Проектирование ЛВС

В традиционной двухъядерной архитектуре со множеством коммутаторов доступа (рис. 5.1) используется единая VLAN, а для предотвращения появления петель уровня 2 в сети используется протокол Spanning Tree Protocol (STP). STP имеет два основных недостатка:

1. Он медленно восстанавливается после сбоя, требуя для этого несколько секунд (что слишком долго в случае, если трафик в сети составляет передача данных в реальном времени, например, голосовая или видеосвязь);

2. Ему приходится блокировать избыточные каналы в сети, что вдвое урезает пропускную способность.

Рисунок 5.1. Традиционная двухъядерная архитектура ЛВС

Указанных недостатков лишена новая архитектура фирмы Cisco Borderless Networks Architecture (BNA). “Сети без границ” с использованием архитектуры BNA для комплекса зданий организаций средних размеров оптимизирует использование каналов, начиная с уровня доступа и заканчивая ядром сети. Оба порта каскадирования коммутаторов уровня доступа находятся в активном состоянии и передают трафик, поэтому пропускная способность увеличивается в два раза по сравнению с традиционными архитектурами, в которых один из портов каскадирования блокируется STP. Кроме того, увеличив число портов каскадирования, можно повысить пропускную способность на уровне доступа или в серверной комнате, расширяя, таким образом, архитектуру в соответствии с требованиями к пропускной способности.

Обобщенная схема ЛВС, реализующая архитектуру “сети без границ”, показана на рис. 5.2.

Рисунок 5.2. Обобщенная схема ЛВС, реализующая архитектуру BLA

В этой схеме на уровне доступа используются коммутаторы 2 уровня Cisco Catalyst 2960-S, которые имеют 24 или 48 портов и дополнительные аплинки: четыре 1 Gigabit Ethernet SFP или два 10 Gigabit Ethernet SFP+. Уровень распределения реализован на коммутаторах 3 уровня Cisco Catalyst 3560-X или 3750-X. Они, в зависимости от версии IOS, поддерживают протоколы динамической маршрутизации RIP, EIGRP, OSPF, BGP. Более подробную информацию о технических характеристиках этих коммутаторов можно посмотреть в документе Cisco_Access_Switches_Final.pdf.

Связь между зданиями, расстояние между которыми превышает 100 м, обычно осуществляется по многомодовому оптоволокну. Обобщенная схема ЛВС кампуса показана на рис. 5.3.

Рисунок 5.3. Обобщенная схема ЛВС кампуса

Для этого коммутаторы третьего уровня должны быть укомплектованы оптоволоконными модулями. Если в здании расположено 8 или менее хостов, то в линейке сетевого оборудования фирмы Cisco имеются маршрутизаторы серии 1900, в состав которых может быть включен интегрированный 4-х или 9-ти портовый коммутатор.

Следует отметить, что решения фирмы Cisco опираются на собственное сетевое оборудование, которое является наиболее дорогим в этом сегменте рынка. Так, например, оптоволоконный модуль 2 x 1G SFP для коммутаторов 3560 стоит от 700 до 900 $ США. Более дешевым решением для объединения зданий будет использование медиа конверторов, стоимость которых лежит в пределах от 1000 до 4000 руб.

Модуль подключения ЛВС к Internet может быть построен по схеме, показанный на рис. 5.4.

Рисунок 5.4. Модуль доступа в Internet

Центральным устройством модуля является многофункциональное устройство информационной безопасности – сервер доступа ASA 5500. Cisco ASA обеспечивает полную доступность межсетевого экрана и сервисов VPN. Функции межсетевого экрана обеспечивают фильтрацию уровня приложений с сохранением состояния для входящего и исходящего трафика, защищенный исходящий доступ для пользователей и сеть DMZ для серверов, к которым необходимо осуществлять доступ из Интернета. Для удаленного доступа и VPN “сеть-сеть” устройство ASA поддерживает как SSL, так и IPsec VPN, предоставляя таким образом сотрудникам и партнерам безопасное подключение к корпоративной сети из Интернета. Cisco IPS 4300 (Intrusion Prevention System) служит для предупреждения и предотвращения атак, а новые средства фильтрации по репутации Sensor Base существенно упрощают принятие решения о том, какой трафик блокировать, благодаря учету репутации источника трафика. Таким образом, Cisco IPS может блокировать совершенно новые атаки, не учитывая сигнатуры и сокращая при этом количество ошибочных срабатываний.

Маршрутизатор Cisco 3900 или любой другой, по усмотрению провайдера, чаще всего им же и настраивается, и обслуживается. Если же для связи с провайдером будет использоваться технология xDSL, то вместо маршрутизатора устанавливается соответствующий модем.