Организация и средства поддержки корпоративных сетей. Администрирование

И, наконец, верхний  уровень корпоративной сети представляют специальные программные системы, которые выполняют задачи, специфические  для данного предприятия или  предприятий данного типа. Примерами  таких систем могут служить системы автоматизации банка, организации бухгалтерского учета, автоматизированного проектирования, управления технологическими процессами и т.п.

Конечная цель корпоративной сети воплощена в  прикладных программах верхнего уровня, но для их успешной работы абсолютно необходимо, чтобы подсистемы других слоев четко выполняли свои функции.

Стратегические  решения, как правило, влияют на облик  сети в целом, затрагивая несколько  слоев, хотя первоначально касаются только одного конкретного слоя или  даже отдельной подсистемы этого слоя. Такое взаимное влияние продуктов и решений нужно обязательно учитывать при планировании технической политики развития сети, иначе можно столкнуться с необходимостью срочной и непредвиденной замены, например, сетевой технологии, из-за того, что новая прикладная программа испытывает острый дефицит пропускной способности для своего трафика.

Глава 2. Организация и средства поддержки корпоративной сети

2.1Архитектура

По результатам  обследования необходимо выбрать архитектуру  системы. Для корпоративных систем рекомендуется архитектура клиент/сервер. Архитектура клиент/сервер предоставляет технологию доступа конечного пользователя к информации в масштабах предприятия. Таким образом, архитектура клиент/сервер позволяет создать единое информационное пространство, в котором конечный пользователь имеет своевременный и беспрепятственный (но санкционированный) доступ к корпоративной информации.

Информационное  обследование позволяет выбрать  аппаратно-программную реализацию системы.

2.2 Структура корпоративной сети

Для подключения  удаленных пользователей к корпоративной  сети самым простым и доступным  вариантом является использование  телефонной связи. Там, где это возможно, могут использоваться сети ISDN. Для  объединения узлов сети в большинстве  случаев используются глобальные сети передачи данных. Даже там, где возможна прокладка выделенных линий (например, в пределах одного города) использование технологий пакетной коммутации позволяет уменьшить количество необходимых каналов связи и - что немаловажно - обеспечить совместимость системы с существующими глобальными сетями.

Подключение корпоративной  сети к Internet оправдано, если вам нужен  доступ к соответствующим услугам. Использовать Internet как среду передачи данных стоит только тогда, когда  другие способы недоступны и финансовые соображения перевешивают требования надежности и безопасности. Если вы будете использовать Internet только в качестве источника информации, лучше пользоваться технологией "соединение по запросу" (dial-on-demand), т.е. таким способом подключения, когда соединение с узлом Internet устанавливается только по вашей инициативе и на нужное вам время. Это резко снижает риск несанкционированного проникновения в вашу сеть извне.

Для передачи данных внутри корпоративной сети также  стоит использовать виртуальные каналы сетей пакетной коммутации. Основные достоинства такого подхода - универсальность, гибкость, безопасность

2.3 Оборудование корпоративных сетей

Корпоративная сеть - это достаточно сложная структура, использующая различные типы связи, коммуникационные протоколы и способы  подключения ресурсов.

Все оборудование сетей передачи данных можно условно  разделить на два больших класса - периферийное, которое используется для подключения к сети оконечных узлов, и магистральное или опорное, реализующее основные функции сети (коммутацию каналов, маршрутизацию и т.д.). Четкой границы между этими типами нет - одни и те же устройства могут использоваться в разном качестве или совмещать те и другие функции. Следует отметить, что к магистральному оборудованию обычно предъявляются повышенные требования в части надежности, производительности, количества портов и дальнейшей расширяемости. Периферийное оборудование является необходимым компонентом всякой корпоративной сети. Функции же магистральных узлов может брать на себя глобальная сеть передачи данных, к которой подключаются ресурсы. Как правило, магистральные узлы в составе корпоративной сети появляются только в тех случаях, когда используются арендованные каналы связи или создаются собственные узлы доступа.

Периферийное  оборудование корпоративных сетей  с точки зрения выполняемых функций  также можно разделить на два  класса. Во-первых, это маршрутизаторы (routers), служащие для объединения однородных LAN (как правило, IP или IPX) через глобальные сети передачи данных. В сетях, использующих IP или IPX в качестве основного протокола - в частности, в той же Internet - маршрутизаторы используются и как магистральное оборудование, обеспечивающее стыковку различных каналов и протоколов связи. Маршрутизаторы могут быть выполнены как в виде автономных устройств, так и программными средствами на базе компьютеров и специальных коммуникационных адаптеров.

Второй широко используемый тип периферийного оборудования - шлюзы (gateways), реализующие взаимодействие приложений, работающих в разных типах сетей. В корпоративных сетях используются в основном шлюзы OSI, обеспечивающие взаимодействие локальных сетей с ресурсами X.25 и шлюзы SNA, обеспечивающие подключение к сетям IBM. Полнофункциональный шлюз всегда представляет собой программно-аппаратный комплекс, поскольку должен обеспечивать необходимые для приложений программные интерфейсы.

Все крупнейшие поставщики сетевого оборудования предлагают наборы продуктов, предоставляющие руководителям информационных служб широкие возможности для построения корпоративных сетей. Они включают разнообразные аппаратные средства (концентраторы, маршрутизаторы, коммутаторы), ориентированные на создание систем на базе передовых коммуникационных технологий, включая Fast Ethernet, режим асинхронной передачи (ATM) и виртуальные сети. Интеграция этих технологий в широкомасштабные информационные системы направлена на повышение пропускной способности.

С точки зрения пользователя все ADSL модемы можно делятся на четыре группы

-  внутренние PCI модемы

-  внешние  модемы с интерфейсом USB

-  внешние  модемы с интерфейсом Ethernet

-  внешние  маршрутизаторы (роутеры) с интерфейсом  Ethernet

Внутренние ADSL модемы по сравнению с внешними имеют те же достоинства и недостатки, что и модемы классические. С одной стороны, они не занимают место на столе, не требуют отдельного блока питания и заметно уменьшают количество проводов, но, с другой стороны, для установки требуют вскрытия системного блока (что не всегда возможно, если блок находится на гарантии и опечатан), а также не могут работать без драйверов, а потому, как правило, подходят только для пользователей MS Windows (как и в случае с классическими PCI модемами, для альтернативных систем драйвера существуют далеко не всегда, да и качество их обычно оставляет желать лучшего). Настройка модема осуществляется с помощью специальной утилиты, поставляемой вместе с драйверами.

Внешние USB модемы обеспечивают такую же функциональность, как и внутренние модемы. Они обладают всего двумя разъемами – USB и разъемом для подключения телефонной линии и, как правило, двумя индикаторами – один светодиод показывает, что модем включен, а другой – что установлено ADSL соединение. Как и PCI модемы, они могут работать только в мостовом режиме – даже если для модема заявлена поддержка PPPoE, то на практике это будет означать попросту наличие собственного PPPoE клиента в его драйвере. Опять же, для работы модему требуются драйвера, а для настройки – специальная утилита, так что пользователям систем, отличных от MS Windows, стоит как минимум предварительно выяснить наличие и качество работы драйверов под их ОС, а еще лучше – обратить внимание на модемы с интерфейсом Ethernet.

Более универсальны ADSL модемы с интерфейсом Ethernet – для работы с ними от операционной системы требуется лишь поддержка протокола TCP/IP и любой сетевой карты с интерфейсом 10Base-T ("витая пара"), к которому и подключается модем. Настройка модема также не требует каких-либо специальных драйверов или утилит – она производится из любого броузера (модем имеет собственный HTTP-сервер и web-интерфейс для конфигурирования), а многие модемы поддерживают и подключение по telnet для сторонников командной строки.

Теоретически  такой модем можно подключать даже напрямую к хабу или свитчу, на котором организована домашняя локальная сеть, однако практически в этом, как правило, нет никакого смысла – эти модемы не поддерживают ни трансляции сетевых адресов (Network Address Translation, сокращенно NAT), ни каких-либо методов авторизации (PPPoE либо PPPoA), они могут лишь выполнять функции конвертера между интерфейсами ATM и Ethernet. Таким образом, основное их преимущество над USB-модемами заключается в наличие интерфейса, поддерживаемого всеми современными ОС и, соответственно, в отсутствии необходимости в каких-либо специфических драйверах.

Наиболее распространенным способом подключения сетей к  интернету в условиях, когда провайдер  предоставляет только один IP-адрес, является использование трансляции сетевых адресов (NAT). В этом случае компьютерам внутри сети раздаются так называемые частные IP-адреса (часто их еще называют "серыми") – эти адреса могут использоваться любым желающим, но только в пределах локальной сети, в глобальной же Сети они не имеют какого-либо смысла. Очевидно, что по этой причине компьютеры с частными IP-адресами могут быть доступны только из той локальной сети, в которой они расположены за ее пределами такая адресация теряет всякий смысл; поэтому для обеспечения доступа в интернет устанавливается сервер, имеющий сразу два адреса – "серый", соответствующий локальной сети, и "белый", доступный снаружи для всех желающих. Если же на сервер из локальной сети поступает пакет, идущий наружу – сервер подменяет в нем "серый" адрес отправителя на собственный "белый" адрес и отправляет дальше, одновременно запоминая, с какого "серого" адреса этот пакет пришел, чтобы, когда из интернета придет ответ на него, переправить этот ответ отправителю исходного пакета. Этот механизм и называется трансляцией сетевых адресов и обеспечивает наиболее прозрачный и наименее зависимый от используемых приложений и операционных систем способ подключения локальных сетей к интернету.

Разновидность ADSL модемов, имеющих встроенную поддержку NAT, называется ADSL маршрутизаторами, либо роутерами. Кроме собственно NAT, большинство ADSL маршрутизаторов поддерживают также PPPoE и PPPoA протоколы (то есть способны при необходимости самостоятельно авторизоваться у провайдера, без установки PPPoE-клиента на пользовательский компьютер), способны работать DHCP-сервером, автоматически раздавая IP-адреса и базовые настройки подключенным к ним компьютерам, а также имеют в своем составе DNS-сервер и файрволл. Иначе говоря, ADSL маршрутизатор способен легко заменить отдельный сервер, полностью обеспечивая функционирование и доступ в интернет небольшой локальной сети. Конечно, для сколько-нибудь серьезной сети возможностей модема не хватит – в нем нет подсчета трафика для каждого из компьютеров сети, фильтрации URL'ов, кэширующего прокси-сервера и многого другого, однако для небольшой домашней сети, состоящей обычно максимум из трех-четырех компьютеров (например, один настольный компьютер и два ноутбука), такой модем является практически идеальным решением.

Как и рассмотренные выше Ethernet ADSL модемы, маршрутизаторы подключаются через интерфейс Ethernet, причем в данном случае возможность подключить их к свитчу или хабу напрямую становится куда более заманчивой. Настройка модемов также осуществляется через web-интерфейс с помощью любого броузера, но многие модели поддерживают и такие протоколы, как telnet и SNMP. Зачастую Ethernet ADSL модемы оказываются упрощенными версиями ADSL маршрутизаторов, возможности которых ограничены программно – сравните, например, D-Link DSL-300G и DSL-500G.

Весьма привлекательны ADSL маршрутизаторы и для домашних пользователей, имеющих только один компьютер. Во-первых, такой роутер за счет использования NAT позволяет  отгородить компьютер от сети, полностью  защитив его от червей, подобных MSBlast – дело в том, что к компьютеру, имеющему "серый" IP-адрес, невозможно получить прямой доступ из Интернета, ибо в качестве получателя пакета обязательно должен быть указан адрес "белый", то есть адрес маршрутизатора. Способа же указать маршрутизатору извне, что этот пакет должен предназначаться для какого-либо из подключенных к нему локальных компьютеров, в общем случае не существует – поэтому все попытки атак будут приходиться на маршрутизатор, которому они не смогут причинить ни малейшего вреда хотя бы потому, что стоящая на нем ОС не имеет ничего общего с Windows. Кроме того, ADSL маршрутизатор является полностью самостоятельным устройством

Внешние маршрутизаторы со встроенными свитчами и точками  доступа Wi-Fi ADSL маршрутизаторы со встроенными  свитчами, точками доступа Wi-Fi, принт-серверами и т.д. Такой маршрутизатор позволяет организовать небольшую домашнюю сеть без использования какого-либо дополнительного оборудования, что не только весьма удобно, но и обходится дешевле покупки двух или трех отдельных устройств. Та же часть устройства, что отвечает за ADSL и доступ в интернет, ничем не отличается от таковой в обычных ADSL маршрутизаторах.

2.4 Каналы связи корпоративной сети

Первая проблема, которую приходится решать при создании корпоративной сети - организация каналов связи. Каналы связи — создаются по линиям связи при помощи сложной электронной аппаратуры и кабелей связи.

Кабель связи — это длинномерное изделие электротехнической промышленности. Существуют множество различных модификаций кабелей для ЛВС:

• тонкие коаксиальные кабели;
• толстые коаксиальные кабели;
• экранированные витые пары, которые выглядят как электрическая проводка;
• неэкранированные витые пары;
• оптоволоконные кабели, которые могут работать на больших расстояниях и с большей скоростью, чем другие типы кабелей. Однако их прокладка и сетевые адаптеры для них довольно дороги.

Из кабелей  связи (и массы других вещей) строят линии связи. Длина линий связи колеблется от десятков метров до десятков тысяч километров. В любую более-менее серьезную линию связи, кроме кабелей, входят: траншеи, колодцы, муфты, переходы через реки, море и океаны, а также грозозащита (равно как и другие виды защиты) линий.