· Система беспроводной локальной вычислительной сети (БЛВС)

· Уровень доступа ЛВС

· Офисный ЦОД

Оборудования ядра системы передачи данных

Одним из критериев выбора оборудования для сети ГО, описанных в начале раздела было использование уже закупленных в компании устройств. Для требований ядра вполне подходят роутеры Cisco 7609, не так давно выведенные из эксплуатации в датацентрах компании. Данные устройства обладают модульной структурой и отвечают всем требованиям к оборудованию ядра. Для проекта можно использоваться два шасси, с идентичным набором модулей:

1. Cisco 7609-S - 2 шт. Модульное шасси, 9 слотов для плат расширения.

2. Cisco WS-X6724-SFP - 2 шт. Представляет из себя модуль с 24 гигабитными портами, для подключения среды передачи данных используется SFP (Small Form-Factor Pluggable).

3. Cisco WS-X6708-10GE - 8 шт. Представляет из себя модуль с 8 портами, 10Гбит/с каждый. Для подключения среды передачи данных используются трансиверы стандарта X2, либо SFP+ через переходник.

4. Cisco RSP720-3CXL-GE - 2 шт. Супервизор модульного шасси, обеспечивает управление и взаимодействие всех остальных модулей.

Оборудование граничного блока системы передачи данных

Под требования данного блока подходит комплекс из межсетевого экрана и роутера. Учитывая имеющийся функционал роутера Cisco 7609, выбранного в качестве оборудования ядра сети, рационально перенести на него так же часть функционала связанного с поддержкой маршрутизации, необходимых для граничного блока, обеспечив необходимое взаимодействие структурных блоков сети с помощью технологии VRF (Virtual Routing and Forwarding). Тогда для граничного блока остается выбрать подходящий под требования межсетевой экран. Таковым является Cisco ASA 5585-SSP-40, в количестве двух штук для резервирования функционала. Межсетевой экран обеспечивает необходимую производительность (пропускная способность до 20Гбит/с), испекцию трафика, трансляцию адресов, подключение удаленных офисов, и в сочетании с маршрутизатором отвечает всем сформулированным выше требованиям к оборудованию граничного блока.

Оборудование системы БЛВС

Рассмотрев существующие подходы организации корпоративной беспроводной сети, стало очевидно что для сети головного офиса компании больше всего подходят решения на основе легковесных точек доступа и контроллера беспроводной сети. Подобное оборудование предлагают несколько производителей - Cisco, Aruba, Juniper. Решение от Aruba Networks, как подходящее для реализации проекта, было взято у поставщика на тестирование, но были выявлены критические недостатки - в первую очередь касающиеся стабильности и защищенности. Так же, в московском офисе компании уже используется подобное оборудование (контроллер Cisco Aironet 4402 и сотня точек доступа), то при построении новой сети рационально использовать так же контроллер и точки доступа производства Cisco Systems - это обеспечит совместимость, и позволит при необходимости задействовать имеющиеся точки доступа. Единственным подходящим под требования к БЛВС решением производства Cisco является контроллер AIR-CT5508-250-K9, в количестве двух штук для резервирования. Контроллер обеспечивает работу 250 точек доступа. Возможно увеличение количества поддерживаемых точек доступа путем приобретения и установки дополнительных лицензий на контроллер беспроводной сети. Разумно так же использовать точки доступа Cisco AIR-CAP3602i-R-K9 - они обеспечивают двухдиапазонное покрытие и радиочастотный мониторинг, обладают встроенным спектроанализатором, а так же, за счет наличия четырех антенн (MIMO 4x4) и поддержки 802.11n позволяют передачу данных в беспроводной сети с теоретически достижимой пропускной способностью до 450Мбит/с, удовлетворяя требованиям к пропускной способности и масштабируемости корпоративной БЛВС.

Оборудование уровня доступа

Для использования в качестве оборудования уровня доступа более всего подходят коммутаторы третьего уровня Juniper Networks EX4200-48PX. Коммутаторы этой серии хорошо зарекомендовали себя при эксплуатации в датацентрах компании, накоплен большой опыт их использования и решения возможных проблем. Так же они поддерживают необходимые для решения поставленной задачи стандарты - 802.3af, 802.3ae, 802.3ab, 802.3ad, 802.1q, поддерживают igmp и igmp-snooping, маршрутизацию трафика и протоколы динамической маршрутизации - тем самым давая большую свободу в выборе схемы сегментации сети и управлении трафиком пользователей.

Оборудование офисного ЦОД

Требования к сетевому оборудованию ЦОД, за исключением поддержки технологий связанных с безопасностью передаваемых данных и электропитания подключенных устройств, не сильно отличается от необходимого для оборудования уровня доступа. Рационально будет использовать те же коммутаторы Juniper Networks EX4200-48PX, либо коммутаторы той же серии, но без поддержки 802.3af - Juniper Networks EX4200-48T.

Были сформулированы цели и требования к проектируемой сетевой инфраструктуры. Проведен обзор и анализ технологий, протоколов и стандартов, которые могут быть использованы для выполнения задач проекта. Проведен обзор способов обеспечения сетевой безопасности как в проводных, так и в беспроводных сетях. Проведен анализ и выбраны подходящие для проектируемой сетевой инфраструктуры системы мониторинга. Выбрано оборудование, отвечающее сформулированным требованиям и поддерживающее необходимые стандарты и протоколы, которое и будет использоваться в проекте.

2. Специальная часть

Используя полученные в предыдущих главах данные, можно приступать к разработке проекта сетевой инфраструктуры головного офиса. Данная глава включает в себя:

· Разработку логической и физической схем проектируемой ЛВС - проводной сети, построенной на оптических кабелях и витой паре

· Разработку схемы БЛВС, выбор расположения точек доступа

· Разработку решения обеспечения безопасности и аутентификации пользователей проводной и беспроводной сети

2.1 Описание объекта

Новый офис расположен по адресу: Москва, Ленинградский проспект, 39, БЦ «Skylight», башня А, и представляет собой офисное здание высотой в 26 этажей.

Согласно плану, на первом этаже располагаются несколько зон различного назначения общей площадью 2500 м.кв. (50м*50м). Туда включаются:

· Конференц-зал на 460 мест (480 м.кв., зона повышенной плотности пользователей)

· Корпоративный ресторан общей площадью ~580 м.кв.

· Кофейня общей площадью 95 м.кв.

· Гардероб, вспомогательные площади

На втором этаже, общей площадью 2500 (50м*50м) м.кв. располагаются:

· 2 разнесенных конференц-зала на 147 и 114 человек (оба по 15м*8м=120м.кв.)

· зона лаунжа с мягкими посадочными местами (до 50 человек)

· 15 переговорных комнат (расчетная вместимость от 8 до 15 человек)

· балконы

· служебные зоны.

На 3 этаже, общей площадью 2500 м.кв. (50м*50м), располагаются

· открытая рабочая зона (openspace) на 79 рабочих мест

· зона отдыха (релакса)

· зона, выделенная под тренажерный зал

На 4 этаже, общей площадью 2500 м.кв. (50м*50м), располагаются:

· открытая рабочая зона (openspace) на 95 рабочих мест

· рабочие места охраны - 21

· вспомогательные помещения (АХО, склады)

· аудиостудия, видеостудия

· серверная

На 5 этаже, общей площадью 2500 м.кв. (50м*50м), располагаются:

· открытые рабочие зоны (openspace) на 98 рабочих мест

На 13 этаже, общей площадью 2500 м.кв. (50м*50м), располагаются:

· открытая рабочая зона (openspace) на 95 рабочих мест

· вспомогательные помещения

· серверная

Офисные (типовые) этажи с 6 по 12 и с 14 по 26 представляют из себя прямоугольные площади с не несущими внутренними стенами общей площадью примерно 1000м. кв. (~ 31м*33м) Лифтовые шахты располагаются посередине (план прилагается). На типовом этаже планируется разместить по 120 рабочих мест.

Для каждого рабочего места предполагается провести по 2 розетки RJ45.e

Внешние каналы связи представлены двумя собственными оптическими каналами в датацентры компании - ММТС-9 и М100. Основным поставщиком услуг является собственная магистральная сеть компании, полностью изолированная от офисной инфраструктуры.

2.2 Логическая схема ЛВС

Исходя из задач проекта, каждый работник на рабочем месте должен иметь возможность использования 1 IP-телефона, питающегося по Ethernet либо при помощи собственного блока питания. Также, должна быть обеспечена возможность подключения компьютера параллельно (для обеспечения высокой скорости подключения рабочей станции, либо же в случае использования телефонов без встроенного коммутатора). Скорость абонентского подключения принимается за 1Гбит/сек.

На первом этаже не предполагается размещать рабочие места. ЛВС должна предусматривать возможность подключения точек доступа, оборудования ВКС и презентера в конференц-зале, подключения проводных камер ip-наблюдения, кассового оборудования (6 портов). Всего расчетное количество составляет не менее 34, но не превышает 48 портов. На первом этаже не предусмотренно коммутационной, все устройства должны подключатся в коммутаторы на втором этаже.

На втором этаже также не предполагается размещать рабочих мест. С учетом ЛВС для переговорных комнат (заложено по 4 порта, 15 переговорных комнат), камер наблюдения, конференц-залов и беспроводных точек количество портов не должно превышать 96.

На третьем этаже размещается 79 рабочих мест общего типа. Дополнительно требуется ЛВС для точек доступа, камер и вспомогательного оборудования в спецзонах. Итого, минимум 90 портов с поддержкой PoE.

На четвертом этаже размещается 95 рабочих мест общего типа, а также 21 рабочее место охраны. По предварительным подсчетам необходимо 126 порта РоЕ.

На пятом этаже размещается 98 рабочих мест. С учетом точек доступа и камер необходимо 108 портов РоЕ.

На типовом этаже предполагается 120 рабочих мест, а также необходимо учитывать запас для расширения и подключения других устройств, питающихся через Ethernet (точки доступа, ip-видеокамеры).

Для создания отказоустойчивого решения решено применять коммутаторы, поддерживающие технологию стекирования (внешняя шина), для объединения нескольких аппаратных устройств в одно логическое. Это позволяет упростить логическую структуру сети, настройку, управление и мониторинг. Требуется наличие расширенного списка функций защиты на канальном уровне.

Для агрегации стеков поэтажных коммутаторов планируется использовать пару связей со скоростью 10Гбит/сек от разных аппаратных коммутаторов стека. Для уровня ядра планируется использовать два шасси 7609S-RSP720-3XL.

В силу экономических соображений, сложности в прогнозе количества необходимых подключенных портов ЛВС, а так же для обеспечения масштабируемости решения, в обязательном порядке необходимо подвести по одному порту на рабочее место, а второй порт СКС будет запитан по необходимости впоследствии. Топология сети рассчитывается таким образом, чтобы допускать установку новых аппаратных устройств в стек без изменения логики работы сети. Это максимально упростит последующее масштабирование сети.

Для обеспечения должного уровня безопасности ЛВС запланировано использование пары высокопроизводительных межсетевых экранов cisco ASA 5585X + SSP40 в отказоустойчивой топологии active/standby failover.

Учитывая требования, планируется на начальном этапе установить по 4 коммутатора с PoE в стеке на 4, 5 и каждый регулярный этаж, 3 таких коммутатора на 3 и 2 этажи.

Схема связи между структурными блоками сетевой инфраструктуры. Все структурные блоки сетевой инфраструктуры должны иметь подключение к зарезервированному ядру сети, которое и будет обеспечивать высокоскоростное соединение между ними. В дальнейшем будут рассмотрены особенности подключения каждого из структурных блоков.

Рисунок 1. Схема связей между структурными блоками сети

Подключение внешних каналов, граничный блок сети

Оборудование граничного блока сети - Cisco ASA-5585-SSP40 - является межсетевым экраном, работающим на сеансовом уровне (stateful firewall), должно обеспечивать фильтрацию и анализ проходящего трафика. Как и большинство подобного сетевого оборудования, обладает очень ограниченными возможностями маршрутизации и балансировки трафика, в частности, отсутствует поддержка ECMP (equal cost multipath), и необходимого для оборудования граничного блока протокола BGP. Для обеспечения балансировки трафика и поддержания BGP-сессий с операторами связи возможно использовать два решения:

· Установить отдельный высокопроизводительный маршрутизатор для поддержания внешних каналов

· Воспользовавшись технологией VRF (Virtual Routing and Forwarding), перенести функции балансировки трафика и роутинга на оборудование ядра сети, логически выделив граничный блок в отдельную таблицу маршрутизации.

Рационально использовать второе решение, и выделить внешнюю маршрутизацию и каналы в VRF-OUT, а внутреннюю - в VRF-INT.

Для реализации данной схемы, необходимо перенести внешние каналы в VRF-OUT, а так же подключить один из интерфейсов МСЭ в VRF-OUT, а второй в VRF-INT для прохождения трафика между внешней и внутренней таблицами маршрутизации ядра через межсетевой экран. Эти интерфейсы могут быть логическими сабинтерфейсами. Разумно подключить каждый модуль межсетевого экрана (активный и резервный) к разным маршрутизаторам ядра и разместить их в различных серверных, для обеспечения резервирования. Так же, для дополнительной отказоустойчивости и пропускной способности, Cisco ASA должны подключаться к устройствам ядра сети используя технологию агрегации каналов на основе протокола LACP (Link Aggregation Control Protocol) для согласования между устройствами.

Рисунок 2. Схема прохождения трафика внутрь офисной сети

Для обеспечения отказоустойчивости МСЭ должны быть объединены в failover-пару. В данном режиме весь трафик направляется через активную ноду, и сессии пользователей синхронизируются с резервной по выделенному каналу - по рекомендации производителя пропускная способность этого канала не должна быть меньше пропускной способности внешних каналов межсетевого экрана. При отказе МСЭ, активной становится резервная нода и пользовательский трафик пропускается через нее, без разрыва существующих соединений. Таким образом, для обеспечения отказоустойчивости две ноды ASA-5585 должны быть установлены в разных серверных (на 4 и 13 этаже), и соединены между собой агрегированным каналом.

Полученный отказоустойчивый кластер ASA-5585 так же будет использоваться для терминации IPsec туннелей между головным и удаленными офисам компании.

Рисунок 3. Cхема подключения граничного блока сети к ядру, с учетом VRF

Уровень доступа ЛВС

В целях масштабируемости и отказоустойчивости необходимо обеспечить подключение каждого стека коммутаторов уровня доступа к обоим устройствам ядра. Отказоустойчивость самого уровня доступа должна обеспечиваться благодаря наличию резервного Routing Engine (коммутатора, берущего на себя функции менеджмента и поддержания маршрутизации всего стека), а так же подключения оптических каналов в сторону ядра сети к разным коммутаторам стека. Такой подход позволяет минимизировать ущерб для работоспособности в случае выхода из строя одного из коммутаторов.

Имея по два канала от коммутаторов уровня доступа в сторону ядра, разумно балансировать трафик между ними. Это можно обеспечить несколькими способами:

· Объединение маршрутизаторов ядра в клас_тер - virtual switching system, virtual chassis и т.д. Не смотря на близость архитектуры выбранных для ядра сети маршрутизаторов Cisco 7609 с коммутаторами Cisco 6509, подобный функционал производителем не реализован.

· Использование распределенных технологий агрегации каналов - MC-LAG (Multi-chassis link aggregation group), vPC (Virtual Port Channel). Эти технологии так же недоступны в актуальном на данный момент ПО для маршрутизаторов Cisco 7609.

· Применение различных модификации протокола STP (Spanning Tree Protocol). Протоколы STP изначально предназначен для защиты сети от L2-петель и использование их даже для решения задачи обеспечения отказоустойчивости в большинстве случаев неоправданно - значительное время сходимости, слабая защищенность, перерыв связи во время перестроения дерева. При использовании протоколов VSTP, PVST, MSTP так же возможно частично разбалансировать трафик между каналами, блокируя каждый из каналов только для части VLAN. Однако, для достижения оптимальной загрузки нескольких каналов требуется вмешательсто со стороны адмнистратора и равномерное распределение трафика по различным VLAN.

· Использование протоколов динамической маршрутизации и балансировки за счет ECMP (equal-cost multi-path routing). В данном случае потребуется поэтажная сегментация сети, а так же поддержка динамической маршрутизации со стороны коммутаторов уровня доступа.

Выбранное ранее оборудования для уровня доступа и ядра сети поддерживает необходимые технологии для осуществления балансировки нагрузки на каналы связи по последнему из перечисленных способов. В силу использования внутри сети адресов из приватного диапазона, и отсутствия требований к связаности всего офиса на канальном уровне, использование маршрутизации между ядром и уровнем доступа так же является наиболее рациональным решением.

Таким образом, устройства уровня доступа должны обладать связанностью с ядром на сетевом уровне и использовать протокол динамической маршрутизации для обмена маршрутной информацией и балансировки нагрузки между каналами. В качестве протокола маршрутизации так же разумно использовать OSPF.

Рисунок 4. Cхема подключения оборудования уровня доступа к ядру сети

Офисный ЦОД

В здании головного офиса компании предусмотрено два помещения, оборудованных для установки серверного и сетевого оборудования - на 13 и 4 этажах, по 26 стандратных стоек в каждом. В серверных размещаются по одному маршрутизатору ядра сети. Для подключения серверного оборудования решено использовать коммутаторы Juniper EX4200-48PX/T - такие же используются для уровня доступа. Коммутаторы предназначенные для подключения серверов и размещенный в пределах одного этажа так же собираются в стек, и подключаются к маршрутизатору ядра сети, размещенному в этой же серверной. Необходимость резервирования и балансировки трафика между каналами в таком случае отсутствует. Серверные сегменты сети должны быть едиными между серверными на 13 и 4 этажах. При таком построение, VLAN'ы предназначенные для подключения серверов разумно терминировать на устройствах ядра сети. Для обеспечения отказоустойчивости необходимо использовать один из протоколы резервирования первого перехода (First Hop Redundancy Protocol):

· VRRP (Virtual Router Redundancy Protocol)

· HSRP (Hot Standby Router Protocol)

· GLBP (Gateway Load Balancing Protocol)

Последние два протокола из перечисленных являются проприетарными, и совместимы только с оборудованием производства Cisco Systems. У данных протоколов есть преимущества перед стандартной реализацией - быстрая сходимость у HSRP, возможность балансировки трафика у GLBP. Протокол VRRP так же вполне достаточен для решения задачи резервирования первого перехода, и так же позволяет добиться высокой скорости сходимости при задание нестандартный таймеров, а его совместимость с оборудованием других вендоров расширяет возможности дальнейшей модернизации сети при появлении новых требований. Его использование предпочтительней.

Коммутаторы офисного ЦОДа в отличии от уровня доступа не выполняют никаких функций маршрутизации трафика, но обеспечивают быструю коммутацию, агрегацию и передачу серверного трафика в направлении ядра сети.

Рисунок 5. Схема подключения коммутаторов офисного ЦОД к ядру сети

Мультикаст

Для работы компании необходима поддержка мульткаста в сети головного офиса; Мультикаст - специальная форма сетевого широковещания, при которой сетевой пакет одновременно направляется определенному подмножеству адресатов - не одному, и не всем. Для поддержки многоадресной передачи данных в офисной сети будет использоваться PIM (Protocol Independent Multicast) - протоколонезависимый набор технологий многоадресной маршрутизации для IP-сетей, базирующийся на традиционных маршрутных протоколах. PIM может работать в двух режимах:

· Dense Mode, PIM-DM - «уплотненный» режим, вся сеть наводняется мультикастингом, далее строится дерево кратчайшего пути, обрезая ветви не имеющие получателей. Это метод RPF (Reverse Path Forwarding) с усечением.

· Sparse Mode, PIM-SM - «разреженный» режим, изначально строится однонаправленное дерево кратчайшего пути для каждого отправителя, с так называемой точкой рандеву (Rendezvousд Point - RP) для каждой мультикастинг-групы. В роли RP может выступать любой маршрутизатор с поддержкой PIM

Как видно, первый режим практически не требует настройки, и замечательно подходит для компактных групп с высокой плотностью получателей, однако для использования в проектируемой офисной сети гораздо больше подходит Sparse Mode - не наводняет сеть мультикастингом, требуется меньшая пропускная способность каналов для функционирования. Точка рандеву рационально разместить в ядре сети; RP необходимо для функционирования PIM-SM, и значит для обеспечения бесперебойной работы сети требуется ее резервирование. Для резервирования точки рандеву широко используются два механизма - Auto-RP и протокол BootStrap. Оба протокола выполняют примерно одинаковые функции - резервирование RP, и балансировка мультикаст-групп между роутерами, основное отличие - Auto-RP является проприетарным решением Cisco Systems, его применение ограничивает дальнейшие возможности развития и модернизации сети и потому не желательно.



Рисунок 6. Схема реализации поддержки мультикаста в офисной сети

Для поддержки мультикаста внутри офисной сети необходимо:

· Включение PIM на ядре и стеках уровня доступа

· Включение IGMP на маршрутизаторах, IGMP Snooping на коммутаторах (в том числе и серверных)

· Конфигурация протокола Bootstrap, на двух маршрутизаторах ядра с указанием приоритета (в целях предсказуемости, Cisco 7609 на 4 этаже должен иметь более высокий приоритет) для резервирования точки рандеву.

2.3 Беспроводная локальная вычислительная сеть

Технические решения. Беспроводную сеть решено строить на основе контроллера БЛВС Cisco Aironet AIR-CT5508-250-K9, а так же точек доступа Cisco Aironet AIR-CAP3602i-R-K9. Точки должны работать в «легковесном» режиме, туннелируя весь клиентский трафик в направлении контроллера. Топология беспроводной сети - BSS.

Инфраструктура БЛВС строится в частности для обеспечения критических сервисов (например, беспроводная IP-телефония, видеонаблюдение и т.д.) предлагается использовать централизованное решение от ведущих производителей. Данное решение должно предоставлять централизованное управление и сервисы, динамически управляться (мощность антенн, каналы), позволять настраивать однородное покрытие из одной точки управления и соблюсти централизованные политики безопасности. Также необходимо предусмотреть поддержку зон высокой плотности беспроводных клиентов (конференц-зал, зона лаунжа).. Крайне желательно использовать технологии «очистки эфира» - динамического определения источников помех (интерференции), автоматическое принятие решения о смене канала, изменения мощности антенны и т.д. Необходимо предусмотреть технологии частотного мониторинга (RF), совместно с технологией беспроводной системы предотвращения вторжений (wIPS).

Дополнительными интересными для внедрения сервисами могут быть:

· Сервис определения местоположения при помощи точек WiFi. Для этого может потребоваться отдельный сервер, который в реальном времени может обсчитать динамические данные с точек доступа и вычислить местоположение клиента с точностью до 1.5 метров. Требуется тщательная проработка количества и мест расположения точек для уверенной работы сервиса

· Сервис подавления вредоносных точек или клиентов WiFi. Сервис предотвращения нежелательных WiFi транзакций (например, AD-Hoc)

Подходящее оборудование:

· Два контроллера беспроводных точек Cisco Aironet AIR-CT5508-250-K9, с возможностью поддержки функции Clean Air (использование динамического перераспределения частот при обнаружении помехи).

· Центральноуправляемые точки доступа Cisco Aironet AIR-CAP3602i-R-K9с поддержкой 2-канальной передачи данных (2.4ГГц, 5ГГц) для увеличения скорости приема/передачи данных и поддерживающих высокую плотность клиентов (MIMO 4x4) для зон лаунжа и конференц-зала.

Впоследствии возможно расширение функционала решения за счет применения технологии Локации (location service):

· Сервер локации MSE 3355 (с лицензией на беспроводной IPS)

· Сервис центрального управления Cisco Prime

Каждый из этажей с 1 по 5 будет иметь свою собственную схему расположения и количество применяемых точек доступа. При расчете учитывается:

· Рекомендации производителя: при полной загрузке рассчитывать исходя из 25 пользователей на точку доступа. Ограничение носит рекомендательный характер и базируется на подсчете полосы пропускания на клиента.

· В зоне конфренц-залов, лаунжа, переговорных комнат и открытых областей отдыха гостей WiFi требуется учитывать имиджевую важность и критичность работы БЛВС. Поэтому при расчете учитывалось количество устройств на пользователя - 1.5, а также необходимость обеспечить каждое устройство надежным каналом передачи данных.

БЛВС 1 этаж.

Содержит зону повышенной плотности (конференц-зал на 460 мест). Запроектировано применение 12 точек доступа AIR-CAP3602i для покрытия конференц-зала и прилегающей площади. На оставшейся площади размещаются еще 10 точек доступа AIR-CAP3602i с тем расчетом, чтобы обслужить большое скопление пользователей и вне конференц-зала.

Рисунок 7. Схема размещения точек доступа на первом этаже

Зона покрытия точек регулируется автоматически. На рисунке (внешние размеры этажа указаны в масштабе) указано приблизительное место установки и плотность точек (следует учитывать, что реальный радиус покрытия точки доступа существенно выше указанного на рисунке). При данной расстановке гарантируется обслуживание зоны повышенной плотности, а также уверенное покрытие всего остального этажа. Всего на этаж планируется 22 точки. Возможно, к некоторым точкам будет нерационально тянуть Ethernet кабель и тогда возможно применение технологии MESH (гибридная работа точки и как AP и как репитера). Точки доступа 3602 поддерживают технологию MESH. Надо лишь докупить несколько блоков питания.

БЛВС 2 этаж. Содержит 2 зоны повышенной плотности (конференц-залы на 147 и 114 человек). В этих зонах запроектировано применение по 4 точки AIR-CAP3602i с покрытием прилегающих площадей. Также зонами повышенной плотности считаются переговорные комнаты. На оставшейся площади необходимо разместить еще 13 точек доступа для уверенного покрытия «открытой зоны», где планируется также проводить мероприятия, рассчитанные на 50-60 человек. Итого на этаже планируется разместить 21 точку.

Рисунок 8. Схема размещения точек доступа на втором этаже

БЛВС 3 этаж.

Не содержит зон повышенной плотности. Содержит 79 рабочих мест. Принимаем нагрузку по WiFi в половину - 40 пользователей или 60 устройств WiFi. На данную зону достаточно 6 точек доступа высокой плотности. Выбрана схема с размещением 11 точек доступа AIR-CAP3602i высокой плотности на этаж для более надежной работы пользователей при роуминге.

Рисунок 9. Схема размещения точек доступа на 3-ем этаже

БЛВС 4 и 5 этаж.

Не содержат специальных зон. Планируется разместить равномерно 10 точек высокой плотности (AIR-CAP3602i). Схема (равномерное распределение)

Рисунок 10. Схема размещения точек доступа на 4-ом и 5-ом этажах

Типовой этаж (с 6 по 26)

Планируется расположить равномерно (двуквадратная схема с поворотом) по 8 точек (AIR-CAP3602i с интегрированными антеннами) на офисный этаж равномерно. Так же необходимо дополнительно разместить по две точки на этаж в режиме мониторинга - для обеспечения стабильного качества связи беспроводных клиентов и быстрой реакции на помехи. Всего на 21 этаж - 210 точек.

Рисунок 11. Схема размещения точек доступа на типовых этажах

Радиус зоны покрытия в стандарте N - до 150 м. Расположение 8 точек позволит распределить нагрузку между пользователями беспроводного решения, а также позволит снизить мощность антенн до 30-50%. Это уменьшит наводки и позволит «затянуть» покрытие в случае неработоспособности соседней точки (автоматически). Расчетное количество всех беспроводных клиентов на типовом этаже (принимается за 30% от всех пользователей) составляет 120*0,3*1,5=48 устройств. При равномерном распределении по офисному этажу это около 6 устройств на точку. Скорость работы точки, присоединенной по гигабитному каналу к ЛВС составляет 150 мбит/сек. Таким образом, приняв среднюю скорость работы с точкой за половину от максимальной на стандарте N - 75 мбит/сек, можно примерно считать, что минимальная скорость работы одного пользователя WiFi - 10-11 мегабит/сек в стандарте N. При 6 пользователях на точку в стандарте G будет обеспечиваться (в идеальном случае) суммарная скорость на клиента 9 мбит/сек.

Для регистрации и управления точками планируется установить 2 высокопроизводительных контроллера Cisco Aironet AIR-5508. Для отказоустойчивости пара контроллеров работают в режиме failover и в нормальном состоянии активный контроллер поддерживает работу всех точек доступа, синхронизируя свое состояние и пользовательские сессии с резервным. В случае отказа основного контроллера, точки автоматически переподключаются к резервному. Переключение беспроводной сети на резервный контроллер занимает не более секунды. Такой подход требует покупки необходимого количества лицензий (по одной на каждую точку доступа) только для одного контроллера.

Для динамического определения помех (в стандарте 802.11n) возможно использовать технологию Cisco Clean Air. Суть данной новой технологии cisco состоит в том, чтобы динамически определять источники интерференций и динамически менять канал (в диапазоне 5Ггц на стандарте 802.11n много каналов) для клиента. В лабораторных условиях в случае появления мощного источника интерференции, уходит около 2-3 секунд на пересогласование канала для клиента и продолжения нормальной работы. В течение этого времени (2-3 секунды) клиент работает по зашумленному каналу. Данная технология поддерживается на точках доступа 35/36 серии (в таких точках встроен дополнительный чип для мониторинга RF и отсылки информации на контроллер). Качество работы оценивается параметром AIR Quality и ориентируется на количество потерь в бепроводном логическом канале. При падении AirQuality ниже определенного порога контроллер инициирует смену канала для клиента. Данную технологию поддерживает предложенная связка: AP 35xx/36хх серий, WLC Cisco Aironet AIR-5508, MSE 3355 с ПО location, а также WCS с поддержкой настройки технологии CleanAir

2.4 Физическая схема

Технические решения

СКС служит средой для автоматизированного инфюрмационного обмена, а также для обеспечения доступа к внешним каналам связи и предоставляет возможность дальнейшего развития информационной системы предприятия.

Назначение СКС - создание гибкой и универсальной среды передачи данных. Эффективность СКС в снижении затрат на обслуживание и лёгкости модернизации кабельной системы, обеспечении запаса по производительности и скорости передачи данных.

Проектируемая система строиться на базе оборудования Brand-Rex. Данное оборудование имеет следующие преимущества:

· Соответствие международным стандартам и предсказуемость результатов инсталляции благодаря стабильному качеству компонентов

· Снижение трудозатрат и повышение качества за счет эффективных технологий монтажа.

· 25 - летняя компонентная и системная гарантия

· Экологичность оборудования и забота об окружающей среде

Проектом предусматривается установка в помещениях 6990 портов СКС категории 6 с разъемами RJ-45.

Состав проектируемой среды

СКС представляет собой иерархическую кабельную систему и выполнена в топологии «звезда». Проектируемая СКС включает в себя следующие элементы:

· Подсистема рабочего места;

· Горизонтальная подсистема;

· Магистральная подсистема.

Подсистема рабочего места

Подсистема рабочего места - состоит из розеточного блока на несколько модулей типа RJ-45 Cat.6, вставляемые в напольные лючки и розетки скрытого монтажа, и коммутационного шнура для подключения к сетевому адаптеру рабочей станции. На каждый модуль терминируется отдельный кабель с внешней оболочкой из пластиката с низким дымовыделением и и не выделяющие коррозионно-активных газообразных продуктов при горении и тлении (LSHF).

Горизонтальная подсистема

Горизонтальная подсистема - предназначена для передачи электрических информационных сигналов от информационных розеток на рабочих местах до горизонтального (линейного) кросса в телекоммуникационном однорамных стойках, высотой 45U.

Стойки комплектуются оптическими и кабельными патч-панелями, вертикальными органайзерами и материалами необходимыми по технологическим нормам.

В состав горизонтальной подсистемы входит 4-парный неэкранированный медный кабель категории 6, LSHF. Со стороны горизонтальных кроссов кабель терминируется на 24-портовые патч-панели, установленные в 19" стойке.

Расчет длины кабеля для горизонтальной подсистемы - производится посредством измерения длины трассы кабеля для каждого порта при проектировании с добавлением запаса на возможные изменения расположения розеток - 10%, технологический запас -10%, с округлением полученных значений до целого количества коробок кабеля (1 коробка -305 м).

Магистральная подсистема

Оборудование кроссовых комнат соединяется двумя 8-волоконными одномодовыми кабелями с серверными помещениями. Серверные помещения соединяются между собой двумя 48-волоконными одномодовыми кабелями (для уменьшения используемой номенклатуры кабелей в проекте, необходимое количество волокон в оптическом тракте обеспечивается комбинацией кабелей с 24 и 8 волокнами). Указанные кабели прокладываются по 2-м независимым межэтажным каналам. Данное решение обеспечивает 100% резервирования информационных каналов связи.

Для серверных помещений проектом предусматривается установка открытых 2х-рамных стоек глубиной 1000мм для установки активного оборудования. Для коммутации данного оборудования для каждого ряда 2х рамных стоек предусматривается одно рамная стойка с вертикальными кабельными органайзерами.

Для каждой серверной стойки предусматривается по 2 вертикальных блока розеток и по две 24-портовые патч-панели, которые выводятся на коммутационную стойку ряда. Прокладка кабеля осуществляется по металлическому сетчатому лотку по потолку.

В коридорах кабель прокладывается в металлических неперфорированных лотках с крышкой производства в пространстве фальш-пола, по кратчайшему расстоянию.

Отводы от магистрального лотка до рабочих мест выполняется в ПВХ трубах в пространстве фальш-лола.

Вывод кабелей на рабочие места согласно условному обозначению розетки.

Для точек доступа Wi-Fi и дополнительно обозначенных розеток кабель прокладывается в металлических неперфорированных лотках с крышкой в пространстве фальш-пола, на заключительном участке по потолочным проволочным лоткам или потолку, и далее в трубе ПВХ до розетки накладного монтажа.

В каждом кроссовом помещении предусматривается одна патч-панель для расшивки кабелей систем безопасности.

Все розетки располагаются на одной высоте с электророзетками, в одном настольном розеточном блоке, напольными лючками, розетками скрытого монтажа.

Рисунок 12. Схема размещения розеток и СКС типового этажа

2.5 Сетевая безопасность и авторизация пользователей

В качестве основного решения для авторизации пользователей корпоративной сети планируется использовать стандарт 802.1x, как наиболее подходящий для выполнения задач проекта - решение позволяет использовать единую прозрачную схему авторизации пользователей как для проводной, так и беспроводной сети. Немаловажным фактором является кросплатформенность решения - .1x реализован на всех популярных операционных системах - как unix-based, так и Windows, и Linux. Возможна интеграция авторизации с Active Directory, используя штатные средства системы Windows Server 2008 - Network Policy and Access Server (NPAS).

Использование связки 802.1x и AD так же позволяет внедрить дополнительные сервисы для обеспечения сетевой безопасности - такие как проверка клиентских машин на соответствие тем или иным требованиям локальных политик - например, наличие антивируса. Возможно централизованное назачение VLAN'а порту пользователя в момент авторизации, применение различных правил фильтрации трафика при авторизации того или иного пользователя коммутатором, либо беспроводной точкой доступа.

С точки зрения пользователя - единственное отличие сети защищенной с использованием протокола 802.1x является необходимость ввести свой логин и пароль при первом подключении к сети.

Необходимо реализовать схему подключения к проводной сети, при которой все пользователи разделяются на несколько групп, в зависимости от требуемых доступов к корпоративным ресурсам, каждой группе выделяется отдельный VLAN (свой, на каждом этажном стеке), к каждому групповому VLAN'у применяется необходимые правила фильтрации трафика. При подключении пользовательской станции к проводной, либо беспроводной сети, аутентификатор (свич или контроллер БЛВС соответственно) отправляет запрос на предопставление доступа к сети для данного пользователя к RADIUS-серверу - NPAS - и в случае положительно ответа (Access-Accept) дополнительно получает от RADIUS-сервера информацию о группе пользователя. Далее пользовательский трафик помечается соответствующим группе VLAN-идентификатором, и к трафику применяются необходимые правила фильтрации.

Рисунок 13. Cхема работы авторизации по протоколу IEEE 802.1x

Для большей прозрачности и удобства пользователей настроенные правила фильтрации трафика должны быть идентичны как для проводных, так и для беспроводных клиентов.

Для соблюдения корпоративных политик безопасности клиенты с выключенным 802.1x супликантом должны помещаться в карантинный VLAN, без доступа к корпоративным ресурсам.

Все порты пользовательских коммутаторов должны быть настроены в режиме динамического назначения VLAN'а в который будет тегироваться пользовательский трафик. На коммутаторах Juniper EX это может быть сделано следующим образом:

protocols {

dot1x {

authenticator {

authentication-profile-name sl_dot1x;

interface {

all {

supplicant multiple;

retries 2;

quiet-period 10;

transmit-period 3;

supplicant-timeout 3;

maximum-requests 2;

guest-vlan GUEST;

server-reject-vlan AUTH-FAILED block-interval 120 eapol-block;

server-fail vlan-name GUEST;

}

}

}

Где в секции «all» возможно указание различный таймеров протокола, а так же имя карантинных VLAN в которые будет помещен пользователь в качестве реакции на ответы сервера авторизации. В данном примере пользователь будет помещено в VLAN с именем Guest при отключенном суппликанте, и в VLAN Auth-failed при отказе в авторизации со стороны RADIUS-сервера. Такая схема будет использована в офисной инфраструктуре.

2.6 IP-адресация

Приняв решение по всем аспектам логической и физической структуры сети, необходимо определится с используемой внутри сети адресацией. Для нужно головного офиса из пула компании выделен блок публичных IP-адресов - 185.6.244.0/22. Данные адреса могут использоваться как для трансляции в них внутренних адресов пользователей, так и для офисного серверного и сетевого оборудования. В силу использования маршрутизации на уровне доступа и сегментации сети для осуществления выбранной выше схемы выполнения политик сетевой безопасности требуется так же значительной количество приватных IPv4 адресов. Так же, необходимо избежать пересечения адресного пространства головного офиса с другими структурами компании.

Диапазоны IP-адресов для приватного использования определены в документах IETF - RFC1918 и RFC4193. Согласно RFC для протокола IPv4 это блоки:

· 10.0.0.0 - 10.255.255.255 (10.0.0.0/8)

· 172.16.0.0 - 172.31.255.255 (172.16.0.0/12)

· 192.168.0.0 - 192.168.255.255 (192.168.0.0/16)

Ни один из этих диапазонов не обеспечивает достаточного адресного пространства для создания удобной и прозрачной схему нумерации в новом офисе, без пересечения с используемыми в других проектах компании блоками адресов. От необходимости дробить внутренне офисное адресное пространство на несколько меньших блоков (что заметно затруднит дальнейшее администрирование и диагностику возможных проблем), спасает недавно опубликованный RFC6598, предоставляющий для приватного использования новый блок:

· 100.64.0.0-100.127.255.255 (100.64.0.0/10)

Данный блок адресов практически не используется, и для нужд офиса вполне хватит половины имеющегося диапазона даже в долговременной перспективе. Таким образом, для внутренних адресов головного офиса будет использоваться блок 100.64.0.0/11. Используемая схема адресации следующая:

Таблица 1. Схема адресации.

Подсеть	Блок сети	Назначение
100.64.0.0/16	Ядро, ЦОД	Серверное оборудование, сегментация по 512 адресов (/23)
100.65.0.0/16	Ядро, контроллеры БЛВС	Пользовательские и сервисные беспроводные сети. Сегментация по 256 адресов (/24), по одному блоку на 802.1x группу.
100.65.254.0/23	Ядро, уровень доступа, БЛВС, ЦОД, граничный блок	Сервисные адреса - интерфейсные и Loopback'и.
100.90.0.0/16 - 100.95.0.0/16	Уровень доступа	Адреса для пользовательских проводных сетей. По одному блоку /16 на этажный стек. Сегментация в пределах этажа - по /24 на 802.1x группу.
185.6.244.0/22	Граничный блок, ЦОД	Внешние адреса головного офиса, сегментация по 256 адресов (/24)
100.66.0.0/16 100.67.0.0/16 100.68.0.0/16 100.69.0.0/16 100.69.0.0/16	Зарезервированы	Адреса, зарезервированные для дальнейшего использования

В ходе работы были определены логические схемы структурных блоков сетевой инфраструктуры и наиболее рациональные способы подключения какждого из блоков к ядру сети. Выбрана конфигурация и расположение точек доступа беспроводной сети. Приведен механизм авторизации пользователей проводной и беспроводной сети. Создан план адрессации с учетом особенностей сетевой инфраструктуры - подребность в большом количестве адресов в силу использования маршрутизации на уровен доступа. Создана необходимая для реализации проекта физическая схема. Разработанная система готова к внедрению и полностью удовлетворяет поставленным требованиям.

3. Экспериментальная часть

3.1 Проверка работоспособности выбранных решений на стенде

Большинство принятых решений уже неоднократно испытаны в ходе эксплуатации сети в компании, и не требуют дополнительного тестирования - такие механизмы как резервирование шлюза с помощью протокола VRRP, ECMP балансировка трафика, передача мультикаст-трафика с использованием PIM-SM, и обеспечение беспроводного покрытия с помощью «легковесных» точек доступа и контроллеров беспроводной сети уже успешно применяются в других офисах компании. Проверки на стенде требует технология 802.1x авторизации пользователей проводной сети.

Тестирование проводного 802.1x

Для проверки работоспособности выбранного решения авторизации пользователей в проводной сети, был собран стенд из коммутатора Juniper EX4200, виртуализированного сервера с Windows Server 2008 и тестового компьютера с установленной ОС Windows 7.

Рисунок 14. Cхема тестового стенда для проверки 802.1x авторизации

Настройка RADIUS-сервера

При тестировании использовался встроенный в ОС Windows 7 802.1x суппликант, «Служба проводной автонастройки». Необходимая конфигурация со стороны сервера аутентификации (PNAC):

· Служба NPS запущена

· NPS зарегистрирован в Active Directory

· Создан шаблон Pre-shared key

· Добавлен radius-клиент - тестовый свич, указан его адрес и шаблон

· Созданы политики авторизации - «RADIUS-сервер для беспроводных или кабельных подключений 802.1x»

· Выбран метод проверки подлинности - тестировался PEAP

· Указаны «Параметры управления трафиком» - настроены атрибуты, которые будут отдаваться сервером коммутатору при авторизации пользователя - необходимо для работы функции назначения VLAN'а при авторизации. Необходимые атрибуты - Tunnel-Type=VLAN, Tunnel-Medium-Type = 802 , Tunnel-Private-Group-ID = test

Настройка коммутатора

Со стороны коммутатора необходимая конфигурация 802.1x несколько лаконичнее. Настроена тестовый RADIUS-сервер как способ авторизации:

172.16.11.37 {

port 1812;

secret "$9$hashhashahshashahsh"; ## SECRET-DATA

source-address 172.16.8.249;

}

profile profile1 {

authentication-order radius;

radius {

authentication-server 172.16.11.37;

}

}

Так же включена 802.1x авторизация в режиме одиночного клиента на всех интерфейсах коммутатора:

authenticator {

authentication-profile-name profile1;

interface {

all {

supplicant single;

}

}

}

Проверка работоспособности

Изначально, на тестовом пользовательском компьютере служба проводной автонастройки отключена. Процесс 802.1x авторизации не начинается, что и видно в интерфейса коммутатора:

admin@ex4200> show dot1x interface ge-0/0/0 detail

ge-0/0/0.0

Role: Authenticator

Administrative state: Auto

Supplicant mode: Single

Number of retries: 3

Quiet period: 60 seconds

Transmit period: 30 seconds

Mac Radius: Disabled

Mac Radius Restrict: Disabled

Reauthentication: Enabled

Configured Reauthentication interval: 3600 seconds

Supplicant timeout: 30 seconds

Server timeout: 30 seconds

Maximum EAPOL requests: 2

Guest VLAN member: <not configured>

После включения службы прводной автонастройки и ввода логина и пароля пользователя на тестовом компьютере, авторизация прошла успешно и порт коммутатора был переведен в нужный VLAN:

ge-0/0/0.0

Role: Authenticator

Administrative state: Auto

Supplicant mode: Single

Number of retries: 3

Quiet period: 60 seconds

Transmit period: 30 seconds

Mac Radius: Disabled

Mac Radius Restrict: Disabled

Reauthentication: Enabled

Configured Reauthentication interval: 3600 seconds

Supplicant timeout: 30 seconds

Server timeout: 30 seconds

Maximum EAPOL requests: 2

Guest VLAN member: <not configured>

Supplicant: mail\t.est, BC:AE:C5:EA:FF:FF

Operational state: Authenticated

Backend Authentication state: Idle

Authentcation method: Radius

Authenticated VLAN: test

Session Reauth interval: 3600 seconds

Reauthentication due in 2911 seconds

Для работы нескольких устройств подключенных к одному порту свича (например IP-телефона со встроенным коммутатором, через который подключается пользовательская система) потребовалось разрешить подключение нескольких пользователей в конфигурации EX4200:

authenticator {

authentication-profile-name profile1;

interface {

all {

supplicant multiple;

}

}

}

По результатам проверки на стенде работоспобность выбранных решений для построения корпоративной сети и обеспечения выполнения корпоративных политик сетевой безопасности была подтверждена.

3.2 Оценка соответствия техническому заданию

Разработанная система полностью соответствует всем требованиям технического задания. Построенная сетевая инфраструктура головного офиса обладает следующими характеристиками:

· Безопасность - за счет использования 802.1x авторизации пользователей для доступа к сети, шифрования передаваемых данных там, где это необходимо, отделения внешней сети от внутренней.

· Устойчивость и высокая степень доступности - с помощью резервирования ключевых узлов системы и использования протоколов с высокой скоростью сходимости.

· Масштабируемость - за счет расширяемости логической структуры сети, физической системы предусматривающей дальнейшее расширение.

· Высокий уровень функциональности - за счет функционала выбранного для построения сети оборудования, и ориентированности на стандартные протоколы и технологии.

· Удобство и простота в обслуживании - достигается с помощью единообразия используемого оборудования и его конфигурации, автоматизации настройки оборудования уровня доступа с использованием IEEE 802.1x - конфигурация портов в зависимости от подключенного пользователя, применение правил фильтрации передаваемых данных

3.3 Внедрение системы

Разработанная информационная система реализована и развернута в компании ООО «Мэйл.Ру». В ходе эксплуатации корпоративная сеть головного офиса доказала соответствие предъявляемым к ней требованиям и нуждам компании.

4. Охрана труда

4.1 Исследование возможных опасных и вредных факторов при эксплуатации ЭВМ и их влияния на пользователей

Охрана труда - это система законодательных актов, социально-экономических, организационных, технических, гигиенических и лечебно-профилактических мероприятии? и средств, обеспечивающих безопасность, сохранение здоровья и работоспособности человека в процессе труда.

Полностью безопасных и безвредных производственных процессов не существует. Задача охраны труда - свести к минимуму вероятность поражения или заболевания работающего с одновременным обеспечением комфорта при максимальнои? производительности труда.

В процессе использования ПЭВМ здоровью, а иногда и жизни оператора, угрожают различные вредные факторы, связанные с работои? на персональном компьютере. Типичными ощущениями, которые испытывают к концу дня люди, работающие за компьютером, являются: головная боль, резь в глазах, тянущие боли в мышцах шеи, рук и спины, зуд кожи на лице и т.п. Испытываемые каждыи? день, они могут привести к мигреням, частичнои? потере зрения, сколиозу, тремору, кожным воспалениям и другим нежелательным явлениям.

Была выявлена связь между работои? на компьютере и такими недомоганиями, как астенопия (быстрая утомляемость глаза), боли в спине и шее, запястныи? синдром (болезненное поражение срединного нерва запястья), тендениты (воспалительные процессы в тканях сухожилии?), стенокардия и различные стрессовые состояния, сыпь на коже лица, хронические головные боли, головокружения, повышенная возбудимость и депрессивные состояния, снижение концентрации внимания, нарушение сна и немало других, которые не только ведут к снижению трудоспособности, но и подрывают здоровье людеи?.

...