Многие задаются вопросом как устроена сеть провайдера или как им самим строить сеть, в данной статье я покажу как спроектирована и работает сеть у меня, на логическом уровне. Хотя не считаю свою структуру за идеальную, можно было сделать и лучше, но это мое имхо :) ибо истина “спроси у 2-х провайдеров как строить сеть – получишь 3 разных варианта “
Теперь подробнее о том как это работает
Типичная сеть передачи данных состоит из 4-х уровней, многие говорят что 3 но на самом деле их 4
1 уровень – граница сеть, т.е стык с другими операторами, он же бордер
На этом уровне обычно ведется работа с магистральными операторами у кого берем Интернет и операторами клиентами – которым даем Интернет :) Взаимодействие в 90% случаях осуществляется с помощью протокола динамической маршрутизации BGP
2 уровень – это само ядро сети
В него входят биллинг, radius сервер, центральные коммутаторы куда все воткнуто, NAT и шейперы (которыми нарезаем полосу клиенту. Можно резать и на порту управляемого коммутатора – но в таком случае и локальные ресурсы будут на тарифной скорости, нам-же надо предоставить тарифную скорость в Интернет и до 100мбит внутри своей сети
Взаимодействие между оборудованием обычно тоже происходит с помощью протоколов динамической маршрутизации таких как BGP (В этом случае внутреннее BGP или OSPF), но есть и приверженцы статических маршрутов
3 уровень – это уровень распределения, агрегация
В этот уровень обычно обычно входят управляемые коммутаторы (2-го или 3-го уровня) квартала или района, в зависимости от внутреннего устройства сети. В моем случае ставятся коммутаторы 3-го уровня и иногда дополняются коммутатором 2-го уровня, т.к при схеме VLAN на дом – не стоит разгребать домовые вланы в ядре сети
4 уровень – уровень доступа, акцесс, точка клиентского доступа
Это те самые домовые свитчи которые стоят в подвалах и на чердаках домов в ящике. К ним уже подключаются клиенты. В странах СНГ чаще всего используется D-Link DES-3526, D-Link 3026 и потихоньку начали ставить D-Link DES-3028, для юридических лиц обычно уже брезгуют длинками и ставят Cisco Catalyst 2950
Теперь о том как это работает у меня:
1) устройство 1-го уровня
В качестве пограничных маршрутизаторов используются 2 железки Juniper j4350 к каждой из которых подключен свой магистральный аплинк, взаимодействие с аплинками происходит с помощью BGP протокола (т.е отдаем аплинкам сети закрепленные за нашей AS (автономная система) и получаем от них полный список маршрутов в сети Интернет (full-view)
2) устройство 2-го уровня
На втором уровне происходит NAT-инг клиентов, шейпирование тарифных скоростей и маршрутизация (Интернет или пиринговые сети)
В качестве NAT-еров и шейперов используются две интелевских серверных платформы под управлением FreeBSD (на каждом из них производится и NAT и нарезка скоростей и каждый из них резервирует друг друга). Шейпинг осуществляется с помощью dummynet и таблиц (tablearg) а нат с помощью pf
Так-же между этими маршрутизаторами и пограничными маршрутизаторами (j4350) бегает внутреннее BGP для того чтобы в случае отказа одного из бордеров – быстро переключится на второй да и некая балансировка трафика тоже не будет лишней
Между маршрутизаторами и коммутаторами 3-го уровня бегает протокол OSPF для обмена внутрисетевыми и пиринговыми маршрутами + мы аннонсим с маршрутизаторов на них дефаулт роут, т.е маршрут по умолчанию. Маршрутизатор 1 имеет метрику 100
Маршрутизатор 2 имеет метрику 200, т.е в случае отказа одного из маршрутизаторов – все пакеты пойдут через резервные ( интервал переключения около 10 секунд)
3) устройство 3-го уровня
При моей схеме VLAN на дом на уровне распределения приходится держать коммутаторы 3-го уровня, которые занимаются маршрутизацией домовых сетей и вланов.
На коммутаторах работает IGMP snooping, обрезается весь ненужный мультикаст и режутся бродкасты и порты NetBIOS (tcp/udp 135-139, 445)
4) устройство 4-го уровня
На четвертом уровне стоят коммутаторы D-Link DES-3526, планируем ставить DES-3028, т.к 4-ре гигабитных порта очень часто нужны. Да и по слухам 3526 уже EOL
К коммутаторам напрямую подключаются клиенты, на абонентских порах включен loopback detect (для выключения портов с петлей), максимальное количество mac-адресов на порту равно 5, включен igmp snooping и фильтруется весь мультикаст кроме диапазонов 224.200.100.0-224.200.150.255 и 224.0.0.2, так-же зарезаются все бродкасты (кроме arp протокола) и весь NetBIOS
А теперь логическая схема всего этого дела:
Теперь подробнее о том как это работает
Типичная сеть передачи данных состоит из 4-х уровней, многие говорят что 3 но на самом деле их 4
1 уровень – граница сеть, т.е стык с другими операторами, он же бордер
На этом уровне обычно ведется работа с магистральными операторами у кого берем Интернет и операторами клиентами – которым даем Интернет :) Взаимодействие в 90% случаях осуществляется с помощью протокола динамической маршрутизации BGP
2 уровень – это само ядро сети
В него входят биллинг, radius сервер, центральные коммутаторы куда все воткнуто, NAT и шейперы (которыми нарезаем полосу клиенту. Можно резать и на порту управляемого коммутатора – но в таком случае и локальные ресурсы будут на тарифной скорости, нам-же надо предоставить тарифную скорость в Интернет и до 100мбит внутри своей сети
Взаимодействие между оборудованием обычно тоже происходит с помощью протоколов динамической маршрутизации таких как BGP (В этом случае внутреннее BGP или OSPF), но есть и приверженцы статических маршрутов
3 уровень – это уровень распределения, агрегация
В этот уровень обычно обычно входят управляемые коммутаторы (2-го или 3-го уровня) квартала или района, в зависимости от внутреннего устройства сети. В моем случае ставятся коммутаторы 3-го уровня и иногда дополняются коммутатором 2-го уровня, т.к при схеме VLAN на дом – не стоит разгребать домовые вланы в ядре сети
4 уровень – уровень доступа, акцесс, точка клиентского доступа
Это те самые домовые свитчи которые стоят в подвалах и на чердаках домов в ящике. К ним уже подключаются клиенты. В странах СНГ чаще всего используется D-Link DES-3526, D-Link 3026 и потихоньку начали ставить D-Link DES-3028, для юридических лиц обычно уже брезгуют длинками и ставят Cisco Catalyst 2950
Теперь о том как это работает у меня:
1) устройство 1-го уровня
В качестве пограничных маршрутизаторов используются 2 железки Juniper j4350 к каждой из которых подключен свой магистральный аплинк, взаимодействие с аплинками происходит с помощью BGP протокола (т.е отдаем аплинкам сети закрепленные за нашей AS (автономная система) и получаем от них полный список маршрутов в сети Интернет (full-view)
2) устройство 2-го уровня
На втором уровне происходит NAT-инг клиентов, шейпирование тарифных скоростей и маршрутизация (Интернет или пиринговые сети)
В качестве NAT-еров и шейперов используются две интелевских серверных платформы под управлением FreeBSD (на каждом из них производится и NAT и нарезка скоростей и каждый из них резервирует друг друга). Шейпинг осуществляется с помощью dummynet и таблиц (tablearg) а нат с помощью pf
Так-же между этими маршрутизаторами и пограничными маршрутизаторами (j4350) бегает внутреннее BGP для того чтобы в случае отказа одного из бордеров – быстро переключится на второй да и некая балансировка трафика тоже не будет лишней
Между маршрутизаторами и коммутаторами 3-го уровня бегает протокол OSPF для обмена внутрисетевыми и пиринговыми маршрутами + мы аннонсим с маршрутизаторов на них дефаулт роут, т.е маршрут по умолчанию. Маршрутизатор 1 имеет метрику 100
Маршрутизатор 2 имеет метрику 200, т.е в случае отказа одного из маршрутизаторов – все пакеты пойдут через резервные ( интервал переключения около 10 секунд)
3) устройство 3-го уровня
При моей схеме VLAN на дом на уровне распределения приходится держать коммутаторы 3-го уровня, которые занимаются маршрутизацией домовых сетей и вланов.
На коммутаторах работает IGMP snooping, обрезается весь ненужный мультикаст и режутся бродкасты и порты NetBIOS (tcp/udp 135-139, 445)
4) устройство 4-го уровня
На четвертом уровне стоят коммутаторы D-Link DES-3526, планируем ставить DES-3028, т.к 4-ре гигабитных порта очень часто нужны. Да и по слухам 3526 уже EOL
К коммутаторам напрямую подключаются клиенты, на абонентских порах включен loopback detect (для выключения портов с петлей), максимальное количество mac-адресов на порту равно 5, включен igmp snooping и фильтруется весь мультикаст кроме диапазонов 224.200.100.0-224.200.150.255 и 224.0.0.2, так-же зарезаются все бродкасты (кроме arp протокола) и весь NetBIOS
А теперь логическая схема всего этого дела:
