Опубликован: 31.07.2006 | Уровень: специалист | Доступ: свободно
Лекция 16:

Архитектура интернета

Вопросы адресации

При работе с партнерскими сетями возникает еще один вопрос - вопрос адресации. В большинстве организаций во внутренних сетях используются частные адреса. По этой причине очень вероятна ситуация, при которой в партнерской сети будут использоваться те же адреса, что и в рассматриваемой организации.

Организации, в которых не уделяется внимание этой проблеме, могут столкнуться с тем, что целая сеть 10.x.x.x будет определяться так, будто она принадлежит определенному партнеру, а в итоге окажется, что другая партнерская организация также использует 10.x.x.x. Чтобы предотвратить эту проблему, рекомендуется использовать NAT при подключении к партнерским сетям. Посредством определения политики трансляции для партнерской сети можно разрешить этой сети стать частью вашей схемы адресации.

Примечание

Материал этого раздела предназначен только для того, чтобы обратить ваше внимание на рассматриваемый вопрос. Адресация и правильная маршрутизация объединенных сетей - это тема для отдельной большой книги. При построении объединенных сетей необходимо соблюдать внимательность, чтобы трафик передавался корректно и не возникали лишние проблемы, связанные с безопасностью.

Проект 16 Создание интернет-архитектуры

Данный проект предназначен для демонстрации этапов создания интернет-архитектуры. В данном упражнении подразумевается, что вы привлечены к сотрудничеству в компанию Widget Makers, Inc. с целью разработки подходящей интернет-архитектуры для этой организации. Widget Makers предъявляет следующие требования к соединению с интернетом:

  • необходимо создать веб-сервер, на котором будет представлена информация о продуктах компании;
  • в качестве основного механизма связи с клиентами и партнерами используется электронная почта;
  • сотрудники офиса должны иметь возможность использовать интернет для доступа через веб;
  • компания содержит веб-сайт для партнеров-перекупщиков, на котором эти партнеры могут заказывать товары. Этот сайт должен находиться отдельно от веб-сайта компании.

Шаг за шагом

  1. Принимая во внимание изложенные требования, определите, какие службы нужно предоставлять пользователям через интернет.
  2. Определите, какие службы управления необходимы для поддержки архитектуры.
  3. Определите, какую архитектуру соединения использовать для работы с несколькими провайдерами.
  4. Определите, какую следует применить архитектуру межсетевых экранов. Сколько интерфейсов потребуется на межсетевом экране?
  5. Определите соответствующий набор правил для каждого межсетевого экрана, используемого в сети.
  6. Определите необходимое число IP-адресов и составьте план адресации для внутренних систем.
  7. По завершении проектирования сети оказалось, что у компании нет достаточного объема средств для реализации предложенной архитектуры. Что в первую очередь можно исключить из архитектуры, чтобы снизить ее стоимость? Каким образом это изменение повлияет на общий уровень безопасности архитектуры? Не забудьте при этом максимальным образом обеспечить конфиденциальность, целостность, доступность и ответственность.

Выводы

Предъявленные требования приведут к созданию структуры сети с высоким уровнем доступности. В такой архитектуре, как правило, используется избыточное оборудование и два провайдера интернет-услуг. Для веб- и почтовых серверов следует использовать демилитаризованную зону. Система, используемая для связи с партнерами, может находиться либо в демилитаризованной зоне, либо в отдельной партнерской сети.

Такая архитектура имеет высокую стоимость. Если у организации нет возможности потратить соответствующий объем средств для реализации проекта, можно убрать из архитектуры некоторое избыточное оборудование. Однако это прежде всего повлияет на общий уровень доступности.

Контрольные вопросы

  1. Какой RFC определяет адреса, используемые в частных сетях?
  2. В чем заключается основная причина предоставления служб пользователям?
  3. Почему системы, к которым осуществляется доступ из внешней среды, не могут пользоваться полным доверием?
  4. Почему протокол ICMP является важным компонентом сети?
  5. Скольким внутренним системам разрешается использовать NTP в интернете?
  6. Почему не рекомендуется использовать FTP через интернет?
  7. Для предотвращения каких сбоев предназначена архитектура с несколькими соединениями с одним провайдером?
  8. Как расшифровывается аббревиатура BGP?
  9. Почему необходимо использовать BGP при наличии нескольких точек присутствия провайдера?
  10. Нужны ли в конфигурации DMZ с двумя межсетевыми экранами какие-либо ограничения на типы межсетевых экранов, которые должны использоваться в каждом из местоположений?
  11. Какова основная причина использования NAT?
  12. Перечислите три набора адресов, которые можно легально использовать для внутренней системы.
  13. Какой тип присваивания адресов обеспечивает статическая NAT?
  14. С точки зрения безопасности, каким образом системы, к которым осуществляется доступ через партнерские сети, должны отличаться от систем, к которым осуществляется доступ из интернета?
  15. Чем нужно прежде всего руководствоваться при разработке интернет-архитектуры?
Нияз Сабиров
Нияз Сабиров
Стоимость "обучения"
Елена Сапегова
Елена Сапегова
диплом
Марина Дайнеко
Марина Дайнеко
Россия, Moscow, Nope, 2008
Анатолий Федоров
Анатолий Федоров
Россия, Москва, Московский государственный университет им. М. В. Ломоносова, 1989