Партнерка на США и Канаду по недвижимости, выплаты в крипто

• 30% recurring commission
• Выплаты в USDT
• Вывод каждую неделю
• Комиссия до 5 лет за каждого referral

Типы ядра

В большинстве малых сетей используется вырожденный (collapsed) тип ядра. Выро­жденное ядро состоит из одного маршрутизатора, выполняющего роль ядра сети и со­единенного со всеми остальными маршрутизаторами уровня распределения. (В совсем мелких сетях маршрутизатор вырожденного ядра может быть подключен непосредст­венно к маршрутизаторам уровня доступа, минуя, таким образом, уровень распреде­ления, который зачастую просто отсутствует в сетях малого размера.)

Вырожденные ядра легко поддаются обслуживанию (как-никак, а дело приходится иметь всего лишь с одним маршрутизатором), однако достаточно негативно влияют на возможность масштабирования сети (вдумайтесь только — всего-навсего один мар­шрутизатор!). Основной причиной плохой масштабируемости сетей с вырожденным ядром является необходимость прохождения каждого пакета сети через центральный маршрутизатор, что в конечном итоге может вызвать перегрузку даже самых больших и быстрых маршрутизаторов. К сожалению, необходимо также отметить очень тесную связь понятия вырожденного ядра с понятием одиночной точки отказа, которая весь­ма лаконично может быть описана следующим законом Мерфи: "Вышедший из строя маршрутизатор сети обязательно окажется маршрутизатором вырожденного ядра".

Поскольку вырожденное ядро с одним маршрутизатором не соответствует по­требностям крупной сети, в большинстве корпоративных сетей используется группа маршрутизаторов, соединенных между собой высокоскоростной локальной сетью (Local Area Network — LAN), или объединение высокоскоростных каналов глобальных сетей (Wide Area Network — WAN), которые формируют ядро сети. Использование базовой сети вместо единственного маршрутизатора в качестве яд­ра позволяет предусмотреть избыточность еще на этапе проектирования и сохра­няет возможность масштабирования сети путем добавления в ядро новых маршру­тизаторов и каналов передачи информации.

Довольно часто удачно спроектированная базовая сеть поддается обслуживанию так же легко, как и ядро, состоящее из одного маршрутизатора (вырожденное ядро). К тому же базовая сеть более устойчива по отношению к различным неисправностям и гораздо лучше масштабируется, чем ядро, состоящее из одного маршрутизатора. Более подробно проектирование базовой сети рассматривается в главе 3, "Избыточность в иерархических сетях".

Уровень распределения

Перед уровнем распределения сети поставлено три четко сформулированные задачи.

•  Изоляция последствий изменения топологии.

•  Управление размером таблицы маршрутизации.

•  Агрегация сетевого трафика.

Для достижения этих целей используются две основные стратегии, реализуемые на уровне распределения.

•  Суммирование маршрутов.

•  Минимизация числа каналов, соединяющих уровень распределения с ядром сети.

Большинство функций уровня распределения рассматривается в главах 2, "Адресация и суммирование'", 4, "'Применение принципов построения иерархических сетей на практике"', и 5, "Проектирование OSPF-сетей".

Уровень распределения отвечает за агрегацию сетевого трафика. Агрегация достигается за счет объединения трафика, поступающего по большому числу низкоскоростных каналов передачи информации, связывающих уровень распределения с устройствами уровня дос­тупа, в несколько широкополосных каналов, связывающих уровень распределения с ядром сети. Подобная стратегия порождает в сети эффективные точки суммирования и уменьша­ет количество маршрутов, которое должны принимать во внимание маршрутизаторы ядра при принятии решения о коммутации пакетов. Более подробно значимость такого подхода рассматривается в главе 3, "Избыточность в иерархических сетях".

Уровень доступа

Перед уровнем доступа сети поставлено три основные задачи.

•  Формирование сетевого трафика.

•  Контроль доступа к сети.

•  Выполнение других функций пограничных устройств.

Устройства уровня доступа соединяют высокоскоростные каналы локальных сетей с каналами глобальной сети, несущими трафик на уровень распределения. Устройства уровня доступа представляют собой видимую часть сети; именно они ассоциируются у большинства заказчиков с понятием "сеть".

Формирование сетевого трафика

Следует обязательно убедиться в том, что трафик, сформированный на уровне доступа сети, не перегружает канал, соединяющий уровень доступа с уровнем распределения. Несмотря на то что эта задача решается главным образом на этапе определения пропускной способности канала передачи информации, она имеет отношение к расположению пары "сервер—служба" и фильтрации пакетов. Трафик, не предназначенный для узла за преде­лами локальной сети, не должен передаваться устройством уровня доступа.

Никогда не используйте устройства уровня доступа в качестве промежуточной точ­ки при передаче транзитного трафика между двумя маршрутизаторами уровня распре­деления — а именно такая ситуация свойственна сетям с высокой степенью избыточ­ности. Более подробно возможности избежать подобной проблемы и другие вопросы, связанные с избыточностью на уровне доступа, обсуждаются в главе 3, "Избыточность в иерархических сетях".

Контроль доступа сети

Будучи местом фактического подключения заказчиков к сети, уровень доступа яв­ляется отличной платформой для злоумышленников, которые пытаются незаконным образом проникнуть в сеть. Для того чтобы блокировать подозрительный трафик, включая пакеты, источником которых является узел за пределами локальной сети, не­обходимо воспользоваться фильтрацией пакетов. Фильтрация пакетов позволяет пре­дотвратить множество различных типов атак, исходящих из уязвимых сегментов сети, в основе которых лежит подмена (или спуфинг (spoofing)) адресов источников. Помимо этого, уровень доступа предоставляет прекрасную возможность реализовать фильтра­цию пакетов, защищающую подключенные к локальному сегменту устройства от атак извне (или даже изнутри) вашей сети.

Меры безопасности, реализуемые на уровне доступа

Несмотря на то что большая часть мер безопасности реализуется на участке соеди­нения сети с внешним миром, в частности с Internet, фильтрация пакетов на уровне доступа, которая позволяет регулировать входящий трафик, может значительно повы­сить безопасность всей сети.

Рассмотрим пример. Предположим, что для обеспечения элементарных мер безо­пасности вам необходимо реализовать фильтрацию пакетов в маршрутизаторе уровня оступа (рис. 1.4).

Ниже перечислены элементарные фильтры, которые должны быть реализованы в устройстве уровня доступа.

•  Запрет спуфинга.

•  Запрет источника с широковещательным адресом.

•  Запрет направленного широковещания.

Запрет спуфинга

В рассматриваемом примере (см. рис. 1.4) необходимо разрешить передачу маршрути­затором только тех пакетов, источником которых являются узлы сети 10.1.4.0/24.

Запрет источника с широковещательным адресом

Широковещательный адрес 255.255.255.255 и широковещательный адрес сегмента 10.1.4.255 не являются допустимыми адресами источника и должны отфильтровывать­ся устройством уровня доступа.

Запрет направленного широковещания

Направленным широковещанием (directed broadcast) называется пакет, адресом назна­чения которого является широковещательный адрес сегмента. Маршрутизаторы, не подключенные к сегменту, которому предназначается направленное широковещание, будут передавать такой пакет как пакет с уникальным адресом назначения, в то время как маршрутизаторы, подключенные к указанному сегменту, преобразуют направлен­ное широковещание в обычное, предназначенное всем узлам сегмента.

Предположим, что маршрутизаторе (см. рис. 1.4) посылает пакет с адресом на­значения 10.1.4.255. Маршрутизаторы, входящие в облако сети, передадут данный па­кет маршрутизатору А, который заменит IP-адрес назначения и адрес физического уровня широковещательным адресом (255.255.255.255 для IP-адреса и FF. FF. FF. FF. FF для МАС-адреса Ethernet), после чего передаст пакет в локальный сегмент Ethernet.

Направленное широковещание достаточно часто используется сетевыми операци­онными системами, которые применяют широковещательную передачу для установки соединений типа клиент/сервер. Направленное широковещание может быть сгенери­ровано путем применения вспомогательного IP-адреса (IP helper address) на интерфейсе маршрутизатора, к которому подключены рабочие станции.

Если необходимость в использовании направленного широковещания для обраще­ния к серверам или службам локального сегмента отсутствует, примените команду уровня интерфейса no ip directed broadcast для того, чтобы запретить преобразование направленного широковещания в локальное и предотвратить дальнейшую передачу пакетов. В результате применения команды no ip directed broadcast в рассмотренном ранее примере маршрутизатор проигнорирует все пакеты с адресом назначения 10.1.4.255, принятые от любого источника сети.

Один из способов снизить частоту применения направленного широковещания — использовать при определении вспомогательных IP-адресов действительный IP-адрес сервера вместо широковещательного адреса сегмента, которому принадлежит данный сервер. Даже в том случае, если направленное широковещание используется для об­ращения к устройствам непосредственно подключенного локального сегмента, вы все еще можете блокировать направленное широковещание с неизвестных источников или с источников, находящихся вне вашей сети.

Реализация в устройствах уровня доступа упомянутых элементарных пакетных фильтров способна предотвратить огромное число атак, направленных против вашей сети или проходящих через нее.

Другие службы пограничных устройств

Некоторые службы рекомендуется реализовать в пограничных устройствах сети (еще до того, как пакеты будут переданы какому-либо другому маршрутизатору), так как именно в этом случае удается достичь максимального эффекта от их использова­ния. Ниже приведены наиболее распространенные примеры таких служб, получивших название служб пограничных устройств (edge services).

•  Маркировка пакетов для маршрутизации, осуществляемой в соответствии с критерием качества обслуживания (Quality of Service — QoS). В случае при­ менения технологии передачи голосовой информации по сетям IP или про­ ведения видеоконференции рекомендуется осуществлять маркировку тра­ фика, передаваемого в режиме реального времени, с помощью флага высо­ кого приоритета IP-пакета, поскольку такие пакеты передаются по сети с меньшей задержкой (в данном случае делается предположение о соответст­ вующей настройке маршрутизаторов).

•  Уничтожение туннеля. Как правило, туннели используются для передачи широ­ ковещательного трафика, протоколов, не коммутируемых ядром, а также защи­ щенного трафика (виртуальные частные каналы).

•  Измерения объема и учет трафика. Эти службы включают в себя службы мар­ шрутизаторов Cisco Net Flow.

•  Маршрутизация по правилам. Более подробно маршрутизация по правилам описана выше в этой главе, в разделе "Практический пример: маршрутизация по правилам".

Подключение к службами общего назначения

Службой общего назначения может считаться любая служба, к которой регулярно обращается большое число пользователей сети. Примером службы общего назначения может быть кластер серверов, соединение с внешним маршрутным доменом (например, сеть партнеров или Internet) либо мэйнфрейм. Ниже приведены два наи­более распространенных метода подключения ресурсов этого типа к вашей сети.

•  Подключение непосредственно к ядру сети.

•  Подключение через демилитаризованную зону (DeMilitarized Zone — DMZ).

Выбор способа подключения данных служб к сети зависит от особенностей ее то­пологии (таких, как адресная схема и избыточность, которые более подробно рассмат­риваются в главах 2—4), потока трафика и архитектуры. Как правило, в случае под­ключения внешнего маршрутного домена рекомендуется создать буферную зону меж­ду внешним доменом и ядром сети. Другие службы общего назначения, такие, как мэйнфреймы и кластеры серверов, чаще всего подключаются непосредственно к ядру.

На рис. 1.5 изображен один из способов подключения сети к службам общего назначения.

Все внешние маршрутные домены подключены через одну демилитаризованную зону (DMZ) в то время, как высокоскоростные устройства, доступ к которым необхо­дим бЬлвшому числу пользователей сети, подключены к общему высокоскоростному сегменту за пределами ядра.

Одна из наиболее веских причин организации демилитаризованной зоны — необ­ходимость буферизации трафика (это касается физического уровня сети). Достаточно распространенной проблемой маршрутизации является необходимость передачи тра­фика с радикально различающейся скоростью, например несколько каналов FDDI, соединенных с ядром сети, формируют трафик для передачи по каналу Т1 в Internet. Другие аспекты подключения к сети служб общего назначения и внешних маршрут­ных доменов рассматриваются в главах 2—4 этой книги.

Резюме

Иерархическая маршрутизация является наиболее эффективным способом проек­тирования крупномасштабной сети благодаря отмеченным ниже преимуществам.

•  Иерархия подразумевает разделение одной большой проблемы на несколько более мелких, каждая из которых может быть решена отдельно от других.

•  Позволяет эффективно уменьшить размер участка сети, на который влияет из­ менение топологии.

•  Позволяет уменьшить объем обрабатываемой и поддерживаемой маршрутизато­ рами информации.

•  Создает предпосылки для проведения суммирования маршрутов и агрегации трафика.

В табл. 1.1 рассматриваются три уровня иерархической модели сети.

Итак, когда же лучше всего начать разрабатывать иерархическую модель вашей се­ти? Прямо сейчас. Очень важно реализовать иерархическую структуру в самом начале жизненного цикла сети, т. е. тогда, когда сеть еще не достигла крупного размера. Чем масштабнее будет становиться сеть, тем сложнее будет провести изменение ее струк­туры. Запомните: тщательное проектирование сети сегодня поможет избежать огром­ных затрат времени на устранение сетевых неполадок в будущем.

Практический пример: важна ли иерархия в коммутируемых сетях

Поскольку коммутируемые сети являются одноуровневыми по своей структуре, вопросам иерархии не стоит уделять такое пристальное внимание, не так ли? Прежде чем ответить на этот в некоторой степени провокационный вопрос, изучите сеть, схе­ма которой представлена на рис. 1.6.

Предположим, что коммутатор С был назначен корневым мостом данной сети. Ес­ли коммутаторы В и С будут передавать пакеты через каждый из своих портов, это приведет к созданию петли между сетями, к которым подключены данные коммутато­ры. Поскольку корневой мост не может блокировать ни одного из своих портов, эта задача должна быть возложена на коммутатор В.

Если коммутатор В заблокирует порт, отмеченный на рис. 1.6 стрелкой, то, не­смотря на нормальное функционирование сети, трафик, направленный от рабочей станции Е к рабочей станции А, вынужден будет совершить на один переход больше.

Поскольку коммутатор В блокирует один из своих портов, трафик сначала пройдет через коммутатор В, затем по Ethernet до коммутатора С и наконец к коммутатору А. Если бы коммутатор В заблокировал порт, подключенный к другой сети Ethernet, рас­положенной между коммутаторами В и С, подобной проблемы удалось бы избежать.

Предотвратить рассмотренную ситуацию можно путем ручной настройки приори­тета портов на всех коммутаторах сети; однако гораздо проще настроить всего лишь один мост таким образом, чтобы он всегда являлся корневым.

При этом вы можете быть заблаговременно уверены в выборе пути между двумя любыми точками сети. Для того чтобы предотвратить перегрузку канала и обеспечить логический поток трафика через сеть, необходимо реализовать иерархическую модель коммутируемой сети, способную гарантировать приемлемое время пересчета охваты­вающего дерева и обеспечивать логический поток трафика.

Необходимо понимать, что коммутируемые сети являются одноуровневыми только на уровне 3 эталонной модели OSI, в то время как на уровне 2 для определения пути через сеть они используют коммутаторы.

Вопросы и упражнения

1.  Почему топология сети имеет такое большое значение? Являются ли тополо­ гия сети и логическая структура сети взаимозаменяемыми понятиями?

2.  Почему иерархические сети состоят из нескольких "уровней"?

3.  Назовите уровень сети, на котором должны выполняться приведенные ниже функции/службы. Обоснуйте свой ответ.

•  Суммирование набора сетей назначения для снижения объема информа­ ции, обрабатываемой маршрутизаторами.

•  Маркировка пакетов для проведения маршрутизации, осуществляемой в соответствии с критерием качества обслуживания.

•  Снижение загрузки маршрутизаторов и каналов передачи информации в целях проведения максимально быстрой коммутации пакетов.

•  Измерение объема трафика.

•  Использование стандартного маршрута для достижения внутренних пунк­ тов назначения.

•  Контроль поступающего в сеть трафика с помощью фильтрации пакетов.

•  Агрегация нескольких каналов с невысокой пропускной способностью в один высокоскоростной канал.

•  Уничтожение туннеля.

4. Назовите два фактора, от которых зависит время, необходимое протоколу маршрутизации для завершения процесса сходимости.

5.  Какие типы контроля должны быть реализованы в маршрутизаторе уровня доступа для блокировки атак, исходящих из сети?

6.  Назовите основные преимущества и недостатки вырожденного ядра, состоя­ щего из одного маршрутизатора.

7.  Укажите отличие маршрутизации по правилам от обычной маршрутизации.

8.  Допустима ли в обычной ситуации передача направленного широковещания в локальный сегмент сети?

9. Какими основными факторами определяется число маршрутизаторов, участ­ вующих в процессе сходимости?

10.  Должно ли повреждение сети назначения на уровне доступа инициировать процесс обновления таблиц маршрутизации в маршрутизаторах ядра?

11.  Какова первичная цель ядра сети? Какие стратегии используются для дости­ жения этой цели?

12.  Обоснуйте исключительную важность оптимальной маршрутизации в ядре сети.

13.  Назовите первичные цели уровня распределения сети.

14.  Какие стратегии используются на уровне распределения сети для достижения первичных целей этого уровня?

15.  Назовите первичные цели уровня доступа сети.

Адресация и суммирование

Разобравшись с фундаментальными вопросами построения сети, любой сетевой инженер задумается над тем, что же делать дальше. Разумеется, принять решение о выделении адресок. На первый взгляд назначение сетевых адресов не представляется сложным. Казалось бы, что может быть проще: определить первый адрес и выделять остальные но мере необходимости. Однако не говори "гоп!", пока не перепрыгнешь. Вскоре вы сможете убедиться, что выделение адресов является одним из наиболее трудных этапов проектирования крупномасштабной сети.

Выбрав изначально неверный способ распределения сетевых адресов, вы теряете даже теоретическую надежду на сколько-нибудь значительное расширение масштабов сети. Естественно, на первых порах у вас что-нибудь да получится, однако с опреде­ленного момента все дальнейшие усилия по масштабированию сети будут разбиваться о непреодолимую преграду. Эта глава посвящена основным вопросам, которые необ­ходимо учитывать, принимая решение о выделении сетевых адресов.

Выделение адресов — один из наиболее трудных этапов проектирования сети; ви­ной тому отмеченные ниже особенности.

• В подавляющем большинстве случаев выделение сетевых адресов считается ис­ключительно административной функцией; вопрос о влиянии способа распре­ деления адресов на стабилыюсп. сети при этом, как правило, не обсуждается.

* Изменение способа распределения адресов чрезвычайно затруднено необходимостью повторной настройки отдельных узлов сети.

В действительности причиной практически всех сбоев в работе крупномасштабных сетей в той или иной мере является выбор неверного способа распределения адресов. По­чему так происходит? Все очень просто: ведь стабильность маршрутизации (и ста­бильность самих маршрутизаторов) напрямую зависит от числа существующих в сети маршрутов и объема вычислений, которые должны быть выполнены при изменении топологии сети. Оба этих фактора в некоторой степени могут быть нивелированы суммированием, которое, в свою очередь, весьма существенно зависит от адресной схемы сети (рис. 2.1).

Более подробно тема суммирования в сетях IP рассматривается далее в главе, в разделе "Адресация и суммирование в сетях IP".

На самом деле к выбору способа распределения адресов необходимо относиться как к одному из наиболее тщательно планируемых этапов проектирования сети. При­нимая решение о выделении сетевых адресов, необходимо учитывать две основные цели адресации.

Рис. 2.1. Стабильность сети зависит от топологии, адресации и суммирования

•  Управление размером таблицы маршрутизации.

•  Управление расстоянием, на которое может распространиться информация об изменении топологии сети (аналогично управлению объемом вычислений, про­ водимых маршрутизаторами в ответ на изменение топологии).

Наиболее эффективным средством, позволяющим достичь обе упомянутые цели, является суммирование. Поскольку суммирование представляет собой фундаменталь­ный инструмент обеспечения стабильности сети, ему посвящен весь следующий раз­дел данной главы.

Суммирование

В главе 1, "Принципы иерархического проектирования сетей", упоминалось о том, что стабильность сети в значительной степени зависит от числа маршрутизаторов, ко­торые задействованы в процессе сходимости, вызванном какими-либо изменениями в структуре сети. Суммирование позволяет скрыть подробную информацию о топологии, сужая тем самым участок сети, подверженный изменениям, и уменьшая число маршрутизаторов, участвующих в процессе сходимости.

В качестве примера рассмотрим сеть, схема которой показана на рис. 2.2.

Если канал, ведущий к сети 10.1.4.0/24 или 10.1.7.0/24, будет поврежден, то маршрути­затору Н потребуется учесть данное изменение топологии и принять участие в процессе сходимости (провести пересчет своей таблицы маршрутизации). Ставится вопрос: каким образом можно было бы "спрятать" информацию об изменении топологии от маршрутиза­тора Н так, чтобы ему не пришлось участвовать в процессе сходимости при повреждении каналов, ведущих к сетям 10.1.4.0/24, 10.1.5.0/24, 10.1.6.0/24 и 10.1.7.0/24?

Единственно верный ответ— выполнить суммирование маршрутов 10.1.4.0/24, 10.1.5.0/24, 10.1.6.0/24 и 10.1.7.0/24 в один маршрут 10.1.4.0/22 на уровне маршрутиза­тора G и предоставить информацию об этом единственном маршруте маршрутизато­ру Н. Какие цели будут достигнуты в результате суммирования маршрутов на уровне маршрутизатора G?

Во-первых, это позволит убрать из таблицы маршрутизации маршрутизатора Н под­робную информацию о подсетях, находящихся за границей маршрутизатора G. Таким об­разом, если какой-либо из каналов, ведущих к этим подсетям, будет поврежден, маршрутизатору Н не придется пересчитывать заново свою таблицу маршрутизации. Во-вторых, суммирование четырех маршрутов в один позволит уменьшить общее число маршрутов, с которыми приходится работать маршрутизатору Н. Уменьшенный размер таблицы мар­шрутизации позволяет снизить требования к памяти и вычислительным ресурсам маршру­тизатора, а также положительно влияет на время завершения процесса сходимости при изменении топологии, затрагивающем маршрутизатор Н.

Адресация и суммирование в сетях IP

IP-адрес состоит из четырех частей, каждая из которых представляет собой восемь двоичных цифр (битов (bits)), или один октет (octet). Каждый октет, в свою очередь, представляет собой число в промежутке от 0 до 255. Таким образом, несложно под­считать, что общее количество возможных IP-адресов равняется 232, или 4

Для поддержки иерархии IP-адрес делится на две части: адрес сети и адрес узла. Первый определяет сеть, к которой подключен данный узел; буквально адрес сети обозначает канал передачи информации или физический сегмент. Адрес узла исполь­зуется для однозначного представления каждого узла в сети. Разделение IP-адреса на адрес сети и адрес узла осуществляется с помощью так называемой маски (или маски подсети). Каждый бит IP-адреса, которому соответствует бит маски, установленный в 1, относится к адресу сети. Аналогично, каждый бит IP-адреса, которому соответству­ет бит маски, установленный в 0, относится к адресу узла.

На рис. 2.3 изображено двоичное представление IP-адреса

Рис. 2.3. Двоичное представление IP-адресаПредположим, что маска подсети, соответствующая данному IP-адресу, равна 255.255.224.0; двоичное представление маски подсети показано на рис. 2.4.

Из за большого объема этот материал размещен на нескольких страницах: 1 2 3 4