Решения Cisco для построения ЛВС

Концепция построения кампусной сети

  Задачи, решаемые современной ЛВС

При разработке архитектуры ЛВС, являющейся основной частью корпоративной сети, преследуется цель достичь баланса между следующими основными характеристиками и возможностями сети, необходимыми для выполнения бизнес-требований и поддержки бизнес-приложений:

• высокая доступность сети (high availability);
• высокоскоростная коммутация пакетов;
• сетевая безопасность;
• качество обслуживания пользователей и приложений (QoS);
• управление на основе правил (policy-based management);
• интеграция с сервисами каталогов (directory-enabled networking).

Успешное функционирование существующих и планируемых бизнес-приложений, а также возможность интеграции данных, голоса и видео существенно зависят от интеллектуальности сетевой инфраструктуры. Это подразумевает необходимость обеспечить сетевого администратора инструментами и процедурами для выделения и приоритизации ресурсов сети и серверов между различными приложениями и группами пользователей. Это, в свою очередь, означает необходимость реализации архитектуры Policy Networking, основанной на следующих функциональных компонентах:

• Интеллектуальная сеть (Intelligent Network) – интеллектуальные устройства инфраструктуры сети, т. е. маршрутизато-
ры, коммутаторы и серверы доступа под управлением Cisco IOS для решения задач описания и воплощения сервисов
Policy Services.
• Policy Services – средства и технологии преобразования бизнес-требований в конфигурацию сети и активирования по-
литики качества обслуживания (QoS), правил доступа к ресурсам, сетевой безопасности и других сетевых сервисов.
• Службы регистрации и каталогов (Registration and Directory Services) – средства и технологии обеспечения динамиче-
ского связывания сетевого адреса, профиля пользователя, приложения и другой информации в каталогах.
• Policy Administration – средства и технологии обеспечения централизованного управления основанной на правилах
политикой, определяющей и контролирующей ресурсы и сервисы сети.

Архитектура и функции

Для достижения наилучших результатов по производительности, надежности, управляемости и масштабируемости необходим «многоуровневый» подход к дизайну сети как в рамках кампуса (группы зданий), так и в корпоративной сети в целом. Такой подход позволяет наращивать сеть путем добавления новых блоков, обеспечивает высокий детерминизм поведения сети, требует минимальных усилий и средств для поиска и устранения неисправностей. Интеллектуальные сервисы 3 уровня (в том числе протоколы OSPF, EIGRP, HSRP) обеспечивают сокращение области, затрагиваемой при
возникновении разнообразных проблем с неисправным или неверно настроенным оборудованием, а также балансировку нагрузки между/внутри уровней иерархии и быструю сходимость (convergence).
Многоуровневая модель ЛВС (рис. 1) состоит
из четырех уровней:

• уровень доступа (Access Layer) – коммутаторы
2 уровня с интеллектуальностью 3–4 уровней
(безопасность, QoS и т. д.);

• уровень распределения (Distribution Layer) –
коммутаторы 3–4 уровней;

• магистральный уровень (Core Layer) – комму-
таторы 3–4 уровней;

• серверный блок (Server Farm) – коммутаторы
3–7 уровней.

Коммутаторы уровня доступа предоставляют
пользователям порты 10/100 Ethernet, образуют
виртуальные сети, «замкнутые» в пределах этих
коммутаторов, и могут быть выполнены в виде
модульных (предпочтительно) либо стекируе-
мых устройств. Каждый коммутатор уровня доступа имеет соединения каналами Gigabit Ethernet с двумя коммутаторами уровня распределения. Коммутаторы уровня распределения связывают блок здания по каналам Gigabit Ethernet или Gigabit EtherChannel с магистральным уровнем, охватывающим весь кампус коммутацией 3–4 уровня, при этом каждый из коммутаторов блока здания имеет по два маршрута в любую точку сети, чем достигается почти мгновенная перемарш-
рутизация трафика.
Теоретически возможно совмещение нескольких логических уровней, например доступа/распределения или распределения/магистрали, в одном физическом устройстве. Такой подход может быть приемлем для небольшой сети. Однако в процессе развития сети переход к классическому многоуровневому дизайну неизбежен, поскольку лишь при таком подходе возможно рациональное использование функциональных возможностей оборудования в соответствующих точках
сети, а следовательно, и минимизация стоимости владения.

Оборудование уровней доступа и/или распределения обладает следующими возможностями:

• Классификация трафика (Traffic Classification) – способность классифицировать трафик по типам приложений, физическим и сетевым адресам источников и получателей, портам коммутаторов. Классифицированный трафик получает
метку, обозначающую назначенный пакетам уровень приоритета, тем самым давая возможность устройствам сети соответствующим образом обслуживать этот трафик. Также обеспечивается реклассификация пакетов на основе заданной администратором политики качества обслуживания. Например, пользователь назначает высокий приоритет своему трафику и передает его в сеть. Этот приоритет может затем быть понижен в соответствии с сетевой политикой, а не на основе требований пользователя. Данный механизм является ключевым в обеспечении качества обслуживания в рамках всей сети.

Оборудование магистрального уровня обладает следующими возможностями:
• Предотвращение и управление перегрузками (Congestion Avoidance & Management) – способность управлять поведением
сети при перегрузке, отбрасывая определенные пакеты на основе классификации или политики в моменты перегрузки сети с помощью технологии Weighted Random Early Detection (WRED) и множества очередей на интерфейсах. Используя возможности транспортного протокола TCP, эти механизмы позволяют эффективно управлять скоростью передачи данных и снизить скорость передачи между конечными системами, до того как перегрузка затронет приоритетные приложения. Администратор устанавливает пороговые значения для различных уровней приоритета.

• Планирование (Scheduling) – способность осуществлять приоритетную передачу пакетов, основанную на классификации или политике качества обслуживания, с помощью нескольких очередей и технологии Weighted Round Robin (WRR).

Следующие системные средства мониторинга политики качества обслуживания и безопасности, планирования сети и сервисов присутствуют в устройствах всей сети:

• Embedded RMON (Events, Alarms, History, Etherstat) – возможность сбора статистики RMON с точностью до порта сети для анализа производительности сети.
• Switch Port Analyzer (SPAN) – возможность перенаправлять трафик отдельных портов, групп портов и виртуальных портов на анализатор протоколов для детального анализа.
• Статистика NetFlow – углубленный анализ потоков сетевого и транспортного уровней.
• Отладка/диагностика (Debug/Diagnostics) – расширенные встроенные возможности мониторинга событий в реальном
времени для расширения возможностей диагностики помимо внешних анализаторов.
• Syslog – сбор и сохранение информации о существенных сетевых событиях, включая изменения конфигураций устройств, изменения топологии, программные и аппаратные ошибки.
• HTTP/Web-Based Management – доступ к интерфейсу управления устройством и отчетам через стандартный web-браузер.
• Plug-and-Play Protocols – автоматическая конфигурация Fast/Gigabit EtherChannel, виртуальных сетей, транков VLAN.
• Агенты распознавания топологии (Topology Discovery Agents) – автоматическое распознавание топологии сети.

В число приложений, обуславливающих рост сети, входят приложения дистанционного обучения, аудио- и видеоконференции, потоковое вещание, хранение массивов данных, финансовые и ERP приложения. Их большинство основано на технологии многоадресной рассылки IP Multicast. Приложение, использующее IP Multicast, требует от сети наличия следующих возможностей:
• На уровне доступа/распределения, а также в серверном блоке – передача пакетов IP Multicast на канальном уровне на
скорости физического канала, динамическая регистрация посредством IGMP и CGMP.
• Магистральный уровень – передача пакетов IP Multicast на канальном и сетевом уровнях на скорости физического ка-
нала, масштабируемые протоколы маршрутизации трафика IP Multicast.

Незащищенная сеть представляет собой серьезный риск. Возможности обеспечения безопасности должны быть сфокусированы не на отдельных продуктах, а на системном решении:
• Идентификация (аутентификация) – возможность идентификации сетевых ресурсов и пользователей, ассоциирование их с сетевыми адресами.
• Целостность (авторизация) – защита информации и ресурсов от несанкционированного доступа.
• Аудит – динамический активный контроль, необходимый для обеспечения соответствующего использования сети авторизованными на то пользователями.

Для целей идентификации на уровне доступа и при доступе к консоли управления всеми устройствами сеть должна обладать следующими возможностями:
• Безопасность портов (Port Security) – возможность использования порта коммутатора наперед заданными физическими адресами пользовательских ПК. При попытке подключения неавторизованного устройства – отключение этого порта и уведомление системы управления сети.
• Автоматическое конфигурирование портов коммутаторов – автоматизация изменения конфигурации порта на основе
логического подключения пользователя к сети (login).
• Аутентификация административного доступа на серверах TACACS+ и/или RADIUS – идентификация, авторизация и учет при доступе к командной строке устройства.
• IP permit lists – ограничение на доступ к командной строке устройства, системной консоли, SNMP.
• Port Protocol Filtering – автоматическая фильтрация трафика неиспользуемых протоколов на портах коммутаторов.