ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 20.10.2018
Просмотров: 14517
Скачиваний: 30
16
Старайтесь сразу строить предварительные расчеты и планы таким образом,
чтобы свести все коммуникации (локальная сеть и телефония) в единый центр
коммутации.
- куда все сводится?
Как правило, это коммутационный шкаф-стойка для установки в нем патч-
панелей и оборудования.
Именно здесь рекомендуется сконцентрировать все проводные коммуникации для
их дальнейшей коммутации и распределения.
Кажущиеся излишними трудозатраты по организации описанной схемы с
лихвой оправдаются дальнейшей экономией времени при реорганизации фирмы
(переезды отделов в другие помещения, добавление рабочих мест и т. п.).
Статистика показывает, что в средних и крупных компаниях примерно 30%
служащих раз в год меняют свое рабочее место в связи с описанными выше событиями. И
именно по этой причине всегда необходимо планировать кабельную сеть таким образом,
чтобы количество розеток было большим, чем нужно для удовлетворения
сегодняшнего спроса. При масштабировании сети такой избыток дает возможность
пользователям и гостям беспроблемно мигрировать внутри офиса.
Всегда необходимо помнить, что и в кабельных трассах (это могут быть как
соединения между помещениями, так и между зданиями) рекомендуется предусмотреть
«лишние пары» – дополнительный провод (или несколько – все зависит от задач),
который не будет использоваться сразу, однако при необходимости легко вводится в
общую схему коммутации. Это поможет в будущем избежать проблем с потерей скорости
при резком увеличении количества рабочих мест в соседних зданиях/помещениях либо
при внедрении новых систем, использующие кабельное хозяйство. Телефонная сеть
вообще является камнем преткновения при расширении компании. В случае с
масштабированием компьютерной сети всегда можно выйти из положения (пусть и ценой
потери скорости передачи данных) установкой дополнительного сетевого коммутатора в
помещение, где сгруппировались новые рабочие места. К сожалению, со стандартной
телефонией такой фокус не проходит и при необходимости увеличить количество
телефонов в определенном помещении приходится тянуть туда новые провода. В этом
случае и можно будет использовать «лишний провод», который был заблаговременно
оставлен при первичной прокладке сети. Наиболее популярный способ - использование
VoIP телефонии, т.е. построение единой транспортной сети для рабочих мест и
телефонов одновременно. Причем IP телефоны имеют встроенные коммутаторы и для
организации одного рабочего места, вам потребуется одна розетка с разъёмом RG-45.
В последние годы оборудование для построения беспроводных сетей наконец-
то стало удовлетворять тем требованиям, которые возникают при работе
пользователей с современными сетевыми приложениями, так что их применение в
помещениях с прямой видимостью (или с незначительными перекрытиями) является
прекрасной альтернативой проводным системам. Однако следует помнить, что стремиться
построить полностью беспроводную сеть не стоит – соединения между
помещениями/этажами лучше сделать на кабельной основе. И знайте - если у Вас есть
выбор между проводом и бес проводкой – выбирайте провод и оградите себя от
возможных проблем.
17
Советы по выбору оборудования
Главное! Не экономьте на узлах, которые являются критичными по
отношению к работоспособности всей системы. Практика показывает, что возможность
сэкономить хотя бы сотню долларов часто приводит к тому, что итоговую надежность
системы не выдерживает дальнейших нагрузок.
Как правило, руководители, принимающие решения в области
финансирования, не в состоянии оперировать техническими понятиями. Зато они
прекрасно знают и понимают значимость таких терминов, как «убытки в результате
простоя предприятия», «цейтнот при формировании результатов», «налоговая и
финансово-экономическая отчетность». И в техническом обосновании приобретения
надежной техники должны бросаться в глаза не «гигагерцы и гигабайты», а аргументы,
понятные именно этим людям.
Например, фраза о том, что «скорость формирования товарного отчета увеличится
в 6-10 раз, а скорость формирования складских документов повысится в 4 раза»
гораздо эффективнее, нежели «время реакции дисковой системы при операциях чтения-
записи улучшается в 5 раз».
Всегда помните – для руководства важны итоговые результаты, а не
технические подробности. Научитесь формулировать свои мысли и идеи так, чтобы они
были понятны людям, принимающим решения о финансировании проекта. Тогда вы
получите большие возможности для реализации задуманного. Наша компания предлагает
оборудования и решения зарекомендовавших себя производителей - они перечислены в
таблице в начале статьи. Также немаловажным является приведение расчетов,
показывающих экономическую эффективность модернизации.
Спрогнозировав возможные перемещения рабочих мест сотрудников, увеличение
их численности, появление новых задач, рост рабочих информационных баз, вы сможете
заранее просчитать будущие затраты на необходимую модернизацию ресурсов, и
сравнив их с возможностью сразу приобрести необходимую технику, вывести
экономическую выгоду.
В частности, попытка сэкономить на серверных системах
- к чему приводит?
обычно приводит либо к необходимости новой модификации уже через полгода,
либо вообще к падению операционной системы, потере рабочих данных и,
соответственно, незапланированным простоям – от невозможности работы одного отдела
до остановки работы всего предприятия.
Если рассматривать требования к таким системам, то очевидна необходимость
применения в серверах надежных дисковых систем в случае больших вычислительных
нагрузок – многопроцессорных ресурсов, резервных систем электропитания и защиты от
перегрузок в электрических сетях. Не стоит пользоваться принципом: «система может и
на IDE-диске стоять – там никаких нагрузок нет». Сэкономив 50-100 у.е. сейчас, ваша
фирма получит неработоспособную систему через год. Причем произойдет это как
всегда «в самый неподходящий момент». Запомните – не бывает «подходящих
моментов» для выхода из строя информационной системы.
18
Ну и последнее замечание, касаемо физического построения сетей.
Документируйте свои действия, маркируйте коммуникации. Даже если вы не владеете
профессиональными программами для проектирования и документирования
информационных сетей – программа Microsoft Visio Вам поможет. Она представляет
собой довольно неплохой инструмент для инженерного планирования начального уровня.
Маркировка кабелей и кабель-каналов – вообще обязательное действие. Помимо
этого необходимо маркировать и серверы в стойках. Когда в стойке смонтировано
несколько серверов от одного производителя, вряд ли удастся навскидку сказать, какой из
них за что отвечает. Крепите на них таблички с DNS-именем и IP-адресом.
Второе - у Вас уже есть работающая сетевая инфраструктура, которую
необходимо усовершенствовать, либо упорядочить.
Если вы модернизируете уже существующую информационную систему, то
все советы, приведенные выше, остаются в силе.
Помимо этого, при наличии старых коммуникаций необходимо проверить их на
целостность и качество передачи.
Простейший способ – посмотреть статистику передачи по сетевым интерфейсам
после проведения множественных операций передачи/приема данных.
Если скорость передачи недостаточна, а в статистике появляются
потерянные пакеты
– стоит задуматься о смене кабельной системы или отдельных ее частей. Однако
такой способ проверки является довольно спорным и отражает действительность только
при грамотной настройке приемника/передатчика. В противном случае, например, плохо
настроенное антивирусное ПО, может отрицательно повлиять на упомянутые
характеристики, хотя сама кабельная система окажется идеальной.
Гораздо лучше применять тестирование кабельной системы на физическом
уровне при помощи приборов, измеряющих такие характеристики, как сигнал/шум,
сопротивление изоляции и др. Это дорогостоящее оборудование, однако вовсе
необязательно его приобретать. Для тестирования в сомнительных случаях можно
обратиться к организациям, оказывающим подобные услуги.
В любом случае при сложной кабельной разводке такое исследование
обойдется дешевле смены всей кабельной системы.
Точно так же необходимо подвергнуть тестированию и ресурсы серверов, и
при необходимости – рабочих станций.
Недостаточно просто переустановить операционную систему на сервере.
Необходимо убедиться в том, что нет дефектов в оборудовании – дисковой системы,
памяти и т. д.
Информационная среда
Убедившись в исправности физических коммуникаций и оборудования,
следует переходить к следующему этапу – внедрению информационной среды. На
этом этапе необходимо будет установить операционные системы на серверы и рабочие
станции, организовать их взаимодействие, настроить программное обеспечение под
конкретных пользователей.
19
Разумеется, что выбор операционных систем и распределение задач должны
происходить еще до того, как будет закуплено оборудование. Тут все стандартно –
подбор соответствующего оборудования происходит исходя из поставленных задач.
Перейдем к принципам настройки серверного программного обеспечения,
вопросам защиты от вторжений, а также настройке рабочих станций для взаимодействия с
серверами и между собой. Акцентируем ваше внимание, что в статье не приводится
инструкций по настройке конкретного программного обеспечения или оборудования, а
даются общие рекомендации, следуя которым вы получите максимально защищенную IT-
структуру. Также не указывается никаких предпочтений при выборе операционных
систем для реализации проекта. Автор ни в коей мере не претендует на непогрешимость
указанных методов, а всего лишь делится своим опытом реализации подобных проектов.
Практика показала, что после сдачи таких сетей у заказчиков не возникает необходимости
полной реорганизации, а масштабируемость позволяет легко вводить в эксплуатацию
новые сервера, рабочие места и программное обеспечение.
Прежде всего необходима логическая структура, которая будет объединять
все учетные записи для пользователей, компьютеров и серверов в одно целое. Это
«домен». Обращаем внимание, что понятие «домен» вовсе не подразумевает обязательное
использование продуктов Microsoft, как многие ошибочно считают. «Домен» в переводе
означает «область», «район». То есть в нашем случае домен – это логическое
объединение для централизованного управления. Домен отличается от рабочей группы
тем, что данные о всех структурных единицах, в него входящих, хранятся в единой
центральной базе данных, что сильно упрощает администрирование системы в целом.
Внутри домена необходимо спланировать разделение упомянутых структурных
единиц на группы. Это упростит дальнейшее делегирование прав на пользование
ресурсами. Помните, что основой построения защищенной среды является принцип :
-
«что не разрешено, то запрещено» и ни в коем случае не наоборот!
Действительно, по умолчанию при начальном вводе систему в эксплуатацию
никто (кроме администратора, разумеется) не должен иметь доступа никуда. Абсолютно!
После этого можно делегировать группам и структурным единицам определенные
права. Упомянутый и кажущийся очень простым принцип на самом деле подразумевает
под собой систему глобальной безопасности. Просто необходимо научиться корректно его
реализовывать.
Связь с внешним миром и безопасность
Построив систему в виде локальной сети и проверив ее работоспособность
(взаимодействие клиент-сервер, клиент-клиент, действие запретов и разрешений),
приступаем к организации связи с внешним миром.
Проще говоря, подключаемся к сети Интернет и другим филиалам компании.
Тут действует тот же универсальный принцип, о котором мы уже писали.
Поэтому перед тем, как подключить кабель от внешнего мира к вашей локальной
сети, необходимо убедиться в том, что на устройстве маршрутизации запрещен
проход любого трафика во всех направлениях.
20
Только после этого можно аккуратно добавлять настройки, которые будут
частично разрешать прохождение необходимого трафика. Любые запросы, не
отвечающие разрешающим правилам, должны отбрасываться.
Причем чаще всего рекомендуется применять для защиты «режим молчания».
Запрещающие правила систем маршрутизации при поступлении
соответствующего пакета отправляют ответ о том, что запрошенный ресурс запрещает
подключение к нему. При соблюдении режима молчания такой пакет игнорируется,
имитируя выключенное или несуществующее устройство. Для настройки таких систем
необходим специалист, хорошо представляющий работу стека протокола IP. Для большей
надежности рекомендуется использовать аппаратные маршрутизаторы/межсетевые
экраны. Абсолютным лидером в этой области является компания WatchGuard.
Следующие шаги также неразрывно связаны с доступом во внешний мир. Это
использование антивирусных мониторов и сканеров корпоративного уровня, а также
обязательное создание внутреннего почтового сервера, отвечающего за перенаправление
всей электронной почты компании. Акцентируем внимание на словосочетании
«корпоративный уровень». Помните, что в системе IT-безопасности компании не должно
быть звеньев, хоть каким-то образом зависящих от решения пользователя. Понятие
«корпоративный антивирусный монитор и сканер» означает, что это программное
обеспечение настраивается и устанавливается администратором системы,
автоматически проверяет наличие обновлений, распространяется на всю сеть, а
пользователь не в состоянии ни отключить, ни удалить продукт со своей рабочей
станции. Такой антивирусный продукт при грамотной настройке не будет спрашивать
пользователя о необходимости обновить свои базы, не станет уточнять, что делать с
зараженным файлом, не позволит вмешаться в свою работу.
При этом корпоративная почтовая система просканирует всю входящую и
исходящую корреспонденцию еще до того, как пользователь получит возможность
принять ее, отбросит зараженные письма, заблокирует подозрительные и явно
запрещенные вложения, проверит легитимность отправителя и отсутствие его в
международных черных списках. И только после этого доставит письмо пользователю.
Как правило, на почтовые системы устанавливают антивирус другого производителя,
нежели используется в режиме монитора внутри локальной сети. Таким образом,
достигается страховка от несвоевременного выхода обновлений какого-либо из них.
Неопознанное на почтовом сервере зараженное письмо будет поймано монитором на
локальной машине пользователя и наоборот. Для еще большей надежности можно
применять третий способ защиты – сканирование межсетевого трафика на
промежуточном шлюзе.
Однако стоит помнить, что нельзя использовать одновременно несколько
таких средств в едином логическом пространстве (например, сервере или рабочей
станции). Так, одновременная установка двух антивирусных мониторов разных
производителей на один компьютер когда-то породила известную в IT-мире байку про
дуэль антивирусов. Проверка может быть только последовательной.
Не стоит также забывать о контроле активности пользователей в сети
Интернет, ведении статистики посещаемости и отчетов по трафику интернет -
ресурсов. Так, периодически просматривая указанную статистику, можно обнаружить
«нездоровую» активность в определенном направлении и предотвратить утечку