Разработка сетевой инфраструктуры головного офиса компании Мэйл.Ру

Правительство Российской Федерации

Федеральное государственное автономное образовательное учреждение

высшего профессионального образования

«Национальный исследовательский университет  
«Высшая школа экономики»

 

Факультет информационных технологий и вычислительной техники

Вычислительные комплексы системы и сети (230101)

Кафедра информационно-коммуникационных технологий

 

 

ДИПЛОМНЫЙ ПРОЕКТ

Разработка сетевой инфраструктуры головного офиса компании Мэйл.Ру

 

 

Выполнил

Студент группы № С-104

Волков Аким Александрович

Научный руководитель

Старший преподаватель

Курилов Игорь Дмитриевич

 

 

 

Москва, 2013 

Аннотация

Данная дипломная работа заключается в разработке масштабируемого и отказоустойчивого решения для организации проводной и беспроводной локальной вычислительной сети  головного офиса компании ООО «Мэйл.Ру», а так же решения для обеспечения сетевой безопасности.

 

Содержание

Список литературы 114

 

 

Введение

Актуальность. Сегодня, качество и себестоимость производимых предприятием услуг и продуктов зависит от используемых предприятием технологий. В части отраслей информация является основополагающим фактором производства, а так же и основным продуктом. В связи с этим постоянно встают вопросы своевременного получения информации и защиты ее от конкурентов и недоброжелателей. Решение этих вопросов в значительной мере ложится на компьютерные сети и инфраструктуру.

Целью данной работы является  обеспечение эффективной работы компании после переезда в новое офисное здание, путем создания масштабируемой и защищенной сетевой инфраструктуры.

Задачи, которые были решены в этой работе:

• Формирование требований к создаваемой системе
• Анализ существующих решений и подходов к организации корпоративной сетевой инфраструктуры и обеспечению безопасности сети предприятия
• Разработка физический и логической схем локальной вычислительной сети
• Разработка схемы беспроводной локальной вычислительной сети
• Разработка подхода к обеспечению сетевой безопасности и авторизации пользователей
• Внедрение системы в эксплуатацию

Практическая значимость данной работы подтверждена успешной реализацией и внедрением в работу компании

Апробация работы. Спроектированная в данной работе сетевая инфраструктура прошла апробацию в ООО «Мэйл.Ру» («Акт о внедрении результатов дипломной работы»).

 

1 Обзорно-аналитическая чать

1.1 Цели и задачи

 

Основной целью данной работы является обеспечение работы компании после переезда в новое офисное здание, путем создания сетевой инфраструктуры, имеющей следующие характеристики:

• Безопасность
• Устойчивость и высокая степень доступности
• Масштабируемость
• Высокий  уровень функциональности
• Удобство и простота в обслуживании

 

Для достижения данной цели требуется решить следующие задачи:

• Выявить требования к структурным блокам разрабатываемой инфраструктуры
• Рассмотреть и проанализировать существующие подходы к построению безопасных корпоративных сетей, и выявить наиболее применимые для построения сети компании.
• Рассмотреть возможные варианты и выбрать подходящее для реализации проекта сетевое оборудование
• Разработать логическую схему проектируемой сети – проводной и беспроводной -  с учетом выбранных технологий и физических особенностей нового офисного здания
• Разработать физическую схему для проектируемой корпоративной сети
• Разработать решение для обеспечения безопасности сети и авторизации пользователей
• Принять решение об используемой в проектируемой инфраструктуре схеме адресации
• Собрать тестовый стенд и протестировать выбранные решения построения сети
• Реализовать разработанную сетевую инфраструктуру в соответствии с выбранными ранее решениями для построения сети

1.2 Выявление требований к проектируемой системе

1.2.1 Введение

В данном разделе будет произведен обзор деятельности компании в аспекте требований с сетевой инфраструктуре, рассмотрены основные условия которым должна удовлетворять информационная система. Кратко рассмотрена существующая корпоративная сетевая инфраструктура. Будут определены требования к каждому из структурных блоков сетевой инфраструктуры.

1.2.2 Деятельность компании

Основные направления деятельности Mail.ru Group – электронная почта, социальные сети, сервисы мгновенных сообщений, e-commerce, онлайн-развлечения, поиск. Посетителями проектов компании являются около 85% аудитории интернет-пользователей в России.

Компания неразрывно связана с сетью Интернет, с разработкой сетевых приложений и поддержкой существующих онлайн-сервисов. Разработка онлайн-сервисов невозможно в отсутствии стабильного, и высокоскоростного доступа в интернет. Так же, большинству подразделений требуется доступ к  корпоративной инфраструктуре, расположенной в ЦОДах компании.

Офисы компании, как в России так и за ее пределами, требуют стабильной связанности как с инфраструктурой головного офиса, так и с расположенными в Москве ЦОДами.

Видом деятельности компании так же диктуются особые требования к сетевой безопасности, контроле доступа к корпоративным ресурсам  как изнутри корпоративной сети, так и снаружи. И если вопросов с контролем доступа к внутренним ресурсам из сети Интернет не возникает – в большинстве случаев они однозначно закрыты, то разделение и определение прав доступа к внутренним ресурсам корпоративным пользователям не столь очевидно. Нередко, при исследовании инцидентов, возникает необходимость идентификации трафика, его однозначной ассоциации с одним из пользователей.

В компании активно пользуется средствами телефонии, конференц-звонками – каждому сотруднику требуется свой внутренний номер, с выделенной линией.

Значительна нагрузка на беспроводную локальную вычислительную сеть (БЛВС), все больше электронных устройств поддерживают стандарт 802.11, все больше пользователей предпочитают быть отвязанными от проводов и используют беспроводной доступ к сети интернет и корпоративным ресурсам.

Для некоторых сервисов – IPTV, синхронизация контроллеров системы освещения, требуется передача multicast-трафика.

1.2.3. Общее описание

В настоящий момент инфраструктура располагается по следующим адресам:

1. Московский офис (Л47). Адрес: г. Москва, Ленинградский п-т, д.47, стр. 2
2. Головной офис (ГО). Адрес: г. Москва, Ленинградский п-т, д.39А
3. Датацентр «М100». Адрес:  г. Москва, Варшавское шоссе 125, стр. 18а
4. Филиалы. В настоящее время более 15 филиалов в различных регионах РФ и за пределами.

 

При этом, московский офис компании (1) в ближайшее время закрывается в связи с переводом всех сотрудников и инфраструктуры в новое здание головного офиса (2), сеть которого и разрабатывается в рамках данного проекта.

1.2.4 Описание существующей инфраструктуры

Существующая корпоративная сеть компании построена на базе каналов, арендуемых у операторов связи. Региональные филиалы имеют защищенные каналы связи с датацентром «М100»  и московским офисом (Л47). Обеспечено резервирование внешних каналов. Внутренняя сеть московского офиса частично сегментирована, построена по топологии звезда. В силу слабого планирования и быстрого увеличения количества пользователей сеть развивалась не оптимально, и не справляется с нагрузками. Имеются несколько широковещательных доменов охватывающих десятки устройств – что способствует увеличению количества широквещательного трафика в сети.

БЛВС московского офиса построена на базе оборудования Cisco, с использованием «легковесных точек доступа» и контроллеров беспроводной сети.

На границе офисной сети межсетевой экран. Развернута Active Directory, все пользователи компании имеют учетную запись, использующуюся для доступа к корпоративным ресурсам. Обеспечение политик безопасности в существующей сети обеспечивается за счет правки списков доступа на коммутаторах уровня доступа, а так же за счет правил прохождения трафика на сетевом экране. Такой подход не всегда обеспечивает соблюдение и актуально правил прохождения трафика пользователей.

Развернуто несколько систем мониторинга. Существующая система управления оборудованием сети является разрозненной, отсутствует единый центр агрегации и корреляции событий, происходящих в сети. Это усложняет процесс эксплуатации сетевого оборудования и увеличивает время, затрачиваемое на разрешение проблем, что создает репутационые и финансовые риски для компании.

Одной из целей данной работы является устранение данных недостатков при построении инфраструктуры нового головного офиса компании.

 

1.2.5 Назначение системы

1. Обеспечение защищенной передачи данных по протоколу IP между:
1. Головным офисом и датацентром
2. Головным офисом и московским офисом (Л47) на время переезда инфраструктуры и сотрудников.
3. Головным офисом и филиалами
2. Обеспечение безопасного доступа в сеть Интернет для сотрудников;
3. Обеспечение доступа из сети Интернет к выделенным внутренним ресурсам
4. Обеспечение управления устанавливаемым сетевым оборудованием
5. Обеспечение возможности идентификации проходящего через систему трафика, привязки его к конкретному пользователю
6. Обеспечение сбора и обработки событий Информационной безопасности
7. Обеспечение безопасного и управляемого доступа к интрефейсам управления активного сетевого оборудования.

 

 

1.2.6 Требования к разрабатываемой системе

 

 

1.2.16 Выводы

Приведено описание деятельности компании, исходя из него выделены основные требования к необходимой сетевой инфраструктуре. Рассмотрена существующая ситуация, обнаружены недостатки, требующие исправления. Приведены требования к каждому структурному блоку проектируемой инфраструктуры, а так же к корпоративной сети в целом в аспекте надежности, производительности, используемого оборудования.

 

1.3 Обзор существующих решений построения корпоративных сетей

1.3.1 Введение

Прежде чем приступать к проектированию структуры будущей сети передачи данных, требуется выбрать технологии, которые будут использоваться. Определившись с ключевыми для проекта характеристиками, по которым будет происходить выбор стандарта, можно выбрать подходящую технологию для физического, канального и сетевого уровня модели взаимодействия открытых систем (МВОС, ISO OSI). Не смотря на некоторую условность данной модели в современном мире и неоднозначность трансляции данной модели на наиболее распространенный стек протоколов – TCP/IP, данный подход позволит определится с набором стандартов для реализации проекта, и, в дальнейшем, с используемым оборудованием.

1.3.4 Обзор существующих решений построения корпоративной ЛВС

 

3.1.3 Обеспечение сетевой безопасности ЛВС

Для обеспечения безопасности данных передаваемых по корпоративной проводной сети, использующей кабельную систему, потребует соблюдение пункта 7.2.3 ГОСТ 17799 при прокладке, а так же требуется соблюдение мер безопасности указанных в пункте 7.1 «Охраняемые зоны». Этого достаточно, чтобы предотвратить доступ неавторизованных пользователей к среде передачи данных. Для дополнительной защиты, возможно использование механизмов туннелирования и шифрования трафика, проходящего через сеть, например протоколы IPSec, PPTP.

В сетях построенных на базе стандарта IEEE 802.3 возможно так же реализовать авторизацию, защиту и идентификацию трафика пользователей следующими способами:

• Авторизация и идентификация по MAC-адресу (Media Access Control, иначе называемый Hardware Address) сетевого адаптера. Возможно в сочетании с протоколом динаимческой конфигурации узла (DHCP) и использование на коммутаторах и иных устройствах уровня доступа таких мер как DHCP-snooping и инспекция ARP-запросов. Позволяет ограничить доступ к сети и корпоративным ресурсами определенному списку MAC-адресов. Недостатки данного подхода очевидны – возросшая административная нагрузка – необходимость ведения списка MAC-адресов, которым разрешен доступ, сниженное удобство конечных пользователей, простота подмены MAC-адреса для злоумышленника, что позволит обойти данную меры защиты, не оставив следов.
• IEEE 802.1x - стандарт определяющий протокол аутентификации и контроля доступа, ограничивая права неавторизованных компьютеров подключенных к коммутатору. В общем случае, до аутентификации подключенного сетевого устройства, разрешено прохождение только EAPOL-трафика на порту коммутатора. EAPOL (extensible authentication protocol over LAN) используется для трансляции кадров между клиентом и сервером аутентификации, обычно это RADIUS-сервер. После аутентификации пользователя - получения коммутатором подтверждения от RADIUS-сервера и дополнительных атрибутов, описывающих доступные клиенту сервисы, правила фильтрации трафика, сетевое устройство получает доступ в сеть. Недостатки данного подхода – в необходимости поддержания развернутой инфраструктуры, включающей RADIUS-сервера, каналы к ним, поддержание актуальной базы пользователей, необходимость поддержки 802.1x со стороны конечных устройств и операционных систем, необходимы коммутаторы с поддержкой 802.1x. Преимущества – гибкость и централизованность данного решения, минимизация ручной конфигурации коммутаторов при подключении пользователей – большую часть необходимых настроек порта коммутатора можно передавать c RADIUS-сервереа в виде атрибутов. Так же, при использовании связки 802.1x, DHCP и сборки Netflow с сетевых устройств, появляется возможность надежной идентификации трафика и привязки его к конкретным пользователям сети.
• Туннелирование трафика, с помощью технологий VPN. Необходима соответствующая инфраструктура для терминации  такого трафика, аутентификации пользователей при подключении. Недостатки – дополнительная точка отказа, требующая резервирования (VPN-сервер и сервера авторизации пользователей), пропускная способность такой сети ограничивается возможностями VPN-сервера, сниженное удобство пользователей конечных пользователей, возможны проблемы с некоторыми сетевыми приложениями при таком подключении. Преимущества – не требуется какой-либо дополнительно поддержки технологий со стороны оборудования уровня доступа, коммутаторов (в отличии, от 802.1x и фильтрации по mac-адресам),  единая точка применения политик безопасности, фильтрации и мониторинга трафика пользователей, при необходимости - дополнительная защита всего передаваемого по сети трафика с помощью шифрования.