Аудит и переработка сетевой инфраструктуры для «585GOLD»
«585GOLD» обратилась к нам с запросом комплексного обследования сетевой инфраструктуры. Специалисты заказчика регулярно сталкивались со сбоями оборудования. Для их решения требовалось не только провести процедуру аудита, выявить конкретные проблемы в архитектуре и реализации, но и сформировать рекомендации по модернизации топологии и состава оборудования.
Как была устроена сетевая инфраструктура
На момент обращения к ITGLOBAL.COM сетевая инфраструктура заказчика была реализована следующим образом.
ЦОД LINX
Ядро сети состояло из Juniper MX5 и двух межсетевых экранов Juniper SRX550, работающих в режиме Chassis Cluster и обеспечивающих внутреннюю L3 маршрутизацию, коммутацию и сетевую защиту.
Агрегация и доступ к сервисам ЦОД осуществлялась через два коммутатора Cisco 2960, которые не были никак не зарезервированы. В частности, у каждого из них было по одному блоку питания, средства динамического резервирования также не применялись. Они были подключены к одному источнику питания, отказ любого из них мог привести к потере доступа к оборудованию и основным сервисам.
Связность интернетов осуществлялась через двух провайдеров, в качестве пограничных коммутаторов использовались два Cisco Switch 2960. Оборудование в дата-центре не имело инфраструктуры резервного консольного управления, поэтому любая неполадка требовала немедленного выезда в ЦОД сетевого инженера.
В конфигурациях исследуемого оборудования присутствовало большое количество артефактов. Неиспользуемые подсети, vrf, VLAN, зоны безопасности на межсетевых экранах Juniper SRX550, неактивные BGP-соседства, что затрудняло построение актуальной картины происходящего в сети и, соответственно, увеличивало время устранения возникающих проблем.
Все это создавало большую вероятность возникновения серьезных неполадок, вплоть до полной недоступности сервисов дата-центра и, соответственно, частичному или полному отказу работы магазинов и офисов.
Головной офис
Сеть офиса представляла из себя набор мультивендорного сетевого оборудования
Juniper/Cisco. Доступ в интернет осуществлялся при помощи каналов двух интернет-провайдеров, подключенных к пограничным коммутаторам Cisco.
Безопасность, фильтрация трафика, трансляция сетевых адресов между внутренней сетью и интернетом осуществлялась с помощью двух межсетевых экранов Juniper SRX240, работающих в режиме Chassis Cluster.
Агрегация доступа и доступ к сервисам в офисе были реализованы на базе топологии «объёмная звезда», организованной с помощью двух агрегирующих коммутаторов Cisco Catalyst 3560.
На сетевом оборудовании в головном офисе присутствовали те же артефакты конфигураций оборудования, что и в дата-центре.
Модернизация сети
По окончании аудита специалисты ITGLOBAL.COM сформировали список рекомендаций по оптимизации общей топологии, дизайну OSPF и BGP, а также предложили два варианта модернизации сетевой инфраструктуры — с использованием оборудования Cisco и Juniper в качестве альтернативы.
Инженеры заказчика уже были хорошо знакомы с решениями Cisco, поэтому остановились на покупке коммутаторов Nexus 93180. К тому же их внедрение позволяло:
- агрегировать дублирующие связи с помощью технологии VPC и отказаться от STP;
- повысить отказоустойчивость;
- увеличить пропускную способность агрегации;
- обеспечить балансировку трафика на уровне L2 модели OSI;
- консолидировать функции пограничного маршрутизатора и агрегирующего коммутатора.
Схема сети с использованием оборудования Cisco:
Чтобы обосновать руководству «585GOLD» покупку необходимого оборудования, инженеры ITGLOBAL.COM составили подробный отчет, где были зафиксированы все имеющиеся недостатки сетевой инфраструктуры, рекомендации по ее оптимизации и варианты модернизации.
Поставку оборудования и реализацию новой топологии заказчик решил доверить ITGLOBAL.COM. После закупки также требовалось настроить новые коммутаторы и перенастроить часть используемого оборудования.
Дальнейшие работы по проекту были разделены на три этапа:
- составление плана перенастройки оборудования без перерыва в работе сервисов или с минимальным простоем;
- актуализация конфигурации SRX550 и SRX240 в рамках перевода на новую схему, перенастройка пограничных маршрутизаторов в соответствии с планом, настройка L3-коммутаторов Nexus
- ввод в эксплуатацию, доработки, внесение изменений в соответствии с техническим заданием заказчика.
Чтобы минимизировать риски потери доступности, часть работ проводилась в ночные часы. Несмотря на то, что некоторые настройки можно было произвести удаленно, инженерам ITGLOBAL.COM все равно пришлось пару раз выехать на площадку заказчика лично.
Планы на будущее
По завершении основных работ по модернизации сети заказчик приступил к активному развитию мониторинга в соответствии с данными ранее рекомендациями инженеров ITGLOBAL.COM:
1. Настройка использования встроенных в Zabbix шаблонов. Они добавят:
- универсальную сборку системных метрик и оповещение о нештатных ситуациях.
- универсальный мониторинг интерфейсов с оповещением на полосу, состояние порта, ошибки.
2. Настройка отдельными правилами мониторинга OSPF на всех устройствах, участвующих в L3 домене. Это позволит:
- вовремя увидеть состояние резервных маршрутов;
- ускорить локализацию проблемы в случае инцидента.