Курсовая работа / Методичка 2019 (из неё можно копировать текст)

под потребности каждого VLAN, но самое главное, позволяет использовать балансировку нагрузки за счет того, что конкретный физический линк мо- жет быть заблокирован в одном VLAN, но работать в другом. Минусом этой реализации является, конечно, проприетарность: для функционирования PVST требуется проприетарный же ISL транк между коммутаторами.

Также существует вторая версия этой реализации — PVST+, которая позволяет наладить связь между коммутаторами с CST и PVST, и работает как с ISL- транком, так и с 802.1q. PVST+ это протокол по умолчанию на коммутаторах Cisco.

Протокол STP работает на канальном уровне. STP позволяет делать то- пологию избыточной на физическом уровне, но при этом логически блоки- ровать петли. Достигается это с помощью того, что STP отправляет сообще- ния BPDU и обнаруживает фактическую топологию сети. А затем, опреде- ляя роли коммутаторов и портов, часть портов блокирует так, чтобы в итоге получить топологию без петель.

Алгоритм действия STP (Spanning Tree Protocol):

∙После включения коммутаторов в сеть по умолчанию каждый комму- татор считает себя корневым (root).

∙Каждый коммутатор начинает посылать по всем портам конфигураци- онные Hello BPDU пакеты раз в 2 секунды.

∙Если мост получает BPDU с идентификатором моста (Bridge ID) меньшим, чем свой собственный, он прекращает генерировать свои BPDU и начинает ретранслировать BPDU с этим идентификатором. Таким образом, в конце концов в этой сети Ethernet остаётся только один мост, который продолжает генерировать и передавать собствен-

ные BPDU. Он и становится корневым мостом (root bridge).

∙Остальные мосты ретранслируют BPDU корневого моста, добавляя в них собственный идентификатор и увеличивая счётчик стоимости пу-

ти (path cost).

∙Для каждого сегмента сети, к которому присоединено два и более портов мостов, происходит определение designated port — порта, через который BPDU, приходящие от корневого моста, попадают в этот сегмент.

∙После этого все порты в сегментах, к которым присоединено 2 и более портов моста, блокируются за исключением root port и designated port.

11

∙Корневой мост продолжает посылать свои Hello BPDU раз в 2 секун- ды.

4.3. Отказоустойчивость на уровне распределения

Для обеспечения отказоустойчивости необходимо выбрать протокол, который будет применяться в рамках разрабатываемого решения, а также описать основные настройки и принцип действия.

Для достижения отказоустойчивости на уровне распределения могут применяться HSRP, VRRP, GLBP и другие протоколы.

Врамках курсового проекта необходимо выбрать протокол, который будет применяться в рамках разрабатываемого решения, а также описать основные настройки и принцип действия.

HSRP (Hot Standby Router Protocol) – это проприетарный протокол ком-

пании Cisco Systems, который предназначен для увеличения доступности маршрутизаторов, выполняющих роль шлюза по умолчанию. Это достигает-

ся путем объединения маршрутизаторов в группу и назначения им общего виртуального IP-адреса. Назначенный IP и будет использоваться как шлюз по умолчанию.

VRRP (Virtual Router Redundancy Protocol) – протокол, созданный на основе HSRP. Не является проприетарным, но имеет некоторые проблемы с патентными правами. Основные задачи и предназначение аналогичны

HSRP.

GLBP (Gateway Load Balancing Protocol) — проприетарный протокол

Cisco, предназначенный для увеличения доступности маршрутизаторов вы-

полняющих роль шлюза по умолчанию и балансировки нагрузки между этими маршрутизаторами. GLBP работает аналогично, но не идентично дру- гим протоколам резервирования шлюза, такими как HSRP и VRRP. Эти про- токолы позволяют нескольким маршрутизаторам участвовать в сконфигури- рованной виртуальной группе маршрутизаторов с общим виртуальным IP- адресом.

Втерминологии HSRP-протокола существуют несколько основных по- нятий (терминов):

∙Активный маршрутизатор (Active Router) — маршрутизатор или мар- шрутизирующий коммутатор третьего уровня, выполняющий роль вир-

туального маршрутизатора и обеспечивающий пересылку пакетов из одной подсети в другую;

∙Резервный маршрутизатор (Standby Router) — маршрутизатор или маршрутизирующий коммутатор третьего уровня, выполняющий роль резервного виртуального маршрутизатора, ожидающего отказа актив- ного маршрутизатора в рамках одной HSRP группы;

∙Группа резервирования (Standby Group) — группа маршрутизаторов или маршрутизирующих коммутаторов третьего уровня, которые явля-

12

ются членами одной HSRP-группы и обеспечивают работу и отказо- устойчивость виртуального маршрутизатора;

∙Таймер приветствия (Hello Time) — промежуток времени, в течение ко- торого маршрутизаторы или маршрутизирующие коммутаторы третье- го уровня, находящиеся в рамках одной HSRP группы, ожидают пакеты приветствия (Hello Packet) от активного маршрутизатора;

∙Таймер удержания (Hold Time) — промежуток времени, по истечении которого резервный маршрутизатор посылает пакет, в котором содер- жится информация об отказе активного маршрутизатора, тем самым

осуществляет приоритетное прерывание в группе и берет на себя роль активного маршрутизатора.

4.3.1.Принцип действия HSRP

Из группы маршрутизаторов HSRP выбирает один активный и один standby маршрутизаторы. Остальные маршрутизаторы выступают как про- сто члены группы. Активный маршрутизатор отвечает за пересылку паке- тов. Standby-маршрутизатор займет место Активного маршрутизатора в случае отказа последнего. Маршрутизатор с наибольшим приоритетом, из оставшихся членов группы, в этом случае, будет выбран в качестве Standby.

Выборы проводятся на основании приоритета маршрутизатора, кото- рый может изменяться в пределах от 1 до 255. Приоритет может быть назна- чен вручную, что позволяет влиять на процесс выбора. Если системный ад- министратор не определил приоритет, используется значение по умолча- нию, равное 100. Если ни одному из маршрутизаторов в группе не был на- значен приоритет, то приоритеты всех маршрутизаторов совпадут и актив- ным в этом случае станет маршрутизатор с наибольшим IP-адресом интер- фейса, на котором настроен HSRP. В процессе работы Активный и Standby маршрутизаторы обмениваются hello-сообщениями.

По умолчанию, активный маршрутизатор, каждые 3 секунды, рассыла- ет hello-сообщение, которое сообщает «Ребята, всё ок! Я еще в строю!». Ес- ли в течение 10 секунд (три длительности hello-) нет ни одного hello- сообщения от активного маршрутизатора, резервный считает, что активный маршрутизатор «упал» и берет на себя роль активного маршрутизатора.

При подключении нового маршрутизатора к уже существующей группе он не будет выбран в качестве Active, даже при наличии большего приори- тета, если не настроена опция preempt. Для повышения безопасности можно

использовать процесс аутентификации при обмене сообщениями между маршрутизаторами.

Кроме того, есть возможность отслеживать состояние интерфейсов маршрутизатора, не принимающих участия в группе HSRP (uplink к другим сетям). И в зависимости от их работоспособности менять приоритет мар-

13

шрутизатора в группе. Приоритет меняется ступенчато. По умолчанию при "падении" одного из интерфейсов он уменьшается на 10. Однако для того, чтобы маршрутизатор, приоритет которого в результате этих изменений стал больше, взял на себя роль Active, должна быть настроена опция preempt.

4.4. Порты доступа

Все порты доступа должны работать со скоростью 1Гбит/с.

На текущий момент стандарта Fast Ethernet (100 BASE-T) с пропускной способностью 100 Мбит/с в связи с увеличением количества чувствительно- го к задержкам трафика голоса и видео становится недостаточно для ком- фортной работы пользователей в сети. Поэтому для получения запаса про- пускной способности канала в случае появления новых приложений, тре- бующих большую полосу пропускания, постоянно увеличивающегося объе-

ма передачи данных через сеть и увеличивающегося числа пользователей сети был выбран стандарт Gigabit Ethernet (1000BASE-X), согласно которо- му пропускная способность канала равна 1000 Мбит/с.

Данный стандарт широко распространен. Скорости в 1 Гбит/с вполне хватит для высокопроизводительной работы пользователей в локальной се- ти предприятия с использованием голосового и видео-трафика.

Переподписка (oversubscription) — это соотношение суммарных скоро-

стей соединений к уровню агрегации к суммарным скоростям подключения абонентов. Этот термин касается любых сетей, в том числе и сетей хранения данных (SAN).

Обычно уровень переподписки оценивается на границе уровней сети, которых обычно три: доступа, агрегации, ядра.

Как вычисляется: условный коммутатор доступа имеет 24 порта 1000BaseT для абонентов и 4 порта 1000BaseT на уровень агрегации. 24*1000/4*1000=6:1. Как правило, верхний уровень пишется первым, таким образом получаем 1:6.

Рекомендованными значениями переподписки на границе уровней дос- тупа и распределения считается 1:20. От распределения к ядру – 1:4. Также следует учитывать рекомендацию подключения коммутаторов доступа к не- скольким коммутаторам распределения для повышения надежности сети.

4.5. LocalVLAN

«SUT Networks» предпочитает использовать модель «Local VLAN»

В рамках проекта требуется выполнить распределение VLAN в корпо- ративной сети, описать назначение выделяемых VLAN, связанные L3 ин-

14

терфейсы и точки терминации VLAN. На L2 диаграмме показать распреде- ление VLAN по сети.

Для уменьшения трафика в локальной сети, по рекомендации компании Cisco Systems, используется модель Local VLAN. VLAN терминируется на уровне распределения. Это дает возможность использовать одинаковые идентификаторы VLAN для одинакового трафика в разных местах сети.

Зачем нужен VLAN?

Гибкое разделение устройств на группы

Как правило, одному VLAN соответствует одна подсеть. Устройства, находящиеся в разных VLAN, будут находиться в разных подсетях. Но в то же время VLAN не привязан к местоположению устройств и поэтому уст- ройства, находящиеся на расстоянии друг от друга, все равно могут быть в одном VLAN независимо от местоположения.

Уменьшение количества широковещательного трафика в сети

Каждый VLAN — это отдельный широковещательный домен. Напри- мер, коммутатор — это устройство 2 уровня модели OSI. Все порты на ком- мутаторе с лишь одним VLAN находятся в одном широковещательном до- мене. Создание дополнительных VLAN на коммутаторе означает разбиение коммутатора на несколько широковещательных доменов. Если один и тот же VLAN настроен на разных коммутаторах, то порты разных коммутаторов будут образовывать один широковещательный домен.

Увеличение безопасности и управляемости сети

Когда сеть разбита на VLAN, упрощается задача применения политик и правил безопасности. С VLAN политики можно применять к целым подсе- тям, а не к отдельному устройству. Кроме того, переход из одного VLAN в другой предполагает прохождение через устройство 3 уровня, на котором, как правило, применяются политики, разрешающие или запрещающие дос-

туп из VLAN в VLAN.

4.6.Протокол OSPF

Вкачестве протокола маршрутизации должен использоваться OSPF. Необходимо выделить устройства, на которых будет применяться протокол,

иописать внедрение OSPF в ваш разрабатываемый проект.

Протокол OSPF (Open Shortest Path First) вычисляет маршруты в IP-

сетях, сохраняя при этом другие протоколы обмена маршрутной информа-

15

цией. Может использоваться на оборудовании различных производителей сетевого оборудования. Его преимущества заключаются в том, что он наде- жен, прост в настройке, легко масштабируется, возможность разделения на зоны позволяет снизить нагрузку на CPU маршрутизаторов за счет умень- шения количества перерасчетов по алгоритму SPF, а также уменьшить раз- мер таблиц маршрутизации, за счет суммирования маршрутов на границах зон.

4.6.1.Описание настройки (общие принципы)

1.Включить OSPF на маршрутизаторе;

2.Маршрутизатор выбирает Router ID (уникальное имя маршрутизато- ра);

3.Включить OSPF на интерфейсах (чтобы протокол знал о каких интер- фейсах можно сообщать другим маршрутизаторам);

4.Обнаружение соседей с помощью Hello-пакетов:

4.1.Маршрутизаторы обмениваются hello-пакетами через все ин- терфейсы, на которых активирован OSPF;

4.2.Маршрутизаторы, которые находятся в одном широковещатель- ном сегменте, становятся соседями, когда они приходят к дого- воренности об определенных параметрах, указанных в их hello- пакетах;

5.Adjacency (отношения соседства, отношения смежности) это тип сосед- ства между маршрутизаторами, по которому они синхронизируют LSDB. Установка этих отношений зависит от типа сети:

5.1.Если маршрутизаторы находятся в сети с множественным дос- тупом, они выбирают DR и выполняют синхронизацию LSDB с ним;

5.2.Если маршрутизаторы находятся в сети point-to-point, они при- ступают к синхронизации LSDB друг с другом;

6.Синхронизация LSDB. Происходит в несколько этапов. По сформиро- ванным отношениям соседства происходит обмен такими пакетами:

6.1.DBD (краткое описание LSA в LSDB). С помощью этих пакетов маршрутизаторы сообщают друг другу о том, какую информа- цию они знают, в сокращенном виде;

6.2.LSR. После обмена DBD-пакетами, с помощью LSR маршрути- заторы запрашивают у соседа недостающую информацию;

6.3.LSU (содержит полное описание LSA). В ответ на LSR, который ему прислал сосед, маршрутизатор отправляет LSU, с полным описанием информации, которой не хватает у соседа;

6.4.LSAck. После получения LSU от соседа, маршрутизатор отправ- ляет подтверждение, что он получил информацию;

16

6.5.Если оба маршрутизатора должны запросить друг у друга ин- формацию, то эта процедура повторяется и в другую сторону;

6.6.После этого, LSDB синхронизирована, а значит, полностью одинакова между соседями;

7.После синхронизации LSDB, маршрутизатор отправляет обновление да- лее, своим соседям в других широковещательных сегментах;

8.Рассылая объявления через зону, все маршрутизаторы строят идентич-

ную LSDB;

9.Когда база данных построена, каждый маршрутизатор использует алго- ритм SPF (shortest path first) для вычисления графа без петель, который будет описывать кратчайший путь к каждому известному пункту назна- чения с собой в качестве корня. Этот граф — дерево кратчайшего пути;

10.Каждый маршрутизатор строит таблицу маршрутизации, основываясь на своем дереве кратчайшего пути.

4.7.Распределение подсети в филиалах

Для главного офиса и каждого филиала необходимы свои подсети. В главном офисе в СПб необходимы следующие подсети:

∙для соединений между сетевыми устройствами третьего уровня;

∙для управления коммутаторами второго уровня и точками доступа;

∙для IP-телефонии;

∙для МФУ;

∙для корпоративных беспроводных сетей;

∙для гостевых беспроводных сетей;

∙для пользователей ПК;

∙для управления базой данных;

∙для виртуальных машин.

17

Отказоустойчивость серверов обеспечивается установкой второго дуб- лирующего сервера. В случае выхода из строя основного сервера, второй сервер станет фактически копией первого, имея идентичную конфигурацию.

4.8. Трафик мониторинга и управления

Трафик управления и мониторинга должен быть отделен от остального трафика. Система мониторинга, как и все остальные системы управления должны быть расположены в серверной ферме.

Наиболее распространенным протоколом управления сетями является протокол SNMP (Simple Network Management Protocol), его поддерживают многие производители. Главные достоинства протокола SNMP – простота, доступность, независимость от производителей. В значительной степени именно популярность SNMP задержала принятие CMIP, варианта управ- ляющего протокола по версии OSI. Протокол SNMP разработан для управ- ления маршрутизаторами в сети Internet и является частью стека протоколов

TCP/IP.

SNMP – это протокол, используемый для получения от сетевых уст- ройств информации об их статусе, производительности и характеристиках, которые хранятся в специальной базе данных сетевых устройств, называе-

мой MIB (Management Information Base). Существуют стандарты, опреде-

ляющие структуру MIB, в том числе набор типов ее переменных (объектов в терминологии ISO), их имена и допустимые операции этими переменными (например, читать). В MIB, наряду с другой информацией, могут храниться сетевой и/или MAC-адреса устройств, значения счетчиков обработанных пакетов и ошибок, номера, приоритеты и информация о состоянии портов. Древовидная структура MIB содержит обязательные (стандартные) подде- ревья, а также в ней могут находиться частные (private) поддеревья, позво- ляющие изготовителю интеллектуальных устройств реализовать какие-либо специфические функции на основе его специфических переменных.

Сбор данных по протоколу NetFlow. Протокол NetFlow разработан компанией Cisco Systems. В контексте задачи управления сетью он является

незаменимым инструментом для мониторинга загрузки каналов передачи данных.

Конечно, протокол NetFlow не может извлекать информацию непосред- ственно из канала (витой пары или оптической линии) — данные снимаются с устройств, подключенных к интересующему сегменту. NetFlow поддержи- вается многими сетевыми устройствами: по этому протоколу могут отправ- лять информацию маршрутизаторы, коммутаторы и межсетевые экраны Cisco. NetFlow является проприетарным протоколом Cisco Systems, но су- ществует и его открытый аналог — sFlow. Последний реализован в совре- менных моделях сетевых устройств многих производителей сетевого обору- дования — HP, ZyXEL и других.

18

Основные области применения NetFlow: мониторинг утилизации кана- лов передачи данных, учет трафика, проведение аудитов сетевой инфра- структуры.

Для мониторинга сети применяется следующее ПО:

∙TotalNetworkMonitor 2 – доступное и действенное программное ре- шение для сетевого мониторинга деятельности серверных машин, ко- торое отображает идеальный баланс между удобством и обширно- стью функционала;

∙Observium – приложение, работа которого основана на использова- нии протокола SNMP, позволяет не только исследовать состояние се- ти любого масштаба в режиме реального времени, но и анализиро- вать уровень ее производительности. Это решение интегрируется с оборудованием от Cisco, Windows, Linux, HP, Juniper, Dell, FreeBSD, Brocade, Netscaler, NetApp и прочих вендоров;

∙Nagios– продвинутое решение для мониторинга. С его помощью сис- темные администраторы получают возможность удаленно реглиро-

вать объем нагрузки на пользовательское или вышестоящее в сетевой иерархии оборудование (коммутаторы, маршрутизаторы, серверы), следить за степенью загруженности резервов памяти в базах данных;

∙PRTGNetworkMonitor – используется не только для сканирования устройств, которые в данный момент подключены к локальной сети,

но также может послужить отличным помощником и в обнаружении сетевых атак. Среди самых полезных сетевых сервисов PRTG: ин- спекция пакетов, анализ и сохранение статистических данных в базу, просмотр карты сети в режиме реального времени (также доступна возможность получения исторических сведений о поведении сети), сбор технических параметров об устройствах, подключенных к сети, а также анализ уровня нагрузки на сетевое оборудование.

Рекомендации к управлению:

1.Для удаленного подключения рекомендуется использовать только за- щищенные протоколы, такие как SSH и HTTPs. Для проверки можно провести захват трафика подключения по протоколу Тelnet, и в этом трафике вы без труда найдете логин и пароль, передаваемые в откры- том виде;

2.На всех устройствах должны быть настроены имена и пароли с доста- точной степенью надежности. Все учетные записи, заданные по умол- чанию, следует удалить. Все пароли следует хранить в защищенном виде;

3.Весь трафик мониторинга и управления, передаваемый по открытым каналам, должен быть зашифрован либо в рамках соединения VPN,

19

либо с использованием защищенных протоколов (SNMPv3, sFTP, SCP);

4.Доступ к устройствам должен иметь только определенный круг поль- зователей. Например, на оборудовании Cisco это можно сделать с по- мощью списков доступа (ACL);

5.Необходимо настроить синхронизацию времени на устройствах. Это позволит более точно определять, когда осуществлялась попытка ле- гитимного или нелегитимного подключения;

6.Все подключения и вводимые команды рекомендуется протоколиро- вать. Особенно это актуально, если управлением занимаются несколь- ко человек;

7.Каждый пользователь должен подключаться, используя свою уни- кальную учетную запись.

При необходимости разные сотрудники могут иметь разный уровень

доступа к устройству. А при подключении должно выводиться сообщение о том, что доступ разрешен только авторизованным пользователям.

Как было отмечено ранее, помимо рекомендаций, касающихся непо- средственного управления устройствами, имеются рекомендации по безо- пасной настройке различных протоколов (например, EIGRP, OSPF и пр.), обеспечивающих работу сети. Например, целесообразно всегда включать протоколирование изменений состояния протокола (добавление/удаление маршрутов и пр.), а также аутентификацию между устройствами при уста- новлении соседственных отношений.

Кроме того, есть целый набор рекомендаций по настройке качества обслуживания (QoS) трафика управления и мониторинга. Сюда же можно

отнести вопросы фильтрации и ограничения скорости для того или иного протокола для предотвращения атаки с целью вызвать «отказ в обслужива- нии».

4.9. Многофункциональные устройства (МФУ)

На каждом этаже должны использоваться сетевые многофункциональ- ные устройства МФУ (принтер+сканер+копир).

В каждом помещении установлено по одному МФУ – имеет разъем под Ethernet, и может напрямую подключаться в коммутатор.

Все МФУ подключены к коммутаторам доступа и располагаются в от- дельном VLANе. Авторизация всех МФУ происходит по MAC authentication bypass (MAB) поскольку не поддерживается 802.1x (рис.2)

Аутентификатор хранит список MAC-адресов устройств, подключен- ных к нему в своей локальной базе. Сервер аутентификации хранит список MAC-адресов всех устройств, участвующих в процессах безопасного обме- на. После того, как аутентификатор обнаруживает устройство на 802.1x пор- ту, он ждет от него фрейм, в это время отправляя серверу аутентификации

20