Построение современных мультисервисных корпоративных сетей

Автор: Алексей Севонькин, начальник отдела сетевых решений компании Инком.


Источник: http://www.pcweek.ua/themes/detail.php?ID=127252

Уже более 8 лет во всем мире активно используют концепцию мультисервисных сетей, т.е. строят одну большую надежную сеть, в рамках которой используют все те сервисы, которые ранее были разбросаны по разным.

А поскольку сеть строится для бизнеса, мы (ИТ-специалисты) вправе потребовать от бизнес-руководства информацию, о том, что, в каком объеме и с каким прогнозом развития на возможное обозримое будущее эта сеть должна поддерживать. Обладая этой информацией можно приступать к проектированию, планированию и построению решения.

Архитектура решения. Базовая сетевая инфраструктура

Итак, наша задача состоит в том, чтобы объединить разнородные сети в одну единую корпоративную сеть. Стандартом на сегодняшний день является стек-протокол TCP/IP.

Ограничением для его повсеместного использования, являются все те же, уже упомянутые ранее, устаревшие системы и не менее устаревшие протоколы. Так, например, в некоторых компаниях может использоваться старая сигнализация, подключение которой к стек-протоколу TCP/IP требует разработки отдельных решений. Впрочем, это задача обычно решаемая, но, как правило, решаемая в индивидуальном порядке.

Основные компоненты, которые нужно обеспечить для построения мультисервисной сетевой инфраструктуры это:

  1. Кабельная инфраструктура: собственная или оператора связи. Выбор одного из возможных вариантов, равно как и выбор среды передачи данных (оптика, медь, MPLS, FR) зависит от целей и задач, но в целом собственные каналы связи выгодны при построении локальной/кампусной сети, а каналы оператора связи - при построении распределенных корпоративных сетей уровня города, страны.
  2. Активное сетевое оборудование, устанавливаемое поверх кабельной инфраструктуры и обеспечивающее работу на 2-4 уровнях модели OSI.
    На этом этапе используется маршрутизирующее и/или коммутирующее оборудование для создания интеллектуальной прослойки в рамках всей сети. Именно это оборудование обеспечивает ключевой параметр - механизм качества обслуживания, QoS, который позволяет в рамках одной сети передавать разнородный трафик. Собственно этот механизм в данном контексте равнозначен понятию мультисервисности. Если оборудование не поддерживает механизмы обеспечения качества обслуживания, то ни о какой мультисервисности речь идти не может.
  3. Комплекс мер по обеспечению безопасности, компоненты которой могут быть, как интегрированы в сетевую инфраструктуру, так и являться отдельными компонентами или даже целыми блоками в рамках всей сетевой инфраструктуры.

Общая архитектура модульного решения



Общая архитектура модульного решения

Централизация сервисов

Основные тенденции развития и построения современной сетевой инфраструктуры сегодня базируются на принципах централизации сервисов. Такой подход обеспечивает целый ряд преимуществ, таких как сокращение расходов в удаленных офисах на обслуживание сети и содержание персонала, повышение скорости подключения новых офисов и наличие единых корпоративных политик, распространяющихся на новые офисы практически автоматически.

При этом накладываются определенные особенности на дизайн и архитектуру сети в целом. В случае централизации все удаленные офисы и точки компании в рамках большой корпоративной сети будут подключаться к центральному офису. Соответственно нагрузка на центральные маршрутизаторы и коммутаторы возрастает в разы. Отсюда, возникает задача обеспечения высокой пропускной способности с одновременной поддержкой качества обслуживания и зачастую с шифрованием. Речь может идти, в зависимости от масштаба компании, о нескольких Гбит/сек, что на современных MPLS сетях провайдеров уже не является фантастикой.

В центральном офисе нужно обеспечить высокую отказоустойчивость и требуемую производительность. Идеальный вариант решения этой задачи на уровне архитектуры - наличие как минимум двух удаленных точек терминирования (2-х центров обработки данных, к которым обеспечивается удаленный доступ со всех узлов компании). Идея очень проста, но эффективна. Решить задачу можно с помощью целого ряда оборудования доступного на рынке, например, компания Cisco Systems предлагет для этого новые модели маршрутизаторов модели серии ASR1000/9000 либо Cisco 7600. Особенность данного класса маршрутизаторов очень высокая производительность, очень критичный параметр в случае с централизацией сервисов.

Обеспечение комплексной сетевой безопасности

Следующий вопрос, который нам необходимо обязательно принимать во внимание, это обеспечение информационной безопасности. Тема, как никогда актуальная именно сегодня, потому что растет значимость информации для жизнедеятельности компании, а вместе с этим развиваются способы и методы незаконного к ней доступа.

Следует понимать, что вопросы сетевой безопасности напрямую влияют на:

Если вы грамотно построите корпоративную сеть, но упустите вопросы обеспечения безопасности - ничего хорошего не выйдет. В самый неподходящий момент вы можете запросто лишиться всей информации, ради доступа к которой и строили сеть.

Стоит отметить, что компания Cisco одна из немногих на рынке имеет собственную полную архитектуру обеспечения комплексной безопасности SAFE 2.0, которая получила обновление в 2009 году. Она содержит большой набор рекомендаций и лучших практик по проектированию и внедрению типовых узлов в рамках сетевой инфраструктуры.

Cisco SAFE использует так называемую концепцию Cisco Security Control Framework (SCF), которая предлагает выбор определенных продуктов и их функциональности для улучшения контроля и отображения состояния (maximize visibility and control), двух наиболее фундаментальных аспектов безопасности.

Кроме этого Cisco предлагает концепцию непрерывного улучшения (CIL, Continuous Improvement Lifecycle), позволяющую облегчить интеграцию большого количества продуктов и решений, в единое решение с постоянным его контролем и улучшением. Здесь уместно сравнить вопрос обеспечения безопасности и использование концепции CIL (Continuous Improvement Lifecycle) с игрой в шахматы, когда каждый ход обдумывается и анализируется и только после этого выполняется. Причем делать это необходимо постоянно, поскольку процесс улучшения безопасности все время находится в противовесе "защита - атака" (сообщество, придумывающее атаки, вирусы против сообщества, которое производит средства защиты).

Кратко рассмотрим основные компоненты, обеспечивающие безопасность:

  1. Политика безопасности компании. Без этого документа вы, конечно, сможете создать технические средства обеспечения безопасности, но скорее всего не реализуете задуманное в полном объеме. Например, посредством технических средств, вам не удастся нивелировать влияние человеческого фактора, который, между прочим, является одним из самых критичных.
  2. Межсетевые экраны (firewall) - с точки зрения технической реализации, это самый главный компонент, функционал которого обязателен к реализации. На сегодняшний день, компания Cisco имеет очень большой портфель решений, вариативность которых сводится к различиям в обеспечиваемой производительности и функционале.
  3. Системы (обнаружения) предотвращения атак (IDS/IPS), позволяющие качественно повысить уровень информированности о том, что происходит в сети и дополнить систему обеспечения безопасности. Эта система "следит" за всем трафиком в определенном сегмента вашей сети, и в случае обнаружения подозрительной активности, может информировать вас об этом или автоматически предпринимать определенные действия (сброс сессии, блокирование, уведомление). Системы данного класса сложны в настройке и требуют постоянного внимания со стороны отдела ИТ-безопасности, только в этом случае они могут быть эффективными.
  4. Системы сбора и корреляции информации. Основная задача устройств этого класса - сбор всех информационных служебных сообщений, со всех устройств в сети (особенно тех, которые напрямую связаны с безопасностью), ее анализ и корреляция! Уникальность данного класса устройств заключается в способности проводить сбор, анализ и корреляцию нескольких тысяч сообщений и выдачу единого сообщения администратору безопасности, для принятия решения (машина должна работать, а человек думать). Зачастую, обработка такого массива данных вручную физически просто невозможна, либо потребует громадных трудозатрат. Данный класс устройств Cisco MARS (Cisco Security Monitoring, Analysis, and Response System) - имеет широкую линейку и отличается в первую очередь, производительностью измеряемую принимаемым количеством событий в секунду, а также возможность хранения истории этих сообщений.
  5. Системы управления безопасностью - позволяют из одной точки обеспечить полное комплексное управление, всеми устройствами обеспечения безопасности, таким образом, с одной стороны сократить количество возможных ошибок управления, а с другой значительно повысить прозрачность и удобство управления.
  6. Системы/устройства сканирования периметра безопасности на предмет наличия каких-то ошибок, "дыр" в безопасности. Данный компонент обычно предлагается компанией-интегратором в виде определенной услуги, связанной с аудитом безопасности. Рекомендуемый период проведения такого сканирования - 1 раз в полгода, что позволит вам своевременно выявить и устранить ошибки в области безопасности.

Как видите спектр предлагаемых решений и услуг достаточно широк. Однако не стоит забывать, что безопасность не бывает 100%-ной. Вам придется балансировать между необходимостью обеспечить высокую безопасность и возможностью доступа ваших сотрудников к информации. Если вам нужна 100% гарантия информационной безопасности, то единственный выход - полностью отключиться от сети.

Именно поэтому к этому вопросу рекомендуется подходить с точки оценки рисков. А максимальную и эшелонированную защиту обеспечивать тем сегментам, которые наиболее важны и содержат критически важную для бизнеса информацию.

Рассмотрим для примера один из узлов "Выход в публичную сеть Интернет", который сегодня является одним из наиболее критичных с точки зрения обеспечения безопасности. На рисунке приведен рекомендуемый дизайн построения такого узла, который, в общем, состоит из следующих блоков:

  1. Стык с сервис провайдерами (Service Provier Edge) обеспечивающий, надежную и резервируемую связь с провайдерами;
  2. Блок корпоративной демилитаризованной зоны, где размещаются корпоративные сервисы, и который имеет наибольшую защиту;
  3. Блок для удаленного VPN доступа ваших партнеров;
  4. Блок удаленного доступа ваших сотрудников работающих на дому (Teleworkers);
  5. Блок дистрибуции узла доступа в Интернет, в который сходятся все блоки указанные выше. Он же обеспечивает связь между ними и контролем безопасности;
  6. Уровень ядра сети, здесь приведен для понимания общего места данного блока в рамках всей сетевой инфраструктуры.

Построение мультисервисной сети

Следует отметить, что многие относятся к концепции SCF, как к набору рекомендаций, который из-за своей универсальности имеет малый прикладной характер и не учитывает специфику конкретной компании и ее инфраструктуры. Тем не менее компания Инком советует вам придерживаться этих рекомендаций как минимум в области архитектуры построения решений безопасности.

Системы управления

Системы управления корпоративной сетью, это целый класс решений, который сейчас переживает бурный рост. Не секрет, что для большинства администраторов консоль по-прежнему является основным инструментом работы. Хотя, несмотря на повсеместное его распространение, он имеет весьма ограниченный спектр эффективного использования:

Основной задачей, особенно при использовании централизованного подхода, является централизация также системы мониторинга, проактивного управления и уведомления в привязке ко всему оборудованию, установленному в сети.

Чем быстрее администратор узнает о проблеме и сможет ее исправить, тем меньше впоследствии возникнет проблем связанных с деградацией работы сервисов либо их производительности. Для этого есть целый класс систем мониторинга и управления Cisco LMS, который направлен на управление оборудованием маршрутизации и коммутации.

Кроме этого, мы уже говорили о системах управления безопасностью, а также внедрением и контролем работы механизмов качества обслуживания (QoS) по всей сети, что согласитесь уже не такая тривиальная задача, как, к примеру, настройка протокола маршрутизации.

Выбор этих систем в дополнение к базовой определяется необходимостью контроля и реализации этих сервисов. Существует мнение, что системы управления просто мешают нормальной работе. Здесь как никогда уместно вспомнить Альфа из одноименного сериала и его фразу "Как вы не любите кошек? Вы просто не умеете их готовить". Для того чтобы использовать систему управления с графическим интерфейсом эффективно, ее нужно грамотно настроить и грамотно эксплуатировать: вносить в базу устройства контроля, следить за обновлениями и т.д. В противном случае, эффекта действительно не будет.

Приложения и сервисы

Итак, мы рассмотрели основные технические вопросы, необходимые для грамотного построения сетевой инфраструктуры и обеспечения безопасности. Имея необходимую базу, можно перейти к рассмотрению того, какие бизнес-сервисы позволит поддерживать построенная сетевая инфраструктура. Простая передача данных (копирование файлов, электронная почта), это тоже сервисы! И об этом нужно помнить.

Можно выделить следующие наиболее популярные сервисы, реализация которых требует использования описанных выше подходов, обеспечивающих надежность, безопасность, мультисервисность и управляемость:

1) Наиболее популярными являются решения передачи голоса, так называемая IP-телефония (VoIP), которая в текущий момент имеет много различных вариантов реализации, начиная с банального объединения всех существующих АТС между собой и заканчивая внедрением целого зонтика решений унифицированных коммуникаций (UC).

В случае UC в рамках всей сети кроме обеспечения базового вызова передачи голоса, обеспечиваются различные сервисы, такие как:

2) видеоконференций/передачи видео. Этот сервис может быть как интегрирован с решениями VoIP либо унифицированных коммуникаций, так и функционировать как отдельный класс. Выбор вариантов реализации зависит от того какой из них согласуется с бизнес-моделью работы компании. Хорошо зарекомендовало себя оборудование компания Tandberg, повсеместно поддерживающее стандарт HD с высокой четкостью передачи изображения. Основное преимущество этого сервиса в том, что вы можете сократить время и затраты на организацию совещаний, в частности командировки сотрудников, и в то же время увеличить эффективность общения за счет наличия визуального контакта и поддержания невербальной коммуникации с собеседниками. В любой момент можно собрать необходимую группу людей для обсуждения каких-либо вопросов, проведения обучения, интервьюирования кандидатов на работу. Этот же сервис может быть сфокусирован на обслуживание VIP-клиентов. В случае банка, клиент может прийти в любое отделение и посредством видеоконфенцсвязи оперативно поговорить с тем человеком, который его обслуживает.

3) Решения, связанные с системами физической безопасности, например, видеонаблюдение. Они также могут базироваться на IP и передавать данные со всех точек в рамках одной сети (естественно с необходимым уровнем безопасности и изоляции трафика).

4) Системы видео-рекламы - так называемый класс решений DMS (Digital Media Signage) который позволяет вам централизовано проводить трансляцию рекламы, информационных роликов и пр., как в одном здании, так и по всей корпоративной сети.

Итак, что же мы получаем в итоге. Любая современная компания уже или имеет, или планирует построить корпоративную или локальную сеть. Вы в любом случае используете и будете использовать сетевые услуги и сервисы, хотя бы тот же Интернет доступ.

Компания Инком, предлагает пересмотреть принципы хаотичного построения сетевой инфраструктуры и перейти к сбалансированной методологии ее построения, учитывающей все возможные влияющие факторы. На наш взгляд, только так вы сможете построить сеть, способную обеспечить поддержку бизнесу и позволяющую внедрять необходимые для бизнеса приложения и сервисы. В свою очередь, новые сервисы позволят вам повышать конкурентоспособность компании.