Сложно о простом. Как работает интернет. Часть 4. Что такое LAN, MAN, WAN, сети Clos и иерархия операторов

в 8:05, , рубрики: timeweb_статьи, сетевая безопасность, сетевая инфраструктура, сетевое администрирование, Сетевое оборудование, сетевой инженер, сетевые протоколы, Сетевые технологии

Приветствую, коллеги! Меня зовут зовут @ProstoKirReal. Мне бы хотелось с вами обсудить как работает интернет от кабелей на витой паре, соединяющие простые локальные сети до подводных коммуникационных кабелей соединяющие между собой континенты и основные операторские сети.

В этом цикле статей я не стану учить вас настраивать оборудование и проектировать сети. Я расскажу об основных (и не только) принципах построения сети, а также о функционировании сети и сетевых протоколов в стеке TCP/IP.

Я буду часто ссылаться к предыдущим статьям, где уже описывал сетевые протоколы. Это позволит мне сократить объемный текст. 

Рекомендую, перед прочтением, ознакомится с предыдущими статьями: 

❯ Зачем нужна эта статья?

Данная статья нужна нам для того, чтобы разобраться в базовых знаниях и разобрать:

  • что такое локальные сети LAN;

  • что такое глобальные сети WAN, MAN и сети операторов;

  • что такое сети Fat-Trees и Clos;

  • что такое иерархия операторов;

  • подведем итог, ответив на вопрос как работает интернет.

❯ Почему важно понимать уровни сетей?

Прежде чем мы сможем понять, как проектируются компьютерные сеть, в том числе глобальные, мы должны сначала разобраться, что именно представляет собой компьютерная сеть.

Когда-то термин «сеть» означал набор последовательных линий, используемых для подключения терминалов к мэйнфреймам (большой универсальный высокопроизводительный, отказоустойчивый сервер).

Другие важные сети включают голосовую телефонную сеть и сеть кабельного телевидения, используемую для распространения видеосигналов.

Главное, что объединяет эти сети, — они специализированы для обработки одного конкретного вида данных (нажатия клавиш, голоса или видео) и обычно подключаются к устройствам специального назначения (терминалам, компьютерам, телефонам и телевизорам).

Сейчас же термин «сеть» обозначает сложную структуру, состоящую из разнообразных устройств и систем, способных передавать, принимать и обрабатывать данные.

Суть работы сети заключается в установлении соединения между различными узлами сети (компьютерами, стационарные/мобильные телефоны, планшеты, серверы и т.д. По сути, это сеть связывает отдельные узлы в единое целое, обеспечивая взаимодействие и обмен данными.

Чтобы локальная или глобальная сеть работала без проблем и задержек (все хотят смотреть видео с котиками без лагов), сеть делят на уровни. Каждый уровень отвечает за собственные функции и помогает всей сети работать стабильно.

Чтобы сеть работала без сбоев, её организуют в иерархию уровней, подобно тому, как устроен город:

  • дома, соединенные улицами как узлы (ПК, серверы), связанные кабелями (патч-кордами);

  • районы с общими коммуникациями как коммутаторы уровня доступа, объединяющие узлы в сегменты (VLAN);

  • городские магистрали как ядро сети (Core Layer) — высокоскоростные каналы между коммутаторами;

  • дороги между городами как соединения между локальными сетями через операторов связи;

  • международные трассы как глобальные магистрали  операторов, образующие «скелет» Интернета.

Каждый уровень этой одной глобальной сети «интернет» играет огромную роль в нашей жизни.

Понимание структуры сетей помогает:

  • сетевому инженеру: проектировать отказоустойчивые и масштабируемые решения.

  • разработчику: оптимизировать взаимодействие приложений с сетью.

  • пользователю: осознавать, как данные попадают из точки А в точку Б за доли секунды.

❯ Уровни сети: доступ, агрегация, ядро

Давайте пока не будем торопиться и переходить к обсуждению иерархии операторов, а сперва остановимся на рассмотрении обычных локальных сетей.

Ранее в прошлых статьях этого цикла мы подробно разбирали, как функционирует простая локальная сеть. Однако процесс проектирования и подключения сетей мы пока не затрагивали.

Давайте рассмотрим «классическую» трехуровневую (Access - Distribution/Aggregation - Core) структуру сети.

Какие задачи выполняет каждый уровень:

Access Layer

Access Layer
Distribution/Aggregation Layer

Distribution/Aggregation Layer
  • уровень ядра (Core Layer):
    - передача данных между агрегационными узлами, с помощью маршрутизаторов.

Core Layer

Core Layer

Получается, что вся наша сеть делится на два сегмента.

Первый сегмент — это L2-сегмент, в котором применяются access- и trunk-порты для передачи трафика в рамках L2-сети. Здесь используется сегментация сети с помощью VLAN (виртуальных локальных сетей) и масок подсети. Это позволяет разделить сеть на несколько независимых друг от друга подсетей. Взаимодействие между этими подсетями осуществляется только через вышестоящую маршрутизацию.

Второй сегмент – L3-сегмент, в котором применяются маршрутизация трафика в рамках L3 сети.

Сегменты L2/L3

Сегменты L2/L3

❯ Access порты vs Trunk порты, switchport/no switchport. В чем разница?

В прошлых статьях мы уже затрагивали тему access и trunk портов, но еще раз напомню о них.

  • Access порт:
    - передает трафик только одного VLAN.

  • Trunk порт:
    - передает трафик нескольких VLAN через тегирование (802.1Q).

❯ Команды switchport и no switchport (для Cisco).

В сетях Cisco эти команды используются для управления режимом работы портов коммутатора. Они определяют, будет ли порт работать на канальном (L2) или сетевом (L3) уровне.

  1. switchport — режим уровня 2 (L2) Этот режим используется для коммутации трафика между устройствами в рамках одной подсети или VLAN и применяется на уровне доступа. Соответственно имеет 2 вида взаимодействия - access и trunk.

  2. no switchport — режим уровня 3 (L3) Этот режим превращает порт в маршрутизируемый интерфейс, который может обрабатывать IP-пакеты и участвовать в маршрутизации и применяется на уровне агрегации и ядра.

❯ Маршрутизация на Access и Distribution: в чем разница?

❯ Маршрутизация на Distribution

Сеть, которую мы рассмотрели выше, является «классической» и называется трехуровневой сетью с маршрутизацией на уровне агрегации.

Такая сеть имеет как плюсы, так и минусы.

Преимущества:

  • возможность построения end-to-end VLANs (сквозных VLAN). В этой модели VLAN расположены по всей организации, независимо от того, где физически находятся конечные устройства;

  • единые политика безопасности и качество обслуживания (QoS) применяются к одним и тем же пользователям независимо от их физического местоположения;

  • возможность использовать недорогие коммутаторы L2/L2+ без поддержки маршрутизации.

    Недостатки:

  • широковещательные (broadcast) сообщения распространяются на все коммутаторы;

  • необходимость использовать spanning-tree, так как в L2-сети возникают «лишние» подключения (петля), которые могут привести к широковещательному шторму;

  • усложненный поиск неисправностей (troubleshooting) в сети;

  • коммутаторы агрегации (Distribution) должны знать про все VLAN. Если в вашей сети используются большое количество VLAN, то каждый VLAN нужно будет настроить на каждом коммутаторе агрегации;

  • ограничения по масштабируемости.

Маршрутизация на Distribution

Маршрутизация на Distribution

❯ Альтернативой для данной схемы (Distribution) является маршрутизация на уровне доступа (Access) или в терминологии Cisco это «Routed Campus Architecture».

Преимущества:

  • отсутствует необходимость использовать spanning-tree, так как «лишних» подключений (петли) в данный сети нет. При маршрутизации пакет идет по строгому маршруту, а не бесконечно перемещается;

  • облегченный поиск неисправностей (troubleshooting);

  • нет необходимости создавать VLAN-ы на коммутаторах агрегации (Distribution);

  • широковещательные (broadcast) сообщения распространяются только в пределах одного коммутатора доступа (Access).

Недостатки:

  • только локальные VLAN-ы. VLAN №2 на одном коммутаторе не является VLAN №2 на другом коммутаторе, это два разных влана с одним номером;

  • пользователи принадлежат к одному широковещательному домену, когда подключены к одному коммутатору доступа (Access);

  • необходимо использовать коммутаторы L3, с поддержкой маршрутизации, которые дороже L2/L2+;

  • одинаковые политики безопасности и QoS не применимы к одинаковым пользователям, подключенным к разным коммутаторам доступа (Access).

маршрутизация на Access

маршрутизация на Access

❯ Как выбрать между маршрутизацией на Distribution и Access?

Выбор архитектуры зависит от масштаба сети, бюджета, требований к безопасности и гибкости.

Маршрутизация на уровне агрегации (Distribution) подходит для:

  • средние и крупные корпоративные сети, где требуется единое управление политиками безопасности и QoS;

  • сети с мобильными пользователями, которым нужны сквозные VLAN (например, сотрудники, перемещающиеся между этажами или зданиями);

  • бюджетные решения, где используются недорогие L2/L2+ коммутаторы на уровне доступа.

Маршрутизация на уровне доступа (Access) подходит для:

  • современных сетей, где важна масштабируемость и отказоустойчивость;

  • сетей с высоким трафиком между подсетями — минимизация широковещательного шторма;

  • проектов, где не требуется сквозная VLAN (например, филиалы с локальными сервисами).

Гибридные решения подходит для:

  • используйте L3 на Access для критичных сегментов (например, серверные фермы), а L2 на Aggregation — для пользовательских VLAN.

❯ Что если в нашу сеть необходимо внедрить сервер корпоративной почты, сервер DHCP или DNS?

Если в корпоративную сеть необходимо внедрить сервер корпоративной почты, а также серверы DHCP или DNS, важно тщательно продумать их размещение для обеспечения оптимальной производительности и безопасности.

❯ Демилитаризованная сеть

Вариант 1. Плоская сеть
Суть: все устройства (серверы и ПК) находятся в одной сети без разделения на зоны.

Плюсы:
- простота настройки и управления;
- низкие затраты на инфраструктуру.

Минусы:
- нулевая безопасность: взлом одного устройства ставит под угрозу всю сеть;
- широковещательный трафик замедляет работу;
- невозможно изолировать критичные сервисы.

Где использовать:
- маленькие домашние сети;
- тестовые среды, где безопасность не важна.

Плоская сеть

Плоская сеть

Вариант 2. DMZ
Суть: публичные сервисы вынесены в отдельную демилитаризованную зону (DMZ), отделенную от внутренней сети межсетевым экраном (Firewall).

❯ Что такое DMZ?

DMZ (Demilitarized Zone, демилитаризованная зона) — это изолированный сегмент сети, где размещаются публичные сервисы, доступные из интернета (веб-серверы, почтовые сервисы). DMZ отделена от внутренней сети (LAN) и служит «буфером» между интернетом и критически важными ресурсами.

Пример:

  • веб-сервер компании, доступный по адресу company.com, находится в DMZ;

  • база данных с клиентской информацией хранится во внутренней сети, недоступной напрямую из интернета.

❯ Что такое межсетевой экран?

Межсетевой экран (Firewall — «противопожарная стена») — это система безопасности, которая контролирует и фильтрует сетевой трафик между разными зонами сети (например, между интернетом и локальной сетью). Его основная задача — блокировать несанкционированный доступ, атаки и утечки данных, пропуская только разрешенный трафик.

❯ Как работает межсетевой экран?

  1. Фильтрация трафика: МСЭ анализирует входящие и исходящие данные на основе заданных правил. Например:
    - разрешить доступ к веб-сайтам через порт 80 (HTTP) и 443 (HTTPS);
    - заблокировать подключения из подозрительных IP-адресов.

  2. Методы фильтрации:
    - по IP-адресам и портам: блокирует трафик от определенных источников или на конкретные порты;
    - по протоколам: разрешает или запрещает использование протоколов (TCP, UDP, ICMP);
    - Stateful-проверка: отслеживает состояние сессий TCP (например, подтверждает, что входящий пакет — ответ на исходящий запрос, в рамкой одной сессии).

  3. Типы МСЭ:
    - аппаратные: отдельные устройства (например, маршрутизаторы с функциями безопасности). Подходят для защиты корпоративных сетей;
    - программные: приложения на компьютере или сервере (например, Windows Defender Firewall). Используются для персональной защиты;
    - облачные: сервисы вроде AWS WAF, защищающие веб-приложения от DDoS-атак.

Какой бы вы не выбрали межсетевой экран, он защищает вашу сеть или сегмент сети от несанкционированного доступа.

Плюсы:
- защита внутренней сети: даже при взломе DMZ злоумышленник не получит доступ к LAN;
- контроль трафика: МСЭ фильтрует запросы к серверам (контроллеры доменов, SQL и т.д.).

Минусы:
- усложнение настройки;
- риск ошибок в правилах межсетевого экрана.

DMZ

DMZ

Вариант 3. Разделение сервисов на Front-End и Back-End

❯ Что такое Front-End и Back-End

Front-End (клиентская часть):
- интерфейс, с которым взаимодействуют пользователи (веб-сайт, мобильное приложение);
- обрабатывает запросы, отображает данные, но не хранит их;
- пример: веб-страница интернет-магазина.

Back-End (серверная часть):
- обеспечивает логику приложения, хранение и обработку данных;
- работает с базами данных, аутентификацией, API;
- пример: сервер, который проверяет пароль пользователя и возвращает данные из Базы данных.

Плюсы:
- максимальная безопасность: Back-End недоступен извне;
- масштабируемость: можно отдельно наращивать мощности Front-End и Back-End.

Минусы:
- высокие затраты на инфраструктуру;
- сложность синхронизации между компонентами.

Front-End и Back-End

Front-End и Back-End

Для построения обычных корпоративных сетей часто используют «классическую» трехуровневую модель сети. Ее преимущество заключается в том, что она достаточно проста в реализации. Однако у такой модели есть существенный недостаток.

Если требуется предоставить доступ к вашим серверам из интернета, где тысячи пользователей подключаются к вашим веб-ресурсам, то «классической» трехуровневой модели будет недостаточно.

На помощь приходит ЦОД.

❯ Что такое ЦОД?

ЦОД (Центр Обработки Данных) — это специализированное сооружение, где размещаются серверы, сетевое оборудование и системы хранения данных.

Он обеспечивает:

  • надежность: резервное питание, охлаждение, защиту от физических угроз (пожары, потопы);

  • высокую производительность: мощные серверы для обработки больших объемов данных;

  • безопасность: контроль доступа, защита от кибератак.

Примеры компаний, которым нужен ЦОД:

  • облачные провайдеры (AWS, облачные серверы);

  • финансовые учреждения (банки, биржи);

  • IT-гиганты (Google, Microsoft);

  • стартапы в области Big Data или машинного обучения.

❯ А если моя компания маленькая?

❯ Когда вашей компании может понадобиться собственный ЦОД?

  1. Вы растете:
    - если ваша компания начала работать с большими данными или AI, аренда мощностей в ЦОДе дешевле, чем покупка собственных серверов;

  2. Требуется высокая доступность:
    - например, интернет-магазин с миллионом пользователей не может позволить себе простои.

  3. Безопасность:
    - если вы храните персональные данные клиентов (например, медицинские записи или данные карт), ЦОД обеспечит физическую и сетевую защиту.

❯ Но если мы не хотим пользоваться арендой серверов в ЦОДах, а хотим построить свою похожую сеть?

Тут приходит на помощь сетевые методы построения сети Fat-Trees и Clos.

❯ Fat-Trees и сети Clos: основа ЦОДов и корпоративных сетей

Топология Clos: «Лего» для сетей.

Структура:

- уровни: Leaf (листья) → Spine (спайны) → Border Leaf (пограничные устройства);
- принцип: каждый leaf-коммутатор соединяется со всеми spine-коммутаторами своего уровня.

Clos

Clos

Как это работает:
- сервер отправляет трафик через leaf → spine → другой leaf → целевой сервер;
- если один spine (или линк от spine) выходит из строя, трафик автоматически перенаправляется через оставшиеся.

Перестроение Clos при обрыве

Перестроение Clos при обрыве

Преимущества:

  • масштабируемость: легкое добавление новых узлов и spine-уровней, которое увеличивает пропускную способность;

  • отказоустойчивость: нет единой точки отказа;

  • равномерная нагрузка: трафик распределяется через все доступные пути (в сетях Clos для этого используют ECMP).

Ранее мы рассмотрели трехуровневую сеть Clos, однако её можно масштабировать и до пятиуровневой.

❯ Многоуровневая сеть Clos.

Структура: POD подключены к своей паре Super-Spine

Уровни: Leaf (листья) → Spine (спайны) → Super-Spine (супер-спайны) → Border Leaf (пограничные устройства).

Принцип работы следующий: каждая пара leaf-коммутаторов, которая соединена с парой Spine, образует группу устройств, называемые POD-ами (Point Of Delivery). Затем каждый POD соединяется с парой Super-Spine. В свою очередь, каждый Super-Spine соединен с Border Leaf.

Каждый POD соединен только с выделенной парой Super-Spine

Каждый POD соединен только с выделенной парой Super-Spine

Плюсы:

простота управления:
- локальные правила маршрутизации для каждой пары Super-Spine;
- легче диагностировать проблемы (изоляция трафика).
изоляция отказов:
- если Super-Spine выходит из строя, затрагивается только «его» POD;
меньше кабелей:
- требуется меньше соединений между коммутаторами.

Минусы:

ограниченная масштабируемость:
- добавление новых POD требует развертывания новых пар Super-Spine.
неравномерная нагрузка:
- сли трафик между POD-ами растет, выделенные Super-Spine могут стать «узким горлышком» для трафика.
риск избыточности:
- резервные Super-Spine могут простаивать, если нагрузка распределена неравномерно.

Где используются:

- небольшие ЦОД с фиксированным количеством POD;
- сети, где критична простота и предсказуемость.

Структура: POD поключены ко всем Super-Spine

Уровни: Leaf (листья) → Spine (спайны) → Super-Spine (супер-спайны) → Border Leaf (пограничные устройства).

Принцип работы следующий: каждая пара leaf-коммутаторов, которая соединена с парой Spine, образует POD (Point Of Delivery). Затем каждый POD соединяется со всеми Super-Spine. В свою очередь, каждый Super-Spine соединен с Border Leaf.

Каждый POD соединен со всеми Super-Spine

Каждый POD соединен со всеми Super-Spine

Плюсы:

высокая отказоустойчивость:
- при выходе из строя любого Super-Spine трафик автоматически перераспределяется.
лучшая балансировка нагрузки:
- ECMP использует все пути, минимизируя задержки.
масштабируемость:
- новые POD можно добавлять без изменения существующей инфраструктуры Super-Spine.

Минусы:

сложность конфигурации:
- требуется настройка BGP/OSPF для работы со множеством путей.
высокие затраты:
- большое количество кабелей и портов на Super-Spine.
риск перегрузки управления:
- таблицы маршрутизации могут стать слишком большими (например, при 1000 POD).

Где используются:

- крупные гипермасштабные ЦОД (Google, Яндекс и подобные);
- сети с динамически растущей нагрузкой.

❯ Fat-Trees (толстое дерево) как особый случай сети Clos: максимум пропускной способности

Структура напоминает перевернутое дерево с «толстыми» стволами (отсюда название Fat-Tree).

Fat-Tree появилась как ответ на запросы индустрии, где производительность, нулевая блокировка и минимальная задержка важнее экономии ресурсов. В то время как Clos остается стандартом общего назначения, Fat-Tree доминирует в нишевых высоконагруженных сферах.

Зачастую в Fat-Trees используется удвоение пропускной способности (или числа связей) на каждом уровне. Чтобы передать сообщение c одного узла на другой, нужно использовать коммутаторы различных уровней.

Принцип:

• обеспечивает минимальную задержку за счет множества параллельных путей.

Преимущества:

высокая пропускная способность: нет «узких мест»;
идеально для HPC (High Performance Computing): подходит для задач, требующих синхронных вычислений.

Недостатки:

высокая стоимость: большое количество кабелей и портов;
сложность масштабирования: добавление новых устройств требует перестройки всей структуры.

Где используется:

- суперкомпьютеры (например, Summit в Oak Ridge National Laboratory);
- кластеры для машинного обучения.

Два вида Fat-Trees

Два вида Fat-Trees

Сравнение Clos и Fat-Trees

Clos

Fat-Trees

Масштабируемость

Легко масштабируется добавлением spine-уровней

Сложно масштабировать из-за избыточных соединений

Стоимость

Экономичнее (меньше кабелей)

Дороже (много кабелей и портов)

Задержка

Стабильная, но выше, чем у Fat-Trees

Минимальная за счет параллельных путей

Использование

ЦОД, облачные сети

HPC, суперкомпьютеры

❯ Почему Clos доминирует в ЦОДах?

  1. Гибкость: можно начать с малого и наращивать инфраструктуру постепенно.

  2. Простота управления: стандартные протоколы (BGP, OSPF) работают «из коробки».

  3. Экономия: оптические линки 100G дешевле, чем прокладка тысяч кабелей для Fat-Trees.

Когда что выбирать?

выберите Clos, если:
- нужна масштабируемая и экономичная сеть для облака или веб-сервисов;
- важна простота управления (например, для стартапов).
выберите Fat-Trees, если:
- требуется максимальная производительность для научных вычислений;
- бюджет позволяет покрыть высокие затраты на инфраструктуру.

При построении сети важно учитывать все преимущества и недостатки каждой модели. Рекомендуется использовать гибридные решения, сочетающие в себе элементы «классической» трехуровневой модели и топологии Clos для доступа к серверам. Также не стоит забывать о выделенной демилитаризованной зоне (DMZ) для повышения безопасности сети.

❯ Что такое LAN, WAN, MAN?

Все, что мы рассматривали ранее, включая предыдущие статьи, относится к локальной вычислительной сети (LAN — Local area network).

LAN может быть организована как в пределах вашей квартиры с роутером и подключенными устройствами, такими как ноутбук, телефон, телевизор и умная колонка, так и в виде крупного центра обработки данных (ЦОД) с пограничным маршрутизатором (Edge Router). Но обычно под LAN все-таки понимается локальные сети предприятий или офисов.

Пограничный маршрутизатор (или межсетевой экран) подключает локальную сеть к глобальной сети WAN (Wide Area Network). WAN – сеть, соединяющая устройства и множества локальных сетей на больших расстояниях между городами, странами и континентами

Так же есть подвид локальных сетей – MAN (Metropolitan Area Network). MAN – сеть охватывающая территорию города или крупного района.
Данный вид сети занимает промежуточное положение между WAN и LAN.

Примеры использования:

  • сеть городского провайдера, предоставляющая интернет жилым домам;

  • транспортная система с камерами и датчиками по всему городу;

  • умный город: управление светофорами, общественным транспортом.

❯ Получается интернет это просто сеть, где мы, подключая домашний роутер к кабелю провайдера, попадаем сразу в эту большую локальную сеть?

Не совсем так.

Интернет на самом деле это не единая сеть, а миллионы автономных систем (AS), управляемых разными провайдерами, компаниями и странами. Чтобы трафик доходил от вашего смартфона до серверов YouTube, эти системы должны «договориться», по какому пути передавать данные. Здесь на сцену выходит BGP (Border Gateway Protocol) — главный «работяга» интернета.

❯ Как BGP связывает мир?

  1. Автономные системы (AS)
    Каждый провайдер, хостинг или корпорация имеет свою AS (Autonomous System) — как паспорт сети. У AS есть уникальный номер (например, AS15169 — Google).
    А как присваиваются AS?
    Публичные AS выдаются регулятором, таким как региональный интернет регистратор RIR.
    Частные AS используются для внутренних нужд, в пределах одной сети (например для iBGP)
    Для частных AS используют диапазон 64512-65534. Но для изолированных, не связанным с интернетом, сетей можно использовать любые. Но для локальных сетей предпочтение уходит к использованию ospf.

  2. BGP-сессии
    Провайдеры устанавливают «сессии доверия» (BGP peers) между своими AS. Через них они обмениваются маршрутами: «Эй, я знаю путь до сети 192.168.1.0/24!».

  3. Выбор лучшего пути
    BGP выбирает маршрут по критериям:
    — короткий путь (минимальное число AS на пути);
    — надежность провайдера (префикс «верифицирован»);
    — политики (например, «не пускать трафик через страну Р…»).

❯ Почему это опасно?

BGP работает на доверии: если провайдер скажет «Я владею сетью 8.8.8.0/24» (хотя 8.8.8.8 это DNS Google), другие могут ему поверить. Так происходят угон префиксов:

  • 2018 год: злоумышленники перенаправили трафик Amazon через свою сеть, чтобы украсть криптовалюту.

  • 2021 год: сбой в BGP-настройках Facebook «отключил» его серверы на 6 часов. Об этом сбое я писал в посте в телеграм.

Пример работы AS

Пример работы AS

Каждая автономная система (AS) отвечает не только за управление своими сетями, но и выполняет роль транзитного узла для передачи данных между конечными клиентами, операторами связи и ресурсами, к которым они подключаются.

Например, когда вы пользуетесь YouTube на своём телефоне, данные проходят через несколько транзитных AS от вашего оператора связи (например, «Билайн», «Мегафон» и т. п.) до AS видеохостинга. Однако, если вы подключаетесь к тому же YouTube со своего стационарного компьютера, данные проходят через другие транзитные AS, принадлежащие вашему городскому провайдеру связи (например, «Ростелеком», «ТТК» и т. п.).

Таким образом, даже находясь в одной и той же квартире, трафик может проходить по разным путям для подключения к одному и тому же ресурсу.

Пример подключения из одной точки к разным сетям

Пример подключения из одной точки к разным сетям

❯ Как выглядит сеть у крупных автономных систем (AS)?

Все достаточно просто. Если речь идет о городском или региональном операторе, который доставляет трафик транзитом к вышестоящим операторам или крупным серверам, то такие сети строятся по «классической» трехуровневой системе, о которой мы говорили выше, но немного доработанной.

Если у таких операторов есть собственные серверы, то их объединяют с ядром сети. Это позволяет обеспечить эффективное взаимодействие между различными компонентами сети и улучшить качество предоставляемых услуг.

Сеть оператора связи

Сеть оператора связи

Если автономная сеть предоставляет доступ исключительно к своим серверам, в ее топологии применяются сети Clos или Fat-Trees, в зависимости от потребностей. Крупные компании уже переходят на более современные топологии, такие как Dragonfly, для сетей дата-центров.

❯ Иерархия операторов связи в интернете

  • Уровни иерархии провайдеров (ISP Tier 1, 2, 3)
    Tier 1 (Глобальные магистральные провайдеры):
    • это крупнейшие провайдеры, которые образуют основу глобальной инфраструктуры интернета;
    • имеют прямые связи между собой (peer-to-peer), что позволяет обмениваться трафиком без необходимости платить за него другим провайдерам;
    примеры: Lumen (бывший Level 3), AT&T, NTT Communications;
    • используют высокоскоростные магистрали (400+ Гбит/с) и обеспечивают доступ к интернету для Tier 2.

    Tier 2 (Региональные провайдеры):
    • не имеют прямого доступа ко всему глобальному интернету и покупают транзит у Tier 1 провайдеров;
    • часто заключают peering-соглашения с другими Tier 2, чтобы минимизировать расходы на транзитный трафик;
    примеры: провайдеры, обслуживающие отдельные страны или крупные регионы (Ростелеком, Cogent).

    Tier 3 (Локальные или розничные провайдеры):
    • предоставляют услуги конечным пользователям: физическим лицам и организациям;
    • покупают интернет-транзит у Tier 2 или Tier 1 провайдеров;
    • задача — доставка трафика до конечных точек через локальные сети.

Иерархия операторов

Иерархия операторов
  • Точки обмена интернет-трафиком (IXP):
    • Internet Exchange Points (IXP) — инфраструктурные площадки, где интернет-провайдеры и крупные компании обмениваются трафиком;
    • уменьшают задержки, оптимизируют маршруты и снижают расходы на передачу данных через магистральные сети.

    Основные компоненты:
    - коммутаторы (высокопроизводительные, обычно уровней 2 и 3);
    - роутеры участников IXP.

    Примеры крупных IXP:
    - DE-CIX (Германия) — крупнейший в мире по трафику;
    - MSK-IX (Россия).

IXP

IXP
  • Пиринг и транзит
    Пиринг (Peering):
    • это взаимное соглашение между двумя сетями об обмене трафиком напрямую, без оплаты;
    • бывает двух типов:
    - публичный пиринг. Через точки обмена трафиком (IXP);
    - приватный пиринг. Через прямое соединение (например, линк между двумя дата-центрами).

    Транзит:
    • это услуга, при которой одна сеть платит другой за доступ к интернету;
    пример: локальный провайдер Tier 3 платит Tier 2 за подключение к магистральным маршрутам.

  • Магистральные сети (Backbone):
    Backbone — высокоскоростные магистрали, соединяющие крупные узлы сети.
    Используют:
    - оптоволоконные линии связи (DWDM, 400G и выше);
    - подводные кабели (Submarine cables);
    - междугородние и международные соединения.
    магистрали обеспечивают устойчивость интернета: если одна линия выходит из строя, трафик перенаправляется по другим маршрутам.

https://ru.wikipedia.org/wiki/Опорные_сети_Интернета

  • Контракты и коммерческие модели
    Соглашения о пиринге:
    • обычно бесплатные, если объемы трафика примерно равны;
    • если дисбаланс велик, может вводиться финансовая компенсация.

    Транзитные соглашения:
    • стоимость зависит от объема пропускной способности (обычно измеряется в Гбит/с).

  • Оборудование
    Магистральные маршрутизаторы:
    примеры: Cisco ASR, Juniper MX, Huawei NE;
    • поддерживают многотерабитные потоки трафика и сложные протоколы маршрутизации (BGP, MPLS).

    Коммутаторы
    • обеспечивают передачу данных на уровне 2 OSI;
    примеры: коммутаторы Arista, Cisco Nexus.

    Трансиверы
    • используются для подключения оптоволоконных линий: QSFP;
    • поддерживают скорости до 400 Гбит/с и выше.

    Подводные кабели
    • важная часть инфраструктуры. Пример: кабель MAREA между США и Европой (160 Тбит/с).

Тема логической структуры интернета настолько обширна, что включает в себя множество других аспектов: начиная от маршрутизации и QoS, заканчивая кибербезопасностью.

❯ Иерархия всему голова

Ранние сети, такие как ARPANET, не имели разделения на LAN (локальные сети) и WAN (глобальные сети). В них устройства IMP (Interface Message Processor) выполняли функции маршрутизаторов, но с логикой, больше напоминающей работу брокеров очередей: они занимались фрагментацией и сборкой пакетов, подтверждением доставки и гарантией очередности.

С появлением коммерческих организаций интернет пришел на смену некоммерческой сети ARPANET и начал активно развиваться. Появились технологии Ethernet и другие LAN-технологии, которые заменили устаревшие протоколы передачи данных. Коммутаторы пришли на смену IMP, а IP-адреса стали неотъемлемой частью новой глобальной сети.

❯ Встал вопрос, а как регулировать этот ваш интернет?

Вершину пирамиды занимает ICANN — Корпорация по управлению доменными именами и IP-адресами.

Далее INNA взяла на себя функцию администрации адресного пространства интернета.

Региональные регистраторы (RIR) стали выдавать номера автономных систем (AS) коммерческим организациям.

Локальные регистраторы (LIR) получают блоки адресов от RIPE NCC (одного из пяти региональных интернет-регистраторов) и присваивают IP-адреса своим клиентам.

Провайдеры меньшего масштаба занимаются подключением компаний и конечных клиентов к глобальной сети интернет.

А мы с вами занимаем самую нижнюю, но при этом очень важную роль. Мы с вами являемся потребителями информации и готовы платить за доступ к ней.

Пирамида управления сети

Пирамида управления сети

❯ Как работает интернет? Краткий итог

Интернет — это глобальная сеть сетей, где данные передаются через иерархию устройств, операторов и протоколов. Вот ключевые этапы:

  1. Локальные сети (LAN):
    - ваш компьютер, телефон или ноутбук подключаются к роутеру или коммутатору уровня доступа (Access Layer). Здесь используются VLAN, access/trunk-порты для сегментации трафика.

  2. Агрегация и маршрутизация:
    - трафик из локальных сетей поступает на уровень агрегации (Distribution Layer), где L3-коммутаторы маршрутизируют его между подсетями. Здесь же применяются политики безопасности (ACL, QoS).

  3. Глобальная передача (WAN/MAN):
    - данные покидают локальную сеть через пограничный маршрутизатор и попадают в сеть оператора (Tier-3). Далее они передаются через городские (MAN) и глобальные (WAN) каналы, часто с использованием высокоскоростных кабелей.

  4. Роль операторов (Tier-1, Tier-2, Tier-3):
    - Tier-3 провайдеры соединяют пользователей с Tier-2, которые, в свою очередь, покупают транзит у магистральных Tier-1 операторов (например, Lumen, Cogent). o BGP обеспечивает маршрутизацию между автономными системами (AS), выбирая оптимальные пути.

  5. ЦОДы и масштабирование:
    - крупные сервисы (Google, Netflix) хранят данные в ЦОДах, построенных на топологиях Clos или Fat-Trees. Эти архитектуры гарантируют отказоустойчивость и высокую пропускную способность. o Для защиты критичных ресурсов используется DMZ, изолирующая публичные сервисы (веб-серверы) от внутренней сети.

  6. Безопасность
    - межсетевые экраны фильтруют трафик на границах сетей, а Private VLANs и сегментация ограничивают риски взломов.

Таким образом, интернет работает как многоуровневая экосистема, где каждая часть — от кабеля в вашей квартире до подводных магистралей — играет роль в доставке данных. Это сочетание локальной инфраструктуры, глобальных операторов и умных протоколов вроде BGP. Понимание этих основ помогает не только проектировать отказоустойчивые сети, но и осознанно подходить к безопасности и масштабированию.

В последней статье этого цикла, мы с вами поговорим о будущем сетей. Почему IPv6 придумали в 1992 году, стали внедрять в 2011, но к 2025 году мы так и не перешли до конца на этот замечательный протокол. А также немного затронем SDN и Overlay сети.

Перейти ↩

Перед оплатой в разделе «Бонусы и промокоды» в панели управления активируйте промокод и получите кэшбэк на баланс.

Для тех кто прочитал до конца

Немного важной информации

Коллеги, добрый день! Я создал Telegram-канал от сетевика для сетевиков.
Если ты сетевой инженер, системный администратор, разработчик, студент или просто увлекаешься сетями — тебе сюда.

Что тебя ждет?

  • Разборы глобальных сбоев и неожиданных сетевых проблем.

  • Мини-статьи с полезными фишками и объяснением сложных тем простым языком.

  • Истории из жизни сетевиков — в том числе от подписчиков.

Ссылка на канал: https://t.me/ProstoKirReal

Автор: ProstoKirReal

Источник

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js