Курсовая работа / Методичка 2020 (из неё также можно копировать текст)
.pdfпод потребности каждого VLAN, но самое главное, позволяет использовать балансировку нагрузки за счет того, что конкретный физический линк может быть заблокирован в одном VLAN, но работать в другом. Минусом этой реализации является, конечно, проприетарность: для функционирования PVST требуется проприетарный же ISL транк между коммутаторами.
Также существует вторая версия этой реализации — PVST+, которая позволяет наладить связь между коммутаторами с CST и PVST, и работает как с ISLтранком, так и с 802.1q. PVST+ это протокол по умолчанию на коммутаторах Cisco.
Протокол STP работает на канальном уровне. STP позволяет делать топологию избыточной на физическом уровне, но при этом логически блокировать петли. Достигается это с помощью того, что STP отправляет сообщения BPDU и обнаруживает фактическую топологию сети. А затем, определяя роли коммутаторов и портов, часть портов блокирует так, чтобы в итоге получить топологию без петель.
Алгоритм действия STP (Spanning Tree Protocol):
После включения коммутаторов в сеть по умолчанию каждый коммутатор считает себя корневым (root).
Каждый коммутатор начинает посылать по всем портам конфигурационные Hello BPDU пакеты раз в 2 секунды.
Если мост получает BPDU с идентификатором моста (Bridge ID) меньшим, чем свой собственный, он прекращает генерировать свои BPDU и начинает ретранслировать BPDU с этим идентификатором. Таким образом, в конце концов в этой сети Ethernet остаётся только один мост, который продолжает генерировать и передавать собственные BPDU. Он и становится корневым мостом (root bridge).
Остальные мосты ретранслируют BPDU корневого моста, добавляя в них собственный идентификатор и увеличивая счётчик стоимости пу-
ти (path cost).
Для каждого сегмента сети, к которому присоединено два и более портов мостов, происходит определение designated port — порта, через который BPDU, приходящие от корневого моста, попадают в этот сегмент.
После этого все порты в сегментах, к которым присоединено 2 и более портов моста, блокируются за исключением root port и designated port.
11
Корневой мост продолжает посылать свои Hello BPDU раз в 2 секунды.
4.3. Отказоустойчивость на уровне распределения
Для обеспечения отказоустойчивости необходимо выбрать протокол, который будет применяться в рамках разрабатываемого решения, а также описать основные настройки и принцип действия.
Для достижения отказоустойчивости на уровне распределения могут применяться HSRP, VRRP, GLBP и другие протоколы.
Врамках курсового проекта необходимо выбрать протокол, который будет применяться в рамках разрабатываемого решения, а также описать основные настройки и принцип действия.
HSRP (Hot Standby Router Protocol) – это проприетарный протокол ком-
пании Cisco Systems, который предназначен для увеличения доступности маршрутизаторов, выполняющих роль шлюза по умолчанию. Это достигается путем объединения маршрутизаторов в группу и назначения им общего виртуального IP-адреса. Назначенный IP и будет использоваться как шлюз по умолчанию.
VRRP (Virtual Router Redundancy Protocol) – протокол, созданный на основе HSRP. Не является проприетарным, но имеет некоторые проблемы с патентными правами. Основные задачи и предназначение аналогичны
HSRP.
GLBP (Gateway Load Balancing Protocol) — проприетарный протокол
Cisco, предназначенный для увеличения доступности маршрутизаторов выполняющих роль шлюза по умолчанию и балансировки нагрузки между этими маршрутизаторами. GLBP работает аналогично, но не идентично другим протоколам резервирования шлюза, такими как HSRP и VRRP. Эти протоколы позволяют нескольким маршрутизаторам участвовать в сконфигурированной виртуальной группе маршрутизаторов с общим виртуальным IPадресом.
Втерминологии HSRP-протокола существуют несколько основных понятий (терминов):
Активный маршрутизатор (Active Router) — маршрутизатор или маршрутизирующий коммутатор третьего уровня, выполняющий роль виртуального маршрутизатора и обеспечивающий пересылку пакетов из одной подсети в другую;
Резервный маршрутизатор (Standby Router) — маршрутизатор или маршрутизирующий коммутатор третьего уровня, выполняющий роль резервного виртуального маршрутизатора, ожидающего отказа активного маршрутизатора в рамках одной HSRP группы;
Группа резервирования (Standby Group) — группа маршрутизаторов или маршрутизирующих коммутаторов третьего уровня, которые явля-
12
ются членами одной HSRP-группы и обеспечивают работу и отказоустойчивость виртуального маршрутизатора;
Таймер приветствия (Hello Time) — промежуток времени, в течение которого маршрутизаторы или маршрутизирующие коммутаторы третьего уровня, находящиеся в рамках одной HSRP группы, ожидают пакеты приветствия (Hello Packet) от активного маршрутизатора;
Таймер удержания (Hold Time) — промежуток времени, по истечении которого резервный маршрутизатор посылает пакет, в котором содержится информация об отказе активного маршрутизатора, тем самым осуществляет приоритетное прерывание в группе и берет на себя роль активного маршрутизатора.
4.3.1.Принцип действия HSRP
Из группы маршрутизаторов HSRP выбирает один активный и один standby маршрутизаторы. Остальные маршрутизаторы выступают как просто члены группы. Активный маршрутизатор отвечает за пересылку пакетов. Standby-маршрутизатор займет место Активного маршрутизатора в случае отказа последнего. Маршрутизатор с наибольшим приоритетом, из оставшихся членов группы, в этом случае, будет выбран в качестве Standby.
Выборы проводятся на основании приоритета маршрутизатора, который может изменяться в пределах от 1 до 255. Приоритет может быть назначен вручную, что позволяет влиять на процесс выбора. Если системный администратор не определил приоритет, используется значение по умолчанию, равное 100. Если ни одному из маршрутизаторов в группе не был назначен приоритет, то приоритеты всех маршрутизаторов совпадут и активным в этом случае станет маршрутизатор с наибольшим IP-адресом интерфейса, на котором настроен HSRP. В процессе работы Активный и Standby маршрутизаторы обмениваются hello-сообщениями.
По умолчанию, активный маршрутизатор, каждые 3 секунды, рассылает hello-сообщение, которое сообщает «Ребята, всё ок! Я еще в строю!». Если в течение 10 секунд (три длительности hello-) нет ни одного hello- сообщения от активного маршрутизатора, резервный считает, что активный маршрутизатор «упал» и берет на себя роль активного маршрутизатора.
При подключении нового маршрутизатора к уже существующей группе он не будет выбран в качестве Active, даже при наличии большего приоритета, если не настроена опция preempt. Для повышения безопасности можно использовать процесс аутентификации при обмене сообщениями между маршрутизаторами.
Кроме того, есть возможность отслеживать состояние интерфейсов маршрутизатора, не принимающих участия в группе HSRP (uplink к другим сетям). И в зависимости от их работоспособности менять приоритет мар-
13
шрутизатора в группе. Приоритет меняется ступенчато. По умолчанию при "падении" одного из интерфейсов он уменьшается на 10. Однако для того, чтобы маршрутизатор, приоритет которого в результате этих изменений стал больше, взял на себя роль Active, должна быть настроена опция preempt.
4.4. Порты доступа
Все порты доступа должны работать со скоростью 1Гбит/с.
На текущий момент стандарта Fast Ethernet (100 BASE-T) с пропускной способностью 100 Мбит/с в связи с увеличением количества чувствительного к задержкам трафика голоса и видео становится недостаточно для комфортной работы пользователей в сети. Поэтому для получения запаса пропускной способности канала в случае появления новых приложений, требующих большую полосу пропускания, постоянно увеличивающегося объема передачи данных через сеть и увеличивающегося числа пользователей сети был выбран стандарт Gigabit Ethernet (1000BASE-X), согласно которому пропускная способность канала равна 1000 Мбит/с.
Данный стандарт широко распространен. Скорости в 1 Гбит/с вполне хватит для высокопроизводительной работы пользователей в локальной сети предприятия с использованием голосового и видео-трафика.
Переподписка (oversubscription) — это соотношение суммарных скоростей соединений к уровню агрегации к суммарным скоростям подключения абонентов. Этот термин касается любых сетей, в том числе и сетей хранения данных (SAN).
Обычно уровень переподписки оценивается на границе уровней сети, которых обычно три: доступа, агрегации, ядра.
Как вычисляется: условный коммутатор доступа имеет 24 порта 1000BaseT для абонентов и 4 порта 1000BaseT на уровень агрегации. 24*1000/4*1000=6:1. Как правило, верхний уровень пишется первым, таким образом получаем 1:6.
Рекомендованными значениями переподписки на границе уровней доступа и распределения считается 1:20. От распределения к ядру – 1:4. Также следует учитывать рекомендацию подключения коммутаторов доступа к нескольким коммутаторам распределения для повышения надежности сети.
4.5. LocalVLAN
«SUT Networks» предпочитает использовать модель «Local VLAN»
В рамках проекта требуется выполнить распределение VLAN в корпоративной сети, описать назначение выделяемых VLAN, связанные L3 ин-
14
терфейсы и точки терминации VLAN. На L2 диаграмме показать распределение VLAN по сети.
Для уменьшения трафика в локальной сети, по рекомендации компании Cisco Systems, используется модель Local VLAN. VLAN терминируется на уровне распределения. Это дает возможность использовать одинаковые идентификаторы VLAN для одинакового трафика в разных местах сети.
Зачем нужен VLAN?
Гибкое разделение устройств на группы
Как правило, одному VLAN соответствует одна подсеть. Устройства, находящиеся в разных VLAN, будут находиться в разных подсетях. Но в то же время VLAN не привязан к местоположению устройств и поэтому устройства, находящиеся на расстоянии друг от друга, все равно могут быть в одном VLAN независимо от местоположения.
Уменьшение количества широковещательного трафика в сети
Каждый VLAN — это отдельный широковещательный домен. Например, коммутатор — это устройство 2 уровня модели OSI. Все порты на коммутаторе с лишь одним VLAN находятся в одном широковещательном домене. Создание дополнительных VLAN на коммутаторе означает разбиение коммутатора на несколько широковещательных доменов. Если один и тот же VLAN настроен на разных коммутаторах, то порты разных коммутаторов будут образовывать один широковещательный домен.
Увеличение безопасности и управляемости сети
Когда сеть разбита на VLAN, упрощается задача применения политик и правил безопасности. С VLAN политики можно применять к целым подсетям, а не к отдельному устройству. Кроме того, переход из одного VLAN в другой предполагает прохождение через устройство 3 уровня, на котором, как правило, применяются политики, разрешающие или запрещающие дос-
туп из VLAN в VLAN.
4.6. Протокол OSPF
В качестве протокола маршрутизации должен использоваться OSPF. Необходимо выделить устройства, на которых будет применяться протокол, и описать внедрение OSPF в ваш разрабатываемый проект.
Протокол OSPF (Open Shortest Path First) вычисляет маршруты в IP-
сетях, сохраняя при этом другие протоколы обмена маршрутной информа-
15
цией. Может использоваться на оборудовании различных производителей сетевого оборудования. Его преимущества заключаются в том, что он надежен, прост в настройке, легко масштабируется, возможность разделения на зоны позволяет снизить нагрузку на CPU маршрутизаторов за счет уменьшения количества перерасчетов по алгоритму SPF, а также уменьшить размер таблиц маршрутизации, за счет суммирования маршрутов на границах зон.
4.6.1.Описание настройки (общие принципы)
1.Включить OSPF на маршрутизаторе;
2.Маршрутизатор выбирает Router ID (уникальное имя маршрутизатора);
3.Включить OSPF на интерфейсах (чтобы протокол знал о каких интерфейсах можно сообщать другим маршрутизаторам);
4.Обнаружение соседей с помощью Hello-пакетов:
4.1.Маршрутизаторы обмениваются hello-пакетами через все интерфейсы, на которых активирован OSPF;
4.2.Маршрутизаторы, которые находятся в одном широковещательном сегменте, становятся соседями, когда они приходят к договоренности об определенных параметрах, указанных в их helloпакетах;
5.Adjacency (отношения соседства, отношения смежности) это тип соседства между маршрутизаторами, по которому они синхронизируют LSDB. Установка этих отношений зависит от типа сети:
5.1.Если маршрутизаторы находятся в сети с множественным доступом, они выбирают DR и выполняют синхронизацию LSDB с ним;
5.2.Если маршрутизаторы находятся в сети point-to-point, они приступают к синхронизации LSDB друг с другом;
6.Синхронизация LSDB. Происходит в несколько этапов. По сформированным отношениям соседства происходит обмен такими пакетами:
6.1.DBD (краткое описание LSA в LSDB). С помощью этих пакетов маршрутизаторы сообщают друг другу о том, какую информацию они знают, в сокращенном виде;
6.2.LSR. После обмена DBD-пакетами, с помощью LSR маршрутизаторы запрашивают у соседа недостающую информацию;
6.3.LSU (содержит полное описание LSA). В ответ на LSR, который ему прислал сосед, маршрутизатор отправляет LSU, с полным описанием информации, которой не хватает у соседа;
6.4.LSAck. После получения LSU от соседа, маршрутизатор отправляет подтверждение, что он получил информацию;
16
6.5.Если оба маршрутизатора должны запросить друг у друга информацию, то эта процедура повторяется и в другую сторону;
6.6.После этого, LSDB синхронизирована, а значит, полностью одинакова между соседями;
7.После синхронизации LSDB, маршрутизатор отправляет обновление далее, своим соседям в других широковещательных сегментах;
8.Рассылая объявления через зону, все маршрутизаторы строят идентич-
ную LSDB;
9.Когда база данных построена, каждый маршрутизатор использует алгоритм SPF (shortest path first) для вычисления графа без петель, который будет описывать кратчайший путь к каждому известному пункту назначения с собой в качестве корня. Этот граф — дерево кратчайшего пути;
10.Каждый маршрутизатор строит таблицу маршрутизации, основываясь на своем дереве кратчайшего пути.
4.7.Распределение подсети в филиалах
Филиалы должны быть присоединены к корпоративной сети с использованием отказоустойчивой топологии «точка-многоточка» (Hub-and spoke) с центром в СПб, однако следует учесть, что трафик между филиалами должен идти напрямую. Весь трафик между центральным офисом и филиалами должен шифроваться.
В качестве IP-адресации должны использоваться адреса блока 172.16.0.0/16, при этом Московский филиал должен использовать адреса вида
,
где G - последняя цифра в номере группы студента (Например, для МБИ-123 - G="3"),
S - порядковый номер студента по журналу, X - любое число.
Для главного офиса и каждого филиала необходимы свои подсети. В главном офисе в СПб необходимы следующие подсети:
для соединений между сетевыми устройствами третьего уровня;
для управления коммутаторами второго уровня и точками доступа;
для IP-телефонии;
для МФУ;
для корпоративных беспроводных сетей;
для гостевых беспроводных сетей;
для пользователей ПК;
для управления базой данных;
для виртуальных машин.
17
Отказоустойчивость серверов обеспечивается установкой второго дублирующегосервера. В случае выхода из строя основного сервера, второй сервер станет фактически копией первого, имея идентичную конфигурацию.
4.8. Трафик мониторинга и управления
Трафик управления и мониторинга должен быть отделен от остального трафика. Система мониторинга, как и все остальные системы управления должны быть расположены в серверной ферме.
Наиболее распространенным протоколом управления сетями является протокол SNMP (Simple Network Management Protocol), его поддерживают многие производители. Главные достоинства протокола SNMP – простота, доступность, независимость от производителей. В значительной степени именно популярность SNMP задержала принятие CMIP, варианта управляющего протокола по версии OSI. Протокол SNMP разработан для управления маршрутизаторами в сети Internet и является частью стека протоколов
TCP/IP.
SNMP – это протокол, используемый для получения от сетевых устройств информации об их статусе, производительности и характеристиках, которые хранятся в специальной базе данных сетевых устройств, называемой MIB (Management Information Base). Существуют стандарты, определяющие структуру MIB, в том числе набор типов ее переменных (объектов в терминологии ISO), их имена и допустимые операции этими переменными (например, читать). В MIB, наряду с другой информацией, могут храниться сетевой и/или MAC-адреса устройств, значения счетчиков обработанных пакетов и ошибок, номера, приоритеты и информация о состоянии портов. Древовидная структура MIB содержит обязательные (стандартные) поддеревья, а также в ней могут находиться частные (private) поддеревья, позволяющие изготовителю интеллектуальных устройств реализовать какие-либо специфические функции на основе его специфических переменных.
Сбор данных по протоколу NetFlow. Протокол NetFlow разработан компанией Cisco Systems. В контексте задачи управления сетью он является незаменимым инструментом для мониторинга загрузки каналов передачи данных.
Конечно, протокол NetFlow не может извлекать информацию непосредственно из канала (витой пары или оптической линии) — данные снимаются с устройств, подключенных к интересующему сегменту. NetFlow поддерживается многими сетевыми устройствами: по этому протоколу могут отправлять информацию маршрутизаторы, коммутаторы и межсетевые экраны Cisco. NetFlow является проприетарным протоколом Cisco Systems, но существует и его открытый аналог — sFlow. Последний реализован в современных моделях сетевых устройств многих производителей сетевого оборудования — HP, ZyXEL и других.
18
Основные области применения NetFlow: мониторинг утилизации каналов передачи данных, учет трафика, проведение аудитов сетевой инфраструктуры.
Для мониторинга сети применяется следующее ПО:
TotalNetworkMonitor 2 – доступное и действенное программное решение для сетевого мониторинга деятельности серверных машин, которое отображает идеальный баланс между удобством и обширностью функционала;
Observium – приложение, работа которого основана на использовании протокола SNMP, позволяет не только исследовать состояние сети любого масштаба в режиме реального времени, но и анализировать уровень ее произодительности. Это решение интегрируется с оборудованием от Cisco, Windows, Linux, HP, Juniper, Dell, FreeBSD, Brocade, Netscaler, NetApp и прочих вендоров;
Nagios– продвинутое решение для мониторинга. С его помощью системные администраторы получают возможность удаленно реглировать объем нагрузки на пользовательское или вышестоящее в сетевой иерархии оборудование (коммутаторы, маршрутизаторы, серверы), следить за степенью загруженности резервов памяти в базах данных;
PRTGNetworkMonitor – используется не только для сканирования устройств, которые в данный момент подключены к локальной сети, но также может послужить отличным помощником и в обнаружении сетевых атак. Среди самых полезных сетевых сервисов PRTG: инспекция пакетов, анализ и сохранение статистических данных в базу, просмотр карты сети в режиме реального времени (также доступна возможность получения исторических сведений о поведении сети), сбор технических параметров об устройствах, подключенных к сети, а также анализ уровня нагрузки на сетевое оборудование.
Рекомендации к управлению:
1.Для удаленного подключения рекомендуется использовать только защищенные протоколы, такие как SSH и HTTPs. Для проверки можно провести захват трафика подключения по протоколу Тelnet, и в этом трафике вы без труда найдете логин и пароль, передаваемые в открытом виде;
2.На всех устройствах должны быть настроены имена и пароли с достаточной степенью надежности. Все учетные записи, заданные по умолчанию, следует удалить. Все пароли следует хранить в защищенном виде;
3.Весь трафик мониторинга и управления, передаваемый по открытым каналам, должен быть зашифрован либо в рамках соединения VPN,
19
либо с использованием защищенных протоколов (SNMPv3, sFTP, SCP);
4.Доступ к устройствам должен иметь только определенный круг пользователей. Например, на оборудовании Cisco это можно сделать с помощью списков доступа (ACL);
5.Необходимо настроить синхронизацию времени на устройствах. Это позволит более точно определять, когда осуществлялась попытка легитимного или нелегитимного подключения;
6.Все подключения и вводимые команды рекомендуется протоколировать. Особенно это актуально, если управлением занимаются несколько человек;
7.Каждый пользователь должен подключаться, используя свою уникальную учетную запись.
При необходимости разные сотрудники могут иметь разный уровень доступа к устройству. А при подключении должно выводиться сообщение о том, что доступ разрешен только авторизованным пользователям.
Как было отмечено ранее, помимо рекомендаций, касающихся непосредственного управления устройствами, имеются рекомендации по безопасной настройке различных протоколов (например, EIGRP, OSPF и пр.), обеспечивающих работу сети. Например, целесообразно всегда включать протоколирование изменений состояния протокола (добавление/удаление маршрутов и пр.), а также аутентификацию между устройствами при установлении соседственных отношений.
Кроме того, есть целый набор рекомендаций по настройке качества обслуживания (QoS) трафика управления и мониторинга. Сюда же можно отнести вопросы фильтрации и ограничения скорости для того или иного протокола для предотвращения атаки с целью вызвать «отказ в обслуживании».
4.9. Многофункциональные устройства (МФУ)
На каждом этаже должны использоваться сетевые многофункциональные устройства МФУ (принтер+сканер+копир).
В каждом помещении установлено по одному МФУ – имеет разъем под Ethernet, и может напрямую подключаться в коммутатор.
Все МФУ подключены к коммутаторам доступа и располагаются в отдельном VLANе. Авторизация всех МФУ происходит по MAC authentication bypass (MAB) поскольку не поддерживается 802.1x (рис.2)
Аутентификатор хранит список MAC-адресов устройств, подключенных к нему в своей локальной базе. Сервер аутентификации хранит список MAC-адресов всех устройств, участвующих в процессах безопасного обмена. После того, как аутентификатор обнаруживает устройство на 802.1x порту, он ждет от него фрейм, в это время отправляя серверу аутентификации
20