Использование маршрутизаторов CISCO в сетях Novell Netware

внутрь заголовков протокола UDP (User Datagram Protocol) и в таком виде

передаются по сети TCP/IP. Все аппаратные и программные средства Cisco

поддерживают расширения TCP/IP, позволяющие передавать трафик Netware,

инкапсулированный в пакеты IP. Целью этой статьи является раскрытие

вопросов, касающихся использования ОС Netware протокола IPX на сетевом

уровне.

Протокол SAP и Novell Directory Services

Протокол Netware SAP (Service Advertising Protocol) позволяет сетевым

ресурсам, включая файловые серверы и серверы печати, рекламировать свои

услуги в сетях Netware. Пакет SAP содержит специальный код,

идентифицирующий тип услуги, предоставляемой сервером (например, код 4

соответствует файловому сервису, а код 7 – сервису печати), и сетевой адрес

самого сервера. Пакеты SAP рассылаются каждым сервером сети каждые 60

секунд.

Промежуточные сетевые устройства, такие как маршрутизаторы, “слушают”

пакеты протокола SAP и на основе их информации строят таблицы, содержащие

сведения обо всех сетевых ресурсах. В том случае, когда клиент Novell

запрашивает некий сетевой сервис, маршрутизатор посылает ответный пакет,

содержащий адрес сервера, предоставляющего этот сервис. После этого клиент

может взаимодействовать с сервером напрямую.

Начиная с версии Netware 4.x, компания Novell представила сервис управления

каталогами NDS (Netware Directory Services), который снижает необходимость

использования протокола SAP. Однако протокол SAP все же используется

клиентами Netware 4.x при их начальной загрузке для определения адреса

сервера NDS.

Другие протоколы Netware

Протокол SPX (Sequenced Packet Exchange) является общим для всех реализаций

Netware транспортным протоколом уровня 4. Надежный, ориентированный на

соединение протокол SPX (сходный с TCP) расширяет возможности протокола IPX

по передаче дейтаграмм. SPX представляет собой надстройку IPX.

Клиентские оболочки Netware работают на широком спектре клиентского

оборудования, включая IBM PC, Apple Macintosh и рабочие станции UNIX. Эти

оболочки перехватывают запросы ввода-вывода пользовательских приложений и

определяют необходимость выполнения сетевых операций для обработки этих

запросов. Если необходим доступ к сети, то клиентская оболочка Netware

производит преобразование запроса в сетевые пакеты и передает их протоколу

IPX, который осуществляет их трансляцию по сети. В противном случае

клиентская оболочка передает запрос к локальной системе ввода-вывода.

Протокол NCP (Netware Core Protocol) представляет собой набор

функциональных модулей, призванных удовлетворить запросы приложений,

поступающие от клиентских оболочек Netware и других удаленных клиентских

процессов. Услуги, предоставляемые протоколом NCP, включают в себя доступ к

файлам, принтерам, управление именами, систему учета и безопасности, а

также файловую синхронизацию.

ОС Netware также поддерживает протокол сеансового уровня NetBIOS,

определенный компаниями IBM и Microsoft для сетей IBM PC. Эмуляция NetBIOS

позволяет приложениям IBM PC использовать интерфейс NetBIOS в сетях

Netware. Пакеты NetBIOS инкапсулируются в пакеты IPX.

Решения Cisco IOS

Услуги связи (Connectivity)

Первым шагом при построении объединенных сетей является рассмотрение

возможности связи между индивидуальными локальными сетями (LAN) через

глобальные сети (WAN). Аппаратное обеспечение Cisco и программное

обеспечение Cisco IOS обеспечивает такую возможность для всех протоколов

LAN, поддерживаемых ОС Netware, включая Ethernet, Fast Ethernet, Token

Ring, FDDI и ATM. Cisco также поддерживает полный набор связей WAN, включая

высокоскоростные выделенные линии, PPP, X.25, Frame Relay, ISDN, ATM и

SMDS.

Различные типы инкапсуляций LAN

Аппаратное и программное обеспечение Cisco поддерживает все типы

инкапсуляций Ethernet/802.3, используемые ОС Netware. Оборудование Cisco

может различать разные типы пакетов, маршрутизировать и коммутировать

трафик IPX независимо от типа инкапсуляции.

Различные типы инкапсуляции, поддерживаемые в условиях одной сети,

позволяют старым и новым версиям узлов Netware сосуществовать и

взаимодействовать между собой на одном сегменте сети. Поддержка различных

типов инкапсуляции позволяет снизить расходы на оборудование, уменьшить

количество процедур конфигурирования и облегчить миграцию от одного типа

инкапсуляции к другому.

В условиях сетей FDDI Cisco IOS обеспечивает поддержку двух стандартных

типов инкапсуляции FDDI (FDDI_SNAP и FDDI_802.2). Вместе с тем, необходимо

упомянуть о поддержке такой инкапсуляции IPX, как FDDI_RAW. FDDI_RAW

используется такими устройствами, как мосты и коммутаторы, для объединения

сетей Netware при помощи внутрифирменного протокола Novell через сети,

основанные на FDDI. Пакеты FDDI_RAW могут маршрутизироваться в другие LAN

или WAN или возвращаться в сети FDDI в оригинальном формате Novell.

Инкапсуляция FDDI_RAW не является официально поддерживаемым стандартом

Novell, однако это можно не учитывать при проектировании коммутируемых

сетей. Поддержка FDDI_RAW означает необходимость в трансляции инкапсуляции

Ethernet на серверах и клиентах сети при использовании для объединения

сетей магистралей FDDI.

Коммутируемые и виртуальные локальные сети

Cisco предлагает полное семейство коммутаторов локальных сетей (для пакетов

Ethernet, Token Ring и Fast Ethernet) и коммутаторов ATM (для ячеек ATM),

которые обеспечивают высокопроизводительные линии связи для объединения

сетей Novell.

В добавление к сказанному о производительности коммутаторов необходимо

отметить, что все коммутаторы обладают способностью создавать виртуальные

локальные сети (VLAN). Технология VLAN позволяет сетевым администраторам

логически разбивать множество конечных портов на сегменты, представляющие

собой автономные виртуальные рабочие группы. Перемещения, удаления и

добавления конечных пользователей автоматически отслеживаются

коммутаторами, что значительно облегчает конфигурирование и поддержку сети.

Логическая сегментация также предоставляет дополнительные преимущества при

администрировании сетевых адресов и стратегии защиты данных и в управлении

широковещательной активностью во всей сети.

Для обеспечения масштабируемости внутри крупных инфраструктур, естественно,

необходимо обеспечить коммуникации между отдельными VLAN через так

называемые “транковые” соединения между коммутаторами. Программное

обеспечение Cisco IOS может инкапсулировать трафик IPX и другие типы

трафика Netware в единые соединения с использованием протокола IEEE 802.10

или ISL (Inter-Switch Link), разработанного Cisco Systems. Использование

этих протоколов позволяет создать между коммутаторами и маршрутизаторами

высокоскоростных соединений, несущих в себе трафики нескольких VLAN.

Необходимо отметить, что на текущий момент поддержка IPX ограничивается

только инкапсуляцией novell-ether.

Соединения WAN

Компания Novell для обеспечения передачи пакетов IPX через соединения WAN с

использованием PPP представляет протокол IPXWAN. Этот протокол описывает

процедуры установления соединений и в некоторых случаях позволяет

определить тип того или иного соединения. Кроме того, этот протокол

содержит методы, позволяющие осуществлять динамическое присвоение сетевых

адресов и определять метрики маршрутов для каждого интерфейса. Протокол

IPXWAN необходим для обеспечения работы программного модуля Novell MPR

(Netware Multiprotocol Router).

ПО Cisco IOS поддерживает обе версии протокола IPXWAN – версию 1 (RFC-1362)

и версию 2 (RFC-1634). Протокол IPXWAN 2.0 содержит поддержку сетей X.25

(коммутируемые и постоянные виртуальные соединения) и сетей Frame Relay

(постоянные виртуальные соединения), в отличие от протокола IPXWAN 1.0,

который поддерживает только синхронные линии связи. Кроме того, IPXWAN 2.0

позволяет использовать NLSP в качестве маршрутизирующего протокола и

поддерживает использование ненумерованных (unnumbered) соединений IPX.

Использование ненумерованных соединений делает конфигурирование связей WAN

более простым и позволяет администраторам сетей сократить использование

сетевых адресов IPX. Использование NLSP на соединениях WAN уменьшает

стоимость эксплуатации этих соединений за счет исключения передачи ненужной

маршрутной информации, передаваемой в противном случае через всю сеть.

ПО Cisco IOS также поддерживает протокол IPX через соединения PPP с

использованием стандартного протокола IPXCP (PPP Control Protocol, RFC-

1552). Протокол IPXCP позволяет соединять сети IPX через любые линии связи

WAN, поддерживающие PPP, включая X.25, Frame Relay, ISDN, ATM, SDMS и

высокоскоростные синхронные линии.

Интерфейс NASI (Netware Asynchronous Services Interface)

Как показано на рис. 3, сервер NASI позволяет клиентам Netware использовать

асинхронные ресурсы сети, такие как модемы, без необходимости наличия этих

ресурсов на самом клиентском рабочем месте.

[pic]

Рис. 3. Использование сервера доступа Cisco в качестве сервера NASI

Сервер доступа Cisco, на котором работает ПО Cisco IOS, может выполнять

функции сервера NASI для 16-битных клиентов Novell. Необходимо отметить,

что работа 32-битных клиентов не поддерживается.

Благодаря поддержке NASI сетевые администраторы получают возможность

централизованно управлять такими ресурсами сети, как модемные пулы, что

позволит расширить сферу расположения клиентов сети и увеличить

эффективность работы распределенных клиентов Netware, использующих эти

ресурсы.

Шлюз IPX/IP Gateway

Шлюз IPX/IP, известный как IPeXchange и разработанный Cisco Systems, дает

пользователям сетей Netware осуществлять защищенный доступ к сети Интернет,

а также запускать приложения, работающие по протоколу TCP/IP, такие как

программы просмотра Web (Web Browsers), Telnet и FTP (File Transfer

Protocol). При использовании IPeXchange сети на основе IPX подключаются к

сетям IP (например, к Интернет) задействуя всего один IP-адрес для всей

локальной сети Netware. IPeXchange исключает необходимость конфигурирования

и поддержки всего стека протокола TCP/IP на каждом рабочем месте и запуска

маршрутизирующих протоколов IPX на уровне ядра корпоративной сети.

Возможности IPeXchange могут быть применимы как к выделенным, отдельно

стоящим устройствам, так и к некоторым (по выбору администратора) серверам

доступа, работающим под управлением Cisco IOS.

Функции обеспечения безопасности

По мере роста сетей Novell и их подключения к другим сетям, как частного,

так и общего пользования, предотвращение неавторизованного доступа

пользователей к ресурсам и конфиденциальным данным этих сетей становится

все более важным.

Например, показанный на рис. 4 маршрутизатор соединяет инженерный и

финансовый департаменты сети и позволяет инженерам и бухгалтерам компании

обмениваться необходимой информацией. Однако следует учесть, что это

соединение также позволяет рабочим станциям инженерного департамента

получать доступ к конфиденциальным финансовым данным.

[pic]

Рис. 4. Объединение различных сетей и организационной информации

Несмотря на то, что парольная защита и шифрование данных безусловно

способствуют решению проблем защиты данных, ПО Cisco IOS обеспечивает

некоторое количество дополнительных функций ограничения и контроля доступа

на сетевом уровне. Эти дополнительные меры обеспечения защиты особенно

важны в тех ситуациях, когда имеются подключения к внешним сетям или

потенциальными нарушителями используются программные анализаторы,

осуществляющие дешифрацию паролей и другой конфиденциальной информации,

передаваемой через сеть.

Списки доступа IPX (IPX Access Lists)

ПО Cisco IOS обеспечивает сетевым администраторам возможность определения

списков доступа, также известных как ACL (Access Control List). Списки

доступа разрешают или запрещают обмен информацией между различными

элементами сети на основе сетевых адресов отправителя и получателя, порта

или протокола. Списки доступа физически предотвращают прохождение пакетов

между некоторыми сетями, Устанавливая препятствия между определенными

клиентами и серверами.

Списки доступа в ПО Cisco IOS для пакетов IPX могут назначаться в обоих

направлениях для каждого интерфейса. Выходные списки доступа предотвращают

выход трафика Netware за пределы определенного сегмента сети или запрещают

его передачу другим сетям.

Входные списки доступа обеспечивают дополнительную гибкость при создании

защищенных сетей IPX. Они могут использоваться для определения информации

пользователя на краях сетей и построения более сложных систем firewall.

Входные списки доступа также снижают загрузку на процессор за счет

запрещения прохождения определенных пакетов до их обработки маршрутизатором

и обеспечивают фильтрацию трафика при использовании туннельных сетей на

основе инкапсуляции GRE (Generic Routing Encapsulation). Более подробно о

сетях такого типа см. раздел “Туннели IPX".

Фильтры RIP, SAP и NetBIOS

Кроме управления трафиком IPX при помощи списков доступа, программное

обеспечение Cisco IOS обеспечивает фильтрацию пакетов RIP, SAP и NetBIOS.

Фильтрация возможна также в обоих направлениях на каждом из интерфейсов.

Фильтрация пакетов RIP обеспечивает несколько преимуществ:

. Фильтрация некоторых маршрутов обеспечивает изоляцию некоторых сетей

по выбору администратора

. Фильтрация обеспечивает “видимость” определенных участков сети только

из указанных областей сетевой системы

. Фильтрация позволяет создать логически параллельные сетевые связи без

необходимости физической изоляции сетевых соединений и участков

Фильтрация также может применяться для увеличения производительности сети

за счет предотвращения попадания в соединения с ограниченной полосой

пропускания неавторизованного трафика.

Трафик SAP может быть разделен по типам рекламируемых сервисов, номеру сети

и по другим полям пакета SAP. ПО Cisco IOS также может фильтровать трафик

NetBIOS, который инкапсулируется в пакеты IPX. Сетевой трафик может быть

отфильтрован либо по именам узлов NetBIOS, либо по любой двоичной маске,

накладываемой на каждый пакет NetBIOS. Сетевые администраторы могут

использовать гибкие механизмы фильтрации для уменьшения размеров таблиц

SAP, а также для ограничения доступа к ресурсам серверов Netware для

пользователей из неавторизованных областей сети.

Протоколирование нарушений списков доступа

Программное обеспечение Cisco IOS позволяет использовать стандартные

механизмы протоколирования нарушений списков доступа IPX. Нарушение

протоколируется при получении первого пакета с параметрами, совпадающими с

записями в списке доступа. Обновление записей производится через временные

интервалы, соответствующие примерно 5 минутам.

Эта способность программного обеспечения позволяет сохранять информацию об

адресах получателя и отправителя, типах протоколов (пакетов) и

произведенных действиях (доступ запрещен/разрешен). Использование системы

протоколирования нарушений списков доступа позволяет сетевому

администратору установить в сети единую систему учета и контроля за

соблюдением прав доступа с возможностью раннего оповещения о

неавторизованном доступе к ресурсам сети.

Дополнительные функции использования списков доступа

ПО Cisco IOS обладает некоторыми функциями, позволяющими облегчить

использование списков доступа. В списках доступа можно использовать маски

сетей, что позволяет в одной записи указать сразу целый диапазон сетей, в

отношении которых необходимо производить указанные санкции. Эта функция

облегчает администрирование крупной сетевой системы, в которой используется

иерархический подход к определению сетевых адресов. Кстати отметим, что

само по себе использование такого подхода позволяет создать более наглядное

представление о распределенной сетевой системе.

Общепринятые идентификационные номера протоколов используются в расширенных

списках доступа. Кроме того, в таких списках доступа можно использовать

имена узлов. Эта функция снижает количество процедур настройки и

значительно облегчает фильтрацию пакетов IPX, RIP, SAP, NCP и NetBIOS.

Сервисы масштабирования

Объединение существующих сетей Novell в единую сетевую систему и поддержка

большого числа клиентов и серверов Netware вызвали необходимость в

разработке специальных механизмов, обеспечивающих масштабируемость таких

сетей. ПО Cisco IOS содержит ряд специальных функций, делающих возможным

создание больших объединенных сетей Novell.

Routing Information Protocol

Программное обеспечение Cisco IOS поддерживает протокол RIP, который

предоставляет базовое решение по объединению сетей Netware в единую сетевую

систему. Однако, достаточно частые пакеты обновлений для таблиц

маршрутизации, низкий уровень сходимости при изменениях топологии сети и

ограничение на 16 промежуточных узлов делает этот выбор этого решения не

совсем удачным для сетевых систем, использующих каналы WAN.

Протокол EIGRP (Enhanced Interior Gateway Routing Protocol)

Одним из наиболее сильных шагов Cisco Systems в решении проблемы

объединения сетей Netware явилась разработка собственной версии протокола

IGRP® (Interior Gateway Routing Protocol). Кроме сетей TCP/IP протокол

Страницы: 1, 2, 3, 4