Modular Network Design: A Scalable Architecture Framework
Modulární síťový design: škálovatelný rámec architektury
Úvod do projektu modulární sítě
Síťová modularita je praxe navrhování sítí jako propojených, účelových segmentů spíše než monolitických struktur. Každý modul slouží specifické funkci, má definované hranice a spojuje se s přilehlými moduly prostřednictvím dobře pochopených rozhraní. Tento přístup transformuje návrh sítě z umění do opakovatelné technické disciplíny.
Síla modularity spočívá v jeho schopnosti vytvářetpředvídatelné vzorykteré lze důsledně aplikovat po celé infrastrukturní stopě organizace - ať už se jedná o desítky tisíc malých míst, tisíce středních míst nebo stovky velkých podniků.
Proč záleží na modularitě
Výhody napříč všemi sítěmi
124; Výhody 124; Malé stránky 124; Střední stránky 124; Velké stránky 124 - - - - - - - CLAS124Zjednodušené řešení problémůJeden inženýr rozumí celé topologii 124; týmy se mohou specializovat na modul 124; jasné eskalační cesty mezi vlastníky modulů 124 CLAS124Předběžné škálováníCLAS124; Přidat moduly podle potřeby CLAS124; Klony osvědčené vzory CLAS124; Rozšířit bez redesign CLAS124 CLAS124Důkladné zabezpečeníCLANEK124; Stejné politiky všude CLANEK124; Jednotný postoj k dodržování CLANEK124; Auditní hranice CLANEK124 CLAS124Provozní účinnostCLANEK124; Zavedení na bázi času CLANEK124; Automatické zajištění CLANEK124; Standardizované řízení změn CLANEK124 CLAS124Kontrola nákladůCLANEK124; velikost každého modulu CLANEK124; nákup hromadných kusů podle typu CLANEK124; řízení životního cyklu podle úrovně CLANEK124
The Scaling Challenge
Organizace zřídka zůstávají statické. Modulární konstrukce musí obsahovat:
- 10 000 + malé lokality: pobočka, maloobchodní místa, vzdálená zařízení
- 1000 + střední místa: Regionální kanceláře, distribuční centra, výrobní závody
- 100 + velká místa: Centrála, datacentra, velké kempy
Bez modularity se každé místo stává jedinečnou sněhovou vločkou, která vyžaduje vlastní dokumentaci, specializovaný výcvik a jedno-off řešení problémů. S modularitou, inženýr, který rozumí vzoru může efektivně pracovat na každém místě.
Moduly hlavní sítě
Modul 1: Internet Edge Segment
Internet Edge je místo, kde se vaše organizace setkává s vnějším světem. Tento modul obsahuje:
- WAN / Internet obvody(MPLS, DIA, širokopásmové připojení, LTE / 5G)
- Směrovače hran(BGP zírání, WAN ukončení)
- Firewally(Stateful inspekce, NAT, VPN ukončení)
- Segmentace VLANpro funkční oddělení
@startuml Internet Edge Module
!define ICONURL https://raw.githubusercontent.com/Roemer/plantuml-office/master/office2014
skinparam backgroundColor #FEFEFE
skinparam handwritten false
nwdiag {
internet [shape = cloud, description = "Internet"];
network ISP_Transit {
address = "VLAN 10-12"
color = "#FFE4E1"
description = "ISP/MPLS Transit"
internet;
ISP_A [description = "ISP-A\nCircuit"];
ISP_B [description = "ISP-B\nCircuit"];
MPLS [description = "MPLS\nCircuit"];
}
network Edge_Router_Segment {
address = "VLAN 10,11,12"
color = "#E6E6FA"
description = "Edge Router Aggregation"
ISP_A;
ISP_B;
MPLS;
Edge_Router [description = "Edge Router\n(BGP Peering)"];
}
network FW_Outside {
address = "VLAN 100"
color = "#FFFACD"
description = "Firewall Outside"
Edge_Router;
FW_Primary [description = "Firewall\nPrimary"];
FW_Secondary [description = "Firewall\nSecondary"];
}
network FW_HA_Sync {
address = "VLAN 101"
color = "#F0FFF0"
description = "HA Sync Link"
FW_Primary;
FW_Secondary;
}
network FW_Inside {
address = "VLAN 102"
color = "#E0FFFF"
description = "To Internal Edge"
FW_Primary;
FW_Secondary;
}
}
@enduml
Zásady klíčových návrhů:
- Redundantní obvody od různých poskytovatelů
- Firewall high- dostupnost páry
- Vyčistit hranice mezi zónami důvěry
- L3 bodové spojení mezi routerem a firewallem
Modul 2: Vnitřní hrana / DMZ Úroveň
Pro střední a velké lokality poskytuje vnitřní hrana agregační vrstvu pro služby, které vyžadují řízenou expozici nebo slouží jako přechodové body mezi bezpečnostními zónami.
@startuml Internal Edge Module
skinparam backgroundColor #FEFEFE
nwdiag {
network From_Internet_Edge {
address = "VLAN 102"
color = "#E0FFFF"
description = "From Firewall Inside"
IntEdge_A [description = "Internal Edge\nSwitch A"];
IntEdge_B [description = "Internal Edge\nSwitch B"];
}
network MCLAG_Peer {
address = "Peer-Link"
color = "#DDA0DD"
description = "MCLAG/vPC Peer"
IntEdge_A;
IntEdge_B;
}
network WLC_Mgmt {
address = "VLAN 200 - 10.x.200.0/24"
color = "#FFE4B5"
description = "WLC Management"
IntEdge_A;
IntEdge_B;
WLC [description = "Wireless LAN\nController"];
}
network Proxy_Farm {
address = "VLAN 201 - 10.x.201.0/24"
color = "#FFDAB9"
description = "Proxy Services"
IntEdge_A;
IntEdge_B;
Proxy [description = "Web Proxy\nServers"];
}
network VPN_Services {
address = "VLAN 202 - 10.x.202.0/24"
color = "#E6E6FA"
description = "VPN Termination"
IntEdge_A;
IntEdge_B;
VPN [description = "VPN\nConcentrator"];
}
network Infrastructure {
address = "VLAN 204 - 10.x.204.0/24"
color = "#F0FFF0"
description = "Infrastructure Services"
IntEdge_A;
IntEdge_B;
DNS_DHCP [description = "DNS/DHCP\nServers"];
}
network To_Core {
address = "VLAN 205"
color = "#B0E0E6"
description = "Core Transit"
IntEdge_A;
IntEdge_B;
}
}
@enduml
Služby Typicky ve vnitřním okraji:
- Bezdrátové řadiče LAN (WLC)
- Webové proxy a filtry obsahu
- Koncentratory VPN
- Infrastruktura DNS / DHCP
- Balancery na zatížení
- Skákací hostitele / baštové servery
Modul 3: hlavní vrstva
Jádro je vysokorychlostní páteř, která propojuje všechny ostatní moduly. Měla by být optimalizována pro:
- Maximální propustnost
- Minimální zpoždění
- Vysoká dostupnost
- Jednoduché, rychlé přesměrování
@startuml Core Module
skinparam backgroundColor #FEFEFE
nwdiag {
network From_Internal_Edge {
address = "L3 Routed"
color = "#B0E0E6"
description = "From Internal Edge"
Core_A [description = "Core Switch A\n100G Backbone"];
Core_B [description = "Core Switch B\n100G Backbone"];
}
network Core_Interconnect {
address = "100G+ ISL"
color = "#FFB6C1"
description = "High-Speed Interconnect\nOSPF/IS-IS/BGP"
Core_A;
Core_B;
}
network To_Distribution_1 {
address = "L3 P2P"
color = "#98FB98"
description = "Building A"
Core_A;
Core_B;
Dist_1 [description = "Distribution 1\n(L3 Adjacent)"];
}
network To_Distribution_2 {
address = "L3 P2P"
color = "#DDA0DD"
description = "Building B"
Core_A;
Core_B;
Dist_2 [description = "Distribution 2\n(MCLAG)"];
}
network To_Distribution_3 {
address = "L3 P2P"
color = "#FFDAB9"
description = "Building C"
Core_A;
Core_B;
Dist_3 [description = "Distribution 3\n(MCLAG)"];
}
network To_DC_Border {
address = "L3 Routed"
color = "#87CEEB"
description = "Datacenter"
Core_A;
Core_B;
Border_Leaf [description = "Border Leaf\n(DC Fabric)"];
}
}
@enduml
Zásady základního návrhu:
- Žádná přímo připojená koncová uživatelská zařízení
- L3 směrování mezi jádrovými přepínači (bez třísek)
- Rovnocenná multipath (ECMP) pro rozložení zatížení
- Rychlé konvergenční protokoly
Modul 4: Distribuční vrstva
Distribuční vrstva agregáty Přístup přepínače a podporuje politiku. To je místo, kde návrhy sítě volby mají nejvíce variace na základě požadavků webu.
Variabilita úrovně distribuce
Varianta 1: Přípustné L3 (směrovaný přístup)
V tomto návrhu, distribuce a přístup vrstvy jsouPřilehlá L3- každý přístupový přepínač má vlastní IP podsíť a tratě přímo k distribuci.
@startuml Distribution Variation 1 - L3 Adjacent
skinparam backgroundColor #FEFEFE
nwdiag {
network From_Core {
address = "L3 ECMP"
color = "#B0E0E6"
description = "From Core Layer"
Dist_A [description = "Distribution A\n(L3 Router)"];
Dist_B [description = "Distribution B\n(L3 Router)"];
}
network Dist_iBGP {
address = "iBGP Peering"
color = "#DDA0DD"
description = "ECMP/iBGP"
Dist_A;
Dist_B;
}
network P2P_Access_1 {
address = "10.x.2.0/30"
color = "#98FB98"
description = "L3 Point-to-Point"
Dist_A;
Dist_B;
Access_1 [description = "Access SW-1\n(L3 Gateway)"];
}
network P2P_Access_2 {
address = "10.x.2.8/30"
color = "#FFE4B5"
description = "L3 Point-to-Point"
Dist_A;
Dist_B;
Access_2 [description = "Access SW-2\n(L3 Gateway)"];
}
network P2P_Access_3 {
address = "10.x.2.16/30"
color = "#FFDAB9"
description = "L3 Point-to-Point"
Dist_A;
Dist_B;
Access_3 [description = "Access SW-3\n(L3 Gateway)"];
}
network User_VLAN_1 {
address = "10.x.32.0/24"
color = "#F0FFF0"
description = "Users - SW1"
Access_1;
Laptop_1 [description = "Laptops"];
Phone_1 [description = "Phones"];
}
network User_VLAN_2 {
address = "10.x.33.0/24"
color = "#FFF0F5"
description = "Users - SW2"
Access_2;
Laptop_2 [description = "Laptops"];
Camera_2 [description = "Cameras"];
}
network User_VLAN_3 {
address = "10.x.34.0/24"
color = "#F5FFFA"
description = "Users - SW3"
Access_3;
Laptop_3 [description = "Workstations"];
Camera_3 [description = "Cameras"];
}
}
@enduml
Příklad alokace podsítě:
CLAS124; Link CLAS124; Subnet CLAS124 CLANEK 124; CLANEK 124; CLANEK 124 CLAS124; Distribuce na Core CLAS124; 10.x.1.0 / 30, 10.x.1.4 / 30 CLAS124 CLAS124; Dist- to Access-1 CLAS124; 10.x.2.0 / 30 CLAS124 CLAS124; Dist- B až ACCS-1 CLAS124; 10.x.2.4 / 30 CLAS124 CLAN 124; Access-1 User LAN 124; 10.x.32.0 / 24 CLAN 124 CLAN 124; Access-2 User LAN 124; 10.x.33.0 / 24 CLAN 124
Účinky:
- Izolace domény vysílání při každém přístupovém spínači
- Zjednodušené řešení problémů (otázky obsažené v podsíti)
- Žádný strom mezi distribucí a přístupem
- Shrnutí možné v distribuční vrstvě
Uvažování:
- Vyžaduje přístupové spínače L3-
- Konfigurace relé DHCP na každém přístupovém spínači
- Více komplexní správa IP adres
Varianta 2: MCLAG s trunky LAPA
Tento design používáMulti- podvozkové propojení agregace (MCLAG)při distribuci sDluhopisy zemí AKTpřístup k přepínačům nesoucím trunked VLAN.
Terminologie: Cisco tomu říká vPC (Virtual Port Channel), Arista používá MAS, Juniper používá MC-LAG a HPE / Aruba používá VSX. Funkční chování je podobné všem prodejcům.
@startuml Distribution Variation 2 - MCLAG
skinparam backgroundColor #FEFEFE
nwdiag {
network From_Core {
address = "L3 Routed Uplinks"
color = "#B0E0E6"
description = "From Core Layer"
Dist_A [description = "Distribution A\n(MCLAG Member)"];
Dist_B [description = "Distribution B\n(MCLAG Member)"];
}
network MCLAG_Peer_Link {
address = "Peer-Link"
color = "#FFB6C1"
description = "MCLAG/vPC Peer-Link"
Dist_A;
Dist_B;
}
network LACP_To_Access {
address = "Po1 - LACP Trunk"
color = "#DDA0DD"
description = "VLANs 100,110,120 Trunked"
Dist_A;
Dist_B;
Access_1 [description = "Access SW-1\n(L2 Switch)"];
}
network Data_VLAN {
address = "VLAN 100 - 10.x.32.0/24"
color = "#98FB98"
description = "Data VLAN"
Access_1;
Laptops [description = "Laptops\nWorkstations"];
}
network Voice_VLAN {
address = "VLAN 110 - 10.x.64.0/24"
color = "#FFE4B5"
description = "Voice VLAN"
Access_1;
Phones [description = "IP Phones"];
}
network Security_VLAN {
address = "VLAN 120 - 10.x.96.0/24"
color = "#FFDAB9"
description = "Security VLAN"
Access_1;
Cameras [description = "Cameras\nBadge Readers"];
}
}
@enduml
SVI Umístění (VRRP VIP na distribučním páru):
- LAN 100: 10.x.32.1 / 24
- LAN 110: 10.x.64.1 / 24
- LAN 120: 10.x.96.1 / 24
Konfigurace VLAN Trunk:
CLANS 124; Port- Channel CLANS 124; VLANS CLANS 124; Místo určení 124 CLANEK 124; CLANEK - CLANEK 124; CLANEK 124; CLANEK - CLANEK 124 CLAS124; Po1 (MCLAG) CLAS124; 100,110,120 CLAS124; CLAS-1 CLAS124 CLAS124; Po2 (MCLAG) CLAS124; 100,110,120,130 CLAS124; CLAS-2 CLAS124 CLAS124; Po3 (MCLAG) CLAS124; 100,110 CLAS124; Access-3 CLAS124 12; - 12
MCLAG Výhody:
- Active- aktivní přesměrování (oba uplinks využity)
- Poddruhá chyba
- Jednotný logický přepínač z hlediska přístupu
- Žádné blokování stromů
Uvažování:
- VLANs span více přístupových spínačů (větší domény vysílání)
- MCLAG peer- link se může stát úzkým
- STP stále nutné jako smyčka prevence zálohování
Varianta 3: Hraniční list pro Spine / Leaf Datacenter
V prostředí datového centra se distribuční vrstva stáváList hraničnípřipojení páteře / listové textilie ke zbytku podnikové sítě.
@startuml Distribution Variation 3 - Border Leaf Datacenter
skinparam backgroundColor #FEFEFE
nwdiag {
network Enterprise_Core {
address = "L3 Routed (eBGP/OSPF)"
color = "#B0E0E6"
description = "From Enterprise Core"
Border_A [description = "Border Leaf A\nVXLAN Gateway"];
Border_B [description = "Border Leaf B\nVXLAN Gateway"];
}
network Border_EVPN {
address = "VXLAN EVPN"
color = "#DDA0DD"
description = "EVPN Type-5 Routes"
Border_A;
Border_B;
Spine_1 [description = "Spine 1"];
Spine_2 [description = "Spine 2"];
}
network Spine_Fabric {
address = "eBGP Underlay"
color = "#FFB6C1"
description = "Spine Layer"
Spine_1;
Spine_2;
}
network Leaf_Tier_1 {
address = "VTEP"
color = "#98FB98"
description = "Compute Rack 1"
Spine_1;
Spine_2;
Leaf_1 [description = "Leaf 1"];
Leaf_2 [description = "Leaf 2"];
}
network Leaf_Tier_2 {
address = "VTEP"
color = "#FFE4B5"
description = "Storage/Services"
Spine_1;
Spine_2;
Leaf_3 [description = "Leaf 3"];
Leaf_4 [description = "Leaf 4"];
}
network Server_Rack_1 {
address = "VNI 10001"
color = "#F0FFF0"
description = "Compute Servers"
Leaf_1;
Leaf_2;
Servers_1 [description = "Rack Servers\nVMs/Containers"];
}
network Storage_Network {
address = "VNI 10002"
color = "#FFDAB9"
description = "Storage Arrays"
Leaf_3;
Storage [description = "SAN/NAS\nStorage"];
}
network Voice_Services {
address = "VNI 10003"
color = "#E6E6FA"
description = "UC Systems"
Leaf_4;
PBX [description = "PBX/UC\nSystems"];
}
}
@enduml
Detaily datového centra:
CLAS124; Component CLAS124; Function CLAS124 CLAS124; CLAS124; CLAS124; CLAS124 CLAS124PodkladCLAS124; eBGP (ASN per switch) nebo OSPF CLAS124 CLAS124PřekrytíVXLAN s řídicí rovinou EVPN CLANE124 CLAS124List hraničníVXLAN- to- LAN brána, Vnější trasy, Inter- VRF routing routing 124 CLAS124List pracovní zatíženíCLAS124; Compute, Storage, Voice / UC, Infrastruktura CLAS124
Účinky:
- Masivní horizontální stupnice (podle potřeby přidejte dvojice listů)
- Neblokující struktura tkanin
- Multi- tenancy via VRF / VNI
- Optimální východozápadní dopravní vzory
Uvažování:
- Provozní složitost VXLAN / EVPN
- Požadované zvláštní dovednosti
- Vyšší náklady na vybavení
Modul 5: Přístupová vrstva
Přístupová vrstva je místem, kde se spojují koncová zařízení. Bez ohledu na topologii distribuce, přístupové spínače poskytují:
@startuml Access Layer Module
skinparam backgroundColor #FEFEFE
nwdiag {
network Distribution_Uplink {
address = "L3 or LACP Trunk"
color = "#B0E0E6"
description = "Uplinks to Distribution"
Access_SW [description = "48-Port Access Switch\nPoE+ Capable"];
}
network Data_VLAN {
address = "VLAN 100 - Ports 1-8, 25-32"
color = "#98FB98"
description = "Data VLAN"
Access_SW;
Laptops [description = "Laptops\nWorkstations"];
}
network Voice_VLAN {
address = "VLAN 110 - Ports 9-16"
color = "#FFE4B5"
description = "Voice VLAN"
Access_SW;
Phones [description = "IP Phones"];
}
network Camera_VLAN {
address = "VLAN 120 - Ports 17-24"
color = "#FFDAB9"
description = "Security VLAN"
Access_SW;
Cameras [description = "IP Cameras"];
}
network Wireless_VLAN {
address = "VLAN 130 - Ports 33-40"
color = "#DDA0DD"
description = "Wireless AP VLAN"
Access_SW;
APs [description = "Wireless APs"];
}
network Mgmt_VLAN {
address = "VLAN 999 - Ports 41-44"
color = "#F0FFF0"
description = "Management VLAN"
Access_SW;
}
}
@enduml
Vlastnosti přístupové vrstvy:
- 802.1X / MAB autentizace
- Dynamický úkol VLAN
- Bezpečnost přístavu
- DHCP čmuchání
- Dynamická kontrola ARP
- IP zdrojová stráž
Kompletní modulární topologie
Zde je, jak se všechny moduly připojit k vytvoření kompletní podnikové sítě:
@startuml Complete Modular Network Topology
skinparam backgroundColor #FEFEFE
title Complete Enterprise Modular Network
nwdiag {
internet [shape = cloud, description = "Internet/WAN"];
network Internet_Edge {
address = "Module 1"
color = "#FFE4E1"
description = "INTERNET EDGE MODULE"
internet;
ISP_A [description = "ISP-A"];
ISP_B [description = "ISP-B"];
MPLS [description = "MPLS"];
Edge_RTR [description = "Edge Router"];
FW_A [description = "FW-A"];
FW_B [description = "FW-B"];
}
network Internal_Edge {
address = "Module 2"
color = "#E6E6FA"
description = "INTERNAL EDGE / DMZ MODULE"
FW_A;
FW_B;
IntEdge_A [description = "IntEdge-A"];
IntEdge_B [description = "IntEdge-B"];
WLC [description = "WLC"];
Proxy [description = "Proxy"];
VPN [description = "VPN"];
DNS [description = "DNS/DHCP"];
}
network Core {
address = "Module 3"
color = "#B0E0E6"
description = "CORE MODULE"
IntEdge_A;
IntEdge_B;
Core_A [description = "Core-A"];
Core_B [description = "Core-B"];
}
network Distribution_L3 {
address = "Variation 1"
color = "#98FB98"
description = "DIST - L3 Adjacent\n(Building A)"
Core_A;
Core_B;
Dist_1A [description = "Dist-1A"];
Dist_1B [description = "Dist-1B"];
Access_L3 [description = "Access\n(L3)"];
}
network Distribution_MCLAG {
address = "Variation 2"
color = "#DDA0DD"
description = "DIST - MCLAG\n(Building B)"
Core_A;
Core_B;
Dist_2A [description = "Dist-2A"];
Dist_2B [description = "Dist-2B"];
Access_L2 [description = "Access\n(L2)"];
}
network Datacenter {
address = "Variation 3"
color = "#FFE4B5"
description = "DATACENTER\n(Spine/Leaf)"
Core_A;
Core_B;
Border_Leaf [description = "Border\nLeaf"];
Spine [description = "Spine"];
Leaf [description = "Leaf"];
Servers [description = "Servers\nStorage\nPBX"];
}
network Campus_Users {
address = "End Devices"
color = "#F0FFF0"
description = "Campus Users"
Access_L3;
Access_L2;
Users [description = "Laptops\nPhones\nCameras"];
}
}
@enduml
IP řešení strategie s izolací VRF
Výzva pro multisegment, Multi-VRF design
Pokud sítě rostou a zahrnují více bezpečnostních zón, obchodních jednotek nebo hranic dodržování předpisů,VRF (Virtual Routing and Forwarding)zajišťuje izolaci traťového stolu. Rozšíření VRF prostřednictvím více úrovní však zvyšuje složitost:
- Každý L3 hop vyžaduje tranzitní podsíť
- Podrozhraní násobí složitost konfigurace
- Řešení problémů zahrnuje více směrovacích tabulek
- Dokumentace musí sledovat VRF členství na každém stupni
Strategie podsítě Schema
Dobře navržené podsíť schéma dělá vzory rozpoznatelné, snížení kognitivní zatížení a konfigurační chyby.
Příklad: Velká výrobní stránka (10.0.0.0 / 13)
Přidělení místa:10.0.0.0 / 13 (Výrobní místo Alpha) - 524,286 použitelných hostitelů
@startuml VRF Subnet Schema
skinparam backgroundColor #FEFEFE
title Large Site VRF Allocation Schema (10.0.0.0/13)
nwdiag {
network Corporate_VRF {
address = "VRF: CORPORATE\n10.0.0.0/17"
color = "#98FB98"
description = "Production Users"
Corp_Transit [description = "Transit\n10.0.0.0/23"];
Corp_Users [description = "Users\n10.0.32.0/19"];
Corp_Voice [description = "Voice\n10.0.64.0/19"];
Corp_Wireless [description = "Wireless\n10.0.96.0/19"];
Corp_Server [description = "Servers\n10.0.112.0/20"];
}
network Guest_VRF {
address = "VRF: GUEST\n10.1.0.0/17"
color = "#FFE4B5"
description = "Visitor Network"
Guest_Transit [description = "Transit\n10.1.0.0/23"];
Guest_Users [description = "Users\n10.1.32.0/19"];
}
network Security_VRF {
address = "VRF: SECURITY\n10.2.0.0/17"
color = "#FFDAB9"
description = "Physical Security"
Sec_Transit [description = "Transit\n10.2.0.0/23"];
Sec_Camera [description = "Cameras\n10.2.32.0/19"];
Sec_Badge [description = "Badge Readers\n10.2.64.0/19"];
Sec_NVR [description = "NVR/VMS\n10.2.96.0/20"];
}
network IOT_VRF {
address = "VRF: IOT\n10.3.0.0/17"
color = "#E6E6FA"
description = "Manufacturing OT"
IOT_Transit [description = "Transit\n10.3.0.0/23"];
IOT_PLC [description = "PLCs\n10.3.32.0/19"];
IOT_HMI [description = "HMIs\n10.3.64.0/19"];
IOT_SCADA [description = "SCADA\n10.3.96.0/20"];
}
}
@enduml
Tranzit Segment Detail (10.0.0.0 / 23 - 510 použitelných IP):
CLANEK124; Subnet CLANEK124; Popis odkazu CLANEK124 -- -- -- -- -- -- -- -- -- -- -- CLAS124; 10.0.0 / 30 CLAS124; FW- Inside → Internal- Edge- CLAS124 CLAS124; 10.0.4 / 30 CLAS124; FW- Inside → Internal- Edge- B CLAS124 CORE- CORE- CARE124 CORE- B CORE124 CORE- 124 CLAS124; 10.0.0.20 / 30 CLAS124; Internal- Edge- B → Core- B CLAS124 CoreA → DistributionA CORE124 CoreA → Distribution- B Credi124 CORE- B → Distribution- CARE124 CORE- B → Distribution- B CORE124 CLAS124; 10.0.0.40 / 30 CLAS124; DistributionA → Access- SW-1 CLAS124 CLAS124; 10.0.0.44 / 30 CLAS124; Distribution-B → Access- SW-1 CLAS124 CLAS124;... CLAS124; (vzor pokračuje) CLAS124
Poznámka:/ 31 podsítě (RFC 3021) lze použít také pro odkazy point-to-point, uchování adresního prostoru.
Výhody pro uznání vzorců
Pokud jsou vzorce podsítě konzistentní mezi VRF:
Co víte, co můžete infiltrovat -- CLAS124; Transit link in Corporate use 10.0.0.40 / 30 CLAS124; Ekvivalent pro hosty je 10.1.0.40 / 30 CLAS124 CLAS124; uživatelé SW-5 jsou na 10.0.36.0 / 24 CLAS124; bezpečnostní kamery na stejném přepínači jsou 10.2.36.0 / 24 CLAS124 Alpha je10,0,0 /13
To umožňuje inženýrům:
- Předpokladem IP adres bez konzultační dokumentace
- Okamžitě rozpoznat špatně nakonfigurované podsítě
- Vytvořit šablony automatizace, které pracují napříč VRF
- Trénovat nové zaměstnance na vzor, ne paměti
Šablony velikosti místa
Šablona malých lokalit (pobočka)
@startuml Small Site Template
skinparam backgroundColor #FEFEFE
title Small Site Template (< 50 users)
nwdiag {
internet [shape = cloud];
network WAN {
color = "#FFE4E1"
description = "ISP/MPLS Circuit"
internet;
UTM [description = "UTM/SD-WAN\nAppliance\n(Router+FW+VPN+WLC)"];
}
network LAN {
address = "10.100.x.0/24"
color = "#98FB98"
description = "Single Subnet"
UTM;
Access [description = "Access Switch\n(or UTM ports)"];
}
network Endpoints {
color = "#F0FFF0"
description = "End Devices"
Access;
AP [description = "WiFi AP"];
Users [description = "Users"];
Phones [description = "Phones"];
}
}
@enduml
Poznámky k návrhu malých stránek:
- Kolaps návrhu: Všechny funkce v minimálním hardwaru
- Podsíť: / 24 nebo / 23 na místo
- Příklad: 10.100.1.0 / 24 (místo 001)
Medium Site šablona (Regionální úřad)
@startuml Medium Site Template
skinparam backgroundColor #FEFEFE
title Medium Site Template (50-500 users)
nwdiag {
internet [shape = cloud];
network WAN_Edge {
color = "#FFE4E1"
description = "Internet Edge"
internet;
ISP_A [description = "ISP-A"];
ISP_B [description = "ISP-B/MPLS"];
Edge_RTR [description = "Edge Router"];
}
network Firewall_Tier {
color = "#FFDAB9"
description = "Firewall HA Pair"
Edge_RTR;
FW_A [description = "FW-A"];
FW_B [description = "FW-B"];
}
network Distribution {
address = "10.50.x.0/21"
color = "#DDA0DD"
description = "MCLAG Distribution\n(Dist/Core Combined)"
FW_A;
FW_B;
Dist_A [description = "Dist-A"];
Dist_B [description = "Dist-B"];
}
network Access_Tier {
color = "#98FB98"
description = "Access Switches (LACP)"
Dist_A;
Dist_B;
Acc1 [description = "Acc1"];
Acc2 [description = "Acc2"];
Acc3 [description = "Acc3"];
Acc4 [description = "Acc4"];
Acc5 [description = "Acc5"];
}
network Users {
color = "#F0FFF0"
description = "End Devices"
Acc1;
Acc2;
Acc3;
Acc4;
Acc5;
Endpoints [description = "Laptops/Phones\nCameras/APs"];
}
}
@enduml
Poznámky k návrhu středních stránek:
- Částečná modularita: Distinct Edge and Access Tiers
- Podsíť: / 21 per site (2,046 IP)
- Příklad: 10.50.0.0 / 21 (místo 050)
Name
@startuml Large Site Template
skinparam backgroundColor #FEFEFE
title Large Site Template (500+ users)
nwdiag {
internet [shape = cloud];
network Internet_Edge {
color = "#FFE4E1"
description = "INTERNET EDGE MODULE"
internet;
ISP_A [description = "ISP-A"];
ISP_B [description = "ISP-B"];
MPLS [description = "MPLS"];
Edge_RTR [description = "Edge-RTR"];
FW_A [description = "FW-A"];
FW_B [description = "FW-B"];
}
network Internal_Edge {
color = "#E6E6FA"
description = "INTERNAL EDGE MODULE"
FW_A;
FW_B;
IntEdge_A [description = "IntEdge-A"];
IntEdge_B [description = "IntEdge-B"];
WLC [description = "WLC"];
Proxy [description = "Proxy"];
VPN [description = "VPN"];
DNS [description = "DNS"];
}
network Core {
color = "#B0E0E6"
description = "CORE MODULE"
IntEdge_A;
IntEdge_B;
Core_A [description = "Core-A"];
Core_B [description = "Core-B"];
}
network Dist_Var1 {
color = "#98FB98"
description = "L3 Adjacent"
Core_A;
Core_B;
Dist_1 [description = "Dist-1"];
Access_1 [description = "Access"];
}
network Dist_Var2 {
color = "#DDA0DD"
description = "MCLAG Trunk"
Core_A;
Core_B;
Dist_2 [description = "Dist-2"];
Access_2 [description = "Access"];
}
network Dist_Var3 {
color = "#FFE4B5"
description = "MCLAG Trunk"
Core_A;
Core_B;
Dist_3 [description = "Dist-3"];
Access_3 [description = "Access"];
}
network Datacenter {
color = "#87CEEB"
description = "SPINE/LEAF DC"
Core_A;
Core_B;
Border [description = "Border-Leaf"];
Spine [description = "Spine"];
Leaf [description = "Leaf"];
Servers [description = "Servers"];
}
}
@enduml
Poznámky k návrhu velkých stránek:
- Úplná modularita: Všechny úrovně fyzicky oddělené
- Podsíť: / 13 až / 15 na místo (podle počtu VRF)
- Příklad: 10.0.0.0 / 13 (HQ) - 524,286 IP
VRF a L3 Segmentace: Výhody a komplexita
Výhody L3 Segmentace s sub- rozhraními
- Bezpečnostní izolace: Provoz mezi VRF musí překročit firewall nebo politické zařízení
- Zabezpečení blast radius: Kompromitovaný segment nemůže přímo dosáhnout jiných VRF
- Hranice dodržování požadavků: PCI, HIPAA, nebo OT sítě v samostatných oblastech směrování
- Dopravní inženýrství: Různé směrovací zásady pro VRF
Tradeoff komplexity
Když se segmenty musí rozšířit přes více úrovní, každá hranice L3 přidá konfigurační režii:
@startuml Multi-VRF Path Through Tiers
skinparam backgroundColor #FEFEFE
title Multi-VRF Traffic Path: Camera to NVR
nwdiag {
network Camera_Segment {
address = "VLAN 120\n10.2.36.0/24"
color = "#FFDAB9"
description = "VRF: SECURITY"
Camera [description = "Camera"];
Access_SW [description = "Access-SW\nSub-int: 10.2.0.40/30"];
}
network Access_to_Dist {
address = "10.2.0.40/30"
color = "#DDA0DD"
description = "VRF: SECURITY"
Access_SW;
Distribution [description = "Distribution\nSub-int: 10.2.0.24/30"];
}
network Dist_to_Core {
address = "10.2.0.24/30"
color = "#B0E0E6"
description = "VRF: SECURITY"
Distribution;
Core [description = "Core\nSub-int: 10.2.0.8/30"];
}
network Core_to_IntEdge {
address = "10.2.0.8/30"
color = "#E6E6FA"
description = "VRF: SECURITY"
Core;
Internal_Edge [description = "Internal-Edge\nSub-int: 10.2.0.0/30"];
}
network IntEdge_to_FW {
address = "10.2.0.0/30"
color = "#FFE4E1"
description = "VRF: SECURITY"
Internal_Edge;
Firewall [description = "Firewall\nInter-VRF Policy"];
}
network DC_Path {
address = "VXLAN/EVPN"
color = "#87CEEB"
description = "Datacenter Fabric"
Firewall;
Border_Leaf [description = "Border-Leaf"];
Spine [description = "Spine"];
Leaf [description = "Leaf"];
NVR [description = "NVR"];
}
}
@enduml
Nastavení nad hlavou:
- 5 subrozhraní na VRF na cestu
- 4 VRF × 5 sub- ints = 20 sub- rozhraní na spínač
- Přizpůsobení protokolu směrování v každém VRF
- Route- unikající nebo firewall pravidla pro inter- VRF provoz
Mitigační strategie
- Mezní počet VRF: Vytvořit pouze VRF pro skutečné požadavky na izolaci
- Centralizovat inter- VRF routing: Single firewall policy point vs. distributed
- Použít VXLAN / EVPN: Překrytí snižuje fyzický rozstřik podrozhraní
- Automatické zajištění: Šablony zajišťují konzistentní konfiguraci
- Dokumentovat vzor: Jakmile se naučíte, vzory jsou rychlejší než hledání
Souhrn: Vybudování škálovatelného síťového vzoru
Cílem modulární síťové konstrukce je vytvořitopakovatelný vzorkterá umožňuje:
CLAS124; Scale CLAS124; Sites CLAS124; Pattern CLAS124 CLANEK 124; CLANEK 124; CLANEK 124; CLANEK - CLANEK 124 CLANEK 124; Small CLANEK 124; 10.000 + CLANED 124; Collebed UTM + single switch, / 24 per site CLANE124 CLAS124; Medium CLAS124; 1000 + CLAS124; Edge + MCLAG distribution + access, / 21 per site CLAS124 CLANEK 124; Large CLANEK 124; 100 + CLANEK 124; Full modular (Edge, Internal Edge, Core, Distribuční varianty, DC tkanina), / 13- / 15 per site CLANE124
Klíčové tahače
- Moduly vytvářejí hranice: Každý modul má definovaný účel a rozhraní
- Vzorky umožňují měřítko: Stejný design na každé stránce snižuje školení a chyby
- VRF poskytují izolaci: Ale přidat konfigurační složitost na každé úrovni
- Podsíťová schémata: Předvídatelné řešení snižuje kognitivní zátěž
- Distribuce se liší podle potřeby: Přilehlá L3, MCLAG / LOP, nebo páteř / list
- Pravá velikost místa: Don 't over- inženýr malé stránky
Vytvořením těchto vzorců a jejich důsledně uplatňováním mohou organizace budovat sítě, které se rozšiřují od jediné pobočky po globální podnik - a to vše při zachování provozní jednoduchosti a bezpečnosti.
Článek verze 2.0 COMM124; Zveřejněno 2026-02- 02 CMM124; Aktualizováno s PlantUML nwdiag diagramy