Структура сети Citytelecom, компании «Филанко»
RT1 – корневой маршрутизатор каждого города, в котором есть наше присутствие (Москва, Санкт-Петербург, Воронеж, Владимир, Екатеринбург, Красноярск, Киев, Львов, Харьков, Франкфурт)
RT1.msk (корневой маршрутизатор для Москвы);
RT1.spb (корневой маршрутизатор для Санкт-Петербурга);
Для других городов соответственно.
Основные задачи RT1:
- терминация наших IP блоков (IP адресов) и их маршрутизация;
Сетевое взаимодействие с Москвой:
RT1.msk
находится на М9 (МГТС). Основное оборудование Juniper MX960
RT2.msk (Alpha)
находится на М9 (МГТС). Основное оборудование Cisco 6506
RT3.msk
агрегирующий маршрутизатор (интернет для физических и юридических лиц). Размещен в ДЦ «Буракова» Основное оборудование Juniper MX80
RT4.msk
офисный маршрутизатор, размещен в офисе, ст. м. Нагорная. Основное оборудование Microtik CCR1016-12G
RT5.msk
маршрутизатор в ДЦ «Акод». Серверы Dedication, Colocation.
Размещен в ДЦ «Акод». Основное оборудование Juniper MX80.
RT6.msk
маршрутизатор в ДЦ «Буракова» Серверы Dedication, Colocation. Размещен в ДЦ «Буракова». Основное оборудование Juniper MX80.
Пиринг
Пиринг (от англ. peering — соседство) — соглашение интернет - операторов об обмене трафиком между своими сетями, а также техническое взаимодействие, реализующее данное соглашение: соединение сетей и обмен информацией о сетевых маршрутах по протоколу BGP.
Договор обмена Интернет-трафиком между двумя и более сетями Интернет-провайдеров состоит из трёх элементов:
физическое соединение сетей
техническое взаимодействие между сетями, обмен маршрутами
коммерческие и договорные пиринговые соглашения
Интернет-провайдеры часто организуют точки обмена трафиком, то есть помещения, в которых происходит физическое соединение сетей многих операторов.
Пиринг может осуществляться через:
частное соединение по схеме «точка-точка» между двумя сетями
точку обмена трафиком, возможно, не зависящую ни от одного провайдера, где множество провайдеров обмениваются трафиком.
С коммерческой точки зрения различают:
- платный пиринг;
- бесплатный пиринг;
Обычно крупные провайдеры обмениваются трафиком между собой бесплатно, и взимают оплату за пиринг с мелких провайдеров. Мелкие провайдеры обмениваются между собой на точках обмена трафиком бесплатно.
Upstream
Upstream – тип присоединения с другими операторами связи. Существует полная и частичная связанность. Upstream для Filanco являются операторы Cogent и Level3, размещены в Германии, во Франкфурте.
Виды сетевого оборудования
Сетевое оборудование, необходимое для работы сети, делится на два вида:
- активное оборудование, к активному оборудованию относят коммутаторы, концентраторы, сетевые адаптеры, маршрутизаторы, принт-серверы и т.д.,
- пассивное оборудование, к пассивному относят розетки, кабели и кабель-каналы, патчкорды, коннекторы и прочее аналогичное оборудование. Активное оборудование предназначено для выполнения всех необходимых действий, связанных с передачей данных. В современных сетях организована пакетная передача данных, где каждый пакет наделен информацией о его местонахождении, целостности передаваемой информации и других данных, позволяющих доставить его по назначению. Активное сетевое оборудование содержит в своей памяти специальные алгоритмы, с помощью которых оно не только улавливает сигнал, но и измеряет пути, по которым передается пакет. Поскольку вариантов передачи данных в сети может быть несколько, что связано с нагрузкой на сеть и количеством занятых и свободных устройств, активное оборудование выполняет так же функцию создания каналов передачи и отвечает за распределение нагрузки на передающие устройства. Сетевые адаптеры служат для подключения устройства к локальной сети, коммутаторы и концентраторы позволяют объединить компьютеры между собой, маршрутизаторы принимают решение о пересылке пакетов между сегментами сети и т.д. Таким образом, обеспечивая построение распределенной информационной структуры, активное сетевое оборудование делает возможным передачу значительных объемов данных на большие расстояния. Пассивное оборудование отличается от активного, в первую очередь тем, что не питается непосредственно от электросети и передает сигнал без его усиления. Пассивное сетевое оборудование делится условно на две группы. Первая группа включает в себя оборудование, являющееся трассой для кабелей: кронштейны, кабельканалы и аксессуары для них, металлические лотки, закладные трубы, клипсы, гофрошланги и коммутационные шкафы. Во вторую группу входит оборудование, которое служит трактом передачи данных. Сюда относят розетки, кабели и коммутационные панели.
Сетевой концентратор или хаб (от англ. hub — центр) — устройство для объединения компьютеров в сеть Ethernet c применением кабельной инфраструктуры типа витая пара. В настоящее время, концентраторы вытеснены сетевыми коммутаторами.
Сетевые концентраторы также могли иметь разъёмы для подключения к существующим сетям на базе толстого или тонкого коаксиального кабеля. Концентратор работает на первом (физическом) уровне сетевой модели OSI, ретранслируя входящий сигнал с одного из портов в сигнал на все остальные (подключённые) порты, реализуя, таким образом, свойственную Ethernet топологию общая шина, c разделением пропускной способности сети между всеми устройствами и работой в режиме полудуплекса. Коллизии (то есть попытка двух и более устройств начать передачу одновременно) обрабатываются аналогично сети Ethernet на других носителях, устройства самостоятельно прекращают передачу и возобновляют попытку через случайный промежуток времени. Говоря современным языком, концентратор объединяет устройства в одном домене коллизий. Сетевой концентратор также обеспечивает бесперебойную работу сети при отключении устройства от одного из портов или повреждении кабеля, в отличие, например, от сети на коаксиальном кабеле, которая в таком случае прекращает работу целиком.
Сетевой коммутатор (свич от англ. switch — переключатель) — устройство, предназначенное для соединения нескольких узлов компьютерной сети в пределах одного или нескольких сегментов сети. Коммутатор работает на канальном (втором) уровне модели OSI. Коммутаторы были разработаны с использованием мостовых технологий и часто рассматриваются как многопортовые мосты. Для соединения нескольких сетей на основе сетевого уровня служат маршрутизаторы.
В отличие от концентратора, который распространяет трафик от одного подключенного устройства ко всем остальным, коммутатор передаёт данные только непосредственно получателю (исключение составляет широковещательный трафик всем узлам сети и трафик для устройств, для которых не известен исходящий порт коммутатора). Это повышает производительность и безопасность сети, избавляя остальные сегменты сети от необходимости (и возможности) обрабатывать данные, которые им не предназначались.
Принцип работы коммутатора
Коммутатор хранит в памяти таблицу коммутации, в которой указывается соответствие MAC-адреса узла порту коммутатора. При включении коммутатора эта таблица пуста, и он работает в режиме обучения. В этом режиме, поступающие на какой-либо порт данные передаются на все остальные порты коммутатора. При этом коммутатор анализирует кадры (фреймы) и, определив MAC-адрес хоста-отправителя, заносит его в таблицу на некоторое время. Впоследствии, если на один из портов коммутатора поступит кадр, предназначенный для хоста, MAC-адрес которого уже есть в таблице, то этот кадр будет передан только через порт, указанный в таблице. Если MAC-адрес хоста-получателя не ассоциирован с каким-либо портом коммутатора, то кадр будет отправлен на все порты, за исключением того порта, с которого он был получен. Со временем коммутатор строит таблицу для всех активных MAC-адресов, в результате трафик локализуется. Стоит отметить малую латентность (задержку) и высокую скорость пересылки на каждом порту интерфейса.
Маршрутизатор (от англ. router,проф. жарг. роутер) — специализированный сетевой компьютер, имеющий как минимум один сетевой интерфейс и пересылающий пакеты данных между различными сегментами сети, связывающий разнородные сети различных архитектур, принимающий решения о пересылке на основании информации о топологии сети и определённых правил, заданных администратором.
Маршрутизатор работает на более высоком «сетевом» уровне 3 сетевой модели OSI, нежели коммутатор (или сетевой мост) и концентратор (хаб), которые работают соответственно на уровне 2 и уровне 1 модели OSI.
Обычно маршрутизатор использует адрес получателя, указанный в пакетных данных, и определяет по таблице маршрутизации путь, по которому следует передать данные. Если в таблице маршрутизации для адреса нет описанного маршрута, пакет отбрасывается.
Существуют другие способы определения маршрута пересылки пакетов. Например, используется адрес отправителя, используемые протоколы верхних уровней и другая информация, содержащаяся в заголовках пакетов сетевого уровня. Нередко маршрутизаторы могут осуществлять трансляцию адресов отправителя и получателя, фильтрацию транзитного потока данных на основе определённых правил с целью ограничения доступа, шифрование/дешифрование передаваемых данных и т. д.
Принцип работы маршрутизатора
Обычно маршрутизатор использует адрес получателя, указанный в пакетных данных, и определяет по таблице маршрутизации путь, по которому следует передать данные. Если в таблице маршрутизации для адреса нет описанного маршрута, пакет отбрасывается. Существуют и другие способы определения маршрута пересылки пакетов, когда, например, используется адрес отправителя, используемые протоколы верхних уровней и другая информация, содержащаяся в заголовках пакетов сетевого уровня. Нередко маршрутизаторы могут осуществлять трансляцию адресов отправителя и получателя, фильтрацию транзитного потока данных на основе определённых правил с целью ограничения доступа, шифрование/расшифрование передаваемых данных и т. д.
Таблица маршрутизации содержит информацию, на основе которой маршрутизатор принимает решение о дальнейшей пересылке пакетов. Таблица состоит из некоторого числа записей — маршрутов, в каждой из которых содержится адрес сети получателя, адрес следующего узла, которому следует передавать пакеты. Метрика, степень доверия к источнику маршрута и некоторый вес записи — метрика. Метрики записей в таблице играют роль в вычислении кратчайших маршрутов к различным получателям. В зависимости от модели маршрутизатора и используемых протоколов маршрутизации, в таблице может содержаться некоторая дополнительная служебная информация.
Таблица маршрутизации может составляться двумя способами:
статическая маршрутизация — когда записи в таблице вводятся и изменяются вручную. Такой способ требует вмешательства администратора каждый раз, когда происходят изменения в топологии сети. С другой стороны, он является наиболее стабильным и требующим минимума аппаратных ресурсов маршрутизатора для обслуживания таблицы.
динамическая маршрутизация — когда записи в таблице обновляются автоматически при помощи одного или нескольких протоколов маршрутизации — RIP, OSPF, IGRP, EIGRP, IS-IS, BGP, и др. Кроме того, маршрутизатор строит таблицу оптимальных путей к сетям назначения на основе различных критериев — количества промежуточных узлов, пропускной способности каналов, задержки передачи данных и т. п. Критерии вычисления оптимальных маршрутов чаще всего зависят от протокола маршрутизации, а также задаются конфигурацией маршрутизатора. Такой способ построения таблицы позволяет автоматически держать таблицу маршрутизации в актуальном состоянии и вычислять оптимальные маршруты на основе текущей топологии сети. Однако динамическая маршрутизация оказывает дополнительную нагрузку на устройства, а высокая нестабильность сети может приводить к ситуациям, когда маршрутизаторы не успевают синхронизировать свои таблицы, что приводит к противоречивым сведениям о топологии сети в различных её частях и потере передаваемых данных.
VLAN
VLAN (Virtual Local Area Network) — группа устройств, имеющих возможность взаимодействовать между собой напрямую на канальном уровне, хотя физически при этом они могут быть подключены к разным сетевым коммутаторам. И наоборот, устройства находящиеся в разных VLAN'ах, невидимы друг для друга на канальном уровне. Даже если они подключены к одному коммутатору, и связь между этими устройствами возможна только на сетевом и более высоких уровнях.
В современных сетях VLAN — главный механизм для создания логической топологии сети, не зависящей от её физической топологии. VLAN'ы используются для сокращения широковещательного трафика в сети. Имеют большое значение с точки зрения безопасности, в частности как средство борьбы с ARP-spoofing'ом. ARP-spoofing (ARP-poisoning) — техника сетевой атаки, применяемая преимущественно в Ethernet, но возможная и в других, использующих протокол ARP сетях, основанная на использовании недостатков протокола ARP и позволяющая перехватывать трафик между узлами, которые расположены в пределах одного широковещательного домена. Относится к числу spoofing-атак.
VLAN позволяет:
Гибкое разделение устройств на группы:
Как правило, одному VLAN соответствует одна подсеть. Устройства, находящиеся в разных VLAN, будут находиться в разных подсетях. Но в то же время VLAN не привязан к местоположению устройств и поэтому устройства, находящиеся на расстоянии друг от друга, все равно могут быть в одном VLAN независимо от местоположения;
Уменьшение количества широковещательного трафика в сети:
Каждый VLAN — это отдельный широковещательный домен. Например, коммутатор — это устройство 2 уровня модели OSI. Все порты на коммутаторе, где нет VLANов, находятся в одном широковещательном домене. Создание VLAN на коммутаторе означает разбиение коммутатора на несколько широковещательных доменов. Если один и тот же VLAN есть на разных коммутаторах, то порты разных коммутаторов будут образовывать один широковещательный домен;
Увеличение безопасности и управляемости сети:
Когда сеть разбита на VLAN, упрощается задача применения политик и правил безопасности. С VLAN политики можно применять к целым подсетям, а не к отдельному устройству. Кроме того, переход из одного VLAN в другой предполагает прохождение через устройство 3 уровня, на котором, как правило, применяются политики, разрешающие или запрещающие доступ из VLAN в VLAN.
VLAN'ы могут быть настроены на коммутаторах, маршрутизаторах, других сетевых устройствах и на хостах. Однако, для объяснения VLAN лучше всего подойдет коммутатор.
Коммутатор — устройство 2го уровня и изначально все порты коммутатора находятся, как правило, в VLAN 1 и, следовательно, в одном широковещательном сегменте.
Это значит, что если один из хостов, подключенных к коммутатору, отправит широковещательный фрейм, то все остальные хосты подключенные к нему также получат его.
В этом разделе рассматривается коммутатор с настройками по умолчанию, то есть все его порты находятся во VLAN 1. Для того чтобы передавать фреймы, коммутатор использует таблицу коммутации. Изначально, после включения коммутатора таблица пуста. Заполняет её коммутатор автоматически, при получении фреймов от хостов. Когда коммутатор получает фрейм от хоста, он сначала передает его в соответствии со своими правилами (описаны ниже), а затем запоминает MAC-адрес отправителя во фрейме и ставит его в соответствие порту, на котором он был получен. Например, для изображенной схемы, итоговая таблица коммутации будет иметь такой вид (после того как все хосты передавали какой-то трафик):
Порт коммутатора |
MAC-адрес хоста |
1 |
A |
2 |
B |
3 |
C |
4 |
D |
Когда таблица заполнена, коммутатор знает на каких портах у него находятся какие хосты и передает фреймы на соответствующие порты. Unicast фрейм с MAC-адресом получателя для которого у коммутатора нет записи в таблице коммутации, называется unknown unicast.