ネットワークエンジニアの基礎学習
1,ネットワークエンジニアの仕事内容
■要件定義
ユーザが求めるネットワークの要件を定義。アウトプットは要件定義書
■設計
要件定義した内容を実現するために行うもの
・基本設計
そのネットワークシステムにおける考え方を定義。アウトプットは基本設計書
・詳細設計
基本設計をもとに構築ができるレベルまで詳細に設計。
Config作成もこのフェーズに入る。アウトプットは詳細設計書。
・詳細設計書:
論理構成図、物理構成図、パラメータシート、IPアドレス一覧、フロア図、ラック実装図
■構築
・構築
開梱、耳付け、ラベル付け、機器のラッキング、ケーブル決戦、Config投入など
・試験
要件を満たす通信ができているかを確認
■運用・監視
ネットワークシステムにトラブルがないかどうかを確認する
■保守
トラブルがあったものに対して対応する
************************:
2,基本設計
■基本設計
そのシステムの機能を実現させるうえで必要不可欠な機能の設計
■設計
そのシステムの機能を実現させるうえで必要不可欠ではないが、メンテナンスや可用性などの観点から実装する機能の設計
※ネットワークの基本設計書では、機能設計・非機能設計という分け方をしない場合がある
****************************
3,基本設計の項目
■機能設計
論理ネットワーク設計
物理ネットワーク設計
■非機能設計
拡張設計
可用性設計
セキュリティ設計
運用保守設計
*************************:
4,機能設計
■論理ネットワーク設計基本構成
基本構成
セグメント一覧
ネットワークアドレスの割り当て方針
VLANの割り当て方針
■物理ネットワーク設計
基本構成
NW機器の要件
セグメント毎のスイッチ収容設計
スイッチポート収容設計
************
4-1,論理ネットワーク設計
・基本構成
NWの通信の流れや、ネットワークシステム全体を構成
・NWアドレスの割り当て方針
各セグメントにドjのようにネットワークアドレスを付与するかなどの方針。
基本設計では具体的なネットワークアドレスを割り当てず、詳細設計で付与する場合もある。
具体例は以下。
ネットワークアドレスの割り当て方針
1)セグメント区分:共有セグメント
プライベートアドレスを割り当てる。
各セグメントに付与する具体的なネットワークアドレスは詳細設計にて設計する。
2)セグメント区分:共有セグメント
グローバルアドレスを割り当てる。
利用するIPアドレスはプロバイダから払い出されたIPアドレスを使用する。
・VLANの割り当て方針
各NWセグメントに対し何のVLANを割り当てるかを決めた方針。基本設計では具体的なVLANは割り当てず、詳細設計にて決める場合もある。具体例は以下。
VLANの割り当て方針
本システムでは各通信の用途ごとのアイソレーションのため、VLANを使用する・
VLANの割り当て方針についていかに記載する。
1)複数のセグメントの通信が行われる個所はタグVLANで通信を多重化し、単一セグメントで使用する機器との接続部分はポートVLANを使用する。各セグメント毎の具体的なVLAN IDは、詳細設計にて設計する。尚、デフォルトVLANであるVLAN 1は使用しない。
またタグVLANを使用する箇所は、IEEE802.1qプロトコルを使用する。
*************************
4-2,物理ネットワーク設計
・基本構成
基本的な接続や所在地がわかるように、機器を繋いだ構成。
・セグメントのスイッチ収容設計
各ネットワークセグメントを収容するスイッチの役割を決めること。
例えば、あるスイッチの管理用、別のスイッチはユーザートラフィック用などに分ける。
・NW機器の要件
スイッチ・ルータ・FW等の要件を定義する項目。必要な転送性能・帯域があることが主に上げられるが、スイッチであればスタック機能があること、ルータであればNATやACLが使えること等、比較的当たり前のこともしっかり記載しておく必要がある。
・スイッチポート収容設計
スイッチにどのようなポリシーで機器を接続するかを決める項目。
慣例として、若番から照準に端末サーバ、老番から降順にNW機器を収容することが多い。
****************************
5,非機能設計
■非機能設計
そのシステムの機能を実現させるうえで必要不可欠ではないが、メンテナンスや可用性などの観点から実装する機能の設計。
・拡張設計
各機器における拡張
VLAN拡張
セグメント拡張
・可用性設計
可用性方針
冗長化構成
・セキュリティ設計
FWのポリシーなど
・運用保守設計
バックアップ設計
syslog設計
監視設計
時刻同期設計
*********
5-1,拡張設計
■拡張設計
ネットワークシステムにおいて、拡張すべき場合にどのように対応すべきかを設計する。
・各危機における拡張
各危機における拡張の要因と拡張方法を示す。主な要因は以下
物理サーバ数の増加
トラフィックの増加による性能不足
・VLAN拡張
必要なネットワークセグメントが増え、必要なVLANが増えた場合の拡張設計。
・セグメント拡張
必要なネットワークセグメントが増えた場合に追加するための設計。
*************
5-2,可用性設計
・可用性方針
可用性の方針を記載する。具体例は以下。
ネットワークでの基盤となる装置は、ネットワークの障害による業務の停止を防止もしくは最小限にとどめるため、ハードウェアを冗長化する。
・冗長化構成
可用性を実現するための冗長化構成について記載する。具体例は以下。
冗長化の対処危機は以下のとおりとする。なお、冗長化されたスイッチ等へ接続する機器(クライアント系機器を除く)は、
両方のスイッチへ同時に接続する厚生(NIC)を基本構成とする。
L3スイッチ
スタック接続(複数のスイッチを論理的に一台のスイッチとして扱えるようにする方式) + リンクアグリゲーション構成
カスケード接続(スイッチ + スイッチなどの中継装置同士の接続)
*************
5-3,セキュリティ設計
・ファイアウォールのポリシー設定
インターネトからの不正アクセスを防止するため、FWにおいて必要な通信のみ許可し、それ以外は制限する。
また、内部のIPアドレスの秘匿のため、IPマスカレードを使用したグローバルアドレスとプライベートアドレスとのアドレス変換を行う。
*************
5-4,運用保守設計
・バックアップ設計
configのバックアップを取得するための設計。機器毎に設定変更後に取得し、バックアップサーバに格納しておくのが一般的。
・syslog設計
ログをログサーバに転送(コピー)することで、ログの集約や一眼管理を行う。
・監視設計
NW機器を監視するための設計を行う。SNMPを使用した監視が一般的。
・時刻同期設計
LAN内の機器の時刻を同期させるための設計を行う。NTPを使用し、NTPサーバを基準都市時刻同期を行う。