Top-d5

Top-Down cz.II.5
Projektowanie sieci
metodą Top-Down
http://www.topdownbook.com
Wydanie w języku polskim PWN 2007
Copyright 2004 Cisco Press & Priscilla Oppenheimer
W tej części
• Część II: Projekt logiczny
– Rozdział 5: Projektowanie topologii
– Rozdział 6: Plan adresowania i nazewnictwa
– Rozdział 7: Protokoły L2 i L3
– Rozdział 8: Strategia bezpieczeństwa
– Rozdział 9: Zarządzanie siecią
Top-Down cz.II.5
Topologia, a co to
•
•
•
•
•
Model hierarchiczny sieci, a płaski
Niezawodność, nadmiarowość
Modularność
Wejścia i wyjścia
Chronione obrzeża
Model hierarchiczny sieci,
czy płaski?
• Model płaski jest dla małych,
niezłożonych sieci, jedna firma, jeden
dział, jedna sieć, tańszy
• Model hierarchiczny przeciwnie:
– Zmniejsza obciążenie urządzeń sieciowych
– Ogranicza ruch rozgłoszeniowy L2 i L3
– Poprawia czytelność i ułątwia utrzymanie
– Łatwiejszy do zmiany i konserwacji
– Łatwiejszy do rozbudowy
Top-Down cz.II.5
Hierarchiczny projekt sieci
Przedsiębiorstwo
WAN Backbone
Campus A
Campus B
Rdzeń
Backbone
Campus C
Dystrybucja
Oddział C Backbone
Dostęp
Budynek C-1
Budynek C-2
Model płaski a warstwowy
Headquarters in
Medford
Headquarters in
Medford
Grants Pass
Branch Office
Klamath Falls
Branch Office
Ashland
Branch
Office
Topologia płaska, nadniarowa
Grants Pass
Branch
Office
Klamath Falls
Branch Office
Ashland
Branch
Office
White City
Branch Office
Topologia warstwowa i nadmiarowa
Top-Down cz.II.5
Topologia kratowa
Częściowo
Full-Mesh, każdy z każdym
Kratowa hierarchiczna,
typowe rozwiązanie
Centrala HQ
(Rdzeń)
Biura regionalne
(Dystrybucja)
Odziały w terenie (Dostęp)
Top-Down cz.II.5
Promieniowa Hub-and-Spoke
Centrala
przedsiębiorstwa
Oddział
Biuro handlowe
Oddział
Unikaj skrótów i tylnych wejść
Rdzeń
Dystrybucja
Dostęp
Tylne wejście - Backdoor
Skrót - Chain
Top-Down cz.II.5
Topologia sieci w oddziale,
zasady (według Cisco)
•
•
•
•
Plan hierarchiczny, modułowy
Unikanie przewężeń przepustowości
Możliwie małe domeny rozgłoszeniowe
Zapewnienie nadmiarowości
– Zwielokrotnienie serwerów
– Zapasowe ścieżki komunikacji każdej stacji
do rutera brzegowego
Model sieci przedsiębiorstwa
( Cisco cd. )
Dostęp
budynków
Zarządzanie
siecią
Dystrybucja
między
budynkami
Rdzeń
oddziału
Farma
serwerów
Infrastruktura oddziału
Oddział firmy
Styk, brzeg sieci
Handel
elektroniczny
Dystrybucja
usług
zewnętrznych
Łączność
internetowa
VPN/
Zdalny dostęp
WAN
Styk z
operatorami
ISP A
ISP B
PSTN
Frame
Relay,
ATM
Top-Down cz.II.5
Elementy składowe (Cisco cd.)
• Zgromadzenie serwerów w farmie serwerów
( nie ma serwerów oddziałowych)
• Musi być stacja zarządzania
• Wyraźne oddzielenie modułu dostępu do
sieci zewnętrznej ( osobny element )
• Moduł obsługi oddziału:
– Element dostępu budynków
– Element dystrybucji w budynkach
– Rdzeń oddziału - Campus backbone
Elementy topologii sieci, dziś
• Niezawodność, nadmiarowość w L2
• Użycie sieci VLAN
• Użycie nadmiarowości w L3
( w następnym tygodniu )
Top-Down cz.II.5
Najprostsza nadmiarowość L2
Host A
LAN X
Switch 1
Switch 2
LAN Y
Host B
802.1d (s / w)
•
•
•
•
•
•
Unikanie pętli mostowych
Protokół STP 802.1d
Patrz http://www.zsk.p.lodz.pl/~arendt/local/STP.exe
Protokół STP 802.1d, a zbieżność
Protokół Rapid STP 802.1w (RSTP)
Protokół Multiple ST 802.1s (MST)
Top-Down cz.II.5
HSRP, VRRP, GLBP
Active Router
Enterprise Internetwork
Virtual Router
Workstation
Workstation
Standby Router
Nadmiarowość L3
• Virtual Router Redundancy Protocol
standardowy - RFC 3768
• Hot Standby Router Protocol ( Cisco )
• Gateway Load Balancing Protocol (Cisco)
Top-Down cz.II.5
Nadmiarowość L3
ISP 1
ISP 1
Enterprise
Option A
ISP 1
ISP 2
Enterprise
Paris
ISP 1
Paris
Option B
Enterprise
Enterprise
NY
Option C
ISP 2
NY
Option D
Tworzenie VPN i tunelowanie
• Tunelowanie L2 wybór:
• PPTP - Point to Point Tunneling Protocol,
RFC2637 (Microsoft) = (Generic Routing
Encapsulation (GRE) + TCP sterowanie
• L2F - Layer 2 Forwarding RFC2341 (Cisco)
• L2TP - Layer 2 Tunneling RFC3931 (+IPsec)
standard IETF 2005
• OpenVPN – oparty na TCP
Top-Down cz.II.5
Podstawy bezpieczeństwa
• Bezpieczeństwo fizyczne:
– ograniczenie dostępu do szaf telecom
– ograniczenie dostępu do serwerów/farmy
– ochrona przez zalaniem, pożarem itd
• Właściwa topologia bezpieczeństwa
– dobrze zdefiniowane punkty połączeń
– firewalle i strefy DMZ
• Przemyślana polityka bezpieczeństwa
– protokoły, potwierdzanie tożsamości
– opracowane procedury awaryjne
– systemy reagowania, obsługi zdarzeń, honeypoty
Topologia bezpieczeństwa
z pośrednią strefą publiczną
Strefa DMZ
Internet
Sieć
przedsiębiorstwa
Serwery Web, plików, DNS, poczty
Top-Down cz.II.5
Topologia bezpieczeństwa
z wydzielonym firewallem
Internet
Firewall
Strefa DMZ
Sieć przedsiębiorstwa
Serwery Web, plików, DNS, poczty