Модульный подход в проектировании сети

Деление сети только на три уровня при ее постоянном развитии приводит к тому, что усложняется процесс управления.

Если задача сложна, то ее можно разделить на отдельные подзадачи.

Сеть можно легко разделить на более мелкие элементы - модули, т.к. они имеют естественные физические и логические границы.

Модульная архитектура (Cisco Enterprise Architecture) обеспечивает гибкость сети, упрощает ее реализацию и поиск неисправностей. Если сеть имеет сложную структуру, то каждый модуль может иметь иерархическую архитектуру.

 

 

23

 

Рис. 1.7. Структура сети ISP.

 

Разбиение на модули определяется архитектурой сети ориентированной на сервисы - Cisco Service-Oriented Network Architecture (SONA)

Модули Cisco Enterprise Architecture это представление каждого участка сети описанного в рамках SONA.

Каждый модуль имеет четкую сетевую инфраструктуру и сервисы.

 

24

 

Структура Cisco SONA

Архитектура Cisco SONA (рис. 1.8) включает в себя всю структуру сети организации - кампус, центр хранения данных, граничный модуль, WAN, различные ответвления и удаленных пользователей, предлагая безопасный доступ к сервисам.

 

Рис. 1.8. Архитектура Cisco SONA

25

 

Эта архитектура состоит из трех уровней:

- Уровень приложений.

- Уровень взаимодействия сервисов.

- Уровень сетевой инфраструктуры.

 

Уровень сетевой инфраструктуры обеспечивает объединение всех информационных ресурсов через мультисервисную сеть.

Уровень взаимодействия сервисов определяет расположение ресурсов, доставляемых через сеть для приложений.

Уровень приложений обеспечивает работу прикладных программ.

 

Модули архитектуры Cisco Enterprise

 

Каждый модуль поддерживает иерархическую концепцию деления на уровни

Ядро-распределение-доступ.

 

Cisco Enterprise Architecture состоит из шести основных модулей (рис 1.9)

 

Модуль сети предприятия - Enterprise Campus

Граничный модуль предприятия - Enterprise Edge

Модуль сервис провайдера - Service Provider

Удаленный офис - Enterprise Branch

Центр сбора и обработки данных - Enterprise Data Center

Удаленные пользователи предприятия - Enterprise Teleworker

 

Модуль сети предприятия (Enterprise Campus) построен с использованием многоуровневой архитектуры, которая обеспечивает высокую производительность за счет и избыточности аппаратных средств, автоматического реконфигурирования маршрутов (рис. 1.10).

26

 

Рис. 1.9. Архитектура сети корпорации.

 

Применение групповых IP адресов оптимизирует использование ресурсов пропускной способности сети, что совместно с использованием QoS обеспечивает передачу критичного трафика (голос, видео).

Система безопасности защищает против вирусов и несанкционированного доступа.

Безопасность обеспечивается такими механизмами как port – security, протоколами аутентификации, ограничение доступа с помощью VLANs.

Граничный модуль (Enterprise Edge) обеспечивает передачу голоса, видео и данных за пределы организации на большие расстояния (рис. 1.11).

В этом модуле используются ресурсы партнеров и Интернет. Основные сервисы этого модуля – безопасность и QoS.

 

27

 

 

 

Рис. 1.10. Модуль сети предприятия.

 

28

 

Безопасность обеспечивается VPNs с IPsec или MPLS, подключением «один ко многим» (hub-and-spoke) или полносвязной топологией (full-mesh).

 

 

Рис. 1.11. Граничный модуль

 

Центр сбора и обработки данных (Enterprise Data Center) - адаптивная сетевая архитектура, которая поддерживает требования бизнес приложений, сервис ориентированные архитектуры, виртуализацию и предоставляет необходимые вычислительные мощности (рис. 1.12).

Могут быть созданы резервные центры, выполняющие задачи восстановления данных и приложений.

Для повышения производительности используются механизмы балансировки загрузки.

Удаленные офисы (рис. 1.13) (Enterprise Branch) позволяют предприятию расширить приложения и сервисы головного офиса. К ним относятся безопасность, унифицированные соединения (Cisco Unified Communications), увеличение производительности ресурсоемких приложений на тысячи удаленных мест и пользователей или групп ответвлений.

 

29

 

 

Рис. 1.12. Центр сбора и обработки данных.

 

Такая архитектура объединяет безопасность, коммутацию, сетевой анализ кэширование и мультисервисность в набор интегрированных сервисных маршрутизаторов (integrated services routers (ISR)) в ответвлении так, что могут подключаться без покупки новых маршрутизаторов.

 

 

30

 

Расширенная маршрутизация, VPNs, избыточные соединения WAN, кэширование содержимого приложений и локальная IP телефония обеспечивают высокий уровень гибкости для всех удаленных офисов.

 

 

Рис. 1.13. Подключение удаленного офиса.

 

Модуль Enterprise Teleworker позволяет безопасно доставлять голос и данные удаленным пользователям или в небольшие офисы, используя стандартные широкополосные службы доступа, обеспечивая бизнес приложения.

Централизованное управление минимизирует затраты на поддержку IT и усиливает интегрированную систему безопасности, то есть распространяет систему безопасности предприятия на удаленных пользователей.

 

 

31

 

1.4. Структура опорной сети провайдера.

 

Теперь рассмотрим построение сети провайдера исходя из вышеуказанных архитектурных принципов.

Сеть провайдера можно разделить на три изолированных друг от друга сегмента, которые различаются по требованиям к защите информации:

 

· Корпоративный.

· Сервисный.

· Пользовательский сегмент - сегмент сети интернет или "прозрачный".

 

Организация их взаимодействия осуществляется через коммутацию на основном уровне.

Политика безопасности для каждого сегмента определяется соответствующими настройками межсетевого экрана (firewall).

Такая архитектура обеспечивает защиту сети от несанкционированного доступа и предоставление абонентам доступа к Интернету и различным сервисам. При этом реализуется централизованное управление и обслуживание сети.

Корпоративный сегмент.

Корпоративный сегмент (рис.1.14) сети реализует функции, нуждающиеся в максимальной защите. В него входит центральный офис. Корпоративный сегмент практически полностью недоступен для пользователей.