Статьи
КР №83 "Сетевое оборудование: выходим на новый уровень"
Модернизация сетевого оборудования зачастую ошибочно рассматривается клиентами IT-компаний как задача "второго плана". Хотя, по оценкам экспертов, применение новых технологий в области сетевых решений позволяет предприятию или организации выйти на более высокий уровень конкурентоспособности. В том, что инвестиции в сетевые технологии оправдывают себя достаточно быстро, убедились специалисты ЗАО "Нита-Фарм" (Саратов). Об интересном опыте построения в ЗАО "Нита-Фарм" первой и единственной на сегодняшний день в Саратове экранированной структурированной кабельной системы категории 6 "КР" рассказал в № 81. Проект, реализованный специалистами компании "Трайтек", получил свое развитие: перед руководством ЗАО "Нита-Фарм" встал вопрос необходимости выбора активного оборудования для обновленной СКС. Требовалось решение, обеспечивающее многоуровневую безопасность, высокую производительность и возможность расширения в будущем. Так как СКС позволяет подключать все рабочие места со скоростью до 1 Gbps, то полный отказ от 100 Mbps портов активного оборудования позволил бы в дальнейшем увеличивать скорость передачи данных только за счет замены сетевых адаптеров рабочих станций. Нами было предложено провести тестирование на типовом для компании программном обеспечении. Например, в "1С" сравнить результаты выполнения запроса при использовании как 100 Mbps-, так и 1 Gbps-технологий. Результаты проведенного тестирования оказались неожиданными. На локальном компьютере запрос выполнялся за 15 секунд, через 100 Мб/с сеть - за 150-180 секунд (отмечено увеличение времени в 10-12 раз), а при использовании гигабитных адаптеров - за 12 секунд. То есть через "гигабитную" сеть приложение работало быстрее, чем локально. Следует заметить, что эта ситуация не типична. В данном случае хороший выигрыш во времени получился из-за того, что в одном компьютере процессор работал только для передачи информации, в то время как другой в это время ее обрабатывал. Предлагаем читателю самостоятельно провести подобный эксперимент и убедиться в выгоде использования скоростных соединений. Рассмотрев предложенные специалистами "Трайтек" несколько решений от Cisco и D-Link, руководство "Нита-Фарм" остановилось на типовом решении компании D-Link: гигабитном стекируемом коммутаторе 3 уровня серии xStack DXS-3350SR. DXS-3350SR обладает функциональными характеристиками, присущими дорогостоящим модульным шасси, позволяет создавать масштабируемые и отказоустойчивые решения с жесткими требованиями по безопасности. Кроме того, по цене устройство сравнимо с обычными 100Mbps-коммутаторами других производителей. Важным преимуществом было и то, что примерно год назад компания D-Link вышла на новый уровень предоставления услуг на российском рынке сетевого оборудования и, в частности, предлагала оборудование для проведения тестирования, изучения его возможностей и качественную сервисную поддержку. Все коммутаторы DXS-3350SR могут настраиваться, обслуживаться и контролироваться с любой рабочей станции с установленным Web-браузером через единый IP-адрес. Стек управляется как единый объект, и все коммутаторы, входящие в него, определяются по одному IP-адресу. Web-интерфейс позволяет выполнять большинство задач управления и настройки, исключая необходимость установки дорогого и сложного программного обеспечения сетевого SNMP-управления. Это большой плюс с точки зрения управления сетью. Реализованная отказоустойчивость позволяет в случае выхода из строя одного из модулей выполнять все его функции через другой модуль. Устаревшие коммутаторы компании "Нита-Фарм" были заменены на два DXS-3350SR. Все имеющиеся в сети компьютеры, подключенные к новому стеку из двух 48-портовых коммутаторов, заполнили портовую емкость стека более чем на 80%. Сегодня практически все производители сетевого оборудования реализовали в своих продуктах поддержку многих интересных и полезных возможностей: поддержку виртуальных локальных сетей (VLAN), возможность объединения нескольких портов в одну группу для увеличения пропускной способности соединения и резервирования, фильтрацию и т. д. Создание VLAN'ов обеспечивает функционирование множества задач по обработке и передаче данных. Объединение группы пользователей или серверного оборудования в VLAN'ы изолирует данные, передаваемые внутри этой группы, от других пользователей локальной сети. В нашем случае использование VLAN'ов для изолирования серверной группы от отделов и других ресурсов сети обезопасило серверы от возможного дублирования IP-адресов - случайно сохраненных неправильных настроек или злонамеренных действий. Пользователь ограничивает прежде всего работоспособность в своем VLAN'е, не влияя на общую работу сети или серверов. Топология имеющейся сети была изменена и поделена на подсети, маршрутизация которых осуществляется на третьем уровне коммутации. Подобное терминирование VLAN'ов позволяет не только отказаться от отдельного маршрутизатора, но и существенно повысить производительность, получив скорость передачи пакетов 131 Mpps. При сегментировании сети имеющийся DHCP-сервер был настроен на выделение новых областей. Установленный на стеке DHCP-релей позволяет пересылать запросы на любой сервер для каждого VLAN'а. Мы закрепили каждый из VLAN'ов за своей областью на одном DHCP-сервере. Для разграничения доступа между подсетями, как правило, используются ACL (списки управления доступом), которые предлагают более тонкое управление правами в системе. Запретить доступ для двух подсетей не составило труда. Затруднения возникли при создании ACL для одностороннего доступа из одной подсети в другую. В отличие от маршрутизаторов, в DXS-3350SR правила формируются и обрабатываются не на фабрике коммутации, а фильтруются непосредственно на порту коммутатора. На внутреннюю шину поступают только пакеты, необходимые для пересылки по адресу назначения. Выяснив этот момент, мы смогли организовать работу сети в нужном нам режиме. На коммутаторах для определения порта, к которому подключено устройство, используется таблица MAC-адресов, позволяющая передавать данные между двумя устройствами так, чтобы остальные их не видели. Так как таблица MAC-адресов ограничена по размеру, в определенный момент она полностью заполняется и возникает угроза работе сети. Коммутатор начинает передавать входящие данные на все порты, принадлежащие VLAN, то есть имена пользователей, пароли и другая конфиденциальная информация становятся известны широкому кругу лиц. Во избежание подобной ситуации на части портов коммутатора нами было ограничено количество вхождений MAC-адресов. В таком режиме компьютер "привязан" к конкретному порту. Дальнейшее усиление безопасности сети было реализовано при помощи протокола аутентификации 802.1x для защиты от вторжений извне. При совместной работе с сервером эта функция предоставляет средства идентификации клиента прежде, чем ему будет предоставлен доступ в сеть на транспортном уровне. Имеющаяся сеть на базе ОС Microsoft® Windows® 2000, в которой в полном объеме реализована инфраструктура открытых ключей (PKI - Public Key Infrastructure), позволила установить центр выдачи сертификатов и радиус-сервер для обслуживания запросов от коммутатора, проводя проверку подлинности пользователей на уровне портов. В дальнейшем руководством компании "Нита-Фарм" планируется подключение к сети еще одной удаленной площадки. Это можно будет осуществить на базе дополнительного коммутатора, подключенного к стеку, с использованием оптического кабеля и XFT- модулей, и получить полосу пропускания 20 Gbps на расстоянии до 40 км. Многие отмечают, что настраивать и администрировать оборудование D-Link несколько непривычно. Я думаю, все зависит от компетенции специалиста, работающего с оборудованием: исходя из нашего опыта, для адаптации достаточно двух недель. В заключение следует отметить, что решение о модернизации СКС и сетевого оборудования - это всегда движение вперед. Ведь в итоге вы получаете современную локальную сеть, которая производительнее, надежнее и намного безопаснее существующей. опубликовано в IT-издании "Компьютерные решения" №80