Laboratorium CCDE
Bank of Jersey
To ostatnie laboratorium praktyczne to moduł "obszaru specjalizacji", który obejmuje określone obszary technologiczne w połączeniu z technologiami modułów podstawowych. Będzie to ostatni egzamin laboratoryjny w sesji popołudniowej, który wybierzesz podczas właściwego egzaminu. Obszary specjalizacji CCDE V3 są następujące:
• Usługi lokalne i w chmurze
• Mobilność siły roboczej
• Sieci wielkoskalowe
To laboratorium praktyczne opiera się na fikcyjnej firmie Bank of Jersey i obejmuje połączenie hostingu lokalnego z badaniem rozwoju usług hostingu za pośrednictwem usług w chmurze.
Ćwicz nawigację w laboratorium
• Przeczytaj, rób notatki i zaznacz podstawowe informacje dotyczące wszelkich istotnych informacji, w tym ograniczeń, które Twoim zdaniem mogą pomóc w podjęciu decyzji projektowej.
• Odpowiedz na każde pytanie, zanim przejdziesz do następnego pytania. Pytania zostały oddzielone od siebie, gdyż w kolejnych pytaniach można podać dodatkowe informacje.
• Po uzupełnieniu pytania nie wracaj do poprzednich pytań, ponieważ nie będziesz mieć takiej możliwości podczas egzaminu laboratoryjnego. Możesz jednak odwołać się do dowolnego poprzedniego eksponatu (e-maila lub diagramu), który został już dostarczony.
• Poświęć trochę czasu na analizę bieżącego środowiska. Musisz wchłonąć obecną pozycję i zwizualizować dowolny cel końcowy, łącząc się ze scenariuszem.
• Nie należy przyjmować założeń, ponieważ wszystkie wymagane informacje zostały podane w celu podjęcia świadomej decyzji.
• Aby podejmować decyzje oparte na faktach, należy wziąć pod uwagę wszystkie informacje zawarte w dokumentacji podstawowej i nowe informacje dostarczone w wiadomościach e-mail.
• Myśl jak architekt, a nie jak CCIE.
• Dlaczego? Skoncentruj się na dlaczego.
• Staraj się ukończyć laboratorium w ciągu dwóch godzin. Jeżeli nie uda Ci się ukończyć laboratorium w zalecanym terminie, zanotuj to gdzie byłeś po dwóch godzinach, aby ocenić swój wynik, a następnie kontynuuj ćwiczenia aż do ich zakończenia. Nie przechodź do sekcji z recenzjami, dopóki nie skończysz, aby uzyskać maksymalne korzyści z doświadczenia w laboratorium praktycznym.
Laboratorium ćwiczeń
Podczas tego laboratorium praktycznego będziesz architektem sieci dla Banku Jersey.
Dokument 1: Podstawowe informacje o firmie
Bank of Jersey został założony w 1905 roku przez założycieli Royal Bank of London w Wielkiej Brytanii. Jersey znajduje się w Kanale La Manche pomiędzy Wielką Brytanią a Francją na Wyspach Normandzkich i zostało wybrane przez założycieli jako lokalizacja, która miała wykorzystać Jersey jako samorządną demokrację parlamentarną uzależnioną od Korony Brytyjskiej. Jersey ma własną niezależną administrację oraz system prawny i finansowy, co pozwala jej działać niezależnie od Wielkiej Brytanii, która jednak zapewnia wyspę obronę. Jersey cieszy się dojrzałym ruchem wolnym od handlu z Wielką Brytanią, co jak dotąd okazało się korzystne dla obu krajów. W ciągu ostatnich 25 lat Bank czerpał korzyści z pobytu na Jersey, stając się jednym z największych na świecie "off-shore" centrów finansowych, podczas gdy Wielka Brytania pełni rolę kanału świadczącego usługi finansowe. Wyspa nie jest oficjalnie "wolna od podatku". Jednakże przed 2008 rokiem podatek od towarów i usług nie obowiązywał w odniesieniu do towarów i usług, co umożliwiło Bankowi pozyskanie znaczących klientów. Klienci skorzystali na skutecznej europejskiej luce prawnej, która umożliwiła im legalny dostęp do ulgi dla przesyłek o niskiej wartości w celu utworzenia na wyspie wolnych od podatku centrów realizacji dostaw. Zjednoczone Królestwo zaszkodziło swoim stosunkom z Bank of Jersey jako całością, gdy w 2012 r. usunięto lukę prawną i wprowadzono na wyspie podatek od wartości dodanej. Można to przypisać 90% głównych klientów opuszczających wyspę, w wyniku czego gospodarka Jersey znacznie ucierpiała. W 2011 roku Bank dokonał znacznych inwestycji w swoje systemy informatyczne, a poważną porażką była utrata wielu klientów tak szybko po inwestycji, która nie osiągnęła zwrotu z inwestycji. Bank czerpał jednak korzyści ze znacznej liczby zamożnych osób niebędących rezydentami, posiadających rachunki wielowalutowe oraz dużej liczby przedsiębiorstw europejskich ze względu na długotrwały status "offshore". Niemniej jednak wzrost w każdym obszarze spadł, a odpływ klientów wzrósł w związku z niedawnym mandatem Unii Europejskiej dotyczącym przejrzystości, zgodnie z którym posiadacze rachunków (zarówno osoby fizyczne, jak i przedsiębiorstwa) zgodnie z prawem muszą deklarować posiadane udziały finansowe niezależnie od położenia geograficznego. Dzięki temu w miejscu zamieszkania osoby fizycznej lub przedsiębiorstwa przestrzegane są lokalne przepisy podatkowe. Bank, w odróżnieniu od niektórych konkurentów, wykazał się wyjątkową współpracą w zakresie realizacji powierzonego mu zadania i swobodnie udostępniał władzom informacje. Dzielenie się informacjami przyczyniło się do załamania działalności do tego stopnia, że dyrektor generalny bezpośrednio stwierdził, że Bank osiągnął obecnie pozycję, w której aby przetrwać, musi dokonać zmian w europejskich bankach i zaoferować innowacyjne, tanie rozwiązania bankowe, aby odzyskać udział w rynku. Dyrektor generalny początkowo chce konkurować z brytyjskimi bankami z głównych ulic, ponieważ rynek brytyjski zapewniłby mniej złożoną penetrację, a następnie przeniósłby się na rynki europejskie ze wszystkimi związanymi z tym zawiłościami związanymi z Brexitem, co w mniejszym stopniu nadal będzie dotyczyło Wysp Normandzkich. Dyrektor generalny przewiduje produkt bankowości internetowej, który znacznie zwiększy przychody poprzez skalowanie do szerokiej bazy, a także mógłby stać się kanałem dla klientów inwestycyjnych o dużej wartości. Dyrektor generalny zapowiedział, że udostępniony zostanie znaczny budżet, aby zapewnić, że systemy informatyczne Banku będą mogły świadczyć niezbędne usługi, ale tylko pod warunkiem, że uda się wykazać zwrot z inwestycji w ciągu jednego roku. Bank niedawno rozszerzył swoją obecność na Wyspach Normandzkich, otwierając wiele oddziałów na Guernsey, sąsiedniej Wyspie Normandzkiej, gdzie przepisy dotyczące handlu finansowego są identyczne. Guernsey posiada również duży kampus z centrum obsługi telefonicznej i zapleczem szkoleniowym oraz, dogodnie, lądowiskiem dla helikopterów zarezerwowanym dla dyrektora generalnego i najważniejszych klientów na zaproszenie.
Dokument 2: Informacje o sieci
Bank of Jersey posiada aktywny DC w St Helier w południowej części wyspy oraz zapasowy DC w Priory Inn, położonym 15 km dalej w północnej części wyspy. Sieć składa się z następujących stref/obszarów:
1. Sieć BankExt do połączeń zewnętrznych z dostawcami usług internetowych i połączeniami B2B innych firm.
2. Sieć BankDMZ do hostowania publicznych systemów bankowych i łączności RAS dla pracowników.
3. Sieć bankowa do hostingu systemów wewnętrznych i łączności z siecią korporacyjną dla pracowników zlokalizowanych w lokalizacjach DC i odległych oddziałach/kampusach.
Usługi są świadczone w warstwie 2 we wszystkich strefach, co pozwala na migrację maszyn wirtualnych i dynamiczne przełączanie awaryjne usług z polityką braku pojedynczych punktów awarii w infrastrukturze sieciowej. Chociaż pierwotnie planowano, że Priory Inn będzie rezerwowym kontrolerem domeny z pełnym przełączaniem awaryjnym systemów i synchroniczną replikacją danych między lokalizacjami, w obu lokalizacjach działają aktywne usługi. Poniższy rysunek szczegółowo opisuje podstawową topologię sieci Bank of Jersey.
Sieć BankExt
Sieć zewnętrzna składa się z sieci publicznej, w której znajdują się routery ISP i routery połączeniowe innych firm, które zapewniają kanały rynkowe i łączność B2B. Przełączniki w sieci należą wyłącznie do warstwy 2 i propagują lokalne sieci VLAN pomiędzy lokalizacjami DC, zapewniając funkcję aktywnego/gotowego działania dla zapór sieciowych korzystających z VRRP i zewnętrznego routingu do stron trzecich korzystających z HSRP. Stan zapory sieciowej i sieci VLAN o wysokiej dostępności są propagowane między lokalizacjami przy użyciu sieci VLAN bez adresu IP. Routing innych firm i B2B jest statyczny od zapory ogniowej do adresów HSRP routerów, a wiele sieci VPN IPsec kończy się na zewnętrznych zaporach ogniowych dla połączeń B2B przez Internet. W poniższej tabeli szczegółowo opisano sieci VLAN używane w sieci BankExt.
Podstawową lokalizacją wszystkich urządzeń w sieci BankExt jest St Helier DC. W przypadku awarii zapory ogniowej w lokalizacji St Helier, zapasowa zapora stanowa przejmuje usługę w Priory Inn DC, routery ISP i routery innych firm obsługujące usługi takie jak SWIFT i Reuters pozostają aktywne w St Helier, a routing między lokacjami jest utrzymywany do czasu przywrócenia zapory. W przypadku awarii całego obiektu w St. Helier wszystkie usługi zostaną dynamicznie przełączone awaryjnie do lokalizacji Priory Inn. Sieci VLAN są połączone z zaporami sieciowymi BankExt za pośrednictwem EtherChannels. Standard 802.1w STP jest wykorzystywany w łączach warstwy 2 o przepustowości 1 Gb/s pomiędzy lokalizacjami DC w domyślnej konfiguracji, aby zapewnić topologię pozbawioną pętli pomiędzy lokalizacjami. Łącze w górę do dostawcy usług internetowych z sieci BankExt wynosi 2 Gb/s z każdej lokalizacji w konfiguracji EtherChannel. W przypadku ruchu wychodzącego z Banku w sieci używana jest trasa domyślna, która wskazuje adres HSRP routerów ISP z aktywnym routerem HSRP ISP zlokalizowanym w St Helier. W przypadku ruchu przychodzącego do Banku dostawca usług internetowych korzysta z oczekującej ścieżki AS na routerze Priory Inn, aby zapewnić, że cały ruch z Internetu jest domyślnie kierowany do St Helier. Polityka bezpieczeństwa stanowi, że połączenia zewnętrzne mogą płynąć wyłącznie do lub przez sieć BankExt do sieci BankDMZ, a nie do sieci Banknet.
Sieć BankDMZ
Przełączniki w sieci BankDMZ działają wyłącznie w warstwie 2 i propagują lokalne sieci VLAN pomiędzy lokalizacjami DC, zapewniając funkcję aktywną/gotową. Topologia kanapkowa zapory sieciowej jest tworzona w sieci BankDMZ z zaporami ogniowymi różnych dostawców z sieci BankExt, ale zapewnia tę samą charakterystykę VRRP i stanu przełączania awaryjnego. Koncentrator VPN usług dostępu zdalnego (RAS) jest zakończony w dedykowanej sieci VLAN w celu umożliwienia pracownikom zdalnego dostępu w obrębie strefy. Sieć BankDMZ obsługuje publiczne usługi produkcyjne i nieprodukcyjne w ramach połączenia usług z równoważeniem obciążenia i bez równoważenia obciążenia z modułów równoważenia obciążenia, które również znajdują się w sieci BankDMZ. Dedykowane sieci VLAN zapewniają łączność VIP typu frontend dla usług z równoważeniem obciążenia. Zaplecze Sieci VLAN zapewniają bezpośredni dostęp do serwerów w przypadku usług bez równoważenia obciążenia oraz łączność dla serwerów zaplecza na potrzeby usług w sieci z równoważeniem obciążenia. Sieci VLAN są połączone z zaporami sieciowymi BankDMZ za pośrednictwem EtherChannels. W domyślnej konfiguracji na łączach warstwy 2 o przepustowości 1 Gb/s stosowany jest protokół STP 802.1w, aby zapewnić topologię pozbawioną pętli między lokalizacjami. Poniższa tabela przedstawia sieci VLAN używane w sieci BankDMZ.
Sieć DC Banknetu
Wewnętrzna sieć DC i DCI to głównie warstwa 2 z technologią Multi Chassis EtherChannel (MEC) ulepszoną ze starszej topologii drzewa opinającego. Usługi są świadczone w warstwie 2 pomiędzy kontrolerami domeny, zapewniając możliwość migracji maszyn wirtualnych i dynamicznego przełączania awaryjnego usług. Sieci LAN DC są połączone za pośrednictwem DCI MEC 20 Gb/s pomiędzy przełącznikami rdzeniowymi. Przełączniki podstawowe zapewniają agregację warstwy 2 dla dostępu serwerów i użytkowników w każdym DC oraz dostęp do wszystkich bram HSRP warstwy 3 pomiędzy lokalizacjami. Wieloobszarowy protokół OSPF jest używany do trasowania między kontrolerami DC za pośrednictwem DCI w przypadku nierozdzielonych sieci VLAN oraz do zapewniania kopii zapasowych między lokalizacjami w przypadku awarii sieci WAN w którejkolwiek lokalizacji DC. W obrębie DC jest używanych około 200 sieci VLAN, przy czym większość sieci VLAN jest rozmieszczona pomiędzy lokalizacjami, a na każdym DC jest ograniczona liczba lokalnych sieci VLAN. Synchroniczna replikacja danych jest stosowana w systemach mainframe Banku działających aktywnie w St Helier i rezerwowych w Priory Inn, podłączonych do oddzielnej sieci SAN, która wymaga czasu RTT 2 ms (milisekundy) lub mniej do pomyślnej replikacji zapisu przy użyciu FCoIP przez sieć Banknet pomiędzy systemami w każdym DC. Środowisko obliczeniowe to przede wszystkim maszyny wirtualne z dużą liczbą starszych serwerów typu bare-metal. Menedżerowie połączeń głosowych IP i oparte na urządzeniach moduły równoważenia obciążenia łączą się bezpośrednio z przełącznikami sieci szkieletowej. Poniższy rysunek przedstawia sieci prądu stałego.
Bankowa sieć WAN
Wewnętrzną sieć WAN zapewnia firma Jerseytel, z pojedynczą siecią VPN MPLS warstwy 3, łączącą wszystkie oddziały i lokalizacje kampusów z lokalizacjami DC. Indywidualne routery CE Jerseytel łączą się z każdą stroną sieci DC LAN za pomocą podwójnych interfejsów 1 Gb/s połączonych w kanale EtherChannel, zapewniając 2 Gb/s do DC w każdej lokalizacji i łącze wysyłające 1 Gb/s do sieci Jerseytel. Prefiksy DC są anonsowane w sieci MPLS przy użyciu eBGP z każdego DC, z ustawionymi wartościami MED, aby zapewnić, że sieć MPLS wysyła cały ruch do prefiksów DC za pośrednictwem aktywnej lokalizacji St Helier DC. Ruch wychodzący z każdego kontrolera domeny z łączonych sieci VLAN do sieci WAN wykorzystuje połączenie WAN St Helier, ponieważ St Helier jest aktywną lokalizacją HSRP dla łączonych sieci VLAN. Zdalne oddziały i kampusy są połączone z siecią WAN MPLS z dwoma adresami, a prędkość połączenia różni się w zależności od rozmiaru i wymagań każdej lokalizacji. Wszystkie łącza są skonfigurowane do podziału obciążenia. QoS jest skonfigurowany w sieci z czterema klasami dla ruchu głosowego, aplikacji o znaczeniu krytycznym, danych transakcyjnych i klasy domyślnej. Sieć WAN zapewnia dostęp do głównej siedziby Guernsey w St Andrew, która pełni funkcję węzła komunikacyjnego dla ruchu na wyspie Guernsey z dwutorowymi obwodami łodzi podwodnych do Jersey. Poniższy rysunek ilustruje sieć WAN.
Lokalizacje oddziałów i kampusów
Na Wyspach Normandzkich znajdują się 22 oddziały, z czego 13 znajduje się na Jersey. Każda gałąź składa się z podwójnych połączeń MPLS, zazwyczaj z połączeniami 10 Mb/s i podwójnych przełączników warstwy 2 połączonych razem bez pojedynczych punktów awarii. Każdy przełącznik oddziałowy zawiera cztery sieci VLAN skonfigurowane z routerem MPLS CE jako DGW dla każdej sieci VLAN z siecią bankomatów, Banknet VLAN dla lokalnych systemów bankowych oraz sieć VLAN dostępu dla pracowników i sieć głosową VLAN dla telefonów VoIP. Lokalizacje kampusowe mają dodatkową przepustowość MPLS (w zależności od liczby pracowników) ze zwiniętym rdzeniem warstwy 3 i przełącznikami warstwy 2 podłączonymi do zwiniętego rdzenia w całym kampusie z PoE. OSPF jest używany w kampusowych lokalizacjach sieci MPLS do trasowania do podwójnych routerów CE i reklamowania lokalnych sieci VLAN.
Zarządzanie siecią
Wszystkie narzędzia do zarządzania, które uzyskują dostęp do infrastruktury, są zlokalizowane w oddzielnej pozapasmowej sieci zarządzania Ethernet, która obejmuje oba DC. Zapory ogniowe są używane pomiędzy narzędziami VLAN i wieloma sieciami VLAN, które łączą się z portami zarządzania infrastruktury. Firewall łączy się z produkcyjną siecią Banknet w celu zapewnienia dostępu do zdalnych lokalizacji WAN. W Banku obowiązuje polityka, zgodnie z którą z infrastrukturą mogą łączyć się wyłącznie hosty narzędzi do zarządzania w oparciu o adres IP i określone protokoły zarządzania.
Dokument 3: Istotne informacje
Sieć i DCI to głównie warstwa 2 z technologią MEC (wirtualne przełączanie z możliwością obsługi EtherChannel w wielu obudowach) zmodernizowaną ze starszej topologii drzewa opinającego, co przypisano poważnej awarii w obu centrach danych w 2018 r. To trafiło na pierwsze strony gazet w międzynarodowej prasie, a zaangażowany był organ nadzoru bankowego, co doprowadziło do inwestycji w infrastrukturę MEC w celu łagodzenia skutków. Po zainstalowaniu technologii MEC nie napotkano żadnych dodatkowych problemów, jednak personel IT nie ma pewności, czy ryzyko warstwy 2 zostało w pełni ograniczone. Bank of Jersey chce umożliwić swoim systemom informatycznym oferowanie rachunku wyłącznie online, jaki planuje dyrektor generalny; jednakże badanie możliwości infrastruktury sieciowej i obliczeniowej wykazało, że w celu niezawodnego wspierania wprowadzenia nowego produktu na rynek konieczna będzie modernizacja systemów informatycznych. Bank niedawno zlecił grupie konsultantów finansowych IT na dwa tygodnie oficjalne zbadanie obecnych systemów informatycznych i wydanie zaleceń mających na celu zwiększenie odporności i dostępności oraz określenie, co będzie wymagane do hostowania nowego, innowacyjnego systemu dostępnego wyłącznie online konta. Ich ustalenia podsumowano w następujący sposób:
1. Istniejący plan ciągłości działania nie obejmuje zdarzeń naturalnych, takich jak powodzie, zmieniające się warunki pogodowe, bezprecedensowe zdarzenia sejsmiczne i ekstremalne powodzie spowodowane podnoszącym się poziomem mórz.
2. Możliwe są zakłócenia w kluczowej działalności biznesowej, w tym w obiektach i przestrzeni roboczej, infrastrukturze i systemach informatycznych oraz łańcuchów dostaw oparty na znalezieniu jednego.
3. Nie istnieje system rozliczania personelu w przypadku klęski żywiołowej.
4. Systemy obliczeniowe instalowane są doraźnie, bez strategii i na minimalną skalę, projekt po projekcie.
5. Systemy przechowywania i replikacji dobiegają końca.
6. Systemy bankomatów obsługują starsze protokoły sieciowe z aplikacjami adresującymi innymi niż DNS.
7. System RAS zapewnia dostęp tylko dla 50% pracowników i jest podłączony tylko do głównego DC.
8. Publiczne zakresy adresów IP zostały wyczerpane.
9. Obecny ISP BW jest nasycony długimi czasami realizacji na BW (co będzie wymagało zwiększenia liczby nowych obwodów).
10. Na połączeniach ISP nie stosuje się czyszczenia pakietów. Poprzedniej awarii DDoS można było zapobiec, instalując odpowiednie systemy.
11. Połączenia stron trzecich mają ograniczone zabezpieczenia.
12. Infrastruktura sieciowa dobiega końca i jej wydajność jest już wyczerpana, co uniemożliwia rozwój lub wydajność wymaganą w przypadku nowych inicjatyw.
13. Nie ma dedykowanego obiektu sieci testowej ani przedprodukcyjnej. Wdrażanie usług bez oddzielnego testowania ich przed dostawą wiąże się z ryzykiem dla sieci produkcyjnej.
14. Rezerwowy kontroler domeny obsługuje aktywne maszyny wirtualne i dlatego nie jest rezerwowym kontrolerem domeny. Ryzyko i nieoptymalny przepływ ruchu są wysoce prawdopodobne.
15. Sieć Banknet jest domyślnie otwarta, a użytkownicy oddziałów mają dostęp do wszystkich zasobów DC i oddziałów zdalnych.
16. Sieć opiera się na starym drzewie rozpinającym w wielu obszarach/strefach.
17. Nie istnieje skuteczny system sprawdzania podatności i etapowania złożonych zmian.
18. Systemy zarządzania konfiguracją są zastrzeżone i kod nie jest utrzymywany.
19. Dane SNMP nie są skutecznie zarządzane i nie ma na to wystarczającej pojemności.
20. Nie istnieją żadne procedury testowe umożliwiające regularne testowanie odpornych usług.
"Witamy na pokładzie. Dołączyłeś do zespołu w ekscytującym momencie i nie możemy się doczekać, aby skorzystać z Twojego doświadczenia. Mamy nadzieję, że przeczytałeś przekazane Ci informacje, aby być na bieżąco. Jak zapewne zauważyłeś, mieliśmy ustalenia opublikowane przez konsultantów z Wielkiej Brytanii Dyrektor ds. technologii spodziewał się pewnych problemów, ale nie był przygotowany na liczbę kwestii, którymi ostatecznie będziemy musieli się zająć. Właśnie odbyłem z nim rozmowę indywidualną i to on będzie się głównie skupiał o pomyślnym zapewnieniu ciągłości działania zgodnie z zaleceniami w celu zbudowania architektury zdolnej do realizacji naszej nowej inicjatywy dotyczącej nowej inicjatywy dotyczącej kont online, którą nazwiemy "Kanałem". Ostatecznie wygląda na to, że będziemy potrzebować nowej lokalizacji w DC i będzie to oznaczać odejście od istniejącego obiektu w Priory Inn (jednak być może będziemy mogli skorzystać z osobnego, nowego, ulepszonego obiektu na obszarze Priory Inn), przy jednoczesnym utrzymaniu obecności w St. Helier. Proszę o pomoc w wyborze najlepszej możliwej nowej lokalizacji. Poniżej znajdują się lokalizacje, które CTO bada pod kątem związanych z nimi kosztów. Zdajemy sobie sprawę, że będzie to duża inwestycja i że taka jest nasza istniejąca technologia raczej nie będzie nadawać się do tego celu, dlatego rozważymy również zapewnienie nowej sieci DCI pomiędzy lokalizacjami, a także nowej sieci LAN DC w każdej lokalizacji. Dyrektor ds. technologii doradził nam, że powinniśmy starać się zapewnić dwukrotnie większą przepustowość między lokalizacjami niż poprzednio Sieć Banknet, która obejmuje replikację systemów. Zatem lokalizacja końcowa A może pozostać w St Helier DC i będziemy nadal korzystać z replikacji synchronicznej w naszych systemach i głównej aplikacji bankowej. Dyrektor generalny nalegał, abyśmy używali Jerseytel łączność (jestem prawie pewien, że gra w golfa z dyrektorem generalnym Jerseytel i współpracuje z nami). Poradzono nam, że będziemy potrzebować co najmniej dwóch różnie poprowadzonych obwodów, aby mieć pewność, że nie będzie pojedynczych punktów awarii (wszystkie obwody będą "tylko przewodami/włóknami" bez infrastruktury SP, z wyjątkiem obwodów MPLS, które będą wyposażone w zarządzaną urządzenie CPE). Zatem, powtórzmy, dotyczy to wyłącznie Banknetu. Po ustaleniu najlepszego sposobu działania dla Banknet uporządkujemy sieci BankExt i BankDMZ. Oto informacje o obwodzie (koszty dotyczą obwodu/kanału)"
To jest mapa Jersey z obszarami St Helier i Priory Inn. Jak wiadomo jest to dość mała wyspa (około 15 km szerokości).
Oto inne opcje w Guernsey (Wyspy Normandzkie) i Portsmouth (Wielka Brytania), wraz z przybliżonymi odległościami
Pytanie 1: Który typ obwodu i nowa lokalizacja DC zapewniają Bankowi najbardziej odpowiednią opcję przy minimalnych kosztach dla nowej lokalizacji DC? (Wybierz jedną opcję z A-D dla typu obwodu i jedną opcję z E-G dla lokalizacji.)
A. Podwójne obwody metropolitalne 100G Ethernet
B. Podwójne obwody metra 40G Ethernet
C. Wiele kanałów 10G DWDM
D. Wiele obwodów 10G MPLS (L2 lub L3 VPN).
E. Priory Inn Jersey
F. Świętego Andrzeja Guernsey
G. Portsmouth w Wielkiej Brytanii
Pytanie 2: Czy istnieją potencjalne problemy związane z używaniem Portsmouth jako lokalizacji zapasowego kontrolera domeny? (Wybierz jeden.)
A. Nadmierne opóźnienia dla wymagań replikacji
B. Suwerenność danych
C. Zarządzanie danymi
D. Wysokie koszty operacyjne, jeśli wymagane są dalsze kanały DWDM
" Pragniemy poinformować, że bardziej szczegółowo sprawdzaliśmy Portsmouth jako możliwą lokalizację DC, a dyrektor ds. technicznych sprawdził i może potwierdzić, że nie występują żadne problemy z suwerennością danych w przypadku korzystania z Wielkiej Brytanii. Dostarczono nam mapę przebiegu światłowodu dla dwóch w pełni odpornych obwodów, na których możemy uruchomić kanały DWDM (w załączeniu). Wygląda na to, że może to być dobra opcja, ale bylibyśmy wdzięczni, gdybyś mógł to sprawdzić przed podpisaniem jakiegokolwiek zamówienia."
Pytanie 3: Czy w oparciu o nowe informacje dostarczone na temat obwodów DWDM istnieje jakiekolwiek ryzyko związane z wyborem lokalizacji w Portsmouth jako lokalizacji rezerwowej DC dla Bank of Jersey? (Wybierz jeden.)
A. Tak
B. NIE
"Dobre miejsce na potencjalny problem z replikacją na trasie B do Portsmouth. Trasa ta wynosiła 280 km, a przy przybliżonych obliczeniach czasu podróży w obie strony wynoszących 1 ms na 100 km, przekroczylibyśmy nieco limit aplikacji replikacji. Zaniosłem Twoje informacje do CTO i odbyłem z nim sesję. Mieliśmy szczęście, że udało nam się zaprosić dyrektora generalnego na sesję wideo, a nowym kierunkiem jest powrót do Guernsey jako lokalizacji i wykorzystanie podwójnych łączy 100 Gb/s, ponieważ zapewniają one doskonałą wydajność i skalę. Zamierza to wyjaśnić z organami nadzoru bankowego i przekazać niektóre informacje na temat naszej faktycznej fizycznej lokalizacji na Guernsey, która znajduje się na wystarczająco dużej wysokości nad poziomem morza, aby nie stwarzać ryzyka powodzi itp., a także zapewni wystarczającą separację geograficzną dla ciągłości działania. Obwody są droższe, ale dyrektor generalny jest przekonany, że możemy zabezpieczyć budżet w oparciu o dodatkową skalę i wydajność, jakie zapewniają. Zanim zaczniemy pracować nad nową technologią wymaganą do dostarczenia sieci, mamy kilka problemów, które musimy rozwiązać w istniejącej sieci. Możemy obejść większość zidentyfikowanych problemów i po prostu upewnić się, że nowa sieć obsługuje je. Jednak najważniejsze, którymi musimy się natychmiast zająć, to:
1. Sieci BankExt i BankDMZ są przegrzane. Musimy znaleźć sposób na zwiększenie przepustowości między lokalizacjami, ponieważ STP blokuje jedno z naszych łączy między lokacjami w każdej sieci. Możemy zainwestować, jeśli zajdzie taka potrzeba, ale nie spodziewamy się, że będziemy w tej lokalizacji dłużej niż osiem miesięcy, ale będziemy musieli uzyskać dostępne 2 Gb/s między lokalizacjami dla każdej sieci. Sprawdziłem przełączniki i są dość proste, ale możemy włączyć inne funkcje, aktualizując licencje, lub możemy przyjrzeć się nowym przełącznikom i obwodom, jeśli jest to absolutnie konieczne. Sprawdzenie następujących informacji, które są takie same dla przełączników zarówno w BankExt, jak i BankDMZ, pozostawiam Tobie:
Aktualizacja licencji Brązowa: głosowe sieci VLAN, PVLAN, licencja ewaluacyjna bezpłatna przez 12 miesięcy
Aktualizacja licencji Srebrna: włączona funkcjonalność warstwy 3 i routing dynamiczny w cenie 2 tys. GBP za przełącznik
Aktualizacja licencji Złota: Możliwość łączenia w stosy i QoS za 5 tys. GBP za przełącznik
Nowy obwód 1 Gb/s: okres 36 miesięcy, 2 tys. GBP za obwód
2. Wystąpił problem z jednym z naszych zewnętrznych połączeń B2B. Ich router zlokalizowany w naszym St. Helier DC w sieci VLAN2 faktycznie działał przy 100% obciążeniu procesora i nie był w stanie przepuszczać ruchu. Dochodzenie z ich strony sugeruje, że był to obiekt ataku z adresu spoza naszego zasięgu DC. Mogę tylko zakładać, że pochodzi od jednego z zewnętrznych połączeń, a nie mamy narzędzi, aby to zbadać. Musieli zastosować tzw. infrastruktury ACL jako środek zaradczy, ale upierają się, że musimy je również chronić. Musisz znaleźć łatwe w zarządzaniu rozwiązanie, które pomoże. Zespół sieciowy nie ma czasu na wprowadzanie drobnych poprawek za każdym razem, gdy strona trzecia chce wprowadzić zmiany. "
Pytanie 4: Która opcja jest optymalna w celu rozwiązania problemu ograniczenia przepustowości w sieci BankExt i BankDMZ? (Wybierz jeden.)
A. Uaktualnij licencje przełącznika do wersji Silver i włącz warstwę 3, przekonwertuj obwody warstwy 2 na warstwę 3 i uruchom ECMP między lokalizacjami i tunelem warstwy 2.
B. Przenieś drugi obwód warstwy 2 do przełącznika głównego, aby utworzyć kanał EtherChannel i podwoić przepustowość.
C. Dodaj jeden obwód 1 Gb/s do jednej z par przełączników typu cross-site w każdej sieci i utwórz kanał EtherChannel na jednej parze przełączników typu cross-site.
D. Uaktualnij licencje przełącznika, aby uwzględnić możliwość łączenia w stosy i tworzyć wirtualny stos, dzięki czemu topologia nie będzie blokowana.
E. Dodaj jeden obwód 1 Gb/s do każdej pary przełączników między lokalizacjami w każdej sieci i utwórz kanał EtherChannel na każdej parze przełączników między lokalizacjami.
F. Skonfiguruj równoważenie obciążenia VLAN.
" Dziękuję za sugestię, aby po prostu zrównoważyć obciążenie sieci VLAN na łączach. Poproszę naszych inżynierów o zmodyfikowanie priorytetów STP dla każdej sieci VLAN w celu dostosowania topologii! Pomyślałem, że być może będziemy musieli zainwestować w nowe licencje, aby umożliwić korzystanie z innych funkcji, ale to byłyby zmarnowanymi pieniędzmi, więc możemy zachować licencję w obecnym stanie."
Pytanie 5: Jaki byłby warunek wstępny, aby rozwiązać problem routerów innych firm w przypadku routerów łączących się z VLAN2 w sieci BankExt, aby zapobiec dalszym atakom? (Wybierz jeden.)
A. Włącz licencjonowanie ewaluacyjne Bronze na przełącznikach.
B. Utwórz listę ACL dla każdej strony trzeciej na przełącznikach BankExt, zezwalając tylko na ruch z tego zakresu adresów IP strony trzeciej do przełączników sieciowych BankExt.
C. Utwórz listę ACL dla każdej strony trzeciej na przełącznikach sieciowych BankExt, blokując ruch z tego zakresu adresów IP strony trzeciej do innych stron trzecich na przełącznikach sieciowych BankExt.
D. Utwórz regułę zapory sieciowej blokującą jakąkolwiek stronę trzecią przed bezpośrednią komunikacją z inną stroną trzecią.
Pytanie 5.1: Jeśli wybrałeś odpowiedź A w pytaniu 5, potwierdź swoją odpowiedź. (Wybierz jeden.)
A. Licencja Bronze umożliwi Ci uruchomienie sieci PVLAN.
B. Licencja umożliwi zastosowanie list ACL na przełącznikach.
"Dziękujemy za rozwiązanie problemów. Ponieważ zdecydowaliśmy się na Guernsey jako naszą nową dodatkową lokalizację DC, zamówiliśmy w St Helier podwójne obwody 100 Gb/s, które zostaną dostarczone w sposób całkowicie odporny. Biorąc pod uwagę wszystkie trwające prace, Do tej pory całkowicie zaniedbaliśmy fakt, że powinniśmy także zapewnić podwójne obwody dla naszej sieci BankExt i BankDMZ. Koszty zapewnienia dodatkowych czterech obwodów wydają się w rzeczywistości bardzo wygórowane, dlatego chciałbym, abyście zbadali alternatywne opcje, więc my to zrobimy może obsługiwać wszystkie sieci za pośrednictwem podwójnych obwodów 100 Gb/s. Nowe obwody zapewnią ogromną przepustowość i pozwolą zaoszczędzić znaczną część funduszy akcjonariuszy, jeśli zaoferujemy separację w sposób satysfakcjonujący organy regulacyjne."
Pytanie 6: Wypełnij poniższą tabelę, aby pomóc Bank of Jersey w ocenie potencjalnych technologii zapewniających separację i łączność między oddziałami sieci BankExt, BankDMZ i Banknet za pośrednictwem podwójnych łączy DCI 100 Gb/s udostępnianych pomiędzy centrami dystrybucyjnymi St Helier i Guernsey. Umieść X w każdej komórce, jeśli technologia w danym wierszu oferuje funkcje wyszczególnione w kolumnach.
" Dzięki za informację. Miałem czas, aby się z tym zapoznać, ale potrzebuję, abyście polecili odpowiednią technologię separacji sieci, która zapewni nam elastyczność w uruchomieniu dodatkowego DC w połączeniu z St. Helier i Guernsey, jeśli zajdzie taka potrzeba w przyszłości. Nie wiem w tej chwili, czy tego chcemy - po prostu nie chcę ograniczać się do konieczności zmiany technologii, jeśli zdecydujemy się na to w późniejszym terminie. Technologia musiałaby zapewniać separację wszystkich naszych sieci połączonych w jedną efektywną sieć i powinna być kompatybilna z technologią, której używamy do faktycznego udostępniania portów w każdej sieci. Musisz mieć pewność, że technologia może również ograniczyć naszą domenę awarii do jednego kontrolera domeny, jeśli mamy jakiekolwiek problemy z typem warstwy 2, nawet jeśli nadal musimy propagować warstwę 2 między kontrolerami domeny. Jak wspomniano, preferujemy separację bez konieczności zakupu dodatkowych obwodów dla DCI BankExt i BankDMZ. (Spytałem o bezpieczeństwo i nie są zbyt zadowoleni. Jeśli jednak uda nam się udowodnić fizyczną i logiczną separację, powiedzieli, że przestrzegamy polityki bezpieczeństwa.)"
Pytanie 7: Która z poniższych technologii najlepiej nadaje się do zapewnienia Bankowi łączności pomiędzy St Helier a nową lokalizacją DC na Guernsey w oparciu o jego wymagania dotyczące nowych sieci i wykorzystania podwójnych obwodów 100 Gb/s? (Wybierz jeden.)
A. QinQ
B. H-VPLS
C. Multipod VXLAN EVPN
D. Wiele lokalizacji VXLAN EVPN
Pytanie 8: Bank of Jersey zdecydował się na uruchomienie technologii VXLAN EVPN dla wielu lokalizacji, aby zapewnić elastyczność na przyszłość i uruchomić wiele instancji nakładek sieciowych w strukturze warstwy 3. Jakie jest zalecane podejście do wdrożenia zapewniające oddzielenie starszych stref sieciowych w celu spełnienia wymagań działu bezpieczeństwa? (Wybierz jeden.)
A. Zapewnienie oddzielnych kolców i przełączników listwowych dla każdej strefy sieci
B. Zapewnienie oddzielnej tkaniny podkładowej dla każdej strefy sieci
C. Zapewnienie oddzielnej nakładki na każdą strefę sieci
D. Zapewnienie oddzielnych przełączników nakładkowych i liściowych dla każdej strefy sieci
"Dziękujemy za rekomendację. Przejdźmy dalej i uruchommy wielolokacyjną infrastrukturę EVPN VXLAN, aby obsługiwać wszystkie nasze trzy strefy sieciowe pomiędzy St. Helier i Guernsey jako osobne nakładki na jednej warstwie podkładowej. Jest mało prawdopodobne, że będziemy potrzebować możliwości obsługi więcej niż dwóch centrów danych, ale jeśli uda nam się wprowadzić elastyczność w początkowym projekcie, będzie to prawdziwy bonus, a ja wolę korzyści wynikające z separacji, jakie przynosi wieloobiektowość. Przyglądałem się odpowiedniemu sprzętowi sieciowemu (przełączniki typu Leaf i Spine) dla nowej sieci, uwzględniając różnice między licencjami, i nie mogę wypowiedzieć się na temat wszystkich funkcji technicznych poza tym, że będziemy chcieli uruchomić vPC (wirtualny kanał portowy/wiele obudów EtherChannel), ponieważ każdy z naszych serwerów będzie dual-home i nie planujemy uruchamiania multiemisji w nakładce. Jeśli sytuacja się zmieni, zawsze możemy zapłacić za aktualizację licencji na miejscu, ale potrzebuję Twojej pomocy w wyborze sprzętu i koncesjonowanie. Zobacz więc, co możesz zrobić, aby koszty były jak najniższe. Na przykład optyka 100 Gb/s kosztuje 2000 GBP w porównaniu z 1500 GBP za 40 Gb/s za sztukę. Zdecydowanie chcę, aby struktura nie blokowała łączy w górę na przełącznikach liściowych 1 Gb/s, nawet jeśli na przykład mamy awarię pojedynczego przełącznika kręgosłupa. Nie martw się o koszty rzeczywistych przełączników, ponieważ są one dość standardowe. Wystarczy wybrać to, czego potrzebujemy do stworzenia sieci.
Dostępne typy przełączników:
48x 10Gbps-based leaf switches
128x 10Gbps-based leaf switches
48x 1Gbps leaf switches
48x 40/100Gbps spine switches
Spines mogą obsługiwać 40 Gbps lub 100 Gbps na każdym porcie, w zależności od zakupionej optyki. Grzbiety w rzeczywistości pochodzą od innego dostawcy niż liście, ponieważ były znacznie tańsze niż grzbiety sprzedawcy liści, ale są kompatybilne, nie mają opcji licencji i wydają się być standardowo dostarczane z edycją Enterprise, która obejmuje wszystkie funkcje wymienione na każdym typie licencji na liściach. Będziemy potrzebować przełączników granicznych przeznaczonych do obsługi usług dla każdej strefy, takich jak moduły równoważenia obciążenia i zapory strefowe. Łącza DCI można również zakończyć na przełącznikach listwowych granicznych. Przełączniki listkowe graniczne mogą składać się z 48 przełączników listkowych 10 Gb/s, które przeznaczyliśmy jako listwy graniczne - konieczne będzie określenie, która licencja jest dla nich wymagana. Wszystkie opcje przełączników typu Leaf są wyposażone w sześć portów łącza zwrotnego na pokładzie i wymagają jedynie zakupu niezbędnej optyki, aby włączyć te porty (w przypadku portów typu "spine", będą one działać z szybkością 40 Gb/s lub 100 Gb/s, w zależności od tego, która optyka jest włożona).
Optyka: optyka 40 Gb/s kosztuje 1,5 tys. funtów, a optyka 100 Gb/s - 2 tys. funtów.
Funkcje licencji Silver Leaf (w cenie zakupu przełącznika):
OSPF
JEST- JEST
MP-BGP
VXLAN
Multipod EVPN
Wiele lokalizacji EVPN
vPC (wiele obudów EtherChannel)
MACSEC
IPsec
GETVPN
GRE
Multiemisji
Pakiet automatyzacji (OpenConfig, IETF, natywny)
Funkcje licencji Gold Leaf (dodatkowe 2 tys. GBP za przełącznik):
OSPF
IS - IS
MP-BGP
VXLAN
Multipod EVPN
Wiele lokalizacji EVPNv
vPC (wiele obudów EtherChannel)
MACSEC
IPsec
GETVPN
GRE
Multiemisji
Komunikacja równorzędna w architekturze vPC (multi-chassis EtherChannel).
Multicast kierowany przez dzierżawcę
Pakiet automatyzacji (OpenConfig, IETF, natywny)
Telemetria strumieniowa
Oto najnowsze liczby urządzeń komputerowych wymagane w dniu 1 (na DC):
"
Pytanie 9: Narysuj fizyczną topologię wymaganej infrastruktury sieci EVPN VXLAN dla jednego kontrolera domeny w celu skonsolidowania sieci BankExt, BankDMZ i Banknet w celu obsługi usług pierwszego dnia w najbardziej opłacalny sposób. Użyj tylu przełączników listkowych, przełączników granicznych i przełączników kręgosłupa, ile potrzeba, w oparciu o dostarczone wymagania, i wybierz najbardziej odpowiednią prędkość optyczną i liczbę.
Pytanie 10: Projekt VXLAN został przesłany do Komisji Rewizyjnej Architektury w banku i udokumentowano komentarz sugerujący, że w projekcie wymagane będą superspines, aby zapewnić sieci BankExt, BankDMZ i Banknet w tej samej strukturze. Jaka byłaby Twoja odpowiedź na komentarz? (Wybierz jeden.)
>
A. Super-kolce byłyby wymagane w oparciu o dostarczone wymagania i można je utworzyć poprzez dodanie dwóch kolejnych kolców na każdy DC, łącząc się bezpośrednio z planowanymi nowymi kolcami.
B. Super-kolce nie będą wymagane w oparciu o dostarczone wymagania.
"Dziękuję za projekt. Mam jednego z chłopaków, który to dokumentuje. Początkowo myślał, że możemy zmniejszyć liczbę liści, konsolidując niektóre porty BankExt i BankDMZ w tym samym urządzeniu i przydzielając porty dla każdego VRF, ale powiedziałem mu, że ochrona zażądała fizycznej i logicznej separacji. Możemy to oczywiście zrobić, jeśli użyjemy odrębnych par przełączników dla każdego środowiska do fizycznej separacji i użyjemy warstwy podkładowej do logicznej separacji i tunelujemy VXLAN nad każdym środowiskiem. Połączenie sieciowe vPC w sieci szkieletowej możliwe dzięki zakupieniu licencji Gold pozwoliło zaoszczędzić znaczną sumę i znacznie zmniejszyć wymagania dotyczące poprawek światłowodowych i światłowodowych pomiędzy parami przełączników listkowych, aby zapewnić odporność serwera na parę przełączników listkowych. Początkowo nie zdawałem sobie sprawy, że będziemy potrzebować zestawu przełączników granicznych na każde środowisko/strefę sieciową, ale ma to sens, jeśli zastosujemy usługi dla każdej strefy, takie jak zapory ogniowe lub moduły równoważenia obciążenia, na jednej parze przełączników granicznych, wtedy byśmy nie spełniają naszych wymagań bezpieczeństwa polegających na zapewnieniu fizycznego oddzielenia stref sieciowych. Wydawało się, że sensowne jest podłączenie łączy DCI do przełączników granicznych Banknet, ponieważ większość usług działa w tej sieci, co zapewnia logiczne oddzielenie stref, ponieważ do czasu przepływu ruchu przez sieć wszystko jest nałożone na VXLAN. Linki DCI.
Podłączymy porty zarządzania do wszystkich nowych przełączników wyposażonych w dedykowany moduł zarządzania VRF i wrzucimy je do naszej dedykowanej sieci zarządzania, którą zespół już zbudował przy użyciu starszej infrastruktury. Podłączymy wszystkie obwody i wymagane zapory ogniowe dla każdego środowiska do dedykowanych przełączników granicznych w każdej strefie i przypiszemy je do wymaganych systemów VRF po ich zbudowaniu."
Pytanie 11: Jeśli dział bezpieczeństwa Bank of Jersey zmienił politykę i zdecydował się zezwolić sieciom BankExt i BankDMZ na współdzielenie tych samych fizycznych przełączników liściowych, a następnie zastosował ograniczenia konfiguracyjne dla zabezpieczeń warstwy 2 w celu zablokowania dostępu między sieciami, czy istnieje kolejny problem, który wymagałby należy skorygować w związku z tą zmianą zasad? (Wybierz jeden.)
A. Tak
B. NIE
Pytanie 11.1: Jeśli wybrałeś Tak na Pytanie 11, potwierdź swoją odpowiedź. (Wybierz jeden.)
A. Pomiędzy strefami sieci występują nakładające się numery VLAN. Wystąpiłby problem z przydzieleniem sieci VLAN do unikalnego VNI na sieć.
B. Pomiędzy strefami sieci występują nakładające się numery VLAN. Oznaczałoby to, że wielodocelowy ruch BUM (rozgłaszanie nieznane multiemisji) przeznaczony z jednej sieci będzie odbierany również w drugiej sieci.
Pytanie 12: Wypełnij poniższą tabelę, aby pomóc inżynierom Bank of Jersey w tworzeniu numerów VNI dla sieci BankExt, BankDMZ i Banknet. Utwórz dowolny identyfikator VNID, używając siedmiu cyfr, a cztery ostatnie cyfry zostaną użyte jako numery sieci VLAN.
"W miarę jak zbliżamy się do wdrożenia projektu sieci, przyglądamy się specyfikacjom działania VXLAN i wydaje się, że potrzebujemy decyzji projektowej opartej na ruchu BUM z wieloma miejscami docelowymi (rozgłaszanie nieznane w trybie unicast i multicast) przy użyciu replikacji przychodzącej lub tryb multiemisji w podkładce. Przełączniki liściowe mogą działać w dowolnym trybie, więc co polecasz do naszej konfiguracji?"
Pytanie 13: Czy posiadasz wystarczające informacje, aby podjąć decyzję projektową dotyczącą wielomiejscowego przekazywania ruchu BUM w nowej sieci przy użyciu multiemisji lub replikacji przychodzącej? (Wybierz jeden.)
A. Tak
B. NIE
Pytanie 13.1: Jeśli odpowiedziałeś Tak na Pytanie 13, jaki tryb replikacji wybrałbyś dla ruchu BUM obejmującego wiele miejsc docelowych? (Wybierz jeden.)
A. Replikacja przychodząca
B. Replikacja multiemisji w podkładce
Pytanie 13.2: Jeżeli na pytanie 13 odpowiedziałeś "nie", jakich dalszych informacji potrzebujesz? (Wybierz jeden.)
A. Dodatkowe wykorzystanie procesora typu "liście" dla przewidywanej linii bazowej ruchu na potrzeby replikacji przychodzącej
B. Które tryby multiemisji są możliwe w przypadku przekazywania multiemisji w podkładce
"Tak więc tryb replikacji przychodzącej dla wielomiejscowego ruchu BUM, jak nam powiedziano, zwiększy procesor tylko o 5% w oparciu o naszą przewidywaną przepustowość, a maksymalna, jaką może osiągnąć, to dodatkowe 10%. Tryb replikacji multiemisji w podkładce wzrośnie przy stałej dodatkowej stawce 3% przy użyciu BiDir lub ASM."
Pytanie 14: Bank zdecydował się na wdrożenie replikacji multiemisji dla ruchu BUM w oparciu o wyraźną redukcję procesora w porównaniu z replikacją przychodzącą, zamiast prosić o zalecenie projektowe. Jednakże, jeśli chodzi o implementację, jaka byłaby korzyść ze stosowania BiDir w porównaniu z ASM dla protokołu multiemisji podkładowej do transportu ruchu BUM pomiędzy urządzeniami VTEP w każdym DC? (Wybierz jeden.)
A. BiDir nie wymaga punktu spotkania.
B. BiDir oferuje natywną odporność.
C. BiDir wykorzystuje sygnalizację pozapasmową pomiędzy odbiornikiem a grupą, do której ma się przyłączyć, dzięki czemu jest bardziej skalowalny i nie ma konieczności przycinania drzew multiemisji.
D. BiDir drastycznie zmniejsza stan trasy w sieci.
"Prawie wpadliśmy w tę samą dziurę, co poprzednio w dotychczasowej sieci, zapewniając Banknet jako pojedynczą sieć z usługami produkcyjnymi i przedprodukcyjnymi, zgodnie z zaleceniami konsultantów. Musisz ustalić, w jaki sposób możemy zapewnić środowisko przedprodukcyjne w ramach Banknet, które będzie mogło komunikować się bez żadnej kontroli zasad ze środowiskiem produkcyjnym w ramach Banknet, zazwyczaj w tej samej sieci VLAN. Niestety, ze względu na starsze rozwiązania, niektóre usługi obliczeniowe prod i pre-prod działają w tych samych sieciach VLAN, a specjaliści od serwerów mówią mi, że ponowne rozwiązanie problemu i wprowadzenie wymaganych zmian w aplikacji zajmie sześć miesięcy, a to za długo . Chcemy zapewnić najlepszą możliwą ochronę między środowiskami, więc problemy z STP typu warstwy 2 lub problemy z emisją w fazie przedprodukcyjnej nie mogą mieć wpływu na produkcję."
Pytanie 15: W jaki sposób usługi obliczeniowe Banknet dotyczące produkcji i przedprodukcyjnej produkcji mogą być zapewnione w nowej sieci, zapewniając łagodzenie skutków transmisji typu transmisji w warstwie 2 w którejkolwiek sieci, propagujących się między sobą? (Wybierz jeden.)
A. Twórz oddzielne nakładki VRF produkcyjne i przedprodukcyjne w VXLAN i wykorzystuj wycieki tras między VRF do komunikacji.
B. Twórz oddzielne nakładki VRF produkcyjne i przedprodukcyjne w VXLAN i wykorzystuj przecieki tras oraz NAT pomiędzy VRF do komunikacji.
C. Twórz oddzielne nakładki VRF produkcyjne i przedprodukcyjne w VXLAN i używaj routowanej zapory ogniowej pomiędzy VRF do komunikacji.
D. Twórz oddzielne nakładki VRF produkcyjne i przedprodukcyjne w VXLAN i używaj przezroczystej zapory ogniowej pomiędzy VRF do komunikacji.
E. Grupuj infrastrukturę produkcyjną obliczeniową na określonych parach liści VTEP i obliczenia przedprodukcyjne na innych parach za pomocą Storm-Control skonfigurowanego na łączach nadrzędnych liści.
"Dzięki za informację. Stworzymy kilka obliczeniowych PODów z oddzielnymi POD-ami produkcyjnymi i przedprodukcyjnymi z naszymi parami liści. To powinno wyglądać tak
Przy okazji, Jerseytel poinformował nas, że obwody DCI są już gotowe. Najwyraźniej było to proste połączenie w kilku miejscach, ponieważ światłowód znajdował się już w ziemi oraz pomiędzy Wyspami Jersey i Guernsey. Wszyscy jesteśmy przetestowani, wolni od błędów, a opóźnienia są dobre, więc nie będziemy mieli problemów z naszą replikacją. Potrzebujemy, abyś zaplanował migrację usług do nowego DC, podczas gdy my czekamy na dostawę infrastruktury sieciowej z Wielkiej Brytanii. Dla nowego DC zamówiono obwody internetowe i WAN, które zostaną dostarczone na czas przed migracją. (Nie potrzebujemy nowych obwodów dla St Helier. Możemy po prostu ponownie je załatać ze starszych sieci do nowych podczas migracji.)"
Pytanie 16: Wykonaj następujące etapy wdrożenia/migracji, aby umożliwić Bank of Jersey migrację do nowej infrastruktury sieciowej (nie wszystkie kroki są wymagane). Skonfiguruj translację sieci VLAN pod kątem nakładających się sieci VLAN w każdej sieci na przełącznikach liściowych. Podłącz łącze warstwy 2 ze starszej sieci Banknet do nowych przełączników granicznych Banknet w St Helier, podłącz łącze warstwy 2 ze starszej sieci BankDMZ do nowych przełączników granicznych BankDMZ w St Helier i podłącz łącze warstwy 2 ze starszej sieci BankExt do nowego liścia granicznego BankExt przełączniki w St Helier. Wyłącz obwody internetowe/WAN w Priory Inn. Włącz nowe obwody internetowe/WAN w nowym Guernsey DC i migruj obwody internetowe/WAN w St Helier w St Helier. Połącz łącza routingowe warstwy 3 ze starszej sieci Banknet z nowymi przełącznikami granicznymi Banknet w St Helier. Zainstaluj przełączniki kręgosłupa w każdym DC. Włącz bramy Anycast w VXLAN dla sieci VLAN Banknet. Zainstaluj przełączniki liściowe w każdym DC i skonfiguruj oddzielne VRF dla sieci BankExt, BankDMZ i Banknet w ramach VXLAN. Przeprowadź migrację wewnętrznego i zewnętrznego oprogramowania sprzętowego oraz infrastruktury RAS do sieci VXLAN na odpowiednim przełączniku listwowym. Wyłącz bramy HSRP w dotychczasowej sieci Banknet dla każdej sieci VLAN. Zainstaluj przełączniki listwowe graniczne i włącz obwody DCI w każdym DC oraz przetestuj pomiędzy DC na przełącznikach listwowych Banknet. Przeprowadź migrację fizycznego środowiska obliczeniowego z St Helier i Priory Inn do nowych kontrolerów domeny.
"Migracja przebiegła naprawdę dobrze. Poprosiłem naszych chłopaków o napisanie skryptu dla większej liczby sieci VLAN, które migrowaliśmy w Banknet, pod kątem zamykania i ponownego włączania strony warstwy 3, i dosłownie mieliśmy 1-sekundowy impuls na każdą sieć VLAN. Użytkownicy nawet tego nie zauważyli, a my nie mieliśmy żadnych powiązanych zgłoszeń, co było świetną wiadomością. Jednak dobrym wiadomościom zwykle towarzyszą złe, niestety. Organy regulacyjne były w fazie pomigracyjnej i omówiliśmy z nimi nowy projekt oraz osiągnięcia, które osiągnęliśmy. Chociaż ich ogólne wrażenie w odniesieniu do nowej sieci i ulepszeń w zakresie ciągłości działania było pozytywne, przedstawili oni następujące uwagi:
1. Infrastruktura łącząca się z produkcyjnym środowiskiem obliczeniowym nie jest chroniona fizycznie. Potrzebujemy wokół niego klatki, aby nikt, kto nie ma dostępu do prądu stałego, nie mógł bez ograniczeń podłączać urządzeń do przełączników produkcyjnych i potencjalnie zagrażać usługom.
2. Chociaż nie jest to obecnie zgodne z prawem, oczekujemy, że będziesz szyfrować Ruch DCI opuszczający Twoją siedzibę.
3. Również nie jest to aktualna legalność, ale sieci WAN i DC Banknet są domyślnie otwarte. Oczekujemy, że usługi DC będą chronione za zaporą sieciową WAN.
Upewnij się, że w ciągu czterech tygodni zastosujesz się do punktu nr 1 i przygotuj plan dotyczący punktów 2 i 3, ponieważ przepisy mogą ulec zmianie w krótkim czasie. Będziemy musieli rozwiązać te kwestie. W punkcie 2 wszystko jest w porządku w sieci WAN, ponieważ cały ruch WAN do DC korzysta z protokołu HTTPS lub ruchu szyfrowanego w warstwie aplikacji, ale wiemy, że łącze DCI będzie przenosić część ruchu niezaszyfrowanego."
Pytanie 17: Organ nadzoru finansowego stwierdził, że wszystkie przełączniki specyficzne dla sieci Banknet, które obsługują środowisko produkcyjne, powinny zostać umieszczone w klatkach ochronnych, aby zapewnić ich ochronę przed nieupoważnionym dostępem. Zaznacz na dostarczonym schemacie sieci miejsce, do którego powinna sięgać klatka.
Pytanie 18: Gdyby Bank of Jersey miał szyfrować ruch na łączach DCI, jaką technologię byście polecili, która byłaby kompatybilna z OSPF, gdyby ten IGP został zastosowany w strukturze podkładu? (Wybierz jeden.)
A. GETVPN
B. IPsec
C. MACSEC
D. GRE/IPsec
"Zatem, jak Państwu wiadomo, audytorzy wyrazili obawę, że sieć Banknet jest domyślnie otwarta po podłączeniu do sieci WAN, i zalecają umieszczenie zabezpieczeń obwodowych wokół naszych aplikacji w DC. Idealnie byłoby dodać zaporę sieciową w każdej lokalizacji oddziału, ale niestety tak się nie stanie. Możemy uzyskać budżet na firewalle obwodowe DC/WAN (chcę to zrobić przy minimalnej możliwej liczbie, ponieważ są one drogie), ponieważ chcemy zabezpieczyć to na przyszłość, inwestując w firewalle z zestawem funkcji nowej generacji. Zapory sieciowe, których chcemy używać, mają przepustowość 10 Gb/s, więc są odpowiednie dla sieci WAN, która łączy się z siecią usługodawcy z szybkością 10 Gb/s. Zapory sieciowe wymagają dedykowanego połączenia warstwy 2 między sobą w celu zapewnienia stanu i wysokiej dostępności. Muszą obsługiwać tryb przezroczysty i tryb routingu warstwy 3. Aby zapewnić wysoką dostępność, muszą obsługiwać tryb aktywny/gotowość, gdzie w przypadku awarii urządzenie rezerwowe przejmuje aktywny adres IP i na każdym firewallu konfigurowany jest tylko aktywny adres IP. Jeśli chodzi o routing, mogą one uruchamiać routing statyczny, OSPF lub iBGP, co jest świetne, ponieważ potrzebujemy rozwiązania, które nadal umożliwia dynamiczny routing z sieci WAN do DC. Jeśli chodzi o obecną konfigurację, mamy podwójne łącza P2P/30 (na sąsiadujących prefiksach) pomiędzy WAN CE w każdej lokalizacji a listwami granicznymi oraz eBGP pomiędzy granicami a urządzeniami MPLS CE. Powiedziano mi, że wszystkie urządzenia obsługują kanał L2 EtherChannel i jak wiadomo, w razie potrzeby na granicy L2 możemy uruchomić wielochassisowy kanał EtherChannel vPC, ale one nie obsługują kanału L3 EtherChannel. W przypadku scenariusza awarii (co może oznaczać przełączanie awaryjne między kontrolerami domeny z powodu awarii zapory lub sieci WAN) konieczne jest utrzymanie istniejących sesji. W tym momencie nie mamy pojęcia, jak powinniśmy początkowo ustawić podstawę reguł, więc jest to raczej ćwiczenie polegające na zaznaczeniu pola i wrócimy do zdefiniowania polityki, gdy będziemy w stanie monitorować i przepływy bazowe przy użyciu niektórych narzędzi. W razie potrzeby możemy dodać do topologii różne przedrostki poza istniejącymi używanymi /30, a ja preferuję prostotę przy minimalnych zmianach w istniejącym środowisku. Oczywiście będę potrzebować Twojej pomocy przy zaprojektowaniu tego!"
Pytanie 19: Który z poniższych projektów byłby optymalny dla Banku do kontrolowania przepływów północ/południe do DC dla usług Banknet z sieci WAN? (Wybierz jeden.)
A. Zapory sieciowe powinny być wdrażane w trybie routowanym. Routery WAN powinny łączyć się bezpośrednio z pojedynczą zaporą ogniową w każdej lokalizacji DC, korzystając z kanału L3 EtherChannel dla "interfejsów zewnętrznych". Zapora sieciowa w każdej lokalizacji DC powinna następnie połączyć się z przełącznikami brzegowymi Banknet przy użyciu kanału L3 EtherChannel (vPC) dla "interfejsów wewnętrznych". Na zaporach należy skonfigurować protokół BGP do routingu do i z kontrolerów DC, a między kontrolerami DC należy udostępnić sieć VXLAN warstwy 2 w celu zapewnienia łączności w stanie zapory, umożliwiając jednej zaporze w jednej lokalizacji kontrolera domeny, aby była aktywna, a druga w trybie gotowości.
B. Zapory sieciowe powinny być wdrażane w trybie routowanym. Routery WAN powinny łączyć się bezpośrednio z pojedynczą zaporą ogniową w każdej lokalizacji DC, korzystając z kanału L3 EtherChannel dla "interfejsów zewnętrznych". Zapora sieciowa w każdej lokalizacji DC powinna następnie połączyć się z przełącznikami brzegowymi Banknet przy użyciu kanału L3 EtherChannel (vPC) dla "interfejsów wewnętrznych". Na zaporach należy skonfigurować protokół BGP do routingu do i z kontrolerów domeny, a między kontrolerami DC należy udostępnić sieć VXLAN warstwy 2 w celu zapewnienia łączności stanu zapory, umożliwiając obu zaporom działanie w trybie klastra.
C. Zapory sieciowe powinny być wdrażane w trybie przezroczystym. Routery WAN powinny łączyć się bezpośrednio z pojedynczą zaporą ogniową w każdej lokalizacji DC, korzystając z kanału L2 EtherChannel dla "interfejsów zewnętrznych". Irewall w każdej lokalizacji DC powinien następnie połączyć się z przełącznikami brzegowymi Banknet przy użyciu kanału L2 EtherChannel (vPC) dla "interfejsów wewnętrznych". Pomiędzy kontrolerami DC należy zapewnić sieć VXLAN warstwy 2 w celu zapewnienia łączności ze stanem zapory, dzięki czemu jedna zapora w jednej lokalizacji DC będzie aktywna, a druga w trybie gotowości. Połączenie równorzędne eBGP pomiędzy routerami WAN i przełącznikami brzegowymi pozostanie niezmienione ze względu na przejrzystą konfigurację.
D. Zapory sieciowe powinny być wdrażane w trybie routowanym. Routery WAN powinny łączyć się z przełącznikami granicznymi w każdej lokalizacji DC za pomocą kanału EtherChannel L2. Zapory sieciowe w każdej lokalizacji DC powinny następnie łączyć się z przełącznikami brzegowymi Banknet przy użyciu kanału L2 EtherChannel (vPC) z oddzielnymi sieciami VLAN używanymi dla "interfejsów wewnętrznych" i "interfejsów zewnętrznych". Routing statyczny powinien być używany na zaporach ogniowych z trasami DC skierowanymi w stronę liści granicznych, a trasami WAN skierowanymi w stronę sieci WAN. Sieci VXLAN warstwy 2 powinny być zapewnione pomiędzy kontrolerami DC w celu zapewnienia łączności stanu zapory - sieć VLAN "interfejs wewnętrzny" i sieć VLAN "interfejs zewnętrzny", umożliwiając aktywację jednej zapory w jednej lokalizacji DC i pozostawanie w trybie gotowości na zdalnym kontrolerze DC. Pomiędzy routerami WAN i przełącznikami granicznymi należy skonfigurować wieloskokowy eBGP.
E. Zapory sieciowe powinny być wdrażane w trybie przezroczystym. Routery WAN powinny łączyć się bezpośrednio z pojedynczą zaporą ogniową w każdej lokalizacji DC, korzystając z kanału L2 EtherChannel dla "interfejsów zewnętrznych". Zapora sieciowa w każdej lokalizacji DC powinna następnie połączyć się z przełącznikami brzegowymi Banknet przy użyciu kanału L2 EtherChannel (vPC) dla "interfejsów wewnętrznych". Pomiędzy kontrolerami DC należy zapewnić sieć VXLAN warstwy 2 w celu zapewnienia łączności ze stanem zapory, dzięki czemu jedna zapora w jednej lokalizacji DC będzie aktywna, a druga w trybie gotowości.
"Z przyjemnością usłyszysz, że zaplanowano wdrożenie zapory ogniowej. Dziękuję za Twoją pomoc! Właśnie wtedy, gdy myślałem, że nasi ludzie zyskują pewność siebie dzięki nowej sieci, pojawił się poważny problem. Wczoraj wieczorem dokonali zmiany w sieci produkcyjnej, przenosząc część serwerów odpowiedzialnych za aplikacje obsługujące bankomaty ze starszej sieci, co zakończyło się awarią całej sieci bankomatów. Mieliśmy kilku niezadowolonych klientów, którzy nie mogli wypłacić gotówki, ale szkody były ograniczone ze względu na wydawanie reszty wcześnie rano i szybkie jej wycofywanie, gdy zdali sobie sprawę, co się stało. RCA pokazuje, że pominięto pewne zmiany w przełącznikach listew granicznych i niektóre konfiguracje nie zostały poprawnie zaakceptowane. Przejrzałem szczegółowo i nie mogłem uwierzyć, ile konfiguracji wymagała rzeczywista zmiana parametrów VXLAN. Chłopaki najwyraźniej napisali scenariusz ze względu na rozmiar i złożoność, a ostatecznie sami stworzyli problem! Po prostu nie możemy ponownie znaleźć się w takiej sytuacji. Przeczytałem, że infrastruktura jest kompatybilna z programowalnością sieci i chciałbym, abyś zastanowił się, w jaki sposób możemy skonfigurować automatyzację, aby wyeliminować błędy ludzkie i zwiększyć wydajność. Możemy także włączyć posiadaną przez nie funkcję telemetrii i ewentualnie odejść od SNMP. Mam kilku programistów, których mogę sprowadzić z ciemnej strony (programiści aplikacji), jeśli zajdzie taka potrzeba, którzy potrafią kodować. Mogą współpracować z zespołem sieciowym, aby zdefiniować, co jest wymagane, więc może moglibyśmy założyć własny zespół ds. devopsów, jeśli to się sprawdzi. Z jakiegoś powodu po mojej pierwszej rozmowie z twórcami utkwiły mi w głowie Yin i Yang - czy uwierzycie, że jeden z nich nazywa się Jason! W każdym razie zastanów się i daj mi znać, jak Twoim zdaniem powinniśmy zacząć."
Pytanie 20: Aby rozpocząć automatyzację, programiści muszą wiedzieć, który indywidualny model YANG zastosować w nowej infrastrukturze. Który z poniższych modeli będzie optymalny? (Wybierz jeden.)
A. Rodzinny
B. Otwórzkonfig
C. IETF
D. Mieszanka modeli
Pytanie 21: "W celu wdrożenia automatyzacji programiści zalecili platformę OpenDaylight do wykorzystania jako odporny kontroler SDN i portal do programowania sieciowego infrastruktury VXLAN w sieci zarządzającej. Wypełnij poniższą tabelę, aby lista zadań projektu można wygenerować w celu zapewnienia automatyzacji infrastruktury sieciowej."
Pytanie 22: Bank of Jersey chce uprościć wielokrotne/cykliczne wywołania API z kontrolera SDN do poszczególnych urządzeń w celach konfiguracyjnych i zarządzania, jednocześnie utrzymując wymagane uwierzytelnianie tak proste i bezpieczne, jak to tylko możliwe. Jaki sposób uwierzytelnienia powinien wybrać Bank? (Wybierz jeden.)
A. Uwierzytelnianie podstawowe (natywne)
B. Klucz API - ciąg
C. Klucz API - nagłówek żądania
D. Klucz API - plik cookie
E. Token niestandardowy
Pytanie 23: Bank obawia się atomowości w przypadku awarii jednego lub obu kontrolerów OpenDaylight w sieci produkcyjnej. Jeżeli kontrolery ulegną awarii (w stanie ustalonym, a nie podczas wykonywania czynności konfiguracyjnych), to który z poniższych faktów należy uznać za "źródło prawdy" dla prawidłowej konfiguracji urządzenia infrastruktury? (Wybierz jeden.)
A. Zapisana konfiguracja urządzenia infrastruktury głównego kontrolera SDN
B. Zapisana konfiguracja dodatkowego kontrolera SDN urządzenia infrastrukturalnego
C. Samo urządzenie infrastrukturalne
D. Kopia zapasowa konfiguracji samego urządzenia infrastruktury z poprzedniego dnia
Pytanie 24: Bank chce wykorzystać możliwości telemetrii opartej na modelach (MDT) nowej infrastruktury. Jeśli istniejąca aplikacja narzędziowa do zarządzania siecią byłaby ograniczona wyłącznie do kodowania XML, a nie protokołu HTTP do obsługi MDT, która z poniższych aplikacji byłaby zgodna z infrastrukturą sieciową? (Wybierz jeden.)
A. Telemetria wybierania numeru
B. Telemetria telefoniczna
C. Przepływy netto
D. IPFIX
Odpowiedzi
Pytanie 1
C. Wiele kanałów 10G DWDM. Jest to optymalna opcja. Ponieważ jedyne typy obwodów dostępne w Portsmouth to 10 Gb/s, wymagane będą cztery obwody i należy zastosować pewne obliczenia matematyczne, aby upewnić się, że całkowity koszt nie stanowi problemu. 4 kanały DWDM będą kosztować 40 tys. funtów nakładów inwestycyjnych i 60 tys. funtów kosztów operacyjnych w całym okresie (łącznie 100 tys. funtów). Obwody MPLS wyniosłyby w całym okresie nakłady inwestycyjne wynoszące 48 tys. GBP i 56 tys. GBP (łącznie 104 tys. GBP). DWDM jest zatem minimalnie bardziej opłacalny niż MPLS. Ostateczne porównanie mające na celu określenie, które obwody będą optymalne, wymagałoby podwójnego sprawdzenia opcji technologicznych. W tym przypadku kanały DWDM zapewniłyby większą elastyczność z możliwością łączenia łączy VLAN lub trasowania zgodnie z wymaganiami. Sieć MPLS może również świadczyć usługi L2 lub L3, ale należy przyjąć pewne założenia dotyczące dodatkowego opóźnienia, a w celu spełnienia wymagań dotyczących opóźnienia replikacji może być wymagana inżynieria ruchu. DWDM zapewni zatem większą elastyczność i wydaje się spełniać wszystkie określone wymagania. Ostatecznie nie ma istotnego powodu, dla którego miałbyś wybrać droższą ofertę MPLS, która może oferować mniejszą elastyczność.
G. Portsmouth w Wielkiej Brytanii. Portsmouth w Wielkiej Brytanii to optymalny wybór w przypadku lokalizacji fizycznej, zapewniający prawdziwą separację geograficzną, a opóźnienie powyżej 170 km będzie poniżej wymaganego czasu RTT 2 ms, jak szczegółowo opisano wcześniej. Ponieważ jedyne typy obwodów dostępne w Portsmouth to 10 Gb/s, wymagane będą cztery obwody.
Pytanie 2
B. Suwerenność danych. To jest optymalna odpowiedź. Chociaż nie jest to określone ograniczenie, istnieją pewne podstawowe informacje dotyczące sposobu, w jaki Wielka Brytania i Jersey działają na poziomie fiskalnym, ale ostatecznie są to odrębne kraje i mają odrębne rządy. W związku z tym przepisy dotyczące suwerenności danych mogą się różnić, w związku z czym mogą wystąpić problemy w sposobie przechowywania i przetwarzania danych w różnych krajach, dlatego rozsądnie jest sprawdzić, czy rzeczywiście istnieje taki problem.
Pytanie 3
A. Tak .To jest poprawna odpowiedź.
Pytanie 4
F. Skonfiguruj równoważenie obciążenia VLAN. To proste rozwiązanie jest poprawną odpowiedzią. Być może zadajecie sobie pytanie, dlaczego Bank nie zrobił tego wcześniej? Zamieściłem to, aby zwrócić uwagę i pokazać, że warto cofnąć się o krok i ocenić informacje, które masz przed sobą, i połączyć je z doświadczeniem w sieci. Nie każde pytanie na egzaminie będzie trudne. Zostaniesz poinformowany, że w każdej sieci obowiązuje domyślna konfiguracja protokołu STP. Po skonfigurowaniu równoważenia obciążenia sieci VLAN w ramach topologii oba łącza mogą z łatwością być przesyłane dalej w oparciu o każdą sieć VLAN, zapewniając wymagane 2 Gb/s pomiędzy lokalizacjami. Dość często najlepszym podejściem jest prostota. Proste po prostu działa, proste jest łatwe do wyjaśnienia i proste jest łatwe do naprawienia, gdy coś pójdzie nie tak.
Pytanie 5
A. Włącz licencjonowanie ewaluacyjne Bronze na przełącznikach. To jest poprawna odpowiedź. Po włączeniu licencji bezpłatnej dostępna będzie funkcja PVLAN (prywatna sieć VLAN). Tę funkcję można następnie skonfigurować dla każdego portu routera innej firmy na przełączniku w sieci VLAN2, aby umożliwić komunikację tylko z portem skojarzonym z zaporą sieciową w sieci VLAN2, a nie między portami routera. To rozwiązanie byłoby proste w zarządzaniu i nie wymagałoby żadnej administracji w przypadku zmiany dostępu wymaganej przez stronę trzecią (na przykład listy ACL mogą wymagać dodatkowej administracji w celu poradzenia sobie ze zmianami).
Pytanie 5.1
A. Licencja Bronze pozwoli na uruchomienie sieci PVLAN. To jest poprawna odpowiedź. Licencja umożliwi zastosowanie sieci PVLAN (prywatnych sieci VLAN). Tę funkcję można następnie skonfigurować tak, aby każdy port routera innej firmy na przełączniku w sieci VLAN2 umożliwiał komunikację tylko z portem powiązanym z zaporą sieciową w sieci VLAN2, a nie między portami routera, bez konieczności posiadania określonych list ACL.
Pytanie 6
Pytanie 7
D. Wiele lokalizacji VXLAN EVPN. To jest optymalna odpowiedź. Multisite VXLAN EVPN zapewni separację warstwy 2 i pełne możliwości warstwy 3 w ramach oddzielnych VRF pomiędzy dwoma DC i będzie odpowiedni, jeśli w przyszłości będzie wymagany dodatkowy DC. Technologia umożliwia rozmieszczenie przełączników listkowych, które można wykorzystać do tworzenia różnych stref sieci. Dobrą decyzją projektową byłoby użycie konfiguracji wielostanowiskowej od pierwszego dnia, aby zapewnić dodatkową elastyczność i separację między kontrolerami domeny, z punktu widzenia minimalnego narzutu konfiguracyjnego, w porównaniu z systemem multipod, nawet w przypadku wdrożenia w dwóch lokalizacjach.
Pytanie 8
D. Zapewnienie oddzielnych przełączników nakładkowych i listwowych dla każdej strefy sieciowej. Jest to optymalne rozwiązanie. Wymagane są oddzielne nakładki, jak opisano szczegółowo w wyjaśnieniu odpowiedzi C, ale posiadanie oddzielnych przełączników listkowych zapewnia fizyczną separację wymaganą przez bezpieczeństwo. Posiadanie oddzielnych przełączników liściowych zapewniłoby ograniczenie problemów związanych z łataniem lub celową łącznością z określonymi strefami sieci w takim samym stopniu, jak w dotychczasowej sieci.
Pytanie 9
Pytanie 10
B. Super-kolce nie będą wymagane w oparciu o dostarczone wymagania. To jest poprawna odpowiedź. Super-kolce nie byłyby wymagane w oparciu o istniejące wymagania. Zwykle byłyby one wymagane w środowisku o dużej skali lub w przypadku dużego środowiska z wieloma lokalizacjami, w którym można utworzyć ogólny "rdzeń" w celu utworzenia modułu połączenia między lokalizacjami.
Pytanie 11
A. Tak. To jest poprawna odpowiedź. Zobacz odpowiedź na pytanie 11.1.
Pytanie 11.1
Jeżeli w pytaniu 11 wybrałeś Tak, potwierdź swoją odpowiedź. (Wybierz jeden.)
A. Pomiędzy strefami sieci występują nakładające się numery VLAN. Wystąpiłby problem z przydzieleniem sieci VLAN do unikalnego VNI na sieć. To jest poprawna odpowiedź. Nakładające się numery VLAN nie stanowią problemu w sieciach VXLAN, gdy sieć VLAN znajduje się na różnych liściach/VTEP, ponieważ sieciom VLAN można przypisać różne VNI, zapewniając różne VXLAN dla każdej sieci VLAN. Problem pojawia się, gdy na tym samym przełączniku występuje nakładanie się. Gdyby tak się stało, bez jakiejś formy translacji sieci VLAN, sieci VLAN z różnych sieci nie mogłyby być rozróżniane w całej sieci, w związku z czym efektywnie współdzieliłyby sieci pomostowe.
Pytanie 12
Pytanie 13
B. NIE
Pytanie 14
D. BiDir drastycznie zmniejsza stan trasy w sieci. To jest poprawna odpowiedź. BiDir wykorzystuje współdzielone drzewo multiemisji oparte wyłącznie na (*,G), eliminując stan specyficzny dla źródła (S,G), umożliwiając skalowanie w domenie multiemisji pod względem wykorzystywanych zasobów i liczby źródeł.
Pytanie 15
E. Grupuj infrastrukturę produkcyjną obliczeniową na określonych parach liści VTEP i obliczenia przedprodukcyjne na innych parach za pomocą Storm-Control skonfigurowanego na łączach nadrzędnych liści. To jest optymalna odpowiedź. Nie jest to rozwiązanie idealne, ale biorąc pod uwagę ograniczenia związane z brakiem możliwości ponownego adresowania urządzeń, współużytkowania sieci VLAN lub korzystania z jakiejkolwiek zapory ogniowej, najlepszą separacją między środowiskami, przy jednoczesnym umożliwieniu pełnej łączności, byłoby podzielenie środowiska obliczeniowego na osobne przełączniki typu Leaf/VTEP . To, w połączeniu z funkcją Storm-Control (która może znacznie zmniejszyć pętlę lub rozgłaszanie przedostawania się burzy do wielomiejscowego ruchu BUM w całej sieci), zapewni, że każdy problem z STP w warstwie 2 będzie dotyczył tylko liścia/VTEP, w którym występuje problem, oraz dlatego nie rozprzestrzeniłby się w sieci i nie miałby wpływu na środowisko produkcyjne, jeśli na przykład problem powstał w środowisku przedprodukcyjnym.
Pytanie 16
Oto prawidłowa kolejność i uzasadnienie:
1. Zainstaluj przełączniki kręgosłupa w każdym DC. Kolce są logicznym wyborem na początek instalacji sprzętu, ponieważ łączą się z każdym włącznikiem liściowym, tworząc tkaninę podkładową. Możesz także zacząć od kroku 2, a następnie zainstalować kolce, aby nadal skutecznie zdobywać punkty.
2. Zainstaluj przełączniki liściowe w każdym DC i skonfiguruj oddzielne VRF dla sieci BankExt, BankDMZ i Banknet w obrębie VXLAN. Następnie można zainstalować przełączniki liściowe i zastosować konfigurację dla poszczególnych stref sieci. Ten krok można ukończyć po kroku 3, ale nie można uruchomić testu między przełącznikami liści w strefie sieci między kontrolerami DC bez wcześniejszego ukończenia kroku 2. Można to również wymienić jako Krok 1, aby zainstalować liście przed kolcami i nadal skutecznie zdobywać punkty.
3. Zainstaluj przełączniki listwowe graniczne i włącz obwody DCI w każdym DC oraz test pomiędzy DC na przełącznikach listwowych Banknet. Po zainstalowaniu zestawów przełączników listwowych Borders i podłączeniu obwodów DCI 100 Gb/s na listwach granicznych Banknet można rozpocząć testowanie pomiędzy lokalizacjami DC, aby objąć wszystkie VRF.
4. Połącz łącza routingowe warstwy 3 ze starszej sieci Banknet z nowymi przełącznikami granicznymi Banknet w St Helier. Wymagane byłyby łącza warstwy 3 między sieciami w celu trasowania między sieciami VLAN, które zostały przeniesione, a tymi, które tego nie zrobiły. Połączenie łączy routingowych warstwy 3 nie wiązałoby się z żadnym ryzykiem, natomiast ryzyko pojawiłoby się natychmiast po udostępnieniu łączy warstwy 2 w nowej sieci, jak w krokach 5 i 6. Z punktu widzenia projektu optymalne byłoby zapewnienie element ryzyka (warstwa 2) po elemencie minimalnego ryzyka (warstwa 3).
5. Podłącz łącze warstwy 2 ze starszej sieci Banknet do nowych przełączników granicznych Banknet w St. Helier, połącz łącze warstwy 2 ze starszej sieci BankDMZ do nowych przełączników granicznych BankDMZ w St. Helier i podłącz łącze warstwy 2 ze starszej sieci BankExt do nowych przełączników granicznych BankExt w St Helier. Byłoby to wymagane w celu rozszerzenia stref sieciowych na nowe środowisko i umożliwienia migracji hostów ze starszych sieci do nowych. Łącza warstwy 2 będą udostępniane wyłącznie dedykowanym przełącznikom granicznym w każdym środowisku. Łącza warstwy 2 będą wymagane tylko na czas migracji hosta i mogą zostać usunięte po zakończeniu projektu. Ten krok można wykonać dopiero po wykonaniu kroków 1-4.
6. Przeprowadź migrację fizycznego środowiska obliczeniowego z St Helier i Priory Inn do nowych DC. Na tym etapie można by przenieść serwery fizyczne i inne urządzenia do nowej sieci, ponieważ ze starszej sieci do nowej sieci zostałaby zapewniona łączność w warstwie 2. Cała łączność w warstwie 3 będzie nadal obsługiwana ze starszej sieci za pośrednictwem zapór sieciowych dla BankDMZ lub BankExt lub głównych przełączników w przypadku Banknet. Fazę tę można zakończyć dopiero po kroku 5.
7. Przeprowadź migrację wewnętrznego i zewnętrznego oprogramowania sprzętowego oraz infrastruktury RAS do sieci VXLAN na odpowiednim przełączniku listwowym. Po sprawdzeniu łączności warstwy 2 usług BankExt i BankDMZ w nowej sieci, elementy sieci warstwy 3 (zapory ogniowe) i infrastruktura RAS mogą zostać fizycznie zmigrowane do nowej sieci na dedykowanych przełącznikach granicznych. Zwykle w pierwszej kolejności migrowane są urządzenia w trybie gotowości, a po sprawdzeniu ich funkcjonalności w nowej sieci można je skonfigurować tak, aby stały się aktywne i rozpoczęły przekazywanie ruchu. Po sprawdzeniu tej funkcjonalności można przeprowadzić migrację urządzeń w trybie gotowości, a następnie przetestować je, aby upewnić się, że nie wystąpią żadne przestoje w świadczeniu usług w tych sieciach.
8. Wyłącz obwody internetowe/WAN w Priory Inn. Obwód internetowy nie jest już wymagany w starszym DC w Priory Inn po kroku 7.
9. Uruchom nowe obwody internetowe/WAN w nowym Guernsey DC i migruj obwody internetowe/WAN w St Helier w St Helier. Nowe łącze internetowe jest wymagane w nowym DC na Guernsey oraz w nowej sieci w St Helier. Nowy obwód internetowy można włączyć dopiero po kroku 8. Zwykle obwody są włączane indywidualnie dla każdego środowiska, ale tutaj są zgrupowane w ramach jednego zadania.
10. Wyłącz bramy HSRP w dotychczasowej sieci Banknet dla każdej sieci VLAN. Aby zapewnić optymalny przepływ ruchu, ten krok należy wykonać dopiero po kroku 9. Jeśli zakończono to przed krokiem 9, ruch będzie przepływał z nowej sieci do starszej sieci, a po wyłączeniu bram HSRP nastąpi przerwa w migrowanych sieciach VLAN. Zazwyczaj w ramach testów migrowane są grupy sieci VLAN lub pojedyncze sieci VLAN, w przeciwieństwie do operacji typu "dzień flagi" lub "wielkiego wybuchu" podejście przedstawione w tym kroku.
11. Włącz bramkę Anycast w VXLAN dla sieci VLAN Banknet. Byłby to ostatni krok i można go ukończyć dopiero po kroku 10. Dzięki temu funkcjonalność bramy Anycast powiązana z sieciami VXLAN EVPN stałaby się bramą warstwy 3 dla każdej sieci VLAN (przy użyciu oryginalnego, starszego adresu HSRP dla każdej sieci VLAN w każdym VTEP). Po włączeniu bramy Anycast będą wysyłać GARP dla adresu IP, a podłączone hosty będą aktualizować swoje pamięci podręczne ARP ze starszego wirtualnego adresu MAC HSRP na adres MAC bramy Anycast. Zwykle w sieci o dużej skali zmiana ta może zostać dokonana skryptem lub zautomatyzowana; w przeciwnym razie przerwa między krokami 10 i 11 byłaby widoczna dla użytkowników.
Jedynym krokiem, który nie jest wymagany, byłoby:
Skonfiguruj translację sieci VLAN pod kątem nakładających się sieci VLAN w każdej sieci.
Pytanie 17
Pytanie 18
C. MACSEC .To jest poprawne. MACSEC byłby dobrze dostosowany do tego wymagania w przypadku łączy DCI, a ze względu na działanie w warstwie 2 nie byłoby problemów ze zgodnością z OSPF. Zwykle wdrażany na sprzęcie, MACSEC nie będzie miał wpływu na procesor i ogólnie może działać z szybkością łącza (jeśli istniały pewne ograniczenia dotyczące tej funkcji lub ograniczenia podczas egzaminu laboratoryjnego, otrzymasz odpowiednie dane).
Pytanie 19
D. Zapory sieciowe powinny być wdrażane w trybie routowanym. Routery WAN powinny łączyć się z przełącznikami granicznymi w każdej lokalizacji DC za pomocą kanału EtherChannel L2. Zapory sieciowe w każdej lokalizacji DC powinny następnie łączyć się z przełącznikami brzegowymi Banknet przy użyciu kanału L2 EtherChannel (vPC) z oddzielnymi sieciami VLAN używanymi dla "interfejsów wewnętrznych" i "interfejsów zewnętrznych". Routing statyczny powinien być używany na zaporach ogniowych z trasami DC skierowanymi w stronę liści granicznych, a trasami WAN skierowanymi w stronę sieci WAN. Sieci VXLAN warstwy 2 powinny być zapewnione pomiędzy kontrolerami DC w celu zapewnienia łączności stanu zapory - sieć VLAN "interfejs wewnętrzny" i sieć VLAN "interfejs zewnętrzny", umożliwiając aktywację jednej zapory w jednej lokalizacji DC i pozostawanie w trybie gotowości na zdalnym kontrolerze DC. Pomiędzy routerami WAN i przełącznikami granicznymi należy skonfigurować wieloskokowy eBGP. To jest optymalne rozwiązanie. Topologia umożliwia aktywnym i rezerwowym zaporom komunikację między kontrolerami DC dla stanu oraz na interfejsach "wewnętrznych" i "zewnętrznych", aby ułatwić przełączanie awaryjne. (Aktywna zapora sieciowa udostępnia pojedynczy adres IP, dlatego wymagane jest, aby sieci VLAN [VXLAN] rozciągały się między lokalizacjami w celu zapewnienia funkcji przełączania awaryjnego). Dla uproszczenia w zaporach sieciowych włączono routing statyczny, a połączenia eBGP między sieciami WAN i LAN są utrzymywane przez zapory ogniowe (jednak teraz połączenie równorzędne musiałoby odbywać się w trybie multihop). Zapory sieciowe muszą po prostu wiedzieć, gdzie znajdują się miejsca docelowe połączeń równorzędnych i mogą mieć domyślną trasę skierowaną do sieci LAN za pośrednictwem przełączników granicznych i sieci WAN dla zdalnych prefiksów sieci WAN. Aplikacja w świecie rzeczywistym może wymagać użycia interfejsów pętli zwrotnej do komunikacji równorzędnej eBGP na granicznych przełącznikach liściowych, ponieważ ruch kierowany do sieci VXLAN anycast może trafić na którykolwiek przełącznik brzegowy obsługujący vPC, co może skutkować niepowodzeniem komunikacji równorzędnej eBGP między sieciami WAN i LAN. W tym rozwiązaniu nie występują problemy z symetrią, ponieważ ruch z dowolnego kontrolera domeny byłby przekazywany przez pojedynczą aktywną zaporę ogniową ze względu na tryb działania zapory, w którym prezentowany jest tylko jeden aktywny adres IP za pośrednictwem aktywnego urządzenia na każdym interfejsie.
Pytanie 20
B. OpenConfig. To jest optymalna odpowiedź. To naprawdę zależy od IETF lub OpenConfig, biorąc pod uwagę ograniczenia wynikające z braku możliwości użycia modeli natywnych lub kombinacji modeli. Jednak modele OpenConfig są zazwyczaj bardziej wszechstronne niż modele IETF.
Pytanie 21
Pytanie 22
D. Klucz API - plik cookie. Jest to optymalna odpowiedź oraz najczęstsza i najprostsza metoda uwierzytelniania powtarzających się wywołań API. Ciąg klucza API jest przechowywany jako plik cookie i używany wielokrotnie.
Pytanie 23
C. Samo urządzenie infrastrukturalne. To jest poprawna odpowiedź. Niepodzielność konfiguracji sieci oznacza, że zamierzona konfiguracja została zastosowana do urządzenia bez błędów lub, jeśli występują błędy, istnieje metoda ich naprawienia. Jeśli możliwości programowania zawodzą (kontroler SDN po prostu przesyła konfigurację w sposób zautomatyzowany), wówczas samo urządzenie powinno być postrzegane jako najnowsza i najbardziej prawidłowa (źródło prawdy) konfiguracja z działającej konfiguracji. Dla przejrzystości pytanie po prostu stwierdza "jeśli kontrolery ulegną awarii", a nie "jeśli kontrolery zawiodą podczas operacji konfiguracyjnej". Miałoby to miejsce w przypadku, gdy potrzebny byłby sposób zapewniający atomowość.
Pytanie 24
B. Telemetria telefoniczna. To jest poprawne. XML jest kompatybilny z telemetrią poprzez połączenie telefoniczne, podczas której system zarządzania dynamicznie odpytuje urządzenie infrastruktury (podobnie jak odpytywanie SNMP w celu gromadzenia statystyk).
