Технология Data Center Ethernet (DCE)

Зона WAN Edge

Модули: WAN Edge

 

//

Глобальная компьютерная сеть, ГКС ( англ. Wide Area Network, WAN) — компьютерная сеть, охватывающая большие территории и включающая в себя большое число компьютеров.

//

 

Глобальные сети отличаются от локальных тем, что рассчитаны на неограниченное число абонентов и используют, как правило, не слишком качественные каналы связи и сравнительно низкую скорость передачи, а механизм управления обменом у них в принципе не может быть гарантированно быстрым. Для стойкой передачи дискретных данных применяются более сложные методы и оборудование, чем в локальных сетях. Чаще всего ГКС опирается на выделенные линии, на одном конце которых маршрутизатор подключается к лок.сети, а на другом коммутатор связывается с остальными частями ГКС.

 

//

Маршрутизатор или роутер — специализированный сетевой компьютер, имеющий минимум два сетевых интерфейса и пересылающий пакеты данных между различными сегментами сети, принимающий решения о пересылке на основании информации о топологии сети и определённых правил, заданных администратором.

Сетевой коммутатор — устройство, предназначенное для соединения нескольких узлов компьютерной сети в пределах одного или нескольких сегментов сети.

//

 

Примеры сетей: Intenret, FidoNet. Оборудование: маршрутизатор (пример ниже).

 

Зона Extranet

Модули: Extranet DMZ

 

//

Экстранет — это защищенная от несанкционированного доступа корпоративная сеть, использующая Интернет-технологии для внутрикорпоративных целей, а также для предоставления части корпоративной информации и корпоративных приложений деловым партнерам компании.

//

 

Для сети Экстранет особенно важны аутентификация пользователя (который может и не являться сотрудником компании) и, особенно, защита от несанкционированного доступа. Корпоративное применение Экстранет это закрытые корпоративные порталы, на которых размещаются закрытые корпоративные материалы и предоставляется доступ уполномоченным сотрудникам компании к приложениям для коллективной работы, системам автоматизированного управления компанией, а также доступ к ограниченному ряду материалов партнерам и постоянным клиентам компании. Кроме того, в Экстранете возможно применение и других сервисов Интернет: электронной почты, FTP и т.д.

 

Демилитаризованная зона для общедоступных сервисов:

В целях обеспечения безопасности и контроля общедоступные сервисы обычно размещаются в демилитаризованной зоне (ДМЗ). ДМЗ выступает в роли промежуточной области между Интернетом и закрытыми ресурсами организации и предотвращает доступ внешних пользователей к внутренним серверам и данным.

Ключевые характеристики безопасности, которые должна обеспечивать структура сети ДМЗ:

● доступность и отказоустойчивость сервисов;

● предотвращение вторжений, а так типа "отказ в обслуживании", утечек данных и мошенничества;

● обеспечение конфиденциальности пользователей, целостности и доступности данных;

● защита серверов и приложений;

● сегментация серверов и приложений.

 

Оборудование: серверы, маршрутизаторы, межсетевой экран, коммутаторы.

 

Зона Management

Модули: Management

 

Зона управления. Администрирование всех зон (настроек) сети. Агрегирование (объединения) канала, анализ трафика, мониторинг исходящего трафика. Служебная зона, используется для управления, предоставления доступа к серверам для управления и мониторинга, система DLP (Data loss prevention).

 

В дизайн архитектуры включена сеть управления, выполняющая специализированные функции передачи трафика уровней контроля и управления, в частности трафика протоколов NTP, SSH, SNMP, syslog. Сеть управления объединяет механизмы управления по каналам передачи данных и по выделенным каналам (внеполосного и внутриполостного управления) и распространяется на все строительные блок и сети.

В центральном офисе компании сеть управления по выделенным каналам реализована на основе выделенных коммутаторов, которые являются независимыми и физически отделены от сети передачи данных. Маршрутизаторы, коммутаторы и другие сетевые устройства подключаются к сети управления по выделенным каналам через выделенные интерфейсы управления. В сети управления по выделенным каналам размещаются серверы консольного доступа, рабочие станции управления сетью, серверы AAA, средства анализа и выявления взаимозависимостей, серверы протоколов NTP, FTP, syslog и все остальные службы управления и контроля. Единая сеть управления по выделенным каналам может обслуживать остальные "функциональные блоки" сети центрального офиса компании.

 

Оборудование: средства анализа трафика, межсетевой экран, средства контроля исходящего трафика, коммутаторы.

 

Зона Campus

Модули: User LAN

 

Локальная сеть пользователей. Компьютерная сеть, покрывающая обычно относительно небольшую территорию или небольшую группу зданий (дом, офис, фирму, институт). Для построения простой локальной сети используются маршрутизаторы, коммутаторы, точки беспроводного доступа, беспроводные маршрутизаторы, модемы и сетевые адаптеры.

 

//

Локальная вычислительная сеть (ЛВС, Local Area Network, LAN) — компьютерная сеть, покрывающая обычно относительно небольшую территорию или небольшую группу зданий (дом, офис, фирму, институт).

Иногда в локальной сети организуются рабочие группы — формальное объединение нескольких компьютеров в группу с единым названием.

//

 

Оборудование: коммутаторы, PC.

 

Зона Data Center

Модули: Data Center

 

Здесь находится большинство критически важных приложений и данных для предприятия. Access Layer – обеспечивает подключение к серверам.

Data Center Aggregation/Services Layer – Услуги, развернутые в этой конструкции, используются в комбинации для обеспечения изоляции, защиты приложений и видимости в потоках трафика Data Center.

 

Зона Internet Edge

Модули:

1. Internet VPN

2. Remote Access VPN

3. SP Edge

4. Public Services DMZ

5. Corporate Internet Access

 

1. Объединяет все части локальной сети с помощью VPN (Virtual Private Network — виртуальная частная сеть, позволяет обеспечить одно или несколько сетевых соединений (логическую сеть) поверх другой сети (например, Интернет)).

2. удаленный доступ к программам, получение удаленных услуг из корпоративной сети, удаленное управление компьютером. Используют для создания защищённого канала между сегментом корпоративной сети (центральным офисом или филиалом) и одиночным пользователем, который, работая дома, подключается к корпоративным ресурсам с домашнего компьютера, корпоративного ноутбука, смартфона

3. состоит из маршрутизаторов, которые подключаются непосредственно к сети Интернет.

4. Сервисы, развернутые в ДМЗ, часто включают web-сайт организации, портал для доступа партнеров, сервер электронной почты, FTP-сервер, DNS-сервер и прочие сетевые сервисы.

5. предназначен для выхода в интернет, внутренние пользователи выходят в интернет (прокси-сервер - обеспечение доступа с компьютеров локальной сети в Интернет.).

 

Оборудование: серверы, коммутаторы, межсетевые экраны, маршрутизаторы, коммутаторы, файрволы.

 

Основные характеристики

• Тип устройства: устройство безопасности
• Встроенная память RAM: 8 GB
• Встроенная память Flash: 1 GB flash
• Форм фактор: стоечный
• Встроенные модули Qty (max): 0 (6)
• Технология подключения: проводное подключение
• Транспортный/сетевой протокол: IPSec
• Фаервол: да
• Пропускная способность Firewall: 6.5 Gbps
• Пропускная способность VPN: 1 Gbps
• Количество одновременно поддерживаемых сессий: 1000000
• Количество IPSec VPN туннелей: 5000
• Количество SSL VPN туннелей: 2
• Виртуальные интерфейсы (VLAN): 100
• Алгоритм шифрования: DES
• Слоты расширения: 6 (6) x expansion slot

Интерфейс

• 2 x management - Ethernet 1000
• 2 x Hi-Speed USB - 4 pin USB Type A
• 1 x management - console - RJ-45

Физические характеристики

• Размеры: 19 x 26.5 x 6.9 in
• Вес: 65.9 lbs

 

 

Межсетевой экран

Cisco ASA 5510

Пропускная способность межсетевого экрана	300 Mbps
Максимальное число подключений Firewall	50,000 /130,000
Максимальная Firewall подключений в секунду	9,000
Пакетов в секунжу (64 byte)	190,000
VLANs	50 / 100
Maximum AnyConnect and Clientless VPN User Sessions

Маршрутизатор для WAN edge

Cisco Сatalyst 6503-E

Максимальная скорость пересылки (IPv4)	150 Mpps
Max 1 GE ports
Max 10 GE ports
Max 40 GE ports
Максимальное число портов 10/100/1000

 

Слотов

 

 

Маршрутизатор

Cisco Nexus 3548

Мощность переключения? (Switching capacity)	960 Gbps
Maximum 10/100/1000 Mbps ports
Задежка переключения	250ns
Maximum 1/10 GE ports
Тип интерфейса	48 SFP+

SFP+ (англ. Enhanced Small Form-factor Pluggable) — промышленный стандарт модульных компактных приёмопередатчиков (трансиверов), используемых для передачи данных в телекоммуникациях.

 

Коммутатор уровня агрегации

Cisco Supervisor 7E

 

Мощность переключения? (Switching capacity)	848 Gbps
CPU	Dual Core 1.5 GHz
DRAM	2G
ширина полосы /Slot	48G
Number of 10/100/1000 Ports

 

Коммутатор

Cisco 3560C-8PC-S

Количество Ethernet Ports	8x10/100 FA
Количество PoE/PoE+ Output Ports	8 PoE+
Доступня PoE мощность	124W
Количество 1Gb Ethernet каналов

 

Зона WAN Edge

Модули: WAN Edge

 

//

Глобальная компьютерная сеть, ГКС ( англ. Wide Area Network, WAN) — компьютерная сеть, охватывающая большие территории и включающая в себя большое число компьютеров.

//

 

Глобальные сети отличаются от локальных тем, что рассчитаны на неограниченное число абонентов и используют, как правило, не слишком качественные каналы связи и сравнительно низкую скорость передачи, а механизм управления обменом у них в принципе не может быть гарантированно быстрым. Для стойкой передачи дискретных данных применяются более сложные методы и оборудование, чем в локальных сетях. Чаще всего ГКС опирается на выделенные линии, на одном конце которых маршрутизатор подключается к лок.сети, а на другом коммутатор связывается с остальными частями ГКС.

 

//

Маршрутизатор или роутер — специализированный сетевой компьютер, имеющий минимум два сетевых интерфейса и пересылающий пакеты данных между различными сегментами сети, принимающий решения о пересылке на основании информации о топологии сети и определённых правил, заданных администратором.

Сетевой коммутатор — устройство, предназначенное для соединения нескольких узлов компьютерной сети в пределах одного или нескольких сегментов сети.

//

 

Примеры сетей: Intenret, FidoNet. Оборудование: маршрутизатор (пример ниже).

 

Зона Extranet

Модули: Extranet DMZ

 

//

Экстранет — это защищенная от несанкционированного доступа корпоративная сеть, использующая Интернет-технологии для внутрикорпоративных целей, а также для предоставления части корпоративной информации и корпоративных приложений деловым партнерам компании.

//

 

Для сети Экстранет особенно важны аутентификация пользователя (который может и не являться сотрудником компании) и, особенно, защита от несанкционированного доступа. Корпоративное применение Экстранет это закрытые корпоративные порталы, на которых размещаются закрытые корпоративные материалы и предоставляется доступ уполномоченным сотрудникам компании к приложениям для коллективной работы, системам автоматизированного управления компанией, а также доступ к ограниченному ряду материалов партнерам и постоянным клиентам компании. Кроме того, в Экстранете возможно применение и других сервисов Интернет: электронной почты, FTP и т.д.

 

Демилитаризованная зона для общедоступных сервисов:

В целях обеспечения безопасности и контроля общедоступные сервисы обычно размещаются в демилитаризованной зоне (ДМЗ). ДМЗ выступает в роли промежуточной области между Интернетом и закрытыми ресурсами организации и предотвращает доступ внешних пользователей к внутренним серверам и данным.

Ключевые характеристики безопасности, которые должна обеспечивать структура сети ДМЗ:

● доступность и отказоустойчивость сервисов;

● предотвращение вторжений, а так типа "отказ в обслуживании", утечек данных и мошенничества;

● обеспечение конфиденциальности пользователей, целостности и доступности данных;

● защита серверов и приложений;

● сегментация серверов и приложений.

 

Оборудование: серверы, маршрутизаторы, межсетевой экран, коммутаторы.

 

Зона Management

Модули: Management

 

Зона управления. Администрирование всех зон (настроек) сети. Агрегирование (объединения) канала, анализ трафика, мониторинг исходящего трафика. Служебная зона, используется для управления, предоставления доступа к серверам для управления и мониторинга, система DLP (Data loss prevention).

 

В дизайн архитектуры включена сеть управления, выполняющая специализированные функции передачи трафика уровней контроля и управления, в частности трафика протоколов NTP, SSH, SNMP, syslog. Сеть управления объединяет механизмы управления по каналам передачи данных и по выделенным каналам (внеполосного и внутриполостного управления) и распространяется на все строительные блок и сети.

В центральном офисе компании сеть управления по выделенным каналам реализована на основе выделенных коммутаторов, которые являются независимыми и физически отделены от сети передачи данных. Маршрутизаторы, коммутаторы и другие сетевые устройства подключаются к сети управления по выделенным каналам через выделенные интерфейсы управления. В сети управления по выделенным каналам размещаются серверы консольного доступа, рабочие станции управления сетью, серверы AAA, средства анализа и выявления взаимозависимостей, серверы протоколов NTP, FTP, syslog и все остальные службы управления и контроля. Единая сеть управления по выделенным каналам может обслуживать остальные "функциональные блоки" сети центрального офиса компании.

 

Оборудование: средства анализа трафика, межсетевой экран, средства контроля исходящего трафика, коммутаторы.

 

Зона Campus

Модули: User LAN

 

Локальная сеть пользователей. Компьютерная сеть, покрывающая обычно относительно небольшую территорию или небольшую группу зданий (дом, офис, фирму, институт). Для построения простой локальной сети используются маршрутизаторы, коммутаторы, точки беспроводного доступа, беспроводные маршрутизаторы, модемы и сетевые адаптеры.

 

//

Локальная вычислительная сеть (ЛВС, Local Area Network, LAN) — компьютерная сеть, покрывающая обычно относительно небольшую территорию или небольшую группу зданий (дом, офис, фирму, институт).

Иногда в локальной сети организуются рабочие группы — формальное объединение нескольких компьютеров в группу с единым названием.

//

 

Оборудование: коммутаторы, PC.

 

Зона Data Center

Модули: Data Center

 

Здесь находится большинство критически важных приложений и данных для предприятия. Access Layer – обеспечивает подключение к серверам.

Data Center Aggregation/Services Layer – Услуги, развернутые в этой конструкции, используются в комбинации для обеспечения изоляции, защиты приложений и видимости в потоках трафика Data Center.

 

Технология Data Center Ethernet (DCE)

Ethernet самая популярная на сегодняшний день сетевая технология. Ethernet вытеснил с рынка много других, более сложных технологий, за счет своей простоты, дешевизны и широкой поддержки сетевой индустрией.

 

CEE (Converged Enhanced Ethernet) – термин, предложенный фирмой IBM и активно используемый в рамках процесса стандартизации Fibre Channel over Ethernet.

DCB (Data Center Bridging) – термин, используемый в процессе стандартизации различных усовершенствований Ethernet в комитетах организации IEEE.

DCE™ (Data Center Ethernet) – термин, используемый Cisco Systems для обозначения архитектуры Ethernet нового поколения с усовершенствованиями для задач центров обработки данных. DCE можно, в целом, считать надмножеством возможностей, обеспечиваемых в рамках CEE и DCB

 

Основные компоненты решения Data Center Ethernet:

Обеспечение транспорта без потерь (lossless Ethernet). Это необходимо для тех типов данных и протоколов, которые не допусают потерь при нормальном функционировании (прежде всего, для протоколов сетей хранения).

Управление полосой, доступной разным типам трафика. Это необходимо для того, чтобы определить уровни обслуживания, предоставляемые для разных типов трафика в консолидированной сети, и тем самым сделать возможной их совместную передачу без ущерба для качества.

Автоматическое определение настроек взаимодействующих устройств. Это необходимо для автоматического обеспечения согласованных настроек управления потоком и выделенной полосы для разных типов трафика, логического состояния «виртуальных полос» и т.д., а также для определения того, поддерживает ли взаимодействующее устройство функции Data Center Ethernet, т.е. определения границы «домена» Data Center Ethernet в рамках сети Ethernet.

Сквозное управление перегрузками (опционально). При появлении больших сетей технологии Data Center Ethernet станет актуальной проблема управления перегрузками не путем управления потоком на каждом конкретном участке сети, а с помощью снижения скорости передачи на стороне источника информации.

Оборудование: серверы, коммутаторы, межсетевой экран.

 

Зона Internet Edge

Модули:

1. Internet VPN

2. Remote Access VPN

3. SP Edge

4. Public Services DMZ

5. Corporate Internet Access

 

1. Объединяет все части локальной сети с помощью VPN (Virtual Private Network — виртуальная частная сеть, позволяет обеспечить одно или несколько сетевых соединений (логическую сеть) поверх другой сети (например, Интернет)).

2. удаленный доступ к программам, получение удаленных услуг из корпоративной сети, удаленное управление компьютером. Используют для создания защищённого канала между сегментом корпоративной сети (центральным офисом или филиалом) и одиночным пользователем, который, работая дома, подключается к корпоративным ресурсам с домашнего компьютера, корпоративного ноутбука, смартфона

3. состоит из маршрутизаторов, которые подключаются непосредственно к сети Интернет.

4. Сервисы, развернутые в ДМЗ, часто включают web-сайт организации, портал для доступа партнеров, сервер электронной почты, FTP-сервер, DNS-сервер и прочие сетевые сервисы.

5. предназначен для выхода в интернет, внутренние пользователи выходят в интернет (прокси-сервер - обеспечение доступа с компьютеров локальной сети в Интернет.).

 

Оборудование: серверы, коммутаторы, межсетевые экраны, маршрутизаторы, коммутаторы, файрволы.