Анализ возможных решений при объединении основного офиса и филиала предприятия в единую информационную сеть

Коммутатор будет вмонтирован  в стойку. Телекоммуникационные стойки обеспечивают вместимость шкафов, но имеют меньшую стоимость. Их используют когда не требуется дополнительной защиты оборудования локальной сети или особых условий эксплуатации.

               

Рис. 5.1.1. Телекоммуникационный шкаф и  стойка

Стойка телекоммуникационная — конструкция, предназначенная  для удобного, компактного, технологичного и безопасного крепления телекоммуникационного  оборудования — серверов, маршрутизаторов, модемов, телефонных станций.

 

Открытые монтажные телекоммуникационные стойки являются альтернативой монтажным  шкафам. Монтажные стойки существуют в 3-х видах: однорамные, двухрамные (конструкция стоек позволяет устанавливать тяжелое оборудование на четырёхточечную фиксацию, что повышает их устойчивость и степень нагрузки) и серверные (специально разработанные для установки в них серверного оборудования); их отличительной особенностью являются повышенная жесткость и прочность конструкции, оптимальный вес, возможность установки дополнительных компонентов.

Все активное оборудование будет встроено в стойку, кроме  сервера. Сервером у нас будет  выделенная рабочая станция, которая  будет иметь производительность выше, чем на остальных рабочих  станциях.

В стойку также будет  вмонтирована и патч-панель, в которую будут собраны все кабеля от рабочих станций. В серверную стойку также будет вмонтирован ИБП, сервер будет находиться рядом с серверной стойкой. Как показано на рисунке 5, каналы с обоих комнат собираются у серверной стойки. На задней части патч-панели подсоединяются все кабели, а на передней части панели мы с помощью патч-кордов можем подсоединять канал к коммутатору в зависимости от необходимости. Рабочую станцию, которая служит у нас сервером, можно подключить напрямую к коммутатору.

Существует два метода прокладки кабелей — скрытый  и открытый. Для скрытой прокладки  используют конструкцию стен, полов, потолков. Однако, это не всегда возможно. Наиболее распространенный вариант  кабель каналов – пластиковые  короба. В наших зданиях мы будем  использовать специальные короба, т.к. при этом нет необходимости в  дополнительном ремонте помещений.

Для подключения рабочих  станций к розеткам будем использовать патч-корды длиной 2 метра, а для соединения патч-панели с коммутатором будем использовать патч-корды длиной 1 метр.

 

Рис. 5. Схема серверной стойки

1 – место где собираются каналы связи                3 – коммутатор

2 – патч-панель                                                        4 – ИБП

 

В качестве кабеля для прокладки  коммуникационных каналов будем  использовать неэкранированную витую  пару UTP.

Для экономии средств целесообразно  подключить принтеры к сети через  ближайшие к ним рабочие станции.

Сделай свою

Рис. 6. Схема построения сети.

 

5.2. Основные административные блоки

 

Наша сеть будет не очень  большей (меньше средних размеров). В ней всего 17 рабочих станций. Права доступа, если это необходимо, могут быть разграничены созданием  групп, которые будут соответствовать  разным отделам (зданиям, комнатам), можно  их также подключать к различным  доменам.

 

 

5.3 .Клиент-серверные компоненты

На сервере главного здания А мы установим СУБД, или если для нужд предприятия необходимо некоторое специализированное ПО, то его. На рабочих станциях будет установлена клиентская часть ПО, что позволит хранить все данные централизовано на сервере.

В качестве ОС рабочих станций  будет выступать, как уже оговаривалось  ранее, Windows 7 Professional. Для хранения важных документов каждого пользователя на сервере будут выделены диски пользователей, а также несколько дисков с общим доступом для обмена информацией между работниками.

 

5.3.1 Централизованные файловые  сервисы и контроллер домена

Файловый сервис - это  описание функций, которые файловая система предлагает своим пользователям. Это описание включает имеющиеся  примитивы, их параметры и функции, которые они выполняют. С точки  зрения пользователей файловый сервис определяет то, с чем пользователи могут работать, но ничего не говорит  о том, как все это реализовано. В сущности, файловый сервис определяет интерфейс файловой системы с  клиентами.

Допустим в комнатах 1 и 2 здания А размещаются разные по направлению отделы предприятия. Для нас это означает необходимость выделения 3х сетевых дисков для обмена между ними информацией. К первому будут иметь доступ только сотрудники комнаты 1 для обмена информацией между собой. Ко второму – сотрудники комнаты 2. Третий диск будет предназначен для обмена данными между ними. К нему будут иметь доступ все.

Для реализации задуманного, нам необходимо отредактировать  конфигурационный файл Samba smb.conf следующим образом:

• параметру workgroup присвоить имя домена, к которому принадлежат рабочие станции офиса (о контролере домена поговорим чуть позже);

• необходимо указать в параметре hosts allow диапазон тех адресов, которые будут иметь доступ к SMB-ресурсу (адресацию узлов в нашей сети  рассмотрим позже);

• создать разделяемый ресурс, изменив следующую часть конфигурационного файла:

[sharename]

comment = Коментарии

path = /home/share/

valid users = <users>

writable = yes

printable = no

Имя в квадратных скобках  – это имя разделяемого ресурса. Параметр path – путь к разделяемому ресурсу, valid users – список пользователей которые имеют право доступа к данному ресурсу;

• и другие параметры.

Для подключения к разделяемым  файловым ресурсам рабочие станции  пользователей должны быть настроены  соответствующим образом. ОС должна быть настроена таким образом, что  бы при входе пользователя в систему  под своим логином он выбирал  из списка имя соответствующего домена.

Для этого также необходимо настроить на сервере контроллер домена. Контроллер домена хранит параметры  учетных записей пользователей, параметры безопасности, параметры  групповой и локальной политик. В Red Hat Linux контролер домена также можно настроить с помощью Samba.

Для работы контроллера  требуется наличие следующего разделяемого ресурса (секции в smb.conf)

    [netlogon]

    comment = Network Logon Service

    path = /home/netlogon

    guest ok = yes

    writable = no

   share modes = no

Теперь нам необходимо создать файл /etc/smbpasswd, содержащий, непосредственно, пользователей контроллера домена. Так как все пользователи офисного центра, которые будут входить в домен из рабочих станций под управлением Windows 7, должны быть зарегистрированы как пользователи Linux, то мы  далее, создаем в Linux пользователей, для каждого клиента WinNT. Регистрационным именем этого пользователя должно быть NetBIOS-имя Windows клиента с добавлением знака '$' в конце. К примеру, для рабочей станции Windows 7 нашего офисного центра с NetBIOS-именем, например 'top', необходимо выполнить команду

useradd -s /bin/false -d /dev/null -c "Windows NT Workstation" top\$

создающую примерно следующую  строку в файле /etc/passwd

top$:x:501:501:Windows NT Workstation:/dev/null:/bin/false

Домашний каталог, командный  интерпретатор, а также UID и GID пользователя не существенны и их можно не использовать. Затем этот же пользователь, соответствующий клиенту 'top', добавляется в /etc/smbpasswd коммандой

smbpasswd -a -m top

 

5.3.2 Internet/Intranet компоненты

Поскольку телекоммуникационные средства Internet полностью базируются на TCP/IP, в нашей сети обязательно должен поддерживаться стек TCP/IP. Также, обязательно, на каждом ПК должен стоять веб браузер.

 

 

 

5.3.2.1 Mail-сервер, News-сервер и Web-сервер

В качестве mail-сервера будем использовать  Postfix из дистрибутива Red Hat Linux. Нам необходимо определиться под какими именами будут зарегистрированы пользователи сети в mail-сервере, допустим именем нашего домена выбрали – firma.com. В качестве имен на почтовом сервере удобней всего взять имена, под которыми пользователи зарегистрированы в Linux для аутентификации в Samba. Для этого, при создании контролера домена, необходимо задавать пользователям имена, по которым можно однозначно идентифицировать человека. Например, это может быть фамилия сотрудника. Следовательно, если фамилия нашего сотрудника – Иванов, а логин, под которым он входит в домен firma – ivanov, то адрес его электронной почты будет – ivanov@firma.ua.

  Что касается web-сервера, то его адрес будем адресом нашего домена в глобальной сети, т.е. firma. В качестве сервера воспользуемся Apache, который также входит в поставку Red Hat Linux. На сервере будет размещен сайт компании, которая будет размещаться в офисе.

 

5.3 Выход в Интернет

 

Каждая рабочая станция  сети офисного центра должна иметь  выход в Интернет. Сетевая технология, которую мы используем в сети, поддерживает работу со стеком протоколов TCP/IP, который  используется в Интернет, но мы имеем  всего один выделенный канал доступа  к глобальной сети. Нам необходимо обеспечить доступ всех пользователей  к одному каналу. Для этих целей  существует специальное программное  обеспечение – proxy-сервер.

Рис. 7. Организация выхода в Интернет

с помощью proxy-сервера

 

Proxy-сервер – служба в компьютерных сетях, позволяющая клиентам выполнять косвенные запросы к другим сетевым службам. Сначала клиент подключается к прокси-серверу и запрашивает какой-либо ресурс (например, e-mail), расположенный на другом сервере. Затем прокси-сервер либо подключается к указанному серверу и получает ресурс у него, либо возвращает ресурс из собственного кэша (в случаях, если прокси имеет свой кэш). В некоторых случаях запрос клиента или ответ сервера может быть изменён прокси-сервером в определённых целях. Также прокси-сервер позволяет защищать клиентский компьютер от некоторых сетевых атак и помогает сохранять анонимность клиента.

Proxy-сервер будет установлен на сервере сети (в дистрибутиве Red Hat Linux есть proxy-сервер, который называется Squid). Через него проходят все запросы клиентов сети, подключенных к серверу в Интернет. Proxy их обрабатывает, и результаты (полученные из Интернет файлы) передает клиентам. Наиболее часто используемые ресурсы кэшируются (сохраняются на сервере), что обеспечивает дополнительное ускорение. Другими словами, если один из пользователей уже поработал с медленным удаленным сервером, то другие, обратившись к тому же серверу, будут получать информацию уже не с медленного сервера, а с proxy-сервера. Т.к. все запросы выполняются proxy-сервером, то использование пользователями Интернета становиться более безопасным для пользователей и администратору будет просто контролировать весь трафик.

SQUID - это программа, которая  получает http/ftp запросы клиентов и по ним обращается к ресурсам Интернет.

 Применение прокси-сервера  (squid) дает возможность использовать фиктивные IP-адреса во внутренней сети (Masquerading), увеличивает скорость обработки запроса при повторном обращении (кэширование), обеспечивает дополнительную безопасность. Нет смысла устанавливать прокси на своей домашней машине, так как функции кэширования выполняет браузер. Прокси-сервер стоит применять лишь в том случае, если в вашей сети три-четыре компьютера, которым нужен выход в Интернет. В этом случае запрос от браузера к прокси-серверу обрабатывается быстрее, чем от прокси к ресурсам Интернет, и таким образом увеличивается производительность. К тому же, мы можем смело установить размер кэша в браузерах клиентов равным нулю.

SQUID может быть установлен из исходных текстов или в виде RPM-пакета. Установка RPM пакета SQUID очень проста - для этого нужно ввести команду

rpm -ih squid-2.3.STABLE2-3mdk.i586.rpm

На рабочих станциях клиентов необходимо настроить шлюз, через который они будут подключатся к Интернет.

Также есть необходимость  подумать, каким образом будет  подключен сервер, т.е. рабочая станция, которая является proxy-сервером, к Интернету. Для этого надо установить на сервере еще один сетевой адаптер и подключить канал связи с Интернет. Подключение через второй сетевой адаптер будет настроено не так, как на первом. Он будет иметь реальный IP-адрес в сети Интернет, в отличии от первого, который будет настроен на работу во внутренней сети офиса в диапазоне адресов  192.168.1.1 – 192.168.1.255.

IP-адрес, по которому proxy-сервер будет идентифицироваться в сети Интернет, предоставляется Интернет-провайдером. Этот адрес должен быть постоянным,  а не динамически выделяемым, т.к. наш домен будет зарегистрирован в домене верхнего уровня UA, а для этого необходим статический IP-адрес. 

 

6. Стратегия администрирования  и управления

6.1. Защита информации в сети. Общие положения

Защита информации –  это комплекс мероприятий, проводимых с целью предотвращения утечки, хищения, утраты, несанкционированного уничтожения, искажения, модификации (подделки), несанкционированного копирования, блокирования информации и т.п. Поскольку утрата информации может происходить по сугубо техническим, объективным и неумышленным причинам, под это определение подпадают также и мероприятия, связанные с повышением надежности сервера из-за отказов или сбоев в работе винчестеров, недостатков в используемом программном обеспечении и т.д.

Для защиты информации в  первую очередь необходимо на каждой рабочей станции установить антивирус, а на сервере еще и сетевой  экран. Сетевой экран необходимо настроить таким образом, что  бы ограничить доступ к сети из Интернет и других внешних сетей. Разрешить можно доступ лишь только к ресурсам web-сервера. Также необходимо запретить доступ пользователям к нежелательным ресурсам извне.