CCNA v7.0 - Роли и функции сетевых компонентов

    Не знаю, почему этот раздел выделен в качестве чего-то сверх нового, но тем не менее: во всех сравнениях старой и новой версии экзамена CCNA присутствует указание на то, что данный вопрос теперь задают особо пристрастно. На мой взгляд, данная теория совсем начального уровня, поэтому много внимания заострять на этом не буду и постараюсь дать краткую теоретическую выжимку на уровне шпаргалки для подготовки к экзамену.

    Итак, все сетевые компоненты делятся на две большие части: конечные устройства и промежуточные устройства.

    Конечные устройства (endpoints, иногда также оконечные устройства) - это пользовательские устройства, которые генерируют трафик, передаваемый по сети. Сюда относятся пользовательские ПК, ноутбуки, планшеты, сотовые телефоны, различные сетевые телевизоры, игровые приставки и даже чайники, которые подключаются к беспроводной сети. Все, что подключается к сети и выполняет любые функции, отличные от функций промежуточных устройств - это конечные устройства. Как ни странно, но с точки зрения сети, сервер - это тоже конечное устройство, т.к. он может генерировать полезный трафик, не передает данные куда-либо далее, и в целом - большой компьютер. 

    Промежуточные устройства (intermediate devices) - это служебные устройства, которые НЕ генерируют полезный трафик. Назначение промежуточных устройств - передавать пользовательский трафик из точки А в точку Б. Всё. Иногда промежуточное устройство может выполнять какие-либо манипуляции с пользовательским трафиком, например, осуществлять фильтрацию или шифровать. Но основное то, что такое устройство работает с пользовательским трафиком и само по себе не генерирует полезного трафика (служебный не в счет).

    Основные виды конечных устройств:

• ПК и ноутбуки - с ними, я думаю, все понятно;
• Беспроводные устройства - планшеты, смартфоны - тут тоже особо ничего не скажешь;
• Серверы - устройства, несущие на себе некий сервис, который предоставляется по запросу пользователя. Грубо говоря, сервер - это некое устройство, имеющее на борту запущенный процесс, который ждет специальных запросов, чтобы дать на них ответ. Немного абстрактно и обще, но сути не меняет. Например, веб-сервер - на нем запущено некий сервис и приложение, которое отдает пользователю веб-страницу, если пользователь отправит на порт 80 специально сформированный запрос по протоколу HTTP.
• IP телефоны - цифровые телефоны, которые позволяют общаться голосом в реальном времени через сети IP.
• IoT устройства - все, что имеется на рынке с приставкой smart. От утюгов до датчиков дыма и т.д.

    Основные виды промежуточных устройств, встречающихся в современной сети:

• Маршрутизатор (router, роутер) - устройство, которое маршрутизирует трафик между логическими подсетями. Маршрутизатор работает на уровне 3 модели OSI. Маршрутизатор оперирует L3-адресами, т.е. IP-адресами. На основании адресов он принимает решение о том, куда направить пакет. Важно(!!!): если в таблице маршрутизации нет записи о маршруте для данной сети, и нет маршрута по умолчанию, пакет будет отброшен! Типовой маршрутизатор имеет от 1 до бесконечности портов, но обычно до 3-4х. Каждый порт маршрутизатора должен находиться в своей логической подсети. Маршрутизатор - это не коммутатор! Маршрутизатор и роутер - это одно и то же!!!
• Коммутатор (switch, свитч) - устройство, которое коммутирует пользователей, т.е. позволяет им подключиться к общей сети. Коммутатор работает на уровне 2 модели OSI. Коммутатор оперирует MAC-адресами для принятия решения о том, куда отправить кадры. Перед тем, как начать отправку, коммутатор выполняет изучение сети, заполняя таблицу коммутации или таблицу MAC-адресов, что одно и то же. Коммутатор обычно представляет собой устройство с большим количеством портов - от 8 и до 48. Также есть специальные модульные коммутаторы, которые могут дополняться линейными картами и иметь до 480 портов и выше. Кроме того, коммутаторы бывают фиксированными - т.е. с фиксированным количеством портов без возможности расширения, выполненные в виде самостоятельных устройств, и стекируемыми - коммутаторы, которые могут соединяться друг с другом через специализированные модули, после чего использоваться и управляться как единое устройство с едиными настройками. Коммутатор - это не маршрутизатор! Коммутатор - это не хаб!! Коммутатор и свитч - это название одного и того же устройства!!!
• Коммутатор L3 - это коммутатор, программное обеспечение которого позволяет запустить на нем также процессы маршрутизации. При этом его порты в том числе могут быть маршрутизируемыми, т.е. на них можно назначить IP-адрес, тем самым сделав их портами L3. Коммутаторы L3 используются в комбинированных топологиях, когда сетей очень много, и необходимо обеспечить их маршрутизацию и высокоскоростную коммутацию.
• Точка беспроводного доступа (wireless access point, WAP) - устройство, имеющее проводной и беспроводной интерфейс, которое позволяет пользователю подключиться к общей сети посредством беспроводной связи. Точки доступа бывают самостоятельные (standalone) и управляемые контроллером (lightweight). Разница в том, что самостоятельные точки доступа настраиваются каждая в отдельности, независимо друг от друга. Управляемые контроллером имеют на борту очень урезанную функциональную операционную систему, которая нужна только для того, чтобы загрузить с контроллера конфигурацию. Все управление и настройка управляемых точек доступа осуществляется через специальное устройство - контроллер беспроводного доступа.
• Контроллер беспроводного доступа (Wireless LAN Controller, WLC) - устройство, позволяющее осуществлять настройку точек доступа, управляемых контроллером. Представляет собой централизованное управляющее устройство, на котором выполняются настройки беспроводной связи и иных параметров, которые потом загружаются на точки доступа для предоставления услуг беспроводной связи. 
• Cisco DNA Center - это действительно новая сущность, которой не было в предыдущей версии экзамена. Это специализированная централизованная платформа для управления и настройки, а также для мониторинга и автоматизации различных операций всех устройств Cisco, поддерживающих технологии DNA. Содержит в себе множество гибких инструментов для настройки и управления почти всем спектром модельных рядов Cisco, а также оборудования сторонних производителей.
• Межсетевой экран (firewall, файерволл) - это устройство, осуществляющее защиту сети от атак при помощи фильтрации трафика на уровне L2-L4, т.е. по МАС-адресам, IP-адресам и портам.
• Next-Generation Firewall (NGFW, межсетевой экран нового поколения) - то же самое, что и предыдущее устройство, но здесь фильтрация в том числе осуществляется на прикладном уровне - можно отфильтровать только комментарии к ютуб-роликам, например, или проанализировать трафик на предмет наличия вредоносных вложений, вирусов и т.д. Включает в себя различные модули для защиты от современных угроз. Но также осуществляет и фильтрацию на уровнях L2-L4, как обычные пакетные фильтры.
• Система предотвращения вторжений (IPS, Intrusion Prevention System) - устройства, которые осуществляют фильтрацию проходящего трафика на основании сигнатур - некоторых определенных признаков, характерных для осуществления атак. Содержит в себе базу сигнатур, и проверяет весь трафик, проходящий через него. Способно блокировать трафик, который посчитает вредоносным при сравнении с сигнатурами.

    Некоторые дополнительные устройства, которые отсутствуют в темах экзамена, но остались в истории:

• Повторитель (repeater) - устройство, которое работает на уровне L1 модели OSI, имеет 2 порта и предназначено для того, чтобы преодолеть ограничение Ethernet на распространение в среде длиной не более 100 метров. Позволяет срастить сегменты сети, при этом осуществляет регенерацию сигнала. Устарело и не используется.
• Концентратор (hub, хаб) - это устройство, состоящее из нескольких повторителей. Позволяло соединять больше двух сегментов. Не используется. Напоминаю, коммутатор - не хаб!!!
• Мост (bridge, бридж) - сетевое устройство, работающее на уровне L2 модели OSI, имеет 2 порта, и какую-никакую табличку коммутации. Умеет оперировать MAC-адресами. Позволяет не только соединить 2 сетевых сегмента, но и разбить домен коллизий на 2 части). Позже устройство из множества мостов стали называть коммутатором.
• Система обнаружения вторжений (IDS, Intrusion Detection System) - система, предшествовавшая IPS. Ставилась не в разрыв каналов связи, а рядом, после чего на него направлялся трафик, который анализировался с помощью сигнатур. IDS не может блокировать трафик, оно может только оповестить о наличие чего-то вредоносного или о протекании атаки в данный момент. Было вытеснено более активными системами - IPS.

    Пользуясь вышеизложенными терминами попробуем ответить на вопрос: к какому классy устройств принадлежит домашний маршрутизатор?

• Он имеет 2 маршрутизируемых порта - обычно это WAN и все остальное, помеченное как LAN. На WAN вешается внешний адрес, на LAN - внутренний.
• Он имеет встроенные 4 порта, которые не являются маршрутизируемыми, просто коммутируют пользователей. Т.е. встроенный коммутатор.
• Он имеет встроенную точку доступа, которая позволяет пользователям подключаться к сети по WiFi.
• Он имеет функции межсетевого экранирования - то самое, что часто называют пробросом портов - по факту - это открытие портов в списке контроля доступа. Иногда также имеются более широкие возможности фильтрации - антивирусная проверка трафика, категорирование и т.д.
• Наконец, все домашние маршрутизаторы имеют встроенные сервисы DHCP, DNS - минимум, т.к. маршрутизатор включает в себя еще и функции сервера служебных приложений. 

    Правильный ответ: домашний маршрутизатор - это комбинированное устройство для дома\малого офиса (Small Office\Home Office, SOHO).

    Связанные статьи: CCNA Enterprise v7.0 - Дополнительные главы для тех, кто проходил предыдущую версию