Анализ иерархии сети и выбор основных критериев сети
Иерархическая модель сети была предложена инженерами компании Cisco Systems [8], которая стала де факто стандартом, при проектировании сети. Согласно этой модели, сеть разбивается на три логических уровня: ядро сети (Core layer: высокопроизводительные устройства, главное назначение — быстрый транспорт), уровень распространения (Distribution layer: обеспечивает применение политик безопасности, QoS, агрегацию и маршрутизацию в VLAN, определяет широковещательные домены), и уровень доступа (Access-layer: как правило, L2 коммутаторы, назначение: подключение конечных устройств, маркирование трафика для QoS, защита от колец в сети (STP) и широковещательных штормов, обеспечение питания для PoE устройств).
Построение сети осуществляется с понимания какую сеть мы должны получить в итоге, определим основные критерии, которые нам необходимы. Первый критерий – это безопасность сети. За этот пункт у нас в первую очередь отвечают системы IDS, DPI, межсетевые экраны, но помимо этих систем сюда необходимо включить так же систему мониторинга и оповещения сотрудников ИТ отдела и сотрудников отдела безопасности, инструкции для сотрудников при возникновении типовых сетевых атак, а также наличие сертификатов ФСТЭК для используемого сетевого оборудования.
Второй критерий – это управляемость сети, сюда входят различные виды документаций сети, наличие сертифицированных специалистов по используемому оборудованию.
|
|
ГЛАВА 2. Построение сети предприятия на основе active directory
Определимся с используемым оборудованием, при обработки персональных данных оборудование и программное обеспечение, которое взаимодействует с персональными данными, должно пройти сертификацию ФСТЭК, орган регулирующий использование технических средств защиты информации. Основными средствами, которые у нас могут быть задействованы при обработки персональных данных, это маршрутизатор, межсетевой экран и операционные системы. В качестве межсетевого экрана будет использоваться Cisco ASA 5525-X, подходит для обработки 3-го класса защищенности, маршрутизатор Cisco 7206VXR для центрального офиса и дата центра. Cisco 2911R для филиалов, данное оборудование прошло сертификация ФСТЭК и подходит под наши цели, ПО Active Directory на базе серверов 2008 R2 тоже прошло сертификацию.
Перед началом планирования, выберем как будет осуществляться доступ в сеть интернет.
Мы можем использовать адреса, которые выдал нам провайдера или же получить независимые IP адреса, от этого зависит на каком из устройств сети будет выполняться NAT (Network Address Translation). В первом случаем сетевую трансляцию будут выполнять маршрутизаторы, во втором маршрутизация будет происходить на Cisco ASA.
|
|
В связи с исчерпанием адресного пространства IPv4 заявки на получение независимых IP адресов в RIPE NCC не принимаются с сентября 2012 года. В настоящее время PI адреса можно получить через трансфер (передачу) части или всего адресного пространства из одной организации в другую. Так как прямой необходимости использовать независимые IP адреса у нас нет, то мы будем использовать адреса, которые выдадут нам провайдеры.
Общая схема сети предприятия
Основу сети будет составлять центральный офис (HQ) и центра обработки данных (Data Center), они находятся в одном населенном пункте соединены между собой оптоволоконным кабелем. Так же у компании есть сеть филиалов (Branch) по России, схема сети у всех филиалов одинаковая, поэтому опишем один филиал, остальные будут отличаться только IP адресами. Общая схема сети представлена на рисунке 2.1.
Рисунок 2.1 – Общая схема сети
Структура филиала компании
Сеть любого филиала будет состоять из коммутатора ядра, маршрутизатора и межсетевого экран, так же там, помимо пользователей, будет находится один сервер с контроллером Active Directory и файловый сервер, схема на рисунке 2.2.
Рисунок 2.2 – Структура сети филиала
|
|
Физическая структура сети
Рассмотрим физическую структуру центрального офиса и дата центра, рисунок 2.3. Структура состоит из двух маршрутизаторов, один в центральном офисе, второй в дата центре, из двух коммутаторов ядра, которые соединены между собой оптоволоконным кабелем, двух серверных ферм, в офисе и дата центре и пользователями центрального офиса.
Как мы видим структура довольно простая, у нас нет Distribution уровня, его функции берет на себя коммутатор ядра, но при расширении сети его можно будет добавить для того что бы снять нагрузку с коммутатора ядра, это в основном касается центрального офиса.
Так же здесь мы видим точку отказа нашей сети, это канал связи между центральным офисом и дата центром, ее необходимо зарезервировать с помощью другого канала, например, беспроводной канал или канал через другого оператора связи.
Рисунок 2.3 – Физическая структура сети
Логическая структура сети
Рассмотрим логическую структуру сети, на рисунке 2.4, она будет сильно отличаться, от физической. На маршрутизаторах получается функциональное разделение на WAN Edge [10] и Internet Edge [11].
Рисунок 2.4 – Логическая структура сети
|
|
WAN Edge это два физических маршрутизатора которые будут отвечать за связанность сети, они будут организовывать DMVPN с филиалами, будут является ядром динамической маршрутизации.
Internet Edge состоит из виртуального маршрутизатора, который будет осуществлять маршрутизацию трафика в сеть Internet и осуществлять NAT.
Логически маршрутизатор получен с помощью протокола HSRP. Данный протокол объединяет два наших физических маршрутизатора в один логический. У логического маршрутизатора есть виртуальный один IP адрес который обрабатывает входящие пакеты, он одинаковый на обоих маршрутизаторах, которые работают в режиме Active/Standby, по умолчанию активным считается маршрутизатор, установленный в центральном офисе, так как ему будет установлен наивысший приоритет. Активный и резервный маршрутизаторы обмениваются hello-сообщениями, через определенный промежутки времени. Если таймер сообщения прошел, то резервный маршрутизатор становится активным и начинает обрабатывать пакеты.
Вторым устройством Internet Edge выступает межсетевой экран Cisco ASA работающий в режиме Active/Standby Failover, он будет контролировать доступ к серверным фермам и сети Internet, осуществлять функцию IPS и будут являться шлюзом для мобильных клиентов.
При работе Cisco ASA в режиме Active/Standby Failover, активной будет считаться, как и в случае с маршрутизатором, ASA установленная в центральном офисе, это снизит нагрузку по передаче данных на канал связи между центральным офисом и дата центром. Так же существует дополнительные режимы работы ASA Failover, первый Statefull failover - с сохранением текущего состояния: обе ASA обмениваются информацией о состоянии сеансов по выделенному каналу связи (Statefull Failover Link), и если какая-либо из ASA выйдет из строя, то другая подхватит существующие сеансы и продолжит работу, второй Stateless failover - когда при отказе основной все сеансы связи сбрасываются; активируется резервная ASA, соединения для всех сеансов устанавливаются заново (использует Failover Link). У нас будет использоваться первый вариант, так как некоторые сервисы критичны к разрыву сеанса.
Следующим объектом на схеме является коммутатор ядра, на нем будет происходить маршрутизация трафика между VLAN пользователей и осуществляться маршрутизация трафика на Cisco ASA.
Прохождение трафика
На данной схеме рисунок 2.5, указано как будет проходить трафик в нашей сети. Мы видим, что весь трафик из пользовательских сетей при доступе к серверам или в сеть Internet будет проходить через ASA. Трафике между пользователями будет идти через ядро сети.
Рисунок 2.5 – Схема прохождения трафика
Маршрутизация
Основным протоколом динамической маршрутизации будет использоваться протокол OSPF. Он позволит связать между собой сети центрального офиса, дата центра и филиалов.
Структура протокола OSPF подразумевает под собой разбиение сети на зоны (area). При разделении автономной системы на зоны, маршрутизаторам, принадлежащим к одной зоне, неизвестна информация о детальной топологии других зон.
Разделение на зоны позволяет:
· Снизить нагрузку на ЦПУ маршрутизаторов за счет уменьшения количества перерасчетов по алгоритму SPF
· Уменьшить размер таблиц маршрутизации (за счёт суммирования маршрутов на границах зон)
· Уменьшить количество пакетов обновлений состояния канала.
При использовании протокола OSPF, всегда должна существовать магистральная зона (backbone area), эта хона является ядром сети, к ней подключаются все остальные зоны. В нашем случае магистральная зона будет образована двумя маршрутизаторами, в центральном офисе и дата центре. Зона с номер 1 зарезервирована для центрального офиса, зоны со 2 по 100 для филиалов. Схема OSPF располагается на рисунке 2.6. Поскольку у нас не используется протокол BGP, то для выхода в сеть Internet, будет использоваться статические маршруты. Для пользователей центрального офиса шлюзом по умолчания (Default gateway) является ядро, для ядра и серверов ASA, и ASA в конце будет пересылать пакеты на виртуальный роутер, каналом, который будет передавать трафик на маршрутизатор ISP.
Рисунок 2.6 – Схема маршрутизации
Дата добавления: 2018-05-12; просмотров: 608; Мы поможем в написании вашей работы! |
Мы поможем в написании ваших работ!