Projektowanie sieci metodą Top-Down
http://www.topdownbook.com
Wydanie w języku polskim PWN 2007
Copyright 2004 Cisco Press & Priscilla Oppenheimer
W tej części
• Część II: Projekt logiczny
– Rozdział 5: Projektowanie topologii
– Rozdział 6: Plan adresowania i nazewnictwa
– Rozdział 7: Protokoły L2 i L3
– Rozdział 8: Strategia bezpieczeństwa – Rozdział 9: Zarządzanie siecią
Topologia, a co to
• Model hierarchiczny sieci, a płaski
• Niezawodność, nadmiarowość
• Modularność
• Wejścia i wyjścia
• Chronione obrzeża
Model hierarchiczny sieci, czy płaski?
• Model płaski jest dla małych,
niezłożonych sieci, jedna firma, jeden dział, jedna sieć, tańszy
• Model hierarchiczny przeciwnie:
– Zmniejsza obciążenie urządzeń sieciowych – Ogranicza ruch rozgłoszeniowy L2 i L3 – Poprawia czytelność i ułątwia utrzymanie –Łatwiejszy do zmiany i konserwacji
–Łatwiejszy do rozbudowy
Hierarchiczny projekt sieci
Przedsiębiorstwo WAN Backbone
Campus A Campus B
Campus C
Budynek C-1 Budynek C-2
Oddział C Backbone
Rdzeń Backbone
Dystrybucja
Dostęp
Model płaski a warstwowy
Topologia płaska, nadniarowa
Headquarters in Medford
Grants Pass Branch Office
Ashland Branch
Office Klamath Falls
Branch Office
Headquarters in Medford
Ashland Branch Office Klamath Falls
Branch Office Grants Pass
Branch Office
White City Branch Office
Topologia warstwowa i nadmiarowa
Topologia kratowa
Częściowo
Full-Mesh, każdy z każdym
Kratowa hierarchiczna, typowe rozwiązanie
Centrala HQ (Rdzeń)
Odziały w terenie (Dostęp)
Biura regionalne (Dystrybucja)
Promieniowa Hub-and-Spoke
Centrala przedsiębiorstwa
Oddział Biuro handlowe Oddział
Unikaj skrótów i tylnych wejść
Rdzeń
Dystrybucja
Dostęp
Skrót - Chain
Tylne wejście - Backdoor
Topologia sieci w oddziale, zasady (według Cisco)
• Plan hierarchiczny, modułowy
• Unikanie przewężeń przepustowości
• Możliwie małe domeny rozgłoszeniowe
• Zapewnienie nadmiarowości
– Zwielokrotnienie serwerów
– Zapasowe ścieżki komunikacji każdej stacji do rutera brzegowego
Model sieci przedsiębiorstwa ( Cisco cd. )
Zarządzanie siecią
Dostęp budynków Dystrybucja
między budynkami
Rdzeń oddziału
Farma serwerów
Dystrybucja usług zewnętrznych
Handel elektroniczny
Łączność internetowa
VPN/
Zdalny dostęp
WAN
ISP A ISP B PSTN Frame Relay, ATM
Infrastruktura oddziału
Oddział firmy
Styk, brzeg sieci Styk z operatorami
Elementy składowe (Cisco cd.)
• Zgromadzenie serwerów w farmie serwerów ( nie ma serwerów oddziałowych)
• Musi być stacja zarządzania
• Wyraźne oddzielenie modułu dostępu do sieci zewnętrznej ( osobny element )
• Moduł obsługi oddziału:
– Element dostępu budynków
– Element dystrybucji w budynkach – Rdzeń oddziału - Campus backbone
Elementy topologii sieci, dziś
• Niezawodność, nadmiarowość w L2
• Użycie sieci VLAN
• Użycie nadmiarowości w L3
( w następnym tygodniu )
Najprostsza nadmiarowość L2
Host A
Host B LAN X
LAN Y
Switch 1 Switch 2
802.1d (s / w)
• Unikanie pętli mostowych
• Protokół STP 802.1d
• Patrz http://www.zsk.p.lodz.pl/~arendt/local/STP.exe
• Protokół STP 802.1d, a zbieżność
• Protokół Rapid STP 802.1w (RSTP)
• Protokół Multiple ST 802.1s (MST)
HSRP, VRRP, GLBP
Active Router
Standby Router Virtual Router
Workstation
Enterprise Internetwork
Workstation
Nadmiarowość L3
• Virtual Router Redundancy Protocol standardowy - RFC 3768
• Hot Standby Router Protocol ( Cisco )
• Gateway Load Balancing Protocol (Cisco)
Nadmiarowość L3
Enterprise Enterprise
Enterprise
ISP 1
ISP 1 ISP 2
ISP 1
ISP 1 ISP 2
Enterprise
Option A
Option B
Option C
Option D
Paris NY
Paris NY
Tworzenie VPN i tunelowanie
• Tunelowanie L2 wybór:
• PPTP - Point to Point Tunneling Protocol, RFC2637 (Microsoft) = (Generic Routing Encapsulation (GRE) + TCP sterowanie
• L2F - Layer 2 Forwarding RFC2341 (Cisco)
• L2TP - Layer 2 Tunneling RFC3931 (+IPsec) standard IETF 2005
• OpenVPN – oparty na TCP
Podstawy bezpieczeństwa
• Bezpieczeństwo fizyczne:
– ograniczenie dostępu do szaf telecom – ograniczenie dostępu do serwerów/farmy – ochrona przez zalaniem, pożarem itd
• Właściwa topologia bezpieczeństwa – dobrze zdefiniowane punkty połączeń – firewalle i strefy DMZ
• Przemyślana polityka bezpieczeństwa – protokoły, potwierdzanie tożsamości – opracowane procedury awaryjne
– systemy reagowania, obsługi zdarzeń, honeypoty
Topologia bezpieczeństwa z pośrednią strefą publiczną
Sieć przedsiębiorstwa
Strefa DMZ
Serwery Web, plików, DNS, poczty
Internet
Topologia bezpieczeństwa z wydzielonym firewallem
Internet
Sieć przedsiębiorstwa Strefa DMZ
Firewall
Serwery Web, plików, DNS, poczty