Введение в виртуальные Локальные Сети: (Virtual LAN). Иерархическая модель сети

Прочие модели 23.05.2019
Прочие модели

(). Мы понимаем, что для новичков «OSI» и «TCP/IP» - это страшные слова. Но не переживайте, не для того, чтобы запугать вас, мы их используем. Это то, с чем вам придётся встречаться каждый день, поэтому в течение этого цикла мы постараемся раскрыть их смысл и отношение к реальности.

Начнём с постановки задачи. Есть некая фирма, занимающаяся, допустим, производством лифтов, идущих только вверх, и потому называется ООО «Лифт ми ап». Расположены они в старом здании на Арбате, и сгнившие провода, воткнутые в пожжёные и прожжёные коммутаторы времён 10Base-T не ожидают подключения новых серверов по гигабитным карточкам. Итак, у них катастрофическая потребность в сетевой инфраструктуре и денег куры не клюют, что даёт вам возможность безграничного выбора. Это чудесный сон любого инженера. А вы вчера выдержали собеседование, и в сложной борьбе по праву получили должность сетевого администратора. И теперь вы в ней первый и единственный в своём роде. Поздравляем! Что дальше?

Следует несколько конкретизировать ситуацию:

  1. В данный момент у компании есть два офиса: 200 квадратов на Арбате под рабочие места и серверную. Там представлены несколько провайдеров. Другой на Рублёвке.
  2. Есть четыре группы пользователей: бухгалтерия (Б), финансово-экономический отдел (ФЭО), производственно-технический отдел (ПТО), другие пользователи (Д). А так же есть сервера ©, которые вынесены в отдельную группу. Все группы разграничены и не имеют прямого доступа друг к другу.
  3. Пользователи групп С, Б и ФЭО будут только в офисе на Арбате, ПТО и Д будут в обоих офисах.
Прикинув количество пользователей, необходимые интерфейсы, каналы связи, вы готовите схему сети и IP-план.

При проектировании сети следует стараться придерживаться иерархической модели сети , которая имеет много достоинств по сравнению с “плоской сетью”:

  • упрощается понимание организации сети
  • модель подразумевает модульность, что означает простоту наращивания мощностей именно там, где необходимо
  • легче найти и изолировать проблему
  • повышенная отказоустойчивость за счет дублирования устройств и/или соединений
  • распределение функций по обеспечению работоспособности сети по различным устройствам.
Согласно этой модели, сеть разбивается на три логических уровня: ядро сети (Core layer: высокопроизводительные устройства, главное назначение - быстрый транспорт), уровень распространения (Distribution layer: обеспечивает применение политик безопасности, QoS, агрегацию и маршрутизацию в VLAN, определяет широковещательные домены), и уровень доступа (Access-layer: как правило, L2 свичи, назначение: подключение конечных устройств, маркирование трафика для QoS, защита от колец в сети (STP) и широковещательных штормов, обеспечение питания для PoE устройств).

В таких масштабах, как наш, роль каждого устройства размывается, однако логически разделить сеть можно.
Составим приблизительную схему:

На представленной схеме ядром (Core) будет маршрутизатор 2811, коммутатор 2960 отнесём к уровню распространения (Distribution), поскольку на нём агрегируются все VLAN в общий транк. Коммутаторы 2950 будут устройствами доступа (Access). К ним будут подключаться конечные пользователи, офисная техника, сервера.

Именовать устройства будем следующим образом: сокращённое название города (msk ) - географическое расположение (улица, здание) (arbat ) - роль устройства в сети + порядковый номер.
Соответственно их ролям и месту расположения выбираем hostname :
Маршрутизатор 2811: msk-arbat-gw1 (gw=GateWay=шлюз)
Коммутатор 2960: msk-arbat-dsw1 (dsw=Distribution switch)
Коммутаторы 2950: msk-arbat-aswN, msk-rubl-asw1 (asw=Access switch)

Документация сети
Вся сеть должна быть строго документирована: от принципиальной схемы, до имени интерфейса.
Прежде, чем приступить к настройке, я бы хотел привести список необходимых документов и действий:
  • Схемы сети L1, L2, L3 в соответствии с уровнями модели OSI (Физический, канальный, сетевой)
  • План IP-адресации = IP-план
  • Список VLAN
  • Подписи (description ) интерфейсов
  • Список устройств (для каждого следует указать: модель железки, установленная версия IOS, объем RAM\NVRAM, список интерфейсов)
  • Метки на кабелях (откуда и куда идёт), в том числе на кабелях питания и заземления и устройствах
  • Единый регламент, определяющий все вышеприведённые параметры и другие
Жирным выделено то, за чем мы будем следить в рамках программы-симулятора. Разумеется, все изменения сети нужно вносить в документацию и конфигурацию, чтобы они были в актуальном состоянии.

Говоря о метках/наклейках на кабели, мы имеем ввиду это:

На этой фотографии отлично видно, что промаркирован каждый кабель, значение каждого автомата на щитке в стойке, а также каждое устройство.

Подготовим нужные нам документы:

Список VLAN

Каждая группа будет выделена в отдельный влан. Таким образом мы ограничим широковещательные домены. Также введём специальный VLAN для управления устройствами.
Номера VLAN c 4 по 100 зарезервированы для будущих нужд.
IP-план
IP-адрес Примечание VLAN
172.16.0.0/16
172.16.0.0/24 Серверная ферма 3
172.16.0.1 Шлюз
172.16.0.2 Web
172.16.0.3 File
172.16.0.4 Mail
172.16.0.5 - 172.16.0.254 Зарезервировано
172.16.1.0/24 Управление 2
172.16.1.1 Шлюз
172.16.1.2 msk-arbat-dsw1
172.16.1.3 msk-arbat-asw1
172.16.1.4 msk-arbat-asw2
172.16.1.5 msk-arbat-asw3
172.16.1.6 msk-rubl-aswl
172.16.1.6 - 172.16.1.254 Зарезервировано
172.16.2.0/24 Сеть Point-to-Point
172.16.2.1 Шлюз
172.16.2.2 - 172.16.2.254 Зарезервировано
172.16.3.0/24 ПТО 101
172.16.3.1 Шлюз
172.16.3.2 - 172.16.3.254 Пул для пользователей
172.16.4.0/24 ФЭО 102
172.16.4.1 Шлюз
172.16.4.2 - 172.16.4.254 Пул для пользователей
172.16.5.0/24 Бухгалтерия 103
172.16.5.1 Шлюз
172.16.5.2 - 172.16.5.254 Пул для пользователей
172.16.6.0/24 Другие пользователи 104
172.16.6.1 Шлюз
172.16.6.2 - 172.16.6.254 Пул для пользователей

Выделение подсетей в общем-то произвольное, соответствующее только числу узлов в этой локальной сети с учётом возможного роста. В данном примере все подсети имеют стандартную маску /24 (/24=255.255.255.0) - зачастую такие и используются в локальных сетях, но далеко не всегда. Советуем почитать о классах сетей . В дальнейшем мы обратимся и к бесклассовой адресации (cisco). Мы понимаем, что ссылки на технические статьи в википедии - это моветон, однако они дают хорошее определение, а мы попробуем в свою очередь перенести это на картину реального мира.
Под сетью Point-to-Point подразумеваем подключение одного маршрутизатора к другому в режиме точка-точка. Обычно берутся адреса с маской 30 (возвращаясь к теме бесклассовых сетей), то есть содержащие два адреса узла. Позже станет понятно, о чём идёт речь.
План подключения оборудования по портам
Разумеется, сейчас есть коммутаторы с кучей портов 1Gb Ethernet, есть коммутаторы с 10G, на продвинутых операторских железках, стоящих немалые тысячи долларов есть 40Gb, в разработке находится 100Gb (а по слухам уже даже есть такие платы, вышедшие в промышленное производство). Соответственно, вы можете выбирать в реальном мире коммутаторы и маршрутизаторы согласно вашим потребностям, не забывая про бюджет. В частности гигабитный свич сейчас можно купить незадорого (20-30 тысяч) и это с запасом на будущее (если вы не провайдер, конечно). Маршрутизатор с гигабитными портами стоит уже ощутимо дороже, чем со 100Mbps портами, однако оно того стоит, потому что FE-модели (100Mbps FastEthernet), устарели и их пропускная способность очень невысока.
Но в программах эмуляторах/симуляторах, которые мы будем использовать, к сожалению, есть только простенькие модели оборудования, поэтому при моделировании сети будем отталкиваться от того, что имеем: маршрутизатор cisco2811, коммутаторы cisco2960 и 2950.
Имя устройства Порт Название VLAN
Access Trunk
msk-arbat-gw1 FE0/1 UpLink
FE0/0 msk-arbat-dsw1 2,3,101,102,103,104
msk-arbat-dsw1 FE0/24 msk-arbat-gw1 2,3,101,102,103,104
GE1/1 msk-arbat-asw1 2,3
GE1/2 msk-arbat-asw3 2,101,102,103,104
FE0/1 msk-rubl-asw1 2,101,104
msk-arbat-asw1 GE1/1 msk-arbat-dsw1 2,3
GE1/2 msk-arbat-asw2 2,3
FE0/1 Web-server 3
FE0/2 File-server 3
msk-arbat-asw2 GE1/1 msk-arbat-asw1 2,3
FE0/1 Mail-Server 3
msk-arbat-asw3 GE1/1 msk-arbat-dsw1 2,101,102,103,104
FE0/1-FE0/5 PTO 101
FE0/6-FE0/10 FEO 102
FE0/11-FE0/15 Accounting 103
FE0/16-FE0/24 Other 104
msk-rubl-asw1 FE0/24 msk-arbat-dsw1 2,101,104
FE0/1-FE0/15 PTO 101
FE0/20 administrator 104

Почему именно так распределены VLAN"ы, мы объясним в следующих частях.
Схемы сети
На основании этих данных можно составить все три схемы сети на этом этапе. Для этого можно воспользоваться Microsoft Visio, каким-либо бесплатным приложением, но с привязкой к своему формату, или редакторами графики (можно и от руки, но это будет сложно держать в актуальном состоянии:)).

Не пропаганды опен сорса для, а разнообразия средств ради, воспользуемся Dia. Я считаю его одним из лучших приложений для работы со схемами под Linux. Есть версия для Виндоус, но, к сожалению, совместимости в визио никакой.

L1

То есть на схеме L1 мы отражаем физические устройства сети с номерами портов: что куда подключено.

L2
На схеме L2 мы указываем наши VLAN’ы

L3

В нашем примере схема третьего уровня получилась довольно бесполезная и не очень наглядная, из-за наличия только одного маршрутизирующего устройства. Но со временем она обрастёт подробностями.

Как видите, информация в документах избыточна. Например, номера VLAN повторяются и на схеме и в плане по портам. Тут как бы кто на что горазд. Как вам удобнее, так и делайте. Такая избыточность затрудняет обновление в случае изменения конфигурации, потому что нужно исправиться сразу в нескольких местах, но с другой стороны, облегчает понимание.

К этой первой статье мы не раз ещё вернёмся в будущем, равно как и вам придётся всегда возвращаться к тому, что вы изначально напланировали.
Собственно задание для тех, кто пока только начинает учиться и готов приложить для этого усилия: много читать про вланы, ip-адресацию, найти программы Packet Tracer и GNS3.
Что касается фундаментальных теоретических знаний, то советуем начать читать Cisco press. Это то, что вам совершенно точно понадобится знать.
В следующей части всё будет уже по-взрослому, с видео, мы будем учиться подключаться к оборудованию, разбираться с интерфейсом и расскажем, что делать нерадивому админу, забывшему пароль.
P.S. Спасибо соавтору статьи - Максиму aka gluck.
P.P.S Тем, кто имеет, что спросить, но не имеет возможности свой вопрос здесь задать, милости просим в

Современные организации стремятся внедрять новые сервисы и приложения, но зачастую камнем преткновения становится устаревшая сетевая инфраструктура, неспособная поддерживать инновации. Решить эту проблему призваны технологии, созданные на основе открытых стандартов.

Сегодня в ИТ прочные позиции завоевал подход, основанный на стандартах, – заказчики почти всегда отдают предпочтения стандартным решениям. С уходом эпохи, когда господствовали мейнфреймы, стандарты завоевали прочные позиции. Они позволяют комбинировать оборудование разных производителей, выбирая «лучшие в своем классе» продукты и оптимизировать стоимость решения. Но в сетевой отрасли не все так однозначно.

На сетевом рынке до сих пор доминируют закрытые системы, а совместимость решений разных производителей обеспечивается в лучшем случае на уровне интерфейсов. Несмотря на стандартизацию интерфейсов, стеков протоколов, сетевых архитектур, сетевое и коммуникационное оборудование разных вендоров нередко представляет собой проприетарные решения. Например, даже развертывание современных «сетевых фабрик» Brocade Virtual Cluster Switch, Cisco FabricPath или Juniper QFabric предполагает замену имеющихся коммутаторов, а это не дешевый вариант. Что уж говорить про технологии «прошлого века», которые еще работают, но тормозят дальнейшее развитие сетей и функционирующих в них приложений.


Эволюция сетей. От проприетарных к открытым решениям.

Проводимые в последние годы исследования показывают, что существует разрыв между предложениями вендоров сетевого оборудования и предпочтениями его покупателей. Например, по данным одного из опросов, 67% заказчиков считают, что проприетарных продуктов по возможности следует избегать, 32% допускают их использование. Лишь 1% респондентов уверены, что проприетарные продукты и средства обеспечивают лучшую интеграцию и совместимость, чем стандартные. То есть в теории большинство заказчиков предпочитает основанные на стандартах решения, но предлагаются в основном проприетарные сетевые продукты.

На практике же при покупке нового оборудования или расширении сетевой инфраструктуры заказчики нередко выбирают решения того же вендора или то же семейство продуктов. Причины – инерция мышления, желание свести к минимуму риски при обновлении критичных систем. Однако основанные на стандартах продукты намного проще заменить, даже если это продукты разных производителей. К тому же при определенных условиях комбинация систем разных вендоров позволит получить функциональное сетевое решение за разумную цену и снизить совокупную стоимость владения.

Это не означает, что не стоит покупать проприетарные, фирменные технологии, не описываемые открытым стандартом, а являющиеся уникальной технологией определенного вендора. Именно они обычно реализуют инновационные функции и средства. Использование проприетарных решений и протоколов зачастую позволяет получить лучшие показатели по сравнению с открытыми стандартами, но при выборе подобных технологий, необходимо максимально сокращать (а лучше - исключать) их применение на границах отдельных сегментов или технологических узлов сетевой инфраструктуры, что особенно важно в мультивендорных сетях. Примерами таких сегментов могут служить уровни доступа, агрегации или ядра сети, граница между локальной и глобальной сетями, сегменты, реализующие сетевые с приложения (например, балансировка нагрузки, оптимизация трафика) и т.п.

Проще говоря, применение проприетарных технологий должно ограничиваться их использованием внутри границ сегментов, реализующих специализированные сетевые функции и/или приложения (своего рода типовые «строительные блоки» сети). В случаях, когда нестандартные фирменные технологии используются в качестве основы всей корпоративной сети или больших сетевых доменов, это увеличивает риск «привязки» заказчика к одному производителю.

Иерархические и плоские сети

Цель построения корпоративных сетей передачи данных (КСПД), будь то сеть географически распределенной компании или сеть ЦОД, – обеспечение работы бизнес-приложений. КСПД - один из важнейших инструментов развития бизнеса. В компании с территориально-распределенной структурой бизнес нередко зависит от надежности и гибкости совместной работы ее подразделений. В основе построения КСПД лежит принцип разделения сети на «строительные блоки» – каждый характеризуется свойственными ему функциями и особенностями реализации. Принятые в отрасли стандарты позволяют использовать в качестве таких строительных блоков сетевое оборудование разных вендоров. Частные (проприетарные) протоколы ограничивают свободу выбора для заказчиков, что в результате приводит к ограничению гибкости бизнеса и повышает издержки. Применяя стандартизированные решения, заказчики могут выбрать лучший продукт в интересующей их области и интегрировать его с другими продуктами, используя открытые стандартные протоколы.

Современные крупные сети очень сложны, поскольку определяются множеством протоколов, конфигурациями и технологиями. С помощью иерархии можно упорядочить все компоненты в легко анализируемой модели. Иерархическая модель помогает в разработке, внедрении и обслуживании масштабируемых, надежных и эффективных в стоимостном выражении объединенных сетей.


Трехуровневая архитектура корпоративной сети.

Традиционная архитектура корпоративной сети включает в себя три уровня: уровень доступа, агрегирования/распределения и ядра. На каждом из них выполняются специфические сетевые функции.

Уровень ядра – основа всей сети. Для достижения максимальной производительности функции маршрутизации и политики управления трафиком выносятся на уровень агрегирования/распределения. Именно он отвечает за надлежащую маршрутизацию пакетов, политики трафика. Задачей уровня распределения является агрегирование/объединение всех коммутаторов уровня доступа в единую сеть. Это позволяет существенно уменьшить количество соединений. Как правило, именно к коммутаторам распределения подключаются самые важные сервисы сети, другие ее модули. Уровень доступа служит для подключения клиентов к сети. По аналогичной схеме строились и сети ЦОД.


Устаревшая архитектура трехуровневой сети в центре обработки данных.

Традиционные трехуровневые архитектуры ориентированы на клиент-серверную парадигму сетевого трафика. С дальнейшим развитием технологий виртуализации и интеграции приложений возрастает поток сетевого трафика между серверами. Аналитики говорят () о смене парадигмы сетевого трафика с направления «север-юг», на «восток-запад», т.е. на существенное преобладание трафика между серверами в отличие от обмена между сервером и клиентами.

То есть трафик между серверами проходит через уровни доступа, агрегации, ядра сети и обратно неоптимальным образом, за счет необоснованного увеличения общей длины сетевого сегмента и количества уровней обработки пакетов сетевыми устройствами. Иерархические сети недостаточно приспособлены для обмена данными между серверами, не вполне отвечают требованиям современных ЦОД с высокой плотностью серверных ферм и интенсивным межсерверным трафиком. В такой сети обычно используются традиционные протоколы защиты от петель, резервирования устройств и агрегированных соединений. Ее особенности: существенные задержки, медленная сходимость, статичность, ограниченная масштабируемость и т.п. Вместо традиционной древовидной топологии сети необходимо использовать более эффективные топологии (CLOS/ Leaf-Spine/ Collapsed), позволяющие уменьшить количество уровней и оптимизировать пути передачи пакетов.


HP упрощает архитектуру сети с трёхуровневой (характерной для традиционных сетевых архитектур Cisco) до двух- или одноуровневой.

Сейчас тенденция такова, что все больше заказчиков при построении своих сетей ориентируются на построение сетей передачи данных второго уровня (L2) с плоской топологией. В сетях ЦОД переход к ней стимулируется увеличением числа потоков «сервер – сервер» и «сервер – система хранения». Такой подход упрощает планирование сети и внедрение, а также снижает операционные расходы и общую стоимость вложений, делает сеть более производительной.

В ЦОД плоская сеть (уровня L2) лучше отвечает потребностям виртуализации приложений, позволяя эффективно перемещать виртуальные машины между физическими хостами. Еще одно преимущество, которое реализуется при наличии эффективных технологий кластеризации/стекирования – отсутствие необходимости в протоколах STP/RSTP/MSTP. Такая архитектура в сочетании с виртуальными коммутаторами обеспечивает защиту от петель без использования STP, а в случае сбоев сеть сходится на порядок быстрее, чем при использовании традиционных протоколов семейства STP.

Архитектура сети современных ЦОД должна обеспечивать эффективную поддержку передачи больших объемов динамического трафика. Динамический трафик обусловлен существенным ростом количества виртуальных машин и уровня интеграции приложений. Здесь необходимо отметить все возрастающую роль различных технологий виртуализации информационно-технологической (ИТ) инфраструктуры на базе концепции программно-определяемых сетей (SDN).

Концепция SDN в настоящее время широко распространяется не только на уровень сетевой инфраструктуры отдельных площадок, но и на уровни вычислительных ресурсов и систем хранения как в рамках отдельных, так и географически-распределенных ЦОД (примерами последних являются HP Virtual Cloud Networking – VCN и HP Distributed Cloud Networking – DCN).

Ключевой особенностью концепции SDN является объединение физических и виртуальных сетевых ресурсов и их функционала в рамках единой виртуальной сети. При этом важно понимать, что несмотря на то, что решения сетевой виртуализации (overlay) могут работать поверх любой сети, производительность/доступность приложений и сервисов в значительной степени зависят от работоспособности и параметров физической инфраструктуры (underlay). Таким образом, объединение преимуществ оптимизированной физической и адаптивной виртуальной сетевых архитектур, позволяет строить унифицированные сетевые инфраструктуры для эффективной передачи больших потоков динамического трафика по запросам приложений.

Архитектура HP FlexNetwork

Для построения плоских сетей вендоры разрабатывают соответствующее оборудование, технологии и сервисы. В числе примеров – Cisco Nexus, Juniper QFabric, HP FlexFabric. В основе решения HP – открытая и стандартизированная архитектура HP FlexNetwork.

HP FlexNetwork включает в себя четыре взаимосвязанных компонента: FlexFabric, FlexCampus, FlexBranch и FlexManagement. Решения HP FlexFabric, HP FlexCampus и HP FlexBranch оптимизируют сетевые архитектуры, соответственно центров обработки данных, кампусов и филиалов предприятий, позволяя по мере роста поэтапно мигрировать от традиционных иерархических инфраструктур к унифицированным виртуальным, высокопроизводительным, конвергентным сетям или сразу строить такие сети на основе эталонных архитектур, рекомендованных НР.

HP FlexManagement предоставляет возможности комплексного мониторинга, автоматизации развертывания/настройки/контроля мультивендорных сетей, унифицированного управления виртуальными и физическими сетями с единой консоли, что ускоряет развертывание сервисов, упрощает управление, повышает доступность сети, избавляет от сложностей, связанных с применением множества систем администрирования. Причем система может управлять устройствами десятков других производителей сетевого оборудования.


HP FlexFabric поддерживает коммутацию в сетях до 100GbE на уровне ядра и до 40GbE на уровне доступа, использует технологию HP Virtual Connect. Внедряя архитектуру FlexFabric, организации могут поэтапно перейти от трехуровневых сетей на оптимизированные двух- и одноуровневые сети.

Заказчики могут поэтапно переходить от проприетарных устаревших сетей к архитектуре HP FlexNetwork с помощью HP Technology Services. HP предлагает услуги по миграции от проприетарных сетевых протоколов, например Cisco EIGRP (хотя в Cisco этот протокол называют «открытым стандартом»), к действительно стандартным протоколам маршрутизации OSPF v2 и v3. Кроме того, HP предлагает сервисы администрирования FlexManagement и набор услуг, касающихся жизненного цикла каждого модульного «строительного блока» HP FlexNetwork, включая планирование, проектирование, внедрение и сопровождение корпоративных сетей.

HP продолжает улучшать возможности своего оборудования, как на уровне аппаратных платформ, так и на основе концепции Software Defined Network (SDN), внедряя различные протоколы динамического управления коммутаторами и маршрутизаторами (OpenFlow, NETCONF, OVSDB). Для построения масштабируемых Ethernet фабрик в ряде моделей сетевых устройств HP внедрены такие технологии как TRILL, SPB, VXLAN (перечень устройств с поддержкой этих протоколов постоянно расширяется). В дополнение к стандартным протоколам категории DCB (в частности VPLS), HP разработаны и активно развиваются фирменные технологии эффективного объединения географически распределенных ЦОД в единую L2 сеть. Например, текущая реализация протокола HP EVI (Ethernet Virtual Interconnect) позволяет подобным образом объединить до 64-площадок ЦОД. Совместное же использование HP EVI и протокола виртуализации устройств HP MDC (Multitenant Device Context) предоставляет дополнительные возможности по расширению, повышение надежности и безопасности распределенных виртуализированных L2 сетей.

Выводы

В каждом конкретном случае выбор архитектуры сети зависит от множества факторов – технических требований к КСПД или ЦОД, пожеланий конечных пользователей, планов развития инфраструктуры, опыта, компетенции и т.д. Что касается проприетарных и стандартных решений, то первые подчас позволяют справиться с задачами, для которых не подходят стандартные решения. Однако на границе сегментов сети, построенной на оборудовании разных вендоров, возможности их использования крайне ограничены.

Масштабное применение проприетарных протоколов в качестве основы для корпоративной сети, может серьезно ограничить свободу выбора, что в конечно счете влияет на динамичность бизнеса и увеличит его издержки.

Открытые, основанные на стандартах решения помогают компаниям переходить с унаследованных архитектур к современным гибким сетевым архитектурам, отвечающие таким актуальным задачам как облачные вычисления, миграция виртуальных машин, унифицированные коммуникации и доставка видео, высокопроизводительный мобильный доступ. Организации могут выбирать лучшие в своем классе решения, отвечающие потребностям бизнеса. Использование открытых, стандартных реализаций протоколов снижает риски и стоимость изменений сетевой инфраструктуры. Кроме того, открытые сети, с объединенными физическими и виртуальными сетевыми ресурсами и их функционалом, упрощают перенос приложений в частное и публичное облако.

Наши предыдущие публикации:

» Внедрение MSA в виртуализированном окружении предприятия
» Добавить метки

31.10.2017 | Владимир Хазов

Основная задача интернет-провайдера - оказание услуг связи абонентам (доступ в интернет, телефония, цифровое телевидение и другие). А для того, чтобы обеспечить доступ к этим услугам, необходимо построить сеть. В прошлой мы рассказали про основные шаги по созданию интернет-провайдера, в этой остановимся подробнее на построении сети.

На рисунке приведена эталонная модель построения сети. Она представляет собой топологию «дерево» (объединение нескольких топологий «звезда») с дополнительными избыточными связями. Избыточность компенсирует главный недостаток данной топологии (отказ одного из узлов влияет на работу всей сети), но и увеличивает без того чрезмерный расход кабеля вдвое. Для уменьшения затрат на кабель многие организации «усиливают» только наиболее значимые части сети.

Следует помнить, что это всего лишь модель, а следовательно, деление на уровни может быть условным - некоторые устройства могут реализовывать сразу оба уровня, а какие-то уровни могут вовсе отсутствовать.

Как видно, данная модель состоит из четырех уровней:

  • уровень доступа;
  • уровень агрегации;
  • уровень ядра сети;
  • серверный уровень.

Разберем каждый из них по отдельности.

Уровень доступа

Главным процессом на этом уровне является подключение оборудования клиента (компьютер, Wi-Fi-маршрутизатор) к сети провайдера. Здесь оборудованием провайдера являются коммутаторы (если это локальная сеть и планируется подключение при помощи проводной среды) либо базовые станции (если подключение происходит через беспроводную среду). Как правило, для организации управляемой сети используют коммутаторы второго уровня (L2), реже - третьего (L3). Некоторые провайдеры на этапе строительства локальной сети отдают предпочтение неуправляемым коммутаторам, впоследствии это может сказаться на качестве предоставляемых услуг.

Также для удешевления стоимости подключения используются устройства с максимальным количеством физических интерфейсов 24/48. В роли управляемых коммутаторов второго уровня хорошо зарекомендовали себя Cisco Catalyst серий 2900, 3500 и 3700, но многие операторы выбирают Eltex, SNR и прочие российские разработки, как более доступные по цене.

Коммутаторы L3 на данном уровне встречаются достаточно редко, так как они дороже, чем L2, и их размещение в технических помещениях многоэтажек связано с определенными рисками. Если коммутаторы L3 и встречаются на уровне доступа, то лишь в объединении уровня доступа и уровня агрегации. Частным примером использования является кабинет в офисе либо отдел, а в случае с провайдером - многоквартирный дом или жилая секция в этом доме.

Стоит отметить, что при строительстве сети каждый провайдер сам выбирает степень ее сегментирования. Сегмент сети, или VLAN (Virtual Local Area Network), позволяет объединить группу пользователей в одну логическую сеть либо обособить каждого по отдельности. Считается очень плохим тоном, когда сеть «плоская», то есть клиенты, коммутаторы, маршрутизаторы и серверы находятся в одном логическом сегменте. Такая сеть имеет очень много недостатков. Более правильным решением является разделение целой сети на более мелкие подсети, в идеальном варианте - выделять VLAN для каждого клиента.

Уровень агрегации

Промежуточный уровень между ядром сети и уровнем доступа. Как правило, этот уровень реализуется на L3-коммутаторах, реже - на маршрутизаторах из-за их высокой стоимости и, опять же, особенностей эксплуатации в помещениях определенного типа. Основная задача оборудования сводится к объединению линков от коммутаторов уровня доступа на «магистральном» коммутаторе по топологии «звезда».

Расстояние от коммутаторов доступа до коммутаторов этой группы может достигать нескольких километров. Если на уровне доступа используются L2-коммутаторы, а сеть сегментирована, то на этом уровне организуются L3-интерфейсы для VLAN, прописанных на уровне доступа. Такой подход способен несколько разгрузить ядро сети, так как в этом случае ядро не имеет записей о самих VLAN и параметрах VLAN-интерфейсов, а имеет только маршрут до конечной подсети.

Наиболее популярное оборудование, используемое провайдерами для реализации работы этого уровня, - Cisco Catalyst серии 3750 и 3550, в частности WS-C3550–24-FX-SMI.

Последний получил популярность благодаря наибольшему количеству оптических интерфейсов, но, к сожалению, устарел и не соответствует современным требованиям к строительству сетей. Также достаточно хорошо справляется с задачами этого уровня оборудование фирмы Foundry (ныне Brocade), Nortel (устарел), Extreme, SNR и Eltex. Оборудование, предоставляемое Foundry/Brocade, позволяет использовать шасси и слоты расширения к нему и наращивать производительность по мере необходимости.

Уровень ядра

Ядро является неотъемлемой частью любой сети. Данный уровень реализуется на маршрутизаторах, реже - на высокопроизводительных L3-коммутаторах (опять же, для уменьшения стоимости самой сети.) Как было сказано ранее, в зависимости от архитектуры сети, ядро может «держать» статические маршруты либо иметь настройки для динамической маршрутизации.

Серверный уровень

Реализуется, как понятно из названия, серверами сети. Реализация может быть как на серверных платформах, так и на специализированном оборудовании. ПО для серверных платформ на сегодняшний день представлено разными производителями и под разными видами лицензий, равно как и ОС, на которых будет работать это программное обеспечение. Стандартный набор провайдера на этом уровне:

  • DHCP-сервер;
  • DNS-сервер;
  • один или несколько серверов доступа (если таковые необходимы);
  • сервер AAA (radius или diameter);
  • сервер биллинга;
  • сервер баз данных;
  • сервер хранения flow-статистики и биллинговой информации;
  • сервер мониторинга сети;
  • сервисы развлечений для пользователей (опционально);
  • серверы контента (такие как Coogle Cache).

Эти сервисы мы подробно рассмотрим в следующей статье.

Пограничный уровень

Пограничный уровень обычно отсутствует на схемах, приведенных в самом начале, так как работает вне основной сети, хотя и может быть реализован на уровне ядра. Но лучше для этих целей выделить самостоятельное устройство. На данном уровне происходит обмен трафиком между провайдером и вышестоящим провайдером либо между AS (автономной системой) оператора с другими автономными системами (в случае использования BGP). В начале строительства сети уровень может быть реализован и на сервере доступа, но впоследствии, как только возникнет необходимость добавления еще одного сервера доступа, встанет вопрос о подсети из собственных реальных адресов.

Данную потребность можно реализовать на маршрутизаторах либо на L3-коммутаторах - достаточно зароутить внешний пул адресов из собственной внешней подсети на IP-адрес, выдаваемый провайдером при подключении.

Итоговая схема сети интернет-провайдера может выглядеть так, но на практике она модифицируется под определенные задачи.

В следующих статьях мы расскажем об основных сервисах, которые необходимо использовать в сети интернет-провайдера, а также о способах конвергенции некоторых из них с помощью платформы .

Более подробную информацию о преимуществах современной системы глубокого анализа трафика СКАТ DPI, ее эффективном использовании на сетях операторов связи, а также о миграции с других платформ вы можете узнать у специалистов компании , разработчика и поставщика системы анализа трафика DPI.

Еще одной новой проблемой, которую нужно учитывать при объединении трех и более компьютеров, является проблема их адресации, точнее адресации их сетевых интерфейсов. Один компьютер может иметь несколько сетевых интерфейсов. Например, для создания полносвязной структуры из N компьютеров необходимо, чтобы у каждого из них имелся N - 1 интерфейс.

По количеству адресуемых интерфейсов адреса можно классифицировать следующим образом:

Уникальный адрес (unicast) используется для идентификации отдельных интерфейсов;

Групповой адрес (multicast) идентифицирует сразу несколько интерфейсов, поэтому данные, помеченные групповым адресом, доставляются каждому из узлов,входящих в группу;

Данные, направленные по широковещательному адресу (broadcast), должны быть до ставлены всем узлам сети;

Адрес произвольной рассылки (anycast), определенный в новой версии протокола IPv6, так же, как и групповой адрес, задает группу адресов, однако данные, посланные по этому адресу, должны быть доставлены не всем адресам данной группы, а любому из них.

Адреса могут быть числовыми (например, 129.26.255.255 или 81.la.ff.fF) и символьными

(site.domen.ru, willi-winki) .

Символьные адреса (имена) предназначены для запоминания людьми и поэтому обычно несут смысловую нагрузку. Для работы в больших сетях символьное имя может иметь иерархическую структуру, например ftp-arch1 .ucl.ac.uk. Этот адрес говорит о том, что данный компьютер поддерживает ftp-архив в сети одного из колледжей Лондонского университета (University College London - ucl) и эта сеть относится к академической ветви (ас) Интернета Великобритании (United Kingdom - uk). При работе в пределах сети Лондонского университета такое длинное символьное имя явно избыточно и вместо него можно пользоваться кратким символьным именем ftp-arch 1. Хотя символьные имена удобны для людей, из-за переменного формата и потенциально большой длины их передача по сети не очень экономична.

Множество всех адресов, которые являются допустимыми в рамках некоторой схемы адресации, называется адресным пространством.

Адресное пространство может иметь плоскую (линейную) организацию (рис. 1) или иерархическую организацию (рис. 2). При плоской организации множество адресов никак не структурировано. Примером плоского числового адреса является МАС-адрес, предназначенный для однозначной идентификации сетевых интерфейсов в локальных сетях. Такой адрес обычно используется только аппаратурой, поэтому его стараются сделать по возможности компактным и записывают в виде двоичного или шестнадцатеричного числа, например 0081005е24а8. При задании МАС-адресов не требуется выполнение ручной работы, так как они обычно встраиваются в аппаратуру компанией-изготовителем, поэтому их называют также аппаратными адресами (hardware address). Использование плоских адресов является жестким решением - при замене аппаратуры, например сетевого адаптера, изменяется и адрес сетевого интерфейса компьютера.

При иерархической организации адресное пространство структурируется в виде вложенных друг в друга подгрупп, которые, последовательно сужая адресуемую область, в конце концов, определяют отдельный сетевой интерфейс. В показанной на рис. 2 трехуровневой структуре адресного пространства адрес конечного узла задается тремя составляющими: идентификатором группы (К), в которую входит данный узел, идентификатором подгруппы (I) и, наконец, идентификатором узла (и), однозначно определяющим его в подгруппе. Иерархическая адресация во многих случаях оказывается более рациональной, чем плоская. В больших сетях, состоящих из многих тысяч узлов, использование плоских адресов приводит к большим издержкам - конечным

узлам и коммуникационному оборудованию приходится оперировать таблицами адресов, состоящими из тысяч записей. В противоположность этому иерархическая система адресации позволяет при перемещении данных до определенного момента пользоваться только старшей составляющей адреса (например, идентификатором группы К), затем для дальнейшей локализации адресата задействовать следующую по старшинству часть (I)и в конечном счете - младшую часть (п).

Типичными представителями иерархических числовых адресов являются сетевые IP - и IPX-адреса. В них поддерживается двухуровневая иерархия, адрес делится на старшую часть - номер сети и младшую - номер узла. Такое деление позволяет передавать сообщения между сетями только на основании номера сети, а номер узла требуется уже после доставки сообщения в нужную сеть; точно так же, как название улицы используется почтальоном только после того, как письмо доставлено в нужный город.

На практике обычно применяют сразу несколько схем адресации, так что сетевой интерфейс компьютера может одновременно иметь несколько адресов-имен. Каждый адрес задействуется в той ситуации, когда соответствующий вид адресации наиболее удобен. А для преобразования адресов из одного вида в другой используются специальные вспомогательные протоколы, которые называют протоколами разрешения адресов. Пользователи адресуют компьютеры иерархическими символьными именами, которые автоматически заменяются в сообщениях, передаваемых по сети, иерархическими числовыми адресами. С помощью этих числовых адресов сообщения доставляются из одной сети в другую, а после доставки сообщения в сеть назначения вместо иерархического числового адреса используется плоский аппаратный адрес компьютера. Проблема установления соответствия между адресами различных типов может решаться как централизованными, так и распределенными средствами.

При централизованном подходе в сети выделяется один или несколько компьютеров (серверов имен), в которых хранится таблица соответствия имен различных типов, например символьных имен и числовых адресов. Все остальные компьютеры обращаются к серверу имен с запросами, чтобы по символьному имени найти числовой номер необходимого компьютера.

При распределенном подходе каждый компьютер сам хранит все назначенные ему адреса разного типа. Тогда компьютер, которому необходимо определить по известному иерархическому числовому адресу некоторого компьютера его плоский аппаратный адрес, посылает в сеть широковещательный запрос. Все компьютеры сети сравнивают содержащийся в запросе адрес с собственным. Тот компьютер, у которого обнаружилось совпадение, посылает ответ, содержащий искомый аппаратный адрес. Такая схема использована в протоколе разрешения адресов (Address Resolution Protocol, ARP) стека TCP/IP .

Достоинство распределенного подхода состоит в том, что он позволяет отказаться от выделения специального компьютера в качестве сервера имен, который, к тому же, часто требует ручного задания таблицы соответствия адресов. Недостатком его является необходимость широковещательных сообщений, перегружающих сеть. Именно поэтому распределенный подход используется в небольших сетях, а централизованный - в больших.

Конечной целью данных, пересылаемых по сети, являются не сетевые интерфейсы или компьютеры, а выполняемые на этих устройствах программы - процессы. Поэтому в адресе назначения наряду с информацией, идентифицирующей интерфейс устройства, должен указываться адрес процесса, которому предназначены посылаемые по сети данные.

Очевидно, что достаточно обеспечить уникальность адреса процесса в пределах компьютера. Примером адресов процессов являются номера портов TCP и UDP, используемые в стеке TCP/IP .

Подсети сегментируют сети на небольшие области, в которых используется свое собственное пространство, они являются аналогом классовых сетей, только содержащими меньше хостов. Для создания адресов подсетей, «заимствуются» часть битов из адреса хоста в IP адресе.

Сетевым администраторам часто необходимо разделять сети, особенно большие, на маленькие сети. Эти небольшие части сети называются подсетями (subnetworks или subnets), которые предоставляют возможность гибкой адресации. В этом разделе описываются назначение и функции подсетей и их схемы адресации.

Компания, занимающая трех этажное здание, может иметь сеть, разделенную по этажам, а затем на каждом этаже разбитую по офисам. Представим здание как сеть, этажи это три подсети, а офисы — персональные адреса хостов.

Подсеть разделяет хосты внутри сети. Без подсетей, сеть имеет плоскую топологию (flat topology). Плоская топология обладает небольшой таблицей маршрутизации, и она основывается на втором уровне на основе MAC адресов для доставки пакетов. MAC адреса имеет не иерархической структуру, однако, при росте сети, использование пропускной способности канала становится все менее эффективным.

Здесь приведены недостатки плоской сети:

Все устройства используют одну полосу пропускания.
Все устройства используют общий широковещательный домен уровня 2.
Сложно использовать политику безопасности, потому что нет границ между устройствами.

В Ethernet сети, соединенной концентраторами, каждый хост видит все пакеты данных отправляемых в сеть. В сети с коммутаторами хост будет видеть только все широковещательные рассылки. В ситуации, когда очень большой трафик, это может привести к увеличению коллизий. Коллизии происходят, когда два или более устройства передают данные одновременно в один сегмент сети. Устройства, обнаружившие коллизию, останавливают передачу, а затем начинают повторную отправку через случайный интервал времени. Для пользователей это процесс ощущается как замедление работы сети. В этой ситуации могут использоваться маршрутизаторы, выполняющие помимо других функций, разделение сетей на несколько подсетей.

Здесь приведен ряд преимуществ, которые получаются при разделении сети на подсети:

Небольшие сети проще в управлении и отображении по географическим или функциональным признакам.
Перегрузка сети уменьшается, что может улучшить характеристики.
Проще накладывать ограничения по безопасности при установке соединений между сетями, чем в целой сети.

При такой сетевой конфигурации, каждая подсеть может быть соединена к Интернету через один маршрутизатор. В этом примере, сеть подразделяется на несколько подсетей. Реальная внутренняя структура сети и каким образом сеть разделена на множество подсетей является неважным для других IP сетей.



Рекомендуем почитать