Назначение сетей ISP.
Характеристики сетей ISP.
Назначение сетей ISP.
Сети делятся на два основных типа – локальные сети (LAN) и глобальные или распределенные (WAN).
В глобальной сети обмен информацией происходит между географически удаленными областями. Для обеспечения обмена информацией между двумя удаленными рабочими станциями используются каналы WAN.
Обмен информацией определенного типа в WAN называется службой или сервисом.
Идеальная сеть ISP должна поддерживать такие сервисы как:
Основными задачами сети ISP является:
Сеть ISP представляет сложную систему, состоящую из различных сред и технологий передачи данных. Для обеспечения работоспособности такой сети требуется множество протоколов.
Современные магистральные и пограничные коммутаторы могут поддерживать такие технологии глобальных сетей как ATM, Frame Relay, MPLS. Это позволяет объединять сети разного типа и сокращать затраты на предоставление услуг, используя небольшой набор телекоммуникационных устройств.
Эффективность оборудования и расширение возможностей сред передачи данных постоянно повышается, но, при этом, проектирование распределенных сетей становится более трудным. Детальная разработка распределенной сети уменьшает проблемы, связанные с их ростом.
Требования к сети ISP:
· Мультисервисность – поддержка различных видов трафика (Передача данных, голоса, видео, служебной информации и протоколов.
· Конвергенция – минимизация времени на обновление маршрутной информации.
При разработке корпоративной сети или сети ISP надо решить следующие задачи:
· Регламентирование требований, предъявляемых к сети и задач, решаемых сетью.
· Структура сети и технология передачи данных.
· Выбор сетевого оборудования.
· Выбор протоколов маршрутизации.
· Разработка адресного плана.
При этом, целью проектирования является:
• Снижение стоимости сети – оптимизация доступности приложений с точки зрения эффективного использования сетевых ресурсов.
Устанавливаем ISP-подключение
Что такое ISP-подключение?
На самом деле, вы уже знакомы с этим понятием. ISP, сокращённо с английского «internet service provider», означает «поставщик интернет-услуг» или по-другому называется «интернет-провайдер» (можно просто провайдер). Он же, в свою очередь, является организацией, занимающейся предоставлением такого товара, как выход в глобальную сеть. Это могут быть подключения через домашний телефон или по оптоволоконному кабелю, беспроводные сети, аренда оборудования и многие другие вещи, связанные со Всемирной паутиной. Как вы могли заметить, понятие это вам уже давно знакомо. Просто у него появилось более-менее «научное» название.
Каждый из пользователей интернета хоть раз в жизни сталкивался с интернет-провайдерами
Как можно провести интернет?
Практически в любом малом и большом городе имеются интернет-провайдеры. Тот же Ростелеком, например, является поставщиком интернет-услуг. Получается, чтобы вам в дом или квартиру провели сеть, достаточно просто написать заявление в одной из точек продаж. Если вы не знаете адрес, то вам на помощь придут следующие источники информирования:
Ну что ж, теперь вы знаете, как найти провайдера (если по каким-то непонятным причинам он сам до сих пор не нашёл вас). Ещё необходимо ознакомиться с некоторыми подсказками, которые помогут вам сделать всё правильно. Важно подобрать оптимальный тарифный план. Чаще всего, работники организации сами сделают это за вас, подсказывая цены и предоставляемую скорость. Если ваше подключение будет через ADSL, важно знать, какую скорость сможет «потянуть» проведённый кабель. То есть, если вы подключите скорость 70 МБит/с, а кабель поддерживает лишь 20 Мбит/с, то вам нет смысла переплачивать.
Также стоит отметить использование роутеров. Чаще всего, провайдеры предлагают свои модемы (с поддержкой Wi-Fi). Но вы можете отказаться и приобрести в магазине совершенно другой (подходит для более опытных пользователей). В домашних условиях такого роутера хватит с головой, поэтому не стоит заморачиваться по этому поводу.
Подключение и настройка ISP
Обычно, установка ISP осуществляется сотрудниками организации, которая в дальнейшем будет предоставлять вам интернет-услуги. Поэтому настройка и подключение не должны ложиться на ваши хрупкие плечи. Однако бывают случаи, когда компания предлагает такую «помощь» за отдельную плату (может даже большую). Поэтому, на всякий случай, ознакомьтесь с небольшой инструкцией, которая поможет узнать, как осуществляется установка ISP-подключения.
Заключение
Сегодня вы узнали о том, что такое ISP-подключение и как его настроить. Как видите, это оказалось простым интернет-соединением, которое предоставляет вам интернет-провайдер. Приятного использования, друзья! Делимся в комментариях с другими пользователями информацией о том, услугами какого провайдера пользуетесь вы.
Как устроен типичный ISP (Internet Service Provider)
Многие задаются вопросом как устроена сеть провайдера или как им самим строить сеть, в данной статье я покажу как спроектирована и работает сеть у меня, на логическом уровне. Хотя не считаю свою структуру за идеальную, можно было сделать и лучше, но это мое имхо 🙂 ибо истина “спроси у 2-х провайдеров как строить сеть – получишь 3 разных варианта “
Теперь подробнее о том как это работает
Типичная сеть передачи данных состоит из 4-х уровней, многие говорят что 3 но на самом деле их 4
1 уровень – граница сеть, т.е стык с другими операторами, он же бордер
На этом уровне обычно ведется работа с магистральными операторами у кого берем Интернет и операторами клиентами – которым даем Интернет 🙂 Взаимодействие в 90% случаях осуществляется с помощью протокола динамической маршрутизации BGP
2 уровень – это само ядро сети
В него входят биллинг, radius сервер, центральные коммутаторы куда все воткнуто, NAT и шейперы (которыми нарезаем полосу клиенту. Можно резать и на порту управляемого коммутатора – но в таком случае и локальные ресурсы будут на тарифной скорости, нам-же надо предоставить тарифную скорость в Интернет и до 100мбит внутри своей сети
Взаимодействие между оборудованием обычно тоже происходит с помощью протоколов динамической маршрутизации таких как BGP (В этом случае внутреннее BGP или OSPF), но есть и приверженцы статических маршрутов
3 уровень – это уровень распределения, агрегация
В этот уровень обычно обычно входят управляемые коммутаторы (2-го или 3-го уровня) квартала или района, в зависимости от внутреннего устройства сети. В моем случае ставятся коммутаторы 3-го уровня и иногда дополняются коммутатором 2-го уровня, т.к при схеме VLAN на дом – не стоит разгребать домовые вланы в ядре сети
4 уровень – уровень доступа, акцесс, точка клиентского доступа
Это те самые домовые свитчи которые стоят в подвалах и на чердаках домов в ящике. К ним уже подключаются клиенты. В странах СНГ чаще всего используется D-Link DES-3526, D-Link 3026 и потихоньку начали ставить D-Link DES-3028, для юридических лиц обычно уже брезгуют длинками и ставят Cisco Catalyst 2950
Теперь о том как это работает у меня:
1) устройство 1-го уровня
В качестве пограничных маршрутизаторов используются 2 железки Juniper j4350 к каждой из которых подключен свой магистральный аплинк, взаимодействие с аплинками происходит с помощью BGP протокола (т.е отдаем аплинкам сети закрепленные за нашей AS (автономная система) и получаем от них полный список маршрутов в сети Интернет (full-view)
2) устройство 2-го уровня
На втором уровне происходит NAT-инг клиентов, шейпирование тарифных скоростей и маршрутизация (Интернет или пиринговые сети)
В качестве NAT-еров и шейперов используются две интелевских серверных платформы под управлением FreeBSD (на каждом из них производится и NAT и нарезка скоростей и каждый из них резервирует друг друга). Шейпинг осуществляется с помощью dummynet и таблиц (tablearg) а нат с помощью pf
Так-же между этими маршрутизаторами и пограничными маршрутизаторами (j4350) бегает внутреннее BGP для того чтобы в случае отказа одного из бордеров – быстро переключится на второй да и некая балансировка трафика тоже не будет лишней
Между маршрутизаторами и коммутаторами 3-го уровня бегает протокол OSPF для обмена внутрисетевыми и пиринговыми маршрутами + мы аннонсим с маршрутизаторов на них дефаулт роут, т.е маршрут по умолчанию. Маршрутизатор 1 имеет метрику 100
Маршрутизатор 2 имеет метрику 200, т.е в случае отказа одного из маршрутизаторов – все пакеты пойдут через резервные ( интервал переключения около 10 секунд)
3) устройство 3-го уровня
При моей схеме VLAN на дом на уровне распределения приходится держать коммутаторы 3-го уровня, которые занимаются маршрутизацией домовых сетей и вланов.
На коммутаторах работает IGMP snooping, обрезается весь ненужный мультикаст и режутся бродкасты и порты NetBIOS (tcp/udp 135-139, 445)
4) устройство 4-го уровня
На четвертом уровне стоят коммутаторы D-Link DES-3526, планируем ставить DES-3028, т.к 4-ре гигабитных порта очень часто нужны. Да и по слухам 3526 уже EOL
К коммутаторам напрямую подключаются клиенты, на абонентских порах включен loopback detect (для выключения портов с петлей), максимальное количество mac-адресов на порту равно 5, включен igmp snooping и фильтруется весь мультикаст кроме диапазонов 224.200.100.0-224.200.150.255 и 224.0.0.2, так-же зарезаются все бродкасты (кроме arp протокола) и весь NetBIOS
А теперь логическая схема всего этого дела:
По просьбам трудящихся: Dual ISP на маршрутизаторах cisco без BGP
Типичная задача, которая тем не менее, продолжает вызывать массу вопросов.
Попробую вкратце описать суть технологии и подводные камни.
Итак, пусть у нас есть один пограничный маршрутизатор cisco с одним внутренним портом (g0/0) и двумя внешними (f0/0, f0/1). Есть подключение к двум провайдерам, каждый из которых выдал свой пул адресов Pool(ISP1) и Pool(ISP2) (это некоторые сети, принадлежащие конкретному провайдеру). Пусть для простоты адреса интерфейсов f0/0 и f0/1 из этих же пулов. И адреса шлюзов из этих же пулов (Gate(ISP1) и Gate(ISP2) соответственно).
Так как у нас нет возможности поднять BGP, значит мы должны на каждого из провайдеров прописать маршрут по умолчанию. И вот тут возникает первый вопрос: какую задачу мы хотим решить? Резервирование или одновременная работа с двумя провайдерами?
В этой топологии одновременно работает только один провайдер. То есть мы должны организовать проверку провайдера ISP1 и в случае если он живой – ходить через него, а если «мертв», то переключаться на запасного провайдера ISP2. Здесь есть подводный камень: NAT. Мы можем написать несколько правил трансляции, но надо как то указать, что при выходе через ISP1 мы используем Pool(ISP1), а при выходе через ISP2 – Pool(ISP2), иначе маршрутизатор всегда будет использовать трансляцию, которая первой написана в конфигурации. Понятно, что если идти через ISP2, а адреса источника будут из Pool(ISP1), то в лучшем случае мы получим несимметричную маршрутизацию, в худшем пакеты вообще никуда не дойдут, например потому, что провайдеры выполняют предписание использовать фильтрацию по RFC2827, что означает не принимать пакеты с адресами источника не из своей сети.
Итак, у нас 2 подзадачи: проверка провайдера (маршрута) на «живость» и трансляция адресов с учётом выходного интерфейса.
Проверка на «живость».
Маршрутизаторы cisco обладают замечательной технологией, называемой SLA. При помощи неё можно не только проверять пингом некий адрес, но также проверять живость определенных сервисов (ftp-connect, tcp-connect) или параметра канала связи (icmp-jitter, udp-jitter). Здесь рассмотрим самый простой и распространенный способ – пинг определенного хоста. Для простоты будем пинговать адрес шлюза провайдера Gate(ISPX). Если надо пинговать другой адрес, то необходимо явно прописать маршрут до этого адреса через конкретного провайдера, которого мы проверяем.
Примечание: в старых IOS команда привязки track к sla выгдялела так
Если хост пингуется, то track будет в состоянии UP и маршрут будет в таблице маршрутизации. А
если пинг пропадет, то через настроенный промежуток времени (по умолчанию 3*10 секунд) track
поменяет состояние на DOWN и маршрут будет удален до тех пор, пока track вновь не изменит
состояние.
ISP2 можно не проверять, чтобы не создавать лишний служебный трафик в канал, т.к. он у нас запасной и может быть дорогим (спутниковый канал, к примеру, или коммутируемый канал, оплачиваемый по времени работы). Маршрут на второго провайдера мы напишем с большей административной дистанцией и тем самым заставим его работать только при пропадании основного.
Задание правил трансляции адресов с учетом исходящего интерфейса.
Тут на самом деле тоже 2 задачи: динамическая трансляция и статическая трансляция адресов. Первая нам нужна для выхода наружу, а вторая – для анонса сервисов. И в том и в другом случае нам понадобится конструкция, называющаяся route-map (создать надо будет по route-map на каждого провайдера)
Тут есть тонкость: при указании слова interface в подсказке пишется
Т.е. вообще говоря, не понятно, что это за параметр. Плюс в зависимости от того, что написано на самом интерфейсе, этот критерий может означать как входящий интерфейс, так и исходящий! А зависит это от того, что написано в команде ip nat на интерфейсе:
ip nat inside – критерий будет означать входящий интерфейс
ip nat outside – критерий будет означать исходящий интерфейс
Далее, нам понадобится пул адресов от каждого провайдера
И можно уже писать правила NAT на каждого провайдера
overload – ключевое слово, означающее использовать PAT (Port Address Translation, трансляцию с учётом порта источника)
Если к надо добавить статические трансляции, то делаем почти так же (пусть серверу мы зарезервировали адрес Srv(ISPX) от каждого провайдера, а локальный адрес у сервера – Srv(LAN).)
____________
UPD ВНИМАНИЕ: ВВЕРХУ ОПЕЧАТКА!
Должно быть
При этом конечно надо озаботиться, чтобы оба адреса (Srv(ISP1) и Srv(ISP2)) на ДНС серверах были прописаны и указывали на одно и то же имя.
Итого, у нас получилось:
Одновременное использование двух провайдеров
Если в первом случае все понятно и однозначно, то в случае с одновременным использованием двух провайдеров возникают проблемы.
Интересна ли эта тема? Какие мысли и проблемы есть?
Пишите: скомпилирую со своими мыслями и выложу, если захотите.
Сайт ARNY.RU
Подключение к сети интернет — речь подойдет про возможные схемы подключения компании к интернету с примерами реализации.
Когда только начинал заниматься сетями частенько задавался вопросом: как можно и нужно правильно создать энтерпрайзное подключение к провайдеру (ISP). Тогда бы мне такая статья здорово помогла, поэтому думаю материал полезный. Статья будет как всегда на примере настройки оборудования CISCO.
Виды подключений к ISP
Подключения к провайдерам разделяют на 4 вида:
Single-homed — подключение к одному провайдеру по 1 линку (1 link per ISP, 1 ISP) ;
Dual-homed — подключение к одному провайдеру несколькими линками (2+ links per ISP, 1 ISP). Здесь возможны комбинации:
Multihomed — подключение к нескольким провайдерам, к каждому провайдеру 1 линк (1 link per ISP, 2+ ISPs). Опять же 1 или несколько роутеров со стороны компании;
Dual multihomed — подключение к нескольким провайдерам, к каждому провайдеру несколько линков (2+ links per ISP, 2+ ISPs).
Когда не нужен BGP
Центровым протоколом для подключения компаний к интернету является BGP. Но BGP для компании нужен не всегда. Его можно использовать при любом виде подключения к ISP, технически всё будет работать, однако в ряде случаев смысла в этом нет. Тут подробнее, рассмотрим несколько вариантов:
Вне зависимости от наличия или отсутствия ресурсов для интернета, в этом случае на роутере используется статический маршрут на роутер провайдера. BGP не нужен.
Если нужно выставить ресурсы в интернет, это решается пробросом портов на роутере.
Тогда обычно один канал основной, а второй резервный. BGP не нужен. Возможно и использования обоих каналов также без BGP. Рассказываю на примерах.
Пример 1
Есть граничный роутер компании, у него интерфейс GigabitEthernet0 подключен к одному провайдеру, а интерфейс GigabitEthernet1 к другому.
Ростелеком основной и быстрый интернет, запасной и медленный МТС. Два маршрута по умолчанию:
Первый маршрут отслеживается треком 100, у второго AD=20.
Комбинированный трек 100 проверяет 3 условия доступности и имеет задержку в срабатывании.
Первая SLA мониторит доступность роутера Ростелекома по ICMP, но этого недостаточно, так как роутер может быть доступен, а интернет он не раздаёт по каким-то причинам. Поэтому есть ещё два SLA: мониторинг DNS Гугла и критически важного для работы HTTP-сервера.
Ну и собственно при срабатывании трека 100 в DOWN происходит следующее:
Если же трек 100 опять имеет состояние UP, то всё возвращается на свои места. Задержка в срабатывании нужна чтобы вот это «мероприятие» не скакало туда-сюда.
Подробнее о комбинированном треке: //xgu.ru/wiki/Cisco_Enhanced_Object_Tracking
Недостаток этого метода в том, что при работоспособности обоих провайдеров, второй провайдер никак не используется.
Пример 2
В случае 2 роутеров со стороны компании и по 1 линку с каждого роутера компании к провайдеру/провайдерам (Dual-homed, Multihomed), может использоваться протокол HSRP (Hot Standby Router Protocol). Про основные понятия HSRP можно прочитать тут.
HSRP довольно-таки древний протокол, впервые он появился ещё в 10 версии IOS. Поэтому современные прошивки IOS 12+ или 15+ его гарантированно знают со всеми фичами.
Эту схему можно настроить и на коммутаторах 3 уровня, понятно, никто не будет использовать коммутаторы для подключения к ISP. Однако внутри компании такая схема может быть внедрена в критически важной точке для отказоустойчивости. Вот что говорится в курсе ENCOR (by INE):
Точно так же как и в прошлом примере в деле отслеживание доступности с помощью трека. Роль активного роутера передаётся в зависимости от состояния трека.
Примерная реализация будет такая, 2 граничных роутера R1 и R2, интерфейс GigabitEthernet0 каждого роутера смотрит во внутреннюю сеть компании 192.168.1.0/24. Шлюз по умолчанию для компьютеров компании, это IP адрес виртуального роутера — 192.168.1.254.
Интерфейс GigabitEthernet1 каждого роутера подключен к своему провайдеру. Пусть для определенности это будут всё те же Ростелеком и МТС, тогда для R1:
Трек 100 отслеживает доступность внешних ресурсов для интерфейса GigabitEthernet1 роутера R1:
Когда трек 100 имеет состояние UP, то активный роутер R1. У него приоритет 200, что больше приоритета 150 для R2. Все пакеты форвардятся через R1 на Ростелеком.
Когда доступность DNS Гугла 8.8.8.8 через Ростелеком пропадает, трек 100 переводится в состояние DOWN. При этом происходит уменьшение приоритета роутера R1 из-за строчки:
Теперь его приоритет 200-60=140, то есть меньше чем у R2. За счёт команды:
роутер R2 перехватывает роль активного роутера и пакеты форвардятся уже через МТС.
Если на на внутреннем интерфейсе роутеров GigabitEthernet0 используется ACL, то необходимо разрешить мультикаст адрес обмена информацией для HSRP группы. Для HSRPv1 это 224.0.0.2.
В случае работоспособности обоих провайдеров, второй провайдер по прежнему простаивает. Возникает вопрос: а зачем такая схема вообще нужна? Оборудования использовано в 2 раза больше по сравнению с первым примером, при этом результат тот же самый. Для этого следующий пример.
Пример 3
В случае с HSRP можно задействовать оба канала интернета. И реализовать распределение нагрузки. Для этого создается 2 группы HSRP на одном интерфейсе. Называется такая конфигурация MHSRP (Multiple HSRP).
Тут есть проблема, но буду рассказывать по порядку. Получаем для роутера R1:
Для важных хостов, которым нужен быстрый интернет, шлюзом по умолчанию настраивается 192.168.1.254, для остальных 192.168.1.253.
Трек 100 мониторит доступность ресурсов через интерфейс GigabitEthernet1 роутера R1. Трек 200 через интерфейс GigabitEthernet1 роутера R2. В случае падения одного из провайдеров доступ в интернет перетекает на работоспособный роутер для обеих групп HSRP.
Здесь есть ещё интересный момент. Пусть один провайдер упал и обе группы HSRP активны на интерфейсе GigabitEthernet0, допустим, роутера R1. Поскольку у каждой HSRP группы свой MAC адрес, то на одном интерфейсе будет 2 разных MAC адреса. Это должно поддерживаться на уровне железа (чипсетом роутера).
Для старых железок (на чипсетах Lance и QUICC) такую конфигурацию сделать не получится, она не заработает.
Некоторая информация о MHSRP от CISCO здесь.
Возвращаемся к проблеме: а как нам в одном сегменте раздать адреса с разными шлюзами с помощью DHCP? Не руками же вбивать? Без костылей не обойтись. Нужно настроить пользовательский класс DHCP на нужных машинах через GPO, сделать на DHCP политику и подменить через политику шлюз.
Поэтому у MHSRP тоже есть свой жирный минус.
Пример 4
Всё то же самое, но раздавать интернет будем в разных VLANs. Придётся воспользоваться методом Router-on-a-Stick, чтобы прокинуть транковый канал с роутера.
Конфигурация для R1:
Конфигурация для R2:
Тут решается сразу несколько проблем:
Такая настройка более оптимальна. Подробнее тут. Единственное что: название статьи некорректно, это не MHSRP.
Отказоустойчивый кластер
Не рассматриваю варианты отказоустойчивого кластера, так как такой «отказоустойчивый» кластер обычно имеет единую точку отказа. Это точка подключения к провайдеру.
Кластер становится действительно отказоустойчивым, если внешние подключения кластера идут к разным устройствам. Поскольку это дорого и сложно, то мало где применяется.
Такие кластера отличает наличие «шнурка» между активным и резервным устройствами. Через этот интерфейс резервное устройство мониторит активное и если активное недоступно, то перехватывает роль.
Подобные реализации поддерживают многие производители. Кому интересно создание кластера на базе ASA, можно почитать здесь.
