Modular Network Design: A Scalable Architecture Framework
Thiết kế mạng Modular: Một khung kiến trúc có thể cấu hình
Giới thiệu về thiết kế mạng Modular
Các mô phỏng mạng là thực hành thiết kế các mạng lưới liên kết, xây dựng mục đích hơn là cấu trúc khối đá. Mỗi mô-đun phục vụ một chức năng cụ thể, đã xác định giới hạn, và kết nối với các mô-đun bên cạnh thông qua các giao diện có thể chịu được. Cách tiếp cận này biến đổi thiết kế mạng lưới từ một nghệ thuật thành một ngành kỹ thuật có thể lặp lại.
Sức mạnh của tính đa thức nằm trong khả năng sáng tạo của nócác mẫu có thể đoán trướcnó có thể được áp dụng một cách nhất quán trên toàn bộ dấu chân cơ sở hạ tầng của một tổ chức cho dù đó là hàng chục ngàn trang web nhỏ, hàng ngàn trang trung bình, hoặc hàng trăm trường doanh nghiệp lớn.
Tại sao có sự khác thường
Lợi ích qua mọi phạm vi mạng
thể hiện lòng kính trọng đối với người khác ...------------------------------------------------------------------------------------------------------ teppi82Phát hiện rắc rối▪ Kỹ sư độc lập có thể hiểu toàn bộ các nhóm địa chất học có thể chuyên môn bằng mô-đun để dọn đường cho sự leo thang giữa những người sở hữu mô-đun teppi82NameCác mô- đun bổ sung cần thiết teppi82Bảo mật nhất quán▪ Cùng chính sách như nhau ở khắp nơi, giúp người ta tuân theo tư thế của mình BAR Những giới hạn có thể thử nghiệm được teppi82Hiệu quả hoạt độngBộ quản lý sự thay đổi chuẩn hoá dựa trên khuôn mẫu vội vã tự động khởi chạy máy tính vội teppi82Nameteppi82@ gmail. com
Thử thách về sự thăng bằng
Các tổ chức hiếm khi đứng yên. Một thiết kế mô- đun phải thích hợp:
- 10,000 nơi nhỏ: văn phòng chi nhánh, nơi bán lẻ, cơ sở ở xa
- 1000 nơi vừa: Văn phòng địa phương, trung tâm phân phối, nhà máy sản xuất
- 100+ nơi lớn: Trụ sở trung ương, trung tâm dữ liệu, trường đại học
Không có sự điều chỉnh, mỗi trang web trở thành một bông tuyết độc đáo cần phải có tài liệu cá nhân, đào tạo chuyên môn, và một lần bắn phá. Với sự điều chỉnh, một kỹ sư hiểu được kiểu mẫu này có thể hoạt động hiệu quả ở bất cứ nơi nào.
Mô- đun mạng lõi
Mô- đun 1: đoạn cạnh Mạng
Internet Edge là nơi tổ chức của bạn gặp gỡ thế giới bên ngoài. Mô- đun này chứa:
- Comment(MPS, DIA, băng thông rộng, LTE/5G)
- Bộ chỉ đường cạnh(BGP nhìn ngang qua, WAN)
- Tường lửa(Tiếng thanh tra chính thức, NAT, VPN tắt)
- Đoạn VLANcho việc tách chức năng
@startuml Internet Edge Module
!define ICONURL https://raw.githubusercontent.com/Roemer/plantuml-office/master/office2014
skinparam backgroundColor #FEFEFE
skinparam handwritten false
nwdiag {
internet [shape = cloud, description = "Internet"];
network ISP_Transit {
address = "VLAN 10-12"
color = "#FFE4E1"
description = "ISP/MPLS Transit"
internet;
ISP_A [description = "ISP-A\nCircuit"];
ISP_B [description = "ISP-B\nCircuit"];
MPLS [description = "MPLS\nCircuit"];
}
network Edge_Router_Segment {
address = "VLAN 10,11,12"
color = "#E6E6FA"
description = "Edge Router Aggregation"
ISP_A;
ISP_B;
MPLS;
Edge_Router [description = "Edge Router\n(BGP Peering)"];
}
network FW_Outside {
address = "VLAN 100"
color = "#FFFACD"
description = "Firewall Outside"
Edge_Router;
FW_Primary [description = "Firewall\nPrimary"];
FW_Secondary [description = "Firewall\nSecondary"];
}
network FW_HA_Sync {
address = "VLAN 101"
color = "#F0FFF0"
description = "HA Sync Link"
FW_Primary;
FW_Secondary;
}
network FW_Inside {
address = "VLAN 102"
color = "#E0FFFF"
description = "To Internal Edge"
FW_Primary;
FW_Secondary;
}
}
@enduml
Nguyên tắc thiết kế chính:
- Các vòng quanh dư dật từ các nhà cung cấp đa dạng
- Hai bức tường lửa bền vững cao
- Xoá ranh giới giữa vùng tin tưởng
- L3 liên kết thẳng đến điểm giữa rign và tường lửa
Module 2: cạnh nội bộ / DMZ Tier
Đối với các vùng trung bình và lớn, cạnh trong nội bộ cung cấp một lớp tổng hợp cho các dịch vụ cần được kiểm soát hoặc phục vụ như là điểm chuyển tiếp giữa các vùng an ninh.
@startuml Internal Edge Module
skinparam backgroundColor #FEFEFE
nwdiag {
network From_Internet_Edge {
address = "VLAN 102"
color = "#E0FFFF"
description = "From Firewall Inside"
IntEdge_A [description = "Internal Edge\nSwitch A"];
IntEdge_B [description = "Internal Edge\nSwitch B"];
}
network MCLAG_Peer {
address = "Peer-Link"
color = "#DDA0DD"
description = "MCLAG/vPC Peer"
IntEdge_A;
IntEdge_B;
}
network WLC_Mgmt {
address = "VLAN 200 - 10.x.200.0/24"
color = "#FFE4B5"
description = "WLC Management"
IntEdge_A;
IntEdge_B;
WLC [description = "Wireless LAN\nController"];
}
network Proxy_Farm {
address = "VLAN 201 - 10.x.201.0/24"
color = "#FFDAB9"
description = "Proxy Services"
IntEdge_A;
IntEdge_B;
Proxy [description = "Web Proxy\nServers"];
}
network VPN_Services {
address = "VLAN 202 - 10.x.202.0/24"
color = "#E6E6FA"
description = "VPN Termination"
IntEdge_A;
IntEdge_B;
VPN [description = "VPN\nConcentrator"];
}
network Infrastructure {
address = "VLAN 204 - 10.x.204.0/24"
color = "#F0FFF0"
description = "Infrastructure Services"
IntEdge_A;
IntEdge_B;
DNS_DHCP [description = "DNS/DHCP\nServers"];
}
network To_Core {
address = "VLAN 205"
color = "#B0E0E6"
description = "Core Transit"
IntEdge_A;
IntEdge_B;
}
}
@enduml
Dịch vụ thường ở cạnh nội bộ:
- Điều khiển LAN không dây (WLC)
- Bộ lọc nội dung và quyền truy cập Mạng
- Trình gợi ý VPN
- Comment
- Nạp bộ cân đối
- Name
Mô- đun 3: Lớp lõi
Cái lõi là xương sống tốc độ cao kết nối các mô-đun khác. Nó nên được tối ưu hóa cho:
- Bật/tắt tối đa
- Độ trễ tối thiểu
- Có sẵn cao
- Đơn giản, nhanh chóng chuyển tiếp
@startuml Core Module
skinparam backgroundColor #FEFEFE
nwdiag {
network From_Internal_Edge {
address = "L3 Routed"
color = "#B0E0E6"
description = "From Internal Edge"
Core_A [description = "Core Switch A\n100G Backbone"];
Core_B [description = "Core Switch B\n100G Backbone"];
}
network Core_Interconnect {
address = "100G+ ISL"
color = "#FFB6C1"
description = "High-Speed Interconnect\nOSPF/IS-IS/BGP"
Core_A;
Core_B;
}
network To_Distribution_1 {
address = "L3 P2P"
color = "#98FB98"
description = "Building A"
Core_A;
Core_B;
Dist_1 [description = "Distribution 1\n(L3 Adjacent)"];
}
network To_Distribution_2 {
address = "L3 P2P"
color = "#DDA0DD"
description = "Building B"
Core_A;
Core_B;
Dist_2 [description = "Distribution 2\n(MCLAG)"];
}
network To_Distribution_3 {
address = "L3 P2P"
color = "#FFDAB9"
description = "Building C"
Core_A;
Core_B;
Dist_3 [description = "Distribution 3\n(MCLAG)"];
}
network To_DC_Border {
address = "L3 Routed"
color = "#87CEEB"
description = "Datacenter"
Core_A;
Core_B;
Border_Leaf [description = "Border Leaf\n(DC Fabric)"];
}
}
@enduml
Nguyên tắc thiết kế lõi:
- Không gắn trực tiếp thiết bị giữa người dùng
- L3 dao động giữa các công tắc lõi (không có cây kéo dài)
- Đường dẫn đa chiều giá bằng (ECMP) để phân phối tải
- Giao thức hội tụ nhanh
Module 4: Lớp Phân phối
Lớp phân phối tổng hợp các công tắc truy cập và thực thi chính sách. Đây là nơi mà các lựa chọn thiết kế mạng có nhiều biến thể nhất dựa trên yêu cầu trang web.
Phân phối phần đa dạng
Biến thế 1: L3 Adjacent (Được phép truy cập)
Trong thiết kế này, các lớp phân phối và truy cập làL3 liền kề- Mỗi công tắc truy cập đều có kênh IP và tuyến đường trực tiếp để phân phối.
@startuml Distribution Variation 1 - L3 Adjacent
skinparam backgroundColor #FEFEFE
nwdiag {
network From_Core {
address = "L3 ECMP"
color = "#B0E0E6"
description = "From Core Layer"
Dist_A [description = "Distribution A\n(L3 Router)"];
Dist_B [description = "Distribution B\n(L3 Router)"];
}
network Dist_iBGP {
address = "iBGP Peering"
color = "#DDA0DD"
description = "ECMP/iBGP"
Dist_A;
Dist_B;
}
network P2P_Access_1 {
address = "10.x.2.0/30"
color = "#98FB98"
description = "L3 Point-to-Point"
Dist_A;
Dist_B;
Access_1 [description = "Access SW-1\n(L3 Gateway)"];
}
network P2P_Access_2 {
address = "10.x.2.8/30"
color = "#FFE4B5"
description = "L3 Point-to-Point"
Dist_A;
Dist_B;
Access_2 [description = "Access SW-2\n(L3 Gateway)"];
}
network P2P_Access_3 {
address = "10.x.2.16/30"
color = "#FFDAB9"
description = "L3 Point-to-Point"
Dist_A;
Dist_B;
Access_3 [description = "Access SW-3\n(L3 Gateway)"];
}
network User_VLAN_1 {
address = "10.x.32.0/24"
color = "#F0FFF0"
description = "Users - SW1"
Access_1;
Laptop_1 [description = "Laptops"];
Phone_1 [description = "Phones"];
}
network User_VLAN_2 {
address = "10.x.33.0/24"
color = "#FFF0F5"
description = "Users - SW2"
Access_2;
Laptop_2 [description = "Laptops"];
Camera_2 [description = "Cameras"];
}
network User_VLAN_3 {
address = "10.x.34.0/24"
color = "#F5FFFA"
description = "Users - SW3"
Access_3;
Laptop_3 [description = "Workstations"];
Camera_3 [description = "Cameras"];
}
}
@enduml
Ví dụ định vị dưới mạng:
teppi82@ gmail. com Này.. Phân phối tới lõi số 10. 1. 0/30, 10 Yêu cầu truy cập 1 / 3x. 2. 0/30 Tuỳ biến Truy cập 1 người dùng VLAN 10.x.32.0/24 Truy cập thứ 2 người dùng VLAN 10.x.33.0/24
Lợi ích:
- Truyền hình khu vực cô lập ở mỗi công tắc truy cập
- Simplified vấn đề bắn súng (không rõ mật mã chứa mạng phụ)
- Không có cây bao quanh giữa phân phối và quyền truy cập
- Có thể tổng hợp tại phân phối lớp
Suy nghĩ:
- Cần thiết công tắc truy cập L3
- Chuyển đổi màn hình nền
- Bộ quản lý địa chỉ IP phức tạp hơn
Biến thế 2: MCLAG với Ti tắc LACP
Thiết kế này sử dụngPhân cách liên kết đaChasis (MCLAG)lúc phân phốiLiên kết LACPđể truy cập vào công tắc mang theo những chiếc VLAN.
Thuật ngữ nhà cung cấp: Cisco gọi kênh VPC (Virtal Port Channel), Arista sử dụng MLAG, Juniper sử dụng MC-LAG, và HPE/Aruba dùng VSX. Hành vi chức năng giống nhau trên khắp các nhà cung cấp.
@startuml Distribution Variation 2 - MCLAG
skinparam backgroundColor #FEFEFE
nwdiag {
network From_Core {
address = "L3 Routed Uplinks"
color = "#B0E0E6"
description = "From Core Layer"
Dist_A [description = "Distribution A\n(MCLAG Member)"];
Dist_B [description = "Distribution B\n(MCLAG Member)"];
}
network MCLAG_Peer_Link {
address = "Peer-Link"
color = "#FFB6C1"
description = "MCLAG/vPC Peer-Link"
Dist_A;
Dist_B;
}
network LACP_To_Access {
address = "Po1 - LACP Trunk"
color = "#DDA0DD"
description = "VLANs 100,110,120 Trunked"
Dist_A;
Dist_B;
Access_1 [description = "Access SW-1\n(L2 Switch)"];
}
network Data_VLAN {
address = "VLAN 100 - 10.x.32.0/24"
color = "#98FB98"
description = "Data VLAN"
Access_1;
Laptops [description = "Laptops\nWorkstations"];
}
network Voice_VLAN {
address = "VLAN 110 - 10.x.64.0/24"
color = "#FFE4B5"
description = "Voice VLAN"
Access_1;
Phones [description = "IP Phones"];
}
network Security_VLAN {
address = "VLAN 120 - 10.x.96.0/24"
color = "#FFDAB9"
description = "Security VLAN"
Access_1;
Cameras [description = "Cameras\nBadge Readers"];
}
}
@enduml
Vị trí SVI (VRP VIP trên mạng):
- VLAN 100: 10.x.32.1/24
- VLAN 110: 10.x.64.1/24
- VLAN 120: 10.x.96.1/24
Cấu hình VLAN Truk:
teppi82@ gmail. com Xin lỗi ▪ Po1 (MCLAG) thể hiện 100,110,120 truy cập% 1 tôm (MCLAG) thể hiện 100,110,120, 130 truy cập-2 (MCLAG) thể hiện 100,110 thể hiện lòng trắc ẩn
Lợi ích MCLAG:
- Chuyển tiếp hoạt động (cả hai kết nối lên)
- Comment
- Name
- Không có rào chắn giữa cây
Suy nghĩ:
- VLANs trong nhiều công tắc truy cập ( miền phát sóng lớn hơn)
- MCLAG ngang hàng có thể trở thành cổ chai
- Vẫn cần thiết để phòng ngừa vòng lặp
Biến thế 3: Lá cây dọc cho Quay/Leaf Datacenter
Trong môi trường trung tâm dữ liệu, lớp phân phối trở thànhLá cây biên giớikết nối vải cột sống/leaf với mạng lưới công ty.
@startuml Distribution Variation 3 - Border Leaf Datacenter
skinparam backgroundColor #FEFEFE
nwdiag {
network Enterprise_Core {
address = "L3 Routed (eBGP/OSPF)"
color = "#B0E0E6"
description = "From Enterprise Core"
Border_A [description = "Border Leaf A\nVXLAN Gateway"];
Border_B [description = "Border Leaf B\nVXLAN Gateway"];
}
network Border_EVPN {
address = "VXLAN EVPN"
color = "#DDA0DD"
description = "EVPN Type-5 Routes"
Border_A;
Border_B;
Spine_1 [description = "Spine 1"];
Spine_2 [description = "Spine 2"];
}
network Spine_Fabric {
address = "eBGP Underlay"
color = "#FFB6C1"
description = "Spine Layer"
Spine_1;
Spine_2;
}
network Leaf_Tier_1 {
address = "VTEP"
color = "#98FB98"
description = "Compute Rack 1"
Spine_1;
Spine_2;
Leaf_1 [description = "Leaf 1"];
Leaf_2 [description = "Leaf 2"];
}
network Leaf_Tier_2 {
address = "VTEP"
color = "#FFE4B5"
description = "Storage/Services"
Spine_1;
Spine_2;
Leaf_3 [description = "Leaf 3"];
Leaf_4 [description = "Leaf 4"];
}
network Server_Rack_1 {
address = "VNI 10001"
color = "#F0FFF0"
description = "Compute Servers"
Leaf_1;
Leaf_2;
Servers_1 [description = "Rack Servers\nVMs/Containers"];
}
network Storage_Network {
address = "VNI 10002"
color = "#FFDAB9"
description = "Storage Arrays"
Leaf_3;
Storage [description = "SAN/NAS\nStorage"];
}
network Voice_Services {
address = "VNI 10003"
color = "#E6E6FA"
description = "UC Systems"
Leaf_4;
PBX [description = "PBX/UC\nSystems"];
}
}
@enduml
Chi tiết dữ liệu cơ bản:
Tuỳ chọn Này.. teppi82Chữ dướithể hiện eBGP (ASAN cho mỗi chuyển đổi) hoặc OSPF teppi82Phủ▪ VXLAN với máy bay điều khiển EVPN teppi82Lá cây biên giớiXLAN-to-VLAN, lộ trình bên ngoài, Giao thoa VRF teppi82Nạp công việc lá câyTính toán, lưu trữ, Giọng nói/UC, cơ sở hạ tầng
Lợi ích:
- Tỷ lệ ngang rất lớn (dùng cặp lá khi cần thiết)
- Kiến trúc vải không chặn
- Nhiều ứng dụng qua VRF/VNI
- Name
Suy nghĩ:
- Sự phức tạp của VXLAN/VVPN
- Cần có những kỹ năng đặc biệt
- Chi phí thiết bị cao hơn
Module 5: Lớp truy cập
Lớp tiếp cận là nơi các thiết bị cuối kết nối. Bất kể thuộc tính phân phối, công tắc truy cập cung cấp:
@startuml Access Layer Module
skinparam backgroundColor #FEFEFE
nwdiag {
network Distribution_Uplink {
address = "L3 or LACP Trunk"
color = "#B0E0E6"
description = "Uplinks to Distribution"
Access_SW [description = "48-Port Access Switch\nPoE+ Capable"];
}
network Data_VLAN {
address = "VLAN 100 - Ports 1-8, 25-32"
color = "#98FB98"
description = "Data VLAN"
Access_SW;
Laptops [description = "Laptops\nWorkstations"];
}
network Voice_VLAN {
address = "VLAN 110 - Ports 9-16"
color = "#FFE4B5"
description = "Voice VLAN"
Access_SW;
Phones [description = "IP Phones"];
}
network Camera_VLAN {
address = "VLAN 120 - Ports 17-24"
color = "#FFDAB9"
description = "Security VLAN"
Access_SW;
Cameras [description = "IP Cameras"];
}
network Wireless_VLAN {
address = "VLAN 130 - Ports 33-40"
color = "#DDA0DD"
description = "Wireless AP VLAN"
Access_SW;
APs [description = "Wireless APs"];
}
network Mgmt_VLAN {
address = "VLAN 999 - Ports 41-44"
color = "#F0FFF0"
description = "Management VLAN"
Access_SW;
}
}
@enduml
Tính năng bảo mật cho lớp:
- 8821X / MAB xác thực
- Bài tập VLAN động
- Bảo mật cổng
- Đang rình mò DHCP
- Kiểm tra ARP động
- Bảo vệ nguồn IP
Khám phá toàn phần
Đây là cách tất cả các mô-đun kết nối để hình thành một mạng lưới kinh doanh:
@startuml Complete Modular Network Topology
skinparam backgroundColor #FEFEFE
title Complete Enterprise Modular Network
nwdiag {
internet [shape = cloud, description = "Internet/WAN"];
network Internet_Edge {
address = "Module 1"
color = "#FFE4E1"
description = "INTERNET EDGE MODULE"
internet;
ISP_A [description = "ISP-A"];
ISP_B [description = "ISP-B"];
MPLS [description = "MPLS"];
Edge_RTR [description = "Edge Router"];
FW_A [description = "FW-A"];
FW_B [description = "FW-B"];
}
network Internal_Edge {
address = "Module 2"
color = "#E6E6FA"
description = "INTERNAL EDGE / DMZ MODULE"
FW_A;
FW_B;
IntEdge_A [description = "IntEdge-A"];
IntEdge_B [description = "IntEdge-B"];
WLC [description = "WLC"];
Proxy [description = "Proxy"];
VPN [description = "VPN"];
DNS [description = "DNS/DHCP"];
}
network Core {
address = "Module 3"
color = "#B0E0E6"
description = "CORE MODULE"
IntEdge_A;
IntEdge_B;
Core_A [description = "Core-A"];
Core_B [description = "Core-B"];
}
network Distribution_L3 {
address = "Variation 1"
color = "#98FB98"
description = "DIST - L3 Adjacent\n(Building A)"
Core_A;
Core_B;
Dist_1A [description = "Dist-1A"];
Dist_1B [description = "Dist-1B"];
Access_L3 [description = "Access\n(L3)"];
}
network Distribution_MCLAG {
address = "Variation 2"
color = "#DDA0DD"
description = "DIST - MCLAG\n(Building B)"
Core_A;
Core_B;
Dist_2A [description = "Dist-2A"];
Dist_2B [description = "Dist-2B"];
Access_L2 [description = "Access\n(L2)"];
}
network Datacenter {
address = "Variation 3"
color = "#FFE4B5"
description = "DATACENTER\n(Spine/Leaf)"
Core_A;
Core_B;
Border_Leaf [description = "Border\nLeaf"];
Spine [description = "Spine"];
Leaf [description = "Leaf"];
Servers [description = "Servers\nStorage\nPBX"];
}
network Campus_Users {
address = "End Devices"
color = "#F0FFF0"
description = "Campus Users"
Access_L3;
Access_L2;
Users [description = "Laptops\nPhones\nCameras"];
}
}
@enduml
Phối hợp IP với sự tàn phá VRF
Thử thách của thiết kế đa hợp, đa VRF
Khi mạng lưới phát triển để bao gồm nhiều vùng an ninh, đơn vị kinh doanh, hoặc tuân thủ ranh giới,VRF (hành động và tiến tới)cung cấp các tuyến đường cô lập. Tuy nhiên, mở rộng VRFs thông qua nhiều dây thắt làm tăng độ phức tạp:
- Mỗi chiếc L3 hop yêu cầu một mạng phụ giao thông
- Giao diện con nhân sự phức tạp cấu hình
- Name
- Tài liệu phải theo dõi thành viên VRF ở mọi tầng lớp
Chiến thuật kế hoạch phụ
Một hệ thống phụ được thiết kế tốt làm cho các mô hình nhận diện, giảm tải nhận thức và cấu hình lỗi.
Ví dụ: Nơi Mạng sản xuất lớn (10.0.0. 0/13)
Vùng chọn10.0.0. 0/13
@startuml VRF Subnet Schema
skinparam backgroundColor #FEFEFE
title Large Site VRF Allocation Schema (10.0.0.0/13)
nwdiag {
network Corporate_VRF {
address = "VRF: CORPORATE\n10.0.0.0/17"
color = "#98FB98"
description = "Production Users"
Corp_Transit [description = "Transit\n10.0.0.0/23"];
Corp_Users [description = "Users\n10.0.32.0/19"];
Corp_Voice [description = "Voice\n10.0.64.0/19"];
Corp_Wireless [description = "Wireless\n10.0.96.0/19"];
Corp_Server [description = "Servers\n10.0.112.0/20"];
}
network Guest_VRF {
address = "VRF: GUEST\n10.1.0.0/17"
color = "#FFE4B5"
description = "Visitor Network"
Guest_Transit [description = "Transit\n10.1.0.0/23"];
Guest_Users [description = "Users\n10.1.32.0/19"];
}
network Security_VRF {
address = "VRF: SECURITY\n10.2.0.0/17"
color = "#FFDAB9"
description = "Physical Security"
Sec_Transit [description = "Transit\n10.2.0.0/23"];
Sec_Camera [description = "Cameras\n10.2.32.0/19"];
Sec_Badge [description = "Badge Readers\n10.2.64.0/19"];
Sec_NVR [description = "NVR/VMS\n10.2.96.0/20"];
}
network IOT_VRF {
address = "VRF: IOT\n10.3.0.0/17"
color = "#E6E6FA"
description = "Manufacturing OT"
IOT_Transit [description = "Transit\n10.3.0.0/23"];
IOT_PLC [description = "PLCs\n10.3.32.0/19"];
IOT_HMI [description = "HMIs\n10.3.64.0/19"];
IOT_SCADA [description = "SCADA\n10.3.96.0/20"];
}
}
@enduml
Chi tiết đoạn giao (10.0.0/23 - 510 có thể dùng IP):
teppi82@ gmail. com Này.. Số 10.0.0/30 Số 10.0.4/30 Số 10.0.8/30 Số 10.0.12/30 10 giờ 0 phút 16/30 phút sáng .0.0.20/30 10 giờ 0.24/30 phút sáng 10 điểm 0.28/30 điểm chung 10 giờ 30 phút sáng 10.0.36/30 sáng 10.0.40/30 Phân phối-A truy cập-SW-1 vội 10.0.44/30 Phân phối-B truy cập-SW-1 ¢Ü ... ¢Ü
Ghi chú:/31 subnets (RFC 3021) cũng có thể được dùng cho các liên kết chỉ tới điểm, bảo tồn không gian địa chỉ.
Nhận ra gương mẫu mang lại lợi ích
Khi các mô hình mạng phụ nhất định trên VRF:
▪ Những gì bạn biết có thể suy ra Xin lỗi Liên kết Transit trong tập đoàn sử dụng 10.0.40/30 khách mời tương đương 10.1.0.40/30 Người dùng truy cập-SW-5 đang ở mức 10.0.36.0/24 camera an ninh cùng một công tắc là 10.2.36.0/24 Nó có thể là 10.0.0/13. Site Beta 10.8.0/13
Điều này cho phép các kỹ sư:
- Name
- Nhận ra mạng phụ đã cấu hình sai ngay lập tức
- Tạo mẫu tự động hoạt động qua VRF
- Huấn luyện nhân viên mới theo khuôn mẫu, chứ không phải ghi nhớ
Comment
Comment
@startuml Small Site Template
skinparam backgroundColor #FEFEFE
title Small Site Template (< 50 users)
nwdiag {
internet [shape = cloud];
network WAN {
color = "#FFE4E1"
description = "ISP/MPLS Circuit"
internet;
UTM [description = "UTM/SD-WAN\nAppliance\n(Router+FW+VPN+WLC)"];
}
network LAN {
address = "10.100.x.0/24"
color = "#98FB98"
description = "Single Subnet"
UTM;
Access [description = "Access Switch\n(or UTM ports)"];
}
network Endpoints {
color = "#F0FFF0"
description = "End Devices"
Access;
AP [description = "WiFi AP"];
Users [description = "Users"];
Phones [description = "Phones"];
}
}
@enduml
Ghi chú thiết kế nhỏ:
- Thiết kế ngắt quãng: Mọi chức năng trong phần cứng tối thiểu
- Mạng phụ:24 hoặc / 23 mỗi trang
- Ví dụ: 10.100.1. 0/24 (số 001)
Comment
@startuml Medium Site Template
skinparam backgroundColor #FEFEFE
title Medium Site Template (50-500 users)
nwdiag {
internet [shape = cloud];
network WAN_Edge {
color = "#FFE4E1"
description = "Internet Edge"
internet;
ISP_A [description = "ISP-A"];
ISP_B [description = "ISP-B/MPLS"];
Edge_RTR [description = "Edge Router"];
}
network Firewall_Tier {
color = "#FFDAB9"
description = "Firewall HA Pair"
Edge_RTR;
FW_A [description = "FW-A"];
FW_B [description = "FW-B"];
}
network Distribution {
address = "10.50.x.0/21"
color = "#DDA0DD"
description = "MCLAG Distribution\n(Dist/Core Combined)"
FW_A;
FW_B;
Dist_A [description = "Dist-A"];
Dist_B [description = "Dist-B"];
}
network Access_Tier {
color = "#98FB98"
description = "Access Switches (LACP)"
Dist_A;
Dist_B;
Acc1 [description = "Acc1"];
Acc2 [description = "Acc2"];
Acc3 [description = "Acc3"];
Acc4 [description = "Acc4"];
Acc5 [description = "Acc5"];
}
network Users {
color = "#F0FFF0"
description = "End Devices"
Acc1;
Acc2;
Acc3;
Acc4;
Acc5;
Endpoints [description = "Laptops/Phones\nCameras/APs"];
}
}
@enduml
Ghi chú thiết kế vừa:
- Một phần kỳ dịThiết bị truy cập và cạnh tách rời
- Mạng phụ: //21 mỗi trang (.046 IP)
- Ví dụ: 10.50.0.0/21 (Site 050)
Comment
@startuml Large Site Template
skinparam backgroundColor #FEFEFE
title Large Site Template (500+ users)
nwdiag {
internet [shape = cloud];
network Internet_Edge {
color = "#FFE4E1"
description = "INTERNET EDGE MODULE"
internet;
ISP_A [description = "ISP-A"];
ISP_B [description = "ISP-B"];
MPLS [description = "MPLS"];
Edge_RTR [description = "Edge-RTR"];
FW_A [description = "FW-A"];
FW_B [description = "FW-B"];
}
network Internal_Edge {
color = "#E6E6FA"
description = "INTERNAL EDGE MODULE"
FW_A;
FW_B;
IntEdge_A [description = "IntEdge-A"];
IntEdge_B [description = "IntEdge-B"];
WLC [description = "WLC"];
Proxy [description = "Proxy"];
VPN [description = "VPN"];
DNS [description = "DNS"];
}
network Core {
color = "#B0E0E6"
description = "CORE MODULE"
IntEdge_A;
IntEdge_B;
Core_A [description = "Core-A"];
Core_B [description = "Core-B"];
}
network Dist_Var1 {
color = "#98FB98"
description = "L3 Adjacent"
Core_A;
Core_B;
Dist_1 [description = "Dist-1"];
Access_1 [description = "Access"];
}
network Dist_Var2 {
color = "#DDA0DD"
description = "MCLAG Trunk"
Core_A;
Core_B;
Dist_2 [description = "Dist-2"];
Access_2 [description = "Access"];
}
network Dist_Var3 {
color = "#FFE4B5"
description = "MCLAG Trunk"
Core_A;
Core_B;
Dist_3 [description = "Dist-3"];
Access_3 [description = "Access"];
}
network Datacenter {
color = "#87CEEB"
description = "SPINE/LEAF DC"
Core_A;
Core_B;
Border [description = "Border-Leaf"];
Spine [description = "Spine"];
Leaf [description = "Leaf"];
Servers [description = "Servers"];
}
}
@enduml
Ghi chú thiết kế ghế lớn:
- Hoàn toàn bình thường: Tất cả các ràng buộc thể chất riêng biệt
- Mạng phụ: 13 đến / 15 mỗi trang (phụ thuộc vào số đếm VRF)
- Ví dụ: 10.0. 0/13 (HQ) - 524,286 IP
VRF và L3 Segmentation: Lợi ích và phức tạp
Lợi ích của đoạn L3 với các mặt phụ
- Sự cô lập an ninhGiao thông giữa VRFs phải đi qua tường lửa hoặc thiết bị chính sách
- Name: đoạn đã thỏa hiệp không thể trực tiếp tới những VRF khác
- Giới hạn chấp thuận: PCI, HIPAA, hoặc mạng OT trong miền riêng biệt
- Kỹ sư giao thông: chính sách định tuyến khác nhau trên mỗi VRF
Trao đổi tính phức tạp
Khi phân đoạn phải mở rộng qua nhiều dây trục, mỗi đường biên L3 thêm vào cấu hình trên đầu:
@startuml Multi-VRF Path Through Tiers
skinparam backgroundColor #FEFEFE
title Multi-VRF Traffic Path: Camera to NVR
nwdiag {
network Camera_Segment {
address = "VLAN 120\n10.2.36.0/24"
color = "#FFDAB9"
description = "VRF: SECURITY"
Camera [description = "Camera"];
Access_SW [description = "Access-SW\nSub-int: 10.2.0.40/30"];
}
network Access_to_Dist {
address = "10.2.0.40/30"
color = "#DDA0DD"
description = "VRF: SECURITY"
Access_SW;
Distribution [description = "Distribution\nSub-int: 10.2.0.24/30"];
}
network Dist_to_Core {
address = "10.2.0.24/30"
color = "#B0E0E6"
description = "VRF: SECURITY"
Distribution;
Core [description = "Core\nSub-int: 10.2.0.8/30"];
}
network Core_to_IntEdge {
address = "10.2.0.8/30"
color = "#E6E6FA"
description = "VRF: SECURITY"
Core;
Internal_Edge [description = "Internal-Edge\nSub-int: 10.2.0.0/30"];
}
network IntEdge_to_FW {
address = "10.2.0.0/30"
color = "#FFE4E1"
description = "VRF: SECURITY"
Internal_Edge;
Firewall [description = "Firewall\nInter-VRF Policy"];
}
network DC_Path {
address = "VXLAN/EVPN"
color = "#87CEEB"
description = "Datacenter Fabric"
Firewall;
Border_Leaf [description = "Border-Leaf"];
Spine [description = "Spine"];
Leaf [description = "Leaf"];
NVR [description = "NVR"];
}
}
@enduml
Toàn bộ cấu hình:
- 5 mặt phụ trên mỗi đường dẫn VRF
- 4 VRFs × 5 sub-ints = 20 mặt phụ liên kết trên một công tắc
- Tùy chỉnh giao thức điều chỉnh trong mỗi VRF
- Luật bắt giữ đường bộ hoặc tường lửa cho giao thông giữa VRF
Chiến thuật gây rối
- Hạn chế số VRF: Chỉ tạo VRF cho yêu cầu tự cô lập
- Trung tâm định tuyến tương tác VRF: Một điểm tường lửa được phân phối
- Dùng VXLAN/VPN: Phủ qua làm giảm bề mặt phụ tương tác
- Comment: Mẫu bảo đảm cấu hình nhất định
- Tài liệu: Một khi đã học, mẫu nhanh hơn tìm kiếm
Tóm tắt: Xây dựng một mẫu mạng có thể cấu hình
Mục tiêu của thiết kế mạng mô-đun là tạo ra mộtmẫu lặp lại đượcmà hiệu lực:
teppi82 Xin chào thể hiện sự khác biệt giữa người và người khác thể hiện sự khác biệt giữa việc phân phối dữ liệu và truy cập thể hiện toàn bộ nội bộ, cạnh chủ, lõi, biến thể, vải DC, 13- 15 trên mỗi trang web
Lấy chìa khóa
- Mô- đun tạo đường biên: mỗi mô- đun có một mục đích và giao diện xác định
- Comment: cùng thiết kế tại mỗi trang web giảm sự đào tạo và lỗi
- VRFs cung cấp sự cô lập: nhưng thêm sự phức tạp cấu hình ở mỗi tầng
- Comment: Có thể dự đoán địa chỉ giảm tải nhận thức
- Phân phối tùy theo nhu cầu: L3 liền kề, MCLAG/LACP, hay cột sống/leaf
- Cỡ chuẩn cho nơi MạngKhông quá nhiều nơi Mạng nhỏ
Bằng cách thiết lập các mô hình và áp dụng chúng một cách nhất quán, các tổ chức có thể xây dựng các mạng lưới từ một văn phòng chi nhánh đến một doanh nghiệp toàn cầu - tất cả trong khi duy trì sự đơn giản hoạt động và tư thế an ninh.
Bài viết 2. 2. 0