Схема связи между структурными блоками сетевой инфраструктуры
Для обеспечения отказоустойчивости МСЭ должны быть объединены в failover-пару. В данном режиме весь трафик направляется через активную ноду, и сессии пользователей синхронизируются с резервной по выделенному каналу — по рекомендации производителя пропускная способность этого канала не должна быть меньше пропускной способности внешних каналов межсетевого экрана. Как и большинство подобного… Читать ещё >
Схема связи между структурными блоками сетевой инфраструктуры (реферат, курсовая, диплом, контрольная)
Все структурные блоки сетевой инфраструктуры должны иметь подключение к зарезервированному ядру сети, которое и будет обеспечивать высокоскоростное соединение между ними.
В дальнейшем будут рассмотрены особенности подключения каждого из структурных блоков.
Рисунок 1. — Схема связей между структурными блоками сети:
Подключение внешних каналов, граничный блок сети
Оборудование граничного блока сети — Cisco ASA-5585-SSP40 — является межсетевым экраном, работающим на сеансовом уровне (stateful firewall), должно обеспечивать фильтрацию и анализ проходящего трафика.
Как и большинство подобного сетевого оборудования, обладает очень ограниченными возможностями маршрутизации и балансировки трафика, в частности, отсутствует поддержка ECMP (equal cost multipath), и необходимого для оборудования граничного блока протокола BGP. Для обеспечения балансировки трафика и поддержания BGP-сессий с операторами связи возможно использовать два решения:
- — Установить отдельный высокопроизводительный маршрутизатор для поддержания внешних каналов;
- — Воспользовавшись технологией VRF (Virtual Routing and Forwarding), перенести функции балансировки трафика и роуминга на оборудование ядра сети, логически выделив граничный блок в отдельную таблицу маршрутизации.
Рационально использовать второе решение, и выделить внешнюю маршрутизацию и каналы в VRF-OUT, а внутреннюю — в VRF-INT.
Рисунок 2. — Схема прохождения трафика внутрь офисной сети:
Для реализации данной схемы, необходимо перенести внешние каналы в VRF-OUT, а так же подключить один из интерфейсов МСЭ в VRF-OUT, а второй в VRF-INT для прохождения трафика между внешней и внутренней таблицами маршрутизации ядра через межсетевой экран. Эти интерфейсы могут быть логическими интерфейсами. Разумно подключить каждый модуль межсетевого экрана (активный и резервный) к разным маршрутизаторам ядра и разместить их в различных серверных, для обеспечения резервирования.
Рисунок 3. — Схема подключения граничного блока сети к ядру, с учетом VRF:
Так же, для дополнительной отказоустойчивости и пропускной способности, Cisco ASA должны подключаться к устройствам ядра сети используя технологию агрегации каналов на основе протокола LACP (Link Aggregation Control Protocol) для согласования между устройствами.
Для обеспечения отказоустойчивости МСЭ должны быть объединены в failover-пару. В данном режиме весь трафик направляется через активную ноду, и сессии пользователей синхронизируются с резервной по выделенному каналу — по рекомендации производителя пропускная способность этого канала не должна быть меньше пропускной способности внешних каналов межсетевого экрана.
При отказе МСЭ, активной становится резервная нота и пользовательский трафик пропускается через нее, без разрыва существующих соединений.
Таким образом, для обеспечения отказоустойчивости две ASA-5585 должны быть установлены в разных серверных (на 4 и 13 этаже), и соединены между собой агрегированным каналом.
Полученный отказоустойчивый кластер ASA-5585 так же будет использоваться для детерминации IPsec туннелей между головным и удаленными офисам компании.