每个人都同意网络文档非常重要,但是对于文档应包含的内容却没有达成太多共识。简短的答案是,它应该包括所有相关的内容,但这在不同的网络之间是不同的。
例如,在一个只有一个交换机和防火墙的小型网络中,也许只有一个无线访问点,没有太多可记录的东西。将所有内容放在一个图中可能就足够了。
但是在一个更大的网络中,您需要遵循一个普遍的原则,即某天某人需要支持此东西,并且您希望得到积极的记忆。
因此,所需的实际文档会因网络而异,但下表显示了典型网络的相对重要性。
| 重要性 | 文件 | 类型 | 笔记 |
| 危急 | 第1层或第1/2层 | 图表 | 应该显示关键基础设施 |
| 危急 | 第三层 | 图表 | 应该显示关键基础设施 |
| 危急 | 电路编号 | 表 | 有时,这是在故障单系统中完成的 |
| 危急 | IP地址分配 | 表 | 这可能是一个工具,而不是电子表格,可以轻松共享 |
| 有用 | 机架布局 | 图表 | 特别是对于数据中心 |
| 有用 | WiFi布局 | 图表 | 取决于WiFi的重要性 |
| 有用 | 电缆计划 | 图表 | 如果放置的编号与桌面位置的编号不同,则特别有用 |
| 有用 | 路由协议 | 图表 | 如果您运行任何复杂的路由协议,就变得至关重要 |
| 有用 | 安全性检视 | 图表 | 这对解释安全性比对故障排除有用。 |
| 有用 | 云服务 | 图表 | 如果您运行任何复杂的云都将变得至关重要 |
| 有用 | 修补表 | 表 | 在实施过程中特别有用 |
| 有用 | 资产追踪 | 表 | 特别是基础设施资产和支持合同 |
| 有用 | 密码库 | 表 | 应该加密 |
| 很高兴有 | 详细设计文件 | 文件 | 在拥有大量支持人员的较大环境中变得至关重要 |
| 很高兴有 | 支持文件 | 文件 | 取决于支持组织 |
| 很高兴有 | 路由和生成树快照 | 文件 | 对于故障排除很有用 |
关键网络文档
第1层和第2层图
A 第1层图 显示了网络基础结构的关键部分之间的物理连接。它包括链接速度和电缆类型。我喜欢在第1层图中查看各个端口号或名称。通常,我使用较粗的线表示较快的链接,并且对光纤和铜缆以及存储和数据网络使用不同的颜色。
我经常将第2层功能组合到第1层图上,因为它们看起来自然地融为一体。第2层功能包括VLAN号,链路聚合和中继连接。此外,任何第2层图表都必须包含 生成树 信息,例如根网桥以及已更改为默认值的任何网桥和链接优先级。
如果您没有运行生成树,则可能需要一个单独的图表来彻底记录您使用TRILL或替代方法所做的工作。而且,如果您没有生成树或TRILL,并且有多个开关,那么您做错了。
照片:Auvik Networks
第三层图
第3层图 包括所有IP段以及将它们互连的所有网络设备。这通常意味着第3层交换机,路由器和防火墙。 IP段应指示任何相关的VLAN ID号以及预期功能的简短的一两个字描述,以及IP网络号和掩码。我也喜欢在此图上放置网络设备的IP地址。
第3层图中应明确指出任何重要的冗余机制,例如HSRP或VRRP。但是,除非服务器具有某些非常重要的网络功能(例如DHCP,DNS或LDAP服务器),否则我不会将其放置在诸如第3层图中的服务器之类的终端设备上。
那些是 网络图 您绝对需要。此外,您应该具有代表网络其他重要功能的图表。重要的内容取决于网络。
电路编号表
另一个重要的文档,特别是如果您有WAN电路或语音电路的情况,是所有电路编号的详细列表。该列表应包括电路编号和网络提供商,以及有关电路去向的任何信息。
如果是MPLS电路,则电子表格应包含所有MPLS配置信息。如果是Internet电路,则信息的数量和详细信息可能会因提供商和电路类型而异。而且,如果这是点对点电路,那么包含有关另一端的信息是有意义的。
我希望在此电路编号列表中包含支持信息。如果该电路出现故障,我该打哪个电话号码?如果在致电时需要提供特殊的支持合同信息,则也应在此处记录该信息。
IP地址分配表
接下来是IP地址分配电子表格或数据库,其中应该包括您环境中拥有的每个内部和外部,已注册和私有的IPv4和IPv6地址。每个子网应单独列出,并且每个设备都应记录。如果您使用DHCP(这也是一种很好的做法),那么对于一系列地址,只需指出它们是动态地址即可。但是应该记录每个静态地址分配。
而且,这是最重要的,您需要能够 保留 您打算将来用于特定目的的地址。不然你’不可避免地会给两个不同的项目分配相同的地址,并造成完全可以避免的冲突。
我喜欢为我的所有NAT地址创建一个单独的电子表格,在其中准确描述每个地址的用途。如果我有多个内部或DMZ设备映射到不同端口上的单个外部地址,那么我会仔细记录每个NAT规则。下次您需要添加新的NAT规则时,这将使工作变得更加轻松。
有用的网络文档
机架布局图
机架布局图显示了带有所有设备和配线架的服务器机房或配线室机架。如果您安装的设备可以从机柜的正面和背面访问,则正面和背面都应具有图表。
机架布局图应精确地确定在机架上哪个数字位置安装了什么设备。
规划下一件设备的放置位置时,以及与技术人员和其他IT员工讨论在哪里寻找物品时,都将使用机架布局图。当您告诉某人切断特定设备的电源以确保他们使用正确的设备时,这一点非常重要。
机架布局还可指定诸如哪个过道热,哪个过冷以及功率分配之类的内容。但是,我不建议将跳线放在机架图上。该信息可能会定期更改,并且只会使图片混乱,而不会添加很多有用的信息。稍后我将讨论如何记录修补信息。
照片: 平价 在Flickr上
Wi-Fi图
如果您的网络中有重要的Wi-Fi组件,则应记录下来。对于Wi-Fi,我希望看到显示所有接入点(AP)物理位置的楼层布局,最好标出RF辐射图。如果有任何特殊的天线与非对称辐射图一起使用,这一点尤其重要。
同样,一个良好的Wi-Fi图会显示所有SSID以及它们的预期用途和安全机制。如果有中央Wi-Fi控制器,则此信息应在文本框中指出。
电缆计划
每当您要对办公室网络问题进行故障排除(例如通过将两个插孔巧妙地插入同一未经授权的工作组交换机中找到创建环路的家伙)时,都会使用类似的图表,这是电缆计划。此图使您可以将通常难以理解的插孔编号映射到建筑物中的实际位置。
路由协议图
另一个有用的图是路由协议设计。如果有单独的路由域不能彼此直接交换路由,我通常将它们做成单独的图表。例如,如果我有一个内部 OSPF协议 要么 专家组 路由域和外部Internet BGP路由 在域中,我总是制作这些单独的图。
路由协议图应指出所有自治系统,内部区域和重新分配点,并应明确指出特殊功能,例如路由标记或过滤。
安全图
我希望在文档包中包含的另一个专用网络图是安全视图。除了着重于Internet边缘以及任何内部或Internet DMZ之类的内容外,它与第3层图表相似。
当然,所有特殊的安全设备都需要在此图中清楚地指出。
标准的第3层图包括防火墙,但安全图还需要包括任何特殊的安全探针, IDS / IPS设备 和被动或主动水龙头。我还希望在此图中看到诸如SIEM的中央管理设备和日志服务器。如果有重要的NAT规则或防火墙规则,通常也要加以说明。
照片: 哈里亚·瓦伦(Haria Varlan) 在Flickr上
云服务图
如果您有任何类似AWS的云服务,则应记录它们。云服务图需要包括所有安全区域,并且可能还应该包括环境中的所有虚拟服务器。
如果您的云服务中具有防火墙,负载平衡器或WAF虚拟设备之类的特殊网络安全基础结构,则需要对其进行清晰描述,以便下一个人可以轻松了解您的操作以及如何进行管理。
如果你 have a 虚拟专用网 在云和您的内部网络之间,在图表中包括该功能非常重要,因为在这里通常会发送最敏感的信息,并且这也是网络的潜在后门。
修补表
在数据中心中,应该记录配线架。数据中心通常具有许多不同类型的链接,从光纤和铜缆到某些双轴或Infiniband。每个设备都很重要,而且可能具有独特性。错误可能会破坏整个网络。
相反,支持三楼西翼所有用户的配线架可能会将大多数这些用户连接到配置相同的交换机端口。为其保留一个良好的补丁表当然很有用,但它确实不如数据中心补丁信息那么重要。但是,正如我前面提到的,您确实希望有一张物理图,显示所有这些办公电缆的位置,以便您可以对最终用户进行故障排除。
配线文档至少应在面板中的每个端口上准确显示电缆另一端的连接方式。如果另一端的设备或面板上有很多端口,则目标端口应与设备一起唯一标识。
文档还应指出所用的跳线类型。是第6类吗?是纤维吗?如果是光纤,是单模还是多模,两端的连接器类型是什么?如果跳线具有唯一的标识号(这是一种很好的做法),则还应包括这些编号。
资产追踪
拥有资产跟踪信息表非常有用。为此,我通常不太担心电话,打印机或工作站等商品。相反,该列表应包括基础架构的关键部分,例如交换机,路由器和防火墙,以及服务器硬件的所有关键部分。
在资产跟踪信息表中,我想查看制造商名称,型号,序列号和许可证号。您还希望提供支持合同编号,以便在出现问题时知道与谁联系。
照片:
密码库
一个重要且有用的文档是密码库。如果您在任何网络设备上都有静态管理密码,请将这些凭据存储在某种加密的保管库中。通常,我更喜欢使用RADIUS或TACACS之类的中央身份验证系统的设备,但是不可避免地会有一些设备需要静态密码。而且在大多数情况下,您还将拥有备用密码,如果中央身份验证系统出现故障,可以使用该备用密码。
完善的网络文档
其他一些 网络文档 视情况而定。
网络设计文件
如果我要为客户设计网络,那么我经常会写一份详细的设计文档。它通常是一个相当长的文档,其中我描述了设计并解释了网络中每个新功能和新部分的预期功能。
包括一个决策日志可能会很有帮助,您可以在其中识别所有关键设计决策并解释为什么做出这些决策。例如,也许由于需要支持特定的传统要求而选择使用特定的路由协议。或者,您可能想在网络的一部分中实现更复杂,更强大的功能,但遇到兼容性问题,因此您不得不求助于蛮力解决方案。当您想知道为什么以某种特定方式完成某件事以及更改是否安全时,这些说明会变得非常有用。
网络支持文件
有时我会写一份支持文档,以帮助将基础架构迁移到生产环境。它包括诸如有关如何在我已完成的框架中实施新系统的建议,以及有关在何处以及如何修改安全性限制以允许新服务通过防火墙而不会损害设计的建议。它还可能包括故障排除说明。例如,我可能会列出常见故障模式(如电路故障)的预期症状。
路由快照
如果您运行的网络特别大,通常可以维护一组路由表的路由快照,以在进行故障排除时使用。这也可能包括路由协议信息。同样,出于相同的原因,您也可以记录其他动态拓扑信息,例如生成树链接状态。
最后的想法
既然我已经概述了要收集和记录的内容,那么仍然存在您将如何做的问题-那就是您的记录过程。工具可以帮助您实现流程自动化,从而避免您花费所有时间手动收集和维护信息。他们还可以确保团队中的所有成员始终拥有相同的准确信息。
但是,无论您使用哪种方法,重要的是 一致的 产生的过程 质量 信息并保留该信息 最新.
嗨,您好–我非常喜欢您使用的Visio模具的简单性。您愿意分享我在哪里可以得到他们吗?
非常感谢
担
嗨,丹:
如果你’重新参考第3层部分上方的地图图像,’s Auvik屏幕截图。我们’再次高兴您喜欢我们的图标!他们不是’可以作为Visio模具使用。
非常感谢您提供有用的信息
真的很感激
谢谢!关于这个话题的讨论不多。我认为实际的课程将是无价的,而且公司愿意付钱给员工学习,特别是在停电之后!
交换机和端口连接在网络文档编制过程中有多重要?
在网络文档编制过程中,显示关键资产的交换机和特定的端口连接非常重要。相当静态的资产,如交换机,路由器,接入点,服务器,UPS设备,应包含在端口级文档中。其他更具动态性的资产(如工作站和IoT设备)由于可以移动,因此更难包含在端口级网络文档中。这就是为什么’对尽可能多的文档进行自动化非常重要–以确保文档始终在需要时保持最新。