Проектирование архитектуры корпоративной сети

Сеть предприятия обеспечивает доступ пользователей и устройств к услугам и ресурсам сети. Это может быть одно здание или группа зданий, расположенных в обширном географическом районе. Обычно это предприятие, которое владеет зданием. Поэтому дизайнеры сетей, как правило, проектируют архитектуру сети с высокоскоростной физической инфраструктурой (1/10/40/100 Гбит/с). Например, если речь идёт о коммутаторах и маршрутизирующих коммутаторах, то это могут быть Catalyst 2960-Plus / 3650 (1G), 3850 / 4500E (10G), 6800 (40G), 9500 (100G). Кроме того, предприятия могут иметь более одного блока зданий в одной географической локации, в зависимости от количества пользователей, в зависимости от местоположения, бизнес-целей и типа бизнеса. По возможности, дизайн современных интегрированных корпоративных сетей должен использовать следующий общий набор инженерных и архитектурных принципов:

  • Иерархия
  • Модульность
  • Отказоустойчивость

Сеть предприятия: модели иерархического проектирования

Иерархический дизайн сети разделяет сеть на более мелкие и управляемые сети. Каждый уровень иерархии ориентирован на определенные роли. Этот подход к дизайну предлагает архитекторам сети высокий уровень гибкости для оптимизации и выбора правильного сетевого оборудования, программного обеспечения и функций для выполнения определенных ролей для разных сетевых уровней.

Типичный иерархический дизайн сети предприятий включает в себя следующие три уровня:

Уровень ядра: обеспечивает транспорт трафика между сайтами и высокопроизводительную маршрутизацию. Из-за критичной важности этого уровня принципы проектирования ядра должны обеспечивать соответствующий уровень отказоустойчивости, который обеспечивает возможность быстрого и плавного восстановления после сбоя сети. В качестве оборудования, в зависимости от требований на этот уровень могут быть установлены шасси коммутаторов C6880, Nexus 7004 или коммутаторы фиксированной конфигурации C3850, Nexus 5548.
Уровень агрегации. Обеспечивает применение правил к трафику, отработку QoS и пограничное управление между уровнями доступа и ядра. В качестве оборудования, в зависимости от требований на этот уровень могут быть установлены и шасси  C4948E  и коммутаторы фиксированной конфигурации C3850.
Уровень доступа: обеспечивает доступ рабочей группы / пользователей к сети. В качестве оборудования, в зависимости от требований на этот уровень могут быть установлены как выносные линейные карты для серии 6880 C6800IA, так и, например, коммутаторы C2960X, C2960S.
Две основные архитектуры корпоративных сетей — это трёхъярусная и двухуровневые модели.

Трёхъярусная модель

Эта модель проектирования, показанная на рисунке 1, используется в крупных корпоративных сетях.

Figure 3-1

Рисунок 1. Трёхъярусная модель сетевого проектирования

Двухъярусная модель

Эта модель проектирования, показанная на рис. 2, более подходит для небольших и средних сетей, где основные функции и функции распределения могут быть объединены в один уровень. Известна как свернутая архитектура распределения ядра.

Figure 3-2
Рисунок 2 Двухуъярусная модель сетевого проектирования

Корпоративная сеть: модульность

Благодаря иерархической модели проектирования по нескольким функциональным блокам может быть достигнута более масштабируемая и модульная архитектура. Модульность обеспечивает высокий уровень гибкости дизайна, что делает его более восприимчивым к развивающимся потребностям бизнеса и сеть становится более управляемой. В результате сетевые изменения и обновления могут выполняться подконтрольно и поэтапно, что обеспечивает большую стабильность, гибкость в обслуживании и эксплуатационные характеристики сети. На рис. 3 показана типичная сеть предприятия, а также различные функциональные модули как часть модульной архитектуры предприятия.

Figure 3-3
Рисунок 3. Типичная модульная архитектура

В рамках каждого функционального блока модульной архитектуры предприятия, для достижения оптимального структурированного дизайна используется тот же принцип построения и иерархии сети.

Когда требуется уровень ядра?

Выделенное ядро ​​обеспечивает возможность масштабировать сеть предприятия сохраняя структуру и логику, что сводит к минимуму общую сложность и улучшает управляемость сети. Иногда размер сети увеличивается за счёт уровня распределения/агрегации и количество межсоединений между ними значительно возрастает (как правило, приводит к сложностям возникающим на control plane и  data plane), как видно на рис. 4.  Другими словами, не для каждого проекта требуется отдельное ядро.

 

Figure 3-4
Рисунок 4. Сетевое взаимодействие без ядра и ядра

Один из основных факторов влияния на выбор двухуровневой и трехуровневой сетевой архитектуры — это тип сайта/сети (удаленный офис, региональный штаб, вторичный или основной кампус), что помогает определить характер сайта и его потенциальный будущий рост (с точки зрения сети). Например, редко бывает, что типичный (от малого до среднего) удаленный офис требует трехуровневой архитектуры, даже если мы учитываем будущий рост. Напротив, региональный сайт HQ или сеть дополнительного офиса предприятия могут иметь большой потенциал для значительного роста по размеру (количество пользователей и количество блоков распределения). Таким образом, базовый уровень или трехуровневая архитектура могут быть возможным варианто. Это с гипотетической точки зрения; а фактический результат должен всегда соответствовать бизнес-целям и планам (например, если предприятие планирует объединить или приобрести новый бизнес); он также может быть получен из прогнозируемого процента ежегодного роста бизнеса. Опять же, в качестве сетевого дизайнера, вы можете решить, исходя из текущего размера и прогнозируемого роста, с учетом типа целевого сайта, характера бизнеса, приоритетов и ограничений проектирования, таких как стоимость. Например, если приоритет бизнеса заключается в расширении без дополнительных затрат на покупку дополнительных сетевых аппаратных платформ (сокращение капитальных затрат), в этом случае экономия затрат будет ограничением дизайна и приоритетом бизнеса, а разработчик сети в этом типе сценария должен найти альтернативное дизайнерское решение, такое как свернутая архитектура (двухуровневая модель), хотя технически это может быть не оптимальное решение.

Требования к сети образуются из потребностей бизнеса и следует понимать что если сеть спроектирована не должным образом, то это может повести за собой появление дополнительной стоимости и проблемы с эксплуатацией сети, которая либо не была разработана оптимально в отношении планируемых планов расширения бизнеса, либо сеть была разработана для вчерашних требований, и она не будет достаточно способна удовлетворить сегодняшние требования. Следовательно, это может повлиять на бизнес-решение, поскольку дополнительные затраты, необходимые для рассмотрения, например, трехуровневой архитектуры, будут оправданы для бизнеса в подобном случае (долгосрочные операционные расходы (opex) по сравнению с краткосрочными капвложениями). Другими словами, иногда компании сосредотачиваются только на капвложениях решений без учета того, что opex, вероятно, может стоить им больше в долгосрочной перспективе, если решение не будет спроектировано должным образом для удовлетворения их текущих и будущих требований

Модель проектирования распределения доступа

Выше обсуждались различные модели дизайна L2, которые применимы к дизайну ЛВС, в частности к уровню распределения доступа. Технически каждая модель дизайна имеет различные атрибуты дизайна. Поэтому сетевые дизайнеры должны понимать характеристики каждой модели дизайна, чтобы иметь возможность выбирать и применять наиболее приемлемую модель на основе требований к дизайну.

Далее описываются три основные модели проектирования для уровня доступа к подключению уровня распределения. Основное различие между этими проектными моделями заключается в том, где размещаются границы уровня L2 и уровня L3, и как и где обрабатываются шлюзовые службы уровня L3:

Классический многоуровневый STP: эта модель представляет собой классический или традиционный способ подключения доступа к уровню распределения ЛВС. В этой модели коммутаторы уровня доступа обычно работают только в режиме уровня 2, а коммутаторы уровня распределения работают в режимах уровня 2 и уровня 3. Основным ограничением этой модели проектирования является зависимость от протокола Spanning Tree Protocol (STP) и протокола избыточности First Hop (FHRP).
Маршрутизируемый доступ: в этой модели коммутаторы уровня доступа действуют как узлы маршрутизации уровня 3, обеспечивая как L2 коммутацию, так и L3 маршрутизацию. Другими словами, точка демаркации между уровнем 2 и уровнем 3 перемещается из уровня дистртибьюции на уровень доступа. Это показано на рисунке 5.

Figure 3-5
Рисунок 5 Маршрутизируемый уровень доступа

Модель дизайна с маршрутизированным доступом имеет несколько преимуществ по сравнению с моделью на основе многоуровневой классической STP, в том числе:

  • Для упрощения и упрощения устранения неполадок вы можете использовать стандартные методы устранения неполадок маршрутизации. И так же, чем меньше протоколов для управления и устранения неполадок в сети, тем сеть проще в эксплуатации, диагностике и траблшутинге.
  • Устранить зависимость от STP и FHRP и полагаться на балансировку ECMP используемого протокола динамической маршрутизации для утилизации всех доступных аплинков, что может повысить общую производительность сети
  • Минимизировать время конвергенции при сбое связи или узла

Модель маршрутизированного доступа не поддерживает разделение VLAN уровня 2 через несколько коммутаторов доступа, и это может быть не лучшим выбором для некоторых сетей. Хотя расширение инфраструктуры Layer 2 over routed достигается с использованием других технологий оверлея, а это может усложнить дизайн, также функции могут не поддерживаться существующими платформами для коммутаторов уровня доступа или распределения.

Кластеризация коммутаторов. Эта модель проектирования обеспечивает более простую и гибкую конструкцию по сравнению с другими рассмотренными ранее моделями. Как показано на рисунке 6, путем внедрения концепции кластеризации коммутатора в различных функциональных модулях архитектуры сети предприятия, сетевые дизайнеры могут в значительной степени упростить и улучшить дизайн. Это обеспечивает более высокий уровень отказоустойчивости узлов и логических линков, а также значительно оптимизированное время конвергенции сети.

Figure 3-6
Рисунок 6. Концепция кластеризации коммутаторов

Левая часть рисунка 6 представляет физическую связь, а на правой стороне показан логический вид этой архитектуры, основанный на модели проектирования кластеризации коммутатора.

В таблице 1 сравниваются различные модели дизайна подключения к распределению доступа из разных проектных углов.

 

 

Таблица 1 Сравнение моделей подключения для распределения доступа

Многоуровневый STP Маршрутизируемый доступ Переключение кластеризации
Гибкость дизайна Ограниченна (зависит от топологии) Ограничена (например, для покрытия L2 через разные коммутаторы доступа требуются технологии оверлея) Гибкий дизайн
Масштабируемость Поддержка увеличения и уменьшения масштаба (зависит от топологии) Поддержка увеличения и уменьшения масштаба Поддержка увеличения и уменьшения масштаба (как правило, ограничено двумя коммутаторами распределения на кластер)
Услуги шлюза L3 Уровень распределения (на основе FHRP)

 

Уровень доступа (Layer 3 routing based)

 

Уровень распределения (может требовать или не требовать FHRP *)

 

Агрегация каналов с нескольких коммутаторов (mLAG) Не поддерживается Не поддерживается (вместо этого используется ECMP уровня 3) Поддерживается
Время конвергенции уровней доступ- распределение В зависимости от таймеров STP и FHRP (относительно медленно) Внутренний протокол шлюза (IGP), обычно быстро Быстро
Операционная сложность Сложно, несколько протоколов управления для работы сети (например, STP, FHRP) Умеренная (может потребоваться расширенная экспертиза в дизайне маршрутизации) Просто

 

* Некоторые технологии кластеризации коммутаторов, такие как Cisco Nexus vPC, используют протокол FHRP (протокол горячего резервного маршрутизатора [HSRP]). Однако с точки зрения плоскости коммутации оба upstream коммутатора (пира vPC) осуществляют коммутацию трафика, в отличие от классического поведения, которое основано на active-standby режиме.

Все вышеописанные архитектуры являются допустимыми вариантами дизайна вашей сети. Тем не менее, выбор дизайна должен определяться требованиями и конструктивными ограничениями, такими как стоимость, которые могут влиять на выбор. Например, коммутатор доступа с возможностями L3 дороже, чем коммутатор с возможностями L2. Этот фактор будет иметь большой вес, если стоимость является проблемой с точки зрения требований бизнеса.

 

Корпоративная сеть: проектирование маршрутизации L3

Иерархическая архитектура сети предприятия может способствовать достижению большей структурности маршрутизации уровня 3, что является ключом к достижению масштабируемости маршрутизации в крупных сетях. Это в значительной степени уменьшает количество узлов уровня 3 в любом заданном домене маршрутизации в каждом уровне иерархической сети предприятия.

В типичной иерархической корпоративной сети блок (уровень) дистрибьюции считается точкой демаркации между доменами уровня 2 и уровня 3. Именно здесь аплинки уровня 3 участвуют в маршрутизации ядра, используя либо внутренний протокол маршрутизации (IGP), либо протокол пограничного шлюза (BGP), который может помочь объединить несколько блоков распределения вместе для сквозной IP коннективности.

С моделью маршрутизации с маршрутизированным доступом уровень 3 распространяется и на коммутаторы уровня доступа. Следовательно, выбор протокола маршрутизации важен для избыточной и надежной доступности в сети, учитывая масштабируемость и способность сети расти с минимальными изменениями и воздействием на сеть и дизайн маршрутизации. Рисунок 7 иллюстрирует конструкцию маршрутизации, которая построена на OSPF, указаны различные функциональные модули, ЦОД, пограничные маршрутизаторы, ЛВС, зона WAN и Internet.

 

Figure 3-7
Рисунок 7. Сеть Campus: маршрутизация уровня 3

В предыдущем примере центр обработки данных и другие модули сосуществуют в корпоративной сети, чтобы проиллюстрировать общий дизайн IGP по нескольким модулям, взаимосвязанным по одной базовой инфраструктуре (типичный крупный проект корпоративной сети). Тем не менее, в некоторых проектах центр обработки данных соединен по WAN или выделенным оптоволоконным каналам с сетью кампуса. Кроме того, другие блоки, такие как Интернет и блоки WAN, могут быть также и физически находиться в  ЦОД. В этом случае можно использовать одну и ту же концепцию дизайна IGP, и рассматривать соединение WAN как внешний линк, как показано на рисунке 8. Кроме того, маршрутизация корпоративного ядра (то есть область OSPF-магистрали) может быть расширена через WAN. Другими словами, все концепции дизайна IGP и BGP должны рассматриваться как правильное дизайнерское решение. Нет единого стандартного дизайна, который можно использовать в разных сценариях!

Figure 3-8
Рисунок 8. Сеть Campus: дизайн уровня 3 с использованием ядра WAN

Пример дизайна сети одного из заказчиков Compuway.

В данном случае заказчиком выступала одна из госструктур. В задачи проекта входило проектирование сетевой и серверной инфраструктуры предприятия «с нуля». Входными требованиями к сети были:

  1. Простота и гибкость в эксплуатации сети
  2. Централизованое управление
  3. Наличие 2х территориально распределённых площадок объединённых WAN каналом (провайдерский MPLS)
  4. Несколько каналов выхода в интернет на каждой площадке
  5. Наличие серверной фермы и СХД без конвергенции с ethernet
  6. Наличие системы контроля и аудита пользовательского доступа
  7. Наличие беспроводной сети с поддержкой до 1500 пользователей в 2х филиалах
  8. Поддержка до 90шт IPSec vpn с филиальными сетями каждый объёмом до 10Mbps
  9. Поддерживать до 3х внешних каналов на каждом сайте и возможность маршрутизировать до 500Mbps трафика с поддержкой разбора трафика приложений и дешифрацией 400 SSL трафика
  10. Ядровые и граничные устройства сети должны поддерживать отказоустойчивость на уровне оборудования, питания и межсоединений.