Построение корпоративной сети

Данный коммутатор поддерживает весь необходимый для работы функционал:

• пропускная способность портов 1гигабит в секунду;
• возможность работы в стеке;
• поддержка IGMP;
• возможность установки в стойку;
• поддерживает портов: 24.

Предварительной настройки перед началом работы не требуется, все необходимые функции доступны по умолчанию.

Альтернативное оборудование с подобным функционалом: 3COM Baseline Plus Switch 2928 PWR, D-link DGS-3324SR, D-link DGS-3324SR, D-link DGS-3426. Данный конкретный коммутатор был выбран как самый недорогой из всех представленных.

В отделении «институт» было решено использовать коммутатор 3COM Switch 4200G 12-Port. В отделении институт планируется установка много меньшего числа компьютеров чем в «основном отделении» и отделении «типография»

• Поддержка работы в стеке ;
• Возможность установки в стойку ;
• Количество портов коммутатора 12 x Ethernet 10/100/1000 Мбит/сек.

Оборудование с аналогичным функционалом: ZyXEL GS-3012F EE, ZyXEL GS-3012 EE, ASUS GigaX 3112. Данный конкретный коммутатор был выбран как самый недорогой из всех представленных.

В коммутаторе возможны как аппаратные неисправности так и неисправности связанные с программным обеспечением ("прошивкой"). Неисправности связанные с программным обеспечением возможно устранить на месте установкой новой версии программного обеспечения. Обычно новую версию можно найти на официальном сайте производителя оборудования. Аппаратные неисправности устраняются в специализированных сервисных центрах специалистами. Пока коммутатор находится на гарантийном обслуживании, программные и аппаратные неисправности исправят в гарантийном сервисном центре.

В этой главе уже упоминалось то, что для обеспечения рабочих мест телефонной связью, будут прокладываться линии связи. Это подразумевает необходимость построения и настройки телефонной сети в каждом офисе. Для передачи голоса была выбрана именно стандартная аналоговая телефонная связь, без использования линий связи компьютерной сети для передачи информации. По сути, в каждом отделении строится отдельная сеть телефонной связи, состоящая из АТС и кабельной системы. Как уже говорилось, линии связи телефонной сети прокладываются радом с линиями связи Ethernet, и, в случае необходимости, можно использовать и те и другие, как для передачи Ethernet пакетов, так  для работы телефонной связи. В качестве АТС в разных отделениях использовалось различное оборудование - в зависимости от предъявляемых требований.

В «основном отделении» используется АТС KX-TDE100 фирма Panasonic. KX-TDE100 была выбрана потому что:

• поддерживает большое количество внутренних телефонных номеров(16);
• поддерживает несколько каналов связи с городом();
• при необходимости число внутренних номеров может быть увеличено установкой дополнительной платы расширения (установлено 2 дополнительных платы по 16 номеров);
• поддерживает "Систему документооборота";
• в отличие от KX-TDA100 имеет Ethernet выход для управления из сети;
• АТС находится на бесплатном гарантийном обслуживании включающем: ремонт АТС, изменение настроек АТС.

Перед началом работы АТС необходимо настроить, для корректного распределения номеров между пользователями. Хотя «простой в эксплуатации» данную АТС не назовешь, гарантия на настройку существенно облегчает жизнь ответственным за работу телефонной сети лицам.

В отделениях «типография» и «институт» используется мини АТС Panasonic KX-TEM824RU. После установки плат расширения АТС поддерживает 16 внутренних номеров. Программирование АТС производится при помощи системного телефона.

Обмен информации между отделениями производится на основе VPN (англ. Virtual Private Network — виртуальная частная сеть). Фактически на сегодняшний день это один единственный доступный способ построить сеть, части которой расположены территориально сравнительно далеко друг от друга в Москве. Судите сами: протянуть кабель между отделениями - такая возможность предоставляется очень редко, в тех случаях, когда помещения расположены сравнительно недалеко друг от друга. При этом необходимо будет обеспечить должную кабеля от несанкционированного доступа и разворовывания. беспроводной доступ защитить от несанкционированного доступа еще сложнее. Кроме того передавать по радиосвязи информацию на большие расстояния не удастся: во-первых в городе на пути сигнала будет много препятствий в виде зданий, во-вторых сейчас в городе постоянно функционирует огромное количество устройств использующих радио эфир для передачи данных. Из-за этого возникает множество помех - сигналы одинаковой частоты накладываются друг на друга и искажаются. Поэтому в черте города многие устройства передают информацию даже на меньшее расстояние, чем это указано в технической документации. Использовать спутник? В принципе он позволит передать информацию на необходимое расстояние. Но по своей сути при этом все равно придется использовать VPN, чтобы отделить свой трафик от трафика других арендаторов спутника. По своей сути в данном случае спутниковая связь будет выполнять функции провайдера, которые на него возложены в "классическом" VPN. Запустить же собственный спутник не по карману и армии компаний малого и среднего бизнеса. Все эти  соображения делают невозможным построения линии связи исполнителем своими силами. Варианты с покупкой или арендой выделенных каналов связи не подходят по одной причине: как уже говорилось, не все провайдеры предоставляют эти услуги, и провайдер обслуживающий отделение «типография» таких услуг не предоставляет.

Оборудование, при помощи которого организуется связь между отделениями — маршрутизатор Cisco 800. Характеристики маршрутизатора:

• Тип процессора: MPC 850
• Частота: 33 MHz
• Размер DRAM по умолчанию: 4 MB
• Максимальный объем DRAM: 12 MB
• Объем Flash по умолчанию: 8 MB
• Максимальный объем Flash: 12 MB
• Ethernet: 1 10BaseT
• Console: RJ-45
• Установка в стек: Есть

Для настройки маршрутизатора понадобится установка на нем IOS отличного от доступного по умолчанию: IP for ISPs Feature Set. Это добавит в его функционал поддержку GRE Tunneling, что необходимо для настройки на нем виртуального соединения.

GRE (англ. Generic Routing Encapsulation —  общая инкапсуляция маршрутов) — протокол туннелирования сетевых пакетов, разработанный компанией CISCO Systems. Его основное назначение — инкапсуляция пакетов сетевого уровня сетевой модели OSI в IP пакеты. Используется в сочетании с PPTP для создания виртуальных частных сетей.

Проблема протокола: в связи с служебным заголовком размер передаваемых данных внутри IP пакета через GRE-туннель уменьшается при сохранении общего размера пакета. В IP-пакете предусмотрено наличие бита DF (do not fragment), запрещающего разделение пакета на несколько при передаче через среду с меньшим размером MTU. В этом случае пакет с размером полезной области данных (англ. payload), превышающим MTU IP пакета в GRE-туннеле, отбрасывается, что приводит к потерям пакетов при существенной нагрузке (проходят пакеты малого размера, такие как SYN пакеты TCP, ICMP сообщения (ping), но теряются пакеты с данными в TCP потоке (т. е. соединение рвётся)). Тут указаны возможные решения этой проблемы на оборудовании Cisco:

http://www.cisco.com/en/US/tech/tk827/tk369/technologies_white_paper09186a00800d6979.shtml 

Согласно ISO17799,     средства обработки критичной или важной служебной информации необходимо размещать в зонах безопасности, обозначенных определенным периметром безопасности, обладающим соответствующими защитными барьерами и средствами контроля проникновения. Эти зоны должны быть физически защищены от неавторизованного доступа, повреждения и воздействия.

По этой причине все активное оборудование сети располагается в запирающихся серверных шкафах, а в «основном отделении» в отдельном закрытом помещении серверной. Ключи от серверной и шкафов находятся у руководителей местных отделений фирмы. Помимо этого все местные локальные сетевые коммуникации проходят только по территории фирмы, для прохода на которую необходимо пройти процедуру авторизации у сотрудника охранной фирмы.

На основе  проведенного в предыдущих двух главах анализа существующих решений построения корпоративных сетей, в данной главе были выбраны наиболее подходящие для данного конкретного случая решения: построение локальных сетей на основе технологии Ethernet, использование обычной телефонии и объединение отделений при помощи VPN. На основе этих решений и была разработана инфраструктура будущей системы.

Глава 4. Планирование и анализ конфигурации пользовательских компьютеров.

При проектировании любой части сложной системы следует учитывать то обстоятельство, что части системы должны иметь интерфейсы поддерживающие работу с интерфейсами других частей системы. Другими словами, проектируя сложную корпоративную сеть, следует убедиться, что все компьютеры сети имеют соответствующий интерфейс для подключения к сети. То обстоятельство, что фирма заказчик сама покупает оборудование для установки рабочих мест пользователей, делает возможным возникновения ситуации, при которой окажется невозможно подключить пользовательские компьютеры к сети. Однако человек, отвечающий за проект сети, может дать заказчику рекомендации по конфигурации пользовательского оборудования- это поможет избежать возникновения этой проблемы. Кроме того, при проектировании безопасной сети, следует учитывать все возможные опасности, которые грозят сети. Большая же часть этих опасностей связана именно с конфигурацией и настройкой пользовательских компьютеров.

Помимо вопросов безопасности и совместимости, рекомендации по выбору оборудования и настройке могут учитывать и специфические функции, выполняемые на таком оборудовании. Зачастую, в зависимости от выполняемых функций, компьютеры пользователей можно разделить на несколько различных типов, заметно отличающихся конфигурацией.

Рабочие места пользователей сети можно разделить на 2 типа:

1.Рабочие места менеджеров по  продаже и бухгалтерии;

2.Рабочие места дизайнеров.

В зависимости от выполняемых функций к рабочим местам предъявляются различные требования.

Дизайнерские компьютеры должны иметь высокое быстродействие при работе с графическими приложениями. В противном случае выполнение приложений для обработки графиги(CorelDraw X3,Adobe Photoshop, Adobe Ilustrator, Adobe Indesign и т.п.) будет занимать слишком много времени, что существенно отразиться на производительности. Конфигурация компьютера дизайнера:

• Процессор:CPU Intel Core i7-920 2.66 ГГц/1+8Мб/4.8 ГТ/с LGA1366;
• Видео карта: VCQFX1800-PCIE;
• Оперативная память: 4 Гб до 1066 МГц;
• Жесткий диск: 300 Гб, 7200 об/мин ;
• Сетевая карта: любая 10/100/1000 Мбит/с.

На компьютерах менеждеров будет проводиться работа с документами (файлы *.xls, *.xlsx, *.doc, *.docx) и электронной почтой. Основной задачей менеджеров является связь с крупными клиентами фирмы. Основным средством связи является телефон. Из чего следует, что быстродействие рабочих компьютеров для менеджеров не является основным параметром отвечающим за производительность, но, бесспорно, заметно на нее влияет.

Конфигурация компьютера менеджера

• Процессор: Intel Celeron Dual Core E1500;
• Оперативная память: 1024 Мб, 800 МГц;
• Жесткий диск:80 Гб, 7200 Об/мин;
• Видеокарта: Intel® Graphics Media Accelerator X3100;
• Сетевая карта: любая 10/100/1000 Мбит/с.

Согласно ISO 17799, оборудование необходимо защищать от перебоев в подаче электроэнергии и других сбоев, связанных с электричеством. Необходимо обеспечивать надлежащую подачу электропитания, соответствующую спецификациям производителя оборудования.

 Для достижения этого компьютеры обоих типов должны быть подключены к источникам бесперебойного питания (ИБП). Это позволит сохранить изменения в документах в случае внезапного отключения электричества в офисах. Рекомендуется, компьютеры менеджеров и бухгалтеров подключить через ИБП выходной мощностью не менее 800 ВА / 480 Вт. Компьютеры дизайнеров через ИБП выходной мощностью не менее 1000 ВА / 600 Вт.

На компьютерах предприятия установлена операционная система Windows XP Professional SP3(http://support.microsoft.com/kb/946480/). Данный выбор был обусловлен следующими факторами: компания заказчик высказала пожелание использовать на своих рабочих компьютерах операционную систему фирмы Microsoft. На осень 2009 года, когда рассчитывался проект, корпорация Microsoft могла предоставить 3 распространенных операционных системы для установки на персональных компьютерах: Windows 7, Windows Vista, Windows XP(Windows XP к этому моменту уже вышла из поставки в точки продаж, но у фирмы исполнителя оставался ключ на достаточное количество копий).

Вариант Windows Vista не подходит, так как она имеет слишком много ошибок и недоработок, которые могут оказаться критичными в работе предприятия.

• Некоторые действия, выполнявшиеся на XP мгновенно, на Vista производятся с заметной задержкой. Это показывают тесты Tom's Hardware — лишь некоторые программы (скорее всего, многопоточные) на Vista работают быстрее. По сообщению того же сайта, были также обнаружены ошибки в оболочке Windows Vista.
• Microsoft оставляет за собой право отозвать драйвер в любой момент, если в нём будет найдена уязвимость. Если устройство старое, есть шансы, что производитель (или его правопреемник) не будет переписывать драйверы, и проигрывание будет недоступно (остальные функции не страдают). Пострадают от этого только рядовые пользователи, а никак не организованные незаконные распространители объектов авторского права — найдя подходящую аппаратно-программную конфигурацию, они могут свободно расшифровывать видео на отключённом от Интернета компьютере.
• Есть старое программное обеспечение, которое несовместимо с Windows Vista, а также драйверы и устройства.
• Интерфейс Aero, по мнению Пола Таррота, имеет недостаток в виде сложноотличимого текущего окна от всех остальных (активное окно заметно отличается от остальных лишь подсветкой кнопки закрытия окна)
• User Account Control часто раздражает пользователей, задавая даже в рутинных операциях много вопросов, однако при необходимости его может отключить опытный пользователь или администратор. Кроме того, Symantec выпустил утилиту Norton UAC Tool, которая заметно уменьшает количество запросов, используя механизм белого списка.