Андрей Рогов. Документация Ошибки дизайна Ошибки эксплуатации. - презентация

1 Андрей Рогов

2 Документация Ошибки дизайна Ошибки эксплуатации

3 Актуальная Понятная Несколько диаграмм Не жалейте красок! Имена устройств (говорящие! ), адреса Обозначения Trunk/Access Port Channel (LACP/Etherchannel/PaGP) Primary/Backup Links STP Root

4 Физическое соединение Физическое расположение в стойке Таблица кроссировок Логические схемы Cхемы и таблицы VLAN Схемы маршрутизации Схемы и таблицы VRF И т.д.

5 Core Distribution Access У каждого уровня своя роль Модульная топология – «строительные блоки» Точки отказа четко очерчены и изолированы Балансировка и надежность Легко: o Понимается o Масштабируется o Сопровождается

6 Адресный план Сеть устройств Сеть управления Абонентские сети План распределения VLAN VLAN управления Технологические VLAN Абонентские VLAN НЕТ VLAN 1!!!

7 Control Plane управление устройством SSH/Telnet/HTTP/HTTPS SNMP служебные протоколы STP LACP/PaGP Data Plane Voice Video Data

8 Доступ к устройству HTTPS SSH ACL VLAN для управления SNMP Средства централизованной авторизации Журналирование Время Ограничения (rate limit)

9 Порт пользователя – Portfast Функционал 802.1q – отключить! Функционал Port Security Защита от атак на CAM Защита от фальсификации серверов DHCP (DHCP Snooping) Защита от атак ARP (DAI) Защита от подмены IP/MAC (IP Source Guard) Защита от поддельного STP Root (BPDU Guard)

10 Функционал 802.1q Разрешаем только те VLAN, которые ДЕЙСТВИТЕЛЬНО нужны! Агрегация портов LACP Доверенные порты DAI DHCP Snooping

11 Loopback – интерфейс для управления STP Root Агрегация портов - LACP

12 Для каждой VLAN - SVI SVI – IP Default gateway для пользователей VLAN Функционал IP DHCP Helper IP cуммаризация

13 Только L3! Отключение автосуммаризации маршрутов Все управление – только через Loopback Резервирование!

14 Количество участников – степень 2 Балансировка по хешу (L2 … L4) Балансировка: Уровень доступа – src-dst-ip (src-dst-mac по умолчанию) Уровень распределения – src-dst-ip + src-dst- l4port + vlan (src-dst-ip + vlan по умолчанию)

15 Master: LACP ARP Routing protocols Сервисы управления Синхронизация RIB/FIB Все участники стека: MAC Learning STP QoS ACL

16 Понимать дизайн Знать, что происходит Читать документацию

17