1. Обобщенная структура территориально распределенной корпоративной сети Типовые методы объединения отдельных сетей офисов в единую кспд

14
5.Многоуровневая структура компьютерной сети здания: ядро,
уровни распределения, уровни доступа.
Современная сеть создается на основе трех уровней: ядра (Core), распределения (Distribution) и доступа
(Access), как это показано на рисунке На уровне доступа обеспечивается подключение конечных рабочих станций. На уровне распределения реализуется маршрутизация пакетов и их фильтрация (на основе списков доступа и т. п.). Задача оборудования уровня ядра — максимально быстро передать трафик между оборудованием уровня распределения.
Если рассматривать типовую сеть небольшой организации, занимающей несколько этажей одного здания, то уровень распределения будет соответствовать оборудованию, объединяющему коммутаторы каждого этажа, а уровень ядра — активному оборудованию, размещаемому обычно в главной серверной.
Уровень доступа (Access Layer). Уровень доступа является точкой входа в сеть для пользователей и сетевых устройств (принтеры, сканеры, ip-телефоны и т.д.). Доступ как проводной, так и беспроводной
Устройства уровня доступа это, как правило, коммутаторы второго уровня (L2) модели OSI, т.е без функции маршрутизации. Коммутаторы осуществляют первичное сегментирование сети (технология VLAN). Однако в некоторых случаях могут применяться и устройства третьего уровня (L3). Устройства уровня доступа должны предоставлять высокоскоростное проводное (Gigabit Ethernet) и беспроводное (802.11n) подключение к сети.
Уровень распределения (Distribution Layer). Уровень распределения обслуживает множество важных сервисов сети. Главной задачей уровня распределения является агрегация/объединение всех коммутаторов уровня доступа в единую сеть. Это позволяет существенно уменьшить количество соединений. Как правило, именно к коммутаторам распределения подключаются самые важные сервисы сети, другие модули сети: модуль сети Internet, модуль WAN сети, модуль дата-центра.
Устройства уровня распределения это, как правило, коммутаторы третьего уровня (L3) модели OSI.
Коммутаторы осуществляют маршрутизацию трафика между сегментами сети (между различными VLAN), а так же реализуют систему безопасности и сетевые политики (контроль доступа).
Уровень Ядра (Core Layer)
Главной задачей уровня ядра является агрегация/объединение всех коммутаторов уровня распределения в единую сеть. Это позволяет существенно уменьшить количество соединений.
Коммутаторы уровня ядра не должны выполнять каких-либо сложных действий. Их основная функция это маршрутизация трафика между модулями сети. Уровень ядра это, как правило, два коммутатора, подключение к которым осуществляется только на 3 уровне модели OSI, т.к. время сходимости на L3 уровне гораздо меньше чем на L2.
В качестве устройств уровня ядра применяются коммутаторы третьего уровня модели OSI (L3).

15

16
6.
Типовые модули иерархической структуры сети здания
«уровень доступа+уровень распределения».
1)
Multi-Tier
Коммутаторы уровня доступа работают в Layer 2, коммутаторы уровня распределения и в L2 и в L3.
Используются VLAN транки. На коммутаторах распределения используется протокол HSRP (Hot
Standby Router Protocol) или GLBP
(Gateway Load Balancing Protocol) для маршрутизации к ядру кампуса.
Есть 2 версии этого модуля – с петлями (на всех коммутаторах доступа один
VLAN) и без (разные VLAN)
2)
Virtual Switch System (VSS)
Пара коммутаторов уровня распределения объединяется в один логический коммутатор. Пропадает зависимость от spanning tree и пропадают L2 петли. Это позволяет
VLAN и подсетям покрывать несколько коммутаторов доступа без ограничений L2.
3)
Routed Access
На уровне доступа используются L3 коммутаторы. L2 транки между уровням доступа и распределения заменены на L3 point-to point соединения. Нет необходимости в
HSRP, но нельзя покрывать несколько коммутаторов доступа одним VLAN.

17
7.
Metro Ethernet, краткая характеристика

ВОЛС (Волоко нно-опти ческая ли ния переда чи) в пределах одного города

Используется технология L2 VPN Ethernet по технологии Q-in-Q.

Разделение данных между клиентами в операторских сетях MetroEthernet основано на использовании меток VLAN-ID

Для заказчика подключение к L2 VPN каналам обычно предоставляется в виде подключения к порту Ethernet (10, 100Мбит/c)

Сеть оператора связи выступает в роли «виртуального коммутатора», пересылающего пакеты между отдельными сайтами корп сети. Количество сайтов не ограничено.

Возможна организация соединения между сайтами Ethernet-транками (IEEE 802.1q)

При необходимости шифрования применяется инкапсуляция Ethernet-фреймов в
IP-пакеты, которые затем шифруются перед передачей в каналы сети Metro-
Ethernet.
8.
WAN-модуль корпоративной сети
Задача модуля – предоставление VPN доступа удаленным сайтам.
Состоит из 2 блоков: блок агрегации и блок распределения
Блок агрегации выполняет 3 функции:

WAN aggregation

VPN termination

защита модуля
Блок распределения предоставляет доступ удалѐнных сайтов от блока агрегации к ядру.

18
9.
Internet-модуль корпоративной сети
Модуль предоставляет доступ корпорации в интернет. Состоит из следующих элементов:
Service Provider блок – состоит из роутеров подключенных к интернету
Блок корп. доступа и DMZ –в него входит пара файрволов, обеспечивающая контроль доступа и глубокий анализ пакетов. Они защищают внутренние ресурсы организации от внешних угроз, ограничивая доступ из интернета. В DMZ находятся такие службы, как
DNS, HTTP, FTP, E-mail. Файрвол веб-приложений так же находится в DMZ. Он предоставляет защиту от атак, основанных на приложениях.
Блок удаленного доступа – предоставляет защищенный доступ удаленным работникам.
Для этого желательно использовать отдельную пару файрволов.
Блок распределения – состоит из коммутаторов распределения, которые объединяют службы предоставленные предыдущими блоками. Коммутаторы находятся внутри сети и соединяются с коммутаторами ядра, предоставляя доступ другим частям корп. сети.

19
10.
Планирование IP–адресов. Бесклассовая IP-адресация, VLSM. Выделение
подсетей.
Планирование IP-адресов и выделение подсетей. До бесклассовой адресации маску можно было выбирать строго в соответствии с определенным классом. Это сильно ограничивало выбор адреса, но четко определяло, где адрес подсети, а где – хоста. Масок подсети было всего 3 типа – 255.0.0.0 для класса А, 255.
255.0.0 - В, 255.255.255.0 - С.
Маска подсети показывает, где кончается фиксированная часть адреса (некоторое число разрядов слева всегда фиксировано и называется адресом сети) и начинается переменная (адрес хоста). Поэтому иногда маску записывают не 255.255.255.0, а /24, по числу единиц слева (то есть, по числу неизменных разрядов).
Планирование. Выбираем класс сети, выбираем адрес из следующего списка:
Class
Private Address Range
A
10.0.0.0 o 10.255.255.255
B
172.16.0.0 to 172.31.255.255
C
192.168.0.0 to 192.168.255.255
Класс также строго определяет нам маску всей сети, к ней мы можем потом приписывать единицы для создания подсетей.
Предположим, мы взяли сеть 172.16.0.0. У нас есть два свободных октета (байта), которые нужно разделить – часть бит будет на подсеть, часть – на хост. Пусть у нас большая контора, и мы решили выделить 1 байт на подсеть и один на хосты.
172.16.1.0 – это адрес всей подсети, не может быть назначен хосту, а 1.255 – широковещательный. С учетом всех этих ограничений имеем следующим образом распланированные подсети и адреса:
Бесклассовая IP-адресация
Из-за того, что сеть на предприятие можно брать только жестко из какого-то класса, и ввели бесклассовую адресацию – все сети определяются только маской.
Технология переменной длины маски подсетей называется VLSM.

20
Пример подсети 192.0.2.32/27 в бесклассовой записи:
Октеты IP-адреса
192 0
2 32
Биты IP-адреса
1 1 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 1 0 0 0 1 0 0 0 0 0
Биты маски подсети
1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 0 0 0 0 0
Октеты маски подсети
255 255 255 224
В данном примере видно, что в маске подсети 27 бит слева выставлены в единицу. В таком случае говорят о длине префикса подсети в 27 бит и указывают через косую черту (знак /) после базового адреса.
В системах, использующих классы, маршрутизатор определяет класс адреса и затем разделяет адрес на октеты сети и октеты хоста, базируясь на этом классе. В CIDR маршрутизатор использует биты маски для определения в адресе сетевой части и номера хоста. Граница разделения адреса может проходить посреди октета.
CIDR значительно улучшает масштабируемость и эффективность IP по следующим пунктам:
- гибкость;
- экономичное использование адресов в выделенном диапазоне;
- улучшенная агрегация маршрутов;
- Supernetting - комбинация непрерывных сетевых адресов в новый адрес надсети, определяемый маской.
CIDR позволяет маршрутизаторам агрегировать или суммировать информацию о маршрутах. Они делают это путём использования маски вместо классов адресов для определения сетевой части IP адреса. Это сокращает размеры таблиц маршрутов, так как используется лишь один адрес и маска для представления маршрутов ко многим подсетям.
Маска переменной длины (Variable-Length Subnet Mask (VLSM)) позволяет организации использовать более одной маски подсети внутри одного и того же сетевого адресного пространства.
Кроме того внедрение маски сети переменной длины позволяет значительно уменьшить объем таблицы маршрутизации для маршрутизаторов организации.

21
11.
Сегментирование сети на подсети с использованием маршрутизаторов.
Общая схема:
Первая подсеть соединяется со второй через маршрутизатор, который ставится как шлюз по умолчанию на всех компах. В таблице маршрутизации прописывается 2 строчки
– пишем, какой сетевой интерфейс смотрит в какую сеть.
Бесклассовая междоменная маршрутизации (Classless Inter-Domain Routing - CIDR).
Поддержка маршрутизаторами технологии наибольшего совпадения сводится к выполнению следующего правила: маршрут в таблице маршрутизации с наибольшим расширенным сетевым префиксом описывает меньший набор получателей, чем тот же маршрут с коротким расширенным сетевым префиксом. В результате при передаче трафика маршрутизатор должен выбирать маршрут с наибольшим расширенным сетевым префиксом.
Пример работы технологии наибольшего совпадения
Получатель 11.1.2.5 00001011.00000001.00000010.00000101
Маршрут #1 11.1.2.0/24 00001011.00000001.00000010.00000000
Маршрут #2 11.1.0.0/16 00001011.00000001.00000000.00000000
Маршрут #3 11.0.0.0/8 00001011.00000000.00000000.00000000
При наличии нескольких маршрутов выбираем наиболее точный – нужно идти в третий.
Необходимо сделать одно важное замечание. Так как адрес получателя совпадает c тремя маршрутами, он должен быть присвоен хосту, который подключен к подсети
11.1.2.0/24. Если адрес 11.1.2.5 присвоен хосту, который связан с другими подсетями, маршрутизатор не будет передавать трафик этому хосту, так как технология наибольшего совпадения предполагает, что последний является частью подсети 11.1.2.0. Наивысшего внимания требует присвоение адресов хостам с учетом особенностей работы технологии наибольшего совпадения.
Иерархическая маршрутизация, предусмотренная протоколом ОБРР, требует, чтобы адреса, присвоенные хостам, отражали актуальную сетевую топологию. Это уменьшает количество маршрутной информации, так как набор адресов, назначенных подсетям региона, можно свести в одно сообщение об обновлении. Иерархическая маршрутизация позволяет выполнять это рекурсивно в различных точках внутри топологии маршрутизации. Если адреса не соответствуют топологии, то нельзя выполнить обобщение адресной информации, и размер таблиц маршрутизации не будет уменьшаться.
Этот постулат является основополагающим при рассмотрении технологии бесклассовой маршрутизации (Classless Inter-Domain Routing - CIDR)

22
12.
VLAN
,
ы на основе маркированных (тегированных) кадров IEEE 802.1q
Виртуальная ЛВС (VLAN, Virtual LAN) – логическая группа компьютеров одной реальной ЛВС, за пределы которой не выходит любой тип трафика (broadcast, multicast и unicast). Весь трафик (широковещательный, многоадресный и одноадресный) ограничен пределами своей виртуальной сети. Администратор сети может организовать пользователей в логические группы VLAN независимо от физического расположения их рабочих станций.
Основные цели введения виртуальных сетей в коммутируемую среду:
• повышение полезной пропускной способности сети за счет локализации широковещательного (broadcast) трафика в пределах виртуальной сети;
• повышения уровня безопасности сети за счет локализации одноадресного (unicast) трафика в пределах виртуальной сети;
• формирование виртуальных рабочих групп из хостов, расположенных в разных частях здания.
VLAN на основе маркированных кадров (IEEE 802.1q)
• IEEE 802.1Q – открытый стандарт, который описывает процедуру тегирования трафика.
Коммутатор, на котором настроены виртуальные сети IEEE 802.1q, помещает внутрь кадра тег принадлежности трафика к VLAN.
• VLAN на основе маркированных кадров могут быть построены на двух и более коммутаторах.
Размер тега составляет 4 байта. Он состоит из следующих полей:
• TPID (Tag Protocol Identifier ) – идентификатор протокола тегирования. Размер поля – 16 бит. Указывает, какой протокол используется для тегирования. Для 802.1q используется значение 0x8100.
• Priority – приоритет. Размер поля – 3 бита. Используется стандартом IEEE 802.1p для задания приоритета передаваемого трафика.
• Canonical Format Indicator (CFI) – индикатор канонического формата. Размер поля – 1 бит. Указывает на формат MAC-адреса. 1 – канонический (кадр Ethernet), 0 – не канонический (кадр Token Ring, FDDI).
• VLAN ID (VID) – идентификатор VLAN. Размер поля – 12 бит. Указывает, какой виртуальной сети принадлежит кадр. Диапазон возможных значений VID от 0 до 4094.
Устройства tag-unaware (не поддерживающие стандарт IEEE 802.1q) не могут работать с кадрами, в которые вставлены метки, т.е. с устройствами tag-aware. Входящий и исходящий трафики, в зависимости от типа источника и получателя, могут быть образованы и кадрами типа tagged, и кадрами типа untagged. Коммутаторы стандарта IEEE
802.1q поддерживают как традиционные Ethernet-кадры без меток (untagged), так и кадры с метками (tagged). Трафик же внутри коммутатора всегда образуется пакетами типа tagged.
Поэтому для поддержки различных типов трафиков и для того, чтобы внутренний трафик коммутатора образовывался из тегированных пакетов, на принимаемом и передающем портах коммутатора кадры должны преобразовываться в соответствии с предопределенными правилами

23
13.
Разбиение сети на подсети с использованием коммутаторов VLAN.
Плюсы: соответствие сети L3 организационной структуре(если в этом есть необходимость)
Уменьшение количества широковещательного трафика
Упрощение задач по разделению доступа.
Минусы:
Общее усложнение сети.
Пример:
Sw1(config)# interface Vlan2 ip address 10.0.2.1 255.255.255.0 ex interface Vlan10 ip address 10.0.10.1 255.255.255.0 ex interface Vlan15 ip address 10.0.15.1 255.255.255.0 ex
14.
Диапазон идентификаторов VLAN. Native VLAN.
В стандарте 802.1Q существует понятие native VLAN. Трафик этого VLAN передается нетегированным. По умолчанию это VLAN1. Однако можно изменить это и указать другой VLAN как native.
Настройка VLAN 101 как native:
sw1(config-if)# switchport trunk native vlan 101
Теперь весь трафик принадлежащий VLAN 101 будет передаваться через транковый интерфейс нетегированным, а весь пришедший на транковый интерфейс нетегированный трафик будет промаркирован как принадлежащий VLAN 101 (по умолчанию VLAN1).
По умолчанию все порты коммутатора включены в VLAN с vlan-id 1 и именем
VLAN0001. Новым VLAN по умолчанию присваиваются имена вида VLANxxxx, где xxxx
— vlan-id, дополненный слева нулями до 4 знаков.
VLAN ID — корректный диапазон 1 — 4094.
VLAN 0001 — (native, default) по умолчанию все порты коммутатора включены в этот VLAN1
VLAN 0002-1001—нормальный диапазон
VLAN 1002-1005 — зарезервированы для Token Ring и FDDI и не должны использоваться.
VLAN ID 1006-4094 — относятся к расширенному диапазону и могут использоваться только тогда, когда коммутатор находится в прозрачном режиме VTP (то есть VTP отключен). Рекомендуется использовать не более 256 VLAN.

24