170 likes | 338 Views
Типичные ошибки, допускаемые при построении и эксплуатации сетей. Андрей Рогов. О чем ?. Документация Ошибки дизайна Ошибки эксплуатации. ДОКУМЕНТАЦИЯ. Актуальная Понятная Несколько диаграмм Не жалейте красок! Имена устройств (говорящие! ) , адреса Обозначения Trunk/Access
E N D
Типичные ошибки, допускаемые при построении и эксплуатации сетей Андрей Рогов
О чем ? • Документация • Ошибки дизайна • Ошибки эксплуатации
ДОКУМЕНТАЦИЯ • Актуальная • Понятная • Несколько диаграмм • Не жалейте красок! • Имена устройств (говорящие! ), адреса • Обозначения • Trunk/Access • Port Channel (LACP/Etherchannel/PaGP) • Primary/Backup Links • STP Root
Типы диаграмм • Физическое соединение • Физическое расположение в стойке • Таблица кроссировок • Логические схемы • Cхемы и таблицы VLAN • Схемы маршрутизации • Схемы и таблицы VRF • И т.д.
Сферический дизайн Core • У каждого уровня своя роль • Модульная топология – «строительные блоки» • Точки отказа четко очерчены и изолированы • Балансировка и надежность • Легко: • Понимается • Масштабируется • Сопровождается Distribution Access
Планирование • Адресный план • Сеть устройств • Сеть управления • Абонентские сети • План распределения VLAN • VLAN управления • Технологические VLAN • Абонентские VLAN НЕТ VLAN 1!!!
Control Plane vs Data Plane • Control Plane • управление устройством • SSH/Telnet/HTTP/HTTPS • SNMP • служебные протоколы • STP • LACP/PaGP • Data Plane • Voice • Video • Data
Control Plane • Доступ к устройству • HTTPS • SSH • ACL • VLAN для управления • SNMP • Средства централизованной авторизации • Журналирование • Время • Ограничения (rate limit)
Настройки коммутатора доступа: “абонентский порт” • Порт пользователя – Portfast • Функционал 802.1q – отключить! • Функционал Port Security • Защита от атак на CAM • Защита от фальсификации серверов DHCP (DHCP Snooping) • Защита от атак ARP (DAI) • Защита от подмены IP/MAC (IP Source Guard) • Защита от поддельного STP Root (BPDU Guard)
Настройки коммутатора доступа: uplink • Функционал 802.1q • Разрешаем только те VLAN, которые ДЕЙСТВИТЕЛЬНО нужны! • Агрегация портов • LACP • Доверенные порты • DAI • DHCP Snooping
Настройки устройства уровня распределения – Control Plane • Loopback –интерфейс для управления • STP Root • Агрегация портов - LACP
Настройки устройства уровня распределения – Data Plane • Для каждой VLAN - SVI • SVI – IP Default gateway для пользователей VLAN • Функционал IP DHCP Helper • IP cуммаризация
Уровень ядра • Только L3! • Отключение автосуммаризации маршрутов • Все управление – только через Loopback • Резервирование!
Агрегация портов • Количество участников – степень 2 • Балансировка по хешу (L2 … L4) • Балансировка: • Уровень доступа – src-dst-ip (src-dst-mac по умолчанию) • Уровень распределения – src-dst-ip + src-dst-l4port + vlan (src-dst-ip + vlan по умолчанию)
Стек устройств • Master: • LACP • ARP • Routing protocols • Сервисы управления • Синхронизация RIB/FIB • Все участники стека: • MAC Learning • STP • QoS • ACL
Что нужно ? • Понимать дизайн • Знать, что происходит • Читать документацию