понедельник, 27 января 2014 г.

Архитектура корпоративных сетей. Краткое руководство. Часть 2

Архитектура корпоративных сетей. Краткое руководство

Иерархическая модель сети

Иерархическая модель представляет собой фундамент для сетевой инфраструктуры: подключение пользователей, принтеров, сканеров, WAN маршрутизаторов, устройств безопасности, серверов и т.д.
Иерархическая модель делит сеть на три основных уровня/модуля. Уровни иерархической модели:

1) Уровень доступа (Access Layer) - предоставляет пользователям или устройствам (принтер, сканер, ip-телефон) доступ к сети. 
2) Уровень распределения (Distribution Layer) - агрегирует/объединяет уровни доступа и предоставляет доступ к различным сервисам организации. 
3) Уровень ядра/базовый уровень (Core Layer) - агрегирует/объединяет уровни распределения в больших сетях. 
Эти три уровня предоставляют различные функции и возможности. В зависимости от необходимости могут применяться один, два или все три уровня. Например для офиса с количеством пользователей менее 10 имеет смысл внедрять только уровень доступа. Для большой организации, занимающей несколько этажей или целое здание, будет разумным применение как уровня доступа, так и уровня распределения. Для огромных сетей, объединяющих несколько зданий необходимы все три уровня: уровень доступа, уровень распределения и уровень ядра.

Уровень доступа (Access Layer)

Уровень доступа является точкой входа в сеть для пользователей и сетевых устройств (принтеры, сканеры, ip-телефоны и т.д.). Доступ как проводной, так и беспроводной. В более ранней литературе данный уровень называется “Модуль доступа”.



Рис. 4. Уровень доступа

Устройства

Устройства уровня доступа это, как правило, коммутаторы второго уровня (L2) модели OSI, т.е без функции маршрутизации. Коммутаторы осуществляют первичное сегментирование сети (технология VLAN). Однако в некоторых случаях могут применяться и устройства третьего уровня (L3). Устройства уровня доступа должны предоставлять высокоскоростное проводное (Gigabit Ethernet) и беспроводное (802.11n) подключение к сети.
Оборудование которое может применяться в качестве уровня доступа:

Cisco Catalyst 4507R+E 7-slot Chassis with 48Gbps per slot
Cisco Catalyst 4500 E-Series Supervisor Engine 7L-E
Cisco Catalyst 4500 E-Series 48 Ethernet 10/100/1000 (RJ45) PoE+ ports
Cisco Catalyst 4500 E-Series 48 Ethernet 10/100/1000 (RJ45) PoE+,UPoE ports
Cisco Catalyst 3750-X Series Stackable 48 Ethernet 10/100/1000 PoE+ ports
Cisco Catalyst 3750-X Series Stackable 24 Ethernet 10/100/1000 PoE+ ports
Cisco Catalyst 3750-X Series Two 10GbE SFP+ and Two GbE SFP ports network module
Cisco Catalyst 3750-X Series Four GbE SFP ports network module
Cisco Catalyst 3560-X Series Standalone 48 Ethernet 10/100/1000 PoE+ ports
Cisco Catalyst 3560-X Series Standalone 24 Ethernet 10/100/1000 PoE+ ports
Cisco Catalyst 3750-X Series Two 10GbE SFP+ and Two GbE SFP ports network module
Cisco Catalyst 3750-X Series Four GbE SFP ports network module
Cisco Catalyst 2960-S Series 48 Ethernet 10/100/1000 PoE+ ports and Two 10GbE SFP+ Uplink ports
Cisco Catalyst 2960-S Series 48 Ethernet 10/100/1000 PoE+ ports and Four GbE SFP Uplink ports
Cisco Catalyst 2960-S Series 24 Ethernet 10/100/1000 PoE+ ports and Two 10GbE SFP+ Uplink ports
Cisco Catalyst 2960-S Series 24 Ethernet 10/100/1000 PoE+ ports and Four GbE SFP Uplink ports
Cisco Catalyst 2960-S Series Flexstack Stack Module

Угрозы

По скольку уровень доступа является входной точкой в сеть для клиентский устройств он в первую очередь должен обеспечивать защиту самих пользователей, корпоративных ресурсов и сеть от вредоносных атак со стороны подключаемых клиентов/устройств (в случае их заражения всевозможными вирусами) или хакеров, получивших доступ в локальную сеть.
Уровень доступа включает в себя следующие технологии защиты:

- DHCP-snooping - защищает пользователей от получения адреса от неизвестного DHCP-сервера, а так же не позволяет злоумышленнику захватить все ip-адреса. 
- IP Source guard - защита от IP spoofing-а, т.е. от подмены IP-адреса источника. 
- Port security - устанавливается ограничение на кол-во MAC адресов поступающих на порт коммутатора. Защищает от подмены MAC адреса и от атак, направленных на переполнение таблицы коммутации. 
- Dynamic ARP inspection - защита от ARP spoofing-а, т.е. от перехвата трафика между компьютерами. 


Более подробное рассмотрение технологий атак и защиты от них, выходит за рамки данного руководства.

Рис. 5. DHCP-snooping и ARP Inspection

Рекомендации по дизайну

В случае если планируется подключение к сети таких устройств, как ip-телефоны, ip-видеокамеры или беспроводные точки доступа, будет разумным использовать коммутаторы с поддержкой технологии PoE (Power over Ethernet). Это существенно упростит и удешевит внедрение вышеуказанных устройств (исключается необходимость в дополнительном питании от электросети).

Наиболее экономичным решением являются коммутаторы Catalyst серии 2960. Решение на основе этих коммутаторов предоставляет самую низкую стоимость за порт (подключенного пользователя, сервера или какого-либо другого устройства), при этом обеспечивает весь необходимый функционал для уровня доступа (сегментирование сети, QoS, PoE, и т.д.). Использование коммутаторов уровня доступа позволяет существенно снизить затраты на подключение пользователей и серверов. В настоящий момент в линейке появилась новая, более производительная и современная модель Cisco Catalyst 2960-X, стоимость которой сопоставима со стоимостью предыдущей модели. При проектировании сетей будет уместным использование новых коммутаторов. Коммутаторы серии 3560, 3750, 4500 и 4507 применяются гораздо реже и только в том случае, когда покупка отдельного коммутатора для уровня доступа является нецелесообразной (малое количество пользователей). Данные коммутаторы больше подходят для уровня распределения.

В случае установки нескольких коммутаторов уровня доступа, расположенных в непосредственной близости (в одном серверном шкафу) рекомендуется использовать технологию стекирования (Рис. 6).
Рис. 6. Стек коммутаторов уровня доступа

Данная технология позволяет объединять оборудование в единое целое. Стек из трех 24-х портовых коммутаторов используется как одно устройство, имеющее 72 порта. Это существенно облегчает управление и конфигурирование, а так же реализует дополнительную отказоустойчивость. Однако следует отметить, что данное решение будет существенно дороже, т.к требует приобретения дополнительных модулей стекирования для коммутаторов серии 2960-S и 2960-X.

Каждый коммутатор уровня доступа должен подключаться к коммутаторам уровня распределения по агрегированному каналу (об этом чуть позже).
Коммутаторы уровня доступа должны располагаться не более чем в 90 метрах от пользователей (коммутационный шкаф или серверная комната) для их подключения по витой паре.
Если устройства уровня доступа находятся на расстоянии более чем 100 м от коммутаторов уровня распределения, то используется оптоволоконное соединение. Это стоит учитывать при проектировании и закладывать коммутаторы с поддержкой оптоволоконных подключений (технология SFP, SFP+).

Альтернативы

Устройства уровня доступа являются самыми дешевыми в сетевой инфраструктуре, однако, их может быть большое кол-во, что ведет к большим затратам. Стоимость современного 24-х портового коммутатора компании Cisco (Catalyst 2960-X 24 GigE 4 x 1G SFP LAN Base) составляет около 2400$. При выборе других моделей стоит четко понимать какой функционал вам потребуется от устройств уровня доступа.

Коммутаторы компаний HP, Dlink, Zyxel схожей конфигурации будут стоить дешевле в 2-3 раза. Такие коммутаторы подойдут для подключения серверов. Для подключения пользователей можно использовать более дешевые решения выше упомянутых компаний, но только в том случае, если требования к безопасности не слишком высоки. К примеру коммутаторы Dlink и Zyxel очень распространены среди провайдеров интернет связи, ввиду своей дешевизны и достаточного для их задач функционала.

От себя хотелось бы добавить, что коммутаторы компании Cisco в крупном корпоративном сегменте стали практически стандартом.


1 комментарий:

Новый сайт проекта

Новый сайт проекта
Прокачай себя, а не персонажа из игры

Translate

Популярные сообщения

Blog Archive

Технологии Blogger.