Разработка сетевой инфраструктуры головного офиса компании Мэйл.Ру

Диапазоны IP-адресов для приватного использования  определены в документах IETF - RFC1918 и  RFC4193. Согласно RFC для протокола IPv4  это блоки:

• 10.0.0.0 - 10.255.255.255 (10.0.0.0/8)
• 172.16.0.0 - 172.31.255.255 (172.16.0.0/12)
• 192.168.0.0 – 192.168.255.255 (192.168.0.0/16)

Ни один из этих диапазонов не обеспечивает достаточного адресного пространства для создания удобной и прозрачной схемы нумерации, без пересечения с используемыми в других проектах компании блоками адресов. От необходимости дробить внутренне офисное адресное пространство на несколько меньших блоков (что заметно затруднит дальнейшее администрирование и диагностику возможных проблем), спасает недавно опубликованный RFC6598, предоставляющий для приватного использования новый блок:

• 100.64.0.0-100.127.255.255 (100.64.0.0/10)

Данный блок адресов практически не используется, и для нужд офиса вполне хватит половины имеющегося диапазона даже в долговременной перспективе. Таким образом, для внутренних адресов головного офиса будет использоваться блок 100.64.0.0/11. Используемая схема адресации следующая:

 

Подсеть	Блок сети	Назначение
100.64.0.0/16	Ядро, ЦОД	Серверное оборудование, сегментация по 512 адресов (/23)
100.65.0.0/16	Ядро, контроллеры БЛВС	Пользовательские  и сервисные беспроводные сети. Сегментация по 256 адресов (/24), по одному блоку на 802.1x группу.
100.65.254.0/23	Ядро, уровень доступа, БЛВС, ЦОД, граничный блок	Сервисные адреса – интерфейсные и Loopback’и.
100.90.0.0/16 - 100.95.0.0/16	Уровень доступа	Адреса для пользовательских проводных сетей. По одному блоку /16 на этажный стек. Сегментация в пределах этажа – по /24 на 802.1x группу.
185.6.244.0/22	Граничный блок, ЦОД	Внешние адреса головного офиса, сегментация по 256 адресов (/24)
100.66.0.0/16 100.67.0.0/16 100.68.0.0/16 100.69.0.0/16 100.69.0.0/16	Зарезервированы	Адреса, зарезервированные для дальнейшего использования

 Таблица 1. Схема адресации.

2.8 Выводы

В ходе работы были определены логические схемы структурных блоков сетевой инфраструктуры и наиболее рациональные способы подключения какждого из блоков к ядру сети. Выбрана конфигурация и  расположение точек доступа беспроводной сети. Приведен механизм авторизации пользователей проводной и беспроводной сети. Создан план адрессации с учетом особенностей сетевой инфраструктуры – подребность в большом количестве адресов в силу использования маршрутизации на уровен доступа. Создана необходимая для реализации проекта физическая схема. Разработанная система готова к внедрению  и полностью удовлетворяет поставленным требованиям. 
3 Экспериментальная часть

3.1 Проверка работоспособности выбранных решений на стенде

3.1.1 Введение

Большинство принятых решений уже неоднократно испытаны в ходе эксплуатации сети в компании, и не требуют дополнительного тестирования – такие механизмы как резервирование шлюза с помощью протокола VRRP, ECMP балансировка трафика, передача мультикаст-трафика с использованием PIM-SM, и обеспечение беспроводного покрытия с помощью «легковесных» точек доступа и контроллеров беспроводной сети уже успешно применяются в других офисах компании. Проверки на стенде требует технология 802.1x авторизации пользователей проводной сети.

 

3.1.2 Тестирование проводного 802.1x

Для проверки работоспособности выбранного решения авторизации пользователей в проводной сети, был собран стенд из коммутатора Juniper EX4200, виртуализированного сервера с Windows Server 2008 и тестового компьютера с установленной ОС Windows 7.

Рисунок 14. Cхема тестового стенда для проверки 802.1x авторизации

3.1.3 Настройка RADIUS-сервера

При тестировании использовался встроенный в ОС Windows 7 802.1x суппликант, «Служба проводной автонастройки». Необходимая конфигурация со стороны сервера аутентификации (PNAC):

• Служба NPS запущена
• NPS зарегистрирован в Active Directory
• Создан шаблон Pre-shared key
• Добавлен radius-клиент – тестовый свич, указан его адрес и шаблон
• Созданы политики авторизации – «RADIUS-сервер для беспроводных или кабельных подключений 802.1x»
• Выбран метод проверки подлинности – тестировался PEAP
• Указаны «Параметры управления трафиком» - настроены атрибуты, которые будут отдаваться сервером коммутатору при авторизации пользователя – необходимо для работы функции назначения VLAN’а при авторизации. Необходимые атрибуты – Tunnel-Type=VLAN, Tunnel-Medium-Type = 802 , Tunnel-Private-Group-ID = test

 

3.1.4 Настройка коммутатора

Со стороны коммутатора необходимая конфигурация 802.1x несколько лаконичнее.  Настроена тестовый RADIUS-сервер как способ авторизации:

172.16.11.37 {

        port 1812;

        secret "$9$hashhashahshashahsh"; ## SECRET-DATA

        source-address 172.16.8.249;

    }

profile profile1 {

    authentication-order radius;

    radius {

        authentication-server 172.16.11.37;

    }

}

 

Так же включена 802.1x авторизация в режиме одиночного клиента на всех интерфейсах коммутатора:

authenticator {

    authentication-profile-name profile1;

    interface {

all {

            supplicant single;

}

    }

}

3.1.5 Проверка работоспособности

Изначально, на тестовом пользовательском компьютере служба проводной автонастройки отключена. Процесс 802.1x авторизации не начинается, что и видно в интерфейса коммутатора:

admin@ex4200> show dot1x interface ge-0/0/0 detail

ge-0/0/0.0

  Role: Authenticator

  Administrative state: Auto

  Supplicant mode: Single

  Number of retries: 3

  Quiet period: 60 seconds

  Transmit period: 30 seconds

  Mac Radius: Disabled

  Mac Radius Restrict: Disabled

  Reauthentication: Enabled

  Configured Reauthentication interval: 3600 seconds

  Supplicant timeout: 30 seconds

  Server timeout: 30 seconds

  Maximum EAPOL requests: 2

  Guest VLAN member: <not configured>

  После включения службы прводной автонастройки и ввода логина и пароля пользователя на тестовом компьютере, авторизация прошла успешно и порт коммутатора был переведен в нужный VLAN:

 

ge-0/0/0.0

  Role: Authenticator

  Administrative state: Auto

  Supplicant mode: Single

  Number of retries: 3

  Quiet period: 60 seconds

  Transmit period: 30 seconds

  Mac Radius: Disabled

  Mac Radius Restrict: Disabled

  Reauthentication: Enabled

  Configured Reauthentication interval: 3600 seconds

  Supplicant timeout: 30 seconds

  Server timeout: 30 seconds

  Maximum EAPOL requests: 2

  Guest VLAN member: <not configured>

Supplicant: mail\t.est, BC:AE:C5:EA:FF:FF

      Operational state: Authenticated

      Backend Authentication state: Idle

      Authentcation method: Radius

      Authenticated VLAN: test

      Session Reauth interval: 3600 seconds

      Reauthentication due in 2911 seconds

 

Для работы нескольких устройств подключенных к одному порту свича (например IP-телефона со встроенным коммутатором, через который подключается пользовательская система) потребовалось разрешить подключение нескольких пользователей в конфигурации EX4200:

authenticator {

    authentication-profile-name profile1;

    interface {

all {

            supplicant multiple;

}

    }

}

 

  3.1.6 Выводы

По результатам проверки на стенде работоспобность выбранных решений для построения корпоративной сети и обеспечения выполнения корпоративных политик сетевой безопасности была подтверждена.

 

3.2 Оценка соответствия техническому заданию

Разработанная система полностью соответствует всем требованиям технического задания. Построенная сетевая инфраструктура головного офиса обладает следующими характеристиками:

• Безопасность – за счет использования 802.1x авторизации пользователей для доступа к сети,  шифрования передаваемых данных там, где это необходимо, отделения внешней сети от внутренней.
• Устойчивость и высокая степень доступности – с помощью резервирования ключевых узлов системы и использования протоколов с высокой скоростью сходимости.
• Масштабируемость – за счет расширяемости логической структуры сети, физической системы предусматривающей дальнейшее расширение.
• Высокий  уровень функциональности – за счет функционала выбранного для построения сети оборудования, и ориентированности на стандартные протоколы и технологии.
• Удобство и простота в обслуживании – достигается с помощью единообразия используемого оборудования и его конфигурации, автоматизации настройки оборудования уровня доступа с использованием IEEE 802.1x – конфигурация портов в зависимости от подключенного пользователя, применение правил фильтрации передаваемых данных

 

3.3 Внедрение системы

Разработанная информационная система реализована и развернута в компании ООО «Мэйл.Ру». В ходе эксплуатации корпоративная сеть головного офиса доказала соответствие предъявляемым к ней требованиям и нуждам компании. 
4.Охрана труда

• 4.1. Исследование возможных опасных и вредных факторов при эксплуатации ЭВМ и их влияния на пользователей

• 4.1.1. Введение

Охрана труда – это система законодательных актов, социально-экономических, организационных, технических, гигиенических и лечебно-профилактических мероприятий и средств, обеспечивающих безопасность, сохранение здоровья и работоспособности человека в процессе труда.

Полностью безопасных и безвредных производственных процессов не существует. Задача охраны труда – свести к минимуму вероятность поражения или заболевания работающего с одновременным обеспечением комфорта при максимальной производительности труда.

В процессе использования ПЭВМ здоровью, а иногда и жизни оператора, угрожают различные вредные факторы, связанные с работой на персональном компьютере. Типичными ощущениями, которые испытывают к концу дня люди, работающие за компьютером, являются: головная боль, резь в глазах, тянущие боли в мышцах шеи, рук и спины, зуд кожи на лице и т.п. Испытываемые каждый день, они могут привести к мигреням, частичной потере зрения, сколиозу, тремору, кожным воспалениям и другим нежелательным явлениям.

Была выявлена связь между работой на компьютере и такими недомоганиями, как астенопия (быстрая утомляемость глаза), боли в спине и шее, запястный синдром (болезненное поражение срединного нерва запястья), тендениты (воспалительные процессы в тканях сухожилий), стенокардия и различные стрессовые состояния, сыпь на коже лица, хронические головные боли, головокружения, повышенная возбудимость и депрессивные состояния, снижение концентрации внимания, нарушение сна и немало других, которые не

только ведут к снижению трудоспособности, но и подрывают здоровье людей.

Основным источником проблем, связанных с охраной здоровья людей, использующих в своей работе автоматизированные информационные системы на основе персональных компьютеров, являются дисплеи (мониторы), особенно дисплеи с электронно-лучевыми трубками. Они представляют собой источники наиболее вредных излучений, неблагоприятно влияющих на здоровье операторов и пользователей.

Любой производственный процесс, в том числе работа с ЭВМ, сопряжен с наличием опасных и вредных факторов.

Опасный фактор – это производственный фактор, воздействие которого на работающего в определенных условиях приводит к травме или другому резкому внезапному ухудшению здоровья.

Вредный фактор – производственный фактор, приводящий к заболеванию, снижению работоспособности или летальному исходу. В зависимости от уровня и продолжительности воздействия, вредный производственный фактор может стать опасным.

Рассмотрим, какие могут быть вредные факторы при эксплуатации ращличных элементов ПЭВМ.

Питание ПЭВМ производится от сети 220В. Так как безопасным для человека напряжением является напряжение 40В, то при работе на ПЭВМ опасным фактором является поражение электрическим током.

В дисплее ПЭВМ высоковольтный блок строчной развертки и выходного строчного трансформатора вырабатывает высокое напряжение до 25кВ для второго анода электронно-лучевой трубки. А при напряжении от 5 до 300 кВ возникает рентгеновское излучение различной жесткости, которое является вредным фактором при работе с ПЭВМ (при 15 – 25 кВ возникает мягкое рентгеновское излучение).

Изображение на ЭЛТ создается благодаря кадрово-частотной развертке с частотой: 85 Гц (кадровая развертка); 42 кГц (строчная развертка).

Следовательно, пользователь попадает в зону электромагнитного излучения низкой частоты, которое является вредным фактором.

Во время работы компьютера, дисплей создает ультрафиолетовое излучение, при повышении плотности которого > 10 Вт/м2, оно становится для человека вредным фактором. Его воздействие особенно сказывается при длительной работе с компьютером.

Во время работы компьютера, вследствие явления статического электричества, происходит электризация пыли и мелких частиц, которые притягиваются к экрану. Собравшаяся на экране электризованная пыль ухудшает видимость, а при повышении подвижности воздуха, попадает на лицо и в легкие человека, вызывает заболевания кожи и дыхательных путей.

Выводы: Из анализа вредных факторов следует необходимость защиты от них. При эксплуатации перечисленных элементов вычислительной техники могут возникнуть следующие опасные и вредные факторы:

1. Поражение электрическим током.
2. Ультрафиолетовое излучение.
3. Электромагнитное излучение.
4. Статическое электричество.
5. Синдром компьютерного стресса.

• 4.1.2. Влияние электрического тока

Электрический ток, воздействуя на человека, приводит к травмам. Проходя через тело человека, электрический ток оказывает следующие воздействия: