Основы любого сетевого проекта и лучшие способы сетевого проектирования
Проектирование и построение сети, которая удовлетворяла бы требованиям предприятия, — задача нетривиальная. Широкий выбор имеющихся сегодня технологических возможностей означает, что в распоряжении потребителей имеется и большое количество различных решений. Следует ли пользоваться беспроводными технологиями? Какие нужно выбирать решения — аппаратные или программные? Существует множество реализаций, заслуживающих доверия, и они могут стать для администраторов практическим руководством для решения поставленной задачи и помочь в выборе правильного сочетания технологий и проектных решений, которые будут соответствовать специфике предприятия. Я начну с напоминания основ любого сетевого проекта, после чего мы рассмотрим некоторые проверенные методы сетевого проектирования.
Модель OSI
Серьезный подход к проектированию сети начинается с модели. Семиуровневая модель взаимодействия открытых систем, Open System Interconnection (OSI), — это промышленный стандарт, описывающий сетевой стек протоколов и применение модели в практических аспектах организации сети. На рис. 1 показана модель OSI и перечислены примеры технологий, которые соответствуют каждому уровню.
Рисунок 1. Семиуровневая модель OSI |
При проектировании сети внимание чаще всего уделяется уровням 2, 3 и 4. Такие устройства, как сетевые карты (NIC), брандмауэры (firewall), маршрутизаторы (router) и коммутаторы (switch), работают в основном с этими тремя уровнями (в редких случаях с уровнем 5). Разобравшись, как разные технологии соотносятся друг с другом для каждого уровня OSI, вы сможете лучше спроектировать и в дальнейшем эксплуатировать сеть предприятия.
Итак, уровень 2 описывает тип топологии для передачи сетевого трафика (т. е. Ethernet, Token Ring, Asynchronous Transfer Mode — ATM, DSL). Уровень 3 описывает протокол передачи данных — обычно это IP, используемый для маршрутизации трафика из одной точки в другую. И наконец, уровень 4 описывает протокол, который приложения более высоких уровней (5-7 уровней стека OSI) будут использовать для связывания друг с другом по сети. Если приложениям нужна гарантированная доставка данных, используется TCP. Когда гарантированная доставка не является необходимой, протокол UDP сможет обеспечить быструю и несложную передачу данных между приложениями. Дополнительные сведения о модели OSI указаны в источниках, перечисленных во врезке «Ресурсы». Теперь, вооруженные этими базовыми знаниями об OSI, давайте перейдем к рассмотрению конкретных вопросов построения типичной сети.
Типовая сеть
Несмотря на то что описать типовую сеть достаточно трудно, рискну предположить, что предприятия с большим количеством офисов, умеренным использованием Web и числом пользователей не менее 1000 будут иметь примерно такую сеть, как изображена на рис. 2. Разберем эту диаграмму, начиная с Internet. По мере продвижения по диаграмме я буду давать советы по каждому аспекту сетевого проекта. В результате должен сформироваться некоторый набор практических рекомендаций для проектирования сети конкретного предприятия.
Internet и брандмауэры
На предприятиях используются различные методы подключения к Internet. Для малого бизнеса вполне достаточно DSL-маршрутизатора и подключения к локальному провайдеру, но большинство предприятий среднего и крупного масштаба для обеспечения отказоустойчивости, как правило, нуждаются в нескольких избыточных подключениях для входящего и исходящего Internet-трафика. Телекоммуникационные компании, такие как AT&T или Sprint, предоставляют высокоскоростные каналы связи для подключения к Internet — диапазон предложений от T1 (1,544 Мбит/с) до OC-12 (622 Мбит/с). Обычно, когда устанавливается Internet-соединение, имеется некоторый диапазон публичных IP-адресов для устройств, которым необходим прямой доступ к Internet, — это могут быть Web-серверы, устройства VPN, proxy-серверы и маршрутизаторы. Провайдер, обеспечивающий подключение к Internet, также может обеспечить и подключение необходимого оборудования или же может потребоваться наличие собственных маршрутизаторов либо устройств доступа к WAN.
Независимо от скорости подключения, для защиты внутренней сети от «дикой» Всемирной паутины нужен брандмауэр. При проектировании и построении брандмауэра можно использовать несколько вариантов. На рис. 2 представлен один общий метод, когда внешний маршрутизатор подключается к Internet напрямую, а внутренний маршрутизатор подключен к внутренней сети предприятия. В модели OSI маршрутизатор, как правило, соответствует уровням 2 и 3. Пример поставщиков аппаратных маршрутизаторов — Cisco Systems, 3COM и Nortel Networks. Маршрутизатор, как явствует из самого его названия, маршрутизирует IP-трафик второго уровня на основе IP-адресов источника и приемника. Кроме того, маршрутизатор может фильтровать пакеты информации уровня 3 (TCP и UDP). Например, можно составить списки доступа для большинства маршрутизаторов для защиты внутренней сети от некоторых видов входящего трафика. Кроме того, можно запретить внутренним пользователям обращаться к некоторым службам (например, к службе Network News Transfer Protocol — NNTP, необходимой для работы с новостными группами). Списки доступа обычно имеют следующую форму:
Например, приведенный ниже список доступа запрещает весь HTTP-трафик между внутренним IP-сегментом 10.1.1.0 и внешним хостом 203.33.43.10:
10.1.1.0 203.33.43.10 deny tcp 80
Порт 80 — хорошо известный TCP-порт для Web- или HTTP-трафика.
Таким образом, брандмауэр становится набором списков доступа, с помощью которых разрешается или запрещается входящий или исходящий трафик. Сеть на рис. 2 имеет как внешние, так и внутренние маршрутизаторы, между которыми располагается сетевой сегмент, содержащий несколько серверов, в том числе Web-серверы, устройства VPN и proxy-серверы для приложений. Этот промежуточный сетевой сегмент часто называется демилитаризованной зоной (Demilitarized Zone, DMZ). Предполагается, что серверы и устройства этого сегмента ненадежны, поскольку Internet-трафик непосредственно замыкается на устройствах DMZ. Таким образом, задача внутреннего маршрутизатора — защитить внутреннюю сеть предприятия от запрещенного трафика, который в действительности может исходить от злоумышленника, сумевшего скомпрометировать один из серверов DMZ и пытающегося проникнуть во внутреннюю сеть.
Брандмауэры не всегда реализуются с помощью маршрутизаторов или какой-либо иной аппаратуры. Программные маршрутизаторы могут играть ту же самую роль, что и аппаратные решения. Например, компания Check Point Software Technologies предлагает хорошо известный продукт Firewall-1, Microsoft выпускает RRAS для платформ Windows Server 2003 и Windows 2000 Server. Многие из программных решений поддерживают интегрированный сервер VPN, который хостирует подключения VPN между внешними пользователями и внутренней сетью. Ответ на вопрос о том, какой задействовать брандмауэр, аппаратный или программный, либо воспользоваться маршрутизатором, зависит от стоимости решения (обычно программные решения дешевле аппаратных при одинаковой функциональности) и его производительности (аппаратные решения, как правило, более производительные).
Рисунок 2. Типичная сетевая топология предприятия |
Еще одна функция, часто присущая маршрутизаторам и устройствам-брандмауэрам, — трансляция сетевых адресов (Network Address Translation, NAT). NAT применяется в ситуациях, когда хосты внутренней сети с частными (private), не маршрутизируемыми в Internet IP-адресами нуждаются в связи с Internet-хостами, для которых установлены публичные (public) IP-адреса. В дальнейшем я буду больше рассказывать о частной IP-адресации, однако серверы NAT предоставляют очень нужную функциональность и в настоящее время присутствуют в большинстве устройств сетевого периметра. Вполне возможно, что вам могут понадобиться такие устройства по сетевому периметру для выполнения функций NAT. Зачастую подобную функциональность предоставляют proxy-серверы.
Proxy-серверы
Proxy-серверы, или просто proxy, — общепринятый элемент сети предприятия. Proxy — это, как правило, программные решения (но могут быть и аппаратные), которые обеспечивают что-то вроде информационной цепочки между хостами внутренней и внешней сети. Самый распространенный тип proxy-сервера — HTTP-proxy (известный также под названием Web-proxy), однако proxy можно использовать для самых разных типов прикладного трафика, включая FTP, Telnet, RPC-приложения и даже Internet Control Message Protocol (ICMP — Ping). Многие читатели, вероятно, хорошо знакомы с Web-proxy, поскольку от ввода адреса proxy-сервера в Microsoft Internet Explorer (IE) никуда не деться, если необходимо обратиться в Internet из локальной сети. Microsoft Internet Security and Acceleration (ISA) Server, работающий на базе Windows Server, — пример другого широко распространенного программного proxy. Proxy действуют как посредники между внутренней и внешней сетью: запросы из внутренней сети во внешнюю замыкаются на них. Например, если я просматриваю http://www.microsoft.com из своей внутренней сети, страничный запрос в действительности поступает на proxy-сервер. Proxy-сервер завершает данный запрос, а затем посылает от моего имени новый запрос на целевой Web-сайт. Таким образом, между внутренней и внешней сетью (Internet) непосредственное соединение отсутствует: proxy-сервер выступает в роли связующего звена. Когда целевой Web-сайт отвечает, proxy снова принимает ответ и отсылает его обратно моему Web-браузеру, с помощью которого я инициировал оригинальное подключение. Кроме того что тем самым достигается дополнительная безопасность сетевой работы, proxy — удобное место для регистрации трафика между внутренней сетью и Internet. Так, если какой-то сотрудник зашел на запрещенный Web-сайт, не составит труда просмотреть журналы proxy и установить, кто и когда посещал данный сайт. Поскольку proxy-серверы требуют доступа к внутренней и внешней сети, они обычно размещаются в DMZ или другом сегменте внутри сетевой топологии. Теперь заглянем в сеть и поговорим о лучших решениях для развертывания коммутаторов, маршрутизаторов, серверных фермах и сегментах рабочих станций.
Внутренняя сеть
Первый вопрос, который необходимо решить при построении внутренней сети предприятия, — это какую схему IP-адресации следует использовать. В большинстве организаций чаще используют частное пространство IP-адресов, а не публичное. Такой подход возник из-за того, что публичное адресное пространство IP ограничено. По мере того как Internet разрастался, а названное ограничение вызывало массу сложностей, частная адресация снижала остроту проблемы. Другая причина широкого использования частной адресации состоит в дополнительной гибкости при расширении IP-сети предприятия: не нужно изменять или разделять адресное пространство IP по мере его роста. Частная IP-адресация следует принятым стандартам Internet, описанным в документе Internet Engineering Task Force (IETF) Request for Comments 1918 (RFC 1918), с которым можно ознакомиться по адресу http://www.isi.edu/in-notes/rfc1918.txt. RFC 1918 описывает следующие три адресных блока, по одному для каждого класса адресов IP (А, В и С), как частные:
(IP-класс адресов A) 10.0.0.0 — 10.255.255.255
(IP-класс адресов B) 172.16.0.0 — 172.31.255.255
(IP-класс адресов C) 192.168.0.0 — 192.168.255.255
Можно задействовать любой из этих трех адресных блоков IP для разбиения внутренней сети на сегменты. Конечно, применение одного или нескольких адресных блоков внутри сети означает, что необходимо присутствие устройства трансляции сетевых адресов, NAT, по периметру сети. Устройство NAT должно транслировать частные адреса в маршрутизируемые публичные адреса; обычно эта задача возлагается на маршрутизатор, proxy или многофункциональное оконечное устройство.
Выбор частного адресного блока для использования на предприятии зависит в основном от размера сети. Если предприятия с разветвленной сетью — с большим числом устройств и множеством маршрутизируемых сегментов — в основном используют адресное пространство класса А (10.х), то в небольших компаниях более подходящим для частной адресации может стать класс В. Многое зависит от того, как сегментирована внутренняя сеть. Когда в 80-х годах прошлого века маршрутизаторы только появились, было принято заводить в корпоративной сети большое число маршрутизируемых сегментов или широковещательных доменов (broadcast domains). Широковещательным домен называется потому, что широковещательный трафик попадает на все устройства, подключенные через маршрутизатор (см. рис. 3). Как правило, маршрутизаторы не пересылают широковещательный трафик. Тогда Ethernet тоже являлся общим протоколом второго уровня OSI, но большинство устройств Ethernet подключались через концентраторы (hub). Если в одном широковещательном домене оказывалось большое число устройств, производительность Ethernet существенно снижалась, поэтому приходилось создавать множество небольших маршрутизируемых сегментов.
В середине 90-х годов на рынке стали преобладать сетевые коммутаторы, и сети стали «расширяться» (т. е. число устройств в одном широковещательном домене увеличилось). Коммутаторы (switch) существенно отличаются от концентраторов (hub) в одном: серверу или рабочей станции, подключенной к порту коммутатора, доступна вся полоса пропускания порта. Другими словами, коммутатор
100 Мбит/с Ethernet обеспечивает полную полосу пропускания 100 Мбит/с для каждого устройства, подключенного к каждому порту коммутатора. Таким образом, коммутатор позволяет сделать широковещательный домен более плоским за счет включения в его состав гораздо большего числа устройств. И типичная локальная сеть будет нуждаться в меньшем числе маршрутизаторов и большем числе коммутаторов.
Обычно коммутаторы в состоянии перемещать трафик по сети во много раз быстрее, чем маршрутизаторы, поскольку коммутаторы работают только на уровне 2 OSI — канальном уровне (data link layer) OSI. Так как коммутаторы не принимают решений о маршрутизации на более высокие уровни и не поддерживают сложных таблиц маршрутизации, они могут пересылать пакеты очень быстро.
Рисунок 3. Широковещательный домен |
Принимая решение о построении коммутируемой сети, вы, вероятно, будете ориентироваться на различные полосы пропускания. Ethernet — самый общий протокол второго уровня OSI, он может использоваться на разных скоростях, включая 1 Гбит/с, 100 Мбит/с и 10 Мбит/с. Некоторые производители работают над стандартом 10 Гбит/с Ethernet. В каждом из этих случаев могут использоваться различные физические носители, включая традиционный медный кабель и волоконно-оптический кабель. В общем случае волоконно-оптический кабель может обеспечить более высокую полосу пропускания на большие расстояния, чем медный, — это тоже может стать критерием выбора того или иного решения. Кто-то может спросить: «Почему я не могу везде проложить Ethernet на 1Гбит/с?». Очевидный ответ — из-за цены: чем больше полоса пропускания, тем она дороже. По этой причине я придерживаюсь правила закладывать только ту полосу пропускания, которая, как я считаю, мне понадобится сегодня и с учетом некоторого ее роста завтра. Срок полезного использования большей части сетевого оборудования составляет от трех до пяти лет, поэтому есть смысл планировать свои потребности на ближайшее время, а не на дальнюю перспективу.
Обычно серверы нуждаются в большей полосе пропускания, чем отдельные рабочие станции, поскольку серверы должны отвечать на запросы сотен, если не тысяч, рабочих станций. В настоящее время подключение серверов к коммутируемому Gigabit Ethernet уже перестало быть редкостью, во всяком случае 100 Мбит/с — это абсолютный минимум, который следует рассматривать.
Также необходимо решить, какую полосу пропускания предоставить настольным системам. Учитывая, что крупные предприятия могут располагать сотнями или тысячами настольных систем, их подключение к Gigabit Ethernet может оказаться неприемлемо дорогим удовольствием. Хороший подход — следить за использованием сети и установить, кто именно нуждается в максимальной полосе пропускания. Может оказаться, что в департаменте, где занимаются графическими проектами, каждую рабочую станцию нужно подключать к сети 100 Мбит/с, тогда как центр обработки заказов будет прекрасно работать и на выделенном сегменте со скоростью 10 Мбит/с.
Какое бы решение вы ни приняли относительно полосы пропускания, следует убедиться, что выбранное оборудование — коммутатор, маршрутизатор или совместно используемый концентратор — даст вам возможность в будущем расширить полосу пропускания и для этого не надо будет выбрасывать старое оборудование и покупать новое. Большинство коммутаторов среднего и высокого класса спроектированы с учетом возможности замены плат на расширяемом шасси, поэтому, когда придет время модернизировать серверную ферму для подключения к Gigabit Ethernet, достаточно будет извлечь платы на 100 Мбит/с и установить более быстрые версии плат — и все это без колоссальных затрат.
Виртуальные LAN
Несмотря на то что в широковещательный домен на обычном коммутаторе можно поместить более 500 устройств, удобнее бывает сегментировать коммутируемый трафик — точно так же сегментировался маршрутизируемый трафик. Большинство интеллектуальных коммутаторов поддерживают концепцию Virtual LAN (VLAN). VLAN — это просто способ описания маршрутизируемой границы внутри коммутирующего устройства. Обычно указывается, что некоторый набор портов на коммутаторе будет частью одной VLAN, а другой набор портов того же самого или другого коммутатора будет частью другой VLAN. В сущности, происходит создание маршрутизируемой границы между двумя группами портов коммутатора — границы, которая функционирует так, как если бы между этими двумя группами был установлен маршрутизатор. Однако в данном случае сам коммутатор осуществляет маршрутизацию между двумя группами устройств и создает два разных широковещательных домена. VLAN позволяют сегментировать сеть без необходимости закупать маршрутизаторы в дополнение к установленным коммутаторам.
WAN
Теперь обратимся к использованию WAN во внутренней сети. Как показано на рис. 2, можно развернуть внутреннюю сеть WAN для подключения удаленных друг от друга территорий предприятия. Некоторые организации имеют офисы по всей стране и даже по всему миру. Например, многие крупные банки имеют огромную разветвленную сеть филиалов, насчитывающую тысячи площадок, на которых установлены серверы и рабочие станции, входящие в состав внутренних сетей предприятия. В общем случае имеется всего два способа построения такой внутренней сети.
Первый (и наиболее распространенный) подход состоит в построении частной WAN с помощью собственной или внешней несущей сети. Крупные телекоммуникационные компании, такие как AT&T, MCI, Sprint, используют частные ретрансляционные сети (frame relay networks), позволяющие эффективно с точки зрения затрат распространить собственную частную IP-сеть на многие площадки. WAN-протокол Frame Relay, общий протокол второго уровня OSI, обеспечивает своеобразное сетевое облако, покрывающее (обслуживающее) сразу множество площадок (см. рис. 4). Развертывание сети frame relay или аналогичной частной WAN подобно расширению внутренней сети предприятия на все его филиалы. Частная сеть WAN обычно не имеет выхода в Internet, поэтому пользователи офисов, которым нужен доступ в Internet, должны пройти сквозь ретрансляционное облако, чтобы воспользоваться точкой выхода в Internet (Point of Presence, POP) в головном офисе.
Рисунок 4. Ретрансляционное облако для сети филиалов |
Второй подход к развертыванию WAN становится все более популярным и состоит в использовании VPN поверх Internet для построения корпоративной сети. Применять VPN выгодно, поскольку Internet в этом случае используется как магистральная сеть, доступная даже для самых удаленных офисов, о которой не приходится особенно беспокоиться. Кроме того, поскольку соединения VPN используют Internet, платить нужно только за локальное подключение. Недостатком развертывания VPN поверх Internet (VPN-WAN) считается то обстоятельство, что гарантировать постоянную доступность Internet (а следовательно, и VPN-WAN) нельзя. Аналогичное замечание касается и требуемой скорости доступа к Internet. Если у организации имеется большое число офисов, необходимо развертывать и обслуживать устройства VPN на каждой площадке. И наконец, поскольку соединения VPN используют Internet, злоумышленники теоретически могут взломать сеть и получить доступ к внутренним ресурсам корпорации. Таким образом, окончательный выбор, что развертывать на предприятии — частную WAN или решение на основе VPN, зависит от сложности проекта, затрат на его реализацию и требований к безопасности.
Беспроводной доступ
И наконец, поговорим об использовании беспроводных сетей (wireless networks) на предприятии (т. е. о стандартах 802.11 или Wi-Fi и 802.11b). Беспроводные сети типичны для домашних пользователей и малого бизнеса, а развертывание беспроводной сети в крупных организациях сопряжено с рядом проблем, не последняя из которых — безопасность. Из трех стандартов Wi-Fi, используемых в настоящее время, 802.11b — наиболее популярный, и он был самым первым, обеспечившим полосу пропускания 11 Мбит/с. 802.11a и 802.11g — два конкурирующих стандарта высокоскоростных сетей Wi-Fi. Оба они поддерживают скорость 54 Мбит/с, но для достижения такой скорости в них применяются различные технические приемы. Из них сейчас наиболее распространен 802.11a.
Для развертывания беспроводных сетей дома или на предприятии требуется установка беспроводных точек доступа (Access Points, AP) для поддержки беспроводных пользователей. Беспроводные точки доступа, предназначенные для организаций, отличаются от своих домашних аналогов встроенным набором функций; тем не менее работают они примерно одинаково. AP на базе 802.11b и 802.11a будут работать только с адаптерами своего типа, хотя некоторые беспроводные AP поддерживают все три стандарта беспроводной связи. Дополнительная информация о беспроводных точках доступа приведена в статье «Точки доступа стандарта 802.11», опубликованной в Windows & .NET Magazine/RE № 4 за 2004 г.
Самая актуальная проблема, с которой вы столкнетесь при развертывании Wi-Fi в своей организации, будет связана с безопасностью. 802.11b использует шифрованный протокол, Wired Equivalent Privacy (WEP); однако на практике WEP оказался чрезвычайно уязвимым для хакеров. Тем, кто заботится о конфиденциальности данных, не следует рассматривать развертывание WEP в коммерческих организациях.
Существует несколько новых стандартов для защиты информации в беспроводных сетях и по крайней мере один из них — стандарт 802.11i — приближается к тому, чтобы стать стандартом IEEE. Стандарт 802.11i, который дублирован в Wi-Fi Protected Access (WPA), в настоящее время поддерживается Windows XP. Так как WPA пока еще не является официальным стандартом, следует убедиться, что беспроводные точки доступа, которые будут закупаться, поддерживают реализацию Microsoft WPA.
Альтернативный подход, ориентированный на стандарты, связан с развертыванием традиционной VPN поверх сети Wi-Fi. Поскольку в настоящее время технология VPN стала использоваться очень часто, с ее помощью можно обезопасить Wi-Fi более оперативно, чем с привлечением зарождающегося стандарта WPA. Достаточно всего лишь убедиться, что беспроводные пользователи подключаются к внутренней сети только через VPN-соединение. Это ограничение реализуется при помощи сервера VPN во внутренней сети между беспроводными точками доступа и всей остальной сетью, как если бы речь шла о мобильных клиентах, которые подключаются к сети извне через Internet.
Решения, решения...
Когда создается сеть предприятия, необходимо учитывать множество аспектов сетевой архитектуры и возможностей проектирования. Выбор брандмауэра и стандарта коммутации, решение о развертывании Gigabit Ethernet или 100 Мбит/с, возможность использования Wi-Fi — все это элементы процесса проектирования. Точное знание основ организации сети — вот с чего надо начинать. После того как вы разберетесь с маршрутизацией и фильтрацией трафика сетевыми устройствами, можно переходить к изучению более высоких уровней OSI для предоставления соответствующих услуг пользователям сети.
Даррен Мар-Элиа — редактор журнала Windows & NET Magazine. С ним можно связаться по адресу: dmarelia@winnetmag.net
Ресурсы
Статьи в Windows & .NET Magazine/RE
«Практика устранения сетевых проблем» Windows & .NET Magazine/RE № 5 за 2003 год http://www.winnetmag.com/article/ articleid/9749/9749.html
Статьи Microsoft
Overview of the WPA Wireless Security Update in Windows XP