Modular Network Design: A Scalable Architecture Framework
Modüler Network Design: A Scalable Architecture Framework
Modüler Network Design'a Giriş
Ağ modülerliği, tek birbiriyle bağlantılı, amaçlanmış segmentleri monolithic yapılardan ziyade tasarlama pratiğidir. Her modül belirli bir işleve hizmet eder, sınırları tanımlar ve iyi korunmuş arayüzler aracılığıyla bitişik modüllere bağlanır. Bu yaklaşım, bir sanattan tekrarlanabilir bir mühendislik disiplinine ağ tasarımını dönüştürür.
Modülerliğin gücü, yaratma yeteneğinde yatıyoröngörülebilir desenlerbu, bir organizasyonun tüm altyapı ayak izi boyunca sürekli uygulanabilir – bu, on binlerce küçük siteye, binlerce orta siteye veya yüzlerce büyük işletme kampüslerine yayılmıştır.
Neden modülerlik Maddeleri
Across All Network Scales
| Fayda | Küçük Siteler | Orta Siteler | Büyük Siteler | |---- · · · · · · · · · |Basitleştirilmiş problem| Tek mühendis tüm topolojiyi anlayabilir | Takımlar modül tarafından uzmanlanabilir | modül sahipleri arasındaki Clear escalation yolları | |Tahmin edilebilir Scaling| Gerekli modüller ekleyin | Clone kanıtlanmış desenler | Yeniden tasarım olmadan uzat | |Consistent SecurityHer yerde aynı politikalar | Üniforma uyumluluk duruş | Denetlenebilir sınırlar | |Operasyonel Verimlilik| Şablon tabanlı dağıtım | Otomatik düzenleme | Standartlaştırılmış değişim yönetimi | |Maliyet Kontrolü| Doğru boyut her modülü | Kompiyon tipi tarafından satın alın | Yaşam döngüsü yönetimi
Scaling Challenge
Organizasyonlar nadiren statik kalır. Bir modüler tasarım karşılamalıdır:
- 10.000+ küçük sitelerBölüm ofisleri, perakende yerleri, uzaktan tesisler
- 1.000+ orta site: Bölgesel ofisler, dağıtım merkezleri, üretim tesisleri
- 100+ büyük siteler: Merkez, veri merkezleri, büyük kampüsler
Modülerlik olmadan, her site özel belgeleri, özel eğitim gerektiren eşsiz bir karflake haline gelir ve tek bir sorun giderme. modülerlik ile, deseni anlayan bir mühendis herhangi bir sitede etkili bir şekilde çalışabilir.
Core Network Modülleri
Modül 1: Internet Edge Segment
Internet Edge, organizasyonunuzun dış dünya ile buluştuğu yerdir. Bu modül içerir:
- WAN/İnternet devreleri(MPLS, DIA, genişban, LTE/5G)
- Edge yönlendiricileri(BGP akran, WAN sonlandırma)
- Güvenlik Duvarı(Güncelleme, NAT, VPN sonlandırma)
- VLAN segmentasyonfonksiyonel ayrılık için
@startuml Internet Edge Module
!define ICONURL https://raw.githubusercontent.com/Roemer/plantuml-office/master/office2014
skinparam backgroundColor #FEFEFE
skinparam handwritten false
nwdiag {
internet [shape = cloud, description = "Internet"];
network ISP_Transit {
address = "VLAN 10-12"
color = "#FFE4E1"
description = "ISP/MPLS Transit"
internet;
ISP_A [description = "ISP-A\nCircuit"];
ISP_B [description = "ISP-B\nCircuit"];
MPLS [description = "MPLS\nCircuit"];
}
network Edge_Router_Segment {
address = "VLAN 10,11,12"
color = "#E6E6FA"
description = "Edge Router Aggregation"
ISP_A;
ISP_B;
MPLS;
Edge_Router [description = "Edge Router\n(BGP Peering)"];
}
network FW_Outside {
address = "VLAN 100"
color = "#FFFACD"
description = "Firewall Outside"
Edge_Router;
FW_Primary [description = "Firewall\nPrimary"];
FW_Secondary [description = "Firewall\nSecondary"];
}
network FW_HA_Sync {
address = "VLAN 101"
color = "#F0FFF0"
description = "HA Sync Link"
FW_Primary;
FW_Secondary;
}
network FW_Inside {
address = "VLAN 102"
color = "#E0FFFF"
description = "To Internal Edge"
FW_Primary;
FW_Secondary;
}
}
@enduml
Anahtar Tasarım İlkeleri:
- Çeşitli sağlayıcıların Reddant devreleri
- Yüksek kullanılabilirlik çiftliği
- Güven bölgeleri arasındaki Clear VLAN sınırları
- L3 noktası yönlendirici ve güvenlik duvarı arasındaki bağlantılar
Modül 2: İç Edge / DMZ Katman
Orta ve büyük siteler için, İç Edge, kontrollü maruz kalma gerektiren veya güvenlik bölgeleri arasındaki geçiş noktaları olarak hizmet etmek için bir kovalama katmanı sunar.
@startuml Internal Edge Module
skinparam backgroundColor #FEFEFE
nwdiag {
network From_Internet_Edge {
address = "VLAN 102"
color = "#E0FFFF"
description = "From Firewall Inside"
IntEdge_A [description = "Internal Edge\nSwitch A"];
IntEdge_B [description = "Internal Edge\nSwitch B"];
}
network MCLAG_Peer {
address = "Peer-Link"
color = "#DDA0DD"
description = "MCLAG/vPC Peer"
IntEdge_A;
IntEdge_B;
}
network WLC_Mgmt {
address = "VLAN 200 - 10.x.200.0/24"
color = "#FFE4B5"
description = "WLC Management"
IntEdge_A;
IntEdge_B;
WLC [description = "Wireless LAN\nController"];
}
network Proxy_Farm {
address = "VLAN 201 - 10.x.201.0/24"
color = "#FFDAB9"
description = "Proxy Services"
IntEdge_A;
IntEdge_B;
Proxy [description = "Web Proxy\nServers"];
}
network VPN_Services {
address = "VLAN 202 - 10.x.202.0/24"
color = "#E6E6FA"
description = "VPN Termination"
IntEdge_A;
IntEdge_B;
VPN [description = "VPN\nConcentrator"];
}
network Infrastructure {
address = "VLAN 204 - 10.x.204.0/24"
color = "#F0FFF0"
description = "Infrastructure Services"
IntEdge_A;
IntEdge_B;
DNS_DHCP [description = "DNS/DHCP\nServers"];
}
network To_Core {
address = "VLAN 205"
color = "#B0E0E6"
description = "Core Transit"
IntEdge_A;
IntEdge_B;
}
}
@enduml
Servisler genellikle İç Edge'de:
- Kablosuz LAN kontrolörler (WLC)
- Web proxy ve içerik filtreleri
- VPN concentrators
- DNS/DHCP altyapısı
- Yük dengesi
- Jump host / bastion servers
Modül 3: Core Katman
Core, diğer tüm modülleri birbirine bağlayan yüksek hızlı omurgadır. Bunun için optimize edilmesi gerekir:
- En fazla
- Minimum latency
- Yüksek kullanılabilirlik
- Basit, hızlı
@startuml Core Module
skinparam backgroundColor #FEFEFE
nwdiag {
network From_Internal_Edge {
address = "L3 Routed"
color = "#B0E0E6"
description = "From Internal Edge"
Core_A [description = "Core Switch A\n100G Backbone"];
Core_B [description = "Core Switch B\n100G Backbone"];
}
network Core_Interconnect {
address = "100G+ ISL"
color = "#FFB6C1"
description = "High-Speed Interconnect\nOSPF/IS-IS/BGP"
Core_A;
Core_B;
}
network To_Distribution_1 {
address = "L3 P2P"
color = "#98FB98"
description = "Building A"
Core_A;
Core_B;
Dist_1 [description = "Distribution 1\n(L3 Adjacent)"];
}
network To_Distribution_2 {
address = "L3 P2P"
color = "#DDA0DD"
description = "Building B"
Core_A;
Core_B;
Dist_2 [description = "Distribution 2\n(MCLAG)"];
}
network To_Distribution_3 {
address = "L3 P2P"
color = "#FFDAB9"
description = "Building C"
Core_A;
Core_B;
Dist_3 [description = "Distribution 3\n(MCLAG)"];
}
network To_DC_Border {
address = "L3 Routed"
color = "#87CEEB"
description = "Datacenter"
Core_A;
Core_B;
Border_Leaf [description = "Border Leaf\n(DC Fabric)"];
}
}
@enduml
Core Design Principles:
- Doğrudan bağlı end-user cihazlar
- L3 temel anahtarlar arasında routing (kırık ağaç)
- Yük dağıtım için eşit maliyetli çoklupath (ECMP)
- Hızlı yakınlaşma protokolleri
Modül 4: Dağıtım Katmanı
Dağıtım katmanı erişim anahtarları toplar ve politika uygular. Bu, ağ tasarım seçeneklerinin site gereksinimlerine göre en varyasyona sahip olduğu yerdir.
Dağıtım Katmanları Variations
Variation 1: L3 Adjacent (Rod Access)
Bu tasarımda dağıtım ve erişim tabakaları vardırL3 bitişik-her erişim geçişi, doğrudan dağıtım için kendi IP subnet ve rotalara sahiptir.
@startuml Distribution Variation 1 - L3 Adjacent
skinparam backgroundColor #FEFEFE
nwdiag {
network From_Core {
address = "L3 ECMP"
color = "#B0E0E6"
description = "From Core Layer"
Dist_A [description = "Distribution A\n(L3 Router)"];
Dist_B [description = "Distribution B\n(L3 Router)"];
}
network Dist_iBGP {
address = "iBGP Peering"
color = "#DDA0DD"
description = "ECMP/iBGP"
Dist_A;
Dist_B;
}
network P2P_Access_1 {
address = "10.x.2.0/30"
color = "#98FB98"
description = "L3 Point-to-Point"
Dist_A;
Dist_B;
Access_1 [description = "Access SW-1\n(L3 Gateway)"];
}
network P2P_Access_2 {
address = "10.x.2.8/30"
color = "#FFE4B5"
description = "L3 Point-to-Point"
Dist_A;
Dist_B;
Access_2 [description = "Access SW-2\n(L3 Gateway)"];
}
network P2P_Access_3 {
address = "10.x.2.16/30"
color = "#FFDAB9"
description = "L3 Point-to-Point"
Dist_A;
Dist_B;
Access_3 [description = "Access SW-3\n(L3 Gateway)"];
}
network User_VLAN_1 {
address = "10.x.32.0/24"
color = "#F0FFF0"
description = "Users - SW1"
Access_1;
Laptop_1 [description = "Laptops"];
Phone_1 [description = "Phones"];
}
network User_VLAN_2 {
address = "10.x.33.0/24"
color = "#FFF0F5"
description = "Users - SW2"
Access_2;
Laptop_2 [description = "Laptops"];
Camera_2 [description = "Cameras"];
}
network User_VLAN_3 {
address = "10.x.34.0/24"
color = "#F5FFFA"
description = "Users - SW3"
Access_3;
Laptop_3 [description = "Workstations"];
Camera_3 [description = "Cameras"];
}
}
@enduml
Subnet Allocation Örnek:
| Link | Subnet | |- ► ► | Core | 10.x.1.0/30, 10.x.1.4/30 | | Dist-A to Access-1 | 10.x.2.0/30 | | Dist-B to Access-1 | 10.x.2.4/30 | | Access-1 User VLAN | 10.x.32.0/24 | | Access-2 User VLAN | 10.x.33.0/24 |
Faydaları:
- Yayıncı domaini her erişimde izolasyon
- Basitleştirilmiş sorun giderme (pronet'e dahil edilen kitaplar)
- Dağıtım ve erişim arasındaki ağaç yok
- Summarization olası dağıtım katmanında
Tartışmalar:
- L3-amaz erişim anahtarları
- DHCP her erişim anahtarında konfigürasyon
- Daha karmaşık IP adresi yönetimi
Variation 2: MCLAG ile LACP Trunks
Bu tasarım kullanırMulti-Chassis Link Aggregation (MCLAG)dağıtımdaLACP bağlarıgövdeli VLAN'ları taşıyan erişim anahtarları.
Vendor Terminology: Cisco bu vPC (Virtual Port Channel), Arista MLAG kullanıyor, Juniper MC-LAG kullanıyor ve HPE/Aruba VSX kullanıyor. Fonksiyonel davranış satıcılar arasında benzer.
@startuml Distribution Variation 2 - MCLAG
skinparam backgroundColor #FEFEFE
nwdiag {
network From_Core {
address = "L3 Routed Uplinks"
color = "#B0E0E6"
description = "From Core Layer"
Dist_A [description = "Distribution A\n(MCLAG Member)"];
Dist_B [description = "Distribution B\n(MCLAG Member)"];
}
network MCLAG_Peer_Link {
address = "Peer-Link"
color = "#FFB6C1"
description = "MCLAG/vPC Peer-Link"
Dist_A;
Dist_B;
}
network LACP_To_Access {
address = "Po1 - LACP Trunk"
color = "#DDA0DD"
description = "VLANs 100,110,120 Trunked"
Dist_A;
Dist_B;
Access_1 [description = "Access SW-1\n(L2 Switch)"];
}
network Data_VLAN {
address = "VLAN 100 - 10.x.32.0/24"
color = "#98FB98"
description = "Data VLAN"
Access_1;
Laptops [description = "Laptops\nWorkstations"];
}
network Voice_VLAN {
address = "VLAN 110 - 10.x.64.0/24"
color = "#FFE4B5"
description = "Voice VLAN"
Access_1;
Phones [description = "IP Phones"];
}
network Security_VLAN {
address = "VLAN 120 - 10.x.96.0/24"
color = "#FFDAB9"
description = "Security VLAN"
Access_1;
Cameras [description = "Cameras\nBadge Readers"];
}
}
@enduml
SVI Placement (VRRP VIP on Dağıtım Pair):
- VLAN 100: 10.x.32.1/24
- VLAN 110: 10.x.64.1/24
- VLAN 120: 10.x.96.1/24
VLAN Trunk Build:
| Port-Channel | VLANs | Hedef | |---- ----- -------|--- !! | Po1 (MCLAG) | 100,110,120 | Access-1 | | Po2 (MCLAG) | 100,110,120,130 | Access-2 | | Po3 (MCLAG) | 100,110 | Access-3 | | Yerli VLAN | 999 (gerekli) |
MCLAG Faydaları:
- Aktif-aktif forwarding (hem uplinks kullanılır)
- Sub-saniye başarısız
- Tek mantıksal erişim perspektifinden geçiş
- No spanning tree blocked
Tartışmalar:
- VLANs çoklu erişim anahtarları (larger yayın domainleri)
- MCLAG a-link şişenck olabilir
- STP hala döngü önleme yedekleme yedeklemesi olarak gereklidir
Variation 3: Spine/Leaf Datacenter için Sınır Yaprak
Datacenter ortamlarda, dağıtım katmanı dönüşürBorder Leafomurga/leaf kumaşı işletme ağının geri kalanına bağlar.
@startuml Distribution Variation 3 - Border Leaf Datacenter
skinparam backgroundColor #FEFEFE
nwdiag {
network Enterprise_Core {
address = "L3 Routed (eBGP/OSPF)"
color = "#B0E0E6"
description = "From Enterprise Core"
Border_A [description = "Border Leaf A\nVXLAN Gateway"];
Border_B [description = "Border Leaf B\nVXLAN Gateway"];
}
network Border_EVPN {
address = "VXLAN EVPN"
color = "#DDA0DD"
description = "EVPN Type-5 Routes"
Border_A;
Border_B;
Spine_1 [description = "Spine 1"];
Spine_2 [description = "Spine 2"];
}
network Spine_Fabric {
address = "eBGP Underlay"
color = "#FFB6C1"
description = "Spine Layer"
Spine_1;
Spine_2;
}
network Leaf_Tier_1 {
address = "VTEP"
color = "#98FB98"
description = "Compute Rack 1"
Spine_1;
Spine_2;
Leaf_1 [description = "Leaf 1"];
Leaf_2 [description = "Leaf 2"];
}
network Leaf_Tier_2 {
address = "VTEP"
color = "#FFE4B5"
description = "Storage/Services"
Spine_1;
Spine_2;
Leaf_3 [description = "Leaf 3"];
Leaf_4 [description = "Leaf 4"];
}
network Server_Rack_1 {
address = "VNI 10001"
color = "#F0FFF0"
description = "Compute Servers"
Leaf_1;
Leaf_2;
Servers_1 [description = "Rack Servers\nVMs/Containers"];
}
network Storage_Network {
address = "VNI 10002"
color = "#FFDAB9"
description = "Storage Arrays"
Leaf_3;
Storage [description = "SAN/NAS\nStorage"];
}
network Voice_Services {
address = "VNI 10003"
color = "#E6E6FA"
description = "UC Systems"
Leaf_4;
PBX [description = "PBX/UC\nSystems"];
}
}
@enduml
Datacenter Fabric Details:
| |- ► ► ► |Underlay| eBGP (ASN per switch) veya OSPF | |OverlayVXLAN EVPN kontrol uçağı ile | |Border Leaf| VXLAN-to-VLAN geçit, Dış rotalar, Inter-VRF routing | |Leaf Workloads| Compute, Storage, Voice/UC, Infrastructure |
Faydaları:
- Massive yatay ölçek (örneğin yaprak çiftleri)
- Kumaş mimarisi
- VRF / VNI aracılığıyla çok fazla bebek
- Optimal Doğu-batı trafik modelleri
Tartışmalar:
- VXLAN/EVPN'in çalışma karmaşıklığı
- Özelleştirilmiş beceriler gerekli
- Daha yüksek ekipman maliyetleri
Modül 5: Access Katman
Access katmanı, son cihazların birbirine bağlandığı yerdir. Dağıtım topolojisine bakılmaksızın, erişim anahtarları sağlar:
@startuml Access Layer Module
skinparam backgroundColor #FEFEFE
nwdiag {
network Distribution_Uplink {
address = "L3 or LACP Trunk"
color = "#B0E0E6"
description = "Uplinks to Distribution"
Access_SW [description = "48-Port Access Switch\nPoE+ Capable"];
}
network Data_VLAN {
address = "VLAN 100 - Ports 1-8, 25-32"
color = "#98FB98"
description = "Data VLAN"
Access_SW;
Laptops [description = "Laptops\nWorkstations"];
}
network Voice_VLAN {
address = "VLAN 110 - Ports 9-16"
color = "#FFE4B5"
description = "Voice VLAN"
Access_SW;
Phones [description = "IP Phones"];
}
network Camera_VLAN {
address = "VLAN 120 - Ports 17-24"
color = "#FFDAB9"
description = "Security VLAN"
Access_SW;
Cameras [description = "IP Cameras"];
}
network Wireless_VLAN {
address = "VLAN 130 - Ports 33-40"
color = "#DDA0DD"
description = "Wireless AP VLAN"
Access_SW;
APs [description = "Wireless APs"];
}
network Mgmt_VLAN {
address = "VLAN 999 - Ports 41-44"
color = "#F0FFF0"
description = "Management VLAN"
Access_SW;
}
}
@enduml
Access Katman Güvenlik Özellikleri:
- 802.1X / MAB doğrulama
- Dinamik VLAN atama
- Port security
- DHCP snooping
- Dinamik ARP denetim
- IP Source Guard
Tamam modüler Topology
İşte tüm modüller tam bir işletme ağı oluşturmak için nasıl bağlanır:
@startuml Complete Modular Network Topology
skinparam backgroundColor #FEFEFE
title Complete Enterprise Modular Network
nwdiag {
internet [shape = cloud, description = "Internet/WAN"];
network Internet_Edge {
address = "Module 1"
color = "#FFE4E1"
description = "INTERNET EDGE MODULE"
internet;
ISP_A [description = "ISP-A"];
ISP_B [description = "ISP-B"];
MPLS [description = "MPLS"];
Edge_RTR [description = "Edge Router"];
FW_A [description = "FW-A"];
FW_B [description = "FW-B"];
}
network Internal_Edge {
address = "Module 2"
color = "#E6E6FA"
description = "INTERNAL EDGE / DMZ MODULE"
FW_A;
FW_B;
IntEdge_A [description = "IntEdge-A"];
IntEdge_B [description = "IntEdge-B"];
WLC [description = "WLC"];
Proxy [description = "Proxy"];
VPN [description = "VPN"];
DNS [description = "DNS/DHCP"];
}
network Core {
address = "Module 3"
color = "#B0E0E6"
description = "CORE MODULE"
IntEdge_A;
IntEdge_B;
Core_A [description = "Core-A"];
Core_B [description = "Core-B"];
}
network Distribution_L3 {
address = "Variation 1"
color = "#98FB98"
description = "DIST - L3 Adjacent\n(Building A)"
Core_A;
Core_B;
Dist_1A [description = "Dist-1A"];
Dist_1B [description = "Dist-1B"];
Access_L3 [description = "Access\n(L3)"];
}
network Distribution_MCLAG {
address = "Variation 2"
color = "#DDA0DD"
description = "DIST - MCLAG\n(Building B)"
Core_A;
Core_B;
Dist_2A [description = "Dist-2A"];
Dist_2B [description = "Dist-2B"];
Access_L2 [description = "Access\n(L2)"];
}
network Datacenter {
address = "Variation 3"
color = "#FFE4B5"
description = "DATACENTER\n(Spine/Leaf)"
Core_A;
Core_B;
Border_Leaf [description = "Border\nLeaf"];
Spine [description = "Spine"];
Leaf [description = "Leaf"];
Servers [description = "Servers\nStorage\nPBX"];
}
network Campus_Users {
address = "End Devices"
color = "#F0FFF0"
description = "Campus Users"
Access_L3;
Access_L2;
Users [description = "Laptops\nPhones\nCameras"];
}
}
@enduml
IP Adresing Strategy with VRF Isolation
Multi-Segment, Multi-VRF Design
Ağlar birden fazla güvenlik bölgeleri, iş birimleri veya uyumluluk sınırları içerecek şekilde büyürken,VRF (Virtual Routing and Forwarding)yol masası izolasyonu sağlar. Bununla birlikte, VRF'leri birden fazla tiers aracılığıyla genişletmek karmaşıklaşır:
- Her L3 umut bir geçiş subnet gerektirir
- Sub-interfaces yapılandırma karmaşıklığı
- Problemshooting çok fazla routing tabloları
- Dokümantasyon VRF üyeliğini her seviyede takip etmelidir
Subnet Schema Strateji
İyi tasarlanmış bir altnet şeması, bilişsel yük ve yapılandırma hatalarının azaltılmasını sağlar.
Örnek: Büyük Üretim Sitesi (10.0.0.0/13)
Site Allocation:10.0.0.0/13 (Manufacturing Site Alfa) - 524,286 kullanılabilir ev sahipliği
@startuml VRF Subnet Schema
skinparam backgroundColor #FEFEFE
title Large Site VRF Allocation Schema (10.0.0.0/13)
nwdiag {
network Corporate_VRF {
address = "VRF: CORPORATE\n10.0.0.0/17"
color = "#98FB98"
description = "Production Users"
Corp_Transit [description = "Transit\n10.0.0.0/23"];
Corp_Users [description = "Users\n10.0.32.0/19"];
Corp_Voice [description = "Voice\n10.0.64.0/19"];
Corp_Wireless [description = "Wireless\n10.0.96.0/19"];
Corp_Server [description = "Servers\n10.0.112.0/20"];
}
network Guest_VRF {
address = "VRF: GUEST\n10.1.0.0/17"
color = "#FFE4B5"
description = "Visitor Network"
Guest_Transit [description = "Transit\n10.1.0.0/23"];
Guest_Users [description = "Users\n10.1.32.0/19"];
}
network Security_VRF {
address = "VRF: SECURITY\n10.2.0.0/17"
color = "#FFDAB9"
description = "Physical Security"
Sec_Transit [description = "Transit\n10.2.0.0/23"];
Sec_Camera [description = "Cameras\n10.2.32.0/19"];
Sec_Badge [description = "Badge Readers\n10.2.64.0/19"];
Sec_NVR [description = "NVR/VMS\n10.2.96.0/20"];
}
network IOT_VRF {
address = "VRF: IOT\n10.3.0.0/17"
color = "#E6E6FA"
description = "Manufacturing OT"
IOT_Transit [description = "Transit\n10.3.0.0/23"];
IOT_PLC [description = "PLCs\n10.3.32.0/19"];
IOT_HMI [description = "HMIs\n10.3.64.0/19"];
IOT_SCADA [description = "SCADA\n10.3.96.0/20"];
}
}
@enduml
Transit Segment Detayları (10.0.0.0/23 - 510 kullanılabilir IPs):
| Subnet | Link Description | | --- ► | 10.0.0.0/30 | FW-Inside → Internal-Edge-A | | 10.0.0.4/30 | FW-Inside → Internal-Edge-B | | 10.0.0.8/30 | İç-Edge-A → Core-A | | 10.0.0.12/30 | İç-Edge-A → Core-B | | 10.0.0.16/30 | İç-Edge-B → Core-A | 10.0.0.20/30 | İç-Edge-B → Core-B | | 10.0.0.24/30 | Core-A → Dağıtım-A | | 10.0.0.28/30 | Core-A → Dağıtım-B | | 10.0.0.32/30 | Core-B → Dağıtım-A | | 10.0.0.36/30 | Core-B → Dağıtım-B | | 10.0.0.40/30 | Dağıtım-A → Access-SW-1 | | 10.0.0.44/30 | Dağıtım-B → Access-SW-1 | | | (Pattern devam ediyor) |
Not:/31 altnetler (RFC 3021) aynı zamanda nokta bağlantıları için kullanılabilir, konserving adresi alanı.
Şekil Tanımlama Faydaları
Subnet kalıpları VRF'lerde tutarlı olduğunda:
| What You Know | What You Can Infer | | | Kurumsalda Transit bağlantı 10.0.0.40/30 | Guest eşdeğer 10.1.0.40/30 | | Access-SW-5 kullanıcıları aynı geçişte 10.0.36.0/24 | Güvenlik kameraları 10.2.36.0/24 | Site Alfa 10.0.0.0/13 | Site Beta 10.8.0.0/13 |
Bu, mühendislere izin verir:
- Predict IP adresleri danışma belgeleri olmadan
- Yeniden yapılandırılmış altnetler hemen
- VRF'lerde çalışan otomasyon şablonları oluşturun
- Modeldeki yeni personel, memorization değil
Site Boyut Şablonları
Küçük Site Şablonu (Branch Office)
@startuml Small Site Template
skinparam backgroundColor #FEFEFE
title Small Site Template (< 50 users)
nwdiag {
internet [shape = cloud];
network WAN {
color = "#FFE4E1"
description = "ISP/MPLS Circuit"
internet;
UTM [description = "UTM/SD-WAN\nAppliance\n(Router+FW+VPN+WLC)"];
}
network LAN {
address = "10.100.x.0/24"
color = "#98FB98"
description = "Single Subnet"
UTM;
Access [description = "Access Switch\n(or UTM ports)"];
}
network Endpoints {
color = "#F0FFF0"
description = "End Devices"
Access;
AP [description = "WiFi AP"];
Users [description = "Users"];
Phones [description = "Phones"];
}
}
@enduml
Küçük Site Tasarım Notları:
- Collapd Design: En az donanımda tüm fonksiyonlar
- Subnet: /24 veya /23 site başına
- Örnek10.100.1.0/24 (Site 001)
Medium Site Şablonu (Regional Office)
@startuml Medium Site Template
skinparam backgroundColor #FEFEFE
title Medium Site Template (50-500 users)
nwdiag {
internet [shape = cloud];
network WAN_Edge {
color = "#FFE4E1"
description = "Internet Edge"
internet;
ISP_A [description = "ISP-A"];
ISP_B [description = "ISP-B/MPLS"];
Edge_RTR [description = "Edge Router"];
}
network Firewall_Tier {
color = "#FFDAB9"
description = "Firewall HA Pair"
Edge_RTR;
FW_A [description = "FW-A"];
FW_B [description = "FW-B"];
}
network Distribution {
address = "10.50.x.0/21"
color = "#DDA0DD"
description = "MCLAG Distribution\n(Dist/Core Combined)"
FW_A;
FW_B;
Dist_A [description = "Dist-A"];
Dist_B [description = "Dist-B"];
}
network Access_Tier {
color = "#98FB98"
description = "Access Switches (LACP)"
Dist_A;
Dist_B;
Acc1 [description = "Acc1"];
Acc2 [description = "Acc2"];
Acc3 [description = "Acc3"];
Acc4 [description = "Acc4"];
Acc5 [description = "Acc5"];
}
network Users {
color = "#F0FFF0"
description = "End Devices"
Acc1;
Acc2;
Acc3;
Acc4;
Acc5;
Endpoints [description = "Laptops/Phones\nCameras/APs"];
}
}
@enduml
Medium Site Tasarım Notları:
- Kısmi Modülerity: Distinct Edge ve Access tiers
- Subnet: /21 site başına (2,046 IP)
- Örnek10.50.0.0/21 (Site 050)
Büyük Site Şablonu (Head centrals/Campus)
@startuml Large Site Template
skinparam backgroundColor #FEFEFE
title Large Site Template (500+ users)
nwdiag {
internet [shape = cloud];
network Internet_Edge {
color = "#FFE4E1"
description = "INTERNET EDGE MODULE"
internet;
ISP_A [description = "ISP-A"];
ISP_B [description = "ISP-B"];
MPLS [description = "MPLS"];
Edge_RTR [description = "Edge-RTR"];
FW_A [description = "FW-A"];
FW_B [description = "FW-B"];
}
network Internal_Edge {
color = "#E6E6FA"
description = "INTERNAL EDGE MODULE"
FW_A;
FW_B;
IntEdge_A [description = "IntEdge-A"];
IntEdge_B [description = "IntEdge-B"];
WLC [description = "WLC"];
Proxy [description = "Proxy"];
VPN [description = "VPN"];
DNS [description = "DNS"];
}
network Core {
color = "#B0E0E6"
description = "CORE MODULE"
IntEdge_A;
IntEdge_B;
Core_A [description = "Core-A"];
Core_B [description = "Core-B"];
}
network Dist_Var1 {
color = "#98FB98"
description = "L3 Adjacent"
Core_A;
Core_B;
Dist_1 [description = "Dist-1"];
Access_1 [description = "Access"];
}
network Dist_Var2 {
color = "#DDA0DD"
description = "MCLAG Trunk"
Core_A;
Core_B;
Dist_2 [description = "Dist-2"];
Access_2 [description = "Access"];
}
network Dist_Var3 {
color = "#FFE4B5"
description = "MCLAG Trunk"
Core_A;
Core_B;
Dist_3 [description = "Dist-3"];
Access_3 [description = "Access"];
}
network Datacenter {
color = "#87CEEB"
description = "SPINE/LEAF DC"
Core_A;
Core_B;
Border [description = "Border-Leaf"];
Spine [description = "Spine"];
Leaf [description = "Leaf"];
Servers [description = "Servers"];
}
}
@enduml
Büyük Site Tasarım Notları:
- Full modülerity: Tüm tiersler fiziksel olarak ayrı ayrı ayrı ayrı
- Subnet: /13 to / 15 site başına ( VRF sayıya göre)
- Örnek: 10.0.0.0/13 (HQ) - 524,286 IPs
VRF ve L3 Segmentasyon: Faydaları ve Kompleksi
L3 Segmentasyon Faydaları Sub-Interfaces
- Güvenlik: VRF'ler arasındaki trafik bir güvenlik duvarı veya politika aygıtını geçmelidir
- Blast Radius Containment: Tamamlanmış segment doğrudan diğer VRF'lere ulaşamaz
- Uyumluluk Boundaries: PCI, HIPAA veya OT ağları ayrı routing domains
- Trafik Mühendisliği: VRF için farklı yönlendirme politikaları
Kompleksi Tradeoff
Segmentler birden fazla tiers üzerinden uzatılırken, her L3 sınır konfigürasyonu gider:
@startuml Multi-VRF Path Through Tiers
skinparam backgroundColor #FEFEFE
title Multi-VRF Traffic Path: Camera to NVR
nwdiag {
network Camera_Segment {
address = "VLAN 120\n10.2.36.0/24"
color = "#FFDAB9"
description = "VRF: SECURITY"
Camera [description = "Camera"];
Access_SW [description = "Access-SW\nSub-int: 10.2.0.40/30"];
}
network Access_to_Dist {
address = "10.2.0.40/30"
color = "#DDA0DD"
description = "VRF: SECURITY"
Access_SW;
Distribution [description = "Distribution\nSub-int: 10.2.0.24/30"];
}
network Dist_to_Core {
address = "10.2.0.24/30"
color = "#B0E0E6"
description = "VRF: SECURITY"
Distribution;
Core [description = "Core\nSub-int: 10.2.0.8/30"];
}
network Core_to_IntEdge {
address = "10.2.0.8/30"
color = "#E6E6FA"
description = "VRF: SECURITY"
Core;
Internal_Edge [description = "Internal-Edge\nSub-int: 10.2.0.0/30"];
}
network IntEdge_to_FW {
address = "10.2.0.0/30"
color = "#FFE4E1"
description = "VRF: SECURITY"
Internal_Edge;
Firewall [description = "Firewall\nInter-VRF Policy"];
}
network DC_Path {
address = "VXLAN/EVPN"
color = "#87CEEB"
description = "Datacenter Fabric"
Firewall;
Border_Leaf [description = "Border-Leaf"];
Spine [description = "Spine"];
Leaf [description = "Leaf"];
NVR [description = "NVR"];
}
}
@enduml
Overhead:
- VRF başına 5 alt yüz
- 4 VRFs × 5 alt-ints = 20 sub-interfaces per switch
- Her VRF'de eşgüdüm protokolü
- Inter-VRF trafiği için rota veya güvenlik kuralları
Tartışma Stratejileri
- Limit VRF count: Sadece gerçek izolasyon gereksinimleri için VRF'ler yaratıyor
- Inter-VRF routing: Tek güvenlik politikası noktası vs. dağıtılmıştı
- VXLAN/EVPN: Overlay fiziksel alt-interface sprawl azaltır
- Automate düzenlemeŞablonlar tutarlı yapılandırma sağlar
- Belgeler the patternÖğrendikten sonra, desenler bakmaktan daha hızlıdır
Özet: Bir Scalable Network Pattern
Modüler ağ tasarımının amacı bir yaratmaktırtekrarlanabilir desenbu sağlar:
| Scale | Siteler | Desen | |-- ►---|---- Küçük | 10.000+ | Collapd UTM + tek geçiş, /24 site başına | | Medium | 1.000+ | Edge + MCLAG dağıtım + erişim, /21 site başına | | Büyük | 100+ | Full modüler (Edge, Internal Edge, Core, Dağıtım varyantları, DC kumaş), /13-/15 site başına |
Key Takeaways
- Modüller sınırları yaratır: Her modülün tanımlanmış bir amacı ve arayüzü vardır
- Desenler ölçek etkinleştirir: Her sitedeki aynı tasarım eğitim ve hataları azaltır
- VRF'ler izolasyon sağlar: Ama her katmanında yapılandırma karmaşıklığı ekleyin
- Subnet şemaları önemlidir: Tahmin edilebilir adresleme bilişsel yükü azaltır
- Dağıtım ihtiyacı ile değişirL3 bitişik, MCLAG /LACP, veya omurga /
- Site için doğru boyut: Küçük siteler üzerinde değil
Bu desenleri kurarak ve onları sürekli olarak uygulayarak, organizasyonlar tek bir şubeden küresel bir işletmeye kadar ölçeklenebilir – tüm operasyonel basitliği ve güvenlik duruşunu korurken.
Madde 2.0 | Yayınlanmış 2026-02 | PlantUML nwdiag diyagramları ile Güncelleme