(P) Hierarchiczny model sieci”

Model Hierarchiczny Cisco

  • Model hierarchiczny firmy Cisco zapewnia:
    • Wydajność (Efficient)
    • Inteligencje (Intelligent)
    • Skalowalność (Scalable)
    • Łatwość zarządzania (Easy Managed)
    • Przewidywalny dostęp do celu (Predictable Access) – Trasa jaką będzie poruszał się pakiet, jest możliwa do przewidzenia w zależności od lokalizacji, w której znajdują się komunikujące ze sobą urządzenia (Przykładowa ścieżka wygląda następująco: Access > Distribution > Core layers > Distribution > Access).
Celem podziału sieci na warstwy (Hierarchical Design), jest stworzenie bardziej przewidywalnej oraz skalowalnej sieci LAN.

Modele sieci „Enterprise Network”

  • Three-Tier Campus Design – Model sieciowy wykorzystujący warstwę Dostępu, Dystrybucji jaki i warstwę Rdzenia.
  • Two-Tier Campus Design (Collapsed Core) – Model sieciowy wykorzystujący warstwę Dostępu jak i warstwę Dystrybucji z pominięciem warstwy Rdzenia. Jego stosowanie jest polecane w przypadku sieci obsługujących mniej niż 2000 pracowników bądź w przypadku sieci nie posiadających złożonych wzorów aplikacji.
Hierarchiczny model sieci (Three-Tier Campus Design) z podziałem sieci LAN na bloki „Switch Block”

Warstwa dostępu do sieci (Building Access)

  • Warstwa dostępowa zwana jest inaczej AKA (Network Edge).
  • Warstwa dostępu do sieci umożliwia podłączenie użytkowników końcowych do sieci lokalnej LAN, zapewniając im wysoki poziom bezpieczeństwa ze szczególnym uwzględnieniem autentykacji 802.1X, dopuszczającej do użytkowania sieci jedynie osoby do tego upoważnione. Ponadto warstwa ta charakteryzuje się następującymi cechami:
    • Zaawansowanymi funkcjami bezpieczeństwa (802.1X, ARP Inspection, Port security ITD).
    • Skalowalnością połączeń z warstwą wyższą (Distribution) (Redundant Uplink).
    • Niskim kosztem eksplantacji jak i zakupu (Low Cost per switch port).
    • Prostą funkcjonalnością protokołu QoS (QoS Tagging).
    • Brakiem podłączeń wschód zachód (East / West).
    • Dużym zagęszczeniem portów (High port density).
    • Połączeniami Północ południe (North / Sounth).
    • Wysoką dostępnością (High Availability).
    • Zasilaniem PoE (Power over Ethernet).
  • W zależności od wybranej topologii przełącznik dostępowy (Access), może stanowić granicę pomiędzy sieciami L2 a L3. Inną opcją jest zastosowanie takowej granicy w warstwie dystrybucji (Distribution).
Warstwa dostępu do sieci wykorzystuje przełączniki L2 / L3 oraz punkty dostępu AP.
Warstwa dostępu do sieci jest zbudowana w topologii gwiazdy (Star topology).
Przełączniki warstwy dostępowej nie powinny być łączone pomiędzy sobą (Nie licząc przełączników Stack).
Service RequirementsService Features
Discovery and Configuration Services802.1AF, CDP, LLDP.
Security Services and Network Identity and AccessIBNS (802.1X), Port security, DHCP snooping, DAI, IPSG, 802.1X, Web-Auth.
Application Recognition ServicesQoS marking, Policing, Queuing, Deep packet inspection NBAR,
Intelligent Network Control ServicesPVST+, Rapid PVST+, EIGRP, OSPF, DTP, PAgP/LACP, UDLD, FlexLink, PortFast, UplinkFast, BackboneFast, LoopGuard, BPDUGuard, Port Security, RootGuard.
Physical Infrastructure ServicesPower over Ethernet (PoE).
Typowe możliwości oraz usługi przełączników warstwy dostępu do sieci (Building Access)

Warstwa dystrybucji (Building Distribution)

  • Warstwa dystrybucji zwana jest inaczej AKA (Aggregation Block).
  • Warstwa dystrybucji łączy ze sobą wszystkie urządzenia warstwy dostępowej, umożliwiając im komunikację z rdzeniem sieci. Dzięki wykorzystaniu wydajnych przełączników L3 współpracuje zarówno z protokołami warstwy drugiej (ARP, STP) jak i warstwy trzeciej (Routing-iem, nadmiarowością osiągniętą za pomocą protokołów FHRP czy listami dostępu ACL). Ponadto warstwa ta charakteryzuje się następującymi cechami:
    • Połączeniami nadmiarowymi pomiędzy poszczególnymi przełącznikami znajdującymi się w warstwie dystrybucji (Aggregation).
    • Nadmiarowymi połączeniami zarówno z warstwą wyższą (Core) jak i niższą (Access) (Redundancy).
    • Zasadami bezpieczeństwa np. listami ACL czy filtrowaniem pakietów (ACLs).
    • Wysoką wydajność routingu (High Layer 3 Throughput).
    • Podziałem sieci L2 / L3 (Boundary between L2 and L3).
    • Funkcjami wspierającymi zasady QoS (QoS function).
    • Sumaryzacją tras routingu (Route Summarization).
    • Redundancją protokołu FHRP (FHRP Redundancy).
    • Równoważonym obciążeniem (Load Balancing).
    • Aktywną funkcją SSO (SSO).
Warstwa dystrybucji stanowi granice pomiędzy siecią L3 a domenami rozgłoszeni-owymi L2.
Warstwa dystrybucji jest zbudowana w topologii częściowej siatki (Partial mesh topology).

Warstwa rdzenia (Campus Backbone)

  • Dzięki wykorzystaniu najbardziej wydajnych przełączników warstwy trzeciej oraz zredukowaniu działających na nich usług, warstwa rdzenia zapewnia szybki transfer 7x24x365, pomiędzy warstwą dystrybucji a krawędzią sieci. Ponadto warstwa ta charakteryzuje się następującymi cechami:
    • Brakiem dodatkowy usług takich jak listy dostępu ACL czy filtrowaniem pakietów (No ACLs).
    • Zaawansowaną funkcjonalność protokołu QoS (Advanced QoS function).
    • Bardzo wysoką wydajność routingu (Wery high Layer 3 Throughput).
    • Nadmiarowością połączeń (Redundancy).
  • Warstwa rdzenia może łączyć sieć LAN z:
    • WAN Edge.
      • MPLS (Multiprotocol Label Switching).
      • Frame Relay.
    • Internet.
      • ASA (Adaptive Security Appliance).
      • NGF (Next-Generation Firewalls).
    • Data Center:
      • Nexus Switches.
      • ACI (Cisco Application Centric Infrastructure).
      • UCS (Cisco Unified Computing System).
    • Network Services:
      • WLC (Cisco Wireless LAN Controller).
      • ISE (Cisco Identity Services Engine).
      • ESA (Cisco Email Security Appliance).
      • WSA (Cisco Web Security Appliance).
Warstwa Rdzenia jest zbudowana w topologii częściowej siatki (Partial mesh topology).

Inne zagadnienia

  • Krawędź sieci (Edge Distribution) – Łączy ze sobą całą sieć lokalną LAN, z wykorzystaniem ruterów bądź przełączników warstwy trzeciej. W przypadku dużych firm łączy np. serwerownię z przełącznikami warstwy rdzenia.
  • Brama (Internet Gateway) – Zawiera rutery łączące sieć lokalną z Internetem czy innymi biurami zdalnymi.
  • Agregacja sieci WAN (WAN Aggregation) – Wykorzystuje różne technologie łączności takie jak MPLS, PPP czy Frame Relay w celu połączenia głównego biura HQ z innymi oddziałami firmy.

Ważne zagadnienia dotyczące modelu Hierarchicznego

Rodzaje ruchu wyróżniane w modelu Hierarchicznym

Rodzaje łączności pomiędzy urządzeniami w strukturze Hierarchicznej

  • Połączenia lokalne (Local Connection) – Łączy urządzenia z jednego segmentu, sieci VLAN (Access Only).
  • Połączenia zdalne (Remote Connection) – Łączy urządzenia z wielu segmentów, sieci VLAN (Access -> Distribution)
  • Połączenia globalne (Enterprise Connection) – Łączą ze sobą wszystkie urządzenia w danej strukturze (Access -> Distribution -> Core -> Distribution -> Access).

Bloki sieciowe

  • Blok sieci (Switch block) – Stanowi grupę przełączników dostępowych, połączonych do jednego bądź dwóch przełączników warstwy dystrybucyjnej. Pojedynczy blok sieci może rozciągać się na przełączniki dystrybucyjne, jednak nie jest to zalecane.
  • Ilość użytkowników podłączonych do jednego bloku nie powinna przekraczać 2000.
    • Przy określaniu wielkości pojedynczego bloku należy kierować się następującymi czynnikami:
      • Typem oraz wzorcem ruchu sieciowego.
      • Rozmiarem jak i liczbą grup roboczych.
      • Ilością przełączników L3 w warstwie dystrybucji.
    • Stworzenie zbyt dużego bloku sieciowego, może spowodować:
      • Przeciążenie CPU przełączników L3 w warstwie dystrybucji.
      • Powstawanie wąskich gardeł (bottlenecks).
      • Przeciążenie kolejek (Queue) L2 oraz list dostępu.
      • Powstanie zbyt dużego ruchu rozgłoszeni-owego.
  • Projektowanie topologii wolnej od pętli (Loop Free), protokołu STP:
    • Aby zapobiec powstawaniu pętli w warstwie drugiej, należy umieścić każdy przełącznik warstwy dostępowej w innej sieci VLAN. A połączenie pomiędzy przełącznikami warstwy dystrybucji, zmienić na linki L3.
    • Dzięki zablokowaniu rozprzestrzeniania się sieci VLAN na inne przełączniki w obrębie jednogo „Switch bloku”, protokół STP nie będzie blokował nadmiarowych połączeń pomiędzy warstwą dostępu a warstwą dystrybucji.
    • Sieć wolna od pętli jest znacznie bardziej stabilna jak i niezależna od ograniczeń protokołu STP.
Topologia wolna od protokołu STP, jest szczególnie przydatna w sieciach wykorzystujących jeden z dostępnych protokołów nadmiarowości NHRP, w szczególności dotyczy to protokołu GLBP. Ponieważ wszystkie uplink-i pomiędzy warstwą dostępową a warstwą dystrybucji są aktywne. Tym samym są w stanie zapewnić pełny, bezpośredni dostęp warstwy dostępowej do wszystkich przełączników warstwy dystrybucyjnej. W przypadku wykorzystania topologii opartej na protokole STP część z połączeń pomiędzy warstwami jest blokowana, co może spowodować utrudnienia w ruchu sieciowym (Ruch sieciowy może poruszać się okrężną drogą).

Zasady tworzenia sieci Hierarchicznej

  • Podczas projektowania sieci hierarchicznej należy:
    • Stosować podwójną ilość przełączników w warstwie dystrybucyjnej oraz warstwie rdzenia.
    • Wykorzystać nadmiarowe połączenia pomiędzy warstwami.
  • Podczas projektowania sieci hierarchicznej nie należy:
    • Łączyć między sobą przełączników warstwy dostępowej (Wyjątek stanowi wykorzystanie technologii „Stack”).
    • Rozprzestrzeniać jednej sieci VLAN pomiędzy przełącznikami.
    • Używać połączeń L2 ponad warstwą dystrybucyjną.

Ważne nazewnictwo

  • Dual Core – Określa topologię wykorzystującą dwa przełączniki działające w warstwie rdzenia.
  • Multinode Core – Określa połączenie dwóch par przełączników warstwy rdzenia (Full mesh), z których każda para jest podłączona do innej struktury hierarchicznej.
  • Three-Tier Campus Design – Model sieciowy wykorzystujący warstwę Dostępu, Dystrybucji jaki i warstwę Rdzenia.
  • Two-Tier Campus Design (Collapsed Core) – Model sieciowy wykorzystujący warstwę Dostępu jak i warstwę Dystrybucji z pominięciem warstwy Rdzenia. Jego stosowanie jest polecane w przypadku sieci obsługujących mniej niż 2000 pracowników bądź w przypadku sieci nie posiadających złożonych wzorów aplikacji.

Pozostałe tematy związane ze wstępem do warstwy drugiej

PDFPRINT

Robert T Kucharski

Cisco Network Engineer in GPW.

Dodaj komentarz