Сведения о документе

Организация корпоративной сети


При организации корпоративных сетей очень важен этап предварительного планирования топологии сети, нагрузки по сегментам сети, расчёт протяжённости кабельной системы, а также затратная часть на сетевую инфраструктуру и серверы, предоставляющие сервис в этой сети. От правильности начального планирования зависит производительность и масштабируемость всей сети в целом и её отдельных компонентов. Ваша сеть скорее всего будет работать по Ethernet, а там, как известно используется протокол обнаружения коллизий. Чем правильнее вы спланируете свою сеть, тем меньше будет этих коллизий и тем лучше будет работать сеть в целом. На стадии планирования вам поможет статья по адресу http://citforum.ru/nets/articles/lso.shtml.

После того, как вы набросали план вашей будущей сети и приобрели необходимое оборудование, нужно распределить адресное пространство. В разделе Настройка сети приводилось несколько ссылок, помогающих разобраться в тонкостях организации подсетей, работе с сетевыми масками и пр. Здесь мы рассмотрим, почему используют подсети при организации корпоративных сетей.

Очень важным является следование RFC1918, которая регламентирует используемое для построения внутренних сетей адресное пространство. Напомним, что это блоки адресов: 10.0.0.0/8 для сетей класса A, 172.16.0.0/16172.31.0.0/16 для сетей класса B, 192.168.0.0/16 для сетей класса C. Здесь после знака / указана битовая маска сети. Если вы не будете следовать этим рекомендациям, то у вас могут возникнуть сложности при подключении сети к Интернет.

Далее нужно выбрать из перечисленных выше вариантов сетевой блок, который будет удовлетворять размерам вашей сети. Как правило, в случае небольшой сети (до 254 машин), выбирают сеть 192.168.0.0/24. Для сети масштаба предприятия выбирают сеть класса А.

Введите организацию подсетей: адрес сети класса A может быть разбит на несколько (если не много) отдельных сетей. Управлять каждой отдельной сетью значительно проще.

Это позволяет устанавливать и управлять небольшими сетями — весьма возможно использовать различные технологии организации сетей. Помните, вы не можете смешивать Ethernet, Token Ring, FDDI, ATM и т. п. на одной физической сети, однако они могут быть связаны мостами (bridges).

Другие причины для организации подсетей:

Каждая сеть имеет два адреса, не используемых для сетевых интерфейсов (компьютеров) — сетевой номер сети и широковещательный адрес. Когда вы организуете подсеть, каждая из них требует собственного, уникального IP-адреса и широковещательного адреса, причём они должны быть правильными внутри диапазона адресов сети, которую вы организуете.

Таким образом, разделение сети на две подсети приводит к тому, что образуются два адреса сети и два широковещательных адреса — увеличивается число “неиспользуемых” адресов интерфейсов; создание 4-х подсетей приведёт к образованию 8-и неиспользуемых адресов интерфейсов и т. д.

Фактически, самая маленькая пригодная для использования подсеть состоит из 4 IP-адресов:

Если у вас в подсети один компьютер, то любые сетевые сообщения должны отправляться в другую подсеть. Этим будет заниматься маршрутизатор, на котором вы в таблицу маршрутизации прописываете пути в эти подсети. А на этом единственном компьютере в подсети вы указываете маршрутизатор как маршрут по умолчанию, или шлюз. Для того, чтобы маршрутизатор перебрасывал пакеты между интерфейсами, вам обязательно надо включить форвардинг. Делается это в файлах /etc/sysconfig/network и /etc/sysctl.conf.

Сетевая маска позволяет разделить сеть на несколько подсетей. Сетевая маска для сети, не разделённой на подсети — это просто четвёрка чисел, которая имеет все биты в полях сети, установленные в 1 и все биты машины, установленные в 0.

Таким образом, для трёх классов сетей стандартные сетевые маски выглядят следующим образом:

Класс A8 сетевых битов255.0.0.0
Класс B16 сетевых битов255.255.0.0
Класс C24 сетевых бита255.255.255.0

Способ организации подсетей заимствует один или более из доступных битов номера хоста и заставляет интерпретировать эти заимствованные биты как часть сетевых битов. Таким образом, чтобы получить возможность использовать вместо одного номера подсети два, мы должны заимствовать один бит машины (крайний левый), установив его в сетевой маске в 1.

Для адресов сети класса C это привело бы к маске вида 11111111.11111111.11111111.10000000 или 255.255.255.128 К примеру, для сети класса C с сетевым номером 192.168.1.0, есть несколько случаев:

Число подсетейЧисло машин на сетьСетевая маска
2126255.255.255.128
462255.255.255.192
830255.255.255.224
1614255.255.255.240
326255.255.255.248
642255.255.255.252

В принципе, нет абсолютно никакой причины следовать вышеупомянутым способам организации подсетей, где сетевые биты добавлены от старшего до младшего бита хоста. Однако, если вы не выберете этот способ, то в результате IP-адреса будут идти в очень странной последовательности! Но в результате, решение, к какой подсети принадлежит IP-адрес, получается чрезвычайно трудным для нас (людей), поскольку мы не слишком хорошо считаем в двоичной арифметике (с другой стороны, компьютеры, с равным хладнокровием, будут использовать любую схему, которую вы им предложите).

Выбрав подходящую сетевую маску, вы должны определить сетевые, широковещательные адреса и диапазоны адресов для получившихся сетей. Учтите, что при увеличении числа подсетей сокращается число доступных адресов для компьютеров. Располагая этой информацией, вы можете назначить адреса машин, сетевые адреса и сетевые маски.

Последним этапом будем считать настройку маршрутизатора. Статические маршруты в подсети описываются в файле /etc/sysconfig/static-routes. Заметьте, что по умолчанию этого файла нет! Синтаксис записей в файле примерно такой:

eth1 host 172.16.50.2
eth1 net 0/0 gw 10.255.16.1

Здесь во второй строке для примера нестандартным образом указан маршрут по умолчанию. Стандартно он оформляется в файлах-описаниях интерфейсов и /etc/sysconfig/network. Напоминаем про необходимость включения форвардинга. Это можно сделать не перезагружая систему, дав команду echo "1" > /proc/sys/net/ipv4/ip_forward

Ну и напоследок, не лишней будет настройка на маршрутизаторе межсетевого экрана, подробнее об этом см. раздел Сетевая безопасность.

Сведения о документе