Modular Network Design: A Scalable Architecture Framework
Projektuesi i Rrjetit Moduar: Një Kuadër Arkitektuale e Skalitshme
Futja në projektimin e Rrjetit Modar
Modulia e rrjetit është praktika e projektimit të rrjeteve si segmente të ndërlidhura, të ndërtuara me qëllim dhe jo me struktura monolitike. Çdo modul i shërben një funksioni specifik, ka përcaktuar kufijtë, dhe lidhet me modulet fqinje nëpërmjet ndërfaqeve të ruajtura mirë. Kjo metodë transformon projektin e rrjetit nga një art në një disiplinë inxhinierike të përsëritur.
Fuqia e modularitetit qëndron në aftësinë e tij për të krijuarmodele të parashikueshmeqë mund të aplikohet vazhdimisht në të gjithë gjurmët e infrastrukturës së një organizate që shtrihet në dhjetëra mijë vende të vogla, mijëra vende të mesme ose qindra kampuse të mëdha ndërmarrjesh.
Pse ka rëndësi shthurja
Dobitë në të gjitha shkallët e rrjetit
Nga të mirat në Sitet e vogla, në të cilat banon një vend i vogël Selim---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- ⇩Trokitje e thjeshtëzuarInxhinieri i vetëm mund të kuptojë të gjitha skuadrat topologjike mund të specializohet nga moduli i qartë midis pronarëve të modulit ⇩Skanim i parashikueshëm¶ Shto module si të nevojshme ## Klani i modeleve të vërtetuara pa rimodelim ⇩Siguria e vazhdueshmeTë njëjtat politika kudo që janë, janë në përputhje me qëndrimin e tyre të plotë ⇩Efektshmëria OperacionaleVendosja me bazë në Shabllon, e automatizuar, menaxhimi i ndryshimeve të standartizuara ⇩Kontrolli i kostos• Madhësia e djathtë e çdo moduli të ziftit duke blerë nga moduli i llojit të ciklit të jetës me anë të tir hynë në punë
Vështirësia e lehtë
Organizatat rrallë qëndrojnë statike. Një projekt modular duhet të përshtatet:
- 10,000+ site të vegjëlZyra dege, vende me pakicë, ndërtesa të largëta
- 1,000+ faqe të mesmeZyrat rajonale, qendrat shpërndarëse, fabrikat prodhuese
- 100+ site të mëdhaSelia, qendrat e të dhënave, kampuset kryesore
Pa modularitet, çdo vend bëhet një bore dëbore unike që kërkon dokumentacion të personalizuar, trajnim të specializuar dhe goditje me një kalim. Me modestinë, një inxhinier që e kupton modelin mund të punojë me efektshmëri në çdo vend.
Rrjeti
Moduli 1: Edge Segment në Internet
Interneti Edge është vendi ku organizata juaj takon botën e jashtme. Ky modul përmban:
- WAN/Internet(MPLS, DIA, Broadband, LTE/5G)
- Edge(BGP Shoing, WAN fund)
- Firewalls(Inspektim shtetëror, NAT, VPN fund)
- Segment VLANpër ndarje funksionale
@startuml Internet Edge Module
!define ICONURL https://raw.githubusercontent.com/Roemer/plantuml-office/master/office2014
skinparam backgroundColor #FEFEFE
skinparam handwritten false
nwdiag {
internet [shape = cloud, description = "Internet"];
network ISP_Transit {
address = "VLAN 10-12"
color = "#FFE4E1"
description = "ISP/MPLS Transit"
internet;
ISP_A [description = "ISP-A\nCircuit"];
ISP_B [description = "ISP-B\nCircuit"];
MPLS [description = "MPLS\nCircuit"];
}
network Edge_Router_Segment {
address = "VLAN 10,11,12"
color = "#E6E6FA"
description = "Edge Router Aggregation"
ISP_A;
ISP_B;
MPLS;
Edge_Router [description = "Edge Router\n(BGP Peering)"];
}
network FW_Outside {
address = "VLAN 100"
color = "#FFFACD"
description = "Firewall Outside"
Edge_Router;
FW_Primary [description = "Firewall\nPrimary"];
FW_Secondary [description = "Firewall\nSecondary"];
}
network FW_HA_Sync {
address = "VLAN 101"
color = "#F0FFF0"
description = "HA Sync Link"
FW_Primary;
FW_Secondary;
}
network FW_Inside {
address = "VLAN 102"
color = "#E0FFFF"
description = "To Internal Edge"
FW_Primary;
FW_Secondary;
}
}
@enduml
Parimet kyçe:
- Rrethe të kuqe nga furnizues të ndryshëm
- Yearwall
- Pastro kufijtë LAN midis zonave të besimit
- L3 pikë nga pika midis udhëzuesit dhe firewall
Moduli 2: Brenda Edge / DMZ Zona
Për vendet e mesme dhe të mëdha, Edge i Brendshëm ofron një shtresë të dyshuar për shërbimet që kërkojnë ekspozimin e kontrolluar ose shërbejnë si pika tranzicioni midis zonave të sigurisë.
@startuml Internal Edge Module
skinparam backgroundColor #FEFEFE
nwdiag {
network From_Internet_Edge {
address = "VLAN 102"
color = "#E0FFFF"
description = "From Firewall Inside"
IntEdge_A [description = "Internal Edge\nSwitch A"];
IntEdge_B [description = "Internal Edge\nSwitch B"];
}
network MCLAG_Peer {
address = "Peer-Link"
color = "#DDA0DD"
description = "MCLAG/vPC Peer"
IntEdge_A;
IntEdge_B;
}
network WLC_Mgmt {
address = "VLAN 200 - 10.x.200.0/24"
color = "#FFE4B5"
description = "WLC Management"
IntEdge_A;
IntEdge_B;
WLC [description = "Wireless LAN\nController"];
}
network Proxy_Farm {
address = "VLAN 201 - 10.x.201.0/24"
color = "#FFDAB9"
description = "Proxy Services"
IntEdge_A;
IntEdge_B;
Proxy [description = "Web Proxy\nServers"];
}
network VPN_Services {
address = "VLAN 202 - 10.x.202.0/24"
color = "#E6E6FA"
description = "VPN Termination"
IntEdge_A;
IntEdge_B;
VPN [description = "VPN\nConcentrator"];
}
network Infrastructure {
address = "VLAN 204 - 10.x.204.0/24"
color = "#F0FFF0"
description = "Infrastructure Services"
IntEdge_A;
IntEdge_B;
DNS_DHCP [description = "DNS/DHCP\nServers"];
}
network To_Core {
address = "VLAN 205"
color = "#B0E0E6"
description = "Core Transit"
IntEdge_A;
IntEdge_B;
}
}
@enduml
Shërbimet tipike në Edgen e Brendshëm:
- Kontrollues LAN pa fije (WLC)
- Proxies dhe përmbajtja
- Koncentratorë VPN
- Infrastruktura DNS/DHCP
- Ngarko
- Server
Burimi
Kori është shtylla kurrizore me shpejtësi të lartë që lidh të gjitha modulet e tjera. Duhet optimizuar për:
- Maksimumi
- Minimum
- Në dispozicion i madh
- E thjeshtë, e shpejtë përpara
@startuml Core Module
skinparam backgroundColor #FEFEFE
nwdiag {
network From_Internal_Edge {
address = "L3 Routed"
color = "#B0E0E6"
description = "From Internal Edge"
Core_A [description = "Core Switch A\n100G Backbone"];
Core_B [description = "Core Switch B\n100G Backbone"];
}
network Core_Interconnect {
address = "100G+ ISL"
color = "#FFB6C1"
description = "High-Speed Interconnect\nOSPF/IS-IS/BGP"
Core_A;
Core_B;
}
network To_Distribution_1 {
address = "L3 P2P"
color = "#98FB98"
description = "Building A"
Core_A;
Core_B;
Dist_1 [description = "Distribution 1\n(L3 Adjacent)"];
}
network To_Distribution_2 {
address = "L3 P2P"
color = "#DDA0DD"
description = "Building B"
Core_A;
Core_B;
Dist_2 [description = "Distribution 2\n(MCLAG)"];
}
network To_Distribution_3 {
address = "L3 P2P"
color = "#FFDAB9"
description = "Building C"
Core_A;
Core_B;
Dist_3 [description = "Distribution 3\n(MCLAG)"];
}
network To_DC_Border {
address = "L3 Routed"
color = "#87CEEB"
description = "Datacenter"
Core_A;
Core_B;
Border_Leaf [description = "Border Leaf\n(DC Fabric)"];
}
}
@enduml
Përcaktimi i parimeve:
- Jo
- L3 riuting në mes të pulsantëve bazë (jo pemë që shtrihet)
- Me kosto të barabartë (ECMP) për shpërndarjen e ngarkesave
- Protokolle konvergjencë të shpejtë
Burimi
Shtresa e shpërndarjes integron kalimin dhe forcon politikën. Këtu zgjedhjet për projektimin e rrjetit kanë më shumë variacion bazuar në kërkesat për site.
Variacionet e grupit shpërndarës
Vanition 1: L3 Adjacent (Açesi e shkëputur)
Në këtë projekt, shpërndarja dhe hyrjet janëL3 ngjiturÇdo kalim hyrjeje ka nënnetin e vet IP dhe rrugët direkt për shpërndarje.
@startuml Distribution Variation 1 - L3 Adjacent
skinparam backgroundColor #FEFEFE
nwdiag {
network From_Core {
address = "L3 ECMP"
color = "#B0E0E6"
description = "From Core Layer"
Dist_A [description = "Distribution A\n(L3 Router)"];
Dist_B [description = "Distribution B\n(L3 Router)"];
}
network Dist_iBGP {
address = "iBGP Peering"
color = "#DDA0DD"
description = "ECMP/iBGP"
Dist_A;
Dist_B;
}
network P2P_Access_1 {
address = "10.x.2.0/30"
color = "#98FB98"
description = "L3 Point-to-Point"
Dist_A;
Dist_B;
Access_1 [description = "Access SW-1\n(L3 Gateway)"];
}
network P2P_Access_2 {
address = "10.x.2.8/30"
color = "#FFE4B5"
description = "L3 Point-to-Point"
Dist_A;
Dist_B;
Access_2 [description = "Access SW-2\n(L3 Gateway)"];
}
network P2P_Access_3 {
address = "10.x.2.16/30"
color = "#FFDAB9"
description = "L3 Point-to-Point"
Dist_A;
Dist_B;
Access_3 [description = "Access SW-3\n(L3 Gateway)"];
}
network User_VLAN_1 {
address = "10.x.32.0/24"
color = "#F0FFF0"
description = "Users - SW1"
Access_1;
Laptop_1 [description = "Laptops"];
Phone_1 [description = "Phones"];
}
network User_VLAN_2 {
address = "10.x.33.0/24"
color = "#FFF0F5"
description = "Users - SW2"
Access_2;
Laptop_2 [description = "Laptops"];
Camera_2 [description = "Cameras"];
}
network User_VLAN_3 {
address = "10.x.34.0/24"
color = "#F5FFFA"
description = "Users - SW3"
Access_3;
Laptop_3 [description = "Workstations"];
Camera_3 [description = "Cameras"];
}
}
@enduml
Shembull:
Linku (Lidhja) mbrojtës...------⇩----------♫ Përhapje në Kore, 10.1,0/30, 10.x.1.0430 Dist-A për të hyrë në 1-0, 10.x.2.0/30ق B BB Qasja 1 Përdorues VLAN, 10.x.32.0/24 GNU Access-2 Përdorues VLAN10x.33.0/24
Dobitë:
- Izolim i domaineve transmetuese në çdo çelës hyrjeje
- Shkarkimi i thjeshtuar (çështje që përmbajnë nënnet)
- Jo degëzimi
- Arritja është e mundur tek niveli i shpërndarjes
Shënime:
- Kërkon ndërprerje të aksesit L3
- DHCP përsoftues në çdo çelës hyrjeje
- Menaxhim më kompleks i adresës IP
Vanition 2: MCLAG me LACP Trunks
Ky projekt përdorMulti-Chasis Linke Agregation (MCLAG)në shpërndarje meBonot LACPpër të hyrë në intervalet me bagazhe.
Terminologjia vendore: Cisco e quan këtë vPC (Vitual Port Channel), Arista përdor MLAG, Juniper përdor MC-LAG dhe HPE/Aruba përdor VSX. Sjellja funksionale është e ngjashme me shitësit.
@startuml Distribution Variation 2 - MCLAG
skinparam backgroundColor #FEFEFE
nwdiag {
network From_Core {
address = "L3 Routed Uplinks"
color = "#B0E0E6"
description = "From Core Layer"
Dist_A [description = "Distribution A\n(MCLAG Member)"];
Dist_B [description = "Distribution B\n(MCLAG Member)"];
}
network MCLAG_Peer_Link {
address = "Peer-Link"
color = "#FFB6C1"
description = "MCLAG/vPC Peer-Link"
Dist_A;
Dist_B;
}
network LACP_To_Access {
address = "Po1 - LACP Trunk"
color = "#DDA0DD"
description = "VLANs 100,110,120 Trunked"
Dist_A;
Dist_B;
Access_1 [description = "Access SW-1\n(L2 Switch)"];
}
network Data_VLAN {
address = "VLAN 100 - 10.x.32.0/24"
color = "#98FB98"
description = "Data VLAN"
Access_1;
Laptops [description = "Laptops\nWorkstations"];
}
network Voice_VLAN {
address = "VLAN 110 - 10.x.64.0/24"
color = "#FFE4B5"
description = "Voice VLAN"
Access_1;
Phones [description = "IP Phones"];
}
network Security_VLAN {
address = "VLAN 120 - 10.x.96.0/24"
color = "#FFDAB9"
description = "Security VLAN"
Access_1;
Cameras [description = "Cameras\nBadge Readers"];
}
}
@enduml
SVI Placement (VRRP VIP në Shpërndarjen Pair):
- 100: 10.x.32.124
- 110: 10.x.64.124
- 120: 10.x.96.124
Konfigurimi:
SIGURA Manjola ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- SIGURA SIGURA (MCLAG) SIGURA NJERËZIT VLANKU (nuk përdoren)
Dobitë e MCLAG:
- Aktiv
- Dështim nën sekondë
- Një ndryshim logjik nga perspektiva e hyrjes
- Jo
Shënime:
- VLANs shpalosen me shumë intervale hyrjeje (domene më të mëdha transmetimi)
- Lidhja MCLAG mund të bëhet e vështirë
- STP kërkohet ende si backup për parandalimin e rrethit
Variation 3: Gjethja kufitare për Spine/Leaf Datacenter
Në mjediset e të dhënave, shtresa e shpërndarjes bëhetGjethja kufitareduke lidhur pëlhurën kurrizore/leaf me pjesën tjetër të rrjetit të ndërmarrjeve.
@startuml Distribution Variation 3 - Border Leaf Datacenter
skinparam backgroundColor #FEFEFE
nwdiag {
network Enterprise_Core {
address = "L3 Routed (eBGP/OSPF)"
color = "#B0E0E6"
description = "From Enterprise Core"
Border_A [description = "Border Leaf A\nVXLAN Gateway"];
Border_B [description = "Border Leaf B\nVXLAN Gateway"];
}
network Border_EVPN {
address = "VXLAN EVPN"
color = "#DDA0DD"
description = "EVPN Type-5 Routes"
Border_A;
Border_B;
Spine_1 [description = "Spine 1"];
Spine_2 [description = "Spine 2"];
}
network Spine_Fabric {
address = "eBGP Underlay"
color = "#FFB6C1"
description = "Spine Layer"
Spine_1;
Spine_2;
}
network Leaf_Tier_1 {
address = "VTEP"
color = "#98FB98"
description = "Compute Rack 1"
Spine_1;
Spine_2;
Leaf_1 [description = "Leaf 1"];
Leaf_2 [description = "Leaf 2"];
}
network Leaf_Tier_2 {
address = "VTEP"
color = "#FFE4B5"
description = "Storage/Services"
Spine_1;
Spine_2;
Leaf_3 [description = "Leaf 3"];
Leaf_4 [description = "Leaf 4"];
}
network Server_Rack_1 {
address = "VNI 10001"
color = "#F0FFF0"
description = "Compute Servers"
Leaf_1;
Leaf_2;
Servers_1 [description = "Rack Servers\nVMs/Containers"];
}
network Storage_Network {
address = "VNI 10002"
color = "#FFDAB9"
description = "Storage Arrays"
Leaf_3;
Storage [description = "SAN/NAS\nStorage"];
}
network Voice_Services {
address = "VNI 10003"
color = "#E6E6FA"
description = "UC Systems"
Leaf_4;
PBX [description = "PBX/UC\nSystems"];
}
}
@enduml
Detajet
Funksioni CPORTI mbrojtës...---------------------------------------------------------------------------------------------------------------------- ⇩PoshtëEBGP (ASN për ndryshim) ose OSPF ⇩PoshtëSIPAS planit të kontrollit EVPN ⇩Gjethja kufitareNga porta VXLAN-VLAN, nga rruga e jashtme, Ndër-VRF ⇩Punë me gjetheCompute, Magazin, Voice/UC, Infrastrukturë
Dobitë:
- Shkallë horizontale masive (dy lloje gjethesh të shtuara siç nevojiten)
- Arkitekturë pa bllokim
- Shumëfishe nëpërmjet VRF/VNI
- Modelet optimiste të trafikut lindor
Shënime:
- Kompleksitet operacional i VXLAN/EVPN
- Kërkohet aftësi të veçanta
- Kostoja e pajisjeve më të larta
Burimi
Shtresa e hyrjes është kur pajisjet e fundit lidhen. Pavarësisht nga topologjia e shpërndarjes, ndryshimet e hyrjes japin:
@startuml Access Layer Module
skinparam backgroundColor #FEFEFE
nwdiag {
network Distribution_Uplink {
address = "L3 or LACP Trunk"
color = "#B0E0E6"
description = "Uplinks to Distribution"
Access_SW [description = "48-Port Access Switch\nPoE+ Capable"];
}
network Data_VLAN {
address = "VLAN 100 - Ports 1-8, 25-32"
color = "#98FB98"
description = "Data VLAN"
Access_SW;
Laptops [description = "Laptops\nWorkstations"];
}
network Voice_VLAN {
address = "VLAN 110 - Ports 9-16"
color = "#FFE4B5"
description = "Voice VLAN"
Access_SW;
Phones [description = "IP Phones"];
}
network Camera_VLAN {
address = "VLAN 120 - Ports 17-24"
color = "#FFDAB9"
description = "Security VLAN"
Access_SW;
Cameras [description = "IP Cameras"];
}
network Wireless_VLAN {
address = "VLAN 130 - Ports 33-40"
color = "#DDA0DD"
description = "Wireless AP VLAN"
Access_SW;
APs [description = "Wireless APs"];
}
network Mgmt_VLAN {
address = "VLAN 999 - Ports 41-44"
color = "#F0FFF0"
description = "Management VLAN"
Access_SW;
}
}
@enduml
Açesi
- Autentifikim prej 802.1X / MAB
- Caktimi dinamik
- Porta
- DHCP snooping
- Inspektim dinamik i ARP
- IP Burimi
Topologji e plotë
Ja se si të gjitha modulet lidhen me formimin e një rrjeti të plotë ndërmarrjesh:
@startuml Complete Modular Network Topology
skinparam backgroundColor #FEFEFE
title Complete Enterprise Modular Network
nwdiag {
internet [shape = cloud, description = "Internet/WAN"];
network Internet_Edge {
address = "Module 1"
color = "#FFE4E1"
description = "INTERNET EDGE MODULE"
internet;
ISP_A [description = "ISP-A"];
ISP_B [description = "ISP-B"];
MPLS [description = "MPLS"];
Edge_RTR [description = "Edge Router"];
FW_A [description = "FW-A"];
FW_B [description = "FW-B"];
}
network Internal_Edge {
address = "Module 2"
color = "#E6E6FA"
description = "INTERNAL EDGE / DMZ MODULE"
FW_A;
FW_B;
IntEdge_A [description = "IntEdge-A"];
IntEdge_B [description = "IntEdge-B"];
WLC [description = "WLC"];
Proxy [description = "Proxy"];
VPN [description = "VPN"];
DNS [description = "DNS/DHCP"];
}
network Core {
address = "Module 3"
color = "#B0E0E6"
description = "CORE MODULE"
IntEdge_A;
IntEdge_B;
Core_A [description = "Core-A"];
Core_B [description = "Core-B"];
}
network Distribution_L3 {
address = "Variation 1"
color = "#98FB98"
description = "DIST - L3 Adjacent\n(Building A)"
Core_A;
Core_B;
Dist_1A [description = "Dist-1A"];
Dist_1B [description = "Dist-1B"];
Access_L3 [description = "Access\n(L3)"];
}
network Distribution_MCLAG {
address = "Variation 2"
color = "#DDA0DD"
description = "DIST - MCLAG\n(Building B)"
Core_A;
Core_B;
Dist_2A [description = "Dist-2A"];
Dist_2B [description = "Dist-2B"];
Access_L2 [description = "Access\n(L2)"];
}
network Datacenter {
address = "Variation 3"
color = "#FFE4B5"
description = "DATACENTER\n(Spine/Leaf)"
Core_A;
Core_B;
Border_Leaf [description = "Border\nLeaf"];
Spine [description = "Spine"];
Leaf [description = "Leaf"];
Servers [description = "Servers\nStorage\nPBX"];
}
network Campus_Users {
address = "End Devices"
color = "#F0FFF0"
description = "Campus Users"
Access_L3;
Access_L2;
Users [description = "Laptops\nPhones\nCameras"];
}
}
@enduml
Strategjia për Trajtimin e IP me izolimin VRF
Sfida e projektimit Multi-Segment, Shumë-VRF
Kur rrjetet rriten për të përfshirë zonat e shumta të sigurisë, njësitë e biznesit, apo kufijtë e përputhjes,VRFjep izolim në tavolinë. Megjithatë, zgjatja e VRF nëpër lidhje të shumta shton kompleksitetin:
- Çdo kërcim L3 kërkon një nënnet tranzite
- Sub-interfaqet shumëfishojnë kompleksitetin e konfigurimit
- Sfera e qitjes është e shumëfishtë
- Dokumentacioni duhet të gjurmojë anëtarësimin në VRF në çdoTier
Strategjia e Subnet Skema
Një skemë subnet e dhënë mirë bën të njohura modelet, duke reduktuar ngarkesën njohëse dhe gabimet e konfigurimit.
Shembull: Site e madhe për prodhim (10.0.0.0.0/13)
Vendqendrimi:10.0.0.0/13 (Site për prodhim Alfa) - 524,286 mikpritës të përdorshëm
@startuml VRF Subnet Schema
skinparam backgroundColor #FEFEFE
title Large Site VRF Allocation Schema (10.0.0.0/13)
nwdiag {
network Corporate_VRF {
address = "VRF: CORPORATE\n10.0.0.0/17"
color = "#98FB98"
description = "Production Users"
Corp_Transit [description = "Transit\n10.0.0.0/23"];
Corp_Users [description = "Users\n10.0.32.0/19"];
Corp_Voice [description = "Voice\n10.0.64.0/19"];
Corp_Wireless [description = "Wireless\n10.0.96.0/19"];
Corp_Server [description = "Servers\n10.0.112.0/20"];
}
network Guest_VRF {
address = "VRF: GUEST\n10.1.0.0/17"
color = "#FFE4B5"
description = "Visitor Network"
Guest_Transit [description = "Transit\n10.1.0.0/23"];
Guest_Users [description = "Users\n10.1.32.0/19"];
}
network Security_VRF {
address = "VRF: SECURITY\n10.2.0.0/17"
color = "#FFDAB9"
description = "Physical Security"
Sec_Transit [description = "Transit\n10.2.0.0/23"];
Sec_Camera [description = "Cameras\n10.2.32.0/19"];
Sec_Badge [description = "Badge Readers\n10.2.64.0/19"];
Sec_NVR [description = "NVR/VMS\n10.2.96.0/20"];
}
network IOT_VRF {
address = "VRF: IOT\n10.3.0.0/17"
color = "#E6E6FA"
description = "Manufacturing OT"
IOT_Transit [description = "Transit\n10.3.0.0/23"];
IOT_PLC [description = "PLCs\n10.3.32.0/19"];
IOT_HMI [description = "HMIs\n10.3.64.0/19"];
IOT_SCADA [description = "SCADA\n10.3.96.0/20"];
}
}
@enduml
Transit Segment Coperty (10.0.0.0/23 - 510 i përdorshëm IPs):
Përshkrim i Lidhjes SUNTE mbrojtës------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ 10,0,0,0,30-0 FW-Inside → I brendshëm-Axh 10.0.0.00,30-0 FW-Inside → Edge-B⇩ 10.0.8/30-0-Edge-A → Core-A⇩ 10.0.12/30-Edge-A 10.0.16/30-Edge-B→ Core-A⇩ 10.0.20/30-Edge-B 10.0.24/30ق Core-A → Shpërndarja-A⇩ 10.0.0.28/30خ Core-A → Shpërndarja-B⇩ 10.0.0.32/30ق Core-B → Shpërndarja-A⇩ 10.0.36/30-B 10.0.0.40/30ق Shpërndarja-A → Access-SW-1ʼ 10.0.44/30ق Shpërndarja-B → Qasja-SW-1⇩ [ Shënimi]
Shënim:/31 subnets (RFC 3021) mund të përdoren gjithashtu për lidhje me pikë në pikë, për të ruajtur hapësirën e adresës.
Dobitë e njohjes
Kur modelet e subnet janë të qëndrueshme në të gjithë VRF:
kurre nuk mund te mesojn Manjola------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ Lidhja e Transit në korporatë përdor 10.0.40/30; ekuivalenti i Austinit është 10.1.0.40/301 Shfrytëzuesit e hyrjes-SW-5 janë në 10.0.36.0/24 eshtra të sigurisë në të njëjtin çelës janë 10.2.36.0/2431 Site Alfa është 10.0.0/13) Site Beta mund të jetë 10.8.0/131
Kjo i lejon inxhinierët të:
- Parashiko adresat IP pa u konsultuar
- Kontrollo menjëherë nënnet e konfiguruara keq
- Krijo modele automatizimi që punojnë nëpër VRF
- Stërvitni stafin e ri në këtë model, jo memorizimin
Madhësia Modeli
E vogël Site Shabllon
@startuml Small Site Template
skinparam backgroundColor #FEFEFE
title Small Site Template (< 50 users)
nwdiag {
internet [shape = cloud];
network WAN {
color = "#FFE4E1"
description = "ISP/MPLS Circuit"
internet;
UTM [description = "UTM/SD-WAN\nAppliance\n(Router+FW+VPN+WLC)"];
}
network LAN {
address = "10.100.x.0/24"
color = "#98FB98"
description = "Single Subnet"
UTM;
Access [description = "Access Switch\n(or UTM ports)"];
}
network Endpoints {
color = "#F0FFF0"
description = "End Devices"
Access;
AP [description = "WiFi AP"];
Users [description = "Users"];
Phones [description = "Phones"];
}
}
@enduml
Not
- Projekt i renditur: Të gjitha funksionet në hardware minimale
- Subnet: /24 ose /23 për site
- Shembull: 10.100.1.0/24 (Site 001)
Mesatare Gjendja
@startuml Medium Site Template
skinparam backgroundColor #FEFEFE
title Medium Site Template (50-500 users)
nwdiag {
internet [shape = cloud];
network WAN_Edge {
color = "#FFE4E1"
description = "Internet Edge"
internet;
ISP_A [description = "ISP-A"];
ISP_B [description = "ISP-B/MPLS"];
Edge_RTR [description = "Edge Router"];
}
network Firewall_Tier {
color = "#FFDAB9"
description = "Firewall HA Pair"
Edge_RTR;
FW_A [description = "FW-A"];
FW_B [description = "FW-B"];
}
network Distribution {
address = "10.50.x.0/21"
color = "#DDA0DD"
description = "MCLAG Distribution\n(Dist/Core Combined)"
FW_A;
FW_B;
Dist_A [description = "Dist-A"];
Dist_B [description = "Dist-B"];
}
network Access_Tier {
color = "#98FB98"
description = "Access Switches (LACP)"
Dist_A;
Dist_B;
Acc1 [description = "Acc1"];
Acc2 [description = "Acc2"];
Acc3 [description = "Acc3"];
Acc4 [description = "Acc4"];
Acc5 [description = "Acc5"];
}
network Users {
color = "#F0FFF0"
description = "End Devices"
Acc1;
Acc2;
Acc3;
Acc4;
Acc5;
Endpoints [description = "Laptops/Phones\nCameras/APs"];
}
}
@enduml
Not
- Modulia e pjesshme: Distinct Edge and Access
- Subnet: /21 për site (2,046 IP)
- Shembull: 10.50.0.0/21 (Site 050)
E madhe Shabllon
@startuml Large Site Template
skinparam backgroundColor #FEFEFE
title Large Site Template (500+ users)
nwdiag {
internet [shape = cloud];
network Internet_Edge {
color = "#FFE4E1"
description = "INTERNET EDGE MODULE"
internet;
ISP_A [description = "ISP-A"];
ISP_B [description = "ISP-B"];
MPLS [description = "MPLS"];
Edge_RTR [description = "Edge-RTR"];
FW_A [description = "FW-A"];
FW_B [description = "FW-B"];
}
network Internal_Edge {
color = "#E6E6FA"
description = "INTERNAL EDGE MODULE"
FW_A;
FW_B;
IntEdge_A [description = "IntEdge-A"];
IntEdge_B [description = "IntEdge-B"];
WLC [description = "WLC"];
Proxy [description = "Proxy"];
VPN [description = "VPN"];
DNS [description = "DNS"];
}
network Core {
color = "#B0E0E6"
description = "CORE MODULE"
IntEdge_A;
IntEdge_B;
Core_A [description = "Core-A"];
Core_B [description = "Core-B"];
}
network Dist_Var1 {
color = "#98FB98"
description = "L3 Adjacent"
Core_A;
Core_B;
Dist_1 [description = "Dist-1"];
Access_1 [description = "Access"];
}
network Dist_Var2 {
color = "#DDA0DD"
description = "MCLAG Trunk"
Core_A;
Core_B;
Dist_2 [description = "Dist-2"];
Access_2 [description = "Access"];
}
network Dist_Var3 {
color = "#FFE4B5"
description = "MCLAG Trunk"
Core_A;
Core_B;
Dist_3 [description = "Dist-3"];
Access_3 [description = "Access"];
}
network Datacenter {
color = "#87CEEB"
description = "SPINE/LEAF DC"
Core_A;
Core_B;
Border [description = "Border-Leaf"];
Spine [description = "Spine"];
Leaf [description = "Leaf"];
Servers [description = "Servers"];
}
}
@enduml
Shënime të mëdha site:
- Modulitet i plotë: Të gjitha lidhjet fizike të ndara
- Subnet: /13 to /15 për faqe ( Bazuar në numrin VRF)
- Shembull: 10.0.0.0/13 (HQ) - 524.286 IPs
VRF dhe L3 Segmentation: Dobitë dhe kompleksiteti
Dobitë e L3 me nën-faqe
- Izolim sigurie: Trafiku midis VRF-ve duhet të kalojë nëpër një mur mbrojtës apo pajisje politike
- Shpërthimi i rrezeve: Seksioni i kompromiseve nuk mund të arrijë direkt në VRF të tjera
- Kufijtë komplikues: PCI, HIPAA ose rrjetet OT në domaine më vete
- Inxhinieri i trafikut: Politika të ndryshme për VRF
Shkëmbimi i kompleksitetit
Kur segmentet duhet të shtrihen nëpër lidhje të shumta, çdo kufi L3 shton konfigurimin sipër:
@startuml Multi-VRF Path Through Tiers
skinparam backgroundColor #FEFEFE
title Multi-VRF Traffic Path: Camera to NVR
nwdiag {
network Camera_Segment {
address = "VLAN 120\n10.2.36.0/24"
color = "#FFDAB9"
description = "VRF: SECURITY"
Camera [description = "Camera"];
Access_SW [description = "Access-SW\nSub-int: 10.2.0.40/30"];
}
network Access_to_Dist {
address = "10.2.0.40/30"
color = "#DDA0DD"
description = "VRF: SECURITY"
Access_SW;
Distribution [description = "Distribution\nSub-int: 10.2.0.24/30"];
}
network Dist_to_Core {
address = "10.2.0.24/30"
color = "#B0E0E6"
description = "VRF: SECURITY"
Distribution;
Core [description = "Core\nSub-int: 10.2.0.8/30"];
}
network Core_to_IntEdge {
address = "10.2.0.8/30"
color = "#E6E6FA"
description = "VRF: SECURITY"
Core;
Internal_Edge [description = "Internal-Edge\nSub-int: 10.2.0.0/30"];
}
network IntEdge_to_FW {
address = "10.2.0.0/30"
color = "#FFE4E1"
description = "VRF: SECURITY"
Internal_Edge;
Firewall [description = "Firewall\nInter-VRF Policy"];
}
network DC_Path {
address = "VXLAN/EVPN"
color = "#87CEEB"
description = "Datacenter Fabric"
Firewall;
Border_Leaf [description = "Border-Leaf"];
Spine [description = "Spine"];
Leaf [description = "Leaf"];
NVR [description = "NVR"];
}
}
@enduml
Kreu i konfigurimit:
- 5 nën-faqe për VRF për shtegu
- 4 VRF x 5 nën-ints = 20 nën-interfaqe për ndryshim
- Riorganizimi i protokolleve në çdo VRF
- Zinxhiri ose rregullat e firewall për trafikun ndërmjet VRF
Strategjitë e Mitigacionit
- Numërimi i Limit VRF: Vetëm krijojnë VRF për kërkesa të vërteta izolimi
- Centralize: Një pikë e politikës së murit mbrojtës kundër të shpërndarëve
- Përdor VXLAN/EVPNsipër
- Sigurimi automatikShabllon
- Dokument: Sapo të mësohet, modelet janë më të shpejta se pamja
Përmbledhja: Ndërtimi i një modeli të shkallëzuar Rrjeti
Qëllimi i projektimit modular të rrjetit është krijimi i njëmodel i përsëriturqë lejon:
Shkalla e Rojës (Claslas) mbrojtës...---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- GJATË 10,000 dollarëve u shembën UTM + një çelës, /24 për site Mesatare, 1,000 ++ MCLAG, /21 për site BABAI I VLEJTË
Marrja e çelësit
- Moduliçdo modul ka një qëllim dhe interfaqe të përcaktuar
- Motivi: I njëjti projekt në çdo faqe redukton trajnimin dhe gabimet
- VRF ofron izolim: Por shto kompleksitetin e konfigurimit në çdo tier
- Subnet skemat kanë rëndësi: Trajtimi i parashikueshëm redukton ngarkesën njohëse
- Shpërndarja ndryshon nga nevoja: L3 ngjitur, MCLAG/LACP, ose shtylla kurrizore/leaf
- Djathtas për sitiMos e mbi-inxhinier site të vogla
Duke i krijuar këto modele dhe duke i zbatuar vazhdimisht, organizatat mund të ndërtojnë rrjete që shkojnë nga një zyrë e vetme dege në një ndërmarrje globale të përgjithshme, ndërkohë që mbajnë një qëndrim të thjeshtë dhe të sigurt.
Neni versioni 2.0 udhërrëfyes 2026-02-02ة u përditësua me diagrame të PlantUML nwdiag