Основы организации сетей CISCO т.2 - Вито Амато
.pdf
тям часто передаются конфиденциальные данные. Защита конфиденциальной информации тре- бует ограничения доступа к сети. Проблема, вызванная совместным использованием локальных сетей, состоит в том, что в такую сеть можно относительно легко проникнуть Подключившись к активному порту, вторгшийся без разрешения в сеть пользователь получает доступ ко всем дан- ным, передаваемым по сегменту. При этом чем больше группа, тем больше потенциальная угро- за несанкционированного доступа.
Одним из эффективных в финансовом отношении и легко административно реализуемых методов повышения безопасности является сегментация сети на большое количество широко- вещательных групп, как показано на рис. 3.8. Это позволяет сетевому администратору:
∙ограничить количество пользователей в группе виртуальной сети;
∙запретить другим пользователям подсоединение без предварительного получения разреше- ния от приложения, управляющего виртуальной сетью;
∙ установить конфигурацию всех неиспользуемых портов в принимаемое по умолчанию состояние низкой активности VLAN.
Реализовать сегментацию такого типа относительно просто. Порты коммутатора группиру- ются на основе типа приложений и приоритетов доступа. Приложения и ресурсы, доступ к кото- рым ограничен, обычно размещаются в защищенной группе виртуальной сети. Маршрутизатор ограничивает доступ в эту группу в соответствии с конфигурацией коммутаторов и маршрути- заторов. Ограничения доступа могут основываться на адресах станций, типах приложений или типах протоколов.
Защищенная виртуальная сеть
Рис 3.8. Виртуальные сети позволяют использовать брандмауэры, ограничить доступ индивидуальных пользователей и уве-
домляют сетевого менеджера о несанкционированном вторжении в сеть
Обеспечить большую безопасность можно путем использования списков управления доступом (access control list, ACL), которые описаны в главе 6, "Списки управления доступом (ACL)" Они особенно полезны при обмене информацией между отдельными локальными сетя-
ми В защищенной виртуальной сети маршрутизатор ограничивает доступ к сетевой информации посредством задания соответствующей конфигурации коммутаторов и маршрутизаторов. Огра- ничения доступа могут основываться на адресах станций, типах приложений, типах протоколов
или даже на времени суток
Экономия финансовых средств за счет использования уже существующих концентраторов
За последние несколько лет сетевые администраторы установили большое количество кон- центраторов. Многие из этих устройств заменяются ныне новыми. Поскольку сетевые приложе-
ния требуют все большей полосы пропускания и большей эффективности непосредственно на рабочем месте, эти концентраторы по-прежнему исполняют полезные функции во многих суще- ствующих сетях. Сетевые менеджеры могут сэкономить средства, подсоединяя уже сущест-
вующие концентраторы к коммутаторам Как показано на рис 3 9, каждый сегмент концентратора, соединенный с коммутатором, мо-
жет быть назначен только одной группе виртуальной сети. Если какую-либо станцию необхо- димо перевести в другую виртуальную сеть, то эта станция должна быть заново подсоединена к соответствующему концентратору.
Взаимные связи между коммутаторами позволяют выполнять обмен информацией между коммутирующими портами и автоматически определять соответствующие принимающие сег- менты. Чем больше групп создается на совместно используемом концентраторе, тем выше сте-
пень микросегментации (microsegmentation) и тем большей гибкостью обладает виртуальная сеть при объединении отдельных пользователей в группы.
Путем подсоединения концентраторов к коммутаторам можно установить конфигурацию, при которой концентраторы являются частью архитектуры виртуальной сети. При этом стано- вится возможным совместное использование потоков данных и сетевых ресурсов, непосредст- венно подсоединенных к коммутирующим портам виртуальной сети.
Резюме
∙Коммутатор Ethernet предназначен для физической сегментации локальной сети, в результате которой образуются отдельные коллизионные домены (collision domain).
∙Обычная локальная сеть конфигурируется в соответствии с физической инфраструктурой сети.
∙В локальных сетях, использующих коммутирующие устройства, создание виртуальной се- ти представляет собой эффективный в финансовом и производственном отношении спо-
соб |
группировки |
пользователей |
сети |
в |
виртуальные |
рабочие |
группы независимо от их физического расположения. |
|
|
|
|||
∙Виртуальные сети функционируют на 2-м и 3-м уровнях эталонной модели OSI.
∙Важной особенностью архитектуры VLAN является ее способность передавать информацию между взаимосвязанными коммутаторами и маршрутизаторами, подсоединенными к корпоративной магистрали.
∙Проблемы, возникающие при совместном использовании локальных сетей и коммутаторов, побуждают к замене традиционных конфигураций локальных сетей ком- мутируемыми конфигурациями виртуальных сетей.
∙Наиболее общими подходами при осуществлении логической группировки пользователей в отдельные виртуальные сети являются фильтрация фреймов, использование фреймовых тегов и идентификация фреймов.
∙Существуют три основных типа виртуальных сетей: сети с центральным портом, статиче- ские виртуальные сети и динамические виртуальные сети.
∙Среди достоинств виртуальных сетей можно выделить следующие.
∙ Использование виртуальных сетей позволяет уменьшить административные затраты, связанные с решением вопросов переезда, добавления новых пользователей и изменений в структуре сети.
∙Они обеспечивают управление широковещанием.
∙ |
Виртуальные сети обеспечивают защиту информации |
в рабочих |
группах и во |
|
всей сети. |
|
|
∙ |
Виртуальные сети позволяют сэкономить средства |
за счет |
использования |
|
уже существующих концентраторов. |
|
|
Контрольные вопросы
Для проверки правильности понимания тем и понятий, описанных в настоящей главе, реко- мендуется ответить на приведенные ниже вопросы. Ответы приведены в приложении А.
1. |
Опишите преимущества виртуальных сетей. |
2. |
Какое влияние оказывает использование виртуальных сетей на широковещание |
|
в традиционных локальных сетях? |
3.Каковы три основных способа реализации виртуальных сетей?
4.Какова цель использования фреймовых тегов в виртуальных сетях?
5.Термин расширяемая микросегментация означает следующее.
A.Возможность расширения сети без создания коллизионных доменов.
B.Возможность подключения большого числа хостов к одному коммутатору.
C.Возможность широковещания сразу на большое количество узлов.
D.Все вышеупомянутое.
6.Коммутаторы, которые являются ключевым элементом виртуальных сетей, дают возможность выполнить следующее.
A.Сгруппировать пользователей, порты или логические адреса в виртуальной сети.
B.Принять решения о фильтрации и отправке фреймов.
C.Выполнять обмен информацией между коммутаторами и маршрутизаторами.
D.Все перечисленное.
7.Каждый сегмент__________, подсоединенный к порту ______ _, может быть назначен только одной виртуальной сети.
A.Коммутатора; концентратора.
B.Концентратора; маршрутизатора.
C.Концентратора; коммутатора.
D.Локальной сети; концентратора.
8.Что из перечисленного ниже не является достоинством статической виртуальной сети?
A.Защита сети от несанкционированного доступа.
B.Легкость установки конфигурации.
C.Легкость наблюдения за работой сети.
D. Автоматическое обновление конфигурации портов при добавлении новых станций.
9.Что из перечисленного ниже не является характерным признаком виртуальной сети?
A.ID-порт и МАС-адрес.
B.Протокол.
C.Приложение.
D.Все перечисленные понятия являются характерными признаками виртуальной сети.
10.Что из перечисленного ниже является положительным результатом использования вир- туальной сети?
A.Отсутствует необходимость конфигурирования коммутаторов.
B.Можно управлять широковещанием.
C.Можно защитить конфиденциальную информацию.
D.Могут быть преодолены физические границы, препятствующие объединению пользова- телей в группы.
Основные термины
Адрес управления доступом к передающей среде или МАС-адрес (Media Access Control, MAC). Шестибайтовое число, представляющее собой стандартизированный адрес канального уровня, необходимый каждому порту или устройству, подключенному к локальной сети. Уст- ройства сети используют эти адреса для нахождения определенных портов, а также для созда- ния и обновления таблиц маршрутизации и структур данных. МАС-адреса контролируются IEEE. Они также называются аппаратными адресами, адресами МАС-уровня или физическими адресами.
Брандмауэр (firewall). Один или несколько маршрутизаторов или серверов доступа, выпол- няющих роль буфера между частной и общей сетью. Использует список управления доступом (ACL) и другие средства для обеспечения безопасности частной сети.
Виртуальная сеть (virtual LAN, VLAN). Группа устройств в локальной сети, которые сконфигурированы (с использованием управляющего программного обеспечения) таким обра- зом, что они могут обмениваться информацией, как если бы они были подключены к одному кабелю. В действительности они могут быть расположены в разных сегментах локальной сети. Структура таких сетей является чрезвычайно гибкой, поскольку она базируется не на физиче- ском, а на логическом соединении устройств.
Виртуальная сеть с центральным портом (port-centric VLAN). Виртуальная сеть, все уз-
лы которой присоединены к одному порту коммутатора.
Групповая или многоадресная передача (multicast). При таком способе передачи пакеты копируются и рассылаются по нескольким адресам, которые указаны в адресном поле пакета.
Динамическая виртуальная сеть (dynamic VLAN). Виртуальная сеть, создаваемая на ос- нове МАС-адресов, логических адресов или на типе протокола пакетов данных.
Институт инженеров по электротехнике и электронике (Institute of Electrical and Electronic Engineers, IEEE). Профессиональная организация, чья деятельность включает в себя раз- работку коммуникационных и сетевых стандартов. Сетевые стандарты ШЕЕ для локальных се- тей в настоящее время являются общепринятыми.
Коллизионный домен (collision domain). В сети Ethernet — область сети, в которой распро- страняются столкнувшиеся фреймы. Повторители и концентраторы позволяют коллизиям рас- пространяться по сети, а коммутаторы, мосты и маршрутизаторы их останавливают.
Коммутатор (switch). Сетевое устройство, которое фильтрует, перенаправляет и рассылает фреймы на основе МАС-адреса их пункта назначения. Коммутатор выполняет операции на ка- нальном уровне эталонной модели OSI.
Концентратор (hub). Аппаратное или программное обеспечение, объединяющее несколько независимых, но соединенных между собой модулей сети или сетевого оборудования. Концен- траторы могут быть активными (усиливающими сигналы, проходящие через них) или пассив- ными (такие концентраторы не усиливают, а просто пропускают сигналы через себя).
Маршрутизатор (router). Устройство сетевого уровня, использующее одну или несколько метрик для нахождения оптимального пути прохождения потока данных по сети. Маршрутиза- торы перенаправляют потоки данных от одной области сети в другую, используя для этого ин- формацию сетевого уровня. Иногда называются шлюзами (gateway), хотя это название все более и более устаревает.
Микросегментация (microsegmentation). Разделение сети на более мелкие сегменты. (Обычно осуществляется для увеличения полосы пропускания сетевых устройств).
Плоская сеть (flat network). Сеть, в которой между коммутаторами нет маршрутизаторов и представляющая собой один широковещательный домен. В такой сети широковещательные па- кеты и сообщения канального уровня посылаются каждому коммутируемому порту.
Порт (port). Интерфейс сетевого устройства (например, маршрутизатора).
Протокол (protocol). Формальное описание набора соглашений и правил, которые опреде- ляют обмен информацией между устройствами в сети.
Расширяемость (scalability). Способность сети увеличиваться без каких-либо суще- ственных изменений ее базовой структуры.
Сегмент (segment). Участок сети, ограниченный мостами, маршрутизаторами или коммута- торами.
Сетевой коммутатор (LAN switch). Коммутатор локальной сети. Высокоскоростной комму- татор, перенаправляющий пакеты между сегментами сети. Большинство коммутаторов локаль- ной сети изменяют направления движения потоков данных, анализируя МАС-адреса, содержа- щиеся в пакетах. Коммутаторы локальных сетей подразделяются на категории, в соответствии с используемым методом коммутации: с буферизацией или без буферизации пакетов. Примером коммутатора локальной сети может служить модель Cisco Catalyst 5000.
Список управления доступом (access control list, ACL). Набор ограничительных и разре- шающих директив в конфигурации маршрутизатора Cisco, для управления передачей и отправ- кой с него информации (например, для предотвращения отправки пакетов с некоторым адресом с указанного интерфейса маршрутизатора).
Статическая виртуальная сеть (static VLAN). Виртуальная сеть, в которой конфигурация портов коммутатора не изменяется.
Фрейм (frame). Логически сгруппированная информация, посылаемая через передающую среду в виде блока данных канального уровня. Этот термин часто используется по отношению к заголовку и трейлеру, окружающим данные пользователя, содержащиеся в блоке, и используе- мым для синхронизации и определения ошибок. Термины дейтаграмма, сообщение, пакет и сегмент (datagram, message, packet, segment) также используются для описания логически сгруппированных блоков информации на разных уровнях эталонной модели OSI и в различных технологических циклах.
Широковещательная лавина (broadcast storm). Нежелательная множественная ши- роковещательная передача, возникающая одновременно во всех сегментах сети. Ши-
роковещательная лавина использует всю возможную полосу пропускания и обычно вызывает простои сети.
Широковещательный домен (broadcast domain). Группа устройств, каждое из которых принимает широковещательные фреймы, отправленные с любого узла этой группы. Широкове- щательные домены обычно ограничиваются маршрутизаторами, поскольку маршрутизаторы не отправляют широковещательные фреймы.
Широковещательный пакет (broadcast packet). Пакет данных, переданный всем узлам в сети. Характеризуется особыми широковещательными адресами.
Ключевые темы этой главы
∙Объясняются цели проектирования локальных сетей
∙Описываются проблемы, возникающие при проектировании локальных сетей
∙Описывается методология проектирования сетей
∙Описан процесс подбора и анализа сетевого оборудования
∙Описан процесс проектирования первого уровня (передающие среды и топология)
∙Описан процесс проектирования второго уровня (коммутация)
∙Описан процесс проектирования третьего уровня (маршрутизация)
∙Описана документация для физической и логической реализации сетей
Глава 4
Проектирование локальных сетей
Введение
В главе 3, "Виртуальные локальные сети", описывались локальные сети (LAN, VLAN) и коммутируемое сетевое взаимодействие, сравнивались традиционные локальные сети общего доступа с коммутируемыми сетями. В предыдущей главе также обсуждались преимущества ис- пользования архитектуры коммутируемых виртуальных локальных сетей. Несмотря на усовер-
шенствования в области эффективности оборудования и повышение возможностей передающих сред, процесс проектирования сетей становится все более сложным Намечается тенденция к ис- пользованию более сложных сред, включая различные носители и межсетевые соединения за пределами управляемой сети, контролируемой одной организацией. В процессе проектирования важно постоянно помнить о совокупности этих факторов, поскольку тщательное проектирова- ние сети может уменьшить трудности, связанные с ростом и развитием сетевой среды
Тщательное проектирование сети является важнейшей предпосылкой ее быстрой и устойчи- вой работы. Если при проектировании сети допущены ошибки, то может возникнуть множество непредвиденных проблем и возможность ее роста окажется под угрозой Процесс проектирова- ния требует глубокого анализа конкретной ситуации. В настоящей главе приведен обзор про- цесса проектирования локальных сетей. Кроме того, в ней описываются цели, проблемы и мето- дология проектирования, а также процесс разработки топологии локальных сетей
________________________________________________
Вашингтонский проект: проектирование сети
Предполагается, что знания, полученные при чтении этой книги будут применяться
для проектировании сети учебного округа. Этот вымышленный учебный округ распо- ложен в городе Фениксе, штат Аризона В округе идет процесс проектирования и реа- лизации сети, в которую войдут локальные сети каждой школы и распределенная
сеть, обеспечивающая обмен данными между ними.
В этой главе начинается процесс проектирования локальной сети. Поскольку основные концепции и требования читателю уже знакомы, их можно применить на практике. В
процессе проектирования необходимо обеспечить выполнение следующих требований.
∙Предполагается, что сеть будет обслуживать различные рабочие группы — группы персонала школ и группы учащихся. Это логическое разделение станет
основной идеей проекта и потребует использования виртуальных локальных сетей. Такие сети, например, придется использовать для того, чтобы отделить компьютеры администраторов от студенческих компьютеров.
∙Частью этого проекта является также обеспечение доступа к Internet с любого компьютера школьного округа.
∙Необходим ряд серверов для облегчения интерактивной автоматизации всех административных и обучающих функций.
∙Поскольку данная реализация сети будет функционировать как минимум 7-10 лет, необходимо принять во внимание возможность 100% роста локальных сетей.
∙Полоса пропускания канала к каждому хосту должна составлять не менее 1 Мбит/с, а к каждому серверу не менее 100 Мбит/с.
∙Допускается использовать в сети только два маршрутизируемых протокола:
TCP/IP и Novell IPX.
Цели проекта локальной сети
Проектирование сети может оказаться сложной задачей. Проектирование сети включает в себя нечто большее, чем просто создание связи между компьютерами. Для того, чтобы сеть бы- ла управляемой и расширяемой требуется учесть множество особенностей. Чтобы спланировать надежную и расширяемую сеть, проектировщик должен осознавать, что каждый из основных компонентов сети предъявляет к ней свои особые требования. Даже сеть, содержащая всего 50 узлов маршрутизации, может создать целый комплекс проблем, которые ведут к непредсказуе- мым результатам. А попытка разработать и построить сеть, включающую тысячи узлов, может вызвать еще более сложные проблемы.
Первым шагом в планировании сети является определение и документирование целей проек- та. Названные цели являются специфическими для каждой организации или конкретной ситуа- ции. Однако следующие требования характерны для большинства проектов.
∙Функциональность. Прежде всего, сеть должна работать. Это означает, что она должна предоставить пользователям возможность удовлетворения их производствен- ных потребностей. Сеть должна обеспечить связь пользователей друг с другом и с приложениями с соответствующей требованиям скоростью и надежностью.
∙Расширяемость. Сеть должна обладать способностью к росту. Это означает, что пер- воначально реализованная сеть должна увеличиваться без каких-либо существенных изменений общего устройства.
∙Адаптируемость. Сеть должна быть разработана с учетом технологий будущего и не должна включать элементы, которые в дальнейшем ограничивали бы внедрение тех- нологических новшеств.
∙Управляемость. Сеть нужно сконструировать так, чтобы облегчить текущий кон- троль и управление для обеспечения стабильности ее работы.
Аспекты, указанные выше, являются специфическими для одних типов сетей и более общи- ми для других типов. В настоящей главе рассказывается как учесть эти требования в процессе проектирования.
Компоненты сетевого проекта
С появлением в последние годы высокоскоростных технологий, таких как ATM (режим асинхронной передачи) и более сложных архитектур локальных сетей, использующих коммута- цию и виртуальные локальные сети, многие организации стали обновлять свои локальные сети, планировать и внедрять новые.
Для конструирования локальных сетей под высокоскоростные технологии и муль- тимедийные приложения проектировщику необходимо учитывать следующие важнейшие ас- пекты общего проектирования сетей.
∙Функции и размещение серверов.
∙Определение коллизий.
∙Сегментация.
∙Соответствие широкополосных и широковещательных доменов.
Эти вопросы обсуждаются в следующих разделах.
Функции и размещение серверов
Одним из ключевых моментов успешного проектирования является правильное понимание функций серверов и особенностей их размещения в сети. Серверы предоставляют доступ к фай- лам, печать, связь и службы приложений, таких как обработка текстов. Серверы чаще исполь- зуются не в качестве рабочих станций, а работают под управлением специализированных опе- рационных систем, таких как NetWare, Windows NT, UNIX и Linux. В настоящее время каждый сервер обычно выделяется для выполнения одной функции, например, функции почтового или файлового сервера.
Серверы можно разделить на два отдельных класса: серверы предприятия (enterprise servers) и серверы рабочих групп (workgroup servers). Сервер предприятия поддерживает всех пользователей сети, предоставляя им различные службы, такие как электронная почта или служба доменных имен (DNS), как показано на рис. 4.1. Поскольку серверы электронной почты и DNS выполняют централизованные функции, они могут понадобиться каждому члену органи- зации (например, такой как Вашингтонский учебный округ). С другой стороны, сервер рабочей группы обслуживает определенную группу пользователей и предлагает им такие службы, как обработка текстов или совместный доступ к файлам, то есть функции, которые могут понадо- биться только некоторым группам пользователей.
Серверы предприятия должны размещаться в главной распределительной станции (main distribution facility, MDF). В этом случае поток данных на серверы предприятия будет идти только к MDF, не проходя через остальные сети. В идеальном случае серверы рабочих групп
следует размещать в промежуточных распределительных станциях (intermediate distribution facilities, IDF), no возможности ближе к пользователям, использующим приложения этих серве- ров. Для этого необходимо непосредственно соединить серверы с MDF или IDF. Если располо- жить серверы рабочих групп близко к пользователям, то поток данных будет проходить по ин- фраструктуре сети прямо к IDF, не затрагивая других пользователей в этом сегменте. Внутри MDF и IDF коммутаторы второго уровня должны иметь для этих серверов ширину полосы про- пускания не менее 100 Мбит/с.
_________________________________________________________________________
Вашингтонский проект: размещение и функции серверов
Следует разделить файловые серверы проекта на серверы предприятия и серверы рабочих групп, а затем разместить их в сети согласно ожидаемому характеру потока данных пользователей и исполняемым функциям.
∙Серверы DNS и электронной почты. В каждой узловой точке должен нахо- диться DNS-сервер, чтобы поддерживать отдельные школы, обслуживаемые
из этой точки. Каждая школа также должна иметь компьютер для DNS и служб
электронной почты (так называемый локальный почтовый офис), обслужи- вающий всех студентов и сотрудников этой школы.
∙Административный сервер. В каждой школе должен быть административ- ный сервер для аттестации и проведения экзаменов учащихся, контроля по-
сещаемости и выполнения других административных функций. Этот сервер должен использовать семейство протоколов TCP/IP и быть доступным только
для преподавателей и сотрудников школы.
∙Библиотечный сервер. В округе реализуются автоматизированная система библиотечной информации и поисковая система для интерактивного обучения
и для исследовательских целей. Этот сервер должен использовать TCP/IP в качестве протокола третьего и четвертого уровня эталонной модели OSI Сер-
вер предназначен для всех пользователей находящихся на территории любой школы округа.