Архитектура и организация корпоративных сетей Е.Г.Боровцов Харктеристики корпоративной сети Корпоративная сеть может быть распределённой Поддерживает критически важные приложения, сетевой трафик, централизованный контроль и различные потребности предприятия Обеспечивает коэффициент бесперебойной работы 99,999% Реализуется с использованием компонентов WAN и LAN Использует сетевые технологии различных типов Использует услуги ISP Является мультисервисной (используется для передачи различных типов трафика, включая данные, голос и видео) Иерархическая структура корпоративной сети Для организации сети используется трёхуровневая модель иерархической архитектуры, позволяющая оптимизировать использование полосы пропускания сети, локализовать потоки трафика, обеспечить резервирование маршрутов и локализовать домены возникновения сбоя Иерархическая структура корпоративной сети — резервирование маршрутов Иерархическая структура корпоративной сети — локализация доменов сбоя Функциональные компоненты иерархической архитектуры корпоративной сети На границе корпорации находится точка присутствия (Point of Presense), которая служит для подключения услуг к корпоративной сети. Точка присутствия включает точку разграничения (Demark Point), определяющую разграничения зон ответственности организации и поставщика услуг. Корпортивные сети — конгломерат LAN и WAN Корпоративные сети — конгломерат LAN и WAN Характеристики LAN: Характеристики WAN: Организация несет ответственность за организацию инфраструктуры и управление ею; Ethernet — самая распространенная технология LAN; Основное внимание уделяется уровню доступа и уровню распределения; LAN обеспечивает взаимодействие пользователей и их доступ к приложениям организации на серверной ферме; Соединённые в сеть устройства располагаются, как правило, в одной локальной области — одном здании или комплексе зданий; Соединение площадок, находящихся на значительном расстоянии; При подключении к WAN используются дополнительные устройства согласования с сетью ISP, например, модем или CSU/DSU(Channel Service Unit/Data Service Unit — устройство обслуживания канала/устройство передачи данных); Услуги предоставляются ISP (Например, линии WAN E1/E3, xDSL, ATM, Frame Relay и др.) Ответственность за организацию и управление инфраструктурой несет ISP; Граничные устройства преобразуют инкапсуляцию Ethernet в последовательную инкапсуляцию WAN Удалённое рабочее место как элемент корпоративной сети Удаленное рабочее место - стандартный элемент корпоративной инфраструктуры; Обеспечивает экономию средств; Повышает комфортабельность работы; Обеспечивает доступ ко всем сетевым сервисам корпоративной среды; Обеспечивает соотвествующий уровень безопсности за счет процедур аутентификации, авторизации и организации защищённого соединения. Документация корпоративной сети — физическая топология Документация корпоративной сети — логическая топология Документация корпоративной сети — план по обеспечению непрерывности работы План непрерывности работы (BCP — Business Continuity Plan или план непрерывности бизнеса) Обеспечивает непрерывную работу путем определения набора процедур, выполняемых в случае форс-мажорных ситуаций. Обычно включает в себя следующие процедуры: Хранение резервной информации за пределами локальной сети организации(в другой локальной или глобальной сети ); Организацию альтернативных центров обработки информации (резервный ЦОД); Резервирование локальных и глобальных каналов связи. Документация корпоративной сети — план по обеспечению безопасности работы План безопасности работы (BSP — Business Security Plan или план безопасности бизнеса) Предотвращает несанкционированный доступ к ресурсам корпоративной сети путем определения политик безопасности. Может включать в себя следующие мероприятия: Проверка подлинности пользователя; Использование только регламентированного, проверенного ПО; Организация безопасных процедур удалённого доступа; Использование систем обнаружения и предотвращения проникновений; Своевременное устранение неисправностей и применение обновлений безопасности ПО Документация корпоративной сети — план по техническому обслуживанию сети план по техническому обслуживанию сети (NMP — Network Management Plan) Включает в себя процедуры обслуживания сети, минимизирующие простои оборудования и программного обеспечения. Может включать следующие мероприятия: - периоды техобслуживания; - запланированные простои оборудования с целью проведения профилактических и ремонтных работ; - обслуживание как оборудования, так и ПО; - ответственность персонала за реакцию на заявки и запросы; - мониторинг работы сети, оборудования и ПО. Документация корпоративной сети — соглашение об уровне обслуживания Соглашение об уровне обслуживания (SLA — Service Level Agreement) — соглашение между заказчиком и поставщиком услуг об основных параметрах и количественных и качественных характеристиках предоставляемых услуг. Может включать в себя следующие пункты: - Скорость и пропускная способность каналов связи; - коэффициент бесперебойной работы сети; - максимальное время устранения неисправностей; - мониторинг производительности сети; - время реакции на заявки; - ответственность при обращении с заявками. Компоненты корпоративной сети - NOC NOC — Network Operations Center — центр управления сетью. Обычно включает в себя: - высокопроизводительные системы бесперебойного питания и кондиционирования; - системы пожаротушения; - серверную ферму и системы хранения данных (NAS) или сеть хранения данных (SAN); - системы резервного копирования; - станции мониторинга сети; - коммутаторы уровня доступа и маршрутизаторы уровня распределения, образующие главный распределительный отсек (MDF — Main Distribution Facility); Компоненты корпоративной сети — СКС и распределительные блоки СКС — структурированная кабельная система. Подразделяется на вертикальную и горизонтальную компоненты. Вертикальная — магистральная часть сети, обычно соединяет распределительные блоки, часто строится на основе оптоволокна. Горизонтальная используется для подключения конечных пользователей. MDF — главный распределительный блок; IDF — промежуточный распределительный блок — для подключения пользователей и рабочих групп Компоненты корпоративной сети — оборудование с питанием через Ethernet Для питания оконечного оборудования, подключенного на уровне доступа, нередко используют технологию PoE — Power other Ethernet. В этом случае питание к оконечному устройству подается через ту же витую пару, через которую осуществляется подключение к сети. Таким образом могут подключаться, например, IPкамеры, IP-телефоны, беспроводные точки доступа. Подключение корпоративной сети к поставщику услуг Защита внешнего периметра корпоративной сети