Любая модернизация начинается с понимания текущего состояния. Крупная многопрофильная ИТ-компания — это уникальный вызов для сетевой инфраструктуры. Разные подразделения имеют различные требования: разработчикам нужны тестовые среды, сервисным командам — изолированные контуры, службе безопасности — строгий контроль.

Со временем это приводит к появлению несанкционированных кластеров, забытых стендов и оборудования вне учета ИТ-отдела. Локальные решения перерастают в корпоративные сервисы без должного оформления. В результате сеть становится лоскутным одеялом из оборудования разных поколений и производителей.

После анализа потребностей становится ясно: требуется сеть телекоммуникационного оператора в рамках одного офиса. Опорная сеть предоставляет сервисы L2 VPN, L3 VPN и обычную маршрутизацию для внутренних потребителей.

Архитектура строится на двух уровнях. Underlay — физическая инфраструктура с маршрутизацией на основе протокола IS-IS. Overlay — наложенная сеть на базе технологии EVPN/VXLAN с использованием MP-BGP. Для ускорения реакции на сбои применяется протокол BFD, сокращающий время обнаружения проблем до миллисекунд.

Выбор сетевого оборудования

Правильный выбор оборудования определяет успех проекта. На уровне распределения используются коммутаторы с поддержкой VXLAN, обеспечивающие подключение пользователей на скорости 10 Гбит/с и агрегацию трафика на скоростях 40–100 Гбит/с.

Для ядра сети применяются высокопроизводительные коммутаторы с портами 40/100 Гбит/с. Ключевой вопрос — организация отказоустойчивого подключения. Вместо простого стекирования, создающего единую точку отказа, применяется связка технологий M-LAG и Anycast Gateway.

M-LAG обеспечивает резервирование на канальном уровне, представляя пару коммутаторов как одно логическое устройство. Anycast Gateway дублирует шлюзы по умолчанию на обоих коммутаторах с одинаковыми IP-адресами, позволяя устройствам маршрутизировать трафик через ближайший узел.

Подготовка к миграции

Успешная миграция начинается с тщательной подготовки. Необходимо понять текущее состояние: какие порты используются, что подключено к каждому разъему, какие устройства работают в сети. Анализируются существующие кабельные журналы, данные проектов прокладки СКС и таблицы MAC-адресов.

На основе собранных данных создаются таблицы миграций с полной информацией о каждом подключении: от маркировки розетки до MAC-адреса устройства и необходимого VLAN. Специальные скрипты автоматизируют процесс, сопоставляя данные из разных источников и выявляя несоответствия.

Замена коммутаторов доступа

Первый этап модернизации — замена устаревших коммутаторов доступа на современные модели с поддержкой PoE на всех портах. Это унифицирует подключения и избавляет от отдельных инжекторов питания для IP-телефонов и точек доступа.

Работы проводятся поэтапно, как правило, в выходные дни. Каждая миграция включает отключение старого оборудования, установку новых коммутаторов, перекоммутацию портов согласно кабельному журналу и проверку работоспособности. Особое внимание уделяется подготовке патч-кордов — каждый кабель маркируется с обеих сторон.

Параллельно происходит актуализация документации, отказ от аналоговой телефонии и обновление прошивок IP-телефонов. Настройка port security на всех активных портах предотвращает несанкционированные подключения.

Миграция на новую магистраль

После обновления уровня доступа наступает время модернизации ядра сети. Старая топология collapsed backbone заменяется на распределенную архитектуру с отдельными коммутаторами ядра и распределения. Это требует физической перекоммутации и изменения схемы адресации.

Разрабатывается новый план IP-адресации с выделением отдельных диапазонов для различных типов трафика: пользовательские рабочие станции, телефония, видеонаблюдение, стенды. Корпоративный DHCP-сервер настраивается на выдачу адресов из новых диапазонов.

Процесс переключения происходит поэтапно: коммутаторы доступа подключаются к новой магистрали, загружается обновленная конфигурация с новыми VLAN, устройства получают IP-адреса из новых подсетей. Управляющий VLAN растягивается между старой и новой сетью на время миграции.

Серверная инфраструктура

Серверная инфраструктура требует особого подхода. Вместо традиционной серверной СКС применяется прямое подключение серверов к ToR-коммутаторам (Top of Rack). Это упрощает эксплуатацию, экономит место в стойках и облегчает переход на более высокие скорости.

Сеть строится по полносвязной топологии spine-leaf с отдельным ядром на базе высокопроизводительных коммутаторов. Для управления используется выделенная out-of-band сеть, к которой подключаются интерфейсы удаленного управления серверами, коммутаторами и другим оборудованием.

Разделение трафика осуществляется через VRF — отдельные виртуальные таблицы маршрутизации для разных категорий серверов: корпоративные сервисы, публичные ресурсы, базы данных. Межсетевые экраны контролируют взаимодействие между сегментами.

Миграция серверов без простоя

Перенос серверов на новую инфраструктуру требует особых мер предосторожности. Для миграции используется технология растягивания VLAN между старой и новой сетью через bridge-домены. Это позволяет виртуальным машинам оставаться в том же широковещательном домене при переносе.

Виртуальные машины мигрируются с помощью vMotion без остановки, перемещаясь со старых гипервизоров на новые. После проверки работоспособности маршрутизация переключается со старого ядра на новое с использованием Anycast Gateway. Затем VLAN исключается из bridge-домена и полностью переходит в новую серверную фабрику.

Результаты модернизации

Комплексная модернизация сети приносит измеримые результаты. Время восстановления при типовых отказах сокращается до сотен миллисекунд благодаря использованию протоколов быстрого пересчета маршрутов и резервированию на всех уровнях.

Унификация оборудования снижает энергопотребление до 30% в отдельных сегментах. Актуализированная документация и автоматизированные системы учета упрощают эксплуатацию. Port security и четкий регламент подключений закрывают возможности для несанкционированного доступа.

Сеть приобретает масштабируемость — добавление новых пользователей происходит по отработанным процедурам. Разделение на изолированные сегменты удовлетворяет требованиям службы безопасности, а домены отказов не пересекаются, что упрощает диагностику проблем.