Разработка сетевой инфраструктуры головного офиса компании Мэйл.Ру

 

Исходя из  достоинств и недостатков описанных вариантов, для решения задачи идентификации трафика  пользователей  и ограничения доступа к корпоративной сети неавторизованным пользователям, больше всего подходит решение на основе 802.1x, которое хоть и требует значительной инфраструктуры и конфигурации на начальном этапе, в дальнейшем, помимо решения основных задач, так же позволит централизованное управление настройкой портов коммутаторов за счет передаваемых с RADIUS-сервера атрибутов.

1.3.6 Обзор существующих решений построения корпоративной БЛВС

Определившись с протоколами и стандартами, на основе которых будет строится проводная сеть головного офиса – 802.11, ethernet, TCP/IP,  требуется рассмотреть и выбрать подходящее решение по структуре беспроводной сети.

БЛВС на основе стандарта 802.11 может быть организована по одной из трех топологий:

•  BSS (Basic Service Sets) – группа работающих по стандарту 802.11 станций, с центральным пунктом связи – точкой доступа. Клиентские станции не связываются друг с другом, отправляя весь трафик точке доступа, которая в свою очередь доставляет кадры адресату.
• IBSS (Independent Basic Service Sets) – децентрализованная, ad-hoc топология. Отсутствует центральный узел связи, беспроводные станции передают трафик, связываясь непосредственно друг с другом. Распределение времени в течении которого вещает каждая станция так же происходит децентрализовано.
• ESS (Extended Service Sets) – объединение нескольких инфраструктур BSS с целью увеличения зоны покрытия и распределения сетевого трафика. Для соединения между BSS используется независимый канал, который может быть как беспроводным, так и проводным.

Для осуществления целей проекта подходит только последняя из перечисленных топологий, так как в случае с BSS одна общая точка доступа  является единственной точкой отказа, физически не может обеспечить покрытие во всем здании, а так же подразумевает под собой деление пропускной  способности между всеми подключенными абонентами.  IBSS так же не подходит из-за динамически меняющейся топологии сети, отсутствия централизованного управления, низкой скорости передачи данных (не более 11Мбит/с согласно стандарту 802.11), и слабой защищенностью – единственный поддерживаемый способ шифрования WEP.

Определившись с топологией, необходимо рассмотреть возможные варианты объединения множества точек доступа в единую систему. Точки доступа могут быть:

• Автономные (децентрализованные, «умные»). Автономные точки доступа полностью самостоятельно отвечают за доставку трафика абонентов, применение политик безопасности, мониторинг эфира и выбор канала.
• Работающие под управлением контроллера беспроводной сети (так называемые lightweight AP, «легковесные»). Возможно как решения в котором весь трафик беспроводных пользователей сначала передается точкой доступа контроллеру, так и подход при котором контроллер осуществляет только контроль за единообразием настроек фактически автономных точек доступа.

Так же, стандарт 802.11 не дает указаний по способу организации и управления радиоканалами, поэтому имеет место быть как использование точками доступа для работы статически заданных диапазонов частот, так и динамическая настройка канала.

Преимущество автономных точек доступа очевидно – отсутствие единой точки отказа (контроллера беспроводной сети), отсутствие в сети избыточного управляющего трафика между контроллером и точками доступа. Данное решение прекрасно подходит для небольших проектов. Однако, когда появляется необходимость в общей конфигурации и политике безопасности для множества точек доступа, согласовании каналов каждой из точек доступа, автоматической реакции на интерференцию, разворачивании дополнительных сервисов – таких как, например, определение местоположения абонентов – гораздо эффективней использовать решение на основе связки «легковесных» точек доступа и контроллера беспроводной сети. Главную проблему этого подхода можно устранить используя несколько контроллеров и механизмы резервирования.

Может отличаться в зависимости от задачи и способ соединения точек между собой – это может быть беспроводной канал связи (так же реализованный по стандарту 802.11, но в другом частотном диапазоне) – такое построение БЛВС так же часто называют mesh, либо локальная сеть. Точки доступа поддерживающие mesh-сети, значительно дороже, сложнее в конфигурации – особенно если стоит требование отказоустойчивости. Обычно беспроводной канал связи используется при организации БЛВС за пределами зданий, в местах где использование проводной сети невозможно либо нецелесообразно. Для офисной сети вполне подойдет подключение точек через общую локальную сеть на основе Ethernet.

1.3.7 Обеспечение сетевой безопасности БЛВС

В отличии от ЛВС и кабельной системы, проконтролировать физический доступ к среде распространения сигнала невозможно -  Wi-Fi использует радиоэфир. Поэтому, по стандарту 802.11  возможно использование следующих инструментов обеспечения конфиденциальности и защиты передаваемых данных авторизованных пользователей от прослушивания, в первую очередь основанных на различных способах шифрования:

• WEP (Wired Equivalen Privacy) – один из ранних способов защиты передаваемых в сетях 802.11 данных, алгоритм RC4 и статический ключ.  Существует две разновидности WEP – WEP-40 и WEP-104, с различной длиной ключа. Больше бит – большее количество возможных комбинаций, и, в теории, большая стойкость ко взлому. В случае с WEP-40 используется 64-битное шифрование, причем 40 бит являются статическими, а оставшаяся часть ключа является динамической (вектор инициализации), и меняется в процессе работы сети. Шифр RC4 имеет две основных проблемы – возможность коллизии (повторения) векторов инициализации в течении определенного промежутка времени и возможность изменения передаваемых кадров. Для взлома требуется перехват кадров и анализ беспроводной сети, однако используя специальные утилиты на современном оборудовании WEP “ломается” за считанные минуты. Для повышения безопасности передаваемых данных в таких сетях можно применять туннелирование с использованием более крипкостойких алгоритмов для шифрования трафика.
• WPA (Wi-Fi Protected Access) – технология пришедшая на смену WEP в качестве меры защиты беспроводных сетей от перехвата передаваемых данных. В отличии от WEP, обладает механизмом аутентификации пользователей. WPA является суммой нескольких технологий – IEEE 802.1x, EAP, TKIP, MIC. Основой механизма аутентификации пользователей является протокол EAP (Extensible Authentication Protocol, Расширяемый Протокол Аутентификации). Каждый подключающийся к беспроводной сети пользователь должен пройти проверку по базе зарегистрированных пользователей, обычно расположенных на внешнем сервере (RADIUS).  Существует упрощенный режим, WPA-PSK, для аутентификации пользователя в котором достаточно ввести один  общий пароль для узла беспроводной сети. За счет использования MIC и TKIP достигается более высокий уровень шифрования. TKIP (Temporal Key Integrity Protocol) – протокол динамических ключей сети, так же основанный на RC4, но в отличии от WEP длина ключа увеличена до 128 бит, ключи генерируются автоматически, вместо использования статического 40-битного в WEP-64. MIC (Message Integrity Check) – протокол проверки целостности пакетов, защищает данные от перехвата и перенаправления. Не смотря на то что недостатки WEP в данной технологии были устранены, в 2008-2009 году были продемонстрированы возможности достаточно быстрого «взлома» и перехвата трафика в таких сетях, основанные на уязвимостях TKIP.
• WPA2 – усовершенствованная версия WPA, где на замену TKIP пришел AES (Advanced Encryption Standard) и CCMP (Counter Mode with Cipher Block Chaining Message Authentication Code Protocol). Единственная продемонстрированная в данный момент уязвимость сетей использующих WPA2 позволяет авторизовавшемуся в сети пользователю в определенных случаях перехватить и расшифровать трафик других пользователей этой же сети.

Исходя из вышесказанного, беспроводные сети использующие WPA2 с точки зрения защиты передаваемых данных являются достойной альтернативой проводным сетям. В случае применения WEP, WPA, или же открытой сети необходимо обеспечить дополнительную защиту трафика с помощью механизмов туннелирования  трафика с шифрованием (например, IPSec).

Так же, широко используются  следующие способы дополнительно увеличить защищенность беспроводных сетей, это:

• Фильтрация подключений по MAC адресу.  MAC -  уникальный идентификатор сетевого адаптера, назначаемый производителем. Составив список разрешенных адресов, можно создать дополнительную преграду злоумышленнику. Однако, необходимость поддержания списка разрешенных mac-адресов создает дополнительную административную нагрузку и неудобство для пользователей, а злоумышленник при обнаружении такой защиты может подменить адрес своего устройства на один из разрешенных.  
• Скрытие SSID (Service Set Identifier), не позволяет обнаружить сеть при сканировани стандартными утилитами. Однако, сеть по прежнему можно обнаружить с помощью анализа трафика подключенных пользователей. Фактически, данное решение не увеличивает защищенность.

 

1.3.9 Выводы

Были рассмотрены наиболее актуальные технологии, используемые при организации корпоративных сетей, как проводные так и беспроводные решения. Выбраны наиболее подходящие для реализации проекта корпоративной сети компании. Рассмотрены решения авторизации пользователей и контроля доступа к проводной и беспроводной сети, выявлены преимущества и недостатки различных подходов, выбрано наиболее подходящее решение – семейство протоколов IEEE 802.1x.

 

 

1.4 Выбор структурообразующего оборудования

1.4.1 Введение

Проведя анализ подходов к построению корпоративной сети, а так же средств обеспечения безопасности ЛВС и БЛВС, выбрав подходящее решение для мониторинга проектируемой инфраструктуры, пора определится с оборудованием, которое будет использоваться. Необходимо выбрать подходящее оборудование для каждого из структурных блоков сети:

• Ядро системы передачи данных ГО
• Граничный блок системы передачи данных ГО
• Система беспроводной локальной вычислительной сети (БЛВС)
• Уровень доступа ЛВС
• Офисный ЦОД

1.4.2 Оборудования ядра системы передачи данных

Одним из критериев выбора оборудования для сети ГО, описанных в начале раздела было использование уже закупленных в компании устройств. Для требований ядра вполне подходят роутеры Cisco 7609, не так давно выведенные из эксплуатации в датацентрах компании. Данные устройства обладают модульной структурой и отвечают всем требованиям к оборудованию ядра. Для проекта можно использоваться два шасси, с идентичным набором модулей:

1. Cisco 7609-S – 2 шт. Модульное шасси, 9 слотов для плат расширения.
2. Cisco WS-X6724-SFP - 2 шт. Представляет из себя модуль с 24 гигабитными портами, для подключения среды передачи данных используется SFP (Small Form-Factor Pluggable).
3. Cisco WS-X6708-10GE – 8 шт. Представляет из себя модуль с 8 портами, 10Гбит/с каждый. Для подключения среды передачи данных используются трансиверы стандарта X2, либо SFP+ через переходник.
4. Cisco RSP720-3CXL-GE – 2  шт. Супервизор модульного шасси, обеспечивает управление и взаимодействие всех остальных модулей.

1.4.3 Оборудование граничного блока системы передачи данных

Под требования данного блока подходит комплекс из межсетевого экрана и роутера. Учитывая имеющийся функционал роутера Cisco 7609, выбранного в качестве оборудования ядра сети, рационально перенести на него так же часть функционала связанного с поддержкой маршрутизации, необходимых для граничного блока, обеспечив необходимое взаимодействие структурных блоков сети с помощью технологии VRF (Virtual Routing and Forwarding). Тогда для граничного блока остается выбрать подходящий под требования межсетевой экран. Таковым является Cisco ASA 5585-SSP-40, в количестве двух штук для резервирования функционала. Межсетевой экран обеспечивает необходимую производительность (пропускная способность до 20Гбит/с), испекцию трафика, трансляцию адресов, подключение удаленных офисов, и в сочетании с маршрутизатором отвечает всем сформулированным выше требованиям к оборудованию граничного блока.

 

1.4.4 Оборудование системы БЛВС

Рассмотрев существующие подходы организации корпоративной беспроводной сети, стало очевидно что для сети головного офиса компании больше всего подходят решения на основе легковесных точек доступа и контроллера беспроводной сети. Подобное оборудование предлагают несколько производителей – Cisco, Aruba, Juniper. Решение от Aruba Networks, как подходящее для реализации проекта, было взято у поставщика на тестирование, но были выявлены критические недостатки – в первую очередь касающиеся стабильности и защищенности. Так же, в московском офисе компании уже используется подобное оборудование (контроллер Cisco Aironet 4402 и сотня точек доступа), то при построении новой сети рационально использовать так же контроллер и точки доступа производства  Cisco Systems – это обеспечит совместимость, и позволит при необходимости задействовать имеющиеся точки доступа. Единственным подходящим под требования к БЛВС решением производства Cisco является контроллер AIR-CT5508-250-K9, в количестве двух штук для резервирования. Контроллер обеспечивает работу 250 точек доступа. Возможно увеличение количества поддерживаемых точек доступа путем приобретения и установки дополнительных лицензий на контроллер беспроводной сети. Разумно так же использовать точки доступа Cisco AIR-CAP3602i-R-K9 – они обеспечивают двухдиапазонное покрытие и радиочастотный мониторинг, обладают встроенным спектроанализатором, а так же, за счет наличия четырех антенн (MIMO 4x4) и поддержки 802.11n позволяют передачу данных в беспроводной сети с теоретически достижимой пропускной способностью до 450Мбит/с, удовлетворяя требованиям к пропускной способности и масштабируемости корпоративной БЛВС.

1.4.4 Оборудование уровня доступа

Для использования в качестве оборудования уровня доступа более всего подходят коммутаторы третьего уровня Juniper Networks EX4200-48PX. Коммутаторы этой серии хорошо зарекомендовали себя при эксплуатации в датацентрах компании, накоплен большой опыт их использования и решения возможных проблем. Так же они поддерживают необходимые для решения поставленной задачи стандарты – 802.3af, 802.3ae, 802.3ab, 802.3ad, 802.1q, поддерживают igmp и igmp-snooping, маршрутизацию трафика и протоколы динамической маршрутизации – тем самым давая большую свободу в выборе схемы сегментации сети и управлении трафиком пользователей.

 

1.4.5 Оборудование офисного ЦОД

Требования к сетевому оборудованию ЦОД, за исключением поддержки технологий связанных с безопасностью передаваемых данных и электропитания подключенных устройств, не сильно отличается от необходимого для оборудования уровня доступа. Рационально будет использовать те же коммутаторы Juniper Networks EX4200-48PX, либо коммутаторы той же серии, но без поддержки 802.3af - Juniper Networks EX4200-48T.

 

1.5 Выводы

Были сформулированы цели и требования к проектируемой сетевой инфраструктуры. Проведен обзор и анализ технологий, протоколов и стандартов, которые могут быть использованы для выполнения задач проекта.  Проведен обзор способов обеспечения сетевой безопасности как в проводных, так и в беспроводных сетях. Проведен анализ и выбраны подходящие для проектируемой сетевой инфраструктуры системы мониторинга. Выбрано оборудование, отвечающее сформулированным требованиям и поддерживающее необходимые стандарты и протоколы, которое и будет использоваться в проекте.

 

 

2. Специальная часть

2.1 Введенеие

Используя полученные в предыдущих главах данные, можно приступать к разработке проекта сетевой инфраструктуры головного офиса. Данная глава включает в себя:

• Разработку логической и физической схем проектируемой ЛВС – проводной сети, построенной на оптических кабелях и витой паре
• Разработку схемы БЛВС, выбор расположения точек доступа
• Разработку решения обеспечения безопасности и аутентификации пользователей проводной и беспроводной сети

2.2 Описание объекта 

Новый офис расположен по адресу: Москва, Ленинградский проспект, 39, БЦ «Skylight», башня А, и представляет собой офисное здание высотой в 26 этажей.

Согласно плану, на первом этаже располагаются несколько зон различного назначения общей площадью 2500 м.кв. (50м*50м). Туда включаются:

• Конференц-зал на 460 мест (480 м.кв., зона повышенной плотности пользователей)
• Корпоративный ресторан общей площадью ~580 м.кв.
• Кофейня общей площадью 95 м.кв.
• Гардероб, вспомогательные площади