بررسی بهترین روش مستند سازی شبکه های کامپیوتری بزرگ

با سلام و عرض خسته نباشید خدمت خانواده بزرگ توسینسو ، یکی از معضلات قدیمی و همیشگی در زیرساخت های فناوری اطلاعات بزرگ و متوسط، documentation بوده و در اکثر مواقع اقدامات گسترده ای تو این زمینه انجام شده، هزینه های زیادی صرف شده، زمان زیادی از افراد فنی کلیدی و حتی افراد فنی غیر کلیدی سازمان صرف شده تا وضعیت  موجود مکتوب بشه و در صورت ایجاد تغییرات فنی، مستندات و documentها به فراخور تغییرات فنی تغییر کنن. خب، بعد از این همه دردسر، خروجی چی بوده؟   یک یا چند داکیومنت word و چنتا نقشه visio و موارد مشابه.خب، نیازمندی و هدف کاملا درست و منطقی هست. که نمونه هایی از اونا موارد زیر هستند:

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران
  • کارفرما یا صاحب بیزینس، می خواد بدونه تو زیرساخت ITیش چه خبره و هر وقت خواست این اطلاعاتو به هر کی خواست انتقال بده
  •  کارفرما یا صاحب بیزینس، نمی خواد طوری وابسته مهندسش باشه که اگه اون  نباشه کسب و کارش بخوابه
  • یه  اماری از تغییرات و توسعه های انجام شدش می خواد داشته باشه
  • و...

ولی این خروجی ها اصلا مطلوب نیست و خیلی کم می تونن نیازمندیهایی که گفتیم رو تحت پوشش قرار بدن. "" به جای این که دنبال مستند و داکیومنت باشید، دنبال جمع اوری همه config fileهای موجود توی زیرساخت فناوری اطلاعاتتون باشید با استفاده از یک سرویس config management. "" من یه سوال می پرسم، شما کدوم کارشناس IT درست حسابی و دید که وقتی بخواد از یه محیط جدید شناخت کنه به جای نگاه کردن به  config بره سراغ فایلهای word تولید شده که حجمشون بعضی وقتا می رسه به بیش از ۱۰۰۰ صفحه !!!  

به جرئت بهتون می گم داکیومنتای ۱۰۰ یا ۲۰۰ یا ۳۰۰ یا ۱۰۰۰ صفحه ای  که‌ در این خصوص نوشته شده، کلا تا حالا هیچ کدومشو یه نفرم نخونده و جالب بدونید که نگارنده های این مستندات و داکیومنت ها هم اینو خوب می دونن و تا اونجایی که جا داشته باشه توش اب می بندن. اصلا نگارنده ها معمولا دانش فنی خیلی پایینی دارن. به نظر شما یه مهندسه کارکشته میاد وقتشو صرف نوشتن یه داکیومنت ۳۰۰ صفحه ای کنه؟ حالا فرض می کنیم یه داکیومنت متنی تولید شده که واقعا از نظر فنی خوبه. (من که تا حالا ندیدم!) یه مهندس براش اینکه متن زیرو بخونه راحت تره؟

Ip dhcp snooping limit rate 20

یا متن زیر؟ "در شبکه هایی‌که با استفاده از مکانیزم های لایه دویی مکانیزم تخصیص ادرس دهی را به صورت خودکار و طبق rfc شماره فلان انجام می دهند، در تجهیزات لایه سه ای gateway از حملات مرسوم، استفاده از dhcp کلاینت های rougue بوده به صورتی که بتوانند فضاهای ادرس دهی در دسترس را به اتمام برسانند.

به جهت جلوگیری از چنین مخاطراتی از راهکار dhcp snooping" با مکانیزم محدودسازی تعداد درخواست های  per second این نوع بسته ها راه اندازی شده است." (حالا بماند که اصلا dhcp snooping رو راه اندازی نکرده و خالی بسته!) خب حالا بعد این همه قر زدن بنده، می خوایم بریم سراغ راهکار. خیلی ساده این کار هارو  (به ترتیب از لحاظ اولویت) انجام بدید:

۱. دنبال جمع اوری فایل های کانفیگ تجهیزات و سرورهاتون باشید. همه config fileهای موجود در سطح زیرساخت فناوری اطلاعات! یعنی سرویس config management راه اندازی کنید و به شدت امنش کنید.

  1. در مورد تجهیزاتی که فایل کانفیگ text based دارن و بخش عمده تجهیزات و سرویس هارو شامل میشن که تکلیف مشخصه
  2. در مورد سرویس هایی که پیکربندیشون فقط با GUI هست (که تو کل دنیا فقط سرویس های مایکروسافتی این جورین!) از کانفیگها print screen بگیرید.
  3. در مورد سرویس هایی که هم GUI دارن  و هم فایل کانفیگ text based ولی با GUI کار کردنش متداول تره، مثل اجزای محیط vSphere، حالت اول رو حتما انجام بدید ولی در کنارش انجام دادن حالت دوم هم بد نیست. 

۲. نقشه های visio بکشید از توپولوژیتون، جا نمایی رک هاتون و تک تک ارتباطات فیزیکی و  ارتباطات لایه سه ایتون

۳. یه جدول اکسل سلسله مراتبی درست کنید از طرح کلی تا جزیی ip addressing

۴. پیشنهاد میکنم راه اندازی سرویس config management و حتی operation های مربوطه رو هم بسپورید به بچه های لینوکسیتون. غوغا خواهند کرد.

و اما در آخر توصیه می کنم اگر واقعا مستند سازی قوی نیاز دارید ، باید درکتان را از اجزای مختلف شبکه ، کارکردشان ، سرویس ها و ... به خوبی بالا ببرید و البته در خصوص مفهوم مدیریت تغییرات اطلاعاتی داشته باشید ، در دوره آموزش نتورک پلاس مهندس نصیری یک ویدیو در خصوص مدیریت تغییرات یا Change Management وجود دارد که مشاهده آن خالی از لطف نیست.


مهیار کباری
مهیار کباری

مهیار کباری، حدود 10 سال سابقه کار دارم در سازمان های و نهادهای دولتی، بانک ها و مؤسسات مالي اعتباری، بیمه ها و سازمان فناوری اطلاعات در حوزه های شبکه، امنیت اطلاعات و زیرساخت سرویس در قالب های مشاوره، طراحي، پياده سازی و راهبری. در حوزه های Cisco، Juniper، Fortinet، F5، VMWare، Server&Storage، Linux و Penetration Test به صورت White Hat فعاليت های خوبی داشتم. بیش از ۴ سال مدیر فنی دپارتمان امنيت و کمتر از یک سال مدیر فنی مرکز داده مؤسسه اعتباری نور بودم و الان هم به صورت Free Lancer فعاليت مي ک

نظرات