מאפשר למהנדסים:
- חיזוי כתובות IP ללא מסמכי ייעוץ
- זיהוי תת-קרקעיות לא מוגדרות באופן מיידי
- יצירת תבניות אוטומציה שפועלות ברחבי VRFs
- לאמן צוות חדש על התבנית, לא תזכיר
תבניות אתר
פורמט אתר קטן (Branch Office)
@startuml Small Site Template
skinparam backgroundColor #FEFEFE
title Small Site Template (< 50 users)
nwdiag {
internet [shape = cloud];
network WAN {
color = "#FFE4E1"
description = "ISP/MPLS Circuit"
internet;
UTM [description = "UTM/SD-WAN\nAppliance\n(Router+FW+VPN+WLC)"];
}
network LAN {
address = "10.100.x.0/24"
color = "#98FB98"
description = "Single Subnet"
UTM;
Access [description = "Access Switch\n(or UTM ports)"];
}
network Endpoints {
color = "#F0FFF0"
description = "End Devices"
Access;
AP [description = "WiFi AP"];
Users [description = "Users"];
Phones [description = "Phones"];
}
}
@enduml
הערות עיצוב אתר קטן:
- עיצוב אבודכל הפונקציות בחומרה מינימלית
- Subnet24/23 לאתר
- דוגמא10.100.1.0/24 (אתר 001)
פורמט אתר בינוני (Regional Office)
@startuml Medium Site Template
skinparam backgroundColor #FEFEFE
title Medium Site Template (50-500 users)
nwdiag {
internet [shape = cloud];
network WAN_Edge {
color = "#FFE4E1"
description = "Internet Edge"
internet;
ISP_A [description = "ISP-A"];
ISP_B [description = "ISP-B/MPLS"];
Edge_RTR [description = "Edge Router"];
}
network Firewall_Tier {
color = "#FFDAB9"
description = "Firewall HA Pair"
Edge_RTR;
FW_A [description = "FW-A"];
FW_B [description = "FW-B"];
}
network Distribution {
address = "10.50.x.0/21"
color = "#DDA0DD"
description = "MCLAG Distribution\n(Dist/Core Combined)"
FW_A;
FW_B;
Dist_A [description = "Dist-A"];
Dist_B [description = "Dist-B"];
}
network Access_Tier {
color = "#98FB98"
description = "Access Switches (LACP)"
Dist_A;
Dist_B;
Acc1 [description = "Acc1"];
Acc2 [description = "Acc2"];
Acc3 [description = "Acc3"];
Acc4 [description = "Acc4"];
Acc5 [description = "Acc5"];
}
network Users {
color = "#F0FFF0"
description = "End Devices"
Acc1;
Acc2;
Acc3;
Acc4;
Acc5;
Endpoints [description = "Laptops/Phones\nCameras/APs"];
}
}
@enduml
הערות עיצוב אתר בינוני:
- מודולריותהמונחים: Distinct Edge and Access tiers
- Subnet• 21 לכל אתר (2,046 IPs)
- דוגמא10.50.0/21 (אתר 050)
פורמט אתר גדול (Head Quarters/Campus)
@startuml Large Site Template
skinparam backgroundColor #FEFEFE
title Large Site Template (500+ users)
nwdiag {
internet [shape = cloud];
network Internet_Edge {
color = "#FFE4E1"
description = "INTERNET EDGE MODULE"
internet;
ISP_A [description = "ISP-A"];
ISP_B [description = "ISP-B"];
MPLS [description = "MPLS"];
Edge_RTR [description = "Edge-RTR"];
FW_A [description = "FW-A"];
FW_B [description = "FW-B"];
}
network Internal_Edge {
color = "#E6E6FA"
description = "INTERNAL EDGE MODULE"
FW_A;
FW_B;
IntEdge_A [description = "IntEdge-A"];
IntEdge_B [description = "IntEdge-B"];
WLC [description = "WLC"];
Proxy [description = "Proxy"];
VPN [description = "VPN"];
DNS [description = "DNS"];
}
network Core {
color = "#B0E0E6"
description = "CORE MODULE"
IntEdge_A;
IntEdge_B;
Core_A [description = "Core-A"];
Core_B [description = "Core-B"];
}
network Dist_Var1 {
color = "#98FB98"
description = "L3 Adjacent"
Core_A;
Core_B;
Dist_1 [description = "Dist-1"];
Access_1 [description = "Access"];
}
network Dist_Var2 {
color = "#DDA0DD"
description = "MCLAG Trunk"
Core_A;
Core_B;
Dist_2 [description = "Dist-2"];
Access_2 [description = "Access"];
}
network Dist_Var3 {
color = "#FFE4B5"
description = "MCLAG Trunk"
Core_A;
Core_B;
Dist_3 [description = "Dist-3"];
Access_3 [description = "Access"];
}
network Datacenter {
color = "#87CEEB"
description = "SPINE/LEAF DC"
Core_A;
Core_B;
Border [description = "Border-Leaf"];
Spine [description = "Spine"];
Leaf [description = "Leaf"];
Servers [description = "Servers"];
}
}
@enduml
Site Design Notes:
- מידות שלמותכל הטיפים בנפרד פיזית
- Subnet13 עד 15 לאתר (מבוסס על ספירת VRF)
- דוגמא10.0.0.0/13 (HQ) - 524,286 IPs
VRF ו- L3 Segmentation: יתרונות ומורכבות
היתרונות של L3 Segmentation with Sub-interfaces
- בידוד אבטחהתנועה בין VRFs חייבת לחצות חומת אש או מכשיר מדיניות
- Blast Radius Containmentמגזר מבוזר לא יכול להגיע ישירות VRFs אחרים
- עקבו אחרי BoundariesPCI, HIPAA או OT רשתות בתחומים נפרדים
- הנדסהמדיניות שונה ל- VRF
סחר המורכבות
כאשר מגזרים חייבים להרחיב באמצעות מספר tiers, כל גבול L3 מוסיף תצורה overhead:
@startuml Multi-VRF Path Through Tiers
skinparam backgroundColor #FEFEFE
title Multi-VRF Traffic Path: Camera to NVR
nwdiag {
network Camera_Segment {
address = "VLAN 120\n10.2.36.0/24"
color = "#FFDAB9"
description = "VRF: SECURITY"
Camera [description = "Camera"];
Access_SW [description = "Access-SW\nSub-int: 10.2.0.40/30"];
}
network Access_to_Dist {
address = "10.2.0.40/30"
color = "#DDA0DD"
description = "VRF: SECURITY"
Access_SW;
Distribution [description = "Distribution\nSub-int: 10.2.0.24/30"];
}
network Dist_to_Core {
address = "10.2.0.24/30"
color = "#B0E0E6"
description = "VRF: SECURITY"
Distribution;
Core [description = "Core\nSub-int: 10.2.0.8/30"];
}
network Core_to_IntEdge {
address = "10.2.0.8/30"
color = "#E6E6FA"
description = "VRF: SECURITY"
Core;
Internal_Edge [description = "Internal-Edge\nSub-int: 10.2.0.0/30"];
}
network IntEdge_to_FW {
address = "10.2.0.0/30"
color = "#FFE4E1"
description = "VRF: SECURITY"
Internal_Edge;
Firewall [description = "Firewall\nInter-VRF Policy"];
}
network DC_Path {
address = "VXLAN/EVPN"
color = "#87CEEB"
description = "Datacenter Fabric"
Firewall;
Border_Leaf [description = "Border-Leaf"];
Spine [description = "Spine"];
Leaf [description = "Leaf"];
NVR [description = "NVR"];
}
}
@enduml
המונחים:
- 5 תת-קרקעיות ל- VRF בדרך
- 4 VRFs × 5 sub-ints = 20 sub-interfaces לכל מתג
- חידוש פרוטוקולים בכל VRF
- כללי ניווט או חומת אש לתנועה בין-VRF
אסטרטגיות מייגציה
- ספירת VRFרק ליצור VRFs דרישות בידוד אמיתיות
- המונחים:-VRF routingנקודת מדיניות של חומת אש יחידה לעומת הפצת
- שימוש ב-VXLAN/EVPNOverlay מקטין את ספירת תת-קרקעית פיזית
- אספקה אוטומטיתתבניות מבטיחות תצורה עקבית
- מסמך התבניתפעם למדו, הדפוסים מהירים יותר מהמראה
תגית: Building a Scalable Network Pattern
המטרה של עיצוב רשת מודולרי היא ליצורדפוס חוזרזה מאפשר:
סולם | אתרים | תבנית ---------- קטן | 10,000+ | Collapsed UTM + מתג יחיד /24 לכל אתר | Medium | 1000+ | Edge + MCLAG הפצה + גישה / 21 לכל אתר גדול | 100+ | מודולרי מלא (Edge, Internal Edge, Core, גרסאות הפצה, DC הבד), / 13/15 לכל אתר
דרושים Key Takeaways
- מודולים יוצרים גבולותלכל מודול יש מטרה מוגדרת וממשק
- תבניות מאפשרותאותו עיצוב בכל אתר מקטין אימון וטעויות
- VRFs מספק בידודאבל להוסיף מורכבות תצורה בכל שכבה
- חומר schemasטיפול צפוי מפחית עומס קוגניטיבי
- הפצה משתנה לפי הצורךL3 הסמוך, MCLAG/LACP, או עמוד השדרה/leafafaf
- גודל מתאים לאתראל תוותרו על אתרים קטנים יותר
על ידי הקמת דפוסים אלה ויישום אותם באופן עקבי, ארגונים יכולים לבנות רשתות בקנה מידה של משרד סניף יחיד לארגון גלובלי - כל זאת תוך שמירה על פשטות תפעולית ונוחות אבטחה.
גרסה 2.0 | Published 2026-02-02-02 | עדכון עם דיאגרמות PlantUML Nwdiag