Разработка сетевой инфраструктуры головного офиса компании Мэйл.Ру

Автор работы: Пользователь скрыл имя, 05 Апреля 2014 в 20:01, дипломная работа

Краткое описание

Целью данной работы является обеспечение эффективной работы компании после переезда в новое офисное здание, путем создания масштабируемой и защищенной сетевой инфраструктуры.
Задачи, которые были решены в этой работе:
Формирование требований к создаваемой системе
Анализ существующих решений и подходов к организации корпоративной сетевой инфраструктуры и обеспечению безопасности сети предприятия
Разработка физический и логической схем локальной вычислительной сети

Вложенные файлы: 1 файл

diplom_avolkov_final.doc

— 2.75 Мб (Скачать файл)

 

На втором этаже, общей площадью 2500 (50м*50м) м.кв. располагаются:

  • 2 разнесенных конференц-зала на 147 и 114 человек (оба по 15м*8м=120м.кв.)
  • зона лаунжа с мягкими посадочными местами (до 50 человек)
  • 15 переговорных комнат (расчетная вместимость от 8 до 15 человек)
  • балконы
  • служебные зоны. 

 

На 3 этаже, общей площадью 2500 м.кв. (50м*50м), располагаются

  • открытая рабочая зона (openspace) на 79 рабочих мест
  • зона отдыха (релакса)
  • зона, выделенная под тренажерный зал

 

На 4 этаже, общей площадью 2500 м.кв. (50м*50м), располагаются:

  • открытая рабочая зона (openspace) на 95 рабочих мест
  • рабочие места охраны - 21
  • вспомогательные помещения (АХО, склады)
  • аудиостудия, видеостудия
  • серверная

 

На 5 этаже, общей площадью 2500 м.кв. (50м*50м), располагаются:

  • открытые рабочие зоны (openspace) на 98 рабочих мест

 

На 13 этаже, общей площадью 2500 м.кв. (50м*50м), располагаются:

  • открытая рабочая зона (openspace) на 95 рабочих мест
  • вспомогательные помещения
  • серверная

 

Типовые этажи с 6 по 12 и с 14 по 26 представляют из себя прямоугольные площади с не несущими внутренними стенами общей площадью примерно 1000м. кв. (~ 31м*33м) Лифтовые шахты располагаются посередине (план прилагается). На типовом этаже планируется разместить по 120 рабочих мест.

Для каждого рабочего места предполагается провести по 2 розетки RJ45.e

Внешние каналы связи представлены двумя собственными оптическими каналами в датацентры компании – ММТС-9 и М100. Основным поставщиком услуг является собственная магистральная сеть компании, полностью изолированная от офисной инфраструктуры.

2.3 Логическая схема ЛВС

Исходя из задач проекта, каждый работник на рабочем месте должен иметь возможность использования 1 IP-телефона, питающегося по Ethernet либо при помощи собственного блока питания. Также, должна быть обеспечена возможность подключения компьютера параллельно (для обеспечения высокой скорости подключения рабочей станции, либо же в случае использования телефонов без встроенного коммутатора). Скорость абонентского подключения принимается за 1Гбит/сек.

На первом этаже не предполагается размещать рабочие места. ЛВС должна предусматривать возможность подключения точек доступа, оборудования ВКС и презентера в конференц-зале, подключения проводных камер ip-наблюдения, кассового оборудования (6 портов). Всего расчетное количество составляет не менее 34, но не превышает 48 портов. На первом этаже не предусмотренно коммутационной, все устройства должны подключатся в коммутаторы на втором этаже.

На втором этаже также не предполагается размещать рабочих мест. С учетом ЛВС для переговорных комнат (заложено по 4 порта, 15 переговорных комнат), камер наблюдения, конференц-залов и беспроводных точек количество портов не должно превышать 96.

На третьем этаже размещается 79 рабочих мест общего типа. Дополнительно требуется ЛВС для точек доступа, камер и вспомогательного оборудования в спецзонах. Итого, минимум 90 портов с поддержкой PoE.

На четвертом этаже размещается 95 рабочих мест общего типа, а также 21 рабочее место охраны. По предварительным подсчетам необходимо 126 порта РоЕ.

На пятом этаже размещается 98 рабочих мест. С учетом точек доступа и камер необходимо 108 портов РоЕ.

На типовом этаже предполагается 120 рабочих мест, а также необходимо учитывать запас для расширения и подключения других устройств, питающихся через Ethernet (точки доступа, ip-видеокамеры).

Для создания отказоустойчивого решения решено применять коммутаторы, поддерживающие технологию стекирования (внешняя шина), для объединения нескольких аппаратных устройств в одно логическое. Это позволяет упростить логическую структуру сети, настройку, управление и мониторинг. Требуется наличие расширенного списка функций защиты на канальном уровне.

Для агрегации стеков поэтажных коммутаторов планируется использовать пару связей со скоростью 10Гбит/сек от разных аппаратных коммутаторов стека. Для уровня ядра планируется использовать два шасси 7609S-RSP720-3XL.

В силу экономических соображений, сложности в прогнозе количества необходимых подключенных портов ЛВС, а так же для обеспечения масштабируемости решения, в обязательном порядке необходимо подвести по одному порту на рабочее место, а второй порт СКС будет запитан по необходимости впоследствии. Топология сети рассчитывается таким образом, чтобы допускать установку новых аппаратных устройств в стек без изменения логики работы сети. Это максимально упростит последующее масштабирование сети.

Для обеспечения должного уровня безопасности ЛВС запланировано использование пары высокопроизводительных межсетевых экранов cisco ASA 5585X + SSP40 в отказоустойчивой топологии active/standby failover.

Учитывая требования, планируется на начальном этапе установить по 4 коммутатора с PoE в стеке на 4, 5 и каждый регулярный этаж, 3 таких коммутатора на 3 и 2 этажи.

 

2.3.1 Схема связи между структурными блоками сетевой инфраструктуры

 Все структурные блоки  сетевой инфраструктуры должны иметь подключение к зарезервированному ядру сети, которое и будет обеспечивать высокоскоростное соединение между ними. В дальнейшем будут рассмотрены особенности подключения каждого из структурных блоков.

Рисунок 1. Схема связей между структурными блоками сети

 

2.3.2 Подключение внешних каналов, граничный блок сети

Оборудование граничного блока сети – Cisco ASA-5585-SSP40 – является межсетевым экраном, работающим на сеансовом уровне (stateful firewall), должно обеспечивать  фильтрацию и анализ проходящего трафика. Как и большинство подобного сетевого оборудования, обладает очень ограниченными возможностями маршрутизации и балансировки трафика, в частности, отсутствует поддержка ECMP (equal cost multipath), и необходимого для оборудования граничного блока  протокола BGP. Для обеспечения балансировки трафика и поддержания BGP-сессий с операторами связи возможно использовать два решения:

  • Установить отдельный высокопроизводительный маршрутизатор для поддержания внешних каналов
  • Воспользовавшись технологией VRF (Virtual Routing and Forwarding), перенести функции балансировки трафика и роутинга на оборудование ядра сети, логически выделив граничный блок в отдельную таблицу маршрутизации.

Рационально использовать второе решение, и выделить внешнюю маршрутизацию и каналы в VRF-OUT, а внутреннюю – в VRF-INT.

Для реализации данной схемы, необходимо перенести внешние каналы в VRF-OUT, а так же подключить один из интерфейсов МСЭ в  VRF-OUT,  а второй в VRF-INT для прохождения трафика между внешней и внутренней таблицами маршрутизации ядра через межсетевой экран. Эти интерфейсы могут быть логическими сабинтерфейсами. Разумно подключить каждый модуль межсетевого экрана (активный и резервный) к разным маршрутизаторам ядра и разместить их в различных серверных, для обеспечения резервирования. Так же, для дополнительной отказоустойчивости и пропускной способности, Cisco ASA должны подключаться к  устройствам ядра сети используя технологию агрегации каналов на основе протокола LACP (Link Aggregation Control Protocol) для согласования между устройствами.

Рисунок 2. Схема прохождения трафика внутрь офисной сети

 

Для обеспечения отказоустойчивости МСЭ должны быть объединены в failover-пару. В данном режиме весь трафик направляется через активную ноду, и сессии пользователей синхронизируются с резервной по выделенному каналу – по рекомендации производителя пропускная способность этого канала не должна быть меньше пропускной способности внешних каналов межсетевого экрана. При отказе МСЭ, активной становится резервная нода и пользовательский трафик пропускается через нее, без разрыва существующих соединений. Таким образом, для обеспечения отказоустойчивости две ноды ASA-5585 должны быть установлены в разных серверных (на 4 и 13 этаже), и соединены между собой агрегированным каналом.

Полученный отказоустойчивый кластер ASA-5585 так же будет использоваться для терминации IPsec туннелей между головным и удаленными офисам компании.

Рисунок 3. Cхема подключения граничного блока сети к ядру, с учетом VRF

2.3.3 Уровень доступа ЛВС

В целях масштабируемости и отказоустойчивости необходимо обеспечить подключение каждого стека коммутаторов уровня доступа к обоим устройствам ядра. Отказоустойчивость самого уровня доступа должна обеспечиваться благодаря наличию резервного Routing Engine (коммутатора, берущего на себя функции менеджмента и поддержания маршрутизации всего стека), а так же подключения оптических каналов в сторону ядра сети к разным коммутаторам стека. Такой подход позволяет минимизировать ущерб для работоспособности в случае выхода из строя одного из коммутаторов.

Имея по два канала от коммутаторов уровня доступа в сторону ядра, разумно балансировать трафик между ними. Это можно обеспечить несколькими способами:

  • Объединение маршрутизаторов ядра в клас*тер - virtual switching system, virtual chassis и т.д. Не смотря на близость архитектуры выбранных для ядра сети маршрутизаторов Cisco 7609 с коммутаторами Cisco 6509, подобный функционал производителем не реализован.
  • Использование распределенных технологий агрегации каналов – MC-LAG (Multi-chassis link aggregation group), vPC (Virtual Port Channel). Эти технологии так же недоступны в актуальном на данный момент ПО для маршрутизаторов Cisco 7609.
  • Применение различных модификации протокола STP (Spanning Tree Protocol). Протоколы STP изначально предназначен для защиты сети от L2-петель и использование их даже для решения задачи обеспечения отказоустойчивости в большинстве случаев неоправданно – значительное время сходимости, слабая защищенность, перерыв связи во время перестроения дерева. При использовании протоколов VSTP, PVST, MSTP так же возможно частично разбалансировать трафик между каналами, блокируя каждый из каналов только для части VLAN. Однако, для достижения оптимальной загрузки нескольких каналов требуется вмешательсто со стороны адмнистратора и равномерное распределение трафика по различным VLAN.
  • Использование протоколов динамической маршрутизации и балансировки за счет ECMP (equal-cost multi-path routing). В данном случае потребуется поэтажная сегментация сети, а так же поддержка динамической маршрутизации со стороны коммутаторов уровня доступа.

Выбранное ранее оборудования для уровня доступа и ядра сети поддерживает необходимые технологии для осуществления балансировки нагрузки на каналы связи по последнему из перечисленных способов. В силу использования внутри сети адресов из приватного диапазона, и отсутствия требований к связаности всего офиса на канальном уровне, использование маршрутизации между ядром и уровнем доступа так же является наиболее рациональным решением.

 Таким образом, устройства уровня доступа должны обладать связанностью с ядром на сетевом уровне и использовать протокол динамической маршрутизации для обмена маршрутной информацией и балансировки нагрузки между каналами. В качестве протокола маршрутизации так же разумно использовать OSPF.

Рисунок 4. Cхема подключения оборудования уровня доступа к ядру сети

 

2.3.4 Офисный ЦОД

В здании головного офиса компании предусмотрено два помещения, оборудованных для установки серверного и сетевого оборудования – на 13 и 4 этажах, по  26 стандратных стоек в каждом. В серверных размещаются по одному маршрутизатору ядра сети.  Для подключения серверного оборудования решено использовать коммутаторы Juniper EX4200-48PX/T – такие же  используются для уровня доступа. Коммутаторы предназначенные для подключения серверов и размещенный в пределах одного этажа так же собираются в стек, и подключаются к маршрутизатору ядра сети, размещенному в этой же серверной. Необходимость резервирования и балансировки трафика между каналами в таком случае отсутствует. Серверные сегменты сети должны быть едиными между серверными на 13 и 4 этажах. При таком построение, VLAN’ы предназначенные для подключения серверов разумно терминировать на устройствах ядра сети. Для обеспечения отказоустойчивости необходимо использовать один из протоколы резервирования первого перехода (First Hop Redundancy Protocol):

  • VRRP (Virtual Router Redundancy Protocol)
  • HSRP (Hot Standby Router Protocol)
  • GLBP (Gateway Load Balancing Protocol)

Последние два протокола из перечисленных являются проприетарными, и совместимы только с оборудованием производства  Cisco Systems. У данных протоколов есть преимущества перед стандартной реализацией - быстрая сходимость у HSRP, возможность балансировки трафика у GLBP. Протокол VRRP так же вполне достаточен для решения задачи резервирования первого перехода, и так же позволяет добиться высокой скорости сходимости при задание нестандартный таймеров, а его совместимость с оборудованием других вендоров расширяет возможности дальнейшей модернизации сети при появлении новых требований. Его использование предпочтительней.

Коммутаторы офисного ЦОДа в отличии от уровня доступа не выполняют никаких функций маршрутизации трафика, но обеспечивают быструю коммутацию, агрегацию и передачу серверного трафика в направлении ядра сети.

Рисунок 5. Схема подключения коммутаторов офисного ЦОД к ядру сети

 

2.3.5 Мультикаст

Для работы компании необходима поддержка мульткаста в сети головного офиса; Мультикаст – специальная форма сетевого широковещания, при которой сетевой пакет одновременно направляется определенному подмножеству адресатов – не одному, и не всем. Для поддержки многоадресной передачи данных в офисной сети будет использоваться PIM (Protocol Independent Multicast) – протоколонезависимый набор технологий многоадресной маршрутизации для IP-сетей, базирующийся на традиционных маршрутных протоколах. PIM может работать в двух режимах:

  • Dense Mode, PIM-DM –  «уплотненный» режим, вся сеть наводняется мультикастингом, далее строится дерево кратчайшего пути, обрезая ветви не имеющие получателей. Это метод RPF (Reverse Path Forwarding) с усечением.
  • Sparse Mode, PIM-SM –   «разреженный» режим, изначально строится однонаправленное дерево кратчайшего пути для каждого отправителя, с так называемой точкой рандеву (Rendezvousд Point – RP) для каждой мультикастинг-групы. В роли RP может выступать любой маршрутизатор с поддержкой PIM

Как видно, первый режим практически не требует настройки, и замечательно подходит для компактных групп с высокой плотностью получателей, однако для использования в проектируемой офисной сети гораздо больше подходит Sparse Mode – не наводняет сеть мультикастингом, требуется меньшая пропускная способность каналов для функционирования. Точка рандеву рационально разместить в ядре сети; RP необходимо для функционирования  PIM-SM, и значит для обеспечения бесперебойной работы сети требуется ее резервирование. Для резервирования точки рандеву широко используются два механизма – Auto-RP и протокол  BootStrap. Оба протокола выполняют примерно одинаковые функции -  резервирование RP,  и балансировка мультикаст-групп между роутерами, основное отличие – Auto-RP является проприетарным решением Cisco Systems, его применение ограничивает дальнейшие возможности развития и модернизации сети и потому не желательно.

Информация о работе Разработка сетевой инфраструктуры головного офиса компании Мэйл.Ру