destina - Fotolia

Tipps: Netzwerkdiagramme von Rechenzentren erstellen

Eine einzelne Netzwerkumgebung lässt sich in vier oder fünf Diagrammen abbilden, die jeweils verschiedene Aspekte der Topologie darstellen.

Dokumentation ist eine der Aufgaben, die Netzwerkingenieure sehr ungern erledigen. Zu diesen Pflichten gehören auch das Erstellen und vor allem die Pflege beziehungsweise Aktualisierung von Netzwerkdiagrammen eines Rechenzentrums. Diese Aufgabe kann sehr komplex und zeitaufwändig sein.

Physische Topologien haben in der Regel nur wenig Ähnlichkeit mit logischen Diagrammen, die den wahren Netzwerkfluss zeigen. Der Trend geht hin zu Diagrammen, die alle Zielgruppen nutzen können. Da diese Schaubilder oft jeden Aspekt des Netzwerks abdecken, können sie sehr umfangreich und komplex werden. Vielleicht die größte Herausforderung stellen Netzwerkdiagramme von Rechenzentren oder Diagramme des erweiterten Netzwerks dar: sie mit genauen und korrekten Informationen stets auf dem neuesten Stand zu halten, kann ein Vollzeitjob sein.

Es gibt wenige Dinge, die Sie tun können, um den Umgang mit Netzwerkdiagrammen zu vereinfachen.

Auswahl des Diagrammtyps

Zunächst ist zu entscheiden, welche Art von Diagramm zum Einsatz kommen soll. Eine einzelne Netzwerkumgebung lässt sich in vier oder fünf Diagrammen abbilden, die jeweils verschiedene Aspekte der Topologie darstellen.

Ein physisches Netzwerkdiagramm beschreibt die Hardwarekonnektivität, logische Diagramme zeigen verschiedene Netzwerkpfade. Hier lassen sich ein physisches Diagramm und mehrere logische Schaubilder miteinander verknüpfen. Die Anzahl der Diagramme sollte aber nicht zu hoch sein, da Schaubilder, die nicht verwendet werden, auch nicht aktualisiert werden.

Physische Topologie-Diagramme werden gewöhnlich selten referenziert. Ein Beispiel: Betrachten wir einen Switch für die Verteilung von Services. Er ist mit einer Reihe von Load Balancern, Firewalls oder Routern verbunden. Diese Vernetzung auf einer einzigen Seite darzustellen, ist fast unmöglich; eine Aufspaltung würde zusätzliche Diagramme bedeuten. Ein physisches Diagramm zeigt als wertvolle Information vor allem Querverbindungen zwischen Schnittstellen auf; diese Daten erhalten Administratoren einfacher an anderer Stelle, etwa bei der Switch-Konfiguration.

Darüber hinaus bilden physische Diagramme nicht den Verkehrsfluss ab. Abbildung 1, ein physisches Diagramm, beschreibt genau, wie die Geräte im Data Center verkabelt sind. Allerdings stellt das Schaubild nicht den tatsächlichen Verkehrsfluss dar, wie das im logischen Diagramm (Abbildung 2) zu sehen ist.

Abbildung 1: Dieses physische Diagramm zeigt das Layout des Unternehmensnetzwerks.

Logische Diagramme werden künftig weiter an Bedeutung gewinnen, da viele Geräte Konstrukte wie Gerätekontext und Virtual Routing und Forwarding (VRF) unterstützen. In Abbildung 2 unterstützen die physischen Firewalls mehrere Kontexte, und die Switching-Infrastruktur unterstützt mehrere VRFs. Da der Netzwerkverkehr über das Tagging virtueller LANs (VLAN) gesteuert und gelenkt wird, ist das physische Diagramm aus Abbildung 1 zwar genau und fehlerfrei, es ist aber sicherlich nicht so hilfreich wie Abbildung 2.

Abbildung 2: Das logische Netzwerkdiagramm bietet mehr Kontext als ein physisches Diagramm.

Das logische Netzwerkdiagramm des Data Centers zeigt, welche VLANs für welche Geräte, Gerätekontexte oder VRFs relevant sind. Neben diesem Diagramm können drei oder vier andere logische Diagramme mit der Beschreibung von Umgebungen existieren, die auf derselben Hardware konfiguriert wurden, beispielsweise für den Zugriff auf ein Virtual Private Network (VPN) oder Outbound Browsing. Da nicht alle Netzwerke derartig strukturiert sind, eignet sich nicht jeder Diagrammtyp für alle Szenarien.

Haben Unternehmen den Diagrammtyp gefunden, der ihre Anforderungen am besten erfüllt, müssen sie herausfinden, welche Informationen für jedes einzelne Diagramm relevant sind. Achtung: Hier sollten Sie sich ausschließlich auf relevante Informationen beschränken. In unserem Beispiel zeigt sich die Bedeutung, die der Aufruf der VLANs für jedes Netzwerk-Segment genießt. Das Diagramm sollte diese Informationen, den Firewall-Kontext oder VRF enthalten, die sich auf diese VLANs beziehen, da sie dadurch die spezifische Architektur des Netzwerks darstellen.

Der Versuch, Dinge zu dokumentieren, die sich höchstwahrscheinlich ändern, erzeugt nur zusätzliche Arbeit für den Ingenieur oder Architekten. Zum Beispiel benötigt das Diagramm selten jede einzelne virtuelle IP-Adresse (VIP), die auf dem Load Balancer definiert wurde. Allerdings sollte das für VIPs verwendete Subnetz im Diagramm dargestellt sein, um es schnell identifizieren und lokalisieren zu können. Für Detailinformationen zu den VIPs gibt es bessere Orte als ein Netzwerkdiagramm. Das Schaubild sollte aber auf jeden Fall wichtige Informationen wie Richtlinien-basiertes Routing oder das Koordinations-Protokoll des Web Cache enthalten, da diese den ursprünglich gerouteten Pfad unterbrechen und ändern können.

Diagramm aktualisieren bevor Sie es brauchen

Sehr wichtig ist es, diese Netzwerkdiagramme regelmäßig zu aktualisieren.

Auf dem Markt sind zahlreiche Werkzeuge erhältlich, die Netzwerkdiagramme nicht nur erstellen, sondern sie auch auf dem Laufenden halten. Dies ist allerdings nicht ganz unproblematisch, da sich die meisten Tools auf die Geräteerkennung verlassen, um genaue Netzwerkkarten aufzubauen und den Datenfluss im Netzwerk zu ermitteln. Geräteerkennung stellt aber kein perfektes Verfahren dar. Zudem lassen sich diese Tools von Geräten wie Firewalls oder anderen Sicherheits-Appliances in die Irre führen oder blockieren. Natürlich können sich Diagramm-Tools als nützlich erweisen; viele meiner Netzwerkdiagramme sind aber relativ statisch und erfordern wenig Aufwand, um sie aktuell zu halten.

Zwei Netzwerke sind selten bis niemals identisch. Im Diagramm werden meist diejenigen Funktionen berücksichtigt, die auch tatsächlich genutzt werden. Während ich selbst bislang kaum physische Diagramme verwendete, setzen andere Teams wie die Facility Manager von Rechenzentren ausschließlich auf physische Topologien – sie haben keine Verwendung für logische Diagramme.

Die meisten Netzwerkingenieure wollen ihre Wochenenden nicht mit dem Erstellen und der Pflege von Diagrammen verbringen. Wenn sie ihre Netzwerkdiagramme auf die wichtigsten Funktionen beschränken und fokussieren, vermeiden sie, dass eine einzelne Änderung des Netzwerks die Aktualisierung vieler Diagramme erfordert. Fassen Sie zudem Informationen zusammen, die häufiger verändert werden und referenzieren Sie diese nicht im Netzwerkdiagramm des wichtigsten Rechenzentrums.

Fazit

Das Erstellen von Netzwerkdiagrammen lässt sich nicht vermeiden – die hier beschriebenen Maßnahmen reduzieren aber den Aufwand und sorgen dafür, dass der Zeitaufwand zwischen Engineering und Dokumentation angemessen verteilt bleibt.

Folgen Sie SearchNetworking.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Aktualisierung von Netzwerk-Diagrammen für Compliance nach PCI DSS 3.0.

Was Sie vor der Einführung von Mikrosegmentierung beachten sollten.

Wie Sie mit der richtigen VLAN-Konfiguration das Sicherheitsniveau erhöhen.

FCAPS und ITIL: Frameworks für das Netzwerk-Management.

Erfahren Sie mehr über LAN-Design und Netzwerkbetrieb