1 Dobór elementów sprzętowych komputerowej sieci strukturalnej Wprowadzenie Dobór elementów sieci komputerowej jest procesem występującym w etapach projektowania, wykonania i modernizacji sieci komputerowej. Zasady doboru jej elementów powinny zatem być zbieżne z zasadami występującymi w powyższych procesach. Podstawową zasadą doboru elementów sieciowych jest ich zgodność z wybraną topologią i standardami transmisji w sieci lokalnej. W praktyce równie istotny jest budżet, który mamy do dyspozycji na poszczególne urządzenia pasywne i aktywne. Ponadto musimy wziąć pod uwagę takie cechy, jak: długość segmentów sieci; przepustowość łącza; koszt instalacji; łatwość konfiguracji; jakość wykonania lub warunki gwarancji; wsparcie techniczne; odporność na zakłócenia elektromagnetyczne (posiadanie CE); standard montażu; wydajność; dostępność; kompatybilność z innymi urządzeniami; zarządzalność; możliwości diagnostyczne. Podczas doboru urządzeń musimy pamiętać o cechach, które powinny charakteryzować każdą lokalną sieć komputerową, czyli o skalowalności i nadmiarowości. Poszczególne grupy urządzeń sieciowych pasywnych i aktywnych posiadają dodatkowo szczegółowe parametry, według których określamy ich przydatność do danej sieci komputerowej. Okablowanie Przy doborze okablowania należy zwrócić uwagę na: rodzaj rdzenia (linka lub drut); sposób ekranowania – szczególnie istotny w miejscach, gdzie kabel może być narażony na działanie fal elektromagnetycznych; stopień konfekcjonowania – czy potrzebne nam są gotowe kable krosowe lub przyłączeniowe czy zwoje kabla o długości 100 czy 305 m? rodzaj wzmocnienia i izolacji zewnętrznej – szczególnie ważny przy doborze okablowania na zewnątrz budynku lub kładzionego w kanałach gruntowych; rodzaj kategorii kabla – musi być zgodny z wymaganiami technologicznymi projektu; masę właściwą – jako parametr istotny przy konstrukcjach podwieszanych. 2 Kanały kablowe Systemy prowadzenia kabli w infrastrukturze sieciowej stanowią obszerny i bardzo ważny zakres prac wykonywanych podczas projektowania i budowania lokalnej sieci komputerowej. Są one często planowane już na etapie projektu budynku wraz z instalacją elektryczną czy klimatyzacją. Wymaga to zaawansowanej wiedzy, a nierzadko odpowiednich uprawnień. W trakcie tworzenia małych sieci lokalnych czy sieci prywatnych informatyk dobiera również system prowadzenia kabli. Powinien wtedy zwrócić uwagę na: rodzaj korytek – napodłogowe, ścienne czy podwieszane; wymiary korytek – zależą m.in. od liczby kabli, długości segmentów i miejsca instalacji; separację kabli sieciowych i elektrycznych; specjalne zastosowania – wymagania dotyczące montażu kasetonów, kolumn, szaf lub stojaków; wpływ na parametry pracy medium; kompatybilność z już istniejącym systemem w przypadku modernizacji infrastruktury sieciowej Urządzenia aktywne Szczegółowe wymagania dotyczące urządzeń aktywnych w dużej mierze zależą od funkcji, jaką mają spełniać oraz miejsca w hierarchii modelu sieci. Do najczęściej spotykanych czynników wpływających na wybór urządzeń zalicza się: modularność budowy – dającą możliwość rozbudowy bez konieczności wymiany sprzętu; funkcję w strukturze sieci – np. przełączniki szkieletowe i łączące grupy robocze, routery do środowisk chmury czy łączników chmury, routery rdzenia czy brzegowe; dostępne interfejsy sieciowe – np. możliwość połączeń realizowanych za pomocą skrętki lub światłowodu; liczbę portów – 4, 8, 12, 24, 48; dodatkowe funkcje – np. dotyczące bezpieczeństwa, zarządzania i monitorowania; wersję oprogramowania i możliwości jego aktualizowania; standard budowy – rack, kasetowa czy wolno stojąca; wsparcie techniczne i renomę producenta. Bardzo ważnym aspektem, szczególnie w przypadku sieci bezprzewodowych, jest bezpieczeństwo. Często warunki bezpieczeństwa narzuca polityka bezpieczeństwa firmy czy normy prawne, a nie wymagania techniczne projektu sieci. 1 Metodologia tworzenia projektu sieci komputerowej Projekt to indywidualne lub zespołowe, przygotowane i zaplanowane działanie, które może łączyć wiele powiązanych operacji, prowadzące do realizacji założonych celów w określonym czasie. Zarządzanie projektem to praca polegająca na planowaniu, analizowaniu, tworzeniu harmonogramów oraz przydzielaniu prac i kontroli nad wykonaniem zadań niezbędnych do osiągnięcia celów projektu. Projekt okablowania strukturalnego dla jednej klasy w szkole rożni się od projektu wykonywanego dla kilkunastopiętrowego biurowca. Większe projekty infrastruktury sieciowej stanowią często część projektowania budynków czy całych kompleksów. W takich przypadkach projekty wykonują specjalistyczne biura projektowe posiadające odpowiednie uprawnienia. Jednak projektowanie lokalnych, małych struktur sieciowych jest równie odpowiedzialnym zadaniem i powinno opierać się na takich samych zasadach zarządzania i tworzenia projektów co duże programy projektowe. Do najważniejszych etapów zarządzania projektem sieci komputerowej zaliczamy niżej wymienione etapy. 1. Etap 1 – Identyfikacja projektu polegająca na analizie stanu obecnego, problemów, potrzeb, modelu ER, możliwości technicznych (plany budynku, przepustowość sieci) oraz istniejącej infrastruktury. Należy zwrócić uwagę na bieżące i przyszłe procedury informatyczne, bezpieczeństwa lub obrotu dokumentami jawnymi i niejawnymi. Ważne są również wymagania oprogramowania czy systemu informatycznego, jaki ma działać w sieci. Jeżeli realizacja projektu jest wynikiem udziału w przetargu, istotna jest dokładna analiza zapytania ofertowego. Efektem analizy jest określenie celów i rezultatów oraz metod i wskaźników osiągnięcia tych celów. Wynikiem analizy może być również wstępna oferta, na podstawie której zostanie podpisana umowa na wykonanie sieci komputerowej. Co zawiera analiza biznesowa: Analiza biznesowa potrzeb zamawiającego Analiza Stanowi najważniejszy element projektowania sieci. Na podstawie informacji pozyskanych w trakcie analizy biznesowej projektant sieci podejmuje wiele istotnych decyzji, takich jak: – wybór aplikacji sieciowych oraz systemów operacyjnych – dobór sprzętu komputerowego dla serwerów i stacji roboczych – określenie topologii sieci i stosowanych protokołów telekomunikacyjnych – wybranie urządzeń sieciowych – dopasowanie elementów okablowania strukturalnego – sposób połączenia z siecią Internet – ustalenie poziomu bezpieczeństwa 2. Etap 2 – Organizacja projektu obejmująca definiowanie poszczególnych części projektu, tworzenie zespołu projektowego, przydzielenie prac, opracowanie harmonogramu działań i określenie źródeł finansowania. Na tym etapie jest również możliwa weryfikacja dokumentacji przez dokonanie wstępnego obmiaru z natury. Warunkiem przystąpienia do realizacji etapu 2. jest sporządzenie umowy na wykonanie dzieła ze zleceniodawcą lub inwestorem. 2 3. Etap 3 – Wykonanie projektu, co obejmuje: a. Projekt logiczny sieci określający logiczną topologię, standardy transmisji, plan adresacji i niezbędne protokoły, model hierarchii warstw sieci oraz model bezpieczeństwa sieci. b. Projekt fizyczny sieci dotyczący propozycji fizycznej topologii, doboru urządzeń sieciowych i opisu ich specyfikacji, planu rozmieszczenia punktów dystrybucyjnych i innych urządzeń sieciowych. c. Projekt okablowania strukturalnego będący wizualizacją projektu fizycznego z podziałem na okablowanie pionowe i poziome. d. Kosztorys wstępny zakresu planowanych prac i niezbędnych urządzeń, narzędzi oraz materiałów. e. Wykaz wartości określonych parametrów do uzyskania podczas testów i pomiarów sieci. f. Skompletowanie dokumentacji projektu wraz z niezbędnymi planami, instrukcjami, procedurami pomiarowymi, certyfikatami itp. 4. Etap 4 – Wdrożenie projektu, etap obejmujący wykonanie instalacji sieciowej według planów, zakup, instalację i konfigurację urządzeń sieciowych, podział sieci na podsieci, adresację hostów, wprowadzenie procedur bezpieczeństwa, przeprowadzenie testów i pomiarów. Wszystko na bieżąco powinno podlegać kontroli jakości i zgodności z założonym harmonogramem. Często etap wdrażania jest połączony ze szkoleniem personelu 5. Etap 5 – Zakończenie projektu i ewaluacja, etap obejmujący sporządzenie protokołu odbioru, kosztorysu końcowego i dokumentów księgowych rozliczających umowę wykonawstwa i wdrażania projektu. Rozpoczyna się też etap ewaluacji, czyli nanoszenia poprawek do projektu na podstawie uzyskanych testów, pomiarów, analizy dokumentacji powykonawczej i uwag użytkowników lub inwestora. Jest wiele metod zarządzania projektami, nie ma jednak jednej, która byłaby uniwersalna. Odpowiednią metodę należy dobrać do określonych warunków projektowych. Przykładowy projekt logiczny sieci: 3 Przykładowy projekt fizyczny sieci: Dobór urządzeń sieciowych 4 Bezpieczeństwo systemów i sieci komputerowych W sieci komputerowej istotna jest ochrona stacji roboczych, urządzeń sieciowych, sieci oraz danych osobowych. Ochrona stacji roboczych Bezpieczeństwo stacji roboczych powinien polegać na: – zabezpieczeniu urządzeń hasłem – ograniczeniach dotyczących instalowanego i uruchamianego oprogramowania – regularnej zmianie haseł – tworzeniu haseł spełniających określone wymagania dotyczące złożoności – rejestracji i kontroli prób dostępu do komputera – ograniczeniu stosowania nośników wymiennych(pamięci flash, dysków CD/DVD) – wymuszeniu działania programów antywirusowych i firewalli Ochrona sieci i urządzeń sieciowych W celu zabezpieczenia danych w sieci, należy zadbać o bezpieczeństwo zarówno na poziomie fizycznym jak i logicznym. Przy tworzeniu zabezpieczeń sieci powinno się rozpatrzyć: – fizyczny dostęp do punktów dystrybucji – wyłączenie lub usunięcie niepotrzebnych usług sieciowych – stosowanie szyfrowania na dyskach – wykorzystywanie szyfrowania protokołów danych(HTTPS, SFTP, SSH) – stosowanie mechanizmów tworzenia kopii bezpieczeństwa – zapewnienie odpowiedniej temperatury pracy urządzeń i zabezpieczeń przeciwpożarowych Ochrona danych osobowych W ochronie danych osobowych wymagane są następujące środki: – fizyczna kontrola dostępu do pomieszczeń, komputerów i serwerów – logiczna kontrola dostępu do danych(stosowanie autoryzacji użytkowników) – wymagania dotyczące złożoności haseł użytkowników – stosowanie programów typu antywirus i firewall – regularne wykonywanie kopii zapasowych – stosowanie zasilaczy awaryjnych – kryptograficzna ochrona danych dla danych na urządzeniach mobilnych i poza obszarem ich przetwarzania – nośniki danych przeznaczone do likwidacji lub przekazania osobom nieuprawnionym należy wyczyścić z zapisanych na nich danych osobowych 1 Normy i standardy okablowania Wprowadzenie Jednym z etapów projektowania lokalnej sieci komputerowej jest projektowanie okablowania strukturalnego. Projekt okablowania strukturalnego powinien obejmować wskazanie traktów kablowych z obliczonymi długościami kabli (w ramach budynków i między nimi), rozmieszczenie punktów dystrybucyjnych oraz gniazdek abonenckich i ich numerację. Normy i standardy Każdy projekt okablowania strukturalnego powinien przede wszystkim być zgodny z normami i standardami. Wśród norm europejskich najistotniejsze w tym zakresie są następujące normy: EN 50173 – okablowanie strukturalne budynków; EN 50167 – okablowanie poziome; EN 50168 – okablowanie pionowe; EN 50169 – okablowanie krosowe i stacyjne. EIA/TIA 568A – dot. standardów okablowania strukturalnego budynków EIA/TIA 569 – dot. kanałów telekomunikacyjnych w biurowcach EIA/TIA 570 – dot. kanałów telekomunikacyjnych w budynkach mieszkalnych EIA/TIA 606 – dot. administracji infrastrukturą telekomunikacyjną w biurowcach EIA/TIA 607 – dot. uziemienia w budynkach biurowych TSB 67 – dot. pomiarów systemów okablowania strukturalnego TSB 72 – dot. scentralizowanego okablowania światłowodowego TSB 75 – dot. okablowania poziomego dla biur o zmiennej aranżacji wnętrz TSB 95 – dot. dodatkowej wydajności w transmisji dla okablowania typu skrętka 5. Kategorii ISO/IEC 11801 – dot. międzynarodowych norm związanych z budową sieci komputerowych PN-EN 50173 – dot. europejskich norm związanych z budową sieci komputerowych(na podstawie EN 50173 PN-IEC 60364-4-442 – dot. ochrony przed przepięciami PN-IEC 60364-7-707 – dot. wymagań uziemień instalacji urządzeń przetwarzania danych PN-HD 60364-4-41 – dot. ochrony przed porażeniami elektrycznymi PN-HD 60364-4-444 – dot. ochrony przed zaburzeniami napięciowymi i elektromagnetycznymi PN-HD 60364-5-551 – dot. niskonapięciowych zespołów prądotwórczych Elementy okablowania strukturalnego W okablowaniu strukturalnym wyróżnia się: okablowanie kampusowe, okablowanie pionowe, okablowanie poziome. Ponadto w projekcie powinien znajdować się opis takich elementów, jak: kampusowy punkt dystrybucyjny (CD Campus Distributor) – jest centralnym punktem sieci, z którego jest rozprowadzane kampusowe okablowanie szkieletowe; kampusowy kabel szkieletowy to okablowanie łączące kampusowy punkt dystrybucyjny z budynkowymi; budynkowy punkt dystrybucyjny (MDF ang. Main Distribution Frame); 2 budynkowy kabel szkieletowy to kabel łączący budynkowy punkt dystrybucyjny z piętrowym (poziomym) punktem dystrybucyjnym; piętrowy punkt dystrybucyjny (IDF - ang. Intermediate Distribution Frame lub inaczej SDF - ang. SubDistribution Frame); Piętrowy punkt rozdzielczy (Floor Distributor ozn. FD) będący miejscem połączenia wszystkich kabli na danej kondygnacji kabel poziomy, który łączy punkt piętrowy dystrybucyjny z punktem abonenckim; punkt abonencki to zakończenie okablowania poziomego. Dokumentacja projektu okablowania strukturalnego powinna zawierać: 1. Informacje dotyczące wykonawcy i inwestora. 2. Spis treści, rysunków i tabel. 3. Założenia projektowe obejmujące podstawę prawną, zakres projektu, proponowane technologie i standardy, 4. opis używanych pojęć. 5. Opis techniczny uwzględniający: a. wymagania dotyczące okablowania strukturalnego; b. wymagania dotyczące dedykowanej sieci elektrycznej; c. schemat ogólny sieci oraz opis standardu i podziału okablowania strukturalnego na podsystemy; d. wyniki obmiarów i wyliczeń technicznych; e. opis zasad numeracji gniazd; f. opis bezpieczeństwa okablowania strukturalnego (przeciwprzepięciowe i przeciwporażeniowe); g. opis bilansu mocy; h. opis pomiarów i certyfikacji; i. wykaz szaf dystrybucyjnych i ich wyposażenie; j. wykaz wszystkich urządzeń pasywnych i aktywnych oraz materiałów; k. procedury odbioru. 6. Schematy i rysunki: a. schemat i opis punktu centralnego z opisem okablowania kampusowego; b. schematy i opisy poszczególnych punktów dystrybucyjnych (szaf wiszących lub stojących); c. rzuty pionowe budynku z opisem okablowania pionowego; d. rzuty poziome pięter budynku z opisem okablowania poziomego; e. ewentualnie projekt dedykowanej instalacji elektrycznej (wykonawca projektu musi posiadać uprawnienia w tym zakresie); f. schemat montażowy zespołów przyłączeniowych (system prowadzenia kabli); g. certyfikaty. 7. Harmonogram realizacji projektu. 8. Kosztorys projektu. 9. Dokumentacja powykonawcza: a. wyniki testów i pomiarów, b. protokół odbioru, c. opis numeracji gniazd i paneli krosowych, d. dokumenty finansowo-księgowe, e. gwarancje Zalecenia dotyczące projektowania okablowania strukturalnego: Na każde 1000 m2 powierzchni lub na jedno piętro powinien przypadać jeden piętrowy punkt rozdzielczy. Na każde 10 m2 powierzchni biurowej powinien przypadać jeden punkt abonencki. Punkt abonencki jest wyposażony w gniazda RJ-45 i gniazda sieci elektrycznej DATA. 3 W obrębie całej sieci powinna być wprowadzona jednolita numeracja elementów sieci według wzoru X-Y-Z, gdzie X to numer szafy IDF, Y to numer panelu krosowego oraz Z – numer gniazda w punkcie abonenckim. Należy wykonać dokumentację sporządzonej numeracji, która powinna być przechowywana i aktualizowana przez administratora sieci. Kable teleinformatyczne muszą przebiegać minimum 1 m od silników, minimum 30 cm od opraw świetlówkowych oraz 90 cm od przewodów elektrycznych 5 kVA. Jeżeli kable zasilające i teleinformatyczne są prowadzone w tych samych korytkach, muszą zawierać separację komór. Jeżeli okablowanie jest prowadzone w podniesionej podłodze lub podwieszanym suficie, kanały kablowe powinny być montowane z zachowaniem minimum 5 cm dystansu. Należy przestrzegać maksymalnej siły naciągu kabla podanej przez producenta. Należy stosować nadmiar kabla w szafie IDF. Nie umieszczać kabli luzem na suficie podwieszanym i nie mocować do konstrukcji sufitu. Na kablu nie powinny powstawać silne skręcenia lub węzły Programy komputerowe wspomagające wykonywanie zadań projektowych Do wykonania schematów i projektów należy wykorzystać odpowiednie oprogramowanie użytkowe. Można je podzielić na następujące grupy: Oprogramowanie do tworzenia dokumentacji opisowej – edytory tekstu: 1. MS Word, 2. Writer, 3. Pages. Oprogramowanie do tworzenia diagramów i wykresów: 1. MS Excel, 2. Draw, 3. Numbers, 4. Smartdraw, 5. Dia, 6. Ganttproject. Oprogramowanie do kosztorysów prostych i według KNR: 1. MS Excel, 2. Calc, 3. Numbers, 4. Norma PRO, 5. Zuzia. Oprogramowanie do sporządzania rzutów poziomych, pionowych itp.: 4 1. AutoCAD, 2. A9CAD, 3. Dia, 4. Smartdraw, 5. QCad. Istnieją również programy branżowe wspomagające np. dobór elementów systemu prowadzenia kabli. Symbole i piktogramy Podczas tworzenia schematów i rysunków okablowania pionowego i poziomego należy korzystać z symboli zgodnych ze standardami projektowania. U (od ang. unit) – jednostka długości, używana w przemyśle elektronicznym i komputerowym do określania wysokości modułów i zespołów (np. komputerów przemysłowych) oraz rozmiarów stojaków (ang. rack), w których moduły te są montowane. 1U to wysokość pojedynczego slotu w szafie montażowej (stojaku), czyli jednostka ta określa ile slotów zajmuje dane urządzenie w tejże szafie. 1U = 1¾ cala = 44,45 mm Z tego wynika, że moduł 2U ma wysokość 3,5", tj. 88,9 mm, stojak połówkowy (ang. half-size, half-height) 22U ma przestrzeń montażową o wysokości 977,9 mm, a w stojaku pełnowymiarowym (ang. full-size) 42U przestrzeń na urządzenia wynosi 1866,9 mm. Najczęściej wykorzystywanymi rozmiarami modułów są 1U do 4U. 5 Poniżej przedstawione zostały przykładowe projekty okablowania strukturalnego: 6 Poniżej przedstawiono przykładowy fragment rzutu poziomego(okablowania poziomego) z naniesionymi Punktami i sposobem prowadzenia kabli: 7 1 Projekt bezpieczeństwa systemów i sieci komputerowych Ochrona infrastruktury. Na bezpieczeństwo sieci wpływa fizyczne zabezpieczenie urządzeń sieciowych. Należy urządzenia umieścić w zamkniętych pomieszczeniach i szafach, kable prowadzić w odpowiednio przygotowanych kanałach kablowych. Negatywny przykład ochrony infrastruktury przedstawiono na rys1. ponizej. Istotną rzeczą jest jakość urządzeń sieciowych. Urządzenia wyższej klasy posiadają dobrze zabezpieczone systemy operacyjne, co w połączeniu z ochroną fizyczną skutecznie je zabezpiecza przed atakiem. Bezpieczeństwo łączności. Bardzo ważne jest, aby zapobiegać nieautoryzowanemu dostępowi do sieci. Można to osiągnąć przez fizyczne zabezpieczenie sieci oraz żądanie uwierzytelnienia w celu uzyskania dostępu do usług sieciowych. W sieciach bezprzewodowych dla pracowników i gości należy stosować oddzielne identyfikatory SSID, a jeżeli to możliwe to oddzielne sieci WLAN. Zabezpieczanie przesyłanych danych może być wykonane przy użyciu tunelowania VPN i szyfrowania danych. Wykrywanie zagrożeń – obrona i łagodzenie skutków. Ściany ogniowe (Firewalle), systemy IDS, IPS oraz listy ACL zapewniają ochronę przed zagrożeniami i napastnikami. Reguły list ACL i filtrowania zapór zabezpieczają sieć przed niepożądanym ruchem. 2 Wdrożenie strategii bezpieczeństwa. Usługi bezpieczeństwa nie są skuteczne, jeżeli nie są one realizowane w odpowiednich miejscach, w całej sieci. Zapory i filtry umieszczone na wejściu do sieci nie chronią serwerów przed atakami z wewnątrz sieci LAN. Należy przeanalizować wcześniej utworzone wykresy przepływu ruchu, które wskazują: • zasoby, do których mają dostęp użytkownicy wewnętrzni, • zasoby, do których mają dostęp użytkownicy zewnętrzni, • ścieżki dostępu do zasobów. Analiza pomaga zaprojektować usługi bezpieczeństwa w odpowiednich miejscach. Korzystanie ze zintegrowanych usług bezpieczeństwa. Jeżeli jest to możliwe, należy wykorzystywać zintegrowane usługi bezpieczeństwa umieszczone w systemach operacyjnych urządzeń sieciowych. Mają one funkcje zapory, moduły IDS, co eliminuje potrzebę stosowania dodatkowych urządzeń zabezpieczających. W większych sieciach konieczne jest, aby korzystać z oddzielnych urządzeń, ponieważ dodatkowe przetwarzanie może spowolnić pracę routerów i przełączników. Wdrożenie filtrowania ACL. Zastosowanie w sieci firmy list kontroli dostępu ACL, umożliwia przydzielenie uprawnień do określonych zasobów dla grup lub pojedynczych pracowników. Umożliwiają one również filtrowanie ruchu do serwerów oraz pomagają w identyfikacji i filtrowaniu ruchu szkodliwego. Przykład zastosowania listy ACL do ochrony serwera przedstawiono na rys. 2. Cały ruch do serwera zostaje odrzucony za wyjątkiem wymienionych portów i protokołów www i ftp. Przy projektowaniu zestawów reguł firewalla i list ACL, przyjmuje się regułę odrzucenia całego ruchu, który jest niepożądany lub nieautoryzowany. 3 Przykłady zestawu reguł firewalla i list ACL: • Zablokuj cały ruch przychodzący z adresami sieciowymi IP zgodnymi z adresami wewnętrznymi. Ruch przychodzący nie powinien pochodzić z adresów sieciowych wewnętrznych. • Zablokuj cały ruch przychodzący do serwerów z zewnętrznych adresów. Zasada ta obejmuje cały ruch z wyjątkiem dozwolonych portów. • Zablokuj cały przychodzący ICMP (echo request). Zasada ta zapobiega żądaniom ping wygenerowanym spoza zaufanej sieci. • Przepuść ruch DNS (UDP 53) – pozwolenie na korzystanie z zewnętrznych serwerów DNS. • Zezwalaj na ruch internetowy (TCP 80/443) z dowolnego zewnętrznego adresu do serwera www. • Przepuść ruch (TCP 21) do serwerów FTP. Jeśli usługi FTP są dostępne dla użytkowników zewnętrznych, zasada ta pozwala na dostęp do serwera FTP. Podczas korzystania z usług FTP konta użytkownika i hasło są przesyłane w postaci zwykłego tekstu. Wykorzystanie pasywnego FTP (PASV) negocjuje losowy port danych w odróżnieniu od typowego wykorzystania portu TCP 20. • Zezwalaj na ruch (TCP 25) do serwera SMTP - pozwala użytkownikom zewnętrznym na dostęp do wewnętrznego serwera poczty SMTP. • Zezwalaj na ruch (TCP 143) do wewnętrznego serwera IMAP – pozwala na zewnętrzny dostęp klientów do wewnętrznego serwera IMAP. Zestawy reguł list ACL są realizowane na routerach i urządzeniach firewall. Każdy zestaw reguł może filtrować zarówno ruch przychodzący jak i wychodzący. Dokumentowanie zasad bezpieczeństwa. Dokumentacja projektowa powinna zawierać wszystkie zestawy reguł zapór i list kontroli dostępu ACL oraz określać, gdzie są one zastosowane. Wykaz reguł jest częścią polityki bezpieczeństwa w firmie. Dokumentowanie reguł firewalla i list ACL daje następujące korzyści: • Dostarcza dowodów, że polityka bezpieczeństwa jest realizowany w sieci. • Stanowi dowód, że wszystkie rozwiązania i zmiany były dokonane na podstawie pisemnych wniosków i zgód firmy. • Pomaga w rozwiązywaniu problemów z dostępem do aplikacji lub segmentów sieci. lowania sieciowego Projektowanie i wykonywanie lokalnej sieci komputerowej Wstęp Na projektowanie sieci komputerowych składa się wiele istotnych aspektów, takich jak: Projekt sieci fizycznej – dobór medium transmisyjnego – dobór urządzeń sieciowych – odpowiedni wybór lokalizacji gniazdek sieciowych, punktów dystrybucji oraz umieszczenia okablowania sieciowego Projekt sieci logicznej – adresacja IP – podział na podsieci (VLAN) – routing wewnątrz sieci – działające usługi – strefy DMZ (zdemilitaryzowane) – system zabezpieczeń Plany projektowanej sieci powinny opierać się na zapotrzebowaniach użytkowników, tak jak i na dostępnym budżecie. Dobrze zaprojektowana sieć powinna: – spełniać oczekiwania użytkowników – zapewniać wymaganą przepustowość łączy – posiadać wymagany poziom zabezpieczeń przesyłanych i przechowywanych danych – umożliwiać łatwą rozbudowę – pozwalać na szybką diagnozę usterek oraz – najlepiej automatyczną – rekonfigurację w przypadku awarii Normy i zalecenia dotyczące projektowania sieci komputerowych – EIA/TIA 568A – dot. standardów okablowania strukturalnego budynków – EIA/TIA 569 – dot. kanałów telekomunikacyjnych w biurowcach – EIA/TIA 570 – dot. kanałów telekomunikacyjnych w budynkach mieszkalnych – EIA/TIA 606 – dot. administracji infrastrukturą telekomunikacyjną w biurowcach – EIA/TIA 607 – dot. uziemienia w budynkach biurowych – TSB 67 – dot. pomiarów systemów okablowania strukturalnego – TSB 72 – dot. scentralizowanego okablowania światłowodowego – TSB 75 – dot. okablowania poziomego dla biur o zmiennej aranżacji wnętrz – TSB 95 – dot. dodatkowej wydajności w transmisji dla okablowania typu skrętka 5. kategorii – ISO/IEC 11801 – dot. międzynarodowych norm związanych z budową sieci komputerowych – EN 50173 – dot. europejskich norm związanych z budową sieci komputerowych – PN-EN 50173 – dot. europejskich norm związanych z budową sieci komputerowych(na podstawie EN 50173) – PN-IEC 60364-4-442 – dot. ochrony przed przepięciami – PN-IEC 60364-7-707 – dot. wymagań uziemień instalacji urządzeń przetwarzania danych – PN-HD 60364-4-41 – dot. ochrony przed porażeniami elektrycznymi – PN-HD 60364-4-444 – dot. ochrony przed zaburzeniami napięciowymi i elektromagnetycznymi – PN-HD 60364-5-551 – dot. niskonapięciowych zespołów prądotwórczych Elementy okablowania strukturalnego – kampusowy punkt dystrybucyjny (campus distributor) – kampusowy kabel szkieletowy (campus backbone cable) – budynkowy punkt dystrybucyjny (building distributor) – budynkowy kabel szkieletowy (building backbone cable) – piętrowy punkt dystrybucyjny (floor distributor) – kabel poziomy – punkt pośredni (consolidation point) – kable punktu pośredniego (consolidation point cable) – gniazdo telekomunikacyjne (telecommunications outlet) – zespół gniazd telekomunikacyjnych przeznaczony dla wielu użytkowników (multi-user telecommunication outlet) Metodologia tworzenia projektu Na metodologię tworzenia projektu składają się następujące etapy: 1. Analiza biznesowa potrzeb zamawiającego 2. Projekt logiczny sieci 3. Projekt fizyczny sieci 4. Dobór urządzeń sieciowych 5. Tworzenie kosztorysu 6. Tworzenie dokumentacji Analiza biznesowa potrzeb zamawiającego Stanowi najważniejszy element projektowania sieci. Na podstawie informacji pozyskanych w trakcie analizy biznesowej projektant sieci podejmuje wiele istotnych decyzji, takich jak: – wybór aplikacji sieciowych oraz systemów operacyjnych – dobór sprzętu komputerowego dla serwerów i stacji roboczych – określenie topologii sieci i stosowanych protokołów telekomunikacyjnych – wybranie urządzeń sieciowych – dopasowanie elementów okablowania strukturalnego – sposób połączenia z siecią internet – ustalenie poziomu bezpieczeństwa Projekt logiczny sieci Przykładowy projekt logiczny sieci komputerowej Dzięki danym uzyskanym w czasie analizy biznesowej można zacząć prace nad projektowaniem logicznym sieci, które uwzględnia: – ogólną koncepcję sieci – adresację IP – podział na sieci VLAN Projekt fizyczny sieci Przykładowy projekt fizyczny sieci komputerowej Powinien opierać się na założeniach projektu logicznego oraz obowiązujących normach i wymaganiach producentów sprzętu. W projekcie fizycznym sieci należy zawrzeć: – opis wybranego okablowania – konkretne urządzenia sieciowe(razem z nazwami modeli i parametrami technicznymi) – plan ułożenia okablowania strukturalnego oraz punktów dystrybucji Dobór urządzeń sieciowych Oznaczenia urządzeń sieciowych W tym etapie zawarty jest: – dobór okablowania sieciowego – wybór szaf dystrybucyjnych dla osprzętu sieciowego – dobór paneli krosowych(patch panel) i organizerów okablowania – dobór urządzeń sieciowych (przełączników, routerów, firewalli) – dobór odpowiednich dedykowanych komputerów dla serwerów – dobór zasilania awaryjnego Tworzenie kosztorysu Przykładowy kosztorys Kosztorys stanowi udokumentowanie finansowe określające koszty przedsięwzięcia. Można go sporządzić: – na etapie składania oferty(szacunkowy kosztorys) – na etapie tworzenia projektu(kosztorys wyceniający użyte materiały i szacowany koszt nakładu prac) – po zakończeniu prac(kosztorys powykonawczy) Tworzenie dokumentacji W dokumentacji powykonawczej jest zawarty pełen opis przyjętych założeń, zastosowanych rozwiązań i przeprowadzonych testów. Poniżej przedstawiono przykładową strukturę dokumentacji: 1. Informacje ogólne 2. Normy i zalecenia techniczne 3. Ogólna struktura sieci 4. Okablowanie 5. Punkty dystrybucyjne 6. Opis instalacji zasilającej 7. Elementy sieci 8. Wyniki testów 9. Rysunki i schematy Bezpieczeństwo systemów i sieci komputerowych W sieci komputerowej istotna jest ochrona stacji roboczych, urządzeń sieciowych, sieci oraz danych osobowych. Ochrona stacji roboczych Bezpieczeństwo stacji roboczych powinien polegać na: – zabezpieczeniu urządzeń hasłem – ograniczeniach dotyczących instalowanego i uruchamianego oprogramowania – regularnej zmianie haseł – tworzeniu haseł spełniających określone wymagania dotyczące złożoności – rejestracji i kontroli prób dostępu do komputera – ograniczeniu stosowania nośników wymiennych(pamięci flash, dysków CD/DVD) – wymuszeniu działania programów antywirusowych i firewalli Ochrona sieci i urządzeń sieciowych W celu zabezpieczenia danych w sieci, należy zadbać o bezpieczeństwo zarówno na poziomie fizycznym jak i logicznym. Przy tworzeniu zabezpieczeń sieci powinno się rozpatrzyć: – fizyczny dostęp do punktów dystrybucji – wyłączenie lub usunięcie niepotrzebnych usług sieciowych – stosowanie szyfrowania na dyskach – wykorzystywanie szyfrowania protokołów danych(HTTPS, SFTP, SSH) – stosowanie mechanizmów tworzenia kopii bezpieczeństwa – zapewnienie odpowiedniej temperatury pracy urządzeń i zabezpieczeń przeciwpożarowych Ochrona danych osobowych W ochronie danych osobowych wymagane są następujące środki: – fizyczna kontrola dostępu do pomieszczeń, komputerów i serwerów – logiczna kontrola dostępu do danych(stosowanie autoryzacji użytkowników) – wymagania dotyczące złożoności haseł użytkowników – stosowanie programów typu antywirus i firewall – regularne wykonywanie kopii zapasowych – stosowanie zasilaczy awaryjnych – kryptograficzna ochrona danych dla danych na urządzeniach mobilnych i poza obszarem ich przetwarzania – nośniki danych przeznaczone do likwidacji lub przekazania osobom nieuprawnionym należy wyczyścić z zapisanych na nich danych osobowych 1 Wpływ aplikacji sieciowych na projekt cz.1 Większość ludzi, którzy korzystają z usług sieciowych bardzo mało wiedzą o budowie lub projektowaniu sieci. Ich opinia kształtuje się na podstawie użytkowania aplikacji, które działają w sieci. W przypadku większości firm aplikacje oparte na sieci zapewniają podstawowe usługi dla klientów, pracowników i dostawców. Te usługi oraz sieć, która zapewnia ich funkcjonowanie są najważniejszymi elementami w relacjach biznesowych firmy. Bezawaryjne działanie sieci i usług powoduje, że spełnione są wymagania użytkownika. Gromadzenie informacji statystycznych z routerów, serwerów i innych urządzeń sieciowych pomaga określić, czy system działa zgodnie z oczekiwaniami i ze specyfikacją producenta. Jednak parametry techniczne same nie spowodują osiągnięcia sukcesu. Sukces zależy od klienta, dostawcy, sprzedawcy oraz na wykorzystaniu wydajność sieci. Wydajność aplikacji. Dla użytkowników końcowych, wydajność aplikacji polega na: • Dostępności - czy aplikacja działa, kiedy jest taka potrzeba? • Czasie reakcji - czy aplikacja reaguje tak szybko, jak powinna? Na przykład przychody ze sprzedaży internetowej obniżają się, gdy procesy transakcyjne nie są dostępne lub zbyt długo trwają. Klienci oceniają funkcjonalność aplikacji oraz czas potrzebny do sfinalizowania transakcji. Oczekują również, że aplikacja będzie dostępna, kiedy chcą z niej korzystać. Przykłady aplikacji, dla których wymagany jest szybki czas reakcji: • sprzedaż internetowa. • interaktywne kioski do sprzedaży towarów, • automaty do sprzedaży biletów, • rejestracja miejsc, • obsługa służb ratunkowych, • przesyłanie głosu i wideo. Pomiar wydajności aplikacji opiera się na: • badaniu zadowolenia użytkowników, • pomiarze parametrów technicznych takich jak przepustowość sieci lub liczba udanych transakcji. Rodzaje aplikacji. Wykonanie charakterystyk aplikacji działających w istniejącej sieci pomaga projektantowi włączyć cele biznesowe i wymagania techniczne do projektu sieci. Charakterystyka aplikacji polega na analizie następujących aspektów: • Jak aplikacje działają w sieci? • Jakie są wymagania techniczne aplikacji? • Jak aplikacje współdziałają ze sobą w sieci? Z informacji zebranych w fazach przygotowania i planowania, projektant określa, które aplikacje są priorytetowe dla firmy oraz ocenia jak te aplikacje będą działać w proponowanej 2 sieci. Charakterystyka zawiera informacje na temat wykorzystania pasma sieciowego i czasu reakcji, dla konkretnych zastosowań. Parametry te wpływają na decyzje projektowe, w tym: • wybór nośnika transmisji, • oszacowania wymaganej przepustowości, • oszacowania ruchu z różnymi typami aplikacji. Projektant sieci wyodrębnia cztery główne rodzaje komunikacji: • klient – klient, • klient - serwer (rozproszony), • klient - serwer (centralna farma serwerów), • klient – firma, Zbieranie informacji o aplikacjach w istniejącej sieci obejmuje: • Wywiad w firmie – analiza informacji z istniejącej dokumentacji, rozmowy z personelem technicznym i pracownikami. • Badanie istniejącej sieci – analiza informacji na temat urządzeń sieciowych, monitoring wykorzystania urządzeń, analiza aktualnej konfiguracji sieci. • Analiza ruchu sieciowego – zebranie informacji na temat istniejących aplikacji, protokołów sieciowych i przepustowości sieci. Zebrane informacje mogą zawierać błędy wynikające z braków w istniejącej dokumentacji, braku kompetencji pracowników lub personelu technicznego. Należy uwzględnić również proponowane zmiany w aplikacjach, na przykład rozbudowa oprogramowania lub zwiększenie ilości użytkowników. Analiza ruchu może ujawnić braki w sieci. Na przykład kilka aplikacji wysokiej przepustowości, korzystających z tego samego medium może generować duże ilości ruchu. Do badania sieci i analiz ruchu można wykorzystać oprogramowanie narzędziowe oferowane przez producentów sprzętu sieciowego. Przykłady oprogramowania: • Network-Based Application Recognition (NBAR) jest to narzędzie firmy Cisco, którym prowadzimy audyty i analizy ruchu. NBAR ma szeroki zakres zastosowań, klasyfikuje aplikacje, które wykorzystują protokoły TCP i UDP oraz obsługuje dynamiczne przypisanie portów. • Cisco IOS NetFlow jest to narzędzie do analizy ruchu aplikacji wykorzystujących protokół IP. Dokonuje pomiarów ruchu sieciowego, analizy wykorzystania sieci, planowania sieci, bezpieczeństwa, monitorowania usług, monitorowania sieci. Dostarcza informacji na temat wykorzystania aplikacji i ruchu w godzinach szczytu. Wpływ ruchu sieciowego na projekt sieci. W ramach charakterystyk aplikacji należy określić ruch wewnętrzny i ruch zewnętrzny w sieci oraz w sposób słowny lub graficzny opisać ruch w istniejącej sieci. Ruch wewnętrzny. Wewnętrzny ruch generowany jest przez lokalne komputery i jest przeznaczony dla innych 3 komputerów w sieci lokalnej. Diagramy wewnętrznych przepływów ruchu mogą pokazać obszary, w których należy zastosować połączenia o dużej przepustowości, można określić wąskie gardła oraz tworzenie się zatorów. Diagramy pomogą projektantowi wybrać odpowiedni sprzęt i infrastrukturę do obsługi przewidywanego ruchu. Ruch zewnętrzny. Zewnętrzny ruch jest zdefiniowany jako ruchu inicjowanego przez użytkowników spoza sieci lokalnej oraz ruch wysyłany do miejsc znajdujących się poza siecią lokalną. Niektóre rodzaje zewnętrznego ruchu, takie jak do służb ratunkowych lub obsługa usług finansowych, wymagają dodatkowych nadmiarowych połączeń i dodatkowych zabezpieczeń. Projektant wykorzystuje diagramy tego ruchu w celu określenia lokalizacji zapór, sieci DMZ, a także wymogów łączności z Internetem. Do analizy wewnętrznych i zewnętrznych przepływów wykorzystuje się programy NBAR i NetFlow. Aby zapewnić, że przepustowość sieci jest wykorzystywana efektywnie, programy NBAR mogą być używane do identyfikacji i klasyfikacji typów ruchu w celu zastosowania mechanizmów QoS. Wpływ urządzeń zainstalowanych w sieci na wydajność aplikacji. Każde urządzenie może wprowadzać opóźnienie w szybkości reakcji aplikacji na żądania użytkownika. Opóźnienie zmniejsza wydajność aplikacji i zadowolenie klienta. Na przykład na aplikacje wykorzystywane do przesyłania głosu i obrazu mogą mieć wpływ opóźnienia sprzętu, co powoduje spadek wydajności i słabą jakość połączenia. Opóźnienia sprzętowe mogą być spowodowane: • Czasem przetwarzania - czasem potrzebnym na przekazanie ruchu. • Technologią wykonania – np. starsze przełączniki nie są w stanie obsłużyć obciążeń generowanych przez nowoczesne aplikacje. Jednym ze sposobów, aby zapewnić wysoką wydajność sieci jest zastosowanie metody projektowania z góry na dół, która przystosowuje projekt infrastruktury fizycznej (sprzęt i media przesyłowe) do potrzeb aplikacji sieciowych. Urządzenia sieciowe są wybrane dopiero po dokładnej analizie wymagań technicznych. Aplikacje sieciowe generują szeregi pakietów, które są różnej wielkości, z różnych grup protokołów, różnych tolerancji na opóźnienia. Wymagania usług są źródłem różnych konfliktów aplikacji i mogą spowodować problemy z wydajnością. Podczas dodawania nowej aplikacji, projektant sieci musi brać pod uwagę jej wpływ na wydajność istniejących aplikacji. Należy rozważyć przewidywaną wydajność aplikacji w różnych konfiguracjach i warunkach sieciowych. Aplikacje sieciowe Aplikacje sieciowe stanowią obecnie podstawą formę działalności. Aby spełnić cele biznesowe klienta, należy zapewnić maksymalną wydajność aplikacji. Jednak każdy typ aplikacji lub ruchu, a również połączenie kilku aplikacji ma inne wymagania, które mogą spowodować problemy z wydajnością. Popularne typy aplikacji to aplikacje: • do przetwarzania transakcji, • transmisji strumieniowej w czasie rzeczywistym 4 • transferu plików i poczty, • HTTP i internetowe, • serwerowe. Aplikacje przetwarzania transakcji. Przetwarzanie transakcji jest to proces, w którym komputer reaguje natychmiast na żądanie użytkownika. Każde żądanie generowane przez użytkownika jest transakcją. Transakcje te mogą wymagać dodatkowych operacji i odbywać się w odpowiedzi na pierwotne żądanie. Zastosowanie transakcji wymaga indywidualnego podejścia do projektowanej sieci. Przykładem procesu transakcji jest zakup biletów online na imprezę sportową. Ta jedna transakcja generuje następujące operacje w sieci: • ruch internetowy od klienta do sieci, • dostęp do bazy danych, • transakcja zamówienia, • transakcja realizacji zamówienia, • dostawa biletu (transfer pliku). Nie cały ruch, który wchodzi lub wychodzi z sieci uznaje się za proces transakcji. Aby uznać proces transakcji musi ona spełniać odpowiednie kryteria. Transakcja musi być: • Zakończona – wszystkie etapy muszą być wykonane. Jeżeli transakcja nie jest w pełni przetworzona, to jest nieważna. • Spójna – niepełne transakcje nie są akceptowane. Jeżeli transakcja jest niepełna to system wraca do stanu początkowego. • Izolowana – każda transakcja jest realizowana niezależnie i izolowana od innych transakcji. Zapewnienie bezpieczeństwa jest priorytetem, należy stosować listy kontroli dostępu (ACL), szyfrowanie i zaporę sieciową. • Trwała – po zakończeniu procesu transakcja nie może zostać cofnięta (nawet po awarii systemu). Należy stosować nadmiarowość na wielu poziomach – dublowanie połączeń, serwerów i urządzeń sieciowych. Włączenie aplikacji do przetwarzania transakcji wymaga analizy wpływu każdej transakcji na sieć. Proces ten wymaga zastosowania dodatkowego okablowania i urządzeń, które zapewniają odpowiednią przepustowość sieci oraz bezpieczeństwo i nadmiarowość. Nadmiarowe połączenia i urządzenia przynoszą następujące korzyści: • zmniejszają lub wyeliminują przestoje sieci, • zwiększają przepustowość i dostępność aplikacji. Nadmiarowość. Sieci nadmiarowe eliminują problem pojedynczych punktów awarii (rys. 3.1). Jeśli ścieżka lub urządzenia ulegnie uszkodzeniu, to transakcja może być dalej kontynuowana, serwery obsługujące procesy transakcyjne mają alternatywną ścieżkę. Daje to pewność, że aplikacja jest dostępna na żądanie klienta. 5 Rys. 3.1. Nadmiarowość połączeń i urządzeń w sieci. Przełączniki sieciowe muszą być skonfigurowane do pracy nadmiarowej, należy zainstalować protokoły zapobiegające powstawaniu pętli w sieci. Dwa popularne protokoły dla urządzeń Cisco to: • Rapid Spanning Tree Protocol (RSTP), • Hot Standby Routing Protocol (HSRP). Bezpieczeństwo. Bezpieczeństwo jest zawsze bardzo ważnym czynnikiem. To dotyczy nie tylko procesów transakcyjnych, ale wszystkich aplikacji i ruch w sieci wewnętrznej i zewnętrznej. Ochrona prywatności, konieczność izolacji informacji o transakcjach, ochrona baz danych wymaga szczególnych systemów bezpieczeństwa. Dla poprawy bezpieczeństwa można zastosować : • Tunelowanie (VPN – virtual private network) - często określane jako "port forwarding". Jest to transmisja danych za pośrednictwem sieci publicznej, w której utworzono prywatny, bezpieczny tunel. • Systemy wykrywania włamań (IDS) - jest wykorzystywany do monitorowania ruchu w sieci w celu wykrycia podejrzanej aktywności. W przypadku wykrycia podejrzanej aktywności IDS alarmuje administratora sieci . IDS może być skonfigurowany tak, aby blokować źródłowy adres IP użytkownika. • Zapory sieciowe – zapewniają filtrowanie ruchu na podstawie zestawu kryteriów. Złożoność konfiguracji zapory może spowodować opóźnienia. Potencjalny wpływ opóźnienia wprowadzanego przez zaporę należy uwzględnić w projektowaniu sieci. • Listy kontroli dostępu ACL - zapewniają filtrowanie potencjalnie szkodliwego ruchu, który próbuje wejść do sieci oraz blokowanie określonego ruchu na wyjściu sieci. Rozbudowane listy ACL mogą spowolnić proces transakcyjny. Aplikacje czasu rzeczywistego – przesyłanie głosu i obrazu. Aplikacje do przesyłania głosu i obrazu mają szczególne wymagania, dlatego przy projektowaniu sieci należy rozważyć, jak infrastruktura i konfiguracje sieci wpływają na wydajność tych aplikacji. Wymagania dotyczą wpływu na ruch fizycznych elementów 6 infrastruktury, logicznych konfiguracji sieci, konfiguracji QoS i rozwiązań bezpieczeństwa. Wymagania fizycznej infrastruktury dotyczą: • urządzeń i połączeń, • topologii sieci, • nadmiarowości fizycznej. Przykładowe aplikacje czasu rzeczywistego to monitoring, transmisja obrazu na żywo oraz telefonia IP. Ruch z tych aplikacji musi być przekazywany z możliwie najmniejszym opóźnieniem i najmniejszymi zakłóceniami. Po określeniu celów biznesowych i wymagań technicznych klienta, wszystkie elementy sieci powinny być projektowane w celu zapewnienia właściwego wdrożenia i wsparcia dla aplikacji czasu rzeczywistego. Infrastruktura. Fizyczna infrastruktura powinna uwzględniać istniejące i proponowane aplikacje czasu rzeczywistego, być dostosowana do charakterystyki każdego rodzaju ruchu. Należy określić, czy istniejące przełączniki i okablowanie mogą obsługiwać ruch, który zostanie dodany do sieci. Jeżeli istniejące okablowanie może obsługiwać transmisje gigabitowe to powinno być w stanie obsłużyć wygenerowany ruch i nie wymaga żadnych zmian. Inne okablowanie może nie spełnić wymagań dotyczących przepustowości. Starsze przełączniki nie obsługują zasilania urządzeń kablem sygnałowym (PoE - Power over Ethernet). Technologia VoIP –Voice over Internet Protokol. Wprowadzenie technologii VoIP do sieci korzystającej z tradycyjnych telefonów wymaga zastosowania routerów z obsługą głosu. Należy przewidzieć rozbudowę istniejących routerów lub zakup nowych. Routery z obsługą VoIP dokonują zamiany analogowego sygnału głosu z tradycyjnych telefonów na pakiety IP. Po konwersji na pakiety IP, router wysyła te pakiety do odpowiednich miejsc. Telefonia IP. W telefonii IP konwersji głosu na pakiety IP (voice-to-IP ) najczęściej dokonuje telefon IP. W tym przypadku nie są wymagane routery obsługujące głos. Telefony IP mogą używać własnego serwera do kontroli połączeń i sygnalizacji. Protokoły czasu rzeczywistego. Do skutecznego transportu mediów strumieniowych (obraz w czasie rzeczywistym) sieć musi być w stanie obsługiwać aplikacje wrażliwe na opóźnienia dostarczania. Protokoły spełniające te wymagania to Real-Time Transport Protocol (RTP) i Real-Time Transport Control Protocol (RTCP). RTP i RTCP umożliwiają kontrolę i skalowalność zasobów sieciowych, umożliwiają wdrożenie mechanizmów jakości QoS. Mechanizmy QoS zapewniają odpowiednie narzędzia do minimalizowania problemów opóźnienia dla aplikacji czasu rzeczywistego. Narzędzia te obejmują sterowanie przepływem, możliwość konfiguracji kolejkowania, ustawienie priorytetów ruchu. Przesyłanie plików, poczty i stron internetowych. Transfer plików generuje ruch, który może mieć duży wpływ na przepustowość sieci. W tym 7 przypadku wymagania dla przepustowości są duże, natomiast zazwyczaj są niskie dla czasu reakcji. Podstawowe cechy ruchu transferu plików: • Nieprzewidywalne wykorzystanie pasma - ten rodzaj ruchu jest zwykle inicjowane przez użytkownika. • Duży rozmiar pakietu - FTP i inny ruch transferu plików wykorzystuje duże rozmiary pakietów. Te duże pakiety mogą powodować opóźnienia w przypadku innych rodzajów ruchu, gdy sieć będzie przeciążona. W ramach wstępnej charakterystyki sieci należy określić liczbę użytkowników wykorzystujących transfery plików w sposób regularny. Należy uwzględnić ruch FTP oraz kopiowanie plików z udostępnionych dysków sieciowych i pobieranie dużych plików przy użyciu protokołu HTTP. Informacje te umożliwią określenie wymagań dla przepustowości. Jeśli te wymagania przekraczają wydajność sieci, konieczne jest wprowadzenie mechanizmów jakości QoS w celu zapewnienia działania aplikacji wrażliwych na opóźnienia. E-mail jest jedną z najbardziej popularnych usług sieciowych. Dzięki swojej prostocie i szybkości, e-mail, który zrewolucjonizował sposób komunikacji. Aby uruchomić usługę na komputerze lub innym urządzeniu końcowym należy zainstalować odpowiednie aplikacje i protokoły. Dwa protokoły warstwy aplikacji to POP (Post Office Protocol) i SMTP (Simple Mail Transfer Protocol). Użytkownicy poczty elektronicznej zwykle mają dostęp do usługi za pomocą aplikacji e-mail klienta. Aplikacja pozwala użytkownikom na tworzenie i wysyłanie wiadomości oraz odbieranie i utrzymywanie wiadomości w skrzynce pocztowej. Chociaż jeden email nie generuje znacznego ruchu, to możliwe jest wysyłanie masowych wiadomości e-mail, które zajmują pasmo i zalewają sieci lub serwery. Rys. 3.2. Umieszczenie usług w sieci. Klienci oczekują natychmiastowego dostępu do swoich wiadomości e-mail i plików. Dostępność usług zapewnia właściwe zaprojektowanie sieci i umieszczenie usług (rys. 3.2). 8 Na dostępność usług wpływa: • Umieszczenie serwerów plików i poczty w centralnej lokalizacji (farma serwerów). • Zastosowanie nadmiarowości w farmie serwerów, która zapewnia, że jeśli jedno urządzenie zawiedzie to pliki nie zostaną utracone. • Utworzenie nadmiarowych ścieżek do serwerów. • Wprowadzenie ochrony przed nieautoryzowanym dostępem poprzez fizyczne (zamknięte pomieszczenia, szafy) i logiczne (zapory) środki bezpieczeństwa. Ruch do stron internetowych HTTP. HTTP (Hypertext Transfer Protocol) jest jednym z protokołów pakietu TCP/IP, który został pierwotnie opracowany do publikowania i wyszukiwania stron internetowych. Obecnie jest stosowany również do współpracy rozproszonych systemów informacyjnych. HTTP jest stosowany w całej sieci WWW do transferu danych. Jest to jeden z najczęściej stosowanych protokołów warstwy aplikacji. HTTP działa wykorzystując przeglądarkę internetową, na zasadzie reakcji żądanie/odpowiedź, między klientem i serwerem. Gdy klient wysyła komunikat żądania do serwera, protokół HTTP definiuje typ wiadomości ustalonej przez klienta. Protokół określa także rodzaj wiadomości wysyłanej jako odpowiedź przez serwer. Działanie protokołu HTTP może mieć istotne znaczenie dla projektu sieci, w niektórych zastosowaniach. Jeśli serwer jest wykorzystywany w transakcjach komercyjnych lub przechowuje informacje o klientach to szczególne znaczenie ma bezpieczeństwo i nadmiarowość. Wymagania i wsparcie ruchu HTTP: • Urządzenia warstwy 3 - (routery, przełączniki wielowarstwowe) mogą kontrolować wewnętrzne i zewnętrzne przepływy ruchu. • Zastosowanie nadmiarowych urządzeń i połączeń – serwery posiadają nadmiarowe komponenty i dodatkowe źródła zasilania. Mogą one być wyposażone w dwa lub więcej kart sieciowych podłączonych do oddzielnych przełączników (rys. 3.2). • Bezpieczeństwo – ochrona przed nieuprawnionym ruchem - zastosowanie list kontroli dostępu ACL, zapór sieciowych i systemów wykrywania włamań IDS. Podobnie jak w przypadku innych serwerów aplikacji, serwer HTTP powinien znajdować się w ISP lub scentralizowanej farmie serwerów. Zwiększa to bezpieczeństwa fizyczne i możliwość nadmiarowości. Wsparcie Active Directory Domain Services. Często firmy wykorzystują usługi Microsoft Active Directory. Należy wtedy brać pod uwagę komunikację serwer-serwer oraz serwer-klient. Serwery firmy Microsoft obsługują wiele różnych rodzajów usług, które cechuje wysoka prędkość komunikacji z serwerami. Te usługi należy uwzględnić przy projektowaniu przebudowy sieci. Serwery Microsoft i klienci komunikują się ze sobą z wykorzystaniem portów warstwy transportu TCP i UDP. Porty są używane do różnych usług firmy Microsoft, w tym uwierzytelniania i autoryzacji. Niektóre usługi na określonych portach generują specyficzne rozgłoszenia transmisji (broadcast) oraz rozsyłają pojedyncze żądania (unicast). Typowe porty używane przez Microsoft Domain Services: UDP 53 - Usługi DNS UDP 67 - DHCP 9 UDP 123 - Usługa Czas systemu Windows TCP 135 - Remote Procedure Call (RPC) UDP 137 - Uchwała Nazwa NetBIOS UDP 138 - Usługa NetBIOS Datagram Obsługa TCP 139 - Sesja NetBIOS TCP 389 i UDP 389 - obsługa LDAP TCP 445 - Bloki komunikatów serwera (SMB) TCP 1433 - Microsoft SQL przez TCP Active Directory i DNS. Kiedy Microsoft Windows Server jest zainstalowany w sieci to występuje ścisła integracja pomiędzy usługami Active Directory i DNS. Active Directory wymaga DNS do lokalizowania kontrolerów domeny, które zapewniają usługi uwierzytelniania i autoryzacji. Microsoft zaleca również stosowanie DCHP (Dynamic Host Configuration Protocol) zintegrowane z DNS. Gwarantuje to, że gdy komputer lub urządzenie otrzymuje adres IP z serwera DHCP to jednocześnie utworzony jest wpis w pliku DNS. Jakość usług QoS. Jakość usług QoS (quality of service) to zdolność sieci do świadczenia usługi dla wybranego preferencyjnego ruchu sieciowego. Głównym celem QoS jest zapewnienie priorytetów, w tym dedykowanej przepustowości, kontrolowania zakłóceń i opóźnień, zmniejszenie strat pakietów. Schemat działania strategii QoS przedstawiono na rysunku 3.3. Rys.3.3. Schemat działania QoS. Jeżeli tworzy się zator z nieuporządkowanego ruchu sieciowego to: • ruch zostaje sklasyfikowany na określone rodzaje, • pakiety są grupowane zgodnie z przypisanymi priorytetami, • pakiety są przesyłane zgodnie z priorytetami. W sieci bez QoS wszystkie pakiety traktowane są jednakowo i przesyłane kolejno. QoS nie zwiększa przepustowość, ale ustala priorytety dla aplikacji, które tego potrzebują. QoS używa klasyfikacji i kolejki ruchu. Przy tworzeniu strategii QoS dla firmy należy skupić się na aplikacjach, których ruch potrzebuje preferencyjnego traktowania. Należy przeanalizować jak strategia QoS wpływa na urządzenia w sieci oraz na aplikacje, które korzystają z sieci. Użytkownicy postrzegają jakość usług w oparciu o dwa kryteria: • prędkość z jaką sieć reaguje na żądania, • dostępność aplikacji, z których chcą korzystać. 10 1 Zarzadzanie projektem sieci komputerowej Projekt to indywidualne lub zespołowe, przygotowane i zaplanowane działanie, które może łączyć wiele powiązanych operacji, prowadzące do realizacji założonych celów w określonym czasie. Zarządzanie projektem to praca polegająca na planowaniu, analizowaniu, tworzeniu harmonogramów oraz przydzielaniu prac i kontroli nad wykonaniem zadań niezbędnych do osiągnięcia celów projektu. Projekt okablowania strukturalnego dla jednej klasy w szkole rożni się od projektu wykonywanego dla kilkunastopiętrowego biurowca. Większe projekty infrastruktury sieciowej stanowią często część projektowania budynków czy całych kompleksów. W takich przypadkach projekty wykonują specjalistyczne biura projektowe posiadające odpowiednie uprawnienia. Jednak projektowanie lokalnych, małych struktur sieciowych jest równie odpowiedzialnym zadaniem i powinno opierać się na takich samych zasadach zarządzania i tworzenia projektów co duże programy projektowe. Do najważniejszych etapów zarządzania projektem sieci komputerowej zaliczamy niżej wymienione etapy. 1. Etap 1 – Identyfikacja projektu polegająca na analizie stanu obecnego, problemów, potrzeb, modelu ER, możliwości technicznych (plany budynku, przepustowość sieci) oraz istniejącej infrastruktury. Należy zwrócić uwagę na bieżące i przyszłe procedury informatyczne, bezpieczeństwa lub obrotu dokumentami jawnymi i niejawnymi. Ważne są również wymagania oprogramowania czy systemu informatycznego, jaki ma działać w sieci. Jeżeli realizacja projektu jest wynikiem udziału w przetargu, istotna jest dokładna analiza zapytania ofertowego. Efektem analizy jest określenie celów i rezultatów oraz metod i wskaźników osiągnięcia tych celów. Wynikiem analizy może być również wstępna oferta, na podstawie której zostanie podpisana umowa na wykonanie sieci komputerowej. Co zawiera analiza biznesowa: Analiza biznesowa potrzeb zamawiającego Analiza Stanowi najważniejszy element projektowania sieci. Na podstawie informacji pozyskanych w trakcie analizy biznesowej projektant sieci podejmuje wiele istotnych decyzji, takich jak: – wybór aplikacji sieciowych oraz systemów operacyjnych – dobór sprzętu komputerowego dla serwerów i stacji roboczych – określenie topologii sieci i stosowanych protokołów telekomunikacyjnych – wybranie urządzeń sieciowych – dopasowanie elementów okablowania strukturalnego – sposób połączenia z siecią Internet – ustalenie poziomu bezpieczeństwa 2. Etap 2 – Organizacja projektu obejmująca definiowanie poszczególnych części projektu, tworzenie zespołu projektowego, przydzielenie prac, opracowanie harmonogramu działań i określenie źródeł finansowania. Na tym etapie jest również możliwa weryfikacja dokumentacji przez dokonanie wstępnego obmiaru z natury. Warunkiem przystąpienia do realizacji etapu 2. jest sporządzenie umowy na wykonanie dzieła ze zleceniodawcą lub inwestorem. 2 3. Etap 3 – Wykonanie projektu, co obejmuje: a. Projekt logiczny sieci określający logiczną topologię, standardy transmisji, plan adresacji i niezbędne protokoły, model hierarchii warstw sieci oraz model bezpieczeństwa sieci. b. Projekt fizyczny sieci dotyczący propozycji fizycznej topologii, doboru urządzeń sieciowych i opisu ich specyfikacji, planu rozmieszczenia punktów dystrybucyjnych i innych urządzeń sieciowych. c. Projekt okablowania strukturalnego będący wizualizacją projektu fizycznego z podziałem na okablowanie pionowe i poziome. d. Kosztorys wstępny zakresu planowanych prac i niezbędnych urządzeń, narzędzi oraz materiałów. e. Wykaz wartości określonych parametrów do uzyskania podczas testów i pomiarów sieci. f. Skompletowanie dokumentacji projektu wraz z niezbędnymi planami, instrukcjami, procedurami pomiarowymi, certyfikatami itp. 4. Etap 4 – Wdrożenie projektu, etap obejmujący wykonanie instalacji sieciowej według planów, zakup, instalację i konfigurację urządzeń sieciowych, podział sieci na podsieci, adresację hostów, wprowadzenie procedur bezpieczeństwa, przeprowadzenie testów i pomiarów. Wszystko na bieżąco powinno podlegać kontroli jakości i zgodności z założonym harmonogramem. Często etap wdrażania jest połączony ze szkoleniem personelu 5. Etap 5 – Zakończenie projektu i ewaluacja, etap obejmujący sporządzenie protokołu odbioru, kosztorysu końcowego i dokumentów księgowych rozliczających umowę wykonawstwa i wdrażania projektu. Rozpoczyna się też etap ewaluacji, czyli nanoszenia poprawek do projektu na podstawie uzyskanych testów, pomiarów, analizy dokumentacji powykonawczej i uwag użytkowników lub inwestora. Jest wiele metod zarządzania projektami, nie ma jednak jednej, która byłaby uniwersalna. Odpowiednią metodę należy dobrać do określonych warunków projektowych. Przykładowy projekt logiczny sieci: 3 Przykładowy projekt fizyczny sieci: Dobór urządzeń sieciowych 4 Bezpieczeństwo systemów i sieci komputerowych W sieci komputerowej istotna jest ochrona stacji roboczych, urządzeń sieciowych, sieci oraz danych osobowych. Ochrona stacji roboczych Bezpieczeństwo stacji roboczych powinien polegać na: – zabezpieczeniu urządzeń hasłem – ograniczeniach dotyczących instalowanego i uruchamianego oprogramowania – regularnej zmianie haseł – tworzeniu haseł spełniających określone wymagania dotyczące złożoności – rejestracji i kontroli prób dostępu do komputera – ograniczeniu stosowania nośników wymiennych(pamięci flash, dysków CD/DVD) – wymuszeniu działania programów antywirusowych i firewalli Ochrona sieci i urządzeń sieciowych W celu zabezpieczenia danych w sieci, należy zadbać o bezpieczeństwo zarówno na poziomie fizycznym jak i logicznym. Przy tworzeniu zabezpieczeń sieci powinno się rozpatrzyć: – fizyczny dostęp do punktów dystrybucji – wyłączenie lub usunięcie niepotrzebnych usług sieciowych – stosowanie szyfrowania na dyskach – wykorzystywanie szyfrowania protokołów danych(HTTPS, SFTP, SSH) – stosowanie mechanizmów tworzenia kopii bezpieczeństwa – zapewnienie odpowiedniej temperatury pracy urządzeń i zabezpieczeń przeciwpożarowych Ochrona danych osobowych W ochronie danych osobowych wymagane są następujące środki: – fizyczna kontrola dostępu do pomieszczeń, komputerów i serwerów – logiczna kontrola dostępu do danych(stosowanie autoryzacji użytkowników) – wymagania dotyczące złożoności haseł użytkowników – stosowanie programów typu antywirus i firewall – regularne wykonywanie kopii zapasowych – stosowanie zasilaczy awaryjnych – kryptograficzna ochrona danych dla danych na urządzeniach mobilnych i poza obszarem ich przetwarzania – nośniki danych przeznaczone do likwidacji lub przekazania osobom nieuprawnionym należy wyczyścić z zapisanych na nich danych osobowych Jest wiele metod zarządzania projektami, nie ma jednak jednej, która byłaby uniwersalna. Odpowiednią metodę należy dobrać do określonych warunków projektowych. Do metod zarządzania projektem można zaliczyć: UPMM (Unified Project Management Methodology), kamienie milowe czy 9 kroków projektu. 5 Do zarządzania projektami wykorzystuje się systemy informatyczne. Duże ułatwienie wprowadza wykorzystanie wykresów Gantta i diagramów PERT, PDM lub sieciowych. Pozwalają one na wyznaczanie ścieżki krytycznej. Poniżej przedstawiono zestawienie norm wykorzystywanych podczas tworzenia i zarządzania projektem. 6 Zasady zarządzania projektem Wprowadzenie Projekt to indywidualne lub zespołowe, przygotowane i zaplanowane działanie, ktore może łączyć wiele powiązanych operacji, prowadzące do realizacji założonych celow w określonym czasie. Zarządzanie projektem to praca polegająca na planowaniu, analizowaniu, tworzeniu harmonogramow oraz przydzielaniu prac i kontroli nad wykonaniem zadań niezbędnych do osiągnięcia celow projektu. Projekt okablowania strukturalnego dla jednej klasy w szkole rożni się od projektu wykonywanego dla kilkunastopiętrowego biurowca. Większe projekty infrastruktury sieciowej stanowią często część projektowania budynkow czy całych kompleksow. W takich przypadkach projekty wykonują specjalistyczne biura projektowe posiadające odpowiednie uprawnienia. Jednak projektowanie lokalnych, małych struktur sieciowych jest rownie odpowiedzialnym zadaniem i powinno opierać się na takich samych zasadach zarządzania i tworzenia projektow, co duże programy projektowe. Do najważniejszych etapów zarządzania projektem sieci komputerowej zaliczamy niżej wymienione etapy. • Etap 1 – Identyfikacja projektu polegająca na analizie stanu obecnego, problemow, potrzeb, modelu ER, możliwości technicznych (plany budynku, przepustowość sieci) oraz istniejącej infrastruktury. Należy zwrocić uwagę na bieżące i przyszłe procedury informatyczne, bezpieczeństwa lub obrotu dokumentami jawnymi i niejawnymi. Ważne są rownież wymagania oprogramowania czy systemu informatycznego, jaki ma działać w sieci. Jeżeli realizacja projektu jest wynikiem udziału w przetargu, istotna jest dokładna analiza zapytania ofertowego. Efektem analizy jest określenie celow i rezultatow oraz metod i wskaźnikow osiągnięcia tych celow. Wynikiem analizy może być rownież wstępna oferta, na podstawie ktorej zostanie podpisana umowa na wykonanie sieci komputerowej. • Etap 2 – Organizacja projektu obejmująca definiowanie poszczegolnych części projektu, tworzenie zespołu projektowego, przydzielenie prac, opracowanie harmonogramu działań i określenie źrodeł finansowania. Na tym etapie jest rownież możliwa weryfikacja dokumentacji przez dokonanie wstępnego obmiaru z natury. Warunkiem przystąpienia do realizacji etapu 2. jest sporządzenie umowy na wykonanie dzieła ze zleceniodawcą lub inwestorem. • Etap 3 – Wykonanie projektu, co obejmuje: a) Projekt logiczny sieci określający logiczną topologię, standardy transmisji, plan adresacji i niezbędne protokoły, model hierarchii warstw sieci oraz model bezpieczeństwa sieci. b) Projekt fizyczny sieci dotyczący propozycji fizycznej topologii, doboru urządzeń sieciowych i opisu ich specyfikacji, planu rozmieszczenia punktow dystrybucyjnych i innych urządzeń sieciowych. c) Projekt okablowania strukturalnego będący wizualizacją projektu fizycznego z podziałem na okablowanie pionowe i poziome. d) Kosztorys wstępny zakresu planowanych prac i niezbędnych urządzeń, narzędzi oraz materiałow. e) Wykaz wartości określonych parametrow do uzyskania podczas testow i pomiarow sieci. f ) Skompletowanie dokumentacji projektu wraz z niezbędnymi planami, instrukcjami, procedurami pomiarowymi, certyfikatami itp. • Etap 4 – Wdrożenie projektu, etap obejmujący wykonanie instalacji sieciowej według planow, zakup, instalację i konfigurację urządzeń sieciowych, podział sieci na podsieci, adresację hostow, wprowadzenie procedur bezpieczeństwa, przeprowadzenie testow i pomiarow. Wszystko na bieżąco powinno podlegać kontroli jakości i zgodności z założonym harmonogramem. Często etap wdrażania jest połączony ze szkoleniem persolenu Etap 5 – Zakończenie projektu i ewaluacja, etap obejmujący sporządzenie protokołu odbioru, kosztorysu końcowego i dokumentow księgowych rozliczających umowę wykonawstwa i wdrażania projektu. Rozpoczyna się też etap ewaluacji, czyli nanoszenia poprawek do projektu na podstawie uzyskanych testow, pomiarow, analizy dokumentacji powykonawczej i uwag użytkownikow lub inwestora. Jest wiele metod zarządzania projektami, nie ma jednak jednej, ktora byłaby uniwersalna. Odpowiednią metodę należy dobrać do określonych warunkow projektowych. Do metod zarządzania projektem można zaliczyć: UPMM (Unified Project Management Methodology), kamienie milowe czy 9 krokow projektu. Do zarządzania projektami wykorzystuje się systemy informatyczne. Duże ułatwienie wprowadza wykorzystanie wykresów Gantta i diagramów PERT, PDM lub sieciowych. Pozwalają one na wyznaczanie ścieżki krytycznej. Poniżej przedstawiono zestawienie norm wykorzystywanych podczas tworzenia i zarządzania projektem.