JAK RYSOWAĆ ABY NIE ZWARIOWAĆ 8-) - o trudnej sztuce prowadzenia dokumentacji obrazkowej

Podobne dokumenty
GDY KRZEM ZJADA PAKIETY - zło czai się w pakietach

SKALOWALNE SZYFROWANIE USŁUG W SIECI OPERATORA - przykład wdrożenia

PLAN KONSPEKT. do przeprowadzenia zajęć z przedmiotu. Wprowadzenie do projektowania sieci LAN

ZiMSK NAT, PAT, ACL 1

Wirtualizacja sieci izolacja ruchu w LAN oraz sieciach MPLS

KROK 1. KONFIGURACJA URZĄDZEŃ KOŃCOWYCH (SERWERÓW)

Systemy bezpieczeństwa sieciowego

MASKI SIECIOWE W IPv4

ZADANIE.02 Korporacyjne Sieci Bez Granic v.2013 ZADANIE.02. VPN L2L Virtual Private Network site-to-site (ASA) - 1 -

ZP-92/022/D/07 załącznik nr 1. Wymagania techniczne dla routera 10-GIGABIT ETHERNET

Wykorzystanie połączeń VPN do zarządzania MikroTik RouterOS

Data Center Allegro 1

CCNA : zostań administratorem sieci komputerowych Cisco / Adam Józefiok. Gliwice, cop Spis treści

SIECI KOMPUTEROWE. Dariusz CHAŁADYNIAK Józef WACNIK

Jak zbudować profesjonalny styk z internetem?

IP Anycast. Ochrona i skalowanie usług sieciowych. Łukasz Bromirski lbromirski@cisco.com

Wdrożenie ipv6 w TKTelekom.pl

Ćwiczenie Rozwiązywanie problemów związanych z trasami statycznymi IPv4 oraz IPv6 Topologia

PBS. Wykład Zabezpieczenie przełączników i dostępu do sieci LAN

Podstawy MPLS. PLNOG4, 4 Marzec 2010, Warszawa 1

Przypisywanie adresów IP do MAC-adresów

Projektowanie sieci metodą Top-Down

Projekt i implementacja filtra dzeń Pocket PC

MODEL WARSTWOWY PROTOKOŁY TCP/IP

Niniejszy załącznik zawiera opis techniczny oferowanego przedmiotu zamówienia.

Protokół BGP Podstawy i najlepsze praktyki Wersja 1.0

Routing średniozaawansowany i podstawy przełączania

DR INŻ. ROBERT WÓJCIK DR INŻ. JERZY DOMŻAŁ PODSTAWY RUTINGU IP. WSTĘP DO SIECI INTERNET Kraków, dn. 7 listopada 2016 r.

DMVPN, czyli Transport Independent Design dla IWAN. Adam Śniegórski Systems Engineer, CCIE R&S Solutions & Innovation

ZiMSK. VLAN, trunk, intervlan-routing 1

Sterowanie ruchem wyjściowym

Zakresy prywatnych adresów IPv4: / / /24

WOJEWÓDZTWO PODKARPACKIE

Technologie sieciowe

Wykład 2: Budowanie sieci lokalnych. A. Kisiel, Budowanie sieci lokalnych

WYKAZ MODUŁÓW I JEDNOSTEK REALIZOWANYCH W RAMACH PROJEKTU

Opis wdrożenia Platformy Technologicznej epodreczniki.pl na zasobach Poznańskiego Centrum Superkomputerowo-Sieciowego

mgr inż. Radosław Podedworny

4. Podstawowa konfiguracja

Połączenie VPN LAN-LAN IPSec X.509 (stały IP > stały IP)

Zadanie1: Odszukaj w Wolnej Encyklopedii Wikipedii informacje na temat NAT (ang. Network Address Translation).

VLAN. VLAN (ang. Virtual Local Area Network) - sieć komputerowa wydzielona logicznie w ramach innej, większej sieci fizycznej

Opis potrzeb i wymagań Zamawiającego.

7. zainstalowane oprogramowanie zarządzane stacje robocze

Ćwiczenie Konfiguracja i weryfikacja rozszerzonych list kontroli dostępu (ACL) Topologia

Ochrona sieci operatorów internetowych

Praktyczne aspekty implementacji IGP

Zapewnienie dostępu do Chmury

Aplikacja serwerowa Platformy Prezentacyjnej Opis produktu

Plan wykładu. 1. Sieć komputerowa 2. Rodzaje sieci 3. Topologie sieci 4. Karta sieciowa 5. Protokoły używane w sieciach LAN 6.

Brinet sp. z o.o. wyłączny przedstawiciel DrayTek w Polsce

Systemy Sieciowe. Katedra Informatyki Stosowanej, PŁ

Zapory sieciowe i techniki filtrowania danych

Konfigurowanie sieci VLAN

Ustawienia kolorów w Fiery Command WorkStation 6 FS200

Księgarnia PWN: Mark McGregor Akademia sieci cisco. Semestr piąty

Kurs Ethernet przemysłowy konfiguracja i diagnostyka. Spis treści. Dzień 1

Ćwiczenie Konfiguracja statycznych oraz domyślnych tras routingu IPv4

ZiMSK. Charakterystyka urządzeń sieciowych: Switch, Router, Firewall (v.2012) 1

Ćwiczenie Rozwiązywanie problemów z konfiguracją i miejscem ustawienia listy ACL w sieci Topologia

ANALIZA BEZPIECZEŃSTWA SIECI MPLS VPN. Łukasz Polak Opiekun: prof. Zbigniew Kotulski

(secure) ROUTING WITH OSPF AND BGP FOR FUN, FUN & FUN. Łukasz Bromirski. lukasz@bromirski.net

Zarządzanie infrastrukturą sieciową Modele funkcjonowania sieci

ZST Wykład (lato 2014)

VPN Host-LAN IPSec X.509 z wykorzystaniem DrayTek Smart VPN Client

System do projektowania i dokumentowania sieci komputerowych Projekt konceptualny

Konfiguracja połączenia G.SHDSL punkt-punkt w trybie routing w oparciu o routery P-791R.

Adresy w sieciach komputerowych

Realizacja styku międzyoperatorskiego dla usług L2/L3 VPN. Piotr Jabłoński Systems Engineer

Szkolenie autoryzowane. MS Administracja i obsługa Windows 7. Strona szkolenia Terminy szkolenia Rejestracja na szkolenie Promocje

1.1 Ustawienie adresów IP oraz masek portów routera za pomocą konsoli

Mechanizmy routingu w systemach wolnodostępnych

Kurs Ethernet przemysłowy konfiguracja i diagnostyka. Spis treści. Dzień 1/2

Stos protokołów TCP/IP (ang. Transmission Control Protocol/Internet Protocol)

ISP od strony technicznej. Fryderyk Raczyk

Wprowadzenie 5 Rozdział 1. Lokalna sieć komputerowa 7

Warstwy i funkcje modelu ISO/OSI

pasja-informatyki.pl

CZĘŚĆ IV ZAMÓWIENIA OBLIGATORYJNE WYMAGANIA TECHNICZNE

BROADBAND INTERNET ROUTER- INSTRUKCJA OBSŁUGI

BRINET Sp. z o. o.

Kurs OPC S7. Spis treści. Dzień 1. I OPC motywacja, zakres zastosowań, podstawowe pojęcia dostępne specyfikacje (wersja 1501)

Ćwiczenie Konfiguracja routingu między sieciami VLAN

ASEM UBIQUITY PRZEGLĄD FUNKCJONALNOŚCI

Połączenie VPN LAN-LAN IPSec (stały IP > stały IP)

Firewall bez adresu IP

Zaawansowane metody pomiarów i diagnostyki w rozległych sieciach teleinformatycznych Pomiary w sieciach pakietowych. Tomasz Szewczyk PCSS

Spis treúci. Księgarnia PWN: Wayne Lewis - Akademia sieci Cisco. CCNA semestr 3

SIECI KOMPUTEROWE LABORATORIUM 109

OpenContrail jako wtyczka do OpenStacka. Bartosz Górski, Paweł Banaszewski CodiLime

OUTSIDE /24. dmz. outside /24. security- level 50. inside security- level /16 VLAN /

Institute of Telecommunications. koniec wykładu VIII.

Bezpieczeństwo Systemów Komputerowych. Wirtualne Sieci Prywatne (VPN)

ZADANIE.07. Procesy Bezpieczeństwa Sieciowego v.2011alfa ZADANIE.07. VPN RA Virtual Private Network Remote Access (Router) - 1 -

MODUŁ: SIECI KOMPUTEROWE. Dariusz CHAŁADYNIAK Józef WACNIK

Przełączanie i Trasowanie w Sieciach Komputerowych

Orange. Content PoP. lokalne CDN i zdalny dostęp do TPIX dostępne w polskich aglomeracjach. 29 września Kraków

Połączenie VPN Host-LAN IPSec wykorzystaniem DrayTek Smart VPN Client

Przewodnik Szybki start

Transkrypt:

JAK RYSOWAĆ ABY NIE ZWARIOWAĆ 8-) - o trudnej sztuce prowadzenia dokumentacji obrazkowej Robert Ślaski Chief Network Architect CCIE#10877 PLNOG11 30.09-01.10.2013 Kraków www.atende.pl

O mnie i o prezentacji Moore's law reinvented: Computing power required to display 'Hello world' doubles every two years" www.atende.pl 2

Zapraszamy na pokład!! Dlaczego taka prezentacja?! Garść (chyba) dobrych rad! Przykłady gorsze lub lepsze - ale prawdziwe http://www.pbase.com/flying_dutchman/ www.atende.pl 3

DLACZEGO TAKA PREZENTACJA? www.atende.pl 4

No właśnie, dlaczego?! Za dużo jest na PLNOG ciężkostrawnych prezentacji ;-)! Troszkę praktyki zebranej przez lata w różnych projektach! Większość tych projektów była nietrywialna i wymagała indywidualnego podejścia do dokumentacji projektowej! Próba udokumentowania obrazkami niektórych z nich powodowała chwilowo tytułowe odejście od zmysłów! Takoż czasami konieczność przejęcia schedy projektowej i po innych ;-)! Dla niektórych pewnie to nic nowego! Mam nadzieję, że niektórych zainspiruję, jeśli nie, to możecie pospać J www.atende.pl 5

Standart disklajmer! Prezentacja ta muska zaledwie czubek góry lodowej zagadnienia! To co przedstawiam w dalszej części WYDAJE mi się dobre, ale to są MOJE zasady nikogo nie będę przekonywał na siłę! Szanuję, że niektórzy stwierdzą po prezentacji, iż to co przedstawiłem wyda się co najmniej DZIWNE! Przedstawione w prezentacji schematy all-in-one dobrze wyglądają na kartce A2, ale niekoniecznie na tej prezentacji! Z plastyki zawsze miałem 3+, góra 4 :-) www.atende.pl 6

Twórczość własna kontra praca zespołowa! Podejście do dokumentacji musi być oparte na stałych, sprawdzonych zasadach - ale nie może być sztywne! Systemy o różnych architekturach i przeznaczeniach wymagają różnego stylu prowadzenia dokumentacji! Jak w każdej sztuce, każdy powinien wypracować swoje indywidualne podejście do dokumentowania! Jeśli z moich arcydzieł ma korzystać zespół (czyli prawie zawsze)! Mój sposób dokumentowania, choćby nie wiem jak fantastyczny, musi być jednak czytelny dla innych to jest cel nadrzędny! Trzeba wcześniej razem wypracować zbiór reguł! Trzeba ustalić sposób korzystania z narzędzia! Trzeba ściśle trzymać się reguł wersjonowania i wymiany dokumentów www.atende.pl 7

Kwestia narzędzi! Należy stosować jedno narzędzie do rysowania - ale tylko takie, które bardzo dobrze poznamy! Podane tu zasady i przykłady nie są złożone, - da się je osiągnąć na dowolnym narzędziu! Ważne jest, aby wszyscy w zespole dobrze znali swoje narzędzie! Ważne też jest, aby wersja narzędzia w zespole była ta sama! Mechanizmy wersjonowania / archiwizacji / udostępniania! Ja stosuję Microsoft Visio (taka polityka firmy, ale i lubię) www.atende.pl 8

GARŚĆ (CHYBA) DOBRYCH RAD www.atende.pl 9

Ikonki urządzeń kontra ich reprezentacja blokowa! To zależy najczęściej od liczby połączeń! Ja preferuję reprezentację blokową VS www.atende.pl 10

Widoki urządzeń echhh! Moja rada: nie stosuj jeśli nie musisz! Niestety, producenci uwielbiają dawać gotowe wzorniki (marketing)! Profesjonalny wygląd dla szefa! Bliska zeru wartość dla inżyniera! Czasem przydatne w przypadku rysunków szaf i okablowania www.atende.pl 11

(Umiejętnie) stosuj kolory! Kolorowe drukarki laserowe nie są niczym niespotykanym - takoż kolorowe projektory! Łagodne, pastelowe kolory do zaznaczania obszarów! Wyraźne do zaznaczania ważnych danych! Większość mimo wszystko niech pozostanie w czerni i szarościach! Oczywiście wszystko z umiarem! Pstrokacizna też twój wróg!! De gustibus non est disputandum www.atende.pl 12

Metryczka i legenda: po prostu konieczność!! Metryczka rysunku też obowiązkowa! Nie zapomnij o jej uaktualnianiu nic tak człowieka nie denerwuje, jak te same wersje pliku z różną zawartością :-P! Najlepiej stosuj legendę (zwłaszcza przy nietypowych obiektach)! Będzie bezcenna szczególnie dla tych, którzy widzą nasz rysunek po raz pierwszy www.atende.pl 13

Jeden rysunek!= 1000 słów! Jeden rysunek pozwala ogarnąć większą perspektywę systemu i minimalizuje liczbę rysunków! Na jednym rysunku zalecam umieszczać kombinację topologii fizycznej, logicznej i danych konfiguracyjnych! Niestety więcej danych na rysunku pogarsza czytelność! Kompaktowość jest wrogiem czytelności, należy znaleźć złoty środek www.atende.pl 14

Wypracuj stałe elementy - przybornik podstawowych obiektów! Stosuj stały zestaw podstawowych obiektów Interfejs VLAN Interfejs HSRP Interfejs z PBR! Obiekty specyficzne wymyślamy na poczekaniu (ale są w legendzie) www.atende.pl 15

Wypracuj stałe elementy - format oznaczania połączeń! Przykład: oznaczanie VLANu i podsieci L3! Przykład: oznaczanie trunka 802.1Q wraz z przenoszonymi VLANami www.atende.pl 16

Szef kuchni poleca: płaszczyzny półprzezroczyste! Wyróżnianie różnych obszarów sieci bez wprowadzania bałaganu! Bardziej przejrzyste niż tylko krawędź kształtu www.atende.pl 17

Usuwaj nadmiarowe dane! Kartka nie jest z gumy, nadmiarowość zabiera miejsce! Nadmiarowość pogarsza czytelność i sprzyja błędom VS VS www.atende.pl 18

Umiejętnie oznaczaj interfejsy! Porty kontra interfejsy - czasami trudno jest wyraźnie je rozróżnić! Czasem trzeba wyróżnić przypisanie interfejsów do portów fizycznych! Lepiej czasem przemodelować rysunek VS www.atende.pl 19

Kompleksowe podejście do rozrysowania zagadnienia! Starożytne podejście do rysunków:! Nieśmiertelne Topologia fizyczna oraz Topologia logiczna! Inne rysunki w miarę potrzeb (szafy, architektura, przepływy)! Moim zdaniem przeżytek przy dzisiejszych, złożonych projektach! Dokumentacja w nowym stylu! Mix topologii fizycznej, logicznej i czego tam jeszcze potrzeba! Na jednym rysunku te elementy, które do siebie pasują i się uzupełniają! Łatwość ogarnięcia całości zagadnienia, choć trzeba uważać aby nie przesadzić z ilością podanej informacji i nie spalić komuś neuronów! Czasami wystarczy jeden rysunek aby pokazać wszystko ( all-in-one )! Większość przykładów w dalszej części jest właśnie w tym stylu www.atende.pl 20

Zaznaczaj główne przepływy informacji! Uwidocznij główne ścieżki! Ruchu użytkowników! Ruchu kontrolnego! Routingu www.atende.pl 21

Istotne fragmenty konfiguracji! Dopuszczamy, ale bez przesady! Ramki z konfiguracją wymagają sporo miejsca - a z tym często jest krucho Przypięcie crypto-mapy do interfejsu interface Serial0/0 ip address 192.168.1.14 255.255.255.252 crypto map CMAP Powiązanie crypto-mapy z GETVPN crypto map CMAP 10 gdoi set group GET_WAN match address ACL_EXCEPTIONS Konfiguracja lokalnych wyjątków ip access-list extended ACL_EXCEPTIONS deny ip host 192.168.1.14 host 192.168.1.13 deny tcp host 192.168.1.14 eq ssh any Konfiguracja powiązania z grupą GETVPN crypto gdoi group GET_WAN identity number 3333 server address ipv4 <ks1_address> server address ipv4 <ks2_address> www.atende.pl 22

Wykorzystaj możliwości narzędzia! Najpierw oczywiście musisz je poznać! Obiekty i arkusze można łączyć w hierarchię! Korzystaj z rastra, chyba że lubisz krzywizny! Używaj punktów połączeniowych albo giń! Masz hiperłącza, powiązania między schematami! Czasem możesz wygenerować obiekty konfiguracyjne! Używaj warstw, zrealizujesz podgląd w różnych kombinacjach www.atende.pl 23

PRZYKŁADY GORSZE LUB LEPSZE - ALE PRAWDZIWE www.atende.pl 24

Przykład 1: schemat koncepcyjny szyfrowania! Założenia:! Sieć IP/MPLS operatora z usługami szyfrowania IPT wykorzystującymi GET VPN! Należy udokumentować schemat koncepcyjny szyfrowania pomiędzy serwerem IPT a końcowym telefonem IP! Efekt: dwa rysunki! Schemat koncepcyjny ze schematem przepływu informacji! Ogólny schemat architektury jednego węzła www.atende.pl 25

Przykład 1: schemat koncepcyjny szyfrowania! Schemat koncepcyjny, w zasadzie samo-objaśniający się www.atende.pl 26

Przykład 1: schemat koncepcyjny szyfrowania! Rysunek architektury jednego węzła (tutaj bez legendy) KS1 VPN Control KS2 Grupy KS Polityka UC1 PE1 VRF: UC1 GM UC1 Hub Crypto Hub Crypto VRF: UC Grupy KS Polityka UC2 PE1 VRF: UC2 PE2 GM UC1 GM UC2 PE2 www.atende.pl 27

Przykład 2: Dokumentacja RD/RT w MPLS VPN L3! Sieć IP/MPLS operatora dostarczającego zaawansowanych usług! W sieci MPLS, ze względu na architekturę realizacji usług, zaprojektowano dość złożoną strukturę VRF/VPN oraz RD i RT! Wykorzystywana jest zaawansowana wymiana RT między VRFami! Należy udokumentować to wszystko w sposób w miarę czytelny, umożliwiający zrozumienie przez operatorów i rozwój przez administratorów sieci www.atende.pl 28

Przykład 2: Dokumentacja RD/RT w MPLS VPN L3! Same urządzenia jako mniej istotne potraktowano symbolicznie (KS, GK )! Parametryzacja informacji (B1)! Najważniejsza jest wymiana informacji routingowej, czyli RT! Nazwy VRFów (VRF CONTROLB2) wraz z RD (65112:XXXB2)! Prefiksy (PFX_UCB1_LOOP) oraz odpowiadające im wartości RT (65112:100)! Kierunek eksportu RT (które VRF importują)! Polityki (route-map) tym sterujące i miejsce ich aplikacji (VRF) www.atende.pl 29

Przykład 2: Dokumentacja RD/RT w MPLS VPN L3 Do VRF CONTROLB2 (RT 65112:XXX, RT 65112:XXXB2) Pokazane rozgraniczenie dwóch obszarów sieci Eksportujemy prefiksy określone przez listę PFX_UCB1_LOOP, dodając im w tym celu RT 65112:XXXB2 A tutaj mamy dwustronną wymianę wszystkich prefiksów między dwoma VRFami Eksport kontrolowany jest route-mapą Z VRFu UC_B1, (RD/RT 65112:XXXB1) www.atende.pl 30

Przykład 3: Dokumentacja brzegu ISP! Należy udokumentować jedną z lokalizacji brzegu sieci dużego ISP! Ma być to rysunek typu all-in-one, do pracy typowo operacyjnej! Wymagana jest odzwierciedlenie szczegółowej topologii logicznej oraz routingu IGP/BGP! Należy przedstawić schematycznie polityki BGP z peerami zewnętrznymi www.atende.pl 31

Przykład 3: Dokumentacja brzegu ISP Obszary routingu Legenda Peeringi IBGP EBGP / MH-EBGP Adresacja v4/v6 i metryki IGP / EBGP Redundantny peering EBGP z interfejsem HSRP Schemat adresacji loopback www.atende.pl 32

Przykład 3: Dokumentacja brzegu ISP ACLki v4 i v6 na peeringu EBGP do ISP Redundantny peering EBGP wraz z politykami (mapy we/wy, filtry prefiksów oraz filtry AS PATH) Kompaktowa forma reprezentacji wielu peeringów EBGP do klientów www.atende.pl 33

Przykład 4: Blok kreowania usług IP dla SP! Blok kreowania usług IP u operatora szerokopasmowego! Dwa redundantne routery operatorskie! W każdym z routerów dwa moduły usługowe realizujące usługi IP! Serwery z aplikacjami sterującymi! Load-balancing ruchu do powyższych komponentów! Należy w sposób w miarę czytelny pokazać:! Wszystkie komponenty, wyróżniając interfejsy modułów usługowych od interfejsów routera! Porty, interfejsy, adresację IP! Przepływy ruchu kontrolnego i użytkownika www.atende.pl 34

Przykład 4: Blok kreowania usług IP dla SP www.atende.pl 35

Przykład 4: Blok kreowania usług IP dla SP Komponenty routera (zielone tło) Interfejsy logiczne routera (zwykły i z PBR) Symbole portów fizycznych routera Przepływy ruchu danych i kontrolnego Komponenty modułu usługowego (żółte tło) Interfejsy logiczne load-balancera www.atende.pl 36

Przykład 5: Firewalle wymiany ruchu między VPN! Sieć MPLS VPN! Firewalle dla wymiany ruchu między VPN! Firewalle podzielone na firewalle wirtualne! Pokazać styk firewalli z VRFami, VPNami oraz interfejsami routera! Pokazać ruch który jest wymieniany między poszczególnymi VPNami www.atende.pl 37

Przykład 5: Firewalle wymiany ruchu między VPN Firewall fizyczny (żółte tło) Firewall logiczny (różowe tło) Interfejs logiczny wraz z adresacją, nazwą oraz ACL Routing w kierunku VPN Port fizyczny firewalla przez który dany ruch jest wymieniany Nazwa VPN (turkusowe tło) VRF routera (zielone tło) Routing w kierunku firewalla Interfejsy logiczne routera VLAN, adresacja i nazwa VRF www.atende.pl 38

Przykład 6: Szczegóły implementacji systemu PKI Rozbicie na lokalizacje Struktura VPN/VRF Przedstawienie działania mechanizmu redundancji Nienachalne ;-) użycie kolorów Legenda konieczna Zaznaczenie przejścia ruchu przez firewalle Hostname, IP, oraz nazwa funkcjonalna www.atende.pl 39

Przykład 7: Architektura połączenia PE-CE! Styk PE-CE w MPLS VPN wykorzystuje:! Redundancję urządzeń, fizyczną i logiczną! Trunki 802.1Q na połączeniach fizycznych! Dwa VRF, dwa obszary EIGRP! Aplikację szyfrowania IPSec na interfejsach! Markowanie Site-of-Origin, redystrybucję!! Należy przedstawić to wszystko na jednym rysunku! Albo przynajmniej spróbować J www.atende.pl 40

Przykład 7: Architektura połączenia PE-CE Legenda Dwa rozłączne VRF i obszary EIGRP (wyróżnienie kolorem) Redystrubucja Identyfikator połączenia fizycznego wraz z przenoszonymi VLANami 802.1Q Port fizyczny SoO Crypto-mapy szyfrowania Obszar EIGRP routera CE Interfejsy www.atende.pl 41

Inne przykłady! Podglądaj innych!! ratemynetworkdiagram.com! Taki Mam Talent w dziedzinie sztuki rysunków sieci ;-)! Z niektórych można się tylko pośmiać! ale z wielu można wyciągnąć pożyteczne pomysły www.atende.pl 42

DZIĘKUJĘ! www.atende.pl 43

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres