設計のフェーズ
ネットワーク設計の中でも最も重要視される「基本設計」は以下のフェーズとなっている。
物理設計
↓
論理設計
↓
セキュリティ設計・負荷分散設計
↓
高可用性設計
↓
管理設計
物理設計
機種、OSバージョン、ケーブルの種類や長さ、ラック内配置、電源など様々あるのだが、必要な項目のみ書いていく。
■ ポート割当
サーバは若番から、ネットワーク機器は老番から収容していくなど、統一性のあるポリシーを決めると後々楽になる。
論理設計
■ VLAN割当、ネットワーク割当
・レイヤ3以上の機器を境にセグメントを分割する。
・BGP接続箇所はプレフィックス30で充分。
・管理用のVLANを用意する。
■ IPアドレス割当
・ポート割当と同様。サーバは若番から、ネットワーク機器は老番から。
・VIPやFIPなどの特殊アドレスの存在を忘れないよう注意。
■ ルーティング方針
・コアL3スイッチはISPとみなす。
・コアL3スイッチと共通L3スイッチ間はeBGP。
・共通L3スイッチ間はiBGP。
・ファイアウォールでルーティングプロトコルは使用しない(静的ルーティング)。
セキュリティ設計・負荷分散設計
# 気が向いたら・・・
高可用性設計
■ LAG(Link AGgregation)
・Cisco。L3スイッチ、L2スイッチ。
・ポートの冗長化。
・複数の物理ポートを束ねて1つの論理ポートにする。
・束ねた内の1つの物理ポートに障害が発生しても、論理ポートとしては継続して使用できる。
■ HSRP(Hot Standby Routing Protocol)
・Cisco。L3スイッチ。
・ゲートウェイの冗長化。
・2つの物理IPに対し仮想IPを作成する。仮想IPはいずれかの物理IPに紐付いている(Primary/Secondary)。
・今回はL3スイッチのダウンリンクポートに設定する。ここがファイアウォールのデフォルトゲートウェイになるので、L3スイッチ(Active)の障害発生時にゲートウェイが失われることを防げる。
■ NSRP(NetScreen Redundancy Protocol)
・Netscreen。
・機器全体の冗長化。
・2機器のHAポート間を接続して設定する。
・仮想IPの設定、Master/Backupの切り替え、コンフィグの同期、セッションやステータスの引継などが行われる。
管理設計
■ NTP(Network Time Protocol)
Internetに接続させない機器の時刻同期化において、システム内のNTPサーバを使用する。
■ SNMP(Simple Network Management Protocol)
・トラップ。機器の状態変化や障害発生時にSNMPサーバに通知する仕組み。障害の即時検知が可能となる。
・ポーリング。サーバから各機器に対し状態を問い合わせる仕組み。障害の兆候検知、トラップを発信できない機器の障害検知が可能となる。
■ SYSLOG
ログをログサーバに転送(コピー)することで、ログの集約や一元管理を行う。
■ バックアップ
・設定変更後にコンフィグのバックアップを取得する。
・TFTPサーバにて機器毎、日付毎に管理する。
以上、ざっくり設計。
本来は完璧に設計してから構築しなければならないが、あまりここで時間を喰っていても始まらないし、そもそも完璧に設計するだけの知識や経験がない。構築しながら不備や改善点を見つけて設計に反映していくことにする。