Локальная сеть ООО «Надежный контакт»

 

2 Разработка локальной сети организации

2.1 Структура  локальной сети организации

 

Существующая сетевая структура имеет следующие недостатки (см. подраздел 1.4): ограниченный доступ к оборудованию других отделов организации; наличие на центральных узлах оборудования с ограниченной скоростью пропускания данных; слабая централизация основных ресурсов. Названные недостатки могут привести к нарушению работоспособности, ограничению доступа в Интернет, потери связи с внешними информационными источниками.

Для устранения этих недостатков предлагается реорганизовать сетевую структуру организации так, как это показано на рисунке 2.1. При этом   предлагается выделение 2 компьютера: под сервер домена,  под интернет-сервер (прокси-сервер, сервер резервных копий, VPN-сервер).

При внесении данных изменений в структуру сети появляется возможность организации надёжной и защищённой локальной сети, наполнение сервера информационным материалом. Используя сервер  можно улучшить электронный документооборот, централизовать методический материал.

Основные функции, которые должны будут взять на себя сервера, крайне нужны для правильного функционирования локальной сети: сервер антивируса, сервер обновлений, хранение резервных копий, Интернет-шлюз.

Сетевая инфраструктура должна опираться на известные  стандарты построения и проектирования сетей. Поскольку сеть организации основана на технологии Ethernet, то должны учитываться  ограничения накладываемые на сети Ethernet.  Помимо этого связь между отделами будет обеспечена посредством беспроводной сети стандарта 802.11 g\n. 

Модернизация локальной сети организации проходит в три этапа:

• построение кабельной системы всех отделов;
• объединение локальных сетей отделов через wi-fi мосты;
• настройка активного оборудования и ПО.

 

Модернизированная локальная сеть представлена на рисунке 2.1.

 

Рисунок 2.1 – Модернизированная локальная сеть

 

Главные требования прокладки кабельной системы – отсутствие возможности механического повреждения, надежное электропитание, и пожаробезопастность.

Оставшиеся после укладки кабелей концы нужно завести на разъемы, которые устанавливаются в розетки (нужно разделять розетку как декоративный элемент, и закрепленный в ней разъем как часть среды передачи). Розетки можно условно разделить на используемые для установки на стену, и в короб.

Разъемы, установленные в розетках, соединяются с компьютерами при помощи специальных абонентских кабелей (шнуров, патчкордов), представляющих собой отрезок гибкой витой пары длиной 1-3 метра с разъемами штекерного типа (RJ-45) на концах. Разумеется, можно использовать самодельные кабели, но технически это не оправдано. Абонентское окончание сети наиболее подвержено физическим воздействиям, и достаточно малейшей ошибки при изготовлении, что бы абонентский кабель вышел из строя в самый неприятный момент [1].

Маркировка, установка активного оборудования. В маркировке построенной сети нет ничего сложного. Нужно, что бы любой конец кабеля (даже не разделанный) был промаркирован. Желательно, что бы маркировка была нанесена на эскизный проект в виде подписей, или специальных таблиц. Технически выполнить маркировку можно самыми разными способами. Например, нанесение надписей на оболочку кабеля специальным маркером (или даже шариковой ручкой), приклеивание скотчем бумажной "записки", специальные пластиковые метки: Либо вставки в розетки, кросса, коммутационной панели.

Центральный узел, как правило это самый нагруженный узел локальной сети, им является главная точка доступа беспроводной сети wi-fi, она объединяет все точки доступа. К ней также подключены сервера организации. Выход из строя этой точки доступа повлияет на всю локальную сеть. Компьютеры будут отрезаны от серверов, поэтому ее необходимо выбирать исходя из критериев максимальная надежность, пропускная способность, устойчивость к большому трафику. Следует выбирать мощную wi-fi точку доступа поддерживающую новые протоколы беспроводной связи, немаловажно использование известных фирм-производителей.

 

2.2 Аппаратное  обеспечение

 

Аппаратное обеспечение должно соответствовать тем задачам которые реализуются или планируются для реализации на этом оборудовании. Необходимо строго разграничивать пользовательские компьютеры и сервера. Используя для решения задач централизованные сервера можно снять нагрузку с основных рабочих компьютеров таким образом снизить требовательность к оборудованию. Так как количество компьютеров небольшое то имеет смысл выделить 2 сервера, которые обеспечивали бы основные задачи: разграничения доступа, файловые архивы, поддержание различных клиент–серверных приложений связь с внешним миром, электронный документооборот, поддержание внутреннего сайта организации. Также через эти сервера была бы возможность использовать их в качестве принт-серверов подключив к ним принтеры.

Централизовав эти функции на 2 более мощных компьютерах пропадает необходимость распределённого хранения данных. Появляется более гибкая возможность управления доступом к данным, облегчается распределение нагрузки между серверам, часть служб можно распределить на менее нагруженный сервер. Аппаратные характеристики серверов представлены в таблице 2.1.

 

Таблица 2.1 – Аппаратные характеристики серверов

Наименование сервера	Технические характеристики
Linux сервер	Сервер Linux Процессор: 2,8 GHz Intel Core2 Duo E7400 Материнская плата: Gigabyte GA-EP45-Extreme Память: PC2-8500 DDR2 Dual Channel 1066MHz 4G Корпус: ATX 500W Клавиатура: KB101 PS2 Привод Nec IDE 7201A Видео контролер: 1024Mb GF 9600GT Pali Жесткий диск: 750Gb Samsung Serial ATA II Имя в сети: linsrv   Операционная система: Linux Gentoo 10.0
Windows сервер	Процессор: 2,66 GHz Intel Core2 Duo E7400 Материнская плата: Gigabyte GA-EP45-Extreme Память: PC2-8500 DDR2 Dual Channel 1066MHz 4G Корпус: ATX 500W Манипулятор: Mouse USB-PS2 Клавиатура: KB101 PS2 Привод Nec IDE 7201A Видео контролер: 1024Mb GF 9600GT Pali Монитор: 17" LG L1742T SF Жесткий диск: 750Gb Samsung Serial ATA II Имя в сети: winserver   Операционная система: Microsoft Windows 2003 Pro Sp4

 

В качестве рабочих станций, часть компьютеров не требуют замены, более устаревшие будут заменены. Аппаратная конфигурация новых рабочих станций представлена в таблице 2.2.

 

Таблица 2.2 – Аппаратные характеристики рабочих станций

Наименование компьютеров	Технические характеристики
Рабочая станция	Процессор: Celeron N430 Материнская плата: G31M-VS Память: 1024Mb DDR2-800 Корпус: ATX 450W Дисковод: 3,5 Манипулятор: Mouse USB-PS2 Клавиатура: KB101 PS2 Привод Nec IDE 7201A Видео контролер: встроенный в материнскую плату Монитор: 17" LG L1742T SF Жесткий диск: 350Gb Samsung Serial ATA II Операционная система: OS Microsoft Windows XP Professional SP3

 

Для создания отказоустойчивого сервера применяются аппаратные RAID-массивы. Аппаратный массив представляет собой связку RAID-контроллера и дисков. Для обеспечения максимальной надежности дисковых массивов мы будем использовать RAID-0. RAID 1 требует двух жёстких дисков. Контроллер записывает всю информацию одновременно на оба винчестера, то есть вы получаете полную избыточность данных. Если один жёсткий диск выйдет из строя, все данные сохранятся на втором. После замены сбойного привода контроллер восстановит массив RAID 1.

Для большей надежности, так же необходимо подключить сервера к источникам бесперебойного питания.

 

2.3 Программное  обеспечение

 

Согласно требованиям которые предъявляются к оборудованию имеет смысл разделить имеющиеся компьютеры по мощности на определенные группы и решать таким образом задачи на оптимально к этому подходящем оборудовании. Мы имеем 4 отдела в организации, соответственно 4 группы компьютеров с разными программами. Все компьютеры трех отделов имеют стандартное офисное программное обеспечение. Для отдела менеджеров установлен на каждый компьютер 1С Предприятие, клиент для работы с сервером 1С. В отдел бухгалтерии установлено 1С Бухгалтерия. В управлении установлено стандартное офисное программное обеспечение. Для компьютера директора установлена программа Клиент-Банк. Так же на компьютере, где установлены программы с пользовательскими базами данных, установлены клиенты для создания резервных копий. На таблице 2.3 представлено программное обеспечение рабочих станций организации для различных групп.

 

Таблица 2.3 – Программное обеспечение рабочих станций

Группа компьютеров	Название программного обеспечения
Стандартный набор программ	Microsoft Office 2007 Symantec Antivirus Endpoint Lavasoft Ad-Aware Pro Radmin Viewer Mozilla Firefox Adobe Reader WinRAR
Отдел “Управление”	1С Бухгалтерия  1С  Предприятие  Клиент-Банк Microsoft Project 2007 Radmin Server КонсультантПлюс
Отдел “Бухгалтерия”	1С Бухгалтерия  Клиент-Банк
Отдел “Менеджмента”	1С Предприятие Microsoft Project 2007
Отдел “Снабжения”	1С Склад  1С  Предприятие  Microsoft Project 2007

 

Для конфигурации компьютеров и ежедневного обслуживания используются скрипты, работающие при запуске систем. Основная задача их это чистка компьютера от временных и лишних файлов, монтирование сетевых дисков и принтеров, большинство из них активируются при загрузке системы. Листинг скриптов представлен в Приложении А.

В локальной сети будет задействовано два сервера. Первый для интернет-шлюза и корпоративной почты.  На него будет установлен Linux. Для организации почты будет установлен сервер Postfix, а так же средства защиты и борьбы со спамом. Все службы (сервисы) работающие на linux-сервере показаны в таблице 2.4.

 

Таблица 2.4 – Службы linux-сервера

Название службы	Описание службы
Dns	Служба доменных имён (кэширующий DNS).
Dhcp	Служба для работы с динамическим выделением IP-адресов.
Iptables	Брандмауэр на уровне ядра linux.
proFTPd	FTP-сервер.
Ssh	Служба удаленного доступа.
Samba-server	Служба файлового сервера.
AMANDA	Служба для работы с резервными копиями.
Postfix	Корпоративный почтовый сервер.
Squid	Программный пакет, реализующий функцию кэширующего прокси-сервера для протоколов HTTP, FTP, HTTPS.

 

Второй сервер для 1С и контролера домена, на него следует установить Microsoft Windows 2003 Server. Так как в сети одним из главных факторов которые надо учитывать это обеспечение безопасности то на сервер следует установить систему обновления операционной системы на клиентских машинах Microsoft Windows Update Service.

 

Таблица 2.5 – Службы windows-сервера

Название службы	Описание службы.
Dns	Служба доменных имён (доменный DNS).
Терминальный сервер	Терминал сервер служит для удалённого обслуживания пользователя с предоставлением рабочего стола.
Active Directory	Реализация службы каталогов.
0	1

 

Продолжение таблицы 2.5

0	1
Symantec Enpoind Protection	Служба для работы с серверным антивирусом Symantec (включает антивирус, сетевую консоль, базу данных).
Windows Update Service	Служба, которая обеспечивает обновления для операционных систем Microsoft Windows и его компонентов.

 

Для обеспечения антивирусного мониторинга в сети на сервер следует установить Symantec Endpoint Protection, на Linux сервере будет установлено ПО по защите от rootkit. Также необходимо предусмотреть наличие места для резервного копирования данных с клиентских компьютеров.

 

3 Поддержка локальной сети организации 

 

3.1 Администрирование  и защита локальной сети

 

Защита сети является одним из наиболее важных и сложных  аспектов сетевой технологии. Не секрет, что системы, открытые для прямого доступа извне, являются главными целями злоумышленников. Для организаций, имеющих дело с критичной и конфиденциальной информацией, вопрос защиты периметра сети стоит особенно остро. Политика безопасности внешних систем (web-сервер, почтовый сервер и другие службы) требуют самой тщательной проработки, так как они подвержены нападению в первую очередь.

В этом плане важным этапом обеспечения информационной безопасности является формирование политики безопасности, которая включает анализ потенциальных взломов и угроз, анализ возможных угроз и выбор ориентированных на обеспечение безопасности системы мер противодействия с учетом упомянутых сценариев связи.

Защита сети охватывает следующие уровни:

• физическая защита;
• контроль действий пользователей;
• программная защита.

Физическая защита предполагает ограничение доступа  пользователей к серверам, брандмауэрам и другой сетевой аппаратуре либо физически (ограничение доступа в помещение, в котором расположена аппаратура),  либо посредством идентификационных карт, карточек-ключей.

 Контроль действий пользователей предполагает аутентификацию, персонализацию, аудит и управление рабочей средой пользователей.  Неправильно сформированная политика безопасности или ее несоблюдение может свести на нет  все усилия по обеспечению физической или программной защиты сети. Защита сети по данному пункту сводится к установленному администрированию сервера и рабочих станций сети. Установлено программное обеспечение, контролирующее повседневную деятельность пользователей на предмет соответствия  заданным политикам безопасности (см. пункт 3.4).