Projektowanie sieci metodą Top-Down http://www.topdownbook.com Wydanie w języku polskim PWN 2007 Copyright 2004 Cisco Press & Priscilla Oppenheimer W tej części Część II: Projekt logiczny Rozdział 5: Projektowanie topologii Rozdział 6: Plan adresowania i nazewnictwa Rozdział 7: Protokoły L2 i L3 Rozdział 8: Strategia bezpieczeństwa Rozdział 9: Zarządzanie siecią
Topologia, a co to Model hierarchiczny sieci, a płaski Niezawodność, nadmiarowość Modularność Wejścia i wyjścia Chronione obrzeża Model hierarchiczny sieci, czy płaski? Model płaski jest dla małych, niezłożonych sieci, jedna firma, jeden dział, jedna sieć, tańszy Model hierarchiczny przeciwnie: Zmniejsza obciążenie urządzeń sieciowych Ogranicza ruch rozgłoszeniowy L2 i L3 Poprawia czytelność i ułątwia utrzymanie Łatwiejszy do zmiany i konserwacji Łatwiejszy do rozbudowy
Hierarchiczny projekt sieci Campus A Przedsiębiorstwo WAN Backbone Campus B Rdzeń Backbone Campus C Oddział C Backbone Dystrybucja Dostęp Budynek C-1 Budynek C-2 Model płaski a warstwowy Headquarters in Medford Headquarters in Medford Grants Pass Branch Office Klamath Falls Branch Office Ashland Branch Office Grants Pass Branch Office Klamath Falls Branch Office Ashland Branch Office White City Branch Office Topologia płaska, nadniarowa Topologia warstwowa i nadmiarowa
Topologia kratowa Częściowo Full-Mesh, każdy z każdym Kratowa hierarchiczna, typowe rozwiązanie Centrala HQ (Rdzeń) Biura regionalne (Dystrybucja) Odziały w terenie (Dostęp)
Promieniowa Hub-and-Spoke Centrala przedsiębiorstwa Oddział Biuro handlowe Oddział Unikaj skrótów i tylnych wejść Rdzeń Dystrybucja Dostęp Skrót - Chain Tylne wejście - Backdoor
Topologia sieci w oddziale, zasady (według Cisco) Plan hierarchiczny, modułowy Unikanie przewężeń przepustowości Możliwie małe domeny rozgłoszeniowe Zapewnienie nadmiarowości Zwielokrotnienie serwerów Zapasowe ścieżki komunikacji każdej stacji do rutera brzegowego Model sieci przedsiębiorstwa ( Cisco cd. ) Zarządzanie siecią Oddział firmy Dostęp budynków Dystrybucja między budynkami Rdzeń oddziału Infrastruktura oddziału Dystrybucja usług zewnętrznych Styk, brzeg sieci Handel elektroniczny Łączność internetowa VPN/ Zdalny dostęp Styk z operatorami ISP A ISP B PSTN Frame Relay, ATM Farma serwerów WAN
Elementy składowe (Cisco cd.) Zgromadzenie serwerów w farmie serwerów ( nie ma serwerów oddziałowych) Musi być stacja zarządzania Wyraźne oddzielenie modułu dostępu do sieci zewnętrznej ( osobny element ) Moduł obsługi oddziału: Element dostępu budynków Element dystrybucji w budynkach Rdzeń oddziału - Campus backbone Elementy topologii sieci, dziś Niezawodność, nadmiarowość w L2 Użycie sieci VLAN Użycie nadmiarowości w L3 ( w następnym tygodniu )
Najprostsza nadmiarowość L2 Host A LAN X Switch 1 Switch 2 LAN Y Host B 802.1d (s / w) Unikanie pętli mostowych Protokół STP 802.1d Patrz http://www.zsk.p.lodz.pl/~arendt/local/stp.exe Protokół STP 802.1d, a zbieżność Protokół Rapid STP 802.1w (RSTP) Protokół Multiple ST 802.1s (MST)
HSRP, VRRP, GLBP Active Router Virtual Router Enterprise Internetwork Workstation Workstation Standby Router Nadmiarowość L3 Virtual Router Redundancy Protocol standardowy - RFC 3768 Hot Standby Router Protocol ( Cisco ) Gateway Load Balancing Protocol (Cisco)
Nadmiarowość L3 ISP 1 ISP 1 Enterprise Option A Paris Enterprise NY Option C ISP 1 ISP 2 ISP 1 ISP 2 Enterprise Paris Enterprise NY Option B Option D Tworzenie VPN i tunelowanie Tunelowanie L2 wybór: PPTP - Point to Point Tunneling Protocol, RFC2637 (Microsoft) = (Generic Routing Encapsulation (GRE) + TCP sterowanie L2F - Layer 2 Forwarding RFC2341 (Cisco) L2TP - Layer 2 Tunneling RFC3931 (+IPsec) standard IETF 2005 OpenVPN oparty na TCP
Podstawy bezpieczeństwa Bezpieczeństwo fizyczne: ograniczenie dostępu do szaf telecom ograniczenie dostępu do serwerów/farmy ochrona przez zalaniem, pożarem itd Właściwa topologia bezpieczeństwa dobrze zdefiniowane punkty połączeń firewalle i strefy DMZ Przemyślana polityka bezpieczeństwa protokoły, potwierdzanie tożsamości opracowane procedury awaryjne systemy reagowania, obsługi zdarzeń, honeypoty Topologia bezpieczeństwa z pośrednią strefą publiczną Sieć przedsiębiorstwa Strefa DMZ Internet Serwery Web, plików, DNS, poczty
Topologia bezpieczeństwa z wydzielonym firewallem Internet Firewall Strefa DMZ Sieć przedsiębiorstwa Serwery Web, plików, DNS, poczty