Top-d5
Transkrypt
Top-d5
Top-Down cz.II.5 Projektowanie sieci metodą Top-Down http://www.topdownbook.com Wydanie w języku polskim PWN 2007 Copyright 2004 Cisco Press & Priscilla Oppenheimer W tej części • Część II: Projekt logiczny – Rozdział 5: Projektowanie topologii – Rozdział 6: Plan adresowania i nazewnictwa – Rozdział 7: Protokoły L2 i L3 – Rozdział 8: Strategia bezpieczeństwa – Rozdział 9: Zarządzanie siecią Top-Down cz.II.5 Topologia, a co to • • • • • Model hierarchiczny sieci, a płaski Niezawodność, nadmiarowość Modularność Wejścia i wyjścia Chronione obrzeża Model hierarchiczny sieci, czy płaski? • Model płaski jest dla małych, niezłożonych sieci, jedna firma, jeden dział, jedna sieć, tańszy • Model hierarchiczny przeciwnie: – Zmniejsza obciążenie urządzeń sieciowych – Ogranicza ruch rozgłoszeniowy L2 i L3 – Poprawia czytelność i ułątwia utrzymanie – Łatwiejszy do zmiany i konserwacji – Łatwiejszy do rozbudowy Top-Down cz.II.5 Hierarchiczny projekt sieci Przedsiębiorstwo WAN Backbone Campus A Campus B Rdzeń Backbone Campus C Dystrybucja Oddział C Backbone Dostęp Budynek C-1 Budynek C-2 Model płaski a warstwowy Headquarters in Medford Headquarters in Medford Grants Pass Branch Office Klamath Falls Branch Office Ashland Branch Office Topologia płaska, nadniarowa Grants Pass Branch Office Klamath Falls Branch Office Ashland Branch Office White City Branch Office Topologia warstwowa i nadmiarowa Top-Down cz.II.5 Topologia kratowa Częściowo Full-Mesh, każdy z każdym Kratowa hierarchiczna, typowe rozwiązanie Centrala HQ (Rdzeń) Biura regionalne (Dystrybucja) Odziały w terenie (Dostęp) Top-Down cz.II.5 Promieniowa Hub-and-Spoke Centrala przedsiębiorstwa Oddział Biuro handlowe Oddział Unikaj skrótów i tylnych wejść Rdzeń Dystrybucja Dostęp Tylne wejście - Backdoor Skrót - Chain Top-Down cz.II.5 Topologia sieci w oddziale, zasady (według Cisco) • • • • Plan hierarchiczny, modułowy Unikanie przewężeń przepustowości Możliwie małe domeny rozgłoszeniowe Zapewnienie nadmiarowości – Zwielokrotnienie serwerów – Zapasowe ścieżki komunikacji każdej stacji do rutera brzegowego Model sieci przedsiębiorstwa ( Cisco cd. ) Dostęp budynków Zarządzanie siecią Dystrybucja między budynkami Rdzeń oddziału Farma serwerów Infrastruktura oddziału Oddział firmy Styk, brzeg sieci Handel elektroniczny Dystrybucja usług zewnętrznych Łączność internetowa VPN/ Zdalny dostęp WAN Styk z operatorami ISP A ISP B PSTN Frame Relay, ATM Top-Down cz.II.5 Elementy składowe (Cisco cd.) • Zgromadzenie serwerów w farmie serwerów ( nie ma serwerów oddziałowych) • Musi być stacja zarządzania • Wyraźne oddzielenie modułu dostępu do sieci zewnętrznej ( osobny element ) • Moduł obsługi oddziału: – Element dostępu budynków – Element dystrybucji w budynkach – Rdzeń oddziału - Campus backbone Elementy topologii sieci, dziś • Niezawodność, nadmiarowość w L2 • Użycie sieci VLAN • Użycie nadmiarowości w L3 ( w następnym tygodniu ) Top-Down cz.II.5 Najprostsza nadmiarowość L2 Host A LAN X Switch 1 Switch 2 LAN Y Host B 802.1d (s / w) • • • • • • Unikanie pętli mostowych Protokół STP 802.1d Patrz http://www.zsk.p.lodz.pl/~arendt/local/STP.exe Protokół STP 802.1d, a zbieżność Protokół Rapid STP 802.1w (RSTP) Protokół Multiple ST 802.1s (MST) Top-Down cz.II.5 HSRP, VRRP, GLBP Active Router Enterprise Internetwork Virtual Router Workstation Workstation Standby Router Nadmiarowość L3 • Virtual Router Redundancy Protocol standardowy - RFC 3768 • Hot Standby Router Protocol ( Cisco ) • Gateway Load Balancing Protocol (Cisco) Top-Down cz.II.5 Nadmiarowość L3 ISP 1 ISP 1 Enterprise Option A ISP 1 ISP 2 Enterprise Paris ISP 1 Paris Option B Enterprise Enterprise NY Option C ISP 2 NY Option D Tworzenie VPN i tunelowanie • Tunelowanie L2 wybór: • PPTP - Point to Point Tunneling Protocol, RFC2637 (Microsoft) = (Generic Routing Encapsulation (GRE) + TCP sterowanie • L2F - Layer 2 Forwarding RFC2341 (Cisco) • L2TP - Layer 2 Tunneling RFC3931 (+IPsec) standard IETF 2005 • OpenVPN – oparty na TCP Top-Down cz.II.5 Podstawy bezpieczeństwa • Bezpieczeństwo fizyczne: – ograniczenie dostępu do szaf telecom – ograniczenie dostępu do serwerów/farmy – ochrona przez zalaniem, pożarem itd • Właściwa topologia bezpieczeństwa – dobrze zdefiniowane punkty połączeń – firewalle i strefy DMZ • Przemyślana polityka bezpieczeństwa – protokoły, potwierdzanie tożsamości – opracowane procedury awaryjne – systemy reagowania, obsługi zdarzeń, honeypoty Topologia bezpieczeństwa z pośrednią strefą publiczną Strefa DMZ Internet Sieć przedsiębiorstwa Serwery Web, plików, DNS, poczty Top-Down cz.II.5 Topologia bezpieczeństwa z wydzielonym firewallem Internet Firewall Strefa DMZ Sieć przedsiębiorstwa Serwery Web, plików, DNS, poczty