Пример распределённой опорной сети19.12.2024 15:30

В данной статье приведён пример построения распределённой опорной IP сети уровня небольшого предприятия. Я не претендую на истину в последней инстанции, а лишь пытаюсь показать каким образом можно обобщить те знания которые уже есть и увидеть способы интеграции технологий в единый живой, так сказать, организм.

Надеюсь, будет полезно подрастающему поколению сетевиков.

Формат: High Level Network/Security Design

Без лишних слов, к делу.

Layer 1 ядро

e8999b72c62f2239f6ab7e97bb0d87d7.png

  • Ядро строится на базе двух пар MLAG коммутаторов с поддержкой L3 маршрутизации

  • Периметр сети (ровно как и зонирование) осуществляется при помощи двух кластеров NGFW

  • Опорная сеть представляет собой физическое кольцо с двумя IP каналами от двух независимых операторов связи

  • Внешняя связность обеспечивается при помощи 4х IP каналов от двух независимых операторов связи (по два на каждый ЦОД)

Layer 1 инфраструктура

804d506faf0e391c46a34547a7ef70cc.png

Layer 2 ядро

628ba12ccaab7d26bdea9da76055a16e.png

  • Избыточность ядра сети достигается средствами агрегации на базе LACP

  • Все интерфейсы работают в режиме 802.1Q транков

  • L2 QoS обеспечивает гарантированую доставку Control Plane протоколов

  • Неиспользуемые порты логически выключены и переведены в изолированный VLAN

Layer 2 инфраструктура

6464b6371d06176b3bb1ad19d80fda0e.png

MLAG

97316e78aa5d327faadde375ebac57b4.png

  • В целях обеспечения L2/L3 отказоустойчивости, коммутаторы ядра представлены парой логических MLAG коммутаторов

  • L3 интерфейсы строятся на базе SVI + VRRP + BFD

  • L3 пирлинки — на базе SVI

STP ядро

2d4f2837f17d078e42ecbd4c7b86d3e6.png

  • В целях обеспечения стабильности сети, топология представлена двумя изолироваными STP доменами

  • BDPU фильтры включены на всех внешних портах

  • Используются фильтры предотвращения штормов  

STP инфраструктура

dfb54c35479a6e12375e548b40a204d0.png

Backhaul Underlay

b70b688cb7b30ac2f64e37f8e73c09b1.png

  • Backhaul underlay строится на базе единого OSPF Area 0. MP-BGP в данном случае не используется в силу отсутствия необходимости динамической коммутации кадров

  • Контроль потоков достигается при помощи OSPF приоритетов

  • Сходимость обеспечивается при помощи BFD

  • Безопасность — при помощи аутентификации и списков контроля доступа к IP интерфейсам

Backhaul VXLAN

8ef90baf04c633731d6f305f15882788.png

Private VRF BGP

f64419900a7ace97814835fe7df85f5e.png

  • Внутренний VRF представлен тремя BGP ASN обьединенными в логическое кольцо

  • Одной, расширенной средствами VXLAN и iBGP, между двумя NGFW кластерами и двумя изолированными iBGP ASN на базе L3 коммутаторов (по одной на каждый ЦОД). Архитектурное решение базируется на минимизации пирлинков в ядре при отсутствии BGP RR

  • Контроль потоков достигается средствами MED метрики

  • Сходимость — при помощи BFD

  • Безопасность — при помощи аутентификации и списков контроля доступа к IP интерфейсам

Public VRF BGP

5ab9e416e15f8009c72f5a82178210d1.png

  • Внешний VRF, так же, представлен тремя BGP ASN обьединенными в логическое кольцо

  • Внешняя связность обеспечивается средствами 4х каналов от двух независимых операторов связи 

  • Контроль периметра сети достигается средствами NGFW. В силу отсутствия транзитного трафика, внешнее адресное пространство изучается средствами 0.0.0.0/0 префикса. Остальные префиксы (за исключением локального диапазона) отфильтровываются в целях повышения стабильности NGFW

  • Контроль потоков достигается средствами MED метрики

  • Сходимость — при помощи BFD

  • Безопасность — при помощи аутентификации и списков контроля доступа к IP интерфейсам

Private VRF сегментация

8c866c605cd19ac6780636128a79e85e.png

  • Внутренняя сеть представленна 5ю изолированными сегментами (минимально необходимое колличество) Каждый сегмент подвергается инспекции, идентификации, фильтрации IP потоков и идентификации пользователей.

  • Private EDGE дополнительно выполняет следующие функции: (G)SLB и TLS терминация; WAF

  • Private DMZ:   WAF, а так же размещает сетевые и front end сервисы такие как Proxy, DNS, SIEM, Web, RADIUS/ISE

  • Back End:  (G)SLB, а так же размещает базы данных такие как LDAP, SQL и прочее

  • Util: размещает сервисы поддержки такие как Netflow, Monitoring probes, Syslog и прочее

  • RDS: размещает сервисы администрирования такие как RDS

Public VRF сегментация

055356551ddc9030f3a5b74866422067.png

  • Внешняя сеть представленна 2 мя изолированными сегментами (минимально необходимое колличество). Каждый сегмент подвергается инспекции, идентификации, фильтрации IP потоков и идентификации пользователей.

  • Public EDGE дополнительно выполняет следующие функции: (G)SLB и TLS терминация; WAF и VPN терминация

  • Public DMZ: WAF, а так же размещает сетевые и front end сервисы такие как Proxy, DNS, Web

Zero Trust

  • Zero Trust архитектура позволяет управлять доступом на уровне отдельно взятых серверов и портов коммутатора, тем самым позволяя предотвратить несанкционированный доступ и потенциальные утечки внутри широковещательного домена 

В заключении

Спасибо всем кто дочитал до конца! И заглядывайте иногда сюда

© Habrahabr.ru