Modular Network Design: A Scalable Architecture Framework
Moduláris hálózati tervezés: Mérhető építészeti keret
Bevezetés a moduláris hálózati tervezésbe
A hálózati modularitás az a gyakorlat, hogy a hálózatokat összekapcsolt, célirányos szegmensekként, nem pedig monolitikus struktúrákként kell megtervezni. Minden modul egy meghatározott funkciót szolgál, határokat határozott meg, és jól érthető interfészeken keresztül kapcsolódik a szomszédos modulokhoz. Ez a megközelítés a hálózattervezést művészetből ismételhető mérnöki tudománysá alakítja.
A modularitás ereje abban rejlik, hogy képes létrehoznikiszámítható mintákamelyet következetesen lehet alkalmazni a szervezet teljes infrastruktúra lábnyomában - akár több tízezer kis telek, több ezer közepes telek, vagy több száz nagy vállalati kemping.
Miért Modularity Matters
Előnyök az összes hálózati skálán
Az Európai Parlament és a Tanács (EU) 2015 / 849 rendelete (2015. október 25.) a személyes adatok feldolgozása tekintetében az egyének védelméről, valamint az ilyen adatok szabad áramlásáról (HL L 298., 2015.10.26., 1. o.) - 124; - 124; - 124; - 124 a 124. rovatotEgyszerűsített hibaelhárításA teljes topológiát 124; a csapatok specializálódhatnak a modul 124; a modultulajdonosok közötti egyértelmű eszkalációs utak 124 a 124. rovatotMegjósolható méretezésa 124; a modulok szükség szerinti hozzáadása a 124; a klón bizonyított mintái a 124; az átalakítás nélküli kiterjesztés a 124 a 124. rovatotKövetkezetes biztonsága 124; a 124; a 124; a 124; az Auditálható határvonalak a 124. rovatotMűködési hatékonyságAz Európai Parlament és a Tanács (EU) 2015 / 2446 rendelete (2015. június 26.) a személyes adatok feldolgozása tekintetében az egyének védelméről, valamint az ilyen adatok szabad áramlásáról (HL L 298., 2015.10.26., 1. o.) a 124. rovatotKöltségellenőrzésA Bizottság ezért úgy véli, hogy a szóban forgó intézkedések állami támogatásnak minősülnek
A csúszás kihívása
A szervezetek ritkán maradnak statikus állapotban. A moduláris kialakításnak a következőket kell tartalmaznia:
- 10 000 + kis telek: Branch irodák, kiskereskedelmi helyszínek, távoli létesítmények
- 1000 + közepes: Regionális irodák, elosztó központok, gyártóüzemek
- 100 + nagy telephelyekKözpont, adatközpontok, nagy táborok
Modularitás nélkül minden oldal egyedi hópehely lesz, amely egyedi dokumentációt, speciális képzést és egyszeri problémamegoldást igényel. A modularitást, egy mérnök, aki megérti a mintát hatékonyan működik bármely helyszínen.
Törzshálózati modulok
Modul: Internet Edge Segment
Az Internet Edge az, ahol a szervezet találkozik a külvilággal. Ez a modul a következőket tartalmazza:
- WAN / Internet áramkörök(MPLS, DIA, szélessávú, LTE / 5G)
- Nyelvrouterek(BGP peering, WAN termination)
- Tűzfalak(nagyvonalú ellenőrzés, NAT, VPN terminálás)
- VLAN szegmentációfunkcionális szétválasztáshoz
@startuml Internet Edge Module
!define ICONURL https://raw.githubusercontent.com/Roemer/plantuml-office/master/office2014
skinparam backgroundColor #FEFEFE
skinparam handwritten false
nwdiag {
internet [shape = cloud, description = "Internet"];
network ISP_Transit {
address = "VLAN 10-12"
color = "#FFE4E1"
description = "ISP/MPLS Transit"
internet;
ISP_A [description = "ISP-A\nCircuit"];
ISP_B [description = "ISP-B\nCircuit"];
MPLS [description = "MPLS\nCircuit"];
}
network Edge_Router_Segment {
address = "VLAN 10,11,12"
color = "#E6E6FA"
description = "Edge Router Aggregation"
ISP_A;
ISP_B;
MPLS;
Edge_Router [description = "Edge Router\n(BGP Peering)"];
}
network FW_Outside {
address = "VLAN 100"
color = "#FFFACD"
description = "Firewall Outside"
Edge_Router;
FW_Primary [description = "Firewall\nPrimary"];
FW_Secondary [description = "Firewall\nSecondary"];
}
network FW_HA_Sync {
address = "VLAN 101"
color = "#F0FFF0"
description = "HA Sync Link"
FW_Primary;
FW_Secondary;
}
network FW_Inside {
address = "VLAN 102"
color = "#E0FFFF"
description = "To Internal Edge"
FW_Primary;
FW_Secondary;
}
}
@enduml
A legfontosabb tervezési elvek:
- Sokszínű szolgáltatók redundáns áramkörei
- Tűzfal magas elérhetőségű párok
- A VLAN-határok tisztázása a trösztellenes zónák között
- L3 pont-pont kapcsolat router és tűzfal között
Modul: Belső él / DMZ Tier
Közép- és nagyméretű helyszínek esetében a belső él összesítési réteget biztosít az ellenőrzött sugárterhelést igénylő szolgáltatások számára, vagy átmeneti pontként szolgál a biztonsági zónák között.
@startuml Internal Edge Module
skinparam backgroundColor #FEFEFE
nwdiag {
network From_Internet_Edge {
address = "VLAN 102"
color = "#E0FFFF"
description = "From Firewall Inside"
IntEdge_A [description = "Internal Edge\nSwitch A"];
IntEdge_B [description = "Internal Edge\nSwitch B"];
}
network MCLAG_Peer {
address = "Peer-Link"
color = "#DDA0DD"
description = "MCLAG/vPC Peer"
IntEdge_A;
IntEdge_B;
}
network WLC_Mgmt {
address = "VLAN 200 - 10.x.200.0/24"
color = "#FFE4B5"
description = "WLC Management"
IntEdge_A;
IntEdge_B;
WLC [description = "Wireless LAN\nController"];
}
network Proxy_Farm {
address = "VLAN 201 - 10.x.201.0/24"
color = "#FFDAB9"
description = "Proxy Services"
IntEdge_A;
IntEdge_B;
Proxy [description = "Web Proxy\nServers"];
}
network VPN_Services {
address = "VLAN 202 - 10.x.202.0/24"
color = "#E6E6FA"
description = "VPN Termination"
IntEdge_A;
IntEdge_B;
VPN [description = "VPN\nConcentrator"];
}
network Infrastructure {
address = "VLAN 204 - 10.x.204.0/24"
color = "#F0FFF0"
description = "Infrastructure Services"
IntEdge_A;
IntEdge_B;
DNS_DHCP [description = "DNS/DHCP\nServers"];
}
network To_Core {
address = "VLAN 205"
color = "#B0E0E6"
description = "Core Transit"
IntEdge_A;
IntEdge_B;
}
}
@enduml
Szolgáltatások általában belső él:
- Vezeték nélküli LAN vezérlők (WLC)
- Webproxyok és tartalomszűrők
- VPN-kondenzátorok
- DNS / DHCP infrastruktúra
- Töltőernyők
- Ugrás / bástya kiszolgálók
Modul: Törzsréteg
A mag a nagy sebességű gerinc, amely összeköti az összes többi modult. Optimalizálni kell:
- Maximális áthaladás
- Minimális késleltetés
- Magas rendelkezésre állás
- Egyszerű, gyors továbbítás
@startuml Core Module
skinparam backgroundColor #FEFEFE
nwdiag {
network From_Internal_Edge {
address = "L3 Routed"
color = "#B0E0E6"
description = "From Internal Edge"
Core_A [description = "Core Switch A\n100G Backbone"];
Core_B [description = "Core Switch B\n100G Backbone"];
}
network Core_Interconnect {
address = "100G+ ISL"
color = "#FFB6C1"
description = "High-Speed Interconnect\nOSPF/IS-IS/BGP"
Core_A;
Core_B;
}
network To_Distribution_1 {
address = "L3 P2P"
color = "#98FB98"
description = "Building A"
Core_A;
Core_B;
Dist_1 [description = "Distribution 1\n(L3 Adjacent)"];
}
network To_Distribution_2 {
address = "L3 P2P"
color = "#DDA0DD"
description = "Building B"
Core_A;
Core_B;
Dist_2 [description = "Distribution 2\n(MCLAG)"];
}
network To_Distribution_3 {
address = "L3 P2P"
color = "#FFDAB9"
description = "Building C"
Core_A;
Core_B;
Dist_3 [description = "Distribution 3\n(MCLAG)"];
}
network To_DC_Border {
address = "L3 Routed"
color = "#87CEEB"
description = "Datacenter"
Core_A;
Core_B;
Border_Leaf [description = "Border Leaf\n(DC Fabric)"];
}
}
@enduml
Alaptervezési elvek:
- Nincs közvetlenül csatlakoztatott végfelhasználói eszköz
- L3 útvonal magkapcsolók között (nincs kerítőfa)
- Egyenértékű költségű többirányú menetvonal (ECMP) a terhelés elosztásához
- Gyors konvergenciakódok
Modul: Elosztó réteg
A Distribution réteg aggregátumok Hozzáférés kapcsolók és a politika. Ez az a hely, ahol a hálózati tervezés választásai a legváltozatosabb a telephely igényei alapján.
Elosztási küszöbértékek
Változat 1: L3 Administration (Routed Access)
Ebben a design, a forgalmazási és hozzáférési rétegekL3 szomszédos- minden hozzáférési kapcsoló saját IP alhálózattal rendelkezik, és közvetlenül a forgalmazáshoz vezet.
@startuml Distribution Variation 1 - L3 Adjacent
skinparam backgroundColor #FEFEFE
nwdiag {
network From_Core {
address = "L3 ECMP"
color = "#B0E0E6"
description = "From Core Layer"
Dist_A [description = "Distribution A\n(L3 Router)"];
Dist_B [description = "Distribution B\n(L3 Router)"];
}
network Dist_iBGP {
address = "iBGP Peering"
color = "#DDA0DD"
description = "ECMP/iBGP"
Dist_A;
Dist_B;
}
network P2P_Access_1 {
address = "10.x.2.0/30"
color = "#98FB98"
description = "L3 Point-to-Point"
Dist_A;
Dist_B;
Access_1 [description = "Access SW-1\n(L3 Gateway)"];
}
network P2P_Access_2 {
address = "10.x.2.8/30"
color = "#FFE4B5"
description = "L3 Point-to-Point"
Dist_A;
Dist_B;
Access_2 [description = "Access SW-2\n(L3 Gateway)"];
}
network P2P_Access_3 {
address = "10.x.2.16/30"
color = "#FFDAB9"
description = "L3 Point-to-Point"
Dist_A;
Dist_B;
Access_3 [description = "Access SW-3\n(L3 Gateway)"];
}
network User_VLAN_1 {
address = "10.x.32.0/24"
color = "#F0FFF0"
description = "Users - SW1"
Access_1;
Laptop_1 [description = "Laptops"];
Phone_1 [description = "Phones"];
}
network User_VLAN_2 {
address = "10.x.33.0/24"
color = "#FFF0F5"
description = "Users - SW2"
Access_2;
Laptop_2 [description = "Laptops"];
Camera_2 [description = "Cameras"];
}
network User_VLAN_3 {
address = "10.x.34.0/24"
color = "#F5FFFA"
description = "Users - SW3"
Access_3;
Laptop_3 [description = "Workstations"];
Camera_3 [description = "Cameras"];
}
}
@enduml
Alhálózati hozzárendelési példa:
- 124 - 124; - 124; - 124 a 124d. pont helyébe a következő szöveg lép: a 124; DistA to Access- 124; 10.x.2.0 / 30 a 124-hez a 124; az Access-124; 10.x.2.4 / 30 a 124-től az Access- ig - User VLAN - 124; Access-2 User VLAN
Előnyök:
- Minden egyes hozzáférési kapcsolónál a műsorszórási tartomány izolálása
- Egyszerűsített problémamegoldás (az alhálózathoz tartozó kérdések)
- A forgalmazás és a hozzáférés között nincs faforgács
- Az eloszlási rétegen lehetséges összegzés
Megfontolás:
- L3-as csatlakozó kapcsolókat igényel
- DHCP relé konfiguráció minden hozzáférési kapcsolón
- Bonyolultabb IP-címkezelés
Változat: MCLAG LACP Trunks-szal
Ez a kialakításMulti-Chasis Link Aggregation (MCLAG)megoszlásLAKCS-kötvényeka trunked VLANs-t szállító kapcsolókhoz.
Védor Terminológia: Cisco hívja ezt a vPC (Virtual Port Channel), Arista használ MLAG, Juniper használ MC-LAG, és HPE / Aruba használ VSX. A funkcionális viselkedés hasonló az eladóknál.
@startuml Distribution Variation 2 - MCLAG
skinparam backgroundColor #FEFEFE
nwdiag {
network From_Core {
address = "L3 Routed Uplinks"
color = "#B0E0E6"
description = "From Core Layer"
Dist_A [description = "Distribution A\n(MCLAG Member)"];
Dist_B [description = "Distribution B\n(MCLAG Member)"];
}
network MCLAG_Peer_Link {
address = "Peer-Link"
color = "#FFB6C1"
description = "MCLAG/vPC Peer-Link"
Dist_A;
Dist_B;
}
network LACP_To_Access {
address = "Po1 - LACP Trunk"
color = "#DDA0DD"
description = "VLANs 100,110,120 Trunked"
Dist_A;
Dist_B;
Access_1 [description = "Access SW-1\n(L2 Switch)"];
}
network Data_VLAN {
address = "VLAN 100 - 10.x.32.0/24"
color = "#98FB98"
description = "Data VLAN"
Access_1;
Laptops [description = "Laptops\nWorkstations"];
}
network Voice_VLAN {
address = "VLAN 110 - 10.x.64.0/24"
color = "#FFE4B5"
description = "Voice VLAN"
Access_1;
Phones [description = "IP Phones"];
}
network Security_VLAN {
address = "VLAN 120 - 10.x.96.0/24"
color = "#FFDAB9"
description = "Security VLAN"
Access_1;
Cameras [description = "Cameras\nBadge Readers"];
}
}
@enduml
SVI elhelyezés (VRRP VIP on Distribution Pair):
- VLAN 100: 10.x.32.1 / 24
- VLAN 110: 10.x.64.1 / 24
- VLAN 120: 10.x.96.1 / 24
VLAN Trunk konfiguráció:
Az Európai Parlament és a Tanács (EU) 2015 / 2446 rendelete (2015. október 25.) a személyes adatok feldolgozása tekintetében az egyének védelméről, valamint az ilyen adatok szabad áramlásáról (HL L 298., 2015.10.26., 1. o.) - 124; - 124; - 124; - 124 Az e rendeletben előírt intézkedések összhangban vannak a Növények, Állatok, Élelmiszerek és Takarmányok Állandó Bizottságának véleményével Az e rendeletben előírt intézkedések összhangban vannak a Növények, Állatok, Élelmiszerek és Takarmányok Állandó Bizottságának véleményével Az e rendeletben előírt intézkedések összhangban vannak a Növények, Állatok, Élelmiszerek és Takarmányok Állandó Bizottságának véleményével (fel nem használt)
MCLAG juttatások:
- Aktive- aktív továbbítás (mindkét feltöltés felhasználva)
- Másodperces hiba
- Egyetlen logikai váltás a hozzáférés szempontjából
- Nincs kereszteződés
Megfontolás:
- VLANs span többszörös hozzáférési kapcsolók (nagyobb sugárzási tartományok)
- MCLAG peer- link válhat szűk
- STP még mindig szükséges, mint a hurok megelőzés biztonsági
Változat: Border Leaf for Spine / Leaf Datacenter
Az adatbevitel környezetében az eloszlási réteg aBorder Leafa gerinc / levél szövetet a vállalati hálózat többi részéhez köti.
@startuml Distribution Variation 3 - Border Leaf Datacenter
skinparam backgroundColor #FEFEFE
nwdiag {
network Enterprise_Core {
address = "L3 Routed (eBGP/OSPF)"
color = "#B0E0E6"
description = "From Enterprise Core"
Border_A [description = "Border Leaf A\nVXLAN Gateway"];
Border_B [description = "Border Leaf B\nVXLAN Gateway"];
}
network Border_EVPN {
address = "VXLAN EVPN"
color = "#DDA0DD"
description = "EVPN Type-5 Routes"
Border_A;
Border_B;
Spine_1 [description = "Spine 1"];
Spine_2 [description = "Spine 2"];
}
network Spine_Fabric {
address = "eBGP Underlay"
color = "#FFB6C1"
description = "Spine Layer"
Spine_1;
Spine_2;
}
network Leaf_Tier_1 {
address = "VTEP"
color = "#98FB98"
description = "Compute Rack 1"
Spine_1;
Spine_2;
Leaf_1 [description = "Leaf 1"];
Leaf_2 [description = "Leaf 2"];
}
network Leaf_Tier_2 {
address = "VTEP"
color = "#FFE4B5"
description = "Storage/Services"
Spine_1;
Spine_2;
Leaf_3 [description = "Leaf 3"];
Leaf_4 [description = "Leaf 4"];
}
network Server_Rack_1 {
address = "VNI 10001"
color = "#F0FFF0"
description = "Compute Servers"
Leaf_1;
Leaf_2;
Servers_1 [description = "Rack Servers\nVMs/Containers"];
}
network Storage_Network {
address = "VNI 10002"
color = "#FFDAB9"
description = "Storage Arrays"
Leaf_3;
Storage [description = "SAN/NAS\nStorage"];
}
network Voice_Services {
address = "VNI 10003"
color = "#E6E6FA"
description = "UC Systems"
Leaf_4;
PBX [description = "PBX/UC\nSystems"];
}
}
@enduml
Datacenter Fabric Részletek:
Az Európai Parlament és a Tanács 1095 / 2010 / EU rendelete - 124; - 124; - 124 a 124. rovatotUnderlayaz 124; eBGP (ASN / kapcsoló) vagy az OSPF a 124 a 124. rovatotÁtfedésa 124; VXLAN EVPN vezérlésű repülővel a 124. rovatotBorder Leafa VXLAN- to- VLAN átjáró, külső útvonalak, inter- VRF útvonal, 124 a 124. rovatotLeaf Worklocksa 124; Számítógép, Tároló, Hang / UC, Infrastruktúra 124
Előnyök:
- Masszív vízszintes skála (szükség esetén adja hozzá a levélpárokat)
- Nem blokkoló szövet architektúra
- Multi- tenancy via VRF / VNI
- Optimális keleti forgalom
Megfontolás:
- A VXLAN / EVPN működési összetettsége
- Szakképzettség szükséges
- Magasabb felszerelési költségek
Modul: Hozzáférési réteg
A hozzáférési réteg az, ahol a végberendezések csatlakoznak. A disztribúciós topológiától függetlenül a hozzáférési kapcsolók biztosítják:
@startuml Access Layer Module
skinparam backgroundColor #FEFEFE
nwdiag {
network Distribution_Uplink {
address = "L3 or LACP Trunk"
color = "#B0E0E6"
description = "Uplinks to Distribution"
Access_SW [description = "48-Port Access Switch\nPoE+ Capable"];
}
network Data_VLAN {
address = "VLAN 100 - Ports 1-8, 25-32"
color = "#98FB98"
description = "Data VLAN"
Access_SW;
Laptops [description = "Laptops\nWorkstations"];
}
network Voice_VLAN {
address = "VLAN 110 - Ports 9-16"
color = "#FFE4B5"
description = "Voice VLAN"
Access_SW;
Phones [description = "IP Phones"];
}
network Camera_VLAN {
address = "VLAN 120 - Ports 17-24"
color = "#FFDAB9"
description = "Security VLAN"
Access_SW;
Cameras [description = "IP Cameras"];
}
network Wireless_VLAN {
address = "VLAN 130 - Ports 33-40"
color = "#DDA0DD"
description = "Wireless AP VLAN"
Access_SW;
APs [description = "Wireless APs"];
}
network Mgmt_VLAN {
address = "VLAN 999 - Ports 41-44"
color = "#F0FFF0"
description = "Management VLAN"
Access_SW;
}
}
@enduml
Hozzáférés a réteg biztonsági jellemzői:
- 802.1X / MAB hitelesítés
- Dinamikus VLAN megbízás
- Kikötővédelem
- DHCP szaglászás
- Dinamikus ARP ellenőrzés
- IP forrásőr
Teljes moduláris topológia
Így kapcsolódik össze minden modul egy teljes vállalati hálózathoz:
@startuml Complete Modular Network Topology
skinparam backgroundColor #FEFEFE
title Complete Enterprise Modular Network
nwdiag {
internet [shape = cloud, description = "Internet/WAN"];
network Internet_Edge {
address = "Module 1"
color = "#FFE4E1"
description = "INTERNET EDGE MODULE"
internet;
ISP_A [description = "ISP-A"];
ISP_B [description = "ISP-B"];
MPLS [description = "MPLS"];
Edge_RTR [description = "Edge Router"];
FW_A [description = "FW-A"];
FW_B [description = "FW-B"];
}
network Internal_Edge {
address = "Module 2"
color = "#E6E6FA"
description = "INTERNAL EDGE / DMZ MODULE"
FW_A;
FW_B;
IntEdge_A [description = "IntEdge-A"];
IntEdge_B [description = "IntEdge-B"];
WLC [description = "WLC"];
Proxy [description = "Proxy"];
VPN [description = "VPN"];
DNS [description = "DNS/DHCP"];
}
network Core {
address = "Module 3"
color = "#B0E0E6"
description = "CORE MODULE"
IntEdge_A;
IntEdge_B;
Core_A [description = "Core-A"];
Core_B [description = "Core-B"];
}
network Distribution_L3 {
address = "Variation 1"
color = "#98FB98"
description = "DIST - L3 Adjacent\n(Building A)"
Core_A;
Core_B;
Dist_1A [description = "Dist-1A"];
Dist_1B [description = "Dist-1B"];
Access_L3 [description = "Access\n(L3)"];
}
network Distribution_MCLAG {
address = "Variation 2"
color = "#DDA0DD"
description = "DIST - MCLAG\n(Building B)"
Core_A;
Core_B;
Dist_2A [description = "Dist-2A"];
Dist_2B [description = "Dist-2B"];
Access_L2 [description = "Access\n(L2)"];
}
network Datacenter {
address = "Variation 3"
color = "#FFE4B5"
description = "DATACENTER\n(Spine/Leaf)"
Core_A;
Core_B;
Border_Leaf [description = "Border\nLeaf"];
Spine [description = "Spine"];
Leaf [description = "Leaf"];
Servers [description = "Servers\nStorage\nPBX"];
}
network Campus_Users {
address = "End Devices"
color = "#F0FFF0"
description = "Campus Users"
Access_L3;
Access_L2;
Users [description = "Laptops\nPhones\nCameras"];
}
}
@enduml
IP stratégia kezelése VRF izolációval
A kihívás a Multi- Segment, Multi- VRF Design
Amikor a hálózatok egyre több biztonsági zónát, üzleti egységeket vagy megfelelési határokat tartalmaznak,VRF (virtuális routing és továbbítás)biztosítja az útvonaltábla elkülönítését. A kockázatitőke-alapok több meghatározási szintre történő kiterjesztése azonban összetettebbé teszi:
- Minden L3 komp egy tranzit alhálót igényel
- Sub- interface szorozza a konfiguráció összetettségét
- Problémamegoldó spans több útválasztási asztal
- Dokumentáció kell nyomon követni VRF tagság minden szinten
Alhálózat stratégia
A jól megtervezett alhálózati séma felismerhetővé teszi a mintákat, csökkentve a kognitív terhelést és konfigurációs hibákat.
Példa: Nagy gyártási terület (10.0.0.0 / 13)
Webhely hozzárendelése:10.0.0.0 / 13 (Alpha gyártási terület) - 524,286 használható
@startuml VRF Subnet Schema
skinparam backgroundColor #FEFEFE
title Large Site VRF Allocation Schema (10.0.0.0/13)
nwdiag {
network Corporate_VRF {
address = "VRF: CORPORATE\n10.0.0.0/17"
color = "#98FB98"
description = "Production Users"
Corp_Transit [description = "Transit\n10.0.0.0/23"];
Corp_Users [description = "Users\n10.0.32.0/19"];
Corp_Voice [description = "Voice\n10.0.64.0/19"];
Corp_Wireless [description = "Wireless\n10.0.96.0/19"];
Corp_Server [description = "Servers\n10.0.112.0/20"];
}
network Guest_VRF {
address = "VRF: GUEST\n10.1.0.0/17"
color = "#FFE4B5"
description = "Visitor Network"
Guest_Transit [description = "Transit\n10.1.0.0/23"];
Guest_Users [description = "Users\n10.1.32.0/19"];
}
network Security_VRF {
address = "VRF: SECURITY\n10.2.0.0/17"
color = "#FFDAB9"
description = "Physical Security"
Sec_Transit [description = "Transit\n10.2.0.0/23"];
Sec_Camera [description = "Cameras\n10.2.32.0/19"];
Sec_Badge [description = "Badge Readers\n10.2.64.0/19"];
Sec_NVR [description = "NVR/VMS\n10.2.96.0/20"];
}
network IOT_VRF {
address = "VRF: IOT\n10.3.0.0/17"
color = "#E6E6FA"
description = "Manufacturing OT"
IOT_Transit [description = "Transit\n10.3.0.0/23"];
IOT_PLC [description = "PLCs\n10.3.32.0/19"];
IOT_HMI [description = "HMIs\n10.3.64.0/19"];
IOT_SCADA [description = "SCADA\n10.3.96.0/20"];
}
}
@enduml
Transit Segment Detail (10.0.0.0 / 23 - 510 használható IP):
a 124; a 124; a 124; a link leírása - 124; - 124 - 124; 10.0.0.0 / 30 - 124; 10.0.0.4 / 30 Az Európai Unió Hivatalos Lapja Az Európai Unió Hivatalos Lapja - 124; 10.0.0.16 / 30 Az Európai Unió Hivatalos Lapja - 124; 10.0.0.24 / 30 Az Európai Unió Hivatalos Lapja Az Európai Unió Hivatalos Lapja Az Európai Unió Hivatalos Lapja - 124; 10.0.0.40 / 30 - 124; 10. 0. 44 / 30 - 124;... 124; (A minta folytatódik) 124
Megjegyzés:/ 31 alháló (RFC 3021) használható a pont-to-point linkekhez is, a címtér megőrzése érdekében.
Mintavételi előnyök
Ha az alhálózat mintái konzisztensek a kockázatitőke-alapok között:
- 124; Mit tudsz? 124; Mit tudsz infer? 124 [...] d.d.d.d.d.d.d.d.d.d.d.d.d.d.d.d.d.d.d.d.d.d.d.d.d.d.d.d.d.d.d.d.d.d.d.d.d.d.d.d.d.d.d.d.d.d.d.d.d.d.d.d.d.d.d.d.d.d.d.d.d.d.d.d.d.d.d.d.d.d.d.d.d.d.d.d.d.d.d.d.d.d.d.d.d.d.d.d.d.d.d.d.d.d.d.d.d.d.d.d.d.d.d.d.d.d.d.d.d.d.d.d.d.d.d.d.d.d.d.d.d.d.d.d.d.d.d.d.@@ A 124; Access- SW- 5 felhasználók a 10.0.36.0 / 24 A 124; A biztonsági kamerák ugyanazon a kapcsolón 10.2.36.0 / 24 A 124 Az Alpha-terület 10.0.0.0 / 13
A mérnökök így:
- Az IP-címek előrejelzése egyeztetés nélkül
- Azonnal fel kell ismerni a rosszul konfigurált alhálókat
- Automatizálási sablonok létrehozása, amelyek a kockázatitőke-alapok között működnek
- Az új személyzet képzése a mintán, nem memorizálás
Webhely mérete sablonok
Kisméretű honlapok sablonja (fiókiroda)
@startuml Small Site Template
skinparam backgroundColor #FEFEFE
title Small Site Template (< 50 users)
nwdiag {
internet [shape = cloud];
network WAN {
color = "#FFE4E1"
description = "ISP/MPLS Circuit"
internet;
UTM [description = "UTM/SD-WAN\nAppliance\n(Router+FW+VPN+WLC)"];
}
network LAN {
address = "10.100.x.0/24"
color = "#98FB98"
description = "Single Subnet"
UTM;
Access [description = "Access Switch\n(or UTM ports)"];
}
network Endpoints {
color = "#F0FFF0"
description = "End Devices"
Access;
AP [description = "WiFi AP"];
Users [description = "Users"];
Phones [description = "Phones"];
}
}
@enduml
Kis telephely tervezési megjegyzések:
- Összecsukott tervezés: Minden funkció minimális hardverben
- Alhálózat: / 24 vagy / 23 helyenként
- Példa: 10.100.0 / 24 (001-es oldal)
Középsite sablon (Regionális Hivatal)
@startuml Medium Site Template
skinparam backgroundColor #FEFEFE
title Medium Site Template (50-500 users)
nwdiag {
internet [shape = cloud];
network WAN_Edge {
color = "#FFE4E1"
description = "Internet Edge"
internet;
ISP_A [description = "ISP-A"];
ISP_B [description = "ISP-B/MPLS"];
Edge_RTR [description = "Edge Router"];
}
network Firewall_Tier {
color = "#FFDAB9"
description = "Firewall HA Pair"
Edge_RTR;
FW_A [description = "FW-A"];
FW_B [description = "FW-B"];
}
network Distribution {
address = "10.50.x.0/21"
color = "#DDA0DD"
description = "MCLAG Distribution\n(Dist/Core Combined)"
FW_A;
FW_B;
Dist_A [description = "Dist-A"];
Dist_B [description = "Dist-B"];
}
network Access_Tier {
color = "#98FB98"
description = "Access Switches (LACP)"
Dist_A;
Dist_B;
Acc1 [description = "Acc1"];
Acc2 [description = "Acc2"];
Acc3 [description = "Acc3"];
Acc4 [description = "Acc4"];
Acc5 [description = "Acc5"];
}
network Users {
color = "#F0FFF0"
description = "End Devices"
Acc1;
Acc2;
Acc3;
Acc4;
Acc5;
Endpoints [description = "Laptops/Phones\nCameras/APs"];
}
}
@enduml
Közepes oldaltervezési megjegyzések:
- Részleges modularitás: Távolsági él és hozzáférési szintek
- Alhálózat: / 21 helyenként (2,046 IP)
- Példa: 10.50.0 / 21 (050-es oldal)
Nagy telek sablon (főhadiszállás / Campus)
@startuml Large Site Template
skinparam backgroundColor #FEFEFE
title Large Site Template (500+ users)
nwdiag {
internet [shape = cloud];
network Internet_Edge {
color = "#FFE4E1"
description = "INTERNET EDGE MODULE"
internet;
ISP_A [description = "ISP-A"];
ISP_B [description = "ISP-B"];
MPLS [description = "MPLS"];
Edge_RTR [description = "Edge-RTR"];
FW_A [description = "FW-A"];
FW_B [description = "FW-B"];
}
network Internal_Edge {
color = "#E6E6FA"
description = "INTERNAL EDGE MODULE"
FW_A;
FW_B;
IntEdge_A [description = "IntEdge-A"];
IntEdge_B [description = "IntEdge-B"];
WLC [description = "WLC"];
Proxy [description = "Proxy"];
VPN [description = "VPN"];
DNS [description = "DNS"];
}
network Core {
color = "#B0E0E6"
description = "CORE MODULE"
IntEdge_A;
IntEdge_B;
Core_A [description = "Core-A"];
Core_B [description = "Core-B"];
}
network Dist_Var1 {
color = "#98FB98"
description = "L3 Adjacent"
Core_A;
Core_B;
Dist_1 [description = "Dist-1"];
Access_1 [description = "Access"];
}
network Dist_Var2 {
color = "#DDA0DD"
description = "MCLAG Trunk"
Core_A;
Core_B;
Dist_2 [description = "Dist-2"];
Access_2 [description = "Access"];
}
network Dist_Var3 {
color = "#FFE4B5"
description = "MCLAG Trunk"
Core_A;
Core_B;
Dist_3 [description = "Dist-3"];
Access_3 [description = "Access"];
}
network Datacenter {
color = "#87CEEB"
description = "SPINE/LEAF DC"
Core_A;
Core_B;
Border [description = "Border-Leaf"];
Spine [description = "Spine"];
Leaf [description = "Leaf"];
Servers [description = "Servers"];
}
}
@enduml
Nagy telek tervezési megjegyzések:
- Teljes modularitás: Minden szint fizikailag elkülönítve
- Alhálózat: / 13 - / 15 helyenként (VRF-szám alapján)
- Példa: 10.0.0.0 / 13 (HQ) - 524,286 IP
VRF és L3 szegmentáció: Előnyök és komplexitás
Az L3 szegmentáció előnyei Sub- interfészekkel
- Biztonsági izoláció: A kockázatitőke-alapok közötti forgalomnak át kell haladnia egy tűzfalon vagy egy politikai eszközön
- Blast Radius Conisation: Kompromittált szegmens nem érheti el közvetlenül más kockázatitőke-alapokat
- Megfelelési határok: PCI, HIPAA vagy OT hálózatok külön útvonalakon
- Forgalomtervezés: Eltérő útvonalpolitika VRF-enként
A Complexity Trade
Ha a szegmenseknek több szinten is ki kell terjedniük, minden L3-as határ a következő konfigurációval bővül:
@startuml Multi-VRF Path Through Tiers
skinparam backgroundColor #FEFEFE
title Multi-VRF Traffic Path: Camera to NVR
nwdiag {
network Camera_Segment {
address = "VLAN 120\n10.2.36.0/24"
color = "#FFDAB9"
description = "VRF: SECURITY"
Camera [description = "Camera"];
Access_SW [description = "Access-SW\nSub-int: 10.2.0.40/30"];
}
network Access_to_Dist {
address = "10.2.0.40/30"
color = "#DDA0DD"
description = "VRF: SECURITY"
Access_SW;
Distribution [description = "Distribution\nSub-int: 10.2.0.24/30"];
}
network Dist_to_Core {
address = "10.2.0.24/30"
color = "#B0E0E6"
description = "VRF: SECURITY"
Distribution;
Core [description = "Core\nSub-int: 10.2.0.8/30"];
}
network Core_to_IntEdge {
address = "10.2.0.8/30"
color = "#E6E6FA"
description = "VRF: SECURITY"
Core;
Internal_Edge [description = "Internal-Edge\nSub-int: 10.2.0.0/30"];
}
network IntEdge_to_FW {
address = "10.2.0.0/30"
color = "#FFE4E1"
description = "VRF: SECURITY"
Internal_Edge;
Firewall [description = "Firewall\nInter-VRF Policy"];
}
network DC_Path {
address = "VXLAN/EVPN"
color = "#87CEEB"
description = "Datacenter Fabric"
Firewall;
Border_Leaf [description = "Border-Leaf"];
Spine [description = "Spine"];
Leaf [description = "Leaf"];
NVR [description = "NVR"];
}
}
@enduml
Beállítások:
- 5 részinterfész VRF-enként menetvonalanként
- 4 VRF × 5 alpont = 20 alinterfész kapcsolónként
- Az egyes VRF-ben található protokollcsatlakozások átállítása
- Route- szivárgás vagy tűzfal szabályok az inter- VRF forgalomra
Minősítési stratégiák
- Határérték VRF-szám: Csak a tényleges elkülönítési követelmények céljára létrehozott kockázatitőke-alapok
- Inter- VRF útvonal központosítása: Egyetlen tűzfal-politikai pont vs
- VXLAN / EVPN használata: Overlay csökkenti a fizikai részinterfész permetezés
- Automatikus ellátás: A sablonok biztosítják a konzisztens konfigurációt
- A minta dokumentálása: Amint megtanultuk, a minták gyorsabbak, mint a felpillantás
Összefoglaló: Mérhető hálózati minta építése
A moduláris hálózati tervezés célja aismételhető mintaamely lehetővé teszi:
- 124; 124; Sites - 124; Pattern - 124 - 124; - 124; - - 124; - - 124 Az UTM + egykapcsolókészüléke, / 24 telephelyenként - 124; Közepes - 124; 1000 + - 124; Edge + MCLAG disztribúció + hozzáférés, / 21 / helyszín - 124 a 124; nagyméretű 124; 100 + 124; teljes moduláris (Edge, Internal Edge, Core, Distribution variánsok, DC szövet), / 13- / 15 telephelyenként
Kulcsfogók
- A modulok határokat hoznak létre: Minden modul egy meghatározott cél és interfész
- Minták lehetővé teszi a skála: Ugyanaz a tervezés minden helyszínen csökkenti a képzést és a hibákat
- A kockázatitőke-alapok biztosítják az elkülönítést: De a konfiguráció összetettsége minden szinten
- Alhálózati tervrajzok: A jósolható címzés csökkenti a kognitív terhelést
- Az eloszlás a szükségesség függvényében változik: L3 szomszédos, MCLAG / LACP, vagy gerinc / levél
- Az oldal jobb mérete: Ne mérje túl a kis oldalak
E minták meghatározásával és következetes alkalmazásával a szervezetek olyan hálózatokat építhetnek, amelyek egyetlen fiókirodától egy globális vállalkozásig terjednek - mindezt a működési egyszerűség és a biztonság fenntartása mellett.
Article version 2.0 Wonder124; Published 2026- 02- 02 Wonder124; Updated with PlantUML nwdiag diagramok