Modular Network Design: A Scalable Architecture Framework

Taip pat turimas šiomis kalbomis:

العربيّة

Azərbaycan dili

Български

Català

Čeština

Dansk

Deutsch

Ελληνικά

English

Esperante

Español

Eesti

Euskara

فارسی

Suomi

Français

Galego

עברית

हिन्दी

Magyarul

Bahasa Indonesia

Italiano

日本語

한국어

norsk

Nederlands

Polski

Português

Русский

Slovenčina

Slovenščina

Shqip

Svenska

ภาษาไทย

Türkçe

Українська

اردو

Tiếng Việt

简体中文

繁體中文

Moduliarinis tinklo dizainavimas: skaluojamas architektūros įranga

Įvadas į moduliarinį tinklo dizainavimą

Tinklo moduliarinumas yra tinklo dizaino praktika, kurioje tinklai yra saugomi kaip susiję, skirti segmentai, o ne monolitinis struktūra. Kinas modulis atlieka konkrečią funkciją, turi apibrėžtas ribas ir prijungia prie kaimynų modulių per gerai supramus sąsajas. Šis požiūris paverčia tinklo dizainavimą iš meno į panaudojamą inžinerijos disciplinę.

Moduliarinumo galingumas slypi jo galimybe sukurti pažįstančius modelius, kuriuos galima tvirtai panaudoti visoje įstaigos infrastruktūros flotėje—neskaičiai tūkstančių mažų vietovių, tūkstančių vidutinių vietovių ar šimtų didelių verslo kampuos.

Kodėl moduliarinumas yra svarbus

Išvesties iš visų tinklo skalės

Išvestis Mažos vietovės Vidutinės vietovės Didelės vietovės
Paprastas išsaugoti problemą Vienas inžinierius gali suprasti visą topologiją Komandos gali specializuotis pagal modulių Aiškūs eskalacijos keliai tarp modulių savininkų
Pažįstančio skalavimas Pildyti modulis, kai reikia Klonuoti išbandytus modelius Ireikti be perprojektavimas
Tvienodas saugus protokolas Ti pati politikos visur Vienojotas atitikties statusis Audituojamos ribos
Operacinė efektyvumas Pavadinimas pagrįstas įdiegimas Automatinis išteklių suteiktuvimas Standartizuotas pokyčių valdymas
Kaštų kontrolė Pagaljungti kiekvieną modulį Masinis pirkimas pagal modulis tipą Gyvenimo ciklo valdymas pagal lygį

Skalavimo iššūkis

Įstaigos retai išlieka statinės. Moduliarini medžiaga turi patikti:

  • Daugiau nei 10 000 mažų vietovių: Šalies filialai, parduotuvių vietovės, nuotolinių įrenginiai
  • Daugiau nei 1 000 vidutinių vietovių: Regioniniai biukai, tiekimas vietovės, gamybos įrenginiai
  • Daugiau nei 100 didelių vietovių: Šiuvalgiai, duomenų centrai, pagrindiniai kampuos

Be moduliarinumo, kiekviena vietovė tampa unikalus kristalas, reikalaujantis pritaikytos dokumentacijos, specializuotos apmokyrimo ir vienkartinio išsaugoti problemą. Su moduliarinumiu, inžinierius, kuris supranta modelį, gali efficacement dirbti bet kokioje vietovėje.

Pagrindiniai tinklo moduliai

Modulis 1: Internet Edge Segmentas

Internet Edge yra vieta, kur jūsų įstaiga susitinka su išorės pasauliu. Šis modulis turime:

  • WAN/Internet jungtys (MPLS, DIA, juosta, LTE/5G)
  • Edge routeriai (BGP peering, WAN terminavimas)
  • Firewallai (būklės apžiūra, NAT, VPN terminavimas)
  • VLAN segmentavimas funkcionalios aíškumo namų
 ISP/MPLS TransitVLAN 10-12Edge Router AgregacijaVLAN 10,11,12Firewall IšorėVLAN 100HA Sink jungtisVLAN 101Į vidinį EdgeVLAN 102InternetISP-ACircuitISP-BCircuitMPLSCircuitEdge Router(BGP Peering)FirewallPagrindinisFirewallAntraštinis

Pagrindiniai dizaino principai: - Redundančių jungčių iš įvairių paslaugų teiktuvų - Firewall pagrindinės pajėgos porai - Aiškios VLAN ribos tarp pasitikėjimo zonų - L3 taškai-yra jungtys tarp routerio ir firewallo

Modulis 2: Internal Edge / DMZ Lygis

Vidutiniams ir dideliems vietovių atvejais, Internal Edge suteikia agregacijos sluoksnį paslaugoms, kurios reikalauja saugizuotų ekspozicijų arba tarnauja kaip pereinamie punktai tarp saugumo zonų.

Iš Firewall IšorėsVLAN 102MCLAG/vPC PartnerisPeer-LinkWLC AdministravimasVLAN 200 - 10.x.200.0/24Proxy PaslaugosVLAN 201 - 10.x.201.0/24VPN TerminavimasVLAN 202 - 10.x.202.0/24Infrastruktūros PaslaugosVLAN 204 - 10.x.204.0/24Į pagrindinį tinkląVLAN 205Internal EdgeJungiklis AInternal EdgeJungiklis BWiFi LANKontrolerisWeb ProxyServeriaiVPNKoncentratoriusDNS/DHCPServeriai

Paslaugos, paprastai esančios į Internal Edge: - Wireless LAN Kontroleriai (WLC) - Web proxy ir turinio filtratoriai - VPN koncentratoriai - DNS/DHCP infrastruktūra - Svorciaus balanceriai - Plyškų serveriai / bastion serveriai

Modulis 3: Core Sluoksnis

Core yra greičio pagrindinis sluoksnis, kuris prijungia visas kitus modulius. Jis turi būti optimizuotas pagal: - Maksimalį pertekimą - Minimalią laimą - Didelę prieinamumą - Papilų, greitą pertekimą

Iš Internal EdgeL3 RoutedGreitas prijungimasOSPF/IS-IS/BGP100G+ ISLStatyba AL3 P2PStatyba BL3 P2PStatyba CL3 P2PDuomenų centrasL3 RoutedCore Jungiklis A100G Pagrindinė linijaCore Jungiklis B100G Pagrindinė linijaDidelė jungtis 1(L3 kaimynas)Didelė jungtis 2(MCLAG)Didelė jungtis 3(MCLAG)Border Leaf(DC Pagrindinė linija)

Pagrindiniai Core dizaino principai: - Jokiom tiesiogiai prijungtum end-user įrenginiais - L3 maršrutizavimas tarp core jungiklių (ne pagrindinė medžio struktūra) - Equal-cost multipath (ECMP) kraštų padalijimui - Greitos konvergencijos protokolių

Modulis 4: Distribution Sluoksnis

Distribution sluoksnis agreguoja Access jungiklius ir įgauna politikas. Tai yra vieta, kur tinklo dizaino pasirinkimai turi daugiausiai įvairovės priklausomai nuo vietovės reikalavimų.

Distribution sluoksnio įvairovės

Variacija 1: L3 Kaimynas (Maršrutizuojamas Access)

Šiame dizaine distribution ir access sluoksniai yra L3 kaimynūs—kiekvienas access jungiklis turi savo IP podti ir tiesiogiai maršrutizuoja į distribution.

Iš Core sluoksnioL3 ECMPECMP/iBGPiBGP PeeringL3 Taškai-yra10.x.2.0/30L3 Taškai-yra10.x.2.8/30L3 Taškai-yra10.x.2.16/30Vaivyjai - SW110.x.32.0/24Vaivyjai - SW210.x.33.0/24Vaivyjai - SW310.x.34.0/24Distribution A(L3 Routeris)Distribution B(L3 Routeris)Access SW-1(L3 Gateway)Access SW-2(L3 Gateway)Access SW-3(L3 Gateway)Nešiojami kompiuteriaiTelefonaiNešiojami kompiuteriaiKamerosDarba stalaiKameros

Pasidalijuvimo skiltių paskirstymas:

Jungtis Subnetas
Distribution į Core 10.x.1.0/30, 10.x.1.4/30
Dist-A į Access-1 10.x.2.0/30
Dist-B į Access-1 10.x.2.4/30
Access-1 User VLAN 10.x.32.0/24
Access-2 User VLAN 10.x.33.0/24
Access-3 User VLAN 10.x.34.0/24

Išvestys: - Broadkastu domenų aíškumas kiekviename access jungikliuje - Paprastas išsaugoti problemą (problemos yra saugodos iki podti) - Ne reikia pagrindinės medžio struktūros tarp distribution ir access - Sumėgimas įmanomas Distribution sluoksnioje

Svarūs dalykai: - Reikalauja L3 papildomos jungiklių - DHCP relay konfigūracija kiekviename access jungikliuje - Sudėgingesnis IP adresų valdymo procesas

Variacija 2: MCLAG su LACP Trunk Jungtis

Šis dizainas naudoja Multi-Chassis Link Aggregation (MCLAG) Distribution sluoksnioje su LACP jungtimis į access jungiklius, nešiančius trunked VLAN.

Gamintojo terminologija: Cisco tai vadina vPC (Virtual Port Channel), Arista naudoja MLAG, Juniper naudoja MC-LAG, o HPE/Aruba naudoja VSX. Funkcinė elgesys panašus tarp gamintojų.

Iš Core sluoksnioL3 Routed UplinksMCLAG/vPC Partneris-JungtisPeer-LinkVLANs 100,110,120 TrunkedPo1 - LACP TrunkData VLANVLAN 100 - 10.x.32.0/24Galingo plėšio VLANVLAN 110 - 10.x.64.0/24Saugumo VLANVLAN 120 - 10.x.96.0/24Distribution A(MCLAG Sarys)Distribution B(MCLAG Sarys)Access SW-1(L2 Jungiklis)Nešiojami kompiuteriaiDarba stalaiIP TelefonaiKamerosĮznakų skaitykliai

SVI įdėgavimas (VRRP VIP ant Distribution porų): - VLAN 100: 10.x.32.1/24 - VLAN 110: 10.x.64.1/24 - VLAN 120: 10.x.96.1/24

VLAN Trunk konfigūracija:

Port-Channel VLANai Kaunas
Po1 (MCLAG) 100,110,120 Access-1
Po2 (MCLAG) 100,110,120,130 Access-2
Po3 (MCLAG) 100,110 Access-3
Native VLAN 999 (naudojamas)

MCLAG išvestys: - Aktyvus-aktyvus pertekimas (naudojami abiejų uplinkai) - Antrasiai sekantis failover - Vienas loginis jungiklis iš access perspektivos - Ne blokuojama pagrindinė medžio struktūra

Svarūs dalykai: - VLANs apima kelis access jungiklius (didesni broadkastu domenai) - MCLAG partnerio jungtis gali tapti darbo tikslu - STP vis tiek reikalingas kaip likimas užtikrinimas prieš ciklus

Variacija 3: Border Leaf duomenų centro Spine/Leaf

Duomenų centro aplinkotinis sluoksnis tampa Border Leaf prijungiant pagrindinę spine/leaf pagrindinę liniją prie išsisiunčiančio verslo tinklo.

Iš Verslo pagrindinės linijosL3 Routed (eBGP/OSPF)EVPN Type-5 MaršrutaiVXLAN EVPNSpine sluoksniseBGP UnderlayKompiuterio stalas 1VTEPSaugumo/PaslaugųVTEPKompiuteriniai serveriaiVNI 10001Saugos namučiaiVNI 10002UC SistemosVNI 10003Border Leaf AVXLAN GatewayBorder Leaf BVXLAN GatewaySpine 1Spine 2Leaf 1Leaf 2Leaf 3Leaf 4Stalies serveriaiVMs/KontejneriaiSAN/NASSaugosPBX/UCSistemos

Duomenų centro pagrindinės linijos išvestys:

Komponentas Funkcija
Underlay eBGP (ASN per Jungiklį) arba OSPF
Overlay VXLAN su EVPN valdymo lygčiu
Border Leaf VXLAN-yra įvorų gateway, Išoriniai maršrutai, Tarp-VRF maršrutizavimas
Leaf Workloads Kompiuterija, Saugos, Galingo plėšio/UC, Infrastruktūra

Išvestys: - Didelis horizontalus skalavimas (pridėti leaf poras, kai reikia) - Neblokuojanti pagrindinė linija architektūra - Multi-tenancy per VRF/VNI - Optimalūs užtikrinimo-yra kelio protokoliai

Svarūs dalykai: - Grandinė VXLAN/EVPN operacinė sudėtingumas - Reikalaujama specializuotos įgūdžiai - Didesni įranga išlaikomi kaštas

Modulis 5: Access Sluoksnis

Access sluoksnis yra vieta, kur prijungiami galutiniams įrenginiams. Nepriklausomai nuo Distribution topologijos, access jungikliai suteikia:

Uplink į DistributionL3 arba LACP TrunkData VLANVLAN 100 - Portai 1-8, 25-32Galingo plėšio VLANVLAN 110 - Portai 9-16Saugumo VLANVLAN 120 - Portai 17-24Bedailinis AP VLANVLAN 130 - Portai 33-40Administravimo VLANVLAN 999 - Portai 41-4448-Port Access JungiklisPoE+ ĮmanomasNešiojami kompiuteriaiDarba stalaiIP TelefonaiIP KamerosBedailiniai AP

Access sluoksnio saugumo išvestys: - 802.1X / MAB autentifikacija - Dynaminis VLAN paskirstymas - Portų sauga - DHCP snooping - Dinaminis ARP inspekcijos - IP Source Guard

Pilnas moduliarinis topologija

Štai kaip visi moduliai prijungia, kad sudarytų pilną verslo tinklą:

Pilnas Verslo Moduliarinis Tinklo Topologija Pilnas Verslo Moduliarinis Tinklo Topologija INTERNET EDGE MODULISModulis 1INTERNAL EDGE / DMZ MODULISModulis 2CORE MODULISModulis 3DIST - L3 Kaimynas(Statyba A)Variacija 1DIST - MCLAG(Statyba B)Variacija 2DUOMENŲ CENTRAS(Spine/Leaf)Variacija 3Kampuso vaivyjaiGalutini įrenginiaiInternet/WANISP-AISP-BMPLSEdge RouterFW-AFW-BIntEdge-AIntEdge-BWLCProxyVPNDNS/DHCPCore-ACore-BDist-1ADist-1BAccess(L3)Dist-2ADist-2BAccess(L2)BorderLeafSpineLeafServeriaiSaugosPBXNešiojami kompiuteriaiTelefonaiKameros

IP Adresų valdymo strategija su VRF aíškumu

Problema multi-segmentų, multi-VRF dizaineriuje

Kai tinklai auga, įtraukiant kelis saugumo zonoms, verslo vienetėms arba atitikties sienoms, VRF (Virtual Routing and Forwarding) suteikia maršrutų lentelės aíškumą. Tačiau VRF išplėtimas per kelis sluoksnius pridiega sudėtingumą:

  • Kiekvienas L3 žumpas reikalauja tranzitinio podti
  • Sub-sąsajos padidina konfigūracijos sudėtingumą
  • Išsaugoti problemą apima kelis maršrutų lenteles
  • Dokumentacija turi sekti VRF priklausymą kiekviename sluoksnį

Subnetų schema strategija

Gerai suprojektuota subnetų schema daro modelius įpažįstamais, sumažindamas kognityvų įkrovę ir konfigūracijos klaidas.

Pavyzdys: Didelis gamybos vietas (10.0.0.0/13)

Vietovės paskirstymas: 10.0.0.0/13 (Gamybos vieta Alfa) - 524 286 naudojami namučiai

Didelės vietovės VRF paskirstymo schema (10.0.0.0/13) Didelės vietovės VRF paskirstymo schema (10.0.0.0/13)Gamybos vaivyjaiVRF: KORPORATIVAS10.0.0.0/17Vikitorių tinklasVRF: VISITORIUS10.1.0.0/17Fizinis saugumasVRF: SICURIUMAS10.2.0.0/17Gamybos OTVRF: IOT10.3.0.0/17Tranzitinis10.0.0.0/23Vaivyjai10.0.32.0/19Galingo plėšio10.0.64.0/19Bedailinis10.0.96.0/19Serveriai10.0.112.0/20Tranzitinis10.1.0.0/23Vaivyjai10.1.32.0/19Tranzitinis10.2.0.0/23Kameros10.2.32.0/19Įznakų skaitykliai10.2.64.0/19NVR/VMS10.2.96.0/20Tranzitinis10.3.0.0/23PLC10.3.32.0/19HMI10.3.64.0/19SCADA10.3.96.0/20

Tranzitinis segmentas išsamiai (10.0.0.0/23 - 510 naudojami IP):

Subnetas Jungties aprašymas
10.0.0.0/30 FW-Inside → Internal-Edge-A
10.0.0.4/30 FW-Inside → Internal-Edge-B
10.0.0.8/30 Internal-Edge-A → Core-A
10.0.0.12/30 Internal-Edge-A → Core-B
10.0.0.16/30 Internal-Edge-B → Core-A
10.0.0.20/30 Internal-Edge-B → Core-B
10.0.0.24/30 Core-A → Distribution-A
10.0.0.28/30 Core-A → Distribution-B
10.0.0.32/30 Core-B → Distribution-A
10.0.0.36/30 Core-B → Distribution-B
10.0.0.40/30 Distribution-A → Access-SW-1
10.0.0.44/30 Distribution-B → Access-SW-1
... (Modelis tęsiasi)

Pastaba: /31 subnetai (RFC 3021) taip pat gali būti naudojami taškai-yra jungties statyingai, išsaugojant adresų flotilę.

Modelio įpažinimas išvestys

Kai subnetų modeliai yra vientisūs VRF:

Kas žinote Kas galite išvesti
Tranzitinis jungtis Corporate naudoja 10.0.0.40/30 Visitorių ekvivalentas yra 10.1.0.40/30
Access-SW-5 vaivyjai yra 10.0.36.0/24 Saugumo kameros tame jungiklyje yra 10.2.36.0/24
Site Alpha yra 10.0.0.0/13 Site Beta gali būti 10.8.0.0/13

Tai leidžia inžinerijoms: - Predictuoti IP adresus be vartoti dokumentacijos - Išvestinti neteisingai konfigūruotas subnetai iš karto - Sukurti automatinio pagrindimo modelius, kurie veikia visuose VRF - Apmokyti naujus darbuotojus paganiu, o ne užmintį

Vietovės dydžio modeliai

Mažos vietovė (Šalies filialas)

Mažos vietovės modelis (< 50 vaivyjai) Mažos vietovės modelis (< 50 vaivyjai) ISP/MPLS JungtisVienas Subnetas10.100.x.0/24Galutini įrenginiaiinternetUTM/SD-WANAppliance(Router+FW+VPN+WLC)Access Jungiklis(ar UTM portai)WiFi APVaivyjaiTelefonai

Mažos vietovės dizaino pastabos: - Sutrumpintas dizainas: Visos funkcijos minimalioje įranga - Subnetas: /24 arba /23 per vietovė - Pavyzdys: 10.100.1.0/24 (Vietovė 001)

Vidutinė vietovė (Regioninis biukas)

Vidutinės vietovės modelis (50-500 vaivyjai) Vidutinės vietovės modelis (50-500 vaivyjai) Internet EdgeFirewall HA PoraiMCLAG Distribution(Distribution/Core Jungtinys)10.50.x.0/21Access Jungikliai (LACP)Galutini įrenginiaiinternetISP-AISP-B/MPLSEdge RouterFW-AFW-BDist-ADist-BAcc1Acc2Acc3Acc4Acc5Nešiojami kompiuteriai/TelefonaiKameros/APs

Vidutinės vietovės dizaino pastabos: - Dalinis moduliarinumas: Skirtūs Edge ir Access sluoksniai - Subnetas: /21 per vietovė (2 046 IP) - Pavyzdys: 10.50.0.0/21 (Vietovė 050)

Didelė vietovė (Šiuvalgis/Kampus)

Didelės vietovės modelis (500+ vaivyjai) Didelės vietovės modelis (500+ vaivyjai) INTERNET EDGE MODULISINTERNAL EDGE MODULISCORE MODULISL3 KaimynasMCLAG TrunkMCLAG TrunkSPINE/LEAF DCinternetISP-AISP-BMPLSEdge-RTRFW-AFW-BIntEdge-AIntEdge-BWLCProxyVPNDNSCore-ACore-BDist-1AccessDist-2AccessDist-3AccessBorder-LeafSpineLeafServeriai

Didelės vietovės dizaino pastabos: - Pilnas moduliarinumas: Visai sluoksniai fiziniu atskirti - Subnetas: /13 iki /15 per vietovė (priklausomai nuo VRF skaičiaus) - Pavyzdys: 10.0.0.0/13 (Šiuvalgis) - 524 286 IP

VRF ir L3 segmentacija: išvestys ir sudėtingumas

L3 segmentacijos išvestys su sub-sąsajomis

  1. Saugumo aíškumas: Keitarimas tarp VRF turi praeiti per firewallą arba politikos įrenginį
  2. Išsaugoti įvesties saugumas: Įžeistas segmentas negali tiesiogiai pasiekti kitų VRF
  3. Atitikties sienos: PCI, HIPAA ar OT tinklai atskiriu maršrutizavimo domenu
  4. Keitarimas tinklas: Skirtingos maršrutizavimo politikos per VRF

Sudėtingumo kompromisas

Kai segmentai turi išplėtisi per kelis sluoksnius, kiekviena L3 granica pridiega konfigūracijos didžiuvojumą:

Multi-VRF Keitarimas kelias: Kamera į NVR Multi-VRF Keitarimas kelias: Kamera į NVRVRF: SICURIUMASVLAN 12010.2.36.0/24VRF: SICURIUMAS10.2.0.40/30VRF: SICURIUMAS10.2.0.24/30VRF: SICURIUMAS10.2.0.8/30VRF: SICURIUMAS10.2.0.0/30Duomenų centro pagrindinė linijaVXLAN/EVPNKameraAccess-SWSub-int: 10.2.0.40/30DistributionSub-int: 10.2.0.24/30CoreSub-int: 10.2.0.8/30Internal-EdgeSub-int: 10.2.0.0/30FirewallTarp-VRF PolitikaBorder-LeafSpineLeafNVR

Konfigūracijos didžiuvojumas: - 5 sub-sąsajos per VRF per kelio - 4 VRF × 5 sub-sąsajos = 20 sub-sąsajos jungikliuje - Maršrutizavimo protokolo kaimynystės kiekviename VRF - Route-leaking ar firewall paaiškos dla įtausias kraštų vaivylai

Mitigavimo strategijos

  1. Išsirąsyti VRF skaičius: Sukurti VRF tik genuose aíškumų reikalavimėse
  2. Centralizuoti tarp-VRF maršrutizavimą: Vienas firewall politikos punktas prieš išvaizdinto
  3. Naudoti VXLAN/EVPN: Overlay sumažina fizinį sub-sąsajos išplėtimą
  4. Automatiškai pagrįsti: Modeliai užtikrina vientisą konfigūraciją
  5. Dokumentuoti modelį: Po išmokimo, modeliai yra greičesni nei paieška

Santrauka: Skaluojamas tinklo modelio kūrimas

Moduliarijo tinklo dizaino tikslas yra sukurti pažįstančius modelius, kurie leidžia:

Skalė Vietovės Modelis
Mažoji 10 000+ Sutrumpintas UTM + vienas jungiklis, /24 per vietovė
Vidutinė 1 000+ Edge + MCLAG distribution + access, /21 per vietovė
Didelė 100+ Pilnas moduliaris (Edge, Internal Edge, Core, Distribution variacijos, DC pagrindinė linija), /13-/15 per vietovė

Pagrindiniai išvados

  1. Moduliai kuria ribas: Kiekvienas modulis turi apibrėžtą tikslą ir sąsają
  2. Modeliai leidžia skalauti: Tas pats dizainas kiekvienoje vietovėje sumažina apmokymą ir klaidas
  3. VRF suteikia aíškumą: Bet pridiega konfigūracijos sudėtingumą kiekviename sluoksnį
  4. Subnetų schemos yra svarbios: Predictuojamas adresavimas sumažina kognityvų įkrovę
  5. Distribution varía pagal poreikį: L3 kaimynas, MCLAG/LACP ar spine/leaf
  6. Pagrįsti pagal vietovę: Neperdidink mažų vietovių

Įstabindami šiuos modelius ir panaudojant juos vientisai, įstaigos gali įkurti tinklus, kurie skaluoja nuo vieno filialo iki globalios verslo įstaigos—išlaus išlaikant operacinę paprastumą ir saugumą statusį.

Straičiaus versija 2.0 | Pagalinta 2026-02-02 | Atnaujinta su PlantUML nwdiag diagramomis