Modular Network Design: A Scalable Architecture Framework
Modulių tinklo dizainas: skaitinė architektūros sistema
Modulių tinklo kūrimo įžanga
Tinklų modulumas - tai tinklų kaip tarpusavyje susijusių, kryptingų, o ne monolitinių struktūrų kūrimas. Kiekvienas modulis atlieka tam tikrą funkciją, turi nustatytas ribas ir per gerai suprantamas sąsajas jungia su gretimais moduliais. Šis metodas paverčia tinklo dizainą iš meno į pakartojamą inžinerinę discipliną.
Moduliarumo galia slypi jos gebėjimas sukurtiprognozuojami modeliaitai gali būti nuosekliai taikoma visoje organizacijos infrastruktūros pėdsakas - ar tai apima dešimtis tūkstančių mažų vietų, tūkstančiai vidutinio dydžio vietų, ar šimtai didelių įmonių miestelių.
Kodėl su moduliais susiję klausimai
Nauda per visas tinklo skales
• • • • • • • ♦ 124; ------------------------------------------------------------------------------------------------------------------------------------------------------ ---------------------- -------------- ---------- ---------- 124Supaprastintas klaidų šalinimas® 124; vienas inžinierius gali suprasti visą topologiją, ® 124; komandos gali specializuotis pagal modulį Bendrijoje 124Numanoma skalė® 124; Pridėti modulius, jei reikia, ® 124; Klonas įrodyta modelius Bendrijoje 124; plėstis be perprojektuoti ® 124 124Nuoseklus saugumas124; ta pati politika visur 124; vienoda atitikties pozicija ne124; audituojamos ribos ne124 124Našumas® 124; Diegimas pagal darbo laiką − 124; Automatinis atidėjimas − 124; standartizuotas pokyčių valdymas − 124 124Sąnaudų kontrolėarba 124; kiekvieno modulio svarmens dydis - 124; pirkinių kiekis - pagal modulio tipą - 124; gyvavimo ciklo valdymas - pagal pakopą - 124
Mažinimo iššūkis
Organizacijos retai išlieka statiškos. Modulyje turi būti:
- 10 000 + mažų vietų: Filialai, mažmeninės prekybos vietos, nuotoliniai įrenginiai
- 1000 + vidutinių vietų: regioniniai biurai, platinimo centrai, gamybos įmonės
- 100 + didelių vietų: būstinė, duomenų centrai, pagrindiniai miesteliai
Nr moduliariškumas, kiekviena svetainė tampa unikalus snaigės, kurios reikia užsakymą dokumentacija, specializuotas mokymas, ir vieno-off gedimų šalinimo. Moduliarumas, inžinierius, kuris supranta modelį, gali efektyviai dirbti bet kurioje vietoje.
Pagrindinio tinklo moduliai
1 modulis: Interneto Edge segmentas
Interneto Edge yra, kur jūsų organizacija susitinka su išoriniu pasauliu. Modulį sudaro:
- WAN / interneto grandinės(MPLS, DIA, plačiajuostis ryšys, LTE / 5G)
- Briaunos maršrutizatoriai(BGP peering, WAN nutraukimas)
- Ugniasienės(patikimas patikrinimas, NAT, VPN nutraukimas)
- VLAN segmentacijafunkcinio atskyrimo
@startuml Internet Edge Module
!define ICONURL https://raw.githubusercontent.com/Roemer/plantuml-office/master/office2014
skinparam backgroundColor #FEFEFE
skinparam handwritten false
nwdiag {
internet [shape = cloud, description = "Internet"];
network ISP_Transit {
address = "VLAN 10-12"
color = "#FFE4E1"
description = "ISP/MPLS Transit"
internet;
ISP_A [description = "ISP-A\nCircuit"];
ISP_B [description = "ISP-B\nCircuit"];
MPLS [description = "MPLS\nCircuit"];
}
network Edge_Router_Segment {
address = "VLAN 10,11,12"
color = "#E6E6FA"
description = "Edge Router Aggregation"
ISP_A;
ISP_B;
MPLS;
Edge_Router [description = "Edge Router\n(BGP Peering)"];
}
network FW_Outside {
address = "VLAN 100"
color = "#FFFACD"
description = "Firewall Outside"
Edge_Router;
FW_Primary [description = "Firewall\nPrimary"];
FW_Secondary [description = "Firewall\nSecondary"];
}
network FW_HA_Sync {
address = "VLAN 101"
color = "#F0FFF0"
description = "HA Sync Link"
FW_Primary;
FW_Secondary;
}
network FW_Inside {
address = "VLAN 102"
color = "#E0FFFF"
description = "To Internal Edge"
FW_Primary;
FW_Secondary;
}
}
@enduml
Pagrindiniai projektavimo principai:
- Rezervinės grandinės iš įvairių tiekėjų
- Ugniasienės didelio prieinamumo poros
- VLAN ribos tarp patikimumo zonų
- L3 point-to-point maršrutizatoriaus ir ugniasienės jungtys
2 modulis: Vidinis kraštas (DMZ) pakopa
Vidutinių ir didelių vietų atveju vidaus Edge pateikiamas paslaugų, kurioms reikia kontroliuojamos apšvitos arba kurios yra perėjimo iš vienos apsaugos zonos į kitą, agregavimo sluoksnis.
@startuml Internal Edge Module
skinparam backgroundColor #FEFEFE
nwdiag {
network From_Internet_Edge {
address = "VLAN 102"
color = "#E0FFFF"
description = "From Firewall Inside"
IntEdge_A [description = "Internal Edge\nSwitch A"];
IntEdge_B [description = "Internal Edge\nSwitch B"];
}
network MCLAG_Peer {
address = "Peer-Link"
color = "#DDA0DD"
description = "MCLAG/vPC Peer"
IntEdge_A;
IntEdge_B;
}
network WLC_Mgmt {
address = "VLAN 200 - 10.x.200.0/24"
color = "#FFE4B5"
description = "WLC Management"
IntEdge_A;
IntEdge_B;
WLC [description = "Wireless LAN\nController"];
}
network Proxy_Farm {
address = "VLAN 201 - 10.x.201.0/24"
color = "#FFDAB9"
description = "Proxy Services"
IntEdge_A;
IntEdge_B;
Proxy [description = "Web Proxy\nServers"];
}
network VPN_Services {
address = "VLAN 202 - 10.x.202.0/24"
color = "#E6E6FA"
description = "VPN Termination"
IntEdge_A;
IntEdge_B;
VPN [description = "VPN\nConcentrator"];
}
network Infrastructure {
address = "VLAN 204 - 10.x.204.0/24"
color = "#F0FFF0"
description = "Infrastructure Services"
IntEdge_A;
IntEdge_B;
DNS_DHCP [description = "DNS/DHCP\nServers"];
}
network To_Core {
address = "VLAN 205"
color = "#B0E0E6"
description = "Core Transit"
IntEdge_A;
IntEdge_B;
}
}
@enduml
Paslaugos paprastai vidiniame pakraštyje:
- Belaidžiai LAN valdikliai (WLC)
- Interneto proxy ir turinio filtrai
- VPN koncentratoriai
- DNS / DHCP infrastruktūra
- Krautuvai
- Šokinėti šeimininkus / bastiono serverius
Modulis 3: pagrindinis sluoksnis
Pagrindinis yra greitaeigis pagrindas, kuris jungia visus kitus modulius. Jį reikėtų optimizuoti:
- Didžiausias pralaidumas
- Mažiausias delsa
- Aukštas prieinamumas
- Paprastas, greitas siuntimas
@startuml Core Module
skinparam backgroundColor #FEFEFE
nwdiag {
network From_Internal_Edge {
address = "L3 Routed"
color = "#B0E0E6"
description = "From Internal Edge"
Core_A [description = "Core Switch A\n100G Backbone"];
Core_B [description = "Core Switch B\n100G Backbone"];
}
network Core_Interconnect {
address = "100G+ ISL"
color = "#FFB6C1"
description = "High-Speed Interconnect\nOSPF/IS-IS/BGP"
Core_A;
Core_B;
}
network To_Distribution_1 {
address = "L3 P2P"
color = "#98FB98"
description = "Building A"
Core_A;
Core_B;
Dist_1 [description = "Distribution 1\n(L3 Adjacent)"];
}
network To_Distribution_2 {
address = "L3 P2P"
color = "#DDA0DD"
description = "Building B"
Core_A;
Core_B;
Dist_2 [description = "Distribution 2\n(MCLAG)"];
}
network To_Distribution_3 {
address = "L3 P2P"
color = "#FFDAB9"
description = "Building C"
Core_A;
Core_B;
Dist_3 [description = "Distribution 3\n(MCLAG)"];
}
network To_DC_Border {
address = "L3 Routed"
color = "#87CEEB"
description = "Datacenter"
Core_A;
Core_B;
Border_Leaf [description = "Border Leaf\n(DC Fabric)"];
}
}
@enduml
Pagrindiniai projektavimo principai:
- Nėra tiesiogiai prijungtų prietaisų
- L3 maršrutizavimas tarp pagrindinio jungiklio (be spygliuočių medžių)
- Kvadratinis daugiapilotis kelias (ECMP) apkrovai paskirstyti
- Greitos konvergencijos protokolai
4 modulis: platinimo sluoksnis
Platinimo sluoksnis sujungia prieigos jungiklius ir užtikrina politiką. Čia tinklo projektavimo pasirinkimas labiausiai skiriasi, atsižvelgiant į vietos reikalavimus.
Pasiskirstymo pakopos pokyčiai
1 variantas: L3 adapteris (Routed Access)
III PRIEDASL3 gretimas- kiekvienas prieigos jungiklis turi savo IP potinklą ir maršrutus tiesiai į skirstymą.
@startuml Distribution Variation 1 - L3 Adjacent
skinparam backgroundColor #FEFEFE
nwdiag {
network From_Core {
address = "L3 ECMP"
color = "#B0E0E6"
description = "From Core Layer"
Dist_A [description = "Distribution A\n(L3 Router)"];
Dist_B [description = "Distribution B\n(L3 Router)"];
}
network Dist_iBGP {
address = "iBGP Peering"
color = "#DDA0DD"
description = "ECMP/iBGP"
Dist_A;
Dist_B;
}
network P2P_Access_1 {
address = "10.x.2.0/30"
color = "#98FB98"
description = "L3 Point-to-Point"
Dist_A;
Dist_B;
Access_1 [description = "Access SW-1\n(L3 Gateway)"];
}
network P2P_Access_2 {
address = "10.x.2.8/30"
color = "#FFE4B5"
description = "L3 Point-to-Point"
Dist_A;
Dist_B;
Access_2 [description = "Access SW-2\n(L3 Gateway)"];
}
network P2P_Access_3 {
address = "10.x.2.16/30"
color = "#FFDAB9"
description = "L3 Point-to-Point"
Dist_A;
Dist_B;
Access_3 [description = "Access SW-3\n(L3 Gateway)"];
}
network User_VLAN_1 {
address = "10.x.32.0/24"
color = "#F0FFF0"
description = "Users - SW1"
Access_1;
Laptop_1 [description = "Laptops"];
Phone_1 [description = "Phones"];
}
network User_VLAN_2 {
address = "10.x.33.0/24"
color = "#FFF0F5"
description = "Users - SW2"
Access_2;
Laptop_2 [description = "Laptops"];
Camera_2 [description = "Cameras"];
}
network User_VLAN_3 {
address = "10.x.34.0/24"
color = "#F5FFFA"
description = "Users - SW3"
Access_3;
Laptop_3 [description = "Workstations"];
Camera_3 [description = "Cameras"];
}
}
@enduml
Subneto paskirstymo pavyzdys:
Bendrijoje - 124 ♦ 124; ---------------- 124 (1, 0 / 30, 10 x 1, 4 / 30) (1) (1) • • • • • • • • • • • • • • • • • •
Nauda:
- Transliuojamo domeno izoliacija per kiekvieną prieigos jungiklį
- Supaprastintas problemų šalinimas (subtinklui priskiriami klausimai)
- Nr pjovimo medis tarp paskirstymo ir prieigos
- Santrauka galima pasiskirstymo sluoksnyje
Požiūris:
- L3- pajėgūs jungikliai
- DHCP relės konfigūracija kiekviename prieigos komutatoriuje
- Sudėtingesnis IP adresų valdymas
2 variantas: MCLAG su LACP trunkais
III PRIEDASDaugiaašių važiuoklės sąsajų agregacija (MCLAG)paskirstymo metuLAKR obligacijosprieigos jungiklius su apgadintas VLAN.
Vendoro terminologija: Cisco ragina šį VPC (Virtualus Port Channel), Arista naudoja MLAG, Juniper naudoja MC- VVG, ir HPE / Aruba naudoja VSX. Funkcinis elgesys yra panašus tarp pardavėjų.
@startuml Distribution Variation 2 - MCLAG
skinparam backgroundColor #FEFEFE
nwdiag {
network From_Core {
address = "L3 Routed Uplinks"
color = "#B0E0E6"
description = "From Core Layer"
Dist_A [description = "Distribution A\n(MCLAG Member)"];
Dist_B [description = "Distribution B\n(MCLAG Member)"];
}
network MCLAG_Peer_Link {
address = "Peer-Link"
color = "#FFB6C1"
description = "MCLAG/vPC Peer-Link"
Dist_A;
Dist_B;
}
network LACP_To_Access {
address = "Po1 - LACP Trunk"
color = "#DDA0DD"
description = "VLANs 100,110,120 Trunked"
Dist_A;
Dist_B;
Access_1 [description = "Access SW-1\n(L2 Switch)"];
}
network Data_VLAN {
address = "VLAN 100 - 10.x.32.0/24"
color = "#98FB98"
description = "Data VLAN"
Access_1;
Laptops [description = "Laptops\nWorkstations"];
}
network Voice_VLAN {
address = "VLAN 110 - 10.x.64.0/24"
color = "#FFE4B5"
description = "Voice VLAN"
Access_1;
Phones [description = "IP Phones"];
}
network Security_VLAN {
address = "VLAN 120 - 10.x.96.0/24"
color = "#FFDAB9"
description = "Security VLAN"
Access_1;
Cameras [description = "Cameras\nBadge Readers"];
}
}
@enduml
SMI vieta (VRP VIP platinimo porai):
- VLAN 100: 10.x.32.1 / 24
- VLAN 110: 10.x.64.1 / 24
- VLAN 120: 10.x.96.1 / 24
VLAN Trunk konfigūravimas:
arba 124; Port-Channel, 124; VLAN, 124; paskirties vieta ♦ 124; -------------------------------------- 121; ------- 121; ----------------------- 122 Bendrijoje: Bendrijoje: Bendrijoje: ® 124; Native VLAN ® 124; 999 (nenaudota)
MCLAG nauda:
- Aktyvus ekspedijavimas (abu aukštynkrypčiai panaudoti)
- Antrajam nepakankamumui
- NAME OF TRANSLATORS
- NAME OF TRANSLATORS
Požiūris:
- VLAN maršrutizatoriai (didesni transliavimo domenai)
- MCLAG peer-link gali tapti kliūtimi
- STP, kuris vis dar reikalingas kaip atsarginės kilpos apsaugos priemonės
3 dispersija: tarpinis lapas, skirtas špinato (kanalo) duomenims įvesti
Datacenter aplinkoje, paskirstymo sluoksnis tampaSienų lakasstuburo ir (arba) lapų audinio prijungimas prie likusios įmonės tinklo dalies.
@startuml Distribution Variation 3 - Border Leaf Datacenter
skinparam backgroundColor #FEFEFE
nwdiag {
network Enterprise_Core {
address = "L3 Routed (eBGP/OSPF)"
color = "#B0E0E6"
description = "From Enterprise Core"
Border_A [description = "Border Leaf A\nVXLAN Gateway"];
Border_B [description = "Border Leaf B\nVXLAN Gateway"];
}
network Border_EVPN {
address = "VXLAN EVPN"
color = "#DDA0DD"
description = "EVPN Type-5 Routes"
Border_A;
Border_B;
Spine_1 [description = "Spine 1"];
Spine_2 [description = "Spine 2"];
}
network Spine_Fabric {
address = "eBGP Underlay"
color = "#FFB6C1"
description = "Spine Layer"
Spine_1;
Spine_2;
}
network Leaf_Tier_1 {
address = "VTEP"
color = "#98FB98"
description = "Compute Rack 1"
Spine_1;
Spine_2;
Leaf_1 [description = "Leaf 1"];
Leaf_2 [description = "Leaf 2"];
}
network Leaf_Tier_2 {
address = "VTEP"
color = "#FFE4B5"
description = "Storage/Services"
Spine_1;
Spine_2;
Leaf_3 [description = "Leaf 3"];
Leaf_4 [description = "Leaf 4"];
}
network Server_Rack_1 {
address = "VNI 10001"
color = "#F0FFF0"
description = "Compute Servers"
Leaf_1;
Leaf_2;
Servers_1 [description = "Rack Servers\nVMs/Containers"];
}
network Storage_Network {
address = "VNI 10002"
color = "#FFDAB9"
description = "Storage Arrays"
Leaf_3;
Storage [description = "SAN/NAS\nStorage"];
}
network Voice_Services {
address = "VNI 10003"
color = "#E6E6FA"
description = "UC Systems"
Leaf_4;
PBX [description = "PBX/UC\nSystems"];
}
}
@enduml
Datacenter Fabric Details:
Bendrijoje - 124; komponentui - 124 ♦ 124; ----------- ----------- 124Nulinis124; eBGP (ASN už jungiklį) arba OSPF 124. 124Viršijimas"VXLAN" 124; VXLAN su EVPN valdymo plokštuma 124 124Sienų lakas124; VXLAN- to- VLAN vartai, išoriniai maršrutai, Inter- VRF maršrutizavimas 124Leaf Worklows® 124; skaičiuoklė, saugojimas, balsas / UC, infrastruktūra ® 124
Nauda:
- Masyvi horizontali skalė (jei reikia, pridėti lapų porų)
- Blokuojančio audinio architektūra
- Daugiafunkciškumas per VRF / VNI
- Optimalūs rytų - vakarų eismo modeliai
Požiūris:
- VXLAN / EVPN operacinis sudėtingumas
- Specializuoti įgūdžiai
- Didesnės įrangos sąnaudos
5 modulis: Prieigos sluoksnis
Prieigos sluoksnis - tai galinių įrenginių sujungimo vieta. prieigos jungikliai, nepriklausomai nuo paskirstymo topologijos, suteikia:
@startuml Access Layer Module
skinparam backgroundColor #FEFEFE
nwdiag {
network Distribution_Uplink {
address = "L3 or LACP Trunk"
color = "#B0E0E6"
description = "Uplinks to Distribution"
Access_SW [description = "48-Port Access Switch\nPoE+ Capable"];
}
network Data_VLAN {
address = "VLAN 100 - Ports 1-8, 25-32"
color = "#98FB98"
description = "Data VLAN"
Access_SW;
Laptops [description = "Laptops\nWorkstations"];
}
network Voice_VLAN {
address = "VLAN 110 - Ports 9-16"
color = "#FFE4B5"
description = "Voice VLAN"
Access_SW;
Phones [description = "IP Phones"];
}
network Camera_VLAN {
address = "VLAN 120 - Ports 17-24"
color = "#FFDAB9"
description = "Security VLAN"
Access_SW;
Cameras [description = "IP Cameras"];
}
network Wireless_VLAN {
address = "VLAN 130 - Ports 33-40"
color = "#DDA0DD"
description = "Wireless AP VLAN"
Access_SW;
APs [description = "Wireless APs"];
}
network Mgmt_VLAN {
address = "VLAN 999 - Ports 41-44"
color = "#F0FFF0"
description = "Management VLAN"
Access_SW;
}
}
@enduml
Prieigos lygmens saugumo funkcijos:
- 802.1X / MAB autentiškumo nustatymas
- Dinaminis VLAN priskyrimas
- Uosto apsauga
- DHCP snooping
- Dinaminė ARP patikra
- IP šaltinio apsauga
Full Modular Topologija
Štai kaip visi moduliai prisijungia prie viso įmonių tinklo:
@startuml Complete Modular Network Topology
skinparam backgroundColor #FEFEFE
title Complete Enterprise Modular Network
nwdiag {
internet [shape = cloud, description = "Internet/WAN"];
network Internet_Edge {
address = "Module 1"
color = "#FFE4E1"
description = "INTERNET EDGE MODULE"
internet;
ISP_A [description = "ISP-A"];
ISP_B [description = "ISP-B"];
MPLS [description = "MPLS"];
Edge_RTR [description = "Edge Router"];
FW_A [description = "FW-A"];
FW_B [description = "FW-B"];
}
network Internal_Edge {
address = "Module 2"
color = "#E6E6FA"
description = "INTERNAL EDGE / DMZ MODULE"
FW_A;
FW_B;
IntEdge_A [description = "IntEdge-A"];
IntEdge_B [description = "IntEdge-B"];
WLC [description = "WLC"];
Proxy [description = "Proxy"];
VPN [description = "VPN"];
DNS [description = "DNS/DHCP"];
}
network Core {
address = "Module 3"
color = "#B0E0E6"
description = "CORE MODULE"
IntEdge_A;
IntEdge_B;
Core_A [description = "Core-A"];
Core_B [description = "Core-B"];
}
network Distribution_L3 {
address = "Variation 1"
color = "#98FB98"
description = "DIST - L3 Adjacent\n(Building A)"
Core_A;
Core_B;
Dist_1A [description = "Dist-1A"];
Dist_1B [description = "Dist-1B"];
Access_L3 [description = "Access\n(L3)"];
}
network Distribution_MCLAG {
address = "Variation 2"
color = "#DDA0DD"
description = "DIST - MCLAG\n(Building B)"
Core_A;
Core_B;
Dist_2A [description = "Dist-2A"];
Dist_2B [description = "Dist-2B"];
Access_L2 [description = "Access\n(L2)"];
}
network Datacenter {
address = "Variation 3"
color = "#FFE4B5"
description = "DATACENTER\n(Spine/Leaf)"
Core_A;
Core_B;
Border_Leaf [description = "Border\nLeaf"];
Spine [description = "Spine"];
Leaf [description = "Leaf"];
Servers [description = "Servers\nStorage\nPBX"];
}
network Campus_Users {
address = "End Devices"
color = "#F0FFF0"
description = "Campus Users"
Access_L3;
Access_L2;
Users [description = "Laptops\nPhones\nCameras"];
}
}
@enduml
IP adresavimo strategija su VRF izoliacija
Multi-Segment iššūkis, Multi-VRF dizainas
Kai tinklai auga, kad apimtų kelias apsaugos zonas, verslo vienetus arba atitikties ribas,VRF (Virtualus maršrutizavimas ir siuntimas)nustato maršruto lentelės izoliaciją. VRF išplėtimas taikant įvairias pakopas padidina sudėtingumą:
- Kiekvienam L3 upui reikalingas tranzitinis potinklas
- Sub- sąsajos daugina konfigūracijos sudėtingumą
- Kliūčių šalinimas apima keletą maršrutų lentelių
- Dokumentacija turi sekti VRF narystę kiekvieno lygio
Subneto schemos strategija
Gerai sukurta potinklio schema leidžia atpažįstamus modelius, sumažindama pažintinę apkrovą ir konfigūracijos klaidas.
Pavyzdys: didelė gamybos vieta (10.0.0 / 13)
Teritorijos paskirstymas:10.0.0 / 13 (Alfa gamybos vieta) - 524,286 tinkami naudoti šeimininkai
@startuml VRF Subnet Schema
skinparam backgroundColor #FEFEFE
title Large Site VRF Allocation Schema (10.0.0.0/13)
nwdiag {
network Corporate_VRF {
address = "VRF: CORPORATE\n10.0.0.0/17"
color = "#98FB98"
description = "Production Users"
Corp_Transit [description = "Transit\n10.0.0.0/23"];
Corp_Users [description = "Users\n10.0.32.0/19"];
Corp_Voice [description = "Voice\n10.0.64.0/19"];
Corp_Wireless [description = "Wireless\n10.0.96.0/19"];
Corp_Server [description = "Servers\n10.0.112.0/20"];
}
network Guest_VRF {
address = "VRF: GUEST\n10.1.0.0/17"
color = "#FFE4B5"
description = "Visitor Network"
Guest_Transit [description = "Transit\n10.1.0.0/23"];
Guest_Users [description = "Users\n10.1.32.0/19"];
}
network Security_VRF {
address = "VRF: SECURITY\n10.2.0.0/17"
color = "#FFDAB9"
description = "Physical Security"
Sec_Transit [description = "Transit\n10.2.0.0/23"];
Sec_Camera [description = "Cameras\n10.2.32.0/19"];
Sec_Badge [description = "Badge Readers\n10.2.64.0/19"];
Sec_NVR [description = "NVR/VMS\n10.2.96.0/20"];
}
network IOT_VRF {
address = "VRF: IOT\n10.3.0.0/17"
color = "#E6E6FA"
description = "Manufacturing OT"
IOT_Transit [description = "Transit\n10.3.0.0/23"];
IOT_PLC [description = "PLCs\n10.3.32.0/19"];
IOT_HMI [description = "HMIs\n10.3.64.0/19"];
IOT_SCADA [description = "SCADA\n10.3.96.0/20"];
}
}
@enduml
Tranzito segmento duomenys (10.0.0 / 23 - 510 naudotini IP):
(1) Bendrijoje: • • • • • • • • • • • • • • • • • • • • • • • • • • • • arba - - - - - - arba - - - - - - arba - - - - - - • 125; 10. 0. 20 / 30 12; Internal- Edge- B → Core- B Ş124 ® 124; 10.0.24 / 30) 124; Core- A → Distribution- A ® 124 ® 124; 10.0.28 / 30 arba ® 124; 10.0.32 / 30) 124; Core- B → Platinimas -A ® 124 Bendrijoje - 124; 10.0.36 / 30 • 124; 10.0.40 / 30) 124; Distribution- A → Acces- SW-1 Bendrijoje 124 Bendrijoje: _ BAR _ 12444 _ BAR _ 100,0.44 _ BAR _ 30 _ BAR _ 124; Distribution-B → Acces- SW-1 _ BAR _ 124; _ BAR _ (Modelis tęsiasi)
Pastaba:(RFC 3021) taip pat galima naudoti point-to-point saitams, adresų erdvės išsaugojimui.
Modelio pripažinimo nauda
MKR SA TDI forma bendros pozicijų sumos lygmeniu
← 124; ką Jūs žinote 124; Ką Jūs galite kūdiknuo 124 ------------------------------- ----------- ----------- ----------- ----------- ----------- ------------------- ← 124; Tranzito Nuoroda įmonių reikmėms 10.0.0.40 / 30 ← 124; Svečių ekvivalentas 10.1.0.40 / 30 ← 124 124; Acces- SW-5 vartotojai yra 10.0.36.0 / 24 ← 124; Apsaugos kameros tuo pačiu komutatoriumi 10.2.36.0 / 24 ← 124 "Site AlphA" yra 10.0.0.0 / 13 "AlphA" 124; "Site Beta" gali būti 10.8.0.0 / 13 "Alfa" 124
Čia inžinieriai gali:
- Nuspėti IP adresus, nepateikus dokumentų
- Nedelsiant atpažinti neteisingai sukonfigūruotus potinklius
- Sukurti automatikos šablonus, veikiančius VRFS
- Traukkite naujus darbuotojus ant modelio, ne atminimas
NAME OF TRANSLATORS
Smulkių svetainių šablonas (Filialas)
@startuml Small Site Template
skinparam backgroundColor #FEFEFE
title Small Site Template (< 50 users)
nwdiag {
internet [shape = cloud];
network WAN {
color = "#FFE4E1"
description = "ISP/MPLS Circuit"
internet;
UTM [description = "UTM/SD-WAN\nAppliance\n(Router+FW+VPN+WLC)"];
}
network LAN {
address = "10.100.x.0/24"
color = "#98FB98"
description = "Single Subnet"
UTM;
Access [description = "Access Switch\n(or UTM ports)"];
}
network Endpoints {
color = "#F0FFF0"
description = "End Devices"
Access;
AP [description = "WiFi AP"];
Users [description = "Users"];
Phones [description = "Phones"];
}
}
@enduml
Mažos svetainės dizaino pastabos:
- Name: visos funkcijos minimaliai aparatūrai
- Subtinklas: / 24 arba / 23 vienoje vietoje
- Pavyzdys: 10.100.1.0 / 24 (Site 001)
Vidutinio dydžio svetainės šablonas (regioninis biuras)
@startuml Medium Site Template
skinparam backgroundColor #FEFEFE
title Medium Site Template (50-500 users)
nwdiag {
internet [shape = cloud];
network WAN_Edge {
color = "#FFE4E1"
description = "Internet Edge"
internet;
ISP_A [description = "ISP-A"];
ISP_B [description = "ISP-B/MPLS"];
Edge_RTR [description = "Edge Router"];
}
network Firewall_Tier {
color = "#FFDAB9"
description = "Firewall HA Pair"
Edge_RTR;
FW_A [description = "FW-A"];
FW_B [description = "FW-B"];
}
network Distribution {
address = "10.50.x.0/21"
color = "#DDA0DD"
description = "MCLAG Distribution\n(Dist/Core Combined)"
FW_A;
FW_B;
Dist_A [description = "Dist-A"];
Dist_B [description = "Dist-B"];
}
network Access_Tier {
color = "#98FB98"
description = "Access Switches (LACP)"
Dist_A;
Dist_B;
Acc1 [description = "Acc1"];
Acc2 [description = "Acc2"];
Acc3 [description = "Acc3"];
Acc4 [description = "Acc4"];
Acc5 [description = "Acc5"];
}
network Users {
color = "#F0FFF0"
description = "End Devices"
Acc1;
Acc2;
Acc3;
Acc4;
Acc5;
Endpoints [description = "Laptops/Phones\nCameras/APs"];
}
}
@enduml
Vidutinio dydžio svetainės dizaino pastabos:
- Dalies moduliavimas: Skiriamosios briaunos ir prieigos pakopos
- Subtinklas: / 21 kiekvienai teritorijai (2 046 IP)
- Pavyzdys: 10.50.0.0 / 21 (Site 050)
@ info: whatsthis
@startuml Large Site Template
skinparam backgroundColor #FEFEFE
title Large Site Template (500+ users)
nwdiag {
internet [shape = cloud];
network Internet_Edge {
color = "#FFE4E1"
description = "INTERNET EDGE MODULE"
internet;
ISP_A [description = "ISP-A"];
ISP_B [description = "ISP-B"];
MPLS [description = "MPLS"];
Edge_RTR [description = "Edge-RTR"];
FW_A [description = "FW-A"];
FW_B [description = "FW-B"];
}
network Internal_Edge {
color = "#E6E6FA"
description = "INTERNAL EDGE MODULE"
FW_A;
FW_B;
IntEdge_A [description = "IntEdge-A"];
IntEdge_B [description = "IntEdge-B"];
WLC [description = "WLC"];
Proxy [description = "Proxy"];
VPN [description = "VPN"];
DNS [description = "DNS"];
}
network Core {
color = "#B0E0E6"
description = "CORE MODULE"
IntEdge_A;
IntEdge_B;
Core_A [description = "Core-A"];
Core_B [description = "Core-B"];
}
network Dist_Var1 {
color = "#98FB98"
description = "L3 Adjacent"
Core_A;
Core_B;
Dist_1 [description = "Dist-1"];
Access_1 [description = "Access"];
}
network Dist_Var2 {
color = "#DDA0DD"
description = "MCLAG Trunk"
Core_A;
Core_B;
Dist_2 [description = "Dist-2"];
Access_2 [description = "Access"];
}
network Dist_Var3 {
color = "#FFE4B5"
description = "MCLAG Trunk"
Core_A;
Core_B;
Dist_3 [description = "Dist-3"];
Access_3 [description = "Access"];
}
network Datacenter {
color = "#87CEEB"
description = "SPINE/LEAF DC"
Core_A;
Core_B;
Border [description = "Border-Leaf"];
Spine [description = "Spine"];
Leaf [description = "Leaf"];
Servers [description = "Servers"];
}
}
@enduml
Didelės teritorijos dizaino pastabos:
- Full Moduliarity: visos pakopos fiziškai atskiros
- Subtinklas: nuo 13 iki 15 (pagal VRF skaičių)
- Pavyzdys: 10.0.0 / 13 (HQ) - 524,286 IP
VRF ir L3 segmentacija: nauda ir sudėtingumas
L3 segmentavimo su posakiais nauda
- Saugumo izoliacija: Eismas tarp VRFS turi kirsti užkardą arba poliso įrenginį
- Šlapimo spindulio izoliavimas: Comadged segmentas negali tiesiogiai pasiekti kitų VRFS
- Atitikties ribos: PCI, HIPAA arba OT tinklai atskirose maršruto srityse
- Eismo inžinerija: skirtingi maršruto politika VRF
Complexity Tradeoff
Brėžinys (-iai)
@startuml Multi-VRF Path Through Tiers
skinparam backgroundColor #FEFEFE
title Multi-VRF Traffic Path: Camera to NVR
nwdiag {
network Camera_Segment {
address = "VLAN 120\n10.2.36.0/24"
color = "#FFDAB9"
description = "VRF: SECURITY"
Camera [description = "Camera"];
Access_SW [description = "Access-SW\nSub-int: 10.2.0.40/30"];
}
network Access_to_Dist {
address = "10.2.0.40/30"
color = "#DDA0DD"
description = "VRF: SECURITY"
Access_SW;
Distribution [description = "Distribution\nSub-int: 10.2.0.24/30"];
}
network Dist_to_Core {
address = "10.2.0.24/30"
color = "#B0E0E6"
description = "VRF: SECURITY"
Distribution;
Core [description = "Core\nSub-int: 10.2.0.8/30"];
}
network Core_to_IntEdge {
address = "10.2.0.8/30"
color = "#E6E6FA"
description = "VRF: SECURITY"
Core;
Internal_Edge [description = "Internal-Edge\nSub-int: 10.2.0.0/30"];
}
network IntEdge_to_FW {
address = "10.2.0.0/30"
color = "#FFE4E1"
description = "VRF: SECURITY"
Internal_Edge;
Firewall [description = "Firewall\nInter-VRF Policy"];
}
network DC_Path {
address = "VXLAN/EVPN"
color = "#87CEEB"
description = "Datacenter Fabric"
Firewall;
Border_Leaf [description = "Border-Leaf"];
Spine [description = "Spine"];
Leaf [description = "Leaf"];
NVR [description = "NVR"];
}
}
@enduml
Konfigūracija:
- 5 subsąsajos VRF maršrutui
- 4 VRFS × 5 taškai = 20 subsąsajų vienam komutatoriui
- @ info: whatsthis
- Maršruto nuotėkio arba užkardos taisyklės tarp- VRF eismui
Klimato kaitos švelninimo strategijos
- VRF kiekio riba: Sukurti VRF tik tikriems izoliavimo reikalavimams
- Centralizuoti inter- VRF maršrutizavimą: Vieno ugniasienės politikos punktas vs platinamas
- VXLAN / EVPN naudojimas: Overlay sumažina fizinės sub- sąsaja eglutė
- Automatinis atidėjimas: Šablonai užtikrinti nuoseklią konfigūraciją
- Dokumentuoti šabloną: Vos tik išmoko, modeliai yra greitesni, nei peržiūrėti
SantraukA: Skaluojamo tinklo modulio kūrimas
Modulių tinklo projektavimo tikslas - sukurtipakartojamas modeliskurios leidžia:
® 124; Mastelis - 124; svetainės - 124; Moternas - 124 ♦ 124; ------- Pirminiai 124; ----------- 124; mažas 124; 10 000 + 124; žlugo UTM + vienas jungiklis, / 24 vienai svetainei ® 124; Medium 124; 1.000124; Edge + MCLAG distribution + access, / 21 kiekvienai teritorijai Iš viso modulių (briaunos, vidinis kraštas, šerdis, platinimo variantai, DC audinio), / 13- / 15 kiekvienai teritorijai
Raktas
- Modulių kūrimo ribos: Kiekvienas modulis turi apibrėžtą paskirtį ir sąsają
- Modelių įgalinti skalę: paties dizaino kiekvienoje svetainėje sumažina mokymo ir klaidų
- VRF užtikrina izoliavimą: bet pridėti konfigūracijos sudėtingumą kiekvienos pakopos
- Subneto schemos: Nuspėjamas adresavimas sumažina pažintinį krūvį
- Pasiskirstymas priklauso nuo poreikio: L3 gretimas, MCLAG / LACP, arba stuburo (lapų)
- Teisės- dydis svetainėje: Negalima per daug inžinierius mažų vietų
Sukurdamos šiuos modelius ir nuosekliai juos taikydamos, organizacijos gali kurti tinklus, apimančius vieną filialą, globalią įmonę - visus kartu išlaikydamos veiklos paprastumą ir saugumo laikyseną.
Article version 2.0 Bendrijoje; Paskelbta 2026- 02- 02 valstybėse narėse 124; Atnaujinta su PlanTUML nwdiag diagramomis