СКС— самая "консервативная" часть информационной системы предприятия. Любое ее изменение сопряжено с существенными материальными затратами. Однако возможность переконфигурирования инфраструктуры часто может существенно повысить управляемость и надежность всей системы. Например, объединение портов управляемых по сети устройств (коммутаторы, аварийные источники питания и т. п.) в "физически обособленную" сеть существенно повышает уровень безопасности системы, исключая доступ к таким элементам с произвольных рабочих станций. Кроме того, выделение, например, компьютеров бухгалтерии в отдельную сеть исключает доступ к ним по сети всех остальных пользователей. Подобная возможность изменения конфигурации реализуется путем создания виртуальных сетей (Virtual local area network, VLAN). VLAN представляет собой логически (программно) обособленный сегмент основной сети. Обмен данными происходит только в пределах одной VLAN. Устройства разных VLAN не видят друг друга. Самое главное, что из одной VLAN в другую не передаются широковещательные сообщения. VLAN можно создать только на управляемых устройствах; самые дешевые модели (часто их называют офисными) такую возможность не поддерживают.
Одна VLAN может объединять порты нескольких коммутаторов (VLAN с одинаковым номером на разных коммутаторах считаются одной и той же VLAN).
Варианты создания VLAN
На практике существует несколько технологий создания VLAN. В простейшем случае порт коммутатора приписывается к VLAN определенного номера (port based VLAN или группировка портов). При этом одно физическое устройство логически разбивается на несколько: для каждой VLAN создается "отдельный" коммутатор. Очевидно, что число портов такого коммутатора можно легко изменить: достаточно добавить или исключить из VLAN соответствующий физический порт. Второй часто используемый способ заключается в отнесении устройства к той или иной VLAN на основе МАС-адреса. Например, так можно обосабливать камеры видеонаблюдения, IP-телефоны и т. п. При переносе устройства из одной точки подключения в другую оно останется в прежней VLAN, никакие параметры настройки менять не придется. Третий способ заключается в объединении устройств в сеть VLAN по сетевым протоколам. Например, можно "отделить" протокол IPX от IP, "поместить" их в разные VLAN и направить по различным путям. Четвертый способ создания VLAN состоит в многоадресной группировке.
Примечание Обычно рекомендуется включать магистральные порты коммутаторов (порты, соединяющие коммутаторы) во все VLAN, существующие в системе. Это значительно облетает администрирование сетевой структуры, поскольку иначе в случае отказа какого-либо сегмента и последующего автоматического изменения маршрута придется анализировать все варианты передачи данных VLAN. Важно помнить, что ошибка в таком анализе, неправильный учет какого-либо фактора приведет к разрыву VLAN.
VLAN открывают практически безграничные возможности для конфигурирования сетевой инфраструктуры, соответствующей требованиям конкретной организации. Один и тот же порт коммутатора может принадлежать одновременно нескольким виртуальным сетям, порты различных коммутаторов — быть включенными в одну VLAN и т. п. На рисунке показан пример построения VLAN из компьютеров, подключенных к различным коммутаторам. Обратите внимание, что при использовании агрегированных каналов (на рисунке для связи устройств Switch 2 и Switch 3) в состав VLAN на каждом коммутаторе должны включаться именно агрегированные порты (обычно получают названия AL1, AL2 и т. д.).
Теги 802.1 q
В соответствии со стандартом 802. lq номер VLAN передается в специальном поле кадра Ethernet, которое носит название TAG. Поэтому пакеты, содержащие такое поле, стали называть тегированными (tagged), а пакеты без этого поля — нетегированпыми (untagged). Поле TAG включает в себя данные QoS (поэтому все пакеты, содержащие информацию о качестве обслуживания. являются тегированными) и номер VLAN, на который отведено 12бит. Таким образом, максимально возможное число VLAN составляет 4096. Сетевые адаптеры рабочих станций обычно не поддерживают теги, поэтому порты коммутаторов уровня доступа настраиваются в варианте untagged. Для того чтобы через один порт (обычно это магистральные порты или порты соединения двух коммутаторов) можно было передать пакеты нескольких VLAN, он включается в соответствующие VLAN в режиме tagged. Коммутатор будет анализировать поля TAG принятых пакетов и пересылать данные только в ту VLAN, номер которой содержится в поле. Таким образом через один порт можно безопасно передавать информацию нескольких VLAN.
Примечание При соединениях "точка — точка" порты для одинаковых VLAN должны быть либо оба tagged, либо оба untagged.
VLAN 1
При создании VLAN следует учитывать тот факт, что служебная сетевая информация пересылается нетегированными пакетами. Для правильной работы сети администратору необходимо обеспечить передачу таких пакетов по всем направлениям. Самый простой способ настройки заключается в использовании VLAN по умолчанию (VLAN 1). Соответственно, все порты компьютеров необходимо включать в VLAN с другими номерами. | В VLAN 1 по умолчанию находятся интерфейсы управления коммутаторами, причем ранее выпускавшиеся модели коммутаторов не позволяют сменить номер для VLAN управления. Поэтому администратору следует тщательно продумать систему разбиения на VLAN, чтобы не допустить случайного доступа к управлению коммутаторами посторонних лиц, например, можно переместить все порты доступа коммутатора в другую VLAN, оставив для VLAN 1 только магистральный порт. Таким образом, пользователи не смогут подключиться к управлению коммутатором.
GVRP
Протокол GVRP предназначен для автоматического создания VLAN. С его помощью можно автоматически назначать порты во все вновь создаваемые VLAN. Несмотря на определенные удобства, такое решение является существенной брешью в системе обеспечения сетевой безопасности. Администратор должен представлять структуру VLAN и производить назначения портов ручными операциями.
Маршрутизация в сетях предприятий
Информация внутри локальной сети, которая определяется IP-адресом и маской подсети, пересылается от одного компьютера к другому: отправитель посылает пакет непосредственно на физический адрес получателя. Если отправитель и получатель данных находятся в различных сетях, то данные, предназначенные для компьютера другой сети, передаются на специальное устройство—маршрутизатор, которое должно обеспечить пересылку информации. В малых организациях обычно существует только одна точка подключения к глобальной сети, поэтому правила пересылки данных крайне просты: информация для внешней сети должна пересылаться на один компьютер (обычно назначаемый шлюзом по умолчанию), который пересылает все такие данные на один адрес во внешней сети. Как уже говорилось, отдельные VLAN изолированы друг от друга. На практике обычно возникает необходимость управляемой передачи данных из одной VLAN в другую, для того чтобы, например, обеспечить доступ компьютеров к серверам организации или в Интернет. В этих случаях необходимо настроить машрутизацшо. Обычно маршрутизация выполняется средствами активного оборудования сети передачи данных. Коммутаторы, которые могут передавать пакеты из одной сети в другую, называют коммутаторами уровня З. Коммутаторы уровня 2 могут только разбить сеть на несколько VLAN; передать данные из одной VLAN в другую они не могут.
Примечание Функцию маршрутизации могут выполнить программным образом как серверы, так и рабочие станции Windows. Это допустимо в небольших сетях, но требует установки дополнительных сетевых адаптеров и соответствующей настройки. Обычно функцию маршрутизации возлагают на активное сетевое оборудование, поскольку это более надежное и производительное решение.
Для использования функций маршрутизации на коммутаторах третьего уровня для VLAN необходимо создать интерфейсы и присвоить им IP-адреса. После этого между таким VLAN может быть осуществлена пересылка пакетов. Если на одном коммутаторе создано несколько интерфейсов VLAN и им присвоены IP-адреса, то такие интерфейсы станут считаться локальными, маршрутизация между ними будет включена сразу же.
Автоматизация настроек маршрутизации
Обычно VLAN распределены по всей сети организации и информация, предназначенная для конкретной VLAN, должна "пройти" через несколько промежуточных сетей. Соответствующие пути могут быть определены вручную (статическая маршрутизация). Но при большом числе VLAN вручную отслеживать изменения, тем более автоматически перестраивать пути в случае повреждения каналов связи, становится практически нереальным. На помощь приходят протоколы автоматической маршрутизации. I В относительно небольших организациях применяются два протокола: RIP и OSPF.
RIP
RIP — самый простой в использовании протокол автоматической маршрутизации. Он не требует никакой настройки от администратора. Достаточно только включить использование RIP для всего маршрутизатора и для каждого отдельного интерфейса VLAN. RIP периодически рассылает широковещательным (RIP версии 1) или муль-тикастовым (RIP версии 2) образом информацию о собственной таблице маршрутизации. Приняв аналогичный пакет от другого маршрутизатора, RIP производит изменение локальной таблицы маршрутизации. В результате через некоторый промежуток времени коммутаторы будут "знать" маршруты. присутствующие на каждом устройстве. Недостатками RIP являются излишняя "шумливость" (постоянная рассылка большого количества информации) и плохая масштабируемость для крупных сетей.
OSPF
Протокол OSPF позволяет создавать таблицы маршрутизации больших сетей. Он требует предварительной настройки, хотя в случае не очень крупной сети эти операции не являются сколько-нибудь сложными. В самой минимальной конфигурации достаточно включить использование протокола OSPF на коммутаторе, создать одну область (обычно ее называют областью 0— area 0) и активизировать протокол OSPF для каждого интерфейса V LAN. Протокол OSPF позволяет настроить безопасную передачу данных о таблицах маршрутизации (данные будут приниматься, например, только после идентификации маршрутизатора безопасным способом). Различным линиям связи можно назначить весовые коэффициенты, что позволит администратору более точно настроить выбираемые коммутатором пути передачи данных. В случае сложной структуры сети можно создать несколько различных зон и настроить их параметры так, чтобы минимизировать служебный трафик и ускорить сходимость таблиц маршрутизации в случае изменения топологии.
DHCP-relay
Запросы на получение IP-адреса являются широковещательными и рассылаются только в пределах одной VLAN. Создание надежной службы DHCP для каждой VLAN обычно нерационально, поскольку один DHCP-сервер может обслуживать большое число сетей. Для передачи запроса на получение IP-адреса из одной сети в другую необходимо использовать специальную программу, называемую агентом DHCP, которая будет проверять наличие в сети запросов на получение IP-адреса и переправлять их на сервер DHCP уже от своего IP-адреса. Такие пакеты маршрутизируются между сетями, поскольку являются одноадресными (приходит с адреса агента на адрес DHCP-сервера). Сервер DHCP, получив такой запрос, "знает", что нужно предоставить IP-адрес из диапазона адресов, соответствующего адресу агента, сообщает всю информацию агенту и процесс завершается обычным для аренды адреса образом. DHCP-агента можно реализовать как программным образом на сервере Windows в настройке службы маршрутизации и удаленного доступа, так и на коммутаторах третьего уровня. В случае настройки коммутатора достаточно включить данную функцию и для каждого интерфейса VLAN указать адреса DHCP-серверов, на которые следует пересылать запросы аренды адреса. Программная маршрутизация Рабочие станции Windows могут выступать в качестве маршрутизаторов только при установке специализированных программ третьих фирм, например, WinRoute. Существует большое количество аналогичных программ (многие из которых бесплатны), используемых даже в системах на Windows 9х. Серверы Windows уже включают в себя возможность маршрутизации — в их составе присутствует Служба маршрутизации и удаленного доступа (Routing and Remote Access Server, RRAS).
RRAS
Служба RRAS осуществляет многопротокольную маршрутизацию пакетов, позволяет создавать соединения по требованию и осуществлять для них маршрутизацию данных. Начиная с Windows 2000, служба RRAS устанавливается автоматически, но находится в отключенном состоянии. Для ее запуска следует открыть консоль управления RRAS и выполнить задачу Настроить и включить маршрутизацию и удаленный доступ. Сервер RRAS может выполнять как статическую, так и динамическую маршрутизацию. Настройка статической маршрутизации через оснастку RRAS — это просто использование графического интерфейса вместо утилиты route. Больший интерес представляет возможность включения динамических протоколов маршрутизации — Routing Information Protocol (RIP) и Open Shortest Path First (OSPF).
Мост
Частным случаем взаимодействия двух сетей является такой вариант объединения сегментов, когда сигналы из одного сегмента должны без всякого ограничения попадать в другой, и наоборот. Реализовать эту функцию легко даже на рабочих станциях путем создания мостов (bridges). Создание моста на рабочих станциях Windows XP позволяет "прозрачно" объединить несколько Ethernet-сетей. Например, обеспечить передачу пакетов из беспроводного сегмента сети в локальную сеть или соединить несколько сегментов сети, к которым подключен данный компьютер. Для создания моста между сегментами следует открыть задачу Сетевые подключения, выделить два соответствующих Ethernet-адаптера и в меню свойств выбрать команду Создать мост.
Примечание При создании моста используются алгоритм spanning tree algorithm, который предупреждает зацикливание пересылки пакетов, если соединяемые мостом сегменты имеют и другие точки взаимного подключения.
Поскольку мост обеспечивает передачу всех пакетов из одного сегмента сети в другой, то данное решение не следует использовать для интерфейсов доступа в Интернет.
Надежность сетевой инфраструктуры Необходимым условием надежной работы информационной системы является безотказное функционирование каналов связи. Данная задача решается путем дублирования как собственно каналов связи, так и активного оборудования (коммутаторов). Понятно, что на практике отказоустойчивая конфигурация сети создается только в тех случаях, когда простои в работе информационной системы недопустимы и могут привести к существенным экономическим потерям. Дублирование каналов связи и оборудования производят как в ядре сети (обязательно), так и на уровне распределения (рекомендуется). Подключение оконечных устройств (рабочих станций пользователей) не дублируется. Отказоустойчивая топология сети передачи данных На предыдущих рисунках показаны варианты отказоустойчивой схемы сети передачи данных. Связи между коммутаторами уровня распределения и ядра дублированы, коммутаторы также дублированы. Серверы предприятия отказоустойчивым образом подключены к коммутаторам ядра (один сетевой интерфейс сервера подключен к одному коммутатору, второй — к другому).
Примечание Отказоустойчивые схемы, несмотря на кажущуюся простоту, требуют тщательной настройки коммутаторов. При этом в зависимости от выбранного варианта конфигурации может потребоваться использование протоколов, которые не поддерживаются относительно дешевыми моделями оборудования.
Простое соединение двух коммутаторов двумя кабелями создаст кольцо, которое недопустимо в сети Ethernet. Результатом станет широковещательный шторм и практическая неработоспобность сегмента сети. Поэтому создание отказоустойчивых решений требует первоначальной настройки активного оборудования. Существует два варианта построения сети, использующей топологию соединений, изображенную на рисунках. Первый вариант использует протоколы, работающие на втором уровне модели OSI. Второй основан на протоколах маршрутизации третьего уровня модели OSI.
Построение отказоустойчивой сети на основе протоколов второго уровня
Отказоустойчивая конфигурация, построенная с использованием протоколов второго уровня, обеспечивает самое быстрое восстановление в случае аварии. Сеть может восстановиться за 13 секунд или даже еще быстрее в случае использования проприетарных протоколов.
Проприетарным называют протокол, не описываемый открытым стандартом, а являющийся уникальной технологией определенного вендора. Хотя использование проприетарных решений позволяет получить лучшие показатели по сравнению с открытыми стандартами, но такой выбор связан с ориентацией на использование оборудования только одного вендора и с вытекающими из этого рисками.
