Усовершенствование локальной вычислительной сети предприятия торговли
ВВЕДЕНИЕ
В условиях рыночной экономики информация
выступает как один из важнейших товаров. Новейшие достижения в области
микроэлектроники привели к новым концепциям в организации информационных служб.
Успех коммерческой и предпринимательской деятельности связан с муниципальными,
банковскими, биржевыми информационными системами, информатизацией оптовой и
розничной торговли, торговых домов, служб управления трудом и занятостью,
созданием банка данных рынка товаров и услуг, развитием центров справочной и аналитико-прогнозной
информации, электронной почты, электронного обмена данными и др. Как правило,
работа этих систем базируется на локальных вычислительных сетях различной
архитектуры или их объединениях, получивших название корпоративных сетей.
Локальная вычислительная сеть представляет собой
особый тип сети, объединяющий близко расположенные системы. В настоящее время
достаточно трудно представить себе организацию, занимающуюся любым видом
деятельности, без локальной сети. В век информационных технологий и научно-технического
прогресса наиболее актуальны такие проблемы, как:
скорость обмена информацией;
дорогостоящее оборудование;
администрирование локальной вычислительной сети;
совместное использование внешних устройств;
доступ к информации;
защита информации.
Эффективная обработка информации - одна из
наиболее распространенных функций, выполняемых ЛВС. Информационные системы
содержат автоматизированные базы данных - крупные массивы информации,
хранящейся в особо упорядоченной или индексированной форме для облегчения
поиска в них.
Применение информационно-вычислительных сетей
может снять большинство проблем, связанных с использованием больших объёмов
информации в таких организациях. Передача данных и связь занимает особое место
среди перечисленных приложений сетей.
Вышеперечисленные факты позволяют говорить об
актуальности темы исследования.
Целью работы является усовершенствование
локальной вычислительной сети предприятия торговли для обеспечения
бесперебойной работы с общими ресурсами предприятия из любой точки нашего
государства, обеспечить высокую масштабируемость сети.
Для решения поставленной цели в работе решаются
следующие задачи:
выбор сетевой архитектуры для компьютерной сети
- метода доступа, топологии, типа кабельной системы;
выбор способа управления сетью;
конфигурация сетевого оборудования - количество
серверов, концентраторов, сетевых принтеров;
монтаж структуры кабельной сети;
управление сетевыми ресурсами и пользователями
сети;
рассмотрение вопросов безопасности сети;
расчёт затрат на создание сети предприятия.
1. ОБСЛЕДОВАНИЕ ПРЕДПРИЯТИЯ
.1 Общие сведения о работе
предприятия
Предприятие занимается розничной продажей
продуктов питания, а также алкогольной и спиртосодержащей продукцией на
территории Вологодской области. Основная часть торговых магазинов расположена
на территории города Череповца и Череповецкого района. Предприятие достаточно
стабильно и быстро развивается - регулярно отрываются новые магазины в других
районах области.
Центральный офис, в котором находится
бухгалтерия, операторы и персонал, отвечающий за работу магазинов и закупку
товара, находятся в городе Череповце. Поэтому между ними необходимо
организовать защищенный канал связи. В офисе находятся сервера, на которых
работает ПО, необходимое для работы предприятия. Эти сервера обслуживают
несколько ERP систем. Поэтому крайне важно обеспечить защиту информации и ее
резервное копирование.
1.2 Схема работы и программное
обеспечение
В данный момент времени большинство магазинов
работают на старой системе Art-Trade, которая включает в себя кассовую
программу и программу ведения товарного учета. Но в связи с изменениями в
регулировании торговли предприятие вынуждено перейти на новую ERP «ДАЛИОН
Управление Магазином ПРО». Причинами этого перехода является ввод системы ЕГАИС
на предприятиях торговли и общепита с 1 января 2016 года и вступление в силу
федерального закона №54 с 1 января 2017 года. Art-trade не соответствует всем
требованиям, выдвигаемым этим двумя нововведениям, и поэтому будет упразднен.
На компьютерах товароведов, операторов и других
лиц, работающих в компании, установлены профессиональные версии операционных
систем Windows XP и Windows 7. Это дает широкий простор для внедрения новых
идей управления и администрирования на рабочих станциях.
В случае использования системы Art-Trade, на
рабочих местах товароведов установлена операционная система Windows 7. На нее
установлена серверная часть программы Art-trade, со своей автономной базой
данных. Благодаря сети Интернет операторы из центрального офиса подключаются к
любому магазину и совершают действия, связанные с оперативно-товарным учетом.
На кассовых компьютерах установлена операционная система CentOS 5.0. Это
Linux-подобная операционная система, основанная на коммерческой Red Hat
Enterprise Linux. Под ее управлением работает кассовая часть Art-trade, которая
является автономной, но в случае обрыва связи с сервером Art-Trade, не получает
актуальные данные. Схематичное изображение схемы работы показано на рисунке
1.1.
Рисунок 1.1 - Схема работы
предприятия в системе Art-Trade
При переводе магазинов на новое программное
обеспечение схема работы кардинально меняется. Компьютеры товароведов,
работающие под управлением операционной системы Windows 7, в магазинах не имеют
установленных частей ERP системы. Из важных компонентов на них будет установлен
только УТМ (Универсальный Транспортный Модуль), необходимый для работы в
системе ЕГАИС. Товаровед подключается к удаленному серверу, который находится в
центральном офисе, по протоколу RDP (Windows Remote Desktop Protocol). На нем
располагается база данных «ДАЛИОН Управление Магазином ПРО», работающая под
управлением Microsoft SQL Server 2014, сервер «1С Предприятие» и
технологическая платформа «1С Предприятие». Каждый пользователь имеет свою учетную
запись на сервере и в ERP системе. То есть все работы по оперативно-товарному
учету ведутся на сервере, расположенном в центральном офисе. На кассе
установлена операционная система Windows POSReady 7 и программа Frontol 5.
Обмен данными между кассой и ERP происходит через FTP-сервер. Рабочее место
кассира-операциониста и рабочее место товароведа являются независимыми друг от
друга компьютерами. По этой схеме пока работает только 15% магазинов, но до
июля 2017 года запланирован перевод всех магазинов предприятия на эту схему
работы. Схема работы изображена на рисунке 1.2.
Рисунок 1.2 - Новая схема
оперативно-товарного учета
В качестве системы бухгалтерского
учёта используется типовая конфигурация «1С: Бухгалтерия 8.3». Между ней и ERP
«ДАЛИОН Управление Магазином ПРО» существуют типовая схема обмена данными.
1.3 Конфигурация оборудования на
предприятии
На предприятии используется
достаточно обширный парк разномастных системных блоков компьютеров операторов,
товароведов, кассиров. Их конфигурация может значительно разниться, потому что
компьютеры закупались в разное время и разными людьми. Зачастую при покупке
системных блоков люди, отвечающие за закупку, руководствовались стоимостью и
наличием комплектующих, а не унификацией оборудования. Поэтому комплектующие
применялись разные, в частности корпуса системных блоков, процессоры,
оперативная память и так далее.
Средняя конфигурация компьютеров
обладает следующими техническими характеристиками:
Системный блок формата Mini Tower.
Процессор с частотой 1.8 ГГц.
Гб ОЗУ.
Жесткий диск формата 3.5 с
интерфейсом SATA2.
При покупке серверного компьютера
был сделан большой задел на будущее для обеспечения быстрой работы 100-150
клиентов, подключенных к нему по RDP. При этом клиенты будут работать в 1С. И
что самое главное, на сервере установлен MSSQL Server, который достаточно
требователен к ресурсам компьютера, а в частности к оперативной памяти. Именно
поэтому конфигурация сервера выглядит таким образом:
Серверная платформа SuperMicro 4U
7048R-TR.
процессора CPU Intel Xeon E5-2620.
Оперативная память 128 Гб.контроллер
LSI MegaRAID SAS 9260-8i.
Жестких диска SAS, объединенных в
RAID массив.
Новый сервер получился исключительно
мощным и обеспечит потребности предприятия в обращении к общим ресурсам на
последующие 3 года при дальнейшем росте предприятия. Новая серверная платформа
изображена на рисунке 1.3.
Рисунок 1.3 - Новая серверная
платформа
На данный момент все точки продаж укомплектованы
необходимым активным сетевым оборудованием - это маршрутизаторы и коммутаторы.
Поэтому в большинстве случаев это оборудование не будет заменено.
2. РЕШАЕМЫЕ ПРЕДПРИЯТИЕМ ЗАДАЧИ И
ЕГО ИНФОРМАЦИОННЫЕ ЗАПРОСЫ
.1 Задачи, решаемые локальной
вычислительной сетью
Локальная вычислительная сеть (ЛВС) - набор
аппаратных средств и алгоритмов, которые обеспечивают соединение компьютеров и
других периферийных устройств (принтеров, дисковых контроллеров и т.п.),
расположенных на сравнительно небольшой территории (одного предприятия, офиса),
и позволяющих совместно использовать информационные ресурсы, периферийные
устройства, обмениваться данными.
Задачи, которые позволяет выполнять ЛВС:
совместная работа с документами;
одновременная работа пользователей в CRM;
упрощение документооборота;
простота администрирования рабочих станций;
облегчение технической поддержки пользователей;
облегчение совместного использования
дорогостоящих ресурсов, таких как принтеры, накопители CD/DVD-ROM, жёсткие
диски, приложения.
Исходя из всех многочисленных возможностей,
которые открывает пользователям ЛВС, можно выявить потребности в ЛВС в данной
организации.
ЛВС на предприятии является жизненно необходимой
вещью, потому что обеспечивает общий доступ и одновременную работу работников к
информационным и техническим ресурсам предприятия, таким как: интернет, общий
доступ к файлам и электронным документам, принтерам, одновременную работу в
информационных системах, независимо от физического расположения рабочего места
оператора.
Также сеть будет использоваться для
документооборота между сотрудниками, а главное для связи между бухгалтерской и
товароучётной программами, между товароучётной программой и кассовыми рабочими
местами, обмен данными между которыми является необходимым условием автоматизации
деятельности.
Подытожив, можно составить список задач, которые
должна решить локальная сеть:
доступ к ERP-системам;
обмен данными между ERP-системами;
обмен данными между кассами и ERP-системой;
общий доступ в сеть Интернет;
общий доступ к принтерам;
общий доступ к сканерам;
общий доступ к файловым серверам;
фильтрация входящего и исходящего траффика;
резервное копирование данных;
защита от несанкционированного доступа, как
внутри, так и снаружи.
2.2 Анализ информационных потоков
предприятия
Необходимым этапом в совершенствовании текущих
систем управления является анализ потоков информации, который обеспечит
выполнение целевых задач, на которые направлена модернизация, и на уточнение
особенностей уже сложившегося опыта планирования.
Анализ действующих процессов управления на
предприятии может быть выполнен только на базе исследования информационной
системы предприятия. Необходимо рассматривать схему документооборота, систему
экономических показателей предприятия, структуру подразделений и интенсивность потоков
данных между этими подразделениями. Результаты обследования позволят провести
анализ систем планирования и управления на предприятии и создать основу для
построения новой схемы обработки данных.
Анализ потоков информации позволит выявить:
Структуру и функции подразделений.
Названия подразделений и контрагентов
предприятия.
Перечень входящих, обрабатываемых и выходящих
документов в подразделениях.
Перечень законов и документов, используемых в
работе подразделений.
Определение маршрутов документооборота.
Основания и процессы принятия решений.
Анализ вышеперечисленных задач позволит получить
материал, необходимый для модернизации и изменения существующей информационной
системы предприятия.
Разберем информационные потоки между магазинами
и центральным офисом. В данный момент времени реализуется клиент-серверная
модель работы с ERP-системой «ДАЛИОН Управление Магазином ПРО». Исходя из этой
схемы, весь документооборот предприятия ведется на центральном сервере, на
котором удаленно работают товароведы, операторы и другие люди, задействованные
в работе с данной программой.
Мы лишь рассмотрим основные процессы,
протекающие в информационном обмене предприятия, которые жизненно необходимы
для его функционирования и управления. Диаграмма потоков данных между офисом и
магазином представлена на рисунке 2.1, расшифровка рисунка представлена в
таблице 2.1.
Рисунок 2.1 - Диаграмма потоков
данных между офисом и магазином
Таблица 2.1 - Расшифровка рисунка
2.1
|
№
потока
|
Данные
|
|
1
|
Информация,
поручения
|
|
2
|
Внесение
информации, документов
|
|
3
|
Запись
транзакций в БД
|
Также обмен происходит между бухгалтерией и
ERP-системой. В данном случае происходит выгрузка данных (формы ТОРГ-24 и
ТОРГ-12) из «ДАЛИОН Управление магазином ПРО» в бухгалтерию предприятия (1С
Бухгалтерия 3). Другими данными эти системы не обмениваются. Диаграмма обмена
данными между бухгалтерий и ERP-системой представлена на рисунке 2.2.
Рисунок 2.2 - Диаграмма обмена
данными между бухгалтерий и ERP-системой: 1 - Запрос информации на выгрузку из
ERP; 2 - Выгрузка информации о продажах в бухгалтерию
Обмен данными между кассами и товароучетной
системой происходит напрямую через FTP-сервер, установленный на центральном
сервере, при этом минуя компьютер товароведа, установленный в магазине.
Достоинством данного решения является независимость в обмене от компьютера
товароведа. То есть убирается одно звено в цепочке. Обмен данными между ERP и
кассами представлен на рисунке 2.3,расшифровка данного рисунка представлена в
таблице 2.3.
Рисунок 2.3 - Обмен данными между
ERP и кассами
Таблица 2.3 - Расшифровка рисунка
2.3
|
№
потока
|
Данные
|
|
1
|
Документы,
информация
|
|
2
|
Запись
данных в БД
|
|
3
|
Отправка/получение
файлов на FTP-сервер
|
|
4
|
Отправка/получение
файлов на FTP-сервер
|
2.3 Определение информационной
нагрузки на проектируемую часть
В этом разделе описаны примерные данные по
объему траффика, которые получены опытным путем. Они могут сильно разниться в
зависимости от объема работ, проводимых пользователями.
Итак, большую часть нагрузки информационного
канала составит передача данных по протоколу RDP. Протокол является достаточно
сбалансированным и не слишком «прожорливым». Опытным путем было выявлено, что
при разрешении экрана 1360х780 и 16-битном цвете, объем трафика при активной
работе и печати проброшенного принтера (действительно в случае работы из
магазинов), средний объем трафика за рабочий день - 150 Мб. В случае работы из
центрального офиса количество трафика не ограничено шириной Интернет канала,
потому что офисные сетевые принтеры подключены к принт-серверу, который
обрабатывает все запросы на печать. Рассматривать прочий трафик нет особой
необходимости, потому что доступ в сеть Интернет будет открыт лишь ограниченному
числу пользователей.
В будущем в данной сети планируется работа до
100 одновременных сеансов RDP. Поэтому 100*150=15000 Мб = 15 Гб трафика за
рабочий день. В наше время - это достаточно маленький объем трафика. Для
наглядности - средняя пропускная способность 24-х портовых коммутаторов =
48Гбит/с. Но это лишь теоретически максимальная скорость. На самом деле порт не
может пропускать в одну сторону через себя больше 600 Мбит/с.
В среднем оператор за рабочий день посылает на
сетевые принтеры документы на сумму 2 Мб. Объем трафика между всеми рабочими
станциями и магазинами составит 2*120 = 240 Мб за рабочий день.
Объем трафика между кассами и сервером равен
примерно 3 Мб в сутки на каждую кассу. На данный момент их 30, то есть
количество трафика на все кассы составляет всего лишь 90 Мб в сутки. Это
достаточно немного по нынешним меркам. В будущем количество касс увеличится
примерно до 150. То есть 150* 3 = 450 Мб трафика в сутки. А если учесть, что
сегодня практически везде используются без лимитных тарифных планов на услуги
доступа в Интернет, то этот объем трафика достаточно небольшой.
Во всех подразделениях предприятия установлены
видеорегистраторы, работающие с аналоговыми камерами, поэтому объем
генерируемого ими трафика зависит только от того, подключился ли к ним оператор
для просмотра записей с камер или просмотра изображения с одной из них в режиме
реального времени.
Суммируем примерный объем трафика в сети
предприятия: 15000+240+450 = 15690 Мб = 15,7 Гб.
Так как основная часть документооборота и работа
в информационных системах происходит прямо на сервере, то трафик, генерируемый
сервером и рабочими станциями, достаточно мал. Активное сетевое оборудование
закуплено с большим запасом пропускной способности. Трафик, проходящий внутри
сети, носит волнообразный характер. Например, утром трафик в сети может быть
больше, чем в период обеда. По этим причинам нет смысла моделировать данную
вычислительную сеть.
3. ПЛАНИРОВАНИЕ СТРУКТУРЫ СЕТИ
.1 Логическая структура сети
При обследовании данного предприятия был
рассмотрен ряд вопросов, ответы на которые позволяют сделать выбор типа
подключения компьютеров в сети.
Итак, выявлено следующее:
На момент написания этих слов количество
одновременно работающих пользователей может достигать 100.
Необходимо разграничение прав доступа к
информации и разрешенным действиям.
Все компьютеры будут объединены в сеть.
ЛВС должна быть защищена от несанкционированного
доступа извне - это одно из приоритетных направлений.
Управлять сетью будет IT-отдел.
Для выбора модели ЛВС необходимо рассмотреть
существующие варианты. Существует две модели локальных вычислительных сетей:
одноранговая ЛВС;
сеть типа клиент-сервер.
Данные модели определяют взаимодействие
компьютеров в локальной вычислительной сети. В одноранговой сети все компьютеры
равноправны между собой. При этом вся информация в системе распределена между
отдельными компьютерами. Любой пользователь может разрешить или запретить
доступ к данным, которые хранятся на его компьютере.
В одноранговой сети пользователю, работающему за
любым компьютером доступны ресурсы всех других компьютеров сети. Например, сидя
за одним компьютером, можно редактировать файлы, расположенные на другом
компьютере, печатать их на принтере, подключенном к третьему, запускать
программы на четвертом [2].
К достоинствам такой модели организации ЛВС
относится простота реализации и экономия материальных средств, так как нет
необходимости приобретать дорогой сервер. Несмотря на простоту реализации,
данная модель имеет ряд недостатков:
низкое быстродействие при большом числе
подключенных компьютеров;
отсутствие единой информационной базы;
защита информации;
зависимость наличия в системе информации от
состояния компьютера, т.е. если компьютер выключен, то вся информация,
хранящиеся на нем, будет недоступна.
Одноранговую модель сети обычно рекомендуют для
небольших организаций при числе компьютеров до 20 шт.
В ЛВС типа клиент-сервер имеется один (или
несколько) главных компьютеров-серверов, которые используются для хранения всей
информации в сети, а также для её обработки. В качестве достоинств такой модели
следует выделить:
высокое быстродействие сети;
практически неограниченная масштабируемость;
высокая отказоустойчивость при правильном
проектировании;
наличие единой информационной базы;
наличие единой системы безопасности.
Однако у данной модели есть и недостатки.
Главный недостаток заключается в том, что стоимость создания сети типа
клиент-сервер значительной выше, за счёт необходимости приобретать специальный
сервер. Также к недостаткам можно отнести и наличие дополнительной потребности
в обслуживающем персонале - администраторе сети.
Полученные на этапе исследования предприятия
данные позволяют сделать вывод о том, что в рассматриваемом случае наиболее
подходящей под запросы данного предприятия, как с физической, так и с
финансовой стороны, является клиент-серверная модель. Выбор данной модели
является оптимальным.
3.2 Выбор топологии сети и метода
доступа
Сетевая топология - это способ описания
конфигурации сети, схема расположения и соединения сетевых устройств.
Существует много способов соединения сетевых устройств. Выделяется восемь
базовых топологий: шина, кольцо, звезда, двойное кольцо, ячеистая топология,
решетка, дерево, Fat Tree. Другие способы являются модернизацией или
комбинацией базовых способов. В таком случае эти топологии называются
гибридными или смешанными.
Звезда - базовая топология сети, в которой все
компьютеры сети присоединены к центральному узлу (обычно это коммутатор),
образуя физический сегмент сети. Топология «Звезда» представлена на рисунке 3.1
Рисунок 3.1 - Топология «Звезда»
Подобный сегмент сети функционирует
как отдельно, так и в составе сетевой топологии (как правило
"дерево"). Весь обмен информацией идет исключительно через
центральный компьютер или коммутатор, на который таким способом ложится очень
большая нагрузка. Конфликты в топологии звезда в принципе невозможны, потому
что управление централизованное. Рабочая станция, с которой необходимо передать
данные, отсылает их на концентратор, а тот определяет адресата и передает ему
данные. В один момент времени только одна машина в сети может пересылать
информацию, если на концентратор одновременно приходят два пакета, оба пакета
оказываются не принятыми и отправителям нужно подождать случайный промежуток
времени для возобновления передачи данных. Этот недостаток отсутствует на
сетевом устройстве более высокого уровня - коммутаторе, который, в отличие от
концентратора, подающего пакет на все порты, подает лишь на определенный порт -
получателю, сверяясь с таблицей маршрутизации. Одновременно может быть передано
множество пакетов.
Наряду с известными топологиями
локально-вычислительных сетей: кольцо, звезда и шина, на практике применяется
комбинированная структура, например, древовидна. Она образуется в основном в
виде комбинаций вышеназванных топологий вычислительных сетей. Основание дерева
вычислительной сети располагается в точке (корень), в которой собираются
коммуникационные линии информации (ветви дерева).
Вычислительные сети с древовидной
структурой могут применяться там, где нет возможности применения базовых
сетевых структур в чистом виде. Для подключения большого числа рабочих станций
соответственно адаптерным платам применяют сетевые усилители и/или коммутаторы.
Коммутатор, обладающий одновременно и функциями усилителя, называют активным
концентратором. Древовидная топология представлена на рисунке 3.2.
Рисунок 3.2 - Древовидная топология
Для модернизации локальной сети в этом проекте
будет применена топология «дерево», потому что все компьютеры предприятия будут
объединены в единую виртуальную сеть. Также в офис могут со временем быть
добавлены новые коммутаторы. Применение этой сетевой топологии позволяет
создать максимально устойчивую ЛВС с большим удобством администрирования. Это
позволит легко подключать новые устройства в сеть, коммутировать их. Большим
плюсом данной топологии является легкий поиск неисправностей и обрывов в сети.
При правильном проектировании позволит достичь большой производительности сети.
Масштабируемость такой сети практически не ограничена и упирается в количество
коммутируемых устройств. Что немаловажно в дальнейшем сеть с этой топологией
позволит создать систему обнаружения физических несанкционированных подключений
к локальной сети в режиме реального времени [1].
3.3 Выбор среды передачи данных
Для соединения устройств в настоящее время
актуальны проводные и беспроводные каналы связи. К беспроводным каналам связи
относится Wi-Fi актуальных на сегодняшний день стандартов IEEE 802.11n/ac.
Для осуществления проводного канала используются медные кабели или
волоконно-оптические. Вторые использоваться не будут потому, что медные кабели
значительно дешевле и проще при коммутации. Также при этой схеме не потребуются
различные преобразователи сигнала из светового в электрический и наоборот.
В наше время 10 Мбит сети уже не отвечают
современным требованиям по скорости передачи информации, поэтому не имеет
смысла экономить и сразу же купить моножильный кабель UTP категории 5e с диаметром
сечения проводника 24AWG. Исходя из практики использования, кабель с этим
сечением проводника, так как он лучше разделывается в сетевых вилках и
розетках. Структура и вид типичного кабеля категории 5e представлена на рсиунке
3.3.
Рисунок 3.3 - Структура и вид типичного кабеля
категории 5e
Сам провод может быть сделан из меди или
омедненного алюминия. Медный кабель обладает лучшими характеристиками по
затуханию сигнала на больших расстояниях, а также он более прочен на изгиб, чем
алюминиевый кабель. Но такой кабель может стоить в два и более раз дороже, чем
алюминиевый. Поэтому менее затратно проложить именно кабель из омедненного
алюминия от патч-панели в коммутационном шкафу, до сетевой розетки конечного устройства.
Изоляция кабеля имеет множество вариаций, но,
чтобы соответствовать современным требованиям пожаробезопасности, лучше всего
не использовать для внутренней прокладки кабели из поливинилхлорида и
полиэтилена.
Как промежуточное звено между сетевой розеткой
или патч-панелью и оконечным устройством лучше всего использовать многожильный
кабель категории 5e. Их называют патч-кордами (рисунок 3.4). Многожильные
кабели в отличие от моножильных имеют большую гибкость, такому кабелю не
страшны скручивания, сгибания и даже передавливания. Личная практика показала,
что эти кабели лучше всего закупить в нужном количестве, а не изготавливать
самостоятельно. Благо, что они имеются в наличии практически в любом
компьютерном магазине и бывают разной длины, цвета, материала и так далее. К
большим плюсам покупки патч-кордов могу отнести: экономию времени на
самостоятельную изготовку оных и запаянные коннекторы (кабель не выскочит из
разъема 8Р8С даже, если его очень сильно дернуть).
Рисунок 3.4 - Патч-корд
Существует два варианта обжима разъёма на
кабеле:
для создания прямого кабеля - для соединения
порта сетевой карты с коммутатором или концентратором,
для создания перекрёстного (использующего
кроссированный MDI, англ. MDI-X) кабеля, имеющего инвертированную разводку
контактов разъёма для соединения напрямую двух сетевых плат, установленных в
компьютеры, а также для соединения некоторых старых моделей концентраторов или
коммутаторов (uplink-порт).
Оконечной частью кабеля перед сетевым
устройством является разъем 8Р8С, который по ошибке зачастую называют RJ-45.
Коннектор 8Р8С представлен на рисунке 3.5.
Рисунок 3.5 - Коннектор 8Р8С
Существуют два варианта обжима по стандартам:
TIA/EIA-568A и TIA/EIA-568B (представлен на рисунке 3.6). Второй стандарт
используется гораздо чаще, и лично я в своей практике ни разу не встречал,
чтобы кто-то обжимал по стандарту А.
Рисунок 3.6 - Стандарт TIA/EIA-568B
Перекрестные кабели, например, для соединения
«компьютер-компьютер» уже не актуальны, благодаря технологии Auto MDI/MDI-X,
поэтому останавливаться на них не имеет смысла. Все кабеля будут обжаты прямо
по одинаковой схеме с обеих сторон.
3.4 Протокол передачи данных
Протокол передачи данных - это набор правил
интерфейса логического уровня, которые определяют порядок обмена между
всевозможными программами. Эти правила задают способы передачи сообщений и
обработку ошибок при взаимодействии ПО и аппаратуры, соединенных между собой.
Сетевой протокол - набор действий и правил,
позволяющий осуществлять соединение и обмен между устройствами внутри сети.
Сетевые протоколы описывают правила «общения» устройств внутри сети, эти
правила строятся по многоуровневому принципу. Одно из технических правил связи
определяет протокол некоторого уровня. В настоящее время используется модель
OSI для сетевых протоколов. Эта модель состоит из семи логических уровней:
Физический уровень.
Канальный уровень.
Сетевой уровень.
Транспортный уровень.
Сеансовый уровень.
Уровень представления.
Прикладной уровень.
Основным протоколом общения устройств в сети
является TCP/IP. Этот протокол состоит из двух протоколов нижнего уровня
протокол TCP (Transmission Control Protocol) и IP (Internet Protocol). TCP разбивает
информацию на порции и нумерует эти порции. Протокол IP передает эти части
получателю, после этого TCP проверяет, все ли части получены. После получения
всех частей TCP располагает все части в нужном порядке и собирает их в единое
целое.
3.5 Выбор сетевой операционной
системы
Сетевая операционная система (ОС) - основа любой
локально-вычислительной сети. Каждое устройство в сети является автономным,
поэтому под сетевой ОС понимается совокупность операционных систем компьютеров,
которые взаимодействуют с целью разделения ресурсов и сообщений по правилам и
протоколам. А в узком смысле сетевая операционная система - это ОС отдельного
компьютера, которая позволяет ему работать в локальной сети.
В сетевой ОС компьютера возможно выделить
несколько частей:
средства управления локальными ресурсами
компьютера. Это функционал распределения оперативной памяти между процессами,
планированием и диспетчеризацией процессов, управления центральными
процессорами (если их несколько);
средства предоставления собственный ресурсов для
общего пользования - серверная часть (сервер). Такие средства позволяют
блокировать файлы и записи, ведение справочников имен сетевых ресурсов,
обработку запросов удаленного доступа, управлять очередями запросов к
устройствам и ресурсам;
средства запроса к удаленным ресурсам и их
использование - клиентская часть (редиректор). Эта часть структуры сетевой
операционной системы выполняет распознавание и перенаправление в сеть запросов
к удаленным ресурсам от пользователей и программ. Также клиентская часть
принимает ответы от сервера и преобразовывает их в формат клиента (локальный
формат), поэтому для программ выполнение локальных и удаленных запросов
одинаково;
коммуникационные средства ОС - с их помощью
возможен обмен сообщениями в локальной сети. Данная часть средств обеспечивает
адресацию и буферизацию сообщений, выбирает маршруты передачи сообщения по
локальной сети, отвечает за надежность передачи данных и так далее. То есть эта
часть структуры сетевой ОС обеспечивает транспортировку сообщений.
В зависимости от функционала устройства, в его
операционной системе может отсутствовать серверная или клиентская часть. Если
компьютер предоставляет свои ресурсы другим пользователям, то он играет роль
сервера, а компьютер, который обращается к нему, является клиентом. Как я уже
говорил, одна и та же машина может совмещать эти роли или использовать только
одну из этих ролей.
В зависимости от распределения функционала между
компьютерами в локальной сети, сетевые операционные системы делят на
одноранговые и двухранговые, которые чаще всего называют сетями с выделенным
сервером. Когда выполнение каких-либо серверных функций является основным
предназначением сервера, то такой сервер называется выделенным. Ресурсы сервера
являются разделяемыми, например, он может быть файл-сервером, сервером
приложений или принт-сервером. Одна физическая машина может выполнять одну или
множество назначенных на нее серверных функций.
На выделенные сервера конечно же очень
желательно устанавливать специально оптимизированные под серверные функции
операционные системы. В локальных сетях с выделенными серверами чаще всего
используют операционные системы, которые имеют в своем составе несколько
вариантов ОС, отличающихся по возможностям. Например, семейство ОС Windows,
заточенное специально под серверные нужды - Windows Server. В отличие от
варианта для обычных компьютеров серверный вариант имеет огромные возможности
для предоставления доступа к ресурсам, поддерживает практически неограниченное
количество одновременных соединений с клиентскими устройствами, реализует
централизованное управление локальной сетью, обладает развитыми средствами
защиты и что немаловажно умеет централизованно управлять клиентскими машинами и
администрировать их.
Сетевые операционные системы могут обладать различными
свойствами в зависимости от своего предназначения и масштаба. Есть несколько
основных подвидов таких сетей:
Сети отделов - ими пользуется небольшая группа
людей, которые решают общие задачи. Главной целью таких сетей является
разделение локальных ресурсов - приложения, данные, принтеры, Интернет и так
далее. Такие сети, как правило, не разбиваются на подсети;
Сети кампусов - это несколько сетей внутри
отдельного здания или на одной территории предприятия. Такие сети все еще
называются локальными сетями, хоть и покрывают достаточно большие территории.
Такие сети включают в себя взаимодействие между отделами, доступ к базам
данных, принтерам и т.д.;
Корпоративные сети - объединяют в себе все
компьютеры предприятия и даже те, которые могут находиться в других городах и
даже на других континентах. Эти сети включают в себя все функции, которыми
обладают предыдущие виды сетей.
Для данного предприятия решено было создать сеть
с элементами сети отделов и с возможностями корпоративных сетей. Для того,
чтобы решить эту задачу, необходимо создать и установить контроллер домена.
Благодаря этому решится задача администрирования всех рабочих мест на
предприятии, на это наложится одинаковая политика учетных записей и политики
безопасности информационной структуры предприятия. При данной схеме работы
слабым звеном является контроллер домена, ведь если он перестанет работать, то
работа в локальной сети станет невозможна. Чтобы обезопасить предприятие от
данной проблемы, на другой физической машине необходимо установить резервный
контроллер домена, который в случае отказа первого возьмет данную роль на себя
[6].
3.6 Объединение всех подразделений
предприятия в одну сеть
Чтобы объединить все магазины и офисы в одну
виртуальную сеть, необходимо использовать VPN (Virtual Private Network -
виртуальная частная сеть). Виртуальная частная сеть может обеспечить безопасный
доступ к корпоративной сети из любой точки мира, разумеется, при наличии выхода
в Интернет. Такая сеть используется для безопасного подключения географически
разделенных офисов организации, создавая одну виртуальную сеть. Огромным
преимуществом данной технологии являются возможности криптографии и шифрования
соединения, что при должном подходе и правильном администрировании обеспечивает
высокий уровень защиты передаваемой информации.
Организовать VPN-сервер возможно на физическом
сервере, как стандартными средствами Windows, так и сторонним ПО. Как показал
личный опыт, встроенный в Windows Server 2012 VPN-сервер не смог обеспечить
должную отказоустойчивость и возможности администрирования. Поэтому было решено
использовать сторонний продукт - OpenVPN.- это реализация технологии
виртуальной частной сети, которая является свободным ПО с полностью открытым
исходным кодом, и распространяется по лицензии GNU GPL. Данный продукт
находится в стадии активной разработки с 2002 года и его поддержка находится в
активной стадии.
Безопасность потоков данных и управляющих
каналов обеспечена благодаря библиотеке OpenSSL. Что позволяет использовать
весь набор алгоритмов шифрования из этой библиотеки - это протоколы
SSLv3/TLSv1.2. Немаловажное преимущество продукта то, что он работает
практически на всех операционных системах, широко используемых как в массах,
так и на серверах [7].может работать по нескольким видам аутентификации:
предустановленный ключ;
сертификат безопасности;
с помощью логина и пароля.
В нашем случае будет использован метод
аутентификации по сертификатам открытого ключа, потому что он является наиболее
гибким и одновременно защищенным. Благодаря этому подключиться к виртуальной
сети сможет только компьютер, на котором установлен данный сертификат и должным
образом сконфигурирован файл подключения. Сертификат открытого ключа будет
использован для проверки подписи владельца и для шифрования посылаемых ему
данных.
И так, следуя этому плану, виртуальная сеть
будет организована по принципу «сеть-сеть». То есть в центральном офисе на
маршрутизаторе будет установлен и настроен OpenVPN сервер. В каждом
подразделении предприятия: магазин, офис или филиал; будет установлен
маршрутизатор, который будет одновременно иметь доступ в Интернет и
одновременно будет работать как устройство, подключенное посредством OpenVPN к
маршрутизатору, установленному в центральном офисе. Благодаря этому и будет
организована эта виртуальная сеть, объединяющая все подразделения предприятия в
одну.
3.7 Распределение адресного
пространства
Адресация в вычислительных сетях бывает
физическая (на основе MAC-адресов) и логическая (IP-адресация). Логическая
адресация работает на третьем уровне модели OSI.
Для обмена данными в сети каждому сетевому
устройству присваивается IP-адрес. Адрес устройства вводится в виде десятичного
числа с точками, например, 192.170.7.18.
При такой адресации в физической сети могут
существовать несколько логических сетей. Например, есть две подсети в одной
физической сети, которые имеют адреса 192.168.18 и 192.168.5. В этом случае
устройства из одной подсети могут обмениваться данными внутри своей подсети, но
без использования маршрутизации не могут общаться с устройствами из другой
подсети. Пример двух подсетей в одной физической сети представлен на рисунке
3.7.
предприятие вычислительный сеть
данные
Рисунок 3.7 - Пример двух подсетей в одной
физической сети
Любой IP-адрес в сети состоит из двух частей:
сетевая часть и адрес узла. Для определения, где сетевая часть, а где адрес
узла, используется маска подсети. Для настройки узлу присваивается не только
IP-адрес, но и маска подсети. Отправляя пакет, узел сравнивает маску подсети со
своим IP-адресом и адресом назначения. Если биты сетевой части совпадают,
значит, узлы источника и назначения находятся в одной и той же сети, и пакет
доставляется локально. Если нет, отправляющий узел передает пакет на интерфейс
локального маршрутизатора для отправки в другую сеть.
Не будем углубляться в теорию еще больше. В
нашей сети будет работать порядка 100-200 сетевых устройств. Это принтеры,
компьютеры, маршрутизаторы, кассовые аппараты и другие устройства. Чтобы
сделать структуру сети логически понятной и простой для администрирования, было
решено составить IP-адресацию по следующему принципу: первые два октета сетевой
части адреса будут неизменны и будут иметь вид 192.35. Следующие два октета
будут расшифровываться так: третий октет - номер подразделения предприятия,
будь то офис или магазин, адрес узла - адрес устройства в подсети
подразделения. Например, 192.35.17.10, где 17 - номер магазина, а 10 адрес узла
в подсети. Для реализации такой адресации мы будем использовать маску подсети
255.255.0.0. Она является несколько избыточной с точки зрения количества
возможных узлов - 65 536. Но позволит реализовать понятную систему адресации.
Таблица адресации в Приложении 1.
4. ВЫБОР СЕТЕВОГО ОБОРУДОВАНИЯ
.1 Сетевое оборудование для
подразделений
Выбор сетевого оборудования - достаточно
ответственное мероприятие. От него зависит скорость и стабильность работы
локальной сети. Немаловажными факторами выбора оборудования является
масштабирование локальной сети и взаимозаменяемость оборудования. Например, в
случае поломки коммутатора, важно заменить его быстро на аналогичный или на
коммутатор со схожими характеристиками, он может быть даже от другого
производителя.
Маршрутизатор для установки в подразделениях
предприятия должен выполнять несколько задач:
Организация выхода в Интернет по технологиям
PPPoE, L2TP и PPTP.
Возможность подключения 3G/4G модемов.
Наличие USB-порта.
Скорость портов не менее 100 Мб/с.
Наличие брандмауэра и NAT.
Правила фильтрации по IP/Mac/URL/DNS - адресам.
Встроенный клиент OpenVPN или возможность его
установить, например, средствами сторонней прошивки, подходящими ко многим
роутерам, OpenWRT.
Расширенные настройки проброса портов.
Перенаправление запросов.
Разделение прав учетных записей для защиты
настроек роутера.
Встроенный принтер-сервер.
Назначение разных ролей всем портам роутера.Fi
сеть, работающая с защитой WPA2-PSK.
Монитор траффика.
Утилиты для проверки соединения.
Встроенный DHCP сервер.
Стоимость до 10000 рублей.
Данный список требований к оборудованию
достаточно широкий, и найти то, что нужно, достаточно сложно, потому что
подобные решения могут быть слишком избыточными, например, из-за большого
количества портов, или, например, крепления в стойку 19 дюймов. Из-за этого
стоимость устройства может оказаться неоправданно большой для предприятия с
таким большим количеством филиалов.
Под эти требования идеально подходят решения
компании Mikrotik, она непопулярна в широких массах, но в узких кругах
пользуется уважением и популярностью за счет очень гибкой настройки RouterOS.
Проанализировав рынок, я пришел к выводу, что роутеры данной компании идеально
вписываются в требования, которые мы ей предъявляем. К тому же приятным, но
пока ненужным дополнением является наличие технологии PoE (Power over Ethernet)
на четырех портах.
Выбор был остановлен на модели Mikrotik hEX PoE
lite (RB750UPr2) (рисунок 4.1), она соответствует требованиям, описанным выше и
что немаловажно по стоимости, не выходит за рамки бюджета. Стоимость на
сегодняшний день составляет примерно 3800 рублей.
Рисунок 4.1 -
Mikrotik hEX PoE lite (RB750UPr2)
Для того, чтобы обеспечить автономность
локальной сети в небольших офисах и филиалах (до 8 устройств), например, в
случае отсутствия выхода в Интернет или поломки маршрутизатора, возможно
подключить все устройства к сетевому коммутатору (свитчу), а уже свитч
подключить к маршрутизатору. Это критически важно, например, из-за того, что
кассовые компьютеры должны видеть включенный компьютер товароведа, на котором
установлен УТМ (Универсальный Транспортный Модуль) - он необходим для обмена с
системой ЕГАИС. Если касса не видит в локальной сети УТМ, то автоматически
блокирует продажу акцизного алкоголя.
Требования к коммутатору:
Ethernet гигабитных портов.
Металлический корпус.
Возможность крепления на стену.
Под эти требования подходит коммутатор TP-LINK
TL-SG108, рисунок 4.2 представлен ниже.
Рисунок 4.2 - TP-LINK TL-SG108
Остальные подразделения предприятия, на
сегодняшний день имеют в своем парке до 16 устройств, работающих в локальной
сети. Поэтому я выбрал коммутатор этого же производителя и из этой же серии,
что коммутатор для малых подразделений предприятия. Различие лишь в том, что
такие коммутаторы имеют 16 гигабитных портов и имеют внутренний блок питания.
Так же такой свитч возможно установить в стойку 19 дюймов. Это коммутатор
TP-LINK TL-SG1016D (рисунок 4.3).
Рисунок 4.3 -
TP-LINK TL-SG1016D
4.2 Активное сетевое оборудования
для центрального офиса
Как правило, для доступа в сеть Интернет
провайдер предоставляет в бесплатное пользование маршрутизатор. В данный момент
времени заключен договор с провайдером «Ростелеком». Связь от провайдера до
маршрутизатора организована через волоконно-оптическое соединение. Поэтому
нецелесообразно покупать свой маршрутизатор, когда его предоставляет провайдер.
Тем более, как правило, в таких случаях настроить соединение возможно только
через ограниченный список устройств, указанных провайдером. Поставщик услуг
предоставил маршрутизатор Huawei HG8245H. Этот терминал показал себя достаточно
стабильным и относительно гибким устройством, но, к сожалению, с некоторыми
ограничениями, которые в него заложил провайдер посредством модифицированной им
прошивки. Например, к портам 2-4 возможно подключение только ТВ-приставок от
вышеупомянутого провайдера. Это накладывает некоторые ограничения, но они не
критичны, потому что в нашем случае будет занят только первый LAN-порт, к
которому будет подключен один из коммутаторов.
От коммутаторов в центральном офисе не требуется
ручная настройка функций и мониторинг сети. От них требуется просто объединить
все устройства в одну локальную сеть и при этом не требуется приоретизация
трафика на конкретных портах или ограничение скорости по ним и прочий
функционал, присущий управляемым коммутаторам.
Сопоставив требуемый функционал и стоимость,
было решено приобрести два коммутатора TP-LINK TL-SG1024 (рисунок 4.4), имеющих
по 24 Ethernet -порта, в комплекте они имеют крепеж для установки в стойку.
Рисунок 4.4 - TP-LINK TL-SG1024
Технические характеристики коммутатора TP-LINK
TL-SG1024 представлены в таблице 4.1
Таблица 4.1 - Технические характеристики
коммутатора TP-LINK TL-SG1024
|
Пропускная
способность
|
48
Гбит/с
|
|
|
Количество
портов RJ45
|
24
порта RJ45
|
|
|
Размеры
(ширина x высота x глубина)
|
440
x 44 x 180 мм
|
|
|
Комплект
поставки и опции
|
|
Комплект
поставки
|
Кабель
питания, крепеж для установки в стойку, Резиновые ножки, Руководство
пользователя
|
|
|
Особенности
корпуса
|
|
Индикаторы
|
Link/ACT,
Power
|
|
|
Высота
|
1U
|
|
|
Установка
в стойку 19"
|
Возможна,
крепеж в комплекте
|
|
|
Интерфейс,
разъемы и выходы
|
|
Управление
|
Нет
|
|
|
Гигабитные
порты
|
24
порта 10/100/1000 Мбит/сек
|
|
|
Питание
|
|
Питание
|
От
электросети
|
|
|
Блок
питания
|
Встроенный
|
|
|
Энергопотребление
|
Максимум:
14,6Вт (220В/50Гц)
|
|
|
Сетевые
характеристики
|
|
Соответствие
стандартам
|
802.3 (Ethernet), 802.3ab (1000BASE-T), 802.3u
(Fast Ethernet), 802.3x (Flow Control)
|
|
|
Метод
коммутации
|
Store-and-Forward
|
|
|
Метод
доступа
|
CSMA/CD
|
|
|
MAC
Address Table
|
есов
|
|
4.3 Защита сети и рабочих станций в
центральном офисе
Основную угрозу для информационной системы
предприятия представляют компьютерные вирусы. Для защиты данных в локальной
сети и общей антивирусной защиты компьютеров операторов необходимо применять
организационные и технические меры защиты. Необходимо защищать локальную сеть
как атак извне, так и от атак изнутри сети, когда вредоносную программу может
принести с собой на портативном носителе информации любой сотрудник компании,
даже не ведая об этом. Поэтому мы обратили свой взор на программно-аппаратный
комплекс российской компании Dr.Web. Она предлагает программно-аппаратный
комплекс Dr.Web Office Shield. Он является высокопроизводительным и
отказоустойчивым шлюзом доступа в Интернет, позволяющим организовывать
централизованную антивирусную защите рабочих станций и файловых серверов
Windows, почтового и Интернет-трафика. Использование данного комплекса
позволяет выполнить положения Федерального закона №152-ФЗ «О персональных
данных» в области антивирусной защиты персональных данных и контроля доступа в
рекордно короткие сроки. Внешний вид Dr.Web Office Shield в разных корпусах
представлен на рисунке 4.5.
Рисунок 4.5 - Внешний вид Dr.Web Office Shield в
разных корпусах
Возможности комплекса:
Централизованная антивирусная и антиспам-защита
рабочих станций и файловых серверов Windows.
Антивирусная и антиспам-проверки
Интернет-трафика в режиме прокси-сервера.
Фильтрация контента.
Внешний подключаемый карантин.
Резервное копирование настроек и
пользовательских данных.
Анализ и статистика использования ресурсов сети
Интернет.
Сетевые службы и сервисы (межсетевой экран,
DNS-сервер, прокси-сервер и многое другое).
Возможность работы в беспроводных сетях.
Преимущества
Dr.Web Office Shield:
Безопасны доступ к сети Интернет.
Комплексная централизованная защита всей сети от
вирусов и спама.
Отсутствие необходимости физического
обслуживания комплекса.
Компактность и переносимость.
Низкое энергопотребление.
Отсутствие необходимости унификации парка
компьютеров.
Модульность решения и гибкость системы
лицензирования позволяет использовать Dr.Web Office Shield в самых различных
конфигурациях локальных сетей предприятий и организаций, реализуя их внутреннюю
политику безопасности. В частности, Dr.Web Office Shield может быть использован
в качестве:
сервера демилитаризованной зоны - максимально
изолированного от внутренней сети устройства, отвечающего за антивирусную и
антиспам-защиту предприятия;
прокси-сервера (шлюза доступа пользователей
внутренней интранет-сети к ресурсам сети Интернет), предназначенного для
обеспечения защиты почтового и интернет-трафика от вирусов, разного рода
вредоносных объектов и спама. Использование Dr.Web Office Shield в качестве
шлюза значительно снижает затраты компаний на организацию безопасного доступа
пользователей корпоративной интранет-сети к ресурсам сети Интернет и позволяет
существенно экономить интернет-трафик;
внутреннего сервера локальной сети,
обеспечивающего централизованную защиту рабочих станций и файловых серверов
Windows.
В состав Dr.Web
Office Shield
входят: Dr.Web
Enterprise
Suite; Dr.Web для
интернет-шлюзов Unix; Dr.Web Mail Gateway; корпоративный межсетевой экран;
VPN-сервер; сервер DHCP&DNS; точка доступа Wi-Fi.
Важной особенностью Dr.Web Office Shield
является то, что он может быть установлен как в уже существующую сеть, так и
использован в качестве основы для вновь создаваемой сети - наличие работающих
сервисов DHCP и DNS позволит провести эту работу с минимальными усилиями [3]..Web
Office Shield поставляется в двух корпусах: Neo и Twister. Эти решения
практически идентичны по размерам, но они различаются по производительности.
Как заверяет производитель, рекомендуемое число пользователей для корпуса Neo
до 50, а для корпуса Twister до 250. Динамичный рост предприятия предполагает и
увеличение количества рабочих станций, поэтому количество пользователей будет
постоянно расти. На текущий день их число составляет 50 Windows-компьютеров. И
их количество продолжает быстро расти. Поэтому выбор пал на корпус Twister.
Технические характеристики Dr.Web Office Shield в корпусе Twister представлены
в таблице 4.2.
Таблица 4.2 - Технические характеристики Dr.Web
Office Shield в корпусе Twister
|
Габариты
|
75х300х173
|
|
Чипсет
|
Intel
945
|
|
Процессор
|
Intel
Core2Duo 2.6 ГГц
|
|
ОЗУ
|
DDR2
SODIMM 2GB
|
|
Накопитель
|
SATA
160 GB
|
|
Сеть
|
4
x 100Mb
|
Данное решение очень удобно в плане
администрирования. Комплекс имеет web-интерфейс, защищенный учетной политикой,
также есть возможность подключить к нему монитор, мышь и клавиатуру. Но вход в
устройство через браузер более предпочтителен, как по удобству работы
(системный администратор может выполнять административные функции даже из
дома), так и по количеству занимаемого пространства.
Обновление антивирусных баз данных, как и в
любом продукте, направленным на борьбу с вредоносным программным обеспечением,
может происходить в автоматическом режиме или в ручном. Возможна настройка
сервера получения антивирусных баз. По умолчанию конечно же комплекс получает
обновления с серверов компании Dr.Web. После получения актуальных вирусных баз
и программных модулей, Office Shield быстро и эффективно распространяет
обновления на защищаемые рабочие станции.
Источник бесперебойного питания
Зачастую по локальной сети передаются важные
данные, которые должны быть гарантированно получены в полном объеме и безошибочно,
например, резервная копия базы данных ERP системы. Для того, чтобы обеспечить
непрерывность передаваемой информации между клиентами локальной сети в случае
отключения электроэнергии, необходимо установить в стойку блок бесперебойного
питания. От которого мы запитаем два коммутатора и маршрутизатор, который
раздает выход в Интернет. Также к нему мы подключим DrWeb OfficeShield.
Составим сводную таблицу подключаемого к ИБП
оборудования. Оборудование, подключаемое к источнику бесперебойного питания, представлено
в таблице 4.3.
Таблица 4.3 - оборудование, подключаемое к ИБП и
его энергопотребление
|
Устройство
|
Количество
|
Энергопотребление
|
Сумма
|
|
TP-LINK
TL-SG1024
|
2
|
14,6
Вт
|
29,2
Вт
|
|
Dr
Web Office Shield
|
1
|
150
Вт
|
150
Вт
|
|
Huawei
HG8245H
|
1
|
15,5
Вт
|
15,5
Вт
|
|
|
|
Итого
194,7 Вт
|
В режиме максимального энергопотребления данное
оборудование будет суммарно потреблять 194,7 Вт. Это достаточно немного, и для
обеспечения питанием этого не нужен ИБП с большой емкостью аккумуляторов. Но
потребности предприятия будут расти и потребуется дополнительное активное
сетевое оборудование.
Для этого оборудования и при увеличении парка
активного сетевого оборудования, устанавливаемого в серверный шкаф, подходит
ИБП Ippon Smart Winner 1000N. Он является линейно-интерактивным, обеспечивает
стабилизацию напряжения на выходе и при этом частоты на входе и выходе
совпадают. Его основные характеристики описаны в таблице ниже. Исходя из данных
этой таблицы, при текущей конфигурации оборудования его мощности хватит на
20-25 минут работы при максимальной нагрузке подключенных к нему потребителей.
Характеристики источника бесперебойного питания представлены в таблице 4.4.
Таблица 4.4 - Характеристики источника
бесперебойного питания Ippon Smart Winner 1000N
|
Номинальное
выходное напряжение
|
220В
/230В /240В
|
|
Искажения
выходного напряжения
|
±5%
|
|
Максимальная
выходная мощность
|
1000
ВА
|
|
Эффективная
мощность
|
900
Ватт
|
|
Время
переключения на батарею
|
2-6
мс, 13 для режима "Генератор"
|
|
Холодный
старт
|
Поддерживается
|
|
Размеры
(ширина x высота x глубина)
|
438
x 87 x 436 мм
|
|
Вес
|
13.2
кг
|
|
Время
работы от батарей
|
|
Время
работы от батарей при нагрузке 100 Вт
|
60
мин.
|
|
Время
работы от батарей при нагрузке 200 Вт
|
26
мин.
|
|
Время
работы от батарей при нагрузке 400 Вт
|
10
мин.
|
|
Время
работы от батарей при нагрузке 500 Вт
|
5
мин.
|
|
Время
работы от батарей при нагрузке 700 Вт
|
4
мин.
|
|
Время
работы от батарей при нагрузке 900 Вт
|
3
мин.
|
|
Комплект
поставки и опции
|
|
ПО
в комплекте
|
WinPower
|
|
Опции
(монтажные профили)
|
Комплект
для монтажа Innova RT в 19" стойку
|
|
Особенности
корпуса
|
|
Установка
в стойку 19"
|
Возможна,
высота 2U; монтажные "уголки" входят в комплект поставки
(рекомендуется их замена на комплект для монтажа)
|
|
Экран
|
|
ЖК-дисплей
|
Есть
|
|
Интерфейс,
разъемы и выходы
|
|
Интерфейс
|
RS-232,
USB
|
|
Охлаждение
|
|
Уровень
шума
|
40
дБ при неполной нагрузке, 45 дБ при полной нагрузке
|
|
Питание
|
|
Кол-во
выходных розеток
|
4
компьютерные (IEC-320-C13)
|
|
Расположение
розеток
|
На
задней панели
|
|
Входное
напряжение
|
161
~ 276В
|
|
Тип
выходного сигнала
|
Синусоида
при работе от аккумуляторов; повторяет форму входного напряжения при работе
от электросети
|
|
Защита
от перегрузок
|
Есть.
|
|
AVR (Automatic Voltage Regulation - авторегулятор
напряжения)
|
Есть
|
|
Аварийное
выключение питания (EPO)
|
Нет
|
|
Вход
питания
|
IEC-320-C14
(компьютерная розетка)
|
|
Аккумуляторы
|
|
Аккумуляторы
|
2
аккумулятора 12В, 9 Ач
|
|
Горячая
замена аккумулятора
|
Не
поддерживается
|
|
Время
зарядки
|
8
часов (до 90% от полной емкости аккумуляторов)
|
|
Размеры
сменного аккумулятора (ШхВхГ)
|
151
х 100 х 65 мм (12В, 7/9 Ач)
|
|
Потребительские
свойства
|
|
Защита
линии связи
|
Разделяемые
розетки RJ-11/RJ-45 телефонной линии и линии передачи данных
|
|
Звуковые
сигналы
|
Питание
от аккумуляторов, разрядка аккумуляторов, перегрузка, необходимость замены
аккумуляторов, неисправность
|
|
Совместимость
|
|
Поддержка
ОС
|
Windows 7, Windows Vista, Windows XP, Windows
Server 2008, Windows Server 2003, Linux, FreeBSD, Sun Solaris 10, VMware ESXi
4, VMware ESX 4.1, VMware ESX 3.5, MAC OS X
|
Источник бесперебойного питания Ippon Smart
Winner 1000N представлен на рисунке 4.6
Рисунок 4.6 - ИБП
Ippon Smart Winner 1000N
При установке данного ИБП в стойку
производителем рекомендуется использование монтажного комплекта Ippon Innova RT
(рисунок 4.7), с помощью которого он выдвигается из стойки наружу. Это очень
удобно для его обслуживания при такой массе.
Рисунок 4.7 - Монтажный комплект Ippon Innova RT
В данном проекте у серверов будут свои ИБП, а
выбранный выше ИБП будет задействован только для активного сетевого
оборудования, расположенного в серверном шкафу. При одновременной работе
пользователей ЛВС важно обеспечить непрерывный обмен информацией. Поэтому мы
задействовали возможность подключения ИБП напрямую к серверу по USB-кабелю. В
случае отключения электроэнергии ИБП через фирменное ПО посылает сигнал
серверу. Сервер обрабатывает данный сигнал и через встроенную службу сообщений
посылает всем активным пользователям и рабочим станциям в офисе сообщение о
том, что необходимо сохранить необходимые данные и закончить передачу данных по
сети в течение, например, пяти минут.
5. СОЗДАНИЕ СТРУКТУРЫ ЛОКАЛЬНОЙ СЕТИ
.1 Выбор системы монтажа кабеля
Для монтажа структуры кабельной сети применяется
масса средств и материалов. Это могут быть различные кабельные каналы,
специальные плинтуса с кабель-каналом, гофрированные трубки из полимеров,
стальные трубки, специальные подвесные системы и так далее. Выбор достаточно
велик и зависит от среды установки этих самых средств, бюджета и даже от
дизайнерской мысли.
Монтаж структуры кабельной сети в центральном
офисе будет сделан следующими средствами:
. Широкими кабель-каналами, которые будут
проходить по стенам офиса к рабочим местам, от фальшпотолка. В этих
кабель-каналах помимо витой пары, будут также располагаться телефонные кабели и
кабели электросети 220В. Для среднего количества кабелей - 8 (это кабели
высокого напряжения, информационные и телефонные кабели), вполне достаточно
будет кабель-канала шириной 140мм и глубиной 55мм. Кабель-канал шириной 110мм
представлен на рисунке 5.1.
Рисунок 5.1 - Кабель-канал шириной 110мм
Если необходимо уложить большее количество
кабелей, то возможно расположить несколько одинаковых кабель-каналов рядом,
создав некую модульную структуру, например, укладывая разно типовые и/или
кабели разного назначения в раздельные короба. Но более быстрым решением, с
точки зрения скорости и удобства монтажа, было бы использование многосекционных
кабельных каналов. Двухсекционный кабельный канал представлен на рисунке 5.2.
Рисунок 5.2 - Двухсекционный кабельный канал
Одно из главных преимуществ таких коробов -
быстрый и удобный монтаж. Данные короба позволяют произвести раздельную
прокладку кабелей сети 220В и информационных кабелей. Каналы имеют симметричный
дизайн и все встраиваемые в них устройства устанавливаются путем простого
защелкивания без предварительной фиксации и подгонки. В многосекционных
кабельных каналах легко осуществить переход кабеля из одной секции в другую благодаря
намеченным в перегородках отверстиях. Приятное дополнение при монтаже - как
правило уже проделанные отверстия с определенным шагом в стенках коробов.
. Иногда не оправдано использование широкого
кабель-канала, например, если необходимо проложить 1 или 2 кабеля. В таких
случаях целесообразно использовать недорогие кабельные каналы различной ширины
и глубины. Например, если у стены необходимо установить сетевой принтер и
вывести на нее розетку 220В и сетевую, то целесообразно использовать
двухсекционный кабель-канал шириной 40мм и высотой 12,5мм. Такой кабель-канал
представлен на рисунке 5.3.
Рисунок 5.3 - Двухсекционный кабельный канал
. Для прокладки кабелей ЛВС в помещении над
фальшпотолком существует достаточно много решений. Но в общем и целом их можно
подразделить на металлические лотки и на проволочные лотки. Первые относительно
вторых обладают следующими недостатками:
более сложный монтаж конструкций;
больший вес конструкций;
большая стоимость.
Перфорированный лоток для прокладки кабеля
представлен на рисунке 5.4.
Рисунок 5.4 - Перфорированный лоток для
прокладки кабеля
Соответственно проволочные лотки обладают
преимуществами, которые являются выше описанными недостатками. Поэтому для
монтажа СКС будут применены именно они. Для прокладки необходимого для этого
проекта количества кабеля подходит лоток с размерами 50х150х3000 мм.
Проволочный лоток представлен на рисунке 5.5.
Рисунок 5.5 - Проволочный лоток
В зависимости от назначения, основные элементы
проволочных лотков:
секции прямые (для прямолинейных
электропроводок);
секции угловые (для поворота электропроводок в
горизонтальной и вертикальной плоскостях);
секции ответвительные (для присоединения
ответвлений);
секции переходные (для перехода от одной ширины
лотка на другую).
5.2 Пассивное сетевое оборудование и
другие электроустановочные изделия
На оконечностях кабель-каналах у столов на стены
будут установлены сетевые Ethernet розетки типа Krone. Благодаря кабельным
каналам с защелками, возможно разместить на крышке кабель-канала необходимое
количество разнотипных розеток. Сдвоенная розетка RJ-45 представлена на рисунке
5.6.
Рисунок 5.6 - Сдвоенная розетка RJ-45
Для установки в кабельные каналы логично
использовать розетки и другие электроустановочные изделия. Они устанавливаются
прямым защелкиванием без использования суппорта и специального инструмента.
Примеры розеток и других электроустановочных изделий представлены на рисунке
5.7.
Рисунок 5.7 - Примеры розеток и других
электроустановочных изделий
При организации структурированной кабельной
системы весьма удобно использовать коммутационные панели, их еще могут называть
патч-панелями. Они представляют собой панель с соединительными разъемами,
расположенными спереди панели. На задней стороне панели находятся контакты,
соединенные с разъемами электрически. Тип контактов - Krone. Эти панели
относятся к группе пассивного сетевого оборудования.
Патч-панели могут быть гибридными или
фиксированными. Наборные панели могут содержать разъемы разных типов или
разъемы разных категорий, волоконно-оптические разъемы, коаксиальные и так
далее.
Чаще всего используются патч-панели на 24
неэкранированных разъема 8Р8С категорий 5е или 6. На задней стороне патч-панели
располагаются разъемы со смещенной изоляцией IDC. Коммутационные панели
являются пассивным сетевым оборудованием, поэтому заострять особое внимание на
его подборе мы не будем. Выбор пал на Exalan EX03-U24b, ниже представлен
рисунок 5.8
Рисунок 5.8 - Патч-панель Exalan EX03-U24b виды
спереди и сверху
5.3 Установка оборудования в
серверную стойку
В центральном офисе будут одновременно
подключены к локальной сети до 40 или даже 50 сетевых устройств. Это
компьютеры, принтеры, планшеты и смартфоны, подключенные по беспроводной
локальной сети, другое активное сетевое оборудование. Это уже немалое
количество устройств. Из-за такого большого количества клиентов к локальной
сети предъявляются особые требования по отказоустойчивости, безопасности,
масштабируемости, управлению и контролю траффиком.
Во-первых, стоит начать с места размещения
сетевого оборудования. Оно должно быть размещено так, чтобы провода не
спутывались, оборудование должно располагаться так, чтобы его можно было легко
перекоммутировать или вовсе поменять сетевое устройство. Провода должны быть
подписаны и обладать нужной длинной. Например, на рисунке 5.9 представлено фото
из нынешнего офиса предприятия.
Рисунок 5.9 - Вид СКС на сегодняшний день
Так делать не стоит, по многим причинами
описывать их все я не буду. Например, для того, чтобы найти какой-либо кабель,
приходится руководствоваться не надписями и наклейками, а удачей. Такой подход
конечно же не верен. Чтобы избежать такого положения дел, локальную сеть
изначально нужно проектировать и производить монтажно-подготовительные работы
так, чтобы физически обслужить локальную сеть мог даже сторонний человек,
знакомый со структурой данной локальной сети на начальном уровне, таким
человеком может оказаться новый сотрудник предприятия или, например, помощник
системного администратора. Ниже представлен рисунок 5.10, сделанный не мной, он
является примером того, как монтировать сетевое оборудование и организовывать
укладку кабелей.
Рисунок 5.10 - Грамотно-организованное
пространство в серверной стойке
Для правильной организации рабочего пространства
шкафа целесообразно применять кабельные органайзеры, упорядочивающие приходящие
и выходящие кабели. Пример горизонтального кабельного органайзера представлен
на рисунке 5.11.
Рисунок 5.11 - Горизонтальный кабельный
органайзер
Для установки в стойку устройств,
непредназначенных для установки в стойку, например, маршрутизатора, применяются
консольные полки NT SC400 (рисунок 5.12), которые устанавливаются в стойку.
Рисунок 5.12 - Консольная полка NT SC400
В нашем проекте на одну из полок мы разместим
Dr.Web Office Shield, а на другую маршрутизатор Huawei HG8245H.
Для подключения устройств к линии 220В
необходимо установить блок силовых розеток (рисунок 5.13), которые так же
устанавливаются в стойку.
Рисунок 5.13 - Блок силовых розеток для установки
в стойку 19
Все сетевое оборудование должно располагаться в
специальном телекоммуникационном шкафу. Они бывают напольные, настенные,
закрытые и открытые. Проанализировав помещение, в котором будет находиться
оборудование, было принято решение, что телекоммуникационный шкаф лучше всего
расположить на стене. Благодаря этому будет сэкономлено полезное пространство
на полу комнаты. Высвободится место для сервера и прочего оборудования. Также
небольшим плюсом будет то, что нет необходимости провода дополнительно прятать
в короб и спускать с потолка ближе к полу для заведения в напольный шкаф.
5.4 Выбор серверного шкафа
Оборудование подобрано, следующим этапом
необходимо установить его в серверный шкаф, его еще могут называть
коммутационным.
Итак, необходимо установить в коммутационный
шкаф следующее оборудование:
Два коммутатора.
Две патч-панели.
Две консольные полки.
ИБП.
Блок силовых розеток.
Маршрутизатор..Web
Office Shield.
Сопоставим количество применяемого оборудования
в таблице 5.1
Таблица 5.1 - Количество применяемого
оборудования
|
Устанавливаемое
оборудование
|
Количество
|
Высота
|
Суммарная
высота
|
|
Коммутатор
TP-LINK TL-SG1024
|
2
|
1U
|
2U
|
|
Патч-панель
Exalan EX03-U24b
|
2
|
1U
|
2U
|
|
Полка
NT SC400
|
2
|
2U
|
4U
|
|
ИБП
Ippon Smart Winner 1000N
|
1
|
2U
|
2U
|
|
Блок
силовых розеток
|
1
|
1U
|
1U
|
|
|
|
Итого
= 11U
|
Итого получаем высоту 11 юнитов, то есть шкаф
нужен как минимум на 2 или 4 юнитов больше (количество юнитов в шкафах
увеличивается на три единицы, то есть начинаются они с трех, следующий по
кратности - 6 и так далее), но это недальновидно. Ведь при увеличении
потребностей предприятия может потребоваться увеличение количества
оборудования. Поэтому было бы разумно купить телекоммуникационный шкаф как
минимум на 3 юнита больше нужного. Экономически выгоднее, конечно же, купить шкаф
на 12 юнитов, но цена на не пыле и влагозащищённые шкафы 12 и 15 юнитов
разнится всего лишь на 2-3 тысячи рублей. Поэтому был приобретен серверный шкаф
NT WALLBOX LIGHT 15-66 высотой 15U из металла и дверью, выполненной из стекла и
металла, представлен на рисунке 5.14
Рисунок 5.14 - Серверный шкаф WALLBOX LIGHT
15-66
ЗАКЛЮЧЕНИЕ
В рамках проекта была модернизирована, а если
быть точнее, создана практически с нуля локальная вычислительная сеть крупного
предприятия торговли.
Она обеспечит информационные потребности
предприятия на годы вперед и даст практически неограниченные возможности для
масштабирования и администрирования сети.
В рамках работы были рассмотрены и решены
следующие задачи:
были выбраны сетевые архитектуры ЛВС: метод
доступа, топология, тип кабельной системы;
выбран способ управления сетью;
произведен выбор активного и пассивного сетевого
оборудования;
произведено проектирование и монтаж структуры
кабельной сети;
управление сетевыми ресурсами и пользователями
сети;
обеспечение безопасности сети;
произведен расчёт затрат на создание сети
предприятия.
Цели выпускной квалификационной работы
достигнуты, и её результаты будут успешно внедрены в течение полугода поэтапно.
Создание локальной сети в центральном офисе произведено. Подключение
подразделений будет происходить постепенно по мере перехода магазинов на новую
систему ведения оперативно-товарного учета. В приложениях к работе указаны
схемы, затратные сметы на оборудование и другие средства для центрального офиса
предприятия. Все работы проведены и в дальнейшем будут проводиться штатными
строителями и инженерами предприятия, следовательно, дополнительные расходы на
проделанные мероприятия отсутствуют.
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ
1.
Проектирование локальной вычислительной сети [Электронный ресурс]: офиц.сайт. -
Режим доступа: #"897437.files/image035.gif">
ПРИЛОЖЕНИЕ 2
ПРИЛОЖЕНИЕ 3
Таблица 1 - Сметы на сетевое оборудование,
кабель и монтажные конструкции
|
Активное
сетевое оборудование
|
|
Наименование
|
Количество
шт.
|
Цена,
т.р.
|
Стоимость,
т.р.
|
|
Коммутатор
TP-Link TL-SG1024
|
2
|
6
790
|
13
580
|
|
Сервер
|
1
|
280
000
|
280
000
|
|
ИБП
Ippon Smart Winner 1000
|
1
|
12
072
|
12
072
|
|
Dr.Web Office Shield Twister
|
1
|
68
000
|
68
000
|
|
Итого
373 652
|
|
Пассивное
сетевое оборудование
|
|
Exalan
EX03-U24b
|
2
|
1
975
|
1
975
|
|
Двойная
информационная розетка RJ-45
|
45
|
645
|
29
025
|
|
Итого
31 000
|
|
Наименование
|
Количество
|
Цена,
т.р.
|
Стоимость,
т.р.
|
|
Патч-корд
кат. 5е 0.3м
|
48
шт.
|
99
|
4
752
|
|
Патч-корд
кат. 5е 1м
|
20
шт.
|
101
|
2
020
|
|
Патч-корд
кат. 5е 2м
|
25
шт.
|
187
|
4
675
|
|
Патч-корд
кат. 5е 3м
|
5
шт.
|
185
|
925
|
|
Кабель
кат. 5е в бухте 305м
|
4
шт.
|
2
700
|
10
800
|
|
Кабельный
канал двухсекционный 140х55мм
|
148м
|
1
615
|
239
020
|
|
Проволочный
лоток 50х150х3000мм
|
20шт.
|
1
395
|
27
900
|
|
Итого
290 092
|
|
|
|
|
|
ПРИЛОЖЕНИЕ 4
Конфигурация роутера для работы с VPN
Для сервера:
/ interface ethernetether1
name="ether1"
/ interface
bridgename="lan" arp=proxy-arp
#Внимание, этот аргумент важен arp=proxy-arp!
/ interface bridge
portinterface=ether1 bridge=lan
/ ip addressaddress=192.168.1.1/24
interface=lan
#Это
адрес
сервера
/ ip poolname="ovpn-pool"
ranges=192.168.1.2-192.168.1.100
#пул
адресов
/ ppp
profilename="ovpn-profile" local-address=192.168.1.1
remote-address=ovpn-pool use-encryption=yes only-one=yes change-tcp-mss=default
#Странно, но это создается в / ppp
/ interface ovpn-server
serverenabled=yes auth=sha1 netmask=24 certificate=cert1 max-mtu=1500 port=1194
cipher=aes256 keepalive-timeout=60 mode=ip require-client-certificate=yes
default-profile=ovpn-profile
#Настраиваем наш сервер на необходимый уровень
безопасности
/ ppp secretname="user-1" service=pptp
password="123456" profile=ovpn-profile
#Обязательно указывайте имя пользователя и
пароль в кавычках!
Для клиента:
/interface ovpn-clientname="ovpn-out1"
connect-to=Real_1 port=1194 mode=ip user="user-1"
password="123456" profile=default certificate=none cipher=aes256
add-default-route=no
#Вместо Real_1 ставится реальный IP вашего
OpenVPN сервера.
#Имя пользователя и пароль указываем в кавычках!
#Важно выбрать mode=ip!
/ip firewall nat=srcnat out-interface=ether1
src-address=192.168.100.0/24 action=masquerade