Сети-L3. Route и NAT
8.1 Многоуровневая модель сети. Маршрутизация: статика, динамика.
В совсем простой, домашней сети вся сеть будет одноуровневой - один коммутатор, он же маршрутизатор, он же делает NAT. В сети чуть сложней придется выделять отдельные коммутаторы доступа и где-то организовывать маршрутизацию между ними. Это two-tier lan design. В еще более сложной сети придется разделять access / distribution / core - three-tier LAN design Подробнее и с картинками можно почитать в Unified Access Design Guide http://www.cisco.com/c/en/us/td/docs/solutions/Enterprise/Borderless_Networks/Unified_Access/Unified_Access_Book/UA_Design.html или пролистать вот это https://www.slideshare.net/NetworksTraining/cisco-switch-layer2-layer3-design-and-configuration
В еще более сложных случаях, уровня провайдера или хотя бы десятка стоек, придется выделять еще
агрегацию, например HPE FlexFabric 5900
ядро, например HPE FlexFabric 7900 Switch Series / Cisco 6500 / Cisco Nexus
ToR, Top of the rack коммутаторы
обвязку систем безопасности - это Cisco ASA, и вся линейка NGFW, например Fortinet NGFW или Palo Alto
Маршрутизирующие (L3) коммутаторы надо как-то обучить тому, где находится нужная сеть, за каким известным адресом. Это можно делать как вручную, прописывая статические маршруты, так и автоматически, настроив маршрутизаторы для автоматического обмена маршрутами и построением итогового маршрута на основе такого обмена. Дальше будет подробнее.
Статическая маршрутизация есть даже в домашнем Windows - через командную строку и route add.
8.2 Теория сети. Что такое сайт, маршрут к сайту и почему оно вот так вообще. И почему надо отличать сайт в сети (Intranet/Internet) от сайта AD.
Сайт в сети, в самом простом варианте, это некий адрес вида http://contoso.com У этого сайта есть некий ip (ipv4 или ipv6) адрес, или несколько адресов. И наоборот, у одного ip адреса может быть несколько сайтов. В самом простом варианте один сайт однозначно переводится в адрес, и наоборот. За перевод имени в адрес, и адреса и имени отвечает служба/сервис DNS. После получение адреса получатель (ПК пользователя) определяет по таблице маршрутизации (на MS ее можно посмотреть через route print), где находится нужный сайт - в своей сети, или нет, а если нет - за каким шлюзом сети. После чего пакет с запросом на данные отправляется "куда надо". Если пакет уходит на шлюз, то шлюз повторяет ту же процедуру - смотрит в поле "куда" (иногда смотрит в поля "откуда", но про policy-base routing будет позже), смотрим в свою таблицу маршрутизации и отправляет пакет в следующий шлюз. Таким сложным и длинным путем пакет в итоге добирается до нужного адреса, и сервер с той стороны формирует и отправляет пакет с ответом. Весь путь до удаленного сайта называется, очевидно, маршрутом. Для его отслеживания существует полезная утилита tracert, а для ряда других задач - утилита pathping. https://technet.microsoft.com/ru-ru/library/bb490964.aspx
Более детально о этом рассказывается в курсах ICND1, ICND2 и тысячах книг по основам сетей скажем - Таненбаум Эндрю. Компьютерные сети.
Почему надо отличать сайт в сети (Intranet/Internet) от сайта AD.
Потому, что это совсем разные вещи. Сайт в сети - это некий адрес, где работает (на неком порту или без порта) некий сервис.
Сайт в AD - В доменных службах Active Directory сайты представляют собой физическую структуру или топологию сети. В доменных службах Active Directory для создания наиболее эффективной топологии репликации используются сведения о сетевой топологии, которые хранятся в каталоге в виде объектов сайта, подсети и связи сайтов. https://technet.microsoft.com/ru-ru/library/cc754697(v=ws.11).aspx
Безопасность - PIX/ASA, NGFW - вынесена отдельно. Маршрутизация: статика, RIP, OSPF, EIGRP. Без IS-IS и BGP Cisco Policy-Based Routing (PBR)
Говоря о сетевом оборудовании, надо сначала коснуться темы ASIC - application-specific integrated circuit. Специально обученная (ТМ) микросхема, которая обрабатывает как IP-пакеты, так и (в случае NGFW) группы пакетов, без участия операционной системы. Соответственно, скорость обработки пакетов не зависит от мощности и загрузки центрального процессора и оперативной памяти. Router / маршрутизатор. Оборудование, в основном предназначенное для хранения и передачи маршрутов - статики и динамики - RIP, OSPF, EIGRP, IS-IS и BGP В случае аппаратного router - обработка пакетов идет в основном на уровне ASIC, хотя маршруты (таблицы маршрутов) хранятся в оперативной памяти. Конечно, обе основные ОС (Windows/linux) поддерживают и маршрутизацию, для примера достаточно открыть командную строку windows и изучить вывод route print route add /?
Но при этом OSPF был убран из системы, начиная с Windows Server 2008 https://social.technet.microsoft.com/Forums/windows/en-US/8026e9e4-57ad-4675-9f2d-73d9cb0dd80a/whats-happened-to-ospf?forum=winserverNIS https://technet.microsoft.com/library/bb726965
а вместо него в 2016-й сервер положили всякое разное, оставив встроенного только - Deploy and configure dynamic routing and transit routing between sites using Border Gateway Protocol (BGP). https://technet.microsoft.com/en-us/library/mt412879.aspx https://technet.microsoft.com/en-us/library/mt626647.aspx
C сетями у MS совсем странно - прекратили развитие линейки MS ISA, вместо него сначала был Microsoft Forefront Threat Management Gateway, потом все урезали до Web Application Proxy (WAP). Вместо них Kerio и прочий Fortinet FortiGate https://www.anti-malware.ru/node/16486 https://habrahabr.ru/company/muk/blog/210582/
RIP, OSPF, EIGRP - это все есть в ICND 1 и 2 и linkmeup Что стоит помнить про OSPF - msk-arbat-gw1(config)#router OSPF 1 msk-arbat-gw1(config-router)#passive-interface fastEthernet 0/0.2 https://linkmeup.ru/blog/33.html
LSA в OSPF. Цены / Cost. ABR - Area border router OSPF - проектирование http://www.cisco.com/c/ru_ru/support/docs/ip/open-shortest-path-first-ospf/7039-1.html OSPF - дыры https://xakep.ru/2014/09/03/ospf-vulnerabilities/
Authentication in OSPF http://www.cisco.com/c/en/us/support/docs/ip/open-shortest-path-first-ospf/13697-25.html
сети - What is variable-length subnet mask (VLSM) Основные отличия OSPFv2 и OSPFv3 (помимо появившейся поддержки IPv6):
OSPFv3 включается на интерфейсах. Включение OSPF на интерфейсе автоматически создает процесс OSPF и соответствующую команду в конфигурационном файле; анонсируются все сети, настроенные на интерфейсе; новые типы LSA. Добавлены два новых типа LSA -- Link LSA и Intra-Area Prefix LSA; аутентификации в самом OSPFv3 нет. Используется аутентификация IPv6.
Что касается BGP, то внезапноего порой используют и внутри (iBGP)сетей. Читать можно вот отсюда Сети для самых маленьких. Часть восьмая. BGP и IP SLA https://habrahabr.ru/post/184350/ http://linkmeup.ru/blog/65.html
Внутренние сети на BGP - Сети для самых маленьких. Микровыпуск N3. IBGP http://linkmeup.ru/blog/92.html
Или отсюда - BGP-перехват https://geektimes.ru/post/288728/
Cisco Policy-Based Routing (PBR) Маршрутизация на основе не только адреса назначения, но на всех параметрах сразу - протоколе, адресе и порте источника, адреса и порте назначения. http://xgu.ru/wiki/Cisco_PBR http://www.cisco.com/c/en/us/td/docs/ios/12_2/qos/configuration/guide/fqos_c/qcfpbr.html
8.6 Теория. Proxy, NAT. Active-passive, Active-active. Двойной (twice) NAT Это схожие задачи/сервисы, которые между тем выполняют различные задачи. При этом proxy может выполнять только кеширование, а может выполнять и функции NAT. Подробнее про них прочитать можно много где, хоть начиная отсюда: http://xgu.ru/wiki/Squid
NAT - это технология, которая чаще всего используется для трансляции адресов внутри сети (локальных адресов, серых адресов, частных / private) в один или несколько "белых" (global). Читать: RFC 1918 for Internet Protocol Version 4 (IPv4) RFC 4193 Internet Protocol Version 6 (IPv6)
Достаточно часто используется и для трансляции адресов между сегментами внутренней сети, или для трансляции адресов между сегментами сети при одинаковой адресации сегментов. Подробнее читать: ICND1
Active-passive, Active-active. Режимы работы сетевого оборудования для балансировки и отказоустойчивости канала связи. Чаще всего используется на firewall / ASA и подобном оборудовании.
Двойной (twice) NAT Twice NAT lets you identify both the source and destination address in a single rule. Specifying both the source and destination addresses lets you specify that a source address should be translated to A when going to destination X, but be translated to B when going to destination Y, for example. http://www.cisco.com/c/en/us/td/docs/security/asa/asa83/configuration/guide/config/nat_rules.html используется: например в site2site VPN на ASA
8.7 Практика - сервера NAT под Windows 10 лет (в 2007 году) назад выбор был почти очевиден - MS ISA или Kerio. Или Usergate. В 2017-м году это направление было свернуто в пользу всяких инстансов, но NAT есть и в самом сервере - Как настроить NAT в Windows Server 2016 https://www.sanglyb.ru/kak-nastroit-nat-v-windows-server-2016
8.8 Практика - сервера NAT под Linux, в том числе инстансы.
Например вот http://www.kerio.ru/products/kerio-control/features а так их полно, начиная с iptables https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/4/html/Security_Guide/s1-firewall-ipt-fwd.html
или Pfsense https://doc.pfsense.org/index.php/Outbound_NAT
и заканчивая Cisco ASAv и VMware NSX http://www.cisco.com/c/en/us/products/security/virtual-adaptive-security-appliance-firewall/index.html
8.9 Практика - аппаратные NAT. Тысячи их. Любой маршрутизатор (но не любой L3 switch), любая ASA / NGFW. Все то же самое, но пакеты идут через ASIC, скорость обработки выше, зависимость от центрального процессора намного ниже.
Last updated