エンタープライズネットワークで作業するときに遭遇する最大の問題は、明確で理解可能なネットワークロジックの欠如です。 ほとんどの場合、顧客が論理回路やダイアグラムを提供できない状況に遭遇します。 ネットワーク図(以降L3図)は、企業ネットワークの問題を解決したり、変更を計画したりする際に非常に重要です。 多くの場合、論理スキームは物理接続よりも価値があります。 時々、ほとんど役に立たない「論理物理ハイブリッド」スキームを見ます。 ネットワークの論理トポロジがわからない
場合は、盲目です。 原則として、論理ネットワーク図を描く能力は一般的なスキルではありません。 このため、ネットワークの明確で理解可能な論理回路の作成についてこの記事を書いています。
L3ダイアグラムにはどのような情報を表示する必要がありますか?
ネットワーク図を作成するには、
どの情報を
どのような図に表示する
かを正確に把握する必要があります。 そうしないと、情報が混在し始め、その結果、別の役に立たない「ハイブリッド」スキームが得られます。 良好なL3回線には、次の情報が含まれています。
- サブネット
- VLAN ID(すべて)
- VLAN名
- ネットワークアドレスとマスク(プレフィックス)
- L3デバイス
- ルーター、ファイアウォール(以降ITU)、およびVPNゲートウェイ(少なくとも)
- 最も重要なサーバー(たとえば、DNSなど)
- これらのサーバーのIPアドレス
- 論理インターフェース
- ルーティングプロトコル情報
L3回線にはどのような情報を含めるべきではありませんか?
以下にリストされている情報は、ネットワーク図にあるべきではありません。 他のレベル[
OSIモデル、
約 あたり ]そして、それに応じて、
他のスキームに反映さ
れるべきです:
- すべての情報L2およびL1(一般)
- L2スイッチ(管理インターフェイスのみを表すことができます)
- デバイス間の物理的な接続
使用される表記
論理回路は通常、論理記号を使用します。 それらのほとんどは説明を必要としませんが、 私はすでに彼らのアプリケーションのエラーを見たので、止めていくつか例を挙げましょう:
- チューブまたはラインとして表されるサブネット :
- VRFまたは正確に知られていない別のゾーンは 、クラウドとして表されます。
L3回線を作成するにはどのような情報が必要ですか?
論理ネットワーク図を作成するには、次の情報が必要です。
- L2(またはL1)図 — L3デバイスとスイッチ間の物理的な接続の表現
- L3デバイス構成 -テキストファイルまたはGUIへのアクセスなど。
- L2デバイス構成 -テキストファイルまたはGUIなどへのアクセス
例
この例では、単純なネットワークを使用します。 CiscoおよびITU Juniper Netscreenスイッチを搭載します。 L2スキームと、提示されているほとんどのデバイスの構成ファイルが提供されます。 ISPエッジルーターの構成ファイルが提供されない 実際には、ISPはそのような情報を送信しません。 L2ネットワークトポロジは次のとおりです。
次に、デバイス構成ファイルを示します。 必要な情報のみが残ります。
asw1!
vlan 210
name Servers1
!
vlan 220
name Servers2
!
vlan 230
name Servers3
!
vlan 240
name Servers4
!
vlan 250
name In-mgmt
!
interface GigabitEthernet0/1
switchport mode trunk
switchport trunk encapsulation dot1q
!
interface GigabitEthernet0/2
switchport mode trunk
switchport trunk encapsulation dot1q
!
interface vlan 250
ip address 192.168.10.11 255.255.255.128
!
ip default-gateway 192.168.10.1
asw2!
vlan 210
name Servers1
!
vlan 220
name Servers2
!
vlan 230
name Servers3
!
vlan 240
name Servers4
!
vlan 250
name In-mgmt
!
interface GigabitEthernet0/1
switchport mode trunk
switchport trunk encapsulation dot1q
!
interface GigabitEthernet0/2
switchport mode trunk
switchport trunk encapsulation dot1q
!
interface vlan 250
ip address 192.168.10.12 255.255.255.128
!
ip default-gateway 192.168.10.1
asw3!
vlan 210
name Servers1
!
vlan 220
name Servers2
!
vlan 230
name Servers3
!
vlan 240
name Servers4
!
vlan 250
name In-mgmt
!
interface GigabitEthernet0/1
switchport mode trunk
switchport trunk encapsulation dot1q
!
interface GigabitEthernet0/2
switchport mode trunk
switchport trunk encapsulation dot1q
!
interface vlan 250
ip address 192.168.10.13 255.255.255.128
!
ip default-gateway 192.168.10.1
csw1!
vlan 200
name in-transit
!
vlan 210
name Servers1
!
vlan 220
name Servers2
!
vlan 230
name Servers3
!
vlan 240
name Servers4
!
vlan 250
name In-mgmt
!
interface GigabitEthernet0/1
switchport mode trunk
switchport trunk encapsulation dot1q
!
interface GigabitEthernet0/2
switchport mode trunk
switchport trunk encapsulation dot1q
channel-group 1 mode active
!
interface GigabitEthernet0/3
switchport mode trunk
switchport trunk encapsulation dot1q
channel-group 1 mode active
!
interface GigabitEthernet0/4
switchport mode trunk
switchport trunk encapsulation dot1q
!
interface GigabitEthernet0/5
switchport mode trunk
switchport trunk encapsulation dot1q
!
interface GigabitEthernet0/6
switchport mode trunk
switchport trunk encapsulation dot1q
!
interface Port-channel 1
switchport mode trunk
switchport trunk encapsulation dot1q
!
interface vlan 200
ip address 10.0.0.29 255.255.255.240
standby 1 ip 10.0.0.28
!
interface vlan 210
ip address 192.168.0.2 255.255.255.128
standby 2 ip 192.168.0.1
!
interface vlan 220
ip address 192.168.0.130 255.255.255.128
standby 3 ip 192.168.0.129
!
interface vlan 230
ip address 192.168.1.2 255.255.255.128
standby 4 ip 192.168.1.1
!
interface vlan 240
ip address 192.168.1.130 255.255.255.128
standby 5 ip 192.168.1.129
!
interface vlan 250
ip address 192.168.10.2 255.255.255.128
standby 6 ip 192.168.10.1
!
ip route 0.0.0.0 0.0.0.0 10.0.0.17
csw2!
vlan 200
name in-transit
!
vlan 210
name Servers1
!
vlan 220
name Servers2
!
vlan 230
name Servers3
!
vlan 240
name Servers4
!
vlan 250
name In-mgmt
!
interface GigabitEthernet0/1
switchport mode trunk
switchport trunk encapsulation dot1q
!
interface GigabitEthernet0/2
switchport mode trunk
switchport trunk encapsulation dot1q
channel-group 1 mode active
!
interface GigabitEthernet0/3
switchport mode trunk
switchport trunk encapsulation dot1q
channel-group 1 mode active
!
interface GigabitEthernet0/4
switchport mode trunk
switchport trunk encapsulation dot1q
!
interface GigabitEthernet0/5
switchport mode trunk
switchport trunk encapsulation dot1q
!
interface GigabitEthernet0/6
switchport mode trunk
switchport trunk encapsulation dot1q
!
interface Port-channel 1
switchport mode trunk
switchport trunk encapsulation dot1q
!
interface vlan 200
ip address 10.0.0.30 255.255.255.240
standby 1 ip 10.0.0.28
!
interface vlan 210
ip address 192.168.0.3 255.255.255.128
standby 2 ip 192.168.0.1
!
interface vlan 220
ip address 192.168.0.131 255.255.255.128
standby 3 ip 192.168.0.129
!
interface vlan 230
ip address 192.168.1.3 255.255.255.128
standby 4 ip 192.168.1.1
!
interface vlan 240
ip address 192.168.1.131 255.255.255.128
standby 5 ip 192.168.1.129
!
interface vlan 250
ip address 192.168.10.3 255.255.255.128
standby 6 ip 192.168.10.1
!
ip route 0.0.0.0 0.0.0.0 10.0.0.17
fw1set interface ethernet0/1 zone untrust
set interface ethernet0/1.101 tag 101 zone dmz
set interface ethernet0/1.102 tag 102 zone mgmt
set interface ethernet0/2 zone trust
set interface ethernet0/1 ip 10.0.0.1/28
set interface ethernet0/1 manage-ip 10.0.0.2
set interface ethernet0/1.101 ip 10.0.0.33/28
set interface ethernet0/1.102 ip 10.0.0.49/28
set interface ethernet0/2 ip 10.0.0.17/28
set interface ethernet0/2 manage-ip 10.0.0.18
set vrouter trust-vr route 0.0.0.0/0 interface ethernet0/1 gateway 10.0.0.12
fw2set interface ethernet0/1 zone untrust
set interface ethernet0/1.101 tag 101 zone dmz
set interface ethernet0/1.102 tag 102 zone mgmt
set interface ethernet0/2 zone trust
set interface ethernet0/1 ip 10.0.0.1/28
set interface ethernet0/1 manage-ip 10.0.0.3
set interface ethernet0/1.101 ip 10.0.0.33/28
set interface ethernet0/1.102 ip 10.0.0.49/28
set interface ethernet0/2 ip 10.0.0.17/28
set interface ethernet0/2 manage-ip 10.0.0.19
set vrouter trust-vr route 0.0.0.0/0 interface ethernet0/1 gateway 10.0.0.12
outsw1!
vlan 100
name Outside
!
vlan 101
name DMZ
!
vlan 102
name Mgmt
!
interface GigabitEthernet1/0
description To-Inet-rtr1
switchport mode access
switchport access vlan 100
!
interface GigabitEthernet1/1
switchport mode trunk
switchport trunk encapsulation dot1q
!
interface GigabitEthernet1/3
switchport mode trunk
switchport trunk encapsulation dot1q
channel-group 1 mode active
!
interface GigabitEthernet1/4
switchport mode trunk
switchport trunk encapsulation dot1q
channel-group 1 mode active
!
interface Port-channel 1
switchport mode trunk
switchport trunk encapsulation dot1q
!
interface vlan 102
ip address 10.0.0.50 255.255.255.240
!
ip default-gateway 10.0.0.49
outsw2!
vlan 100
name Outside
!
vlan 101
name DMZ
!
vlan 102
name Mgmt
!
interface GigabitEthernet1/0
description To-Inet-rtr2
switchport mode access
switchport access vlan 100
!
interface GigabitEthernet1/1
switchport mode trunk
switchport trunk encapsulation dot1q
!
interface GigabitEthernet1/3
switchport mode trunk
switchport trunk encapsulation dot1q
channel-group 1 mode active
!
interface GigabitEthernet1/4
switchport mode trunk
switchport trunk encapsulation dot1q
channel-group 1 mode active
!
interface Port-channel 1
switchport mode trunk
switchport trunk encapsulation dot1q
!
interface vlan 102
ip address 10.0.0.51 255.255.255.240
!
ip default-gateway 10.0.0.49
情報の収集と視覚化
いいね 必要な情報がすべて揃ったので、視覚化を開始できます。
ステップごとにプロセスを表示
- 情報収集:
- 最初に、構成ファイル(この場合はASW1)を開きます。
- そこから、インターフェイスのセクションから各IPアドレスを取得します。 この場合、 255.255.255.128のマスクを持つ1つのアドレス( 192.168.10.11 )のみがあります 。 インターフェイス名はvlan250で 、vlan 250はIn-mgmtです。
- 設定からすべての静的ルートを取得しましょう。 この場合、1つのみ(ip default-gateway)があり、 192.168.10.1を指します。
- ディスプレイ:
- 次に、収集した情報を表示しましょう。 最初に、 ASW1デバイスを描画します。 ASW1はスイッチなので、スイッチシンボルを使用します。
- サブネット(チューブ)を描画します。 名前In-mgmt 、 VLAN-ID 250およびアドレス192.168.10.0/25を割り当てます 。
- ASW1とサブネットを接続します。
- 文字ASW1とサブネットの間にテキストボックスを挿入します。 論理インターフェイスの名前とIPアドレスを表示します。 この場合、インターフェース名はvlan250になり、IPアドレスの最後のオクテットは.11です (ネットワークIPアドレスは既に図にあるため、IPアドレスの最後のオクテットのみを表示するのが一般的です)。
- In-mgmtネットワークには別のデバイスもあります。 または、少なくともそうすべきです。 このデバイスの名前はまだわかりませんが、そのIPアドレスは192.168.10.1です。 これは、ASW1がこのアドレスをデフォルトゲートウェイとしてポイントしているためです。 したがって、このデバイスを図に表示して、一時的な名前「??」を付けましょう。 また、そのアドレスをスキームに追加します-.1 (ちなみに、不正確/不明な情報は常に赤で強調表示します。これにより、スキームを見ると、明確化が必要であることがすぐにわかります)。
この時点で、次のような回路が得られます。
ネットワークデバイスごとに 、このプロセスをステップ
ごとに繰り返し
ます 。 IPに関連するすべての情報を収集し、同じ図に表示します。各IPアドレス、各インターフェイス、各静的ルート。 その過程で、回路は非常に正確になります。 言及されているがまだ知られていないデバイスが図に表示されていることを確認してください。 先ほどアドレス
192.168.10.1で行ったのと同じ方法で。 既知のすべてのネットワークデバイスについて上記のすべてを完了したら、未知の情報を見つけることができます。 これにはMACテーブルとARPテーブルを使用できます(この段階について詳しく説明する次の投稿を書く価値があるのでしょうか?)。
最終的に、次のような回路ができます。
おわりに
適切な知識があれば、ネットワークの論理図を描くのは非常に簡単です。 これは手間のかかるプロセスですが、決して魔法ではありません。 L3ネットワーク図を作成したら、簡単に最新の状態に保つことができます。 利点は努力する価値があります。
- 変更を迅速かつ正確に計画できます。
- 問題の解決にかかる時間は以前よりはるかに短くなりました。 192.168.0.200から192.168.1.200のサービスが利用できないという問題を誰かが解決する必要があると想像してください。 L3ダイアグラムを表示すると、ITUがこの問題の原因ではないと自信を持って言えます。
- ITUルールの正確さを簡単に観察できます。 ITUに、このITUを決して通過しなかったトラフィックのルールが含まれている状況を見ました。 この例は、ネットワークの論理トポロジが不明であることを完全に示しています。
- 通常、L3ネットワーク図が作成されると、ネットワークのどのセクションに冗長性がないかなどがすぐにわかります。 つまり、L3トポロジ(および冗長性)は、物理的な冗長性と同じくらい重要です。