Автор работы: Пользователь скрыл имя, 26 Ноября 2015 в 18:53, лекция
Рассмотрена архитектура интернета. Вопросы организации доступа к интернет сотрудников компании. А также вопросы организации подключения к интернет, проектирования DMZ. Дано понятие трансляции адресов.
Интернет представляет огромные потенциальные возможности по развертыванию бизнеса, снижению затрат на обеспечение объема продаж, а также способствует повышению уровня обслуживания клиентов. Вместе с тем, интернет представляет собой повышенную опасность для информации и систем организации.
При разработке архитектуры соединений с интернетом, имеющихся в организации, самыми важными вопросами являются требования к пропускной способности и доступности. Пропускная способность - это свойство, о котором необходимо договариваться с поставщиком услуг интернета (провайдером). Провайдер должен порекомендовать использовать соответствующие линии соединений для работы с предлагаемыми службами.
Требования доступности соединения должны устанавливаться организацией. Например, если интернет-соединение будет использоваться только сотрудниками для функций, не критичных для бизнеса, то требования доступности будут невысокими, и сбой в электропитании незначительно повлияет на дела организации. Если в организации планируется создать сайт электронной коммерции и вести бизнес главным образом через интернет, то требование доступности является ключевым требованием для успешной деятельности организации. В данном случае структура интернет-соединения должна включать в себя возможности по предотвращению сбоев и восстановлению.
Доступ в интернет через один канал является наиболее широко используемой архитектурой интернета. ISP предоставляет организации один канал связи с соответствующей пропускной способностью, как показано на рис. 16.1.
Как правило, провайдер предлагает подключить маршрутизатор и модуль обслуживания канала (CSU) непосредственно для кабеля, который соединяет оборудование организации с центральным офисом (CO) телефонной компании. В определенном месте неподалеку будет находиться точка присутствия провайдера (POP). Соединение с провайдером фактически оканчивается на ближайшей точке присутствия. Даже если POP расположена не на ближайшем CO, локальное циклическое соединение потребует прохождения соединения через ближайший CO. Из POP соединение проходит через сеть провайдера в интернет.
Если проанализировать соединение на рис. 16.1, станет видно, что существует набор точек, в которых сбой оборудования вызовет прерывание работы системы. Например:
Следует заметить, что не все эти ошибки равновероятны. Например, маршрутизатор может выйти из строя с гораздо большей вероятностью, нежели вероятность нанесения ущерба центральному офису организации. Однако в соединениях сбои возникают внезапно, и это может вызвать значительный простой в работе. В приведенном списке также не учтены сбои, которые могут произойти внутри самого провайдера. Такие сбои время от времени происходят из-за погодных условий, повреждения кабелей или воздействия атак, направленных на отказ в обслуживании.
Рис. 16.1. Стандартная архитектура с доступом через один канал
Принимая во внимание возможность потенциальных сбоев, рекомендуется использовать данную архитектуру только в том случае, если интернет-соединения не играют важной роли в ведении бизнеса.
Одной из альтернатив одноканальному соединению с одной потенциальной точкой сбоя в архитектуре соединения с одним провайдером, показанной на рис. 16.1, является использование нескольких каналов соединения для связи с одним провайдером. В данном отношении различные провайдеры предлагают различные услуги. Некоторые называют этот подход использованием "теневых" соединений, другие же используют термин "избыточный контур". В любом случае целью данного подхода является наличие второго канала связи на случай сбоя.
Провайдер может предоставлять доступ, защищенный от сбоев, посредством настройки избыточного контурного соединения с той же точкой присутствия (см. рис. 16.2). Избыточный контур может включать в себя избыточный маршрутизатор и CSU либо может использоваться один маршрутизатор. Два контура настраиваются таким образом, что при выходе из строя главного контура нагрузку примет на себя второе контурное соединение.
Рис. 16.2. Доступ к одной точке присутствия с использованием избыточного контура
Данная архитектура позволяет обойти неполадки, возникающие на маршрутизаторе, модуле CSU, контуре соединения телефонной компании с центральным офисом и оборудовании провайдера на другом конце соединения. Эти сбои происходят наиболее часто. Однако данный подход не предотвращает менее частые, но более серьезные сбои, такие как повреждение локального контура, повреждение самого центрального офиса организации или сбой в точке присутствия провайдера. Аналогично, если на провайдере произойдет серьезный сбой, то обслуживание также будет невозможно.
Одним из преимуществ данной архитектуры является стоимость реализации избыточного контура. Большинство провайдеров предоставляют избыточный контур, и стоимость этой услуги меньше, чем стоимость второго полного цикла.
Чтобы обеспечить повышенную степень доступности и надежности, можно реализовать второе соединение с другой точкой присутствия провайдера (см. рис. 16.3). В данном случае второе соединение может быть избыточным либо находиться постоянно в рабочем состоянии.
Чтобы обеспечить правильную работу данной архитектуры, на ISP должен функционировать протокол Border Gateway Protocol (BGP). BGP - это протокол маршрутизации, используемый для определения маршрутов между объектами при использовании данных типов двойных соединений. Необходимо тщательно подготовить BGP для работы правильных политик маршрутизации.
Также следует заметить, что в данной архитектуре по-прежнему имеются две точки сбоя: локальный контур и центральный офис организации. Эти точки сбоя нельзя преодолеть, если только в организации не наличествуют два соединения локального контура. Если в организации действительно есть два таких соединения, архитектура может быть модифицирована, как показано на рис. 16.4.
Данный тип архитектуры снижает число точек сбоя до одной точки, которой является сам провайдер. Если на провайдере произойдет ощутимый сбой в работе, обслуживание организации может предоставляться не в полном объеме, либо компания вовсе может лишиться связи.
Рис. 16.3. Несколько соединений
с несколькими точками присутствия провайдера
Вопрос. Если использовать несколько каналов связи с несколькими точками присутствия провайдера, можно ли гарантировать непрерывную доступность соединений?
Ответ. К сожалению, нет. В действительности, при маршрутизации контуров от оборудования вашей организации к точкам присутствия провайдера могут по-прежнему использоваться одни и те же физические кабели. В этом случае проблема, возникшая с кабелем, приведет к выводу из строя обоих контуров. Чтобы предотвратить данную ситуацию для вашей архитектуры, при заказе контуров соединений следует запрашивать раздельную маршрутизацию. После ее реализации необходимо запросить у провайдера документацию со схемой текущей физической маршрутизации контуров соединений между оборудованием вашей организации и двумя точками присутствия провайдера. Изучите этот документ и выясните наличие альтернативных вариантов маршрутов.
Рис. 16.4. Несколько соединений через несколько локальных контуров
Принимая во внимание потенциальные точки сбоя при использовании одного провайдера, почему бы не рассмотреть вариант с использованием нескольких провайдеров вместо одного? На первый взгляд кажется, что это отличная идея (и в случае с некоторыми организациями так и есть), однако не стоит полагать, что данный вариант позволит избежать всех неприятностей и рисков, связанных с интернет-архитектурой. Использование нескольких провайдеров при правильной реализации может снизить риск продолжительной приостановки предоставления услуг (см. рис. 16.5). Однако при выборе провайдеров и схемы адресации возникает ряд других вопросов.
Рис. 16.5. Архитектура интернет-сети с использованием нескольких провайдеров
Сложность реализации архитектуры, использующей двух различных провайдеров, довольно высока и требует значительных знаний и опыта привлекаемых провайдеров. Одной из областей, в которой здесь должны разбираться специалисты, является BGP. BGP будет использоваться для маршрутизации трафика и должен быть правильно настроен у провайдеров и между ними.
Еще одним вопросом, влияющим на выбор провайдера, является физическая маршрутизация соединений. Локальный контур может по-прежнему оставаться единственной точкой сбоя, если оборудование организации не обеспечивает несколько соединений локального контура. Если присутствует только один локальный контур, то избыточность может быть реализована посредством выбора провайдера, использующего беспроводное соединение (см. рис. 16.6).
Рис. 16.6. Использование провайдера беспроводной связи для повышения степени доступности
Использование беспроводного канала связи не предотвращает всех возможных проблем, так как вследствие воздействия погодных условий, ветра или птиц качество беспроводного соединения может быть снижено, либо соединение вовсе может быть прервано. Однако вероятность единовременного выхода из строя беспроводного канала и обычного канала связи с провайдером очень мала.
При выборе провайдера услуг беспроводной связи следует руководствоваться теми же требованиями, что и при выборе обычного поставщика услуг интернета. Любой ISP должен предоставлять соглашение об уровне предоставляемых услуг и подкреплять это соглашение устными рекомендациями.
Еще одним вопросом, который необходимо рассматривать при работе с несколькими провайдерами, является проблема адресации. Как правило, при работе с одним провайдером ISP присваивает адресное пространство организации. ISP настраивает маршрутизацию таким образом, что трафик, направленный в организацию, достигает ее систем. ISP сообщает маршрут для этих адресов другим провайдерам, чтобы трафик из любых мест интернета смог достичь систем организации.
Если в архитектуре задействованы несколько провайдеров, необходимо определить, какие будут использоваться адреса. Адреса могут предоставляться одним из двух провайдеров. В данном случае маршрутизация от одного ISP происходит обычным образом, а другой провайдер должен подтвердить свое согласие на передачу маршрута к адресному пространству, принадлежащему первому провайдеру. Данная конфигурация требует основательного понимания работы протокола BGP, чтобы обеспечить правильную маршрутизацию трафика.
Еще одним вариантом является приобретение набора адресов самой организацией. В то время как этот подход решает некоторые проблемы, оба провайдера должны быть готовы к распространению информации о маршрутах на адреса, которые им не принадлежат. Этот подход часто используется в организациях, где требуется контроль над своими собственными адресами.
Наконец, можно использовать адреса обоих провайдеров. При этом некоторым системам могут быть предоставлены адреса от одного провайдера, а другим системам - от другого. Такая архитектура не полностью устраняет проблемы доступности, и ее не следует использовать в случае, если возможен другой вариант.
DMZ (ДМЗ) - сокращение от demilitarized
zone (демилитаризованная зона). Этот
термин используется для