Архитектура корпоративных сетей. Краткое руководство
Альтернативы
Уровень распределения (Distribution Layer)
Уровень распределения обслуживает множество важных сервисов сети. Главной задачей уровня распределения является агрегация/объединение всех коммутаторов уровня доступа в единую сеть. Это позволяет существенно уменьшить количество соединений. Как правило, именно к коммутаторам распределения подключаются самые важные сервисы сети, другие модули сети: модуль сети Internet, модуль WAN сети, модуль дата-центра (Рис. 7).
Рис. 7. Уровень распределения
Устройства
Устройства уровня распределения это, как правило, коммутаторы третьего уровня (L3) модели OSI. Коммутаторы осуществляют маршрутизацию трафика между сегментами сети (между различными VLAN), а так же реализуют систему безопасности и сетевые политики (контроль доступа).
Оборудование которое может применяться в качестве уровня распределения:
Cisco Catalyst 6500 E-Series 6-Slot Chassis
Cisco Catalyst 6500 VSS Supervisor 2T with 2 ports 10GbE and PFC4
Cisco Catalyst 6500 16-port 10GbE Fiber Module w/DFC4
Cisco Catalyst 6500 24-port GbE SFP Fiber Module w/DFC4
Cisco Catalyst 6500 4-port 40GbE/16-port 10GbE Fiber Module w/DFC4
Cisco Catalyst 6500 4-port 10GbE SFP+ adapter for WX-X6904-40G module
Cisco Catalyst 4507R+E 7-slot Chassis with 48Gbps per slot
Cisco Catalyst 4500 E-Series Supervisor Engine 7-E, 848Gbps
Cisco Catalyst 4500 E-Series 24-port GbE SFP Fiber Module
Cisco Catalyst 4500 E-Series 12-port 10GbE SFP+ Fiber Module
Cisco Catalyst 3750-X Series Stackable 12 GbE SFP ports
Cisco Catalyst 3750-X Series Two 10GbE SFP+ and Two GbE SFP ports network module
Cisco Catalyst 3750-X Series Four GbE SFP ports network module
Так же можно использовать эти модели:
Cisco Catalyst 3560-X Series Standalone 48 Ethernet 10/100/1000 PoE+ ports
Cisco Catalyst 3560-X Series Standalone 24 Ethernet 10/100/1000 PoE+ ports
Однако, следует учитывать, что это Stand-Alone коммутаторы, т.е. не поддерживают технологию стекирования (в отличии от 3750-X), а значит высокопроизводительная и отказоустойчивая конфигурация не доступа при использовании коммутаторов этой модели.
Угрозы
Уровень распределения включает в себя следующие технологии защиты:
- Контроль доступа - атаки на корпоративные ресурсы ограничиваются политиками безопасности (списки доступа)
- Защита от IP spoofing-а
Как можно заметить, защита от угроз является второстепенной функцией уровня распределения. Основные функции описаны выше.
Рекомендации по дизайну
Уровень распределения является очень важным звеном в работе всей сетевой инфраструктуры и требует высокопроизводительного, отказоустойчивого исполнения.
Модель Cisco SBA LAN предполагает использование технологии стекирования и агрегированных соединений межу сетевыми устройствами, в то время как традиционная модель использует принцип избыточности (redundant).
Рис. 8. Новая модель SBA LAN
Рис. 9. Традиционная Избыточная модель
Новая модель SBA использует агрегированные каналы между устройствами уровня доступа и уровня распределения (с использование таких протоколов как EtherChannel) одновременно обеспечивая отказоустойчивость и более высокую производительность. Агрегированный канал является объединением 2-х, 3-х или более физических (проводных) соединений в одно логическое. При этом все соединения передают информацию, что существенно увеличивает пропускную способность канала (Рис. 8). В случае отказа одного из соединений, входящего в агрегированный канал, информация по прежнему передается по другим исправным соединениям без каких либо перерывов в работе сети. Это выгодное отличие от традиционной Избыточной модели в которой блокируются дополнительные соединения (протокол STP, RSTP) для предотвращения петель (Рис. 9). Таким образом при использовании традиционной модели производительность не увеличивается, реализуется только отказоустойчивость.
Коммутаторы уровня распределения объединяются в стек (с использованием таких технологий как StackWise Plus). Агрегированный канал образуется при объединении портов разных коммутаторов стека (Рис. 10). Другими словами, логический интерфейс образуется объединением двух (или более) портов, при этом один порт принадлежит первому коммутатору стэка, а второй порт - второму. Оба порта участвуют в передаче трафика. Таким образом оказываются задействованными все устройства, обеспечивая высокую производительность и отказоустойчивость.
Рис. 10. Объединение портов стека коммутаторов в один PortChannel
В традиционной Избыточной (Redundant) модели сетевой трафик передает только одно устройство. Второе устройство становится активным только при падении первого, либо при отказе одного из активных соединений (сработает технология STP).
Альтернативы
Для снижения затрат и общего числа устанавливаемых устройств можно объединить уровень распределения с уровнем ядра, если это позволяют размеры сети и требования к пропускной способности. Это довольно частая практика. Уровень распределения выступающий в качестве уровня ядра называется Collapsed core (Рис. 11).
Рис. 11. Уровень распределения в качестве уровня ядра (Collapsed core)
В качестве альтернативного оборудования можно выбрать решения компании Juniper. Данная компания является основным конкурентом компании Cisco в корпоративном сегменте. Коммутаторы Juniper немного дешевле, однако если в сетевой инфраструктуре преобладают коммутаторы (а так же межсетевые экраны, IPS, VPN-шлюзы) компании Cisco, то не стоит “разводить зоопарк” из оборудования ради небольшой экономии. Гораздо проще управлять сетями, построенными на оборудовании одного вендора (особенно если это касается оборудования компании Cisco). Так же стоит учесть важность поддержки технологии стекирования.
Одним из самых дешевых решений являются коммутаторы компании D-Link. К примеру модель DGS-3120-24PC/B1ARI - L3 коммутатор, поддерживающий технологию стекирования.
0 коммент.:
Отправить комментарий