Глава 3. Планирование и анализ сетевой инфраструктуры

Получив должное представление о способах построения корпоративных сетей, можно сделать выбор в пользу конкретных способов реализации сети. Для начала рассмотрим прокладку сети в отделениях компании заказчика.

На физическом - канальном уровне был выбор: проводить сеть на основе кабеля CAT5e или установить несколько точек доступа Wi-Fi. Прокладка кабельной системы требует значительных затрат на материалы и на монтаж. Установка же нескольких точек доступа Wi-Fi занимает куда меньше времени и требует намного меньше дополнительных материалов, таких как лотки и короба. Основная часть стоимости сети при таком решении была бы стоимость точек доступа и стоимость адаптеров для установки на рабочие станции. Кроме того рабочие станции не были бы тогда жестко "привязаны" к сетевым розеткам.

Однако, надо учитывать, что помимо информационной сети необходимо проложить и телефонную сеть. Это полностью убирает из расчетов такое преимущество WiFi как отсутствие привязки сетевым розеткам: рабочие места все равно остаются привязанными к телефонным розеткам. Кроме того при проводке телефонных линий все равно придется монтировать короба и лотки, и никто не мешает нам использовать их же для прокладки сетевых линий. При рассмотрении с этой точки зрения стоимость сети на основе кабельной системы будет состоять только из стоимости кабеля, розеток, патч панелей и свитчей в серверной и стоимости монтажа. Кроме того данная схема имеет куда большую скорость передачи данных между узлами, чем схема с беспроводным соединением.

Другим немаловажным фактором повлиявшим на выбор является то, что сеть на основе WiFi не защищена от возможности неавторизованного физического доступа к сети. Да, можно установить требование авторизации на получение доступа к ресурсам сети. Но такую защиту можно взломать при наличии достаточных вычислительных мощностей и времени.

Основой является кабельная сеть на основе кабеля CAT5e (2 пары - телефон, 4 пары Ethernet 1000Мб/с), соединяющая рабочие компьютеры с серверной. В рабочих помещениях устанавливались спаренные розетки под стандарт RJ-45, на рабочее место использовались розетки 2х типов: 1 для монтажа на стену; 2 для монтажа в короб. В серверной кабеля монтируются на патч панели. Между помещениями кабель проходит под навесным потолком. Он уложен в металлические лотки, закрепленные на штырях в бетонных перекрытиях. В помещениях кабель укладывается в пластиковые короба, по которым он подходит к рабочему месту.

Основа сети состоит их простых элементов. По окончании монтажа схема не требует дополнительного обслуживания. В случае выхода из строя линии Ethernet возможно использование вместо него телефонной линии на скорости 100мб/с. При выходе из строя телефонной линии возможно использование вместо нее линии Ethernet. До тех пор пока не появится возможность устранить неполадку. Преимущество данного метода по сравнению с беспроводным соединением: минимизирована вероятность несанкционированного доступа к ресурсам сети через внутренние коммуникации сети: все линии, которые не используются на данный момент, отключены от общих ресурсов. Все линии связи офиса находятся в помещениях принадлежащих офису. Вероятность отказа таких соединений куда меньше, чем у аппаратуры обеспечивающей беспроводной доступ. Эти факты доказывают так же, что сеть, построенная на основе стандарта 802.3, в большей степени соответствует требованиям ГОСТ 17799, чем сеть на основе стандарта 802.11.

Вероятность выхода из строя элементов - минимальна. Самые уязвимые места - места подключения кабеля к разъему. В случае выхода разъема из строя ремонт проводится заменой разъема. Наиболее часто встречающаяся проблема - отход кабеля от контакта разъема. Это может произойти если при монтаже были совершены ошибки. Данная неисправность не требует замены элементов И легко устраняется на месте - достаточно повторно "обжать" кабель. Выход из строя кабеля при правильной эксплуатации сети практически невозможен: кабель заведен в металлический короб, что защищает его от помех и физического воздействия. Возможно повреждение кабеля уже в рабочем помещении при сильном физическом воздействии на короб. Устранение неисправности может потребовать замены кабеля.

В качестве основной топологии используется "Звезда" Преимущества топологии: Соединение всех линий в одной точке имеет свои преимущества - это упрощает управление сетью.

Кроме того, в основном офисе заказчик выделил место для установки активного оборудования только в серверной. Все остальные коммуникации спрятаны под потолком или в коробах. Это обстоятельство оказало наибольшее влияние на выбор топологии. С точки зрения упрощения процесса монтажа, логичней было использовать топологию "дерево": установить на 10м этаже Коммутатор и провести линию связи от него до серверной на 11м этаже. Тем более что на 10м этаже уже была проведена кабельная система ранее, предыдущим владельцем помещения. Топология сети была "Звезда", все линии связи сходились в комнате, где раньше стояла серверная стойка. Телефонные линии так же были проведены и сходились к той же точке. Варианты решения:

Вариант 1 - нарастить все провода и вывести их в серверную комнату на 11м этаже. Плюсы - физическое отключение/подключение сетевых и телефонных розеток можно производить из одной точки Минусы - необходимо нарастить и протянуть да серверной довольно большое количество линий связи.

Вариант 2 - установить коммутатор (свитч) на месте бывшей серверной стойки, соединить с серверной на 11м и подключить через него сетевые розетки. Телефонные линии нарастить до серверной на 11м и подключить непосредственно к АТС. Плюсы данной схемы - она достаточно легко реализуется: до серверной необходимо протянуть почти в 2 раза меньшее количество линий связи, чем в первом варианте. Минусы - если свитч закрепить под навесным потолком, то он станет слишком труднодоступным, и подключение/отключение розетки на 10м этаже, в случае если во время эксплуатации сети произойдут какие либо перестановки, становится довольно трудным делом.

В центре звезды расположено несколько соединенных коммутаторов. В случае выхода одного или нескольких те рабочие компьютеры, работа которых на данный момент наиболее приоритета могут быть подключены к оставшимся коммутаторам, что позволит продолжить их работу.

В качестве активного сетевого оборудования в "основном отделении" и отделении "типография" используются коммутаторы 3COM Baseline Plus Switch 2928. Почему был выбран именно коммутатор? Ну для начала мы строим внутреннюю сеть по стандарту 802.3 Какие варианты коммутационного оборудования мы можем использовать: коммутатор (свитч), концентратор (хаб), маршрутизатор (роутер), рабочая станция поддерживающая несколько сетевых подключений. Рассмотрим варианты немного подробнее. Последний вариант подошел бы объединить в сеть 2-3 компьютера в домашней сети. В случае корпоративной сети это бы значило заставить половину рабочих станций тратить вычислительные мощности на обработку трафика. Данный вариант не надежен, сложен в реализации и сложен в обслуживании. Концентратор имело бы смысл использовать для создания сети из 4-8 компьютеров. Почему? Концентраторы представляют собой единый домен коллизий в отличие от коммутаторов (там каждый порт отдельный домен коллизий). Но есть и более весомый аргумент: концентраторов поддерживающих скорость передачи данных в 1 гигабит в секунду нет, а если и есть, то достать их или хотя бы узнать об их существовании слишком сложно, для того чтобы использовать их в проекте сети. Современные маршрутизаторы имеют несколько портов, так что в принципе их можно настроить на работу в качестве оборудования канального уровня. Но целесообразно ли это? Обычно на маршрутизаторе есть несколько внутренних (LAN) интерфейсов и один или несколько внешних (WAN). LAN порты маршрутизатора объединяют компьютеры из одной подсети. На LAN портах маршрутизатора можно организовать сеть, но на одном маршрутизаторе обычно не бывает более 9 LAN портов, это во-первых. А во-вторых, реализованы они обычно на встроенном коммутаторе. То есть, по сути, придется использовать коммутатор, встроенный в маршрутизатор. Проще, надежней и дешевле использовать простой отдельный коммутатор.

Данный коммутатор поддерживает весь необходимый для работы функционал:

· пропускная способность портов 1 гигабит в секунду;

· возможность работы в стеке;

· поддержка IGMP;

· возможность установки в стойку;

· поддерживает портов: 24.

Предварительной настройки перед началом работы не требуется, все необходимые функции доступны по умолчанию.

Альтернативное оборудование с подобным функционалом: 3COM Baseline Plus Switch 2928 PWR, D-link DGS-3324SR, D-link DGS-3324SR, D-link DGS-3426. Данный конкретный коммутатор был выбран как самый недорогой из всех представленных.

В отделении "институт" было решено использовать коммутатор 3COM Switch 4200G 12-Port. В отделении институт планируется установка много меньшего числа компьютеров чем в "основном отделении" и отделении "типография"

· Поддержка работы в стеке;

· Возможность установки в стойку;

· Количество портов коммутатора 12 x Ethernet 10/100/1000 Мбит/сек.

Оборудование с аналогичным функционалом: ZyXEL GS-3012F EE, ZyXEL GS-3012 EE, ASUS GigaX 3112. Данный конкретный коммутатор был выбран как самый недорогой из всех представленных.

В коммутаторе возможны как аппаратные неисправности так и неисправности связанные с программным обеспечением ("прошивкой"). Неисправности связанные с программным обеспечением возможно устранить на месте установкой новой версии программного обеспечения. Обычно новую версию можно найти на официальном сайте производителя оборудования. Аппаратные неисправности устраняются в специализированных сервисных центрах специалистами. Пока коммутатор находится на гарантийном обслуживании, программные и аппаратные неисправности исправят в гарантийном сервисном центре.

В этой главе уже упоминалось то, что для обеспечения рабочих мест телефонной связью, будут прокладываться линии связи. Это подразумевает необходимость построения и настройки телефонной сети в каждом офисе. Для передачи голоса была выбрана именно стандартная аналоговая телефонная связь, без использования линий связи компьютерной сети для передачи информации. По сути, в каждом отделении строится отдельная сеть телефонной связи, состоящая из АТС и кабельной системы. Как уже говорилось, линии связи телефонной сети прокладываются радом с линиями связи Ethernet, и, в случае необходимости, можно использовать и те и другие, как для передачи Ethernet пакетов, так для работы телефонной связи. В качестве АТС в разных отделениях использовалось различное оборудование - в зависимости от предъявляемых требований.

В "основном отделении" используется АТС KX-TDE100 фирма Panasonic. KX-TDE100 была выбрана потому что:

· поддерживает большое количество внутренних телефонных номеров (16);

· поддерживает несколько каналов связи с городом ();

· при необходимости число внутренних номеров может быть увеличено установкой дополнительной платы расширения (установлено 2 дополнительных платы по 16 номеров);

· поддерживает "Систему документооборота";

· в отличие от KX-TDA100 имеет Ethernet выход для управления из сети;

· АТС находится на бесплатном гарантийном обслуживании включающем: ремонт АТС, изменение настроек АТС.

Перед началом работы АТС необходимо настроить, для корректного распределения номеров между пользователями. Хотя "простой в эксплуатации" данную АТС не назовешь, гарантия на настройку существенно облегчает жизнь ответственным за работу телефонной сети лицам.

В отделениях "типография" и "институт" используется мини АТС Panasonic KX-TEM824RU. После установки плат расширения АТС поддерживает 16 внутренних номеров. Программирование АТС производится при помощи системного телефона.

Обмен информации между отделениями производится на основе VPN (англ. Virtual Private Network - виртуальная частная сеть). Фактически на сегодняшний день это один единственный доступный способ построить сеть, части которой расположены территориально сравнительно далеко друг от друга в Москве. Судите сами: протянуть кабель между отделениями - такая возможность предоставляется очень редко, в тех случаях, когда помещения расположены сравнительно недалеко друг от друга. При этом необходимо будет обеспечить должную кабеля от несанкционированного доступа и разворовывания. беспроводной доступ защитить от несанкционированного доступа еще сложнее. Кроме того передавать по радиосвязи информацию на большие расстояния не удастся: во-первых в городе на пути сигнала будет много препятствий в виде зданий, во-вторых сейчас в городе постоянно функционирует огромное количество устройств использующих радио эфир для передачи данных. Из-за этого возникает множество помех - сигналы одинаковой частоты накладываются друг на друга и искажаются. Поэтому в черте города многие устройства передают информацию даже на меньшее расстояние, чем это указано в технической документации. Использовать спутник? В принципе он позволит передать информацию на необходимое расстояние. Но по своей сути при этом все равно придется использовать VPN, чтобы отделить свой трафик от трафика других арендаторов спутника. По своей сути в данном случае спутниковая связь будет выполнять функции провайдера, которые на него возложены в "классическом" VPN. Запустить же собственный спутник не по карману и армии компаний малого и среднего бизнеса. Все эти соображения делают невозможным построения линии связи исполнителем своими силами. Варианты с покупкой или арендой выделенных каналов связи не подходят по одной причине: как уже говорилось, не все провайдеры предоставляют эти услуги, и провайдер обслуживающий отделение "типография" таких услуг не предоставляет.

Оборудование, при помощи которого организуется связь между отделениями - маршрутизатор Cisco 800. Характеристики маршрутизатора:

· Тип процессора: MPC 850

· Частота: 33 MHz

· Размер DRAM по умолчанию: 4 MB

· Максимальный объем DRAM: 12 MB

· Объем Flash по умолчанию: 8 MB

· Максимальный объем Flash: 12 MB

· Ethernet: 1 10BaseT

· Console: RJ-45

· Установка в стек: Есть

Для настройки маршрутизатора понадобится установка на нем IOS отличного от доступного по умолчанию: IP for ISPs Feature Set. Это добавит в его функционал поддержку GRE Tunneling, что необходимо для настройки на нем виртуального соединения.

GRE (англ. Generic Routing Encapsulation - общая инкапсуляция маршрутов) - протокол туннелирования сетевых пакетов, разработанный компанией CISCO Systems. Его основное назначение - инкапсуляция пакетов сетевого уровня сетевой модели OSI в IP пакеты. Используется в сочетании с PPTP для создания виртуальных частных сетей.

Проблема протокола: в связи с служебным заголовком размер передаваемых данных внутри IP пакета через GRE-туннель уменьшается при сохранении общего размера пакета. В IP-пакете предусмотрено наличие бита DF (do not fragment), запрещающего разделение пакета на несколько при передаче через среду с меньшим размером MTU. В этом случае пакет с размером полезной области данных (англ. payload), превышающим MTU IP пакета в GRE-туннеле, отбрасывается, что приводит к потерям пакетов при существенной нагрузке (проходят пакеты малого размера, такие как SYN пакеты TCP, ICMP сообщения (ping), но теряются пакеты с данными в TCP потоке (т.е. соединение рвётся)). Тут указаны возможные решения этой проблемы на оборудовании Cisco:

Согласно ISO17799, средства обработки критичной или важной служебной информации необходимо размещать в зонах безопасности, обозначенных определенным периметром безопасности, обладающим соответствующими защитными барьерами и средствами контроля проникновения. Эти зоны должны быть физически защищены от неавторизованного доступа, повреждения и воздействия.