Разработка проекта сетевой инфраструктуры компании

Подключение внешних каналов, граничный блок сети

 Оборудование граничного блока сети – Cisco ASA-5585-SSP40 – является межсетевым экраном, работающим на сеансовом уровне (stateful firewall), должно обеспечивать фильтрацию и анализ проходящего трафика. Как и большинство подобного сетевого оборудования, обладает очень ограниченными возможностями маршрутизации и балансировки трафика, в частности, отсутствует поддержка ECMP (equal cost multipath), и необходимого для оборудования граничного блока протокола BGP. Для обеспечения балансировки трафика и поддержания BGP-сессий с операторами связи возможно использовать два решения:

Установить отдельный высокопроизводительный маршрутизатор для поддержания внешних каналов

Воспользовавшись технологией VRF (Virtual Routing and Forwarding), перенести функции балансировки трафика и роутинга на оборудование ядра сети, логически выделив граничный блок в отдельную таблицу маршрутизации.

Рационально использовать второе решение, и выделить внешнюю маршрутизацию и каналы в VRF-OUT, а внутреннюю – в VRF-INT.

Для реализации данной схемы, необходимо перенести внешние каналы в VRF-OUT, а так же подключить один из интерфейсов МСЭ в VRF-OUT, а второй в VRF-INT для прохождения трафика между внешней и внутренней таблицами маршрутизации ядра через межсетевой экран. Эти интерфейсы могут быть логическими сабинтерфейсами. Разумно подключить каждый модуль межсетевого экрана (активный и резервный) к разным маршрутизаторам ядра и разместить их в различных серверных, для обеспечения резервирования. Так же, для дополнительной отказоустойчивости и пропускной способности, Cisco ASA должны подключаться к устройствам ядра сети используя технологию агрегации каналов на основе протокола LACP
(Link Aggregation Control Protocol) для согласования между устройствами.

Рисунок 2. Схема прохождения трафика внутрь офисной сети

Для обеспечения отказоустойчивости МСЭ должны быть объединены в failover-пару. В данном режиме весь трафик направляется через активную ноду, и сессии пользователей синхронизируются с резервной по выделенному каналу – по рекомендации производителя пропускная способность этого канала не должна быть меньше пропускной способности внешних каналов межсетевого экрана. При отказе МСЭ, активной становится резервная нода и пользовательский трафик пропускается через нее, без разрыва существующих соединений. Таким образом, для обеспечения отказоустойчивости две ноды ASA-5585 должны быть установлены в разных серверных (на 4 и 13 этаже), и соединены между собой агрегированным каналом.

 Полученный отказоустойчивый кластер ASA-5585 так же будет использоваться для терминации IPsec туннелей между головным и удаленными офисам компании.

Рисунок 3. Cхема подключения граничного блока сети к ядру, с учетом VRF

Уровень доступа ЛВС

 В целях масштабируемости и отказоустойчивости необходимо обеспечить подключение каждого стека коммутаторов уровня доступа к обоим устройствам ядра. Отказоустойчивость самого уровня доступа должна обеспечиваться благодаря наличию резервного Routing Engine (коммутатора, берущего на себя функции менеджмента и поддержания маршрутизации всего стека), а так же подключения оптических каналов в сторону ядра сети к разным коммутаторам стека. Такой подход позволяет минимизировать ущерб для работоспособности в случае выхода из строя одного из коммутаторов.

  Имея по два канала от коммутаторов уровня доступа в сторону ядра, разумно балансировать трафик между ними. Это можно обеспечить несколькими способами:

Объединение маршрутизаторов ядра в кластер - virtual switching system, virtual chassis и т.д. Не смотря на близость архитектуры выбранных для ядра сети маршрутизаторов Cisco 7609 с коммутаторами Cisco 6509, подобный функционал производителем не реализован.

Использование распределенных технологий агрегации каналов – MC-LAG (Multi-chassis link aggregation group), vPC (Virtual Port Channel). Эти технологии так же недоступны в актуальном на данный момент ПО для маршрутизаторов Cisco 7609.

Применение различных модификации протокола STP (Spanning Tree Protocol). Протоколы STP изначально предназначен для защиты сети от L2-петель и использование их даже для решения задачи обеспечения отказоустойчивости в большинстве случаев неоправданно – значительное время сходимости, слабая защищенность, перерыв связи во время перестроения дерева. При использовании протоколов VSTP, PVST, MSTP так же возможно частично разбалансировать трафик между каналами, блокируя каждый из каналов только для части VLAN. Однако, для достижения оптимальной загрузки нескольких каналов требуется вмешательсто со стороны адмнистратора и равномерное распределение трафика по различным VLAN.

Использование протоколов динамической маршрутизации и балансировки за счет ECMP (equal-cost multi-path routing). В данном случае потребуется поэтажная сегментация сети, а так же поддержка динамической маршрутизации со стороны коммутаторов уровня доступа.

Выбранное ранее оборудования для уровня доступа и ядра сети поддерживает необходимые технологии для осуществления балансировки нагрузки на каналы связи по последнему из перечисленных способов. В силу использования внутри сети адресов из приватного диапазона, и отсутствия требований к связаности всего офиса на канальном уровне, использование маршрутизации между ядром и уровнем доступа так же является наиболее рациональным решением.


Таким образом, устройства уровня доступа должны обладать связанностью с ядром на сетевом уровне и использовать протокол динамической маршрутизации для обмена маршрутной информацией и балансировки нагрузки между каналами. В качестве протокола маршрутизации так же разумно использовать OSPF.

Рисунок 4. Cхема подключения оборудования уровня доступа к ядру сети

Конфигурация локальных сетей