Разработка проекта сетевой инфраструктуры компании

Обзор существующих решений построения корпоративных сетей

 Прежде чем приступать к проектированию структуры будущей сети передачи данных, требуется выбрать технологии, которые будут использоваться. Определившись с ключевыми для проекта характеристиками, по которым будет происходить выбор стандарта, можно выбрать подходящую технологию для физического, канального и сетевого уровня модели взаимодействия открытых систем (МВОС, ISO OSI). Не смотря на некоторую условность данной модели в современном мире и неоднозначность трансляции данной модели на наиболее распространенный стек протоколов – TCP/IP, данный подход позволит определится с набором стандартов для реализации проекта, и, в дальнейшем, с используемым оборудованием.

Технологии, используемые при построении защищенных корпоративных сетей

 Выбирая технологию, которая будет использоваться при реализации проекта, необходимо сразу обращать внимания на несколько моментов. Во-первых – технология должна удовлетворять требованиям проекта – обеспечивать необходимую пропускную способность, масштабируемость, защищённость передаваемой информации и т.д. Во-вторых, технология должна быть стандартизирована, и широко распространена – это позволит избежать проблем в ходе внедрения и эксплуатации (например, прекращения поддержки выбранной технологии производителями оборудования). Еще один довод в пользу решений на основе стандартных протоколов – независимость от производителя оборудования, и гарантия возможности дальнейшей модернизации сети с использованием актуальных решений.

 Физический уровень определяет среду передачи данных и протокол. Для ЛВС под требования актуальности для задача проекта и распространенности подходит оптическая среда передачи данных и витая пара. Для беспроводной – только радиоканал, причем в частотных диапазонах не требующих дополнительных разрешений на использование.

 Исходя из вышесказанного, следует рассмотреть набор протоколов передачи данных IEEE 802, и выбрать наиболее подходящие стандарты для реализации проекта:

802.3 Ethernet

802.4 Token bus

802.5 Token ring

802.6 Distributed Queue Dual Bus

802.9 “isoEthernet”

802.10 SDE

802.11 Wi-Fi

802.12 100BaseVG

802.15 Bluetooth

802.16 WMAN

802.17 RPR

Технология, используемая при построении сети, как проводной так и беспроводной, должна быть распространенной и используемой. Из перечисленных, с некоторыми оговорками, таковыми являются 802.3 (широко распространена), 802.11 (широко распространена), 802.15 (широко распрстранена),  802.16, 802.5. Сначала необходимо определится со стандартом для беспроводной сети:

IEEE 802.15 (Bluetooth) был изначально разработан как протокол для беспроводной связи мобильных устройств, и не обеспечивает ни должной пропускной способности, ни масштабируемости для решения задач БЛВС.

IEEE 802.16 (WMAN, также широко используется наименование WiMAX) – беспроводное решение, разработанное для покрытия больших площадей, использует диапазон частот от 1,5 до 11 ГГц. Изначально разрабатывалось как стандарт «последней мили» для беспроводных сетей, требует разрешения на использование частотного диапазона базовых станций, не обеспечивает должной пропускной способности при наличии множества абонентов, и для реализации проекта не подходит.

IEEE 802.11 (Wi-Fi) – набор стандартов, наиболее распространены 802.11b, 802.11a, 802.11g, 802.11n. Предполагает работу в частотных диапазонах 2.4 ГГц и 5 ГГц, 11b обеспечивает пропускную способность в 11 Мбит/с на канал, стандарты 11a и 11g – обеспечивают пропускную способность в 54 Мбит/с, работая в диапазонах 2.4 и 5 ГГц соответственно. Наиболее современный IEEE 802.11n обеспечивает теоретическую пропускную способность до 600 Мбит/с, используя MIMO (multiple input multiple output, наличие нескольких передающих и принимающих антенн на устройстве) и channel bonding (объединение частотных каналов). Допустима работа устройств 11n как в диапазонах 2.4-2.5 ГГц, так и в 5 ГГц. Стандарт обратно совместим с 11a/b/g. В данный момент принята черновая редакция стандарта 802.11ac , обеспечивающего скорость беспроводной передачи данных до 6 Гбит/с, в первую очередь за счет использования MIMO с большим количеством антенн и расширения канала. Данное семейство стандартов больше всего подходит для реализации проекта, учитывая требования масштабируемости и пропускной способности решения.

В выборе протоколов канального уровня для проводной сети – из распространенных под требование распространенности, доступности и обеспечения пропускной способности подходит только семейство IEEE 802.3, Ethernet. В первую очередь:

802.3ae, 10 Гбит/с по оптическому волокну

802.3ab, GigabitEthernet по витой паре

802.3af, Power over ethernet

802.3ad, агрегирование каналов

Для выполнения задач проекта на сетевом и выше уровнях МВОС требуется использование стека протоколов TCP/IP.

Обзор решений организации связи между структурными подразделениями

 Как правило, корпоративные сети характеризуются не только повышенными требованиями к безопасности и отказоустойчивости системы, но так же и необходимостью организации каналов связи между удаленными друг от друга территориально подразделениями компании. Можно выделить три основных механизма построения таких каналов:

Выделенные каналы, арендуемые у операторов связи.

Сеть связи на основе технологии VPN (Virtual Private Network)

Построение собственных сетей связи, называемых так же технологическим, выделенными.

Нет никаких препятствий для комбинирования описанных выше подходов, использования наиболее целесообразного метода в каждой конкретной ситуации.

Построение собственной сети, либо же аренда каналов у операторов рационально использовать в пределах города – для данного проекта это может быть применимо для связи между датацентром и головным офисом компании. Для связи же с удаленными офисами остается только организация вирутальных соединений – данная технология предусматривает построение корпоративной сети поверх сетей общего пользования, например Интернета. Защита передаваемых данных от несанкционированного доступа должна осуществляться с помощью механизмов шифрования и использования подходящих для построения таких сетей протоколов. Наибольшее распространение получили протоколы IPSec, PPTP, L2TP, иногда эти протоколы так же инкапсулируются в GRE. Рассмотрим протоколы по отдельности:

IPSec (IP Security) – набор протоколов для обеспечения защиты передаваемых данных, позволяющих осуществлять проверку целостности, подверждение подлинности и шифрование IP-пакетов. Так же включает в себя протоколы обмена ключами. Является «надстройкой» над IP, для работы достаточно поддержки стандарта только от устанавливающих VPN-туннель устройств. Может работать как в туннельном так и в транспортном режиме. При передаче данных используются три основных протокола: ESP (Encapsulating Security Payload) либо AH (Authentication Header), при первичной настройке соединения (согласование шифрования, ключей, взаимной аутентификации) используется ISAKMP (Internet Security Association and Key Management Protocol ). Стандарт не накладывает ограничений на используемые алгоритмы шифрования трафика и длину ключа.

PPTP ( Point-to-point Tunneling Protocol) – протокол, так же позволяющий установить защищенное соединение поверх общественных сетей. Устанавливается обычная PPP сессия с противоположной стороной, кадры PPP инкапсулируются в GRE для передачи к точки назначения. Поддерживает 128 и 40 битное кодирование, в целом считается менее безопасным чем IPSec. В силу использования двух разных протоколов, в том числе GRE, есть сложности прохождения PPTP трафика через межсетевые экраны и трансляцию адресов и портов, решаемые включением механизмов инспекции PPTP пакетов на межсетевом экране. Полноценная поддержка протокола PPTP реализована в большинстве популярных пользовательских операционных систем, но отсутствует у части производителей сетевого оборудования.

L2TP ( Layer 2 Tunneling Protocol) - протокол туннелирования второго уровня, который может работать не только в IP-сетях. Является протоколом сеансового уровня, совместим с IPSec.

GRE (Generic Routing Encapsulation) – протокол используемый для передачи пакетов одной сети через другую сеть. Туннель представляет из себя соединение точка-точка, и может рассматриваться как разновидность VPN соединения без шифрования. Для обеспечения защиты передаваемых по такому туннелю данных от несанкционированного доступа требуется использовать поверх туннеля другие механизмы шифрования, например IPSec в транспортном режиме.

Из рассмотренных вариантов для установления постоянных каналов связи между офисами поверх общественный сетей наиболее подходящим является IPSec – это стандартный протокол, поддерживаемый большинством производителей сетевого оборудования и не ограничивающий администратора в выборе алгоритма шифрования передаваемых данных. Так же на выбор используемого для решения задачи протокола значительное ограничение накладывает уже существующая инфраструктура в удаленных офисах и датацентрах – каналы в большинстве своем строятся на основе технологии IPSec в туннельном режиме и сопутствующего криптографического оборудования.

Разработка сетевой инфраструктуры головного офиса компании Целью данной работы является обеспечение эффективной работы компании после переезда в новое офисное здание, путем создания масштабируемой и защищенной сетевой инфраструктуры

Требования к разрабатываемой системе

Обеспечение сетевой безопасности ЛВС Для обеспечения безопасности данных передаваемых по корпоративной проводной сети, использующей кабельную систему, потребует соблюдение пункта 7.2.3 ГОСТ 17799 при прокладке, а так же требуется соблюдение мер безопасности указанных в пункте 7.1 «Охраняемые зоны»

Обзор решений для мониторинга состояния сети При увеличении количества сетевого оборудования и серверов, задействованных в корпоративной инфраструктуре, увеличивается и количество проблем требующих вмешательство и решения со стороны администратора

Выбор структурообразующего оборудования Проведя анализ подходов к построению корпоративной сети, а так же средств обеспечения безопасности ЛВС и БЛВС, выбрав подходящее решение для мониторинга проектируемой инфраструктуры, пора определится с оборудованием, которое будет использоваться.

Разработку логической и физической схем проектируемой ЛВС – проводной сети, построенной на оптических кабелях и витой паре

Подключение внешних каналов, граничный блок сети Оборудование граничного блока сети – Cisco ASA-5585-SSP40 – является межсетевым экраном, работающим на сеансовом уровне (stateful firewall), должно обеспечивать фильтрацию и анализ проходящего трафика. Как и большинство подобного сетевого оборудования, обладает очень ограниченными возможностями маршрутизации и балансировки трафика, в частности, отсутствует поддержка ECMP (equal cost multipath), и необходимого для оборудования граничного блока протокола BGP.

Схема реализации поддержки мультикаста в офисной сети

Беспроводная локальная вычислительная сеть Технические решения Беспроводную сеть решено строить на основе контроллера БЛВС Cisco Aironet AIR-CT5508-250-K9, а так же точек доступа Cisco Aironet AIR-CAP3602i-R-K9. Точки должны работать в «легковесном» режиме, туннелируя весь клиентский трафик в направлении контроллера. Топология беспроводной сети – BSS.

Физическая схема Технические решения

Сетевая безопасность и авторизация пользователей В качестве основного решения для авторизации пользователей корпоративной сети планируется использовать стандарт 802.1x, как наиболее подходящий для выполнения задач проекта – решение позволяет использовать единую прозрачную схему авторизации пользователей как для проводной, так и беспроводной сети.

Проверка работоспособности выбранных решений на стенде Большинство принятых решений уже неоднократно испытаны в ходе эксплуатации сети в компании, и не требуют дополнительного тестирования – такие механизмы как резервирование шлюза с помощью протокола VRRP, ECMP балансировка трафика, передача мультикаст-трафика с использованием PIM-SM, и обеспечение беспроводного покрытия с помощью «легковесных» точек доступа и контроллеров беспроводной сети уже успешно применяются в других офисах компании. Проверки на стенде требует технология 802.1x авторизации пользователей проводной сети.

Обслуживание сети и контроль ее безотказности и безопасности.

Проектирование кабельной системы

Планирование и реализация технического решения для малого предприятия

Закупка оборудования

Организация сети.

Конфигурация локальных сетей