ÚVOD
Bakalářská práce “Řešení infrastruktury počítačové sítě pro výrobní
podniky střední velikosti” byla vybrána zcela cíleně s ohledem na profesní
zodpovědnosti a znalosti vyžadované vykonávanou pracovní pozicí. Náplň práce je
ve firmě definována zodpovědností za funkčnost sítě, jejího konfigurování,
údržby a vývoje, díky které bylo možno zúročit nabyté pracovní zkušenosti a
dovednosti.
Stěžejními oblastmi jsou především segmentace sítě s ohledem
na jednoduchý troubleshooting neočekávaných situací a redundance řešení, ve
které je cílem dosáhnout nepřerušené služby i v případě výpadku
jednotlivého prvku řešení. Obzvlášť v dnešní době vysoké závislosti na
informačních technologiích je klíčová neustálá dostupnost všech součásti a
v případě krizových situací schopnost okamžitě reagovat a incident vyřešit.
Problémy související s dostupností služeb poskytovaných
uživatelům se zabývá každý administrátor. Efektivně navržená struktura může
minimalizovat dopady chyb hardwarových součástí, software a manuálních zásahů
uživatelů nebo administrátorů. V dnešní době je spousta podniků přímo
závislých na IT systémech a jejich nedostupnost může způsobovat nemožnost
vykonávat specifické úkony, až po znemožnění primárního účelu firmy včetně
výroby.
Redundance a provozuschopnost datových sítí je natolik obsáhlá tématika,
že je vhodné ji vnímat jako separátně oddělené znalostní okruhy. Mezi výše
zmiňované okruhy můžeme zařadit například bezpečnostní politiku pro přístup k datům,
vzdálený přístup, routovací protokoly na třetí vrstě OSI standardu, protokoly
zabraňující smyčkám a přidávající stabilitu na druhé vrstvě OSI standardu ale i
celková redundance řešení pro přístup k datům a službám obecně. Cílem je
především stabilita, která zamezí výpadkům poskytovaného řešení uživatelům.
Zaměření se na nepřerušení služby je zásadní, protože v době informačních
systémů mají prostoje zaměstnanci, kteří tvoří hlavní složku nákladů firmy.
Taktéž plnění termínů, na nichž je postavena věrohodnost, a dobré jméno firmy
jsou zásadní měrou ohroženy.
K ucelenému přehledu o všech návaznostech a výhodách je potřeba
znalost TCP/IP protokolu. Produktového portfolia společnosti Cisco, znalosti o
druhé a třetí vrstvě OSI, povědomí o funkcionalitě poskytované na úrovni
switchů, routerů a technologií obecně využívaných v síťovém prostředí firmy.
Práce se bude zabývat především návrhem designu počitačové sítě,
rozborem konfigurací jednotlivých zařízení a jejich přínosem pro funkcionalitu
sítě, při vysvětlení technologických standardů zvolených pro optimální
funkcionalitu za daných podmínek. Zároveň je kladen důraz na minimalizaci počtu
aktivních prvků pro snížení spotřeby elektrické energie, která je jedním
z důležitých cílů zhodnoceným v nákladech na dlouhodobý provoz.
Přidanou hodnotou řešení je zvýšená odolnost vůči výpadkům, kdy
není potřeba manuálního zásahu administrátora a služby zůstanou nadále
poskytovány uživatelům díky využití standardů, které automaticky přesunou
poskytované služby do nepoškozeného segmentu. Dále vysoká modularita řešení
umožňuje ať už přidávat další specificky využitelné části sítě nebo segmentovat
stávající. Tato vlastnost přináší administrátorům možnost efektivně začlenit
nové oblasti podnikání nebo rozdělit aktuální, ať je požadavek funční a nebo
organizační. Ve vnitropodnikových sítích je problematická analýza toku dat a
požadavků z jednotlivých částí sítě. Kvůli tomuto požadavku jsou začleněna
do klíčových míst designu zařízení, která díky podpoře netflow protokolu
pomohou řešit i tento druh monitorování stavu sítě.
Cílem bakalářské práce je poskytnout optimální řešení a nové
technologie společnosti Inventec (Czech) s. r. o. Zároveň lze věřit, že tato práce může
poskytnout návod dalším síťovým administrátorům, počítačovým nadšencům a lidem
zabývajícím se touto problematikou. Není účelem jakkoliv vnucovat aktuální a
plně optimalizovanou strukturu, ale topologie a principy využívané
v řešení lze používat při implementacích obdobného charakteru a rozsahu. Práce
obsahuje návrh síťové struktury, jsou v ní zmíněny aktivní prvky a výhody
spojené s jejich implementací, která bude z důvodu vysoké finanční náročnosti
závislá na finančních možnostech zaměstnavatele čerpat zdroje pro jejich
uvedení do provozu.
1
Teoretický základ aktivních prvků počítačové
sítě
Klíčovými požadavky na funkční vlastnosti sítě je především stabilní
komunikace s ostatními pobočkami, kde jsou umístněny ERP systémy. Dále poskytované
externí přístupy zákazníkům nebo pracovníkům, reportování o stavu sítě a
zpřístupnění externích zdrojů internetového prostředí, které znázorňuje Schéma č. 1.
Schéma
č. 1: Diagram datových toků počítačové
sítě
Zdroj: vlastní
Vzhledem k požadovaným vlastnostem, mezi něž patří lehké
ostranění závad, minimalizace nákladů, jednoduchá rozšiřitelnost a
škálovatelnost sítě a maximální míra odolnosti vůčí výpadkům byly využity
technologie minimalizující počet využitých aktivních prvků. Taktéž v míře
maximálně finančně únosné pro společnost se snažím využít nejnovějších
zařízení, které mají před sebou dlouhý užitkový potenciál. Od tohoto přístupu
jsem musel ustoupit u zařízení využívaných v přístupové vrstvě, protože
tato vrstva obsahuje velký počet zařízení, jejichž výměna by byla finančně
náročná a přínos pro společnost by spočíval především ve využití bezpečnostního
protokolu 802.1x, který není prioritou.
Zařízení první vrstvy jako repeatery, huby, bridge nejsou vůbec
použity a jejich funkcionalita je zastoupena vlastnostmi zařízení pracujících
na vyšších vrstvách OSI protokolu. Výhodou tohoto přístupu je transparentnost
vziklé sítě, která je dána omezením počtu aktivních prvků a tim i nižší
energetická náročnost poskytovaného řešení.
1.1
Vysvětlení typů použitých aktivních prvků
S vyjímkou firewallu, který pracuje na čtvrté vrsté OSI
standardu jsou využity téměř výlučně zařízení s hlavní funkcionalitou ve
druhé a třetí vrstvě. Tudíž se jedná o kombinaci switchů a routerů
s navázanými funkcionalitami a protokoly které jejich operační systém
umožňuje využívat.
Dále jsou využity prvky s vyloženě specifickým funkčním
využitím pro vzdálený a bezdrátový přístup jako jsou například IP KVM a
wireless controller.
1.1.1
Typy aktivních prvků
U switchů se jedná se o prvky pracující na druhé vrstě OSI
protokolu. Kromě toho také stále zastávají některé funkce, které má na starosti
vrstva první. Fungují jako opakovače fyzického signálu na síti. Na druhé vrstě hlavními
funkcemi switche jsou učení se MAC adresy z každého příjatého frame na
rozhraní a jeho následné zapsání do MAC databáze, na základě které probíhá rozhodování
o odfiltrování nebo přeposlání frame, čímž omezují kolizní doménu, což je
zdůrazněno ve Schéma č. 2 (provoz na
port po spojení se specifickou MAC adresou je provoz posílán pouze na ni) a
starají se o odeslání neporušeného frame cílovému zařízení. Dále se jedná o ochranu
proti vzniku fyzických smyček, ať už vytvořených náhodně nebo z důvodu
redundance. Spanning tree protokol je zodpovědný, aby vypnul port, který
vytváří smyčku a v opačném případě při náhodném vypojení stále umožňuje
propojení pomocí původně logicky odpojených portů. [2, s. 378]
Schéma
č. 2: Switch dělení broadcastové a
kolizní domény
Zdroj: vlastní
Routery jsou zodpovědny za směřování na bázi třetí vrsty OSI
protokolu. Když ethernetový rámec dorazí do routeru, tak se odstraní hlavička
z druhé vrstvy a router nadále přeposílá na bázi IP adresy třetí vrstvy. Routery
taktéž dělí kolizní a broadcastovou doménu, což znázorňuje Schéma č. 3, čímž omezují využití šírky pásma. Dále podporují
routovací protokoly, díky kterým jsou schopny využít optimálni cestu pro
doručení. Taktéž obsahují metody pro filtrování provozu, redundanci rout a
vytěžování šířky pásma
[4, s. 453].
Schéma
č. 3: Router dělení broadcastové
a kolizní domény
Zdroj: vlastní
Switche třetí vrstvy jsou LAN switche, které mají podporu
routovacích protokolů. Díky tomu mohou komunikovat se soudícími routery. Jsou
taktéž zmíňovány jako multivrstvé switche. Využití switchovacích technologií na
síťové vrstě dramaticky urychluje přeposílání packetů mezi připojenými VLANy.
1.1.2
Druhy základních využitých síťových protokolů
Na druhé vrstvě je využíván spanning tree protokol, respektivě
rapid spanning tree protokol, který byl vyvinut firmou Digital Equipmnet
Corpartion. Tato firma byla později koupena a přejmenována na Compaq. Aktuálně
se tato verze příliš nevyužívá, protože Institut pro elektrotechnické a elektronické
inženýrství později vyvinul jejich vlastní verzi spanning tree protokolu, která
se je využíván pod standardem 802.1D. V dnešních dnech je právě tato verze
defaultní pro všechny zařízení společnosti Cisco a není zpětně kompatibilní
s verzí od společnosti DEC. Jeho primárním účelem je zamezení smyček, tím
že odpojí druhý kabel, kterým by byl v topologii vytvořen kruh. Spanning
tree protokol využívá spanning tree algoritmus za jehož pomoci nejprve vytvoří
databázi aktuální topologie sítě, kterou se ujistí, že existuje kabel
způsobující smyčku. Pokud je takový stav detekován, tak jsou všechny
redundantní propojení logicky odpojeny tím, že port, do kterého jsou připojeny
je změněn do zablokovaného stavu.
Porty ve spanning tree protokolu mají několik stavů. Blokující
port nepřeposílá rámce, pouze naslouchá BPDU. Účelem je předejití využití
smyček pro posílání datového provozu. Při nastartování switche jsou všechny
defaultně všechny porty v tomto stavu. Naslouchající port přijímá BPDU,
aby se ujistil, že se v síti nevyskytuje smyčka, než přepošle rámec
k cíli. Učící se port naslouchá BDPU a učí se všechny cesty ve switchované
síti, ale neodesílá rámce. Přeposílající port je pak zodpovědný
z přeposílání rámců. Poslední stav portu je logicky vypnutý. Tento port se
nadále nezúčastňuje přeposílání rámců ani STP.
Port co má být odpojen je rozeznán podle čísla bridge, ten
s nejvyšším číslem je odpojen. Pokud jsou oba kabely z jednoho
zařízení a stejnou spanning tree prioritou, tak je odpojen port s vyšším
číslem.
Na třetí vrstě jsou využity statické routy a především dynamický
routovací protokol boarder gateway protokol, který se využívá pro routování
mezi autonomními systémy. Tento protokol je schopen poměřovat spousty metrik,
aby byl schopen determinovat nejvhodnější cestu pro routování packetů.
1.2
Začlenění do hierchického designu
Hierarchický design je využíván pro jeho přínos pro přehlednost
při definování počítačových struktur. Zařízení do něho začleněné nebyly
umístěny do specifických částí designu podle jejich fyzické lokace nebo podle
účelu daného segmentu sítě, nýbrž podle svého využítí pro přístup uživatelů, do
vzdálených poboček, serverů, či distrubuce datových toků uvnitř společnosti.
Takto vznikly čtyři základní zóny, do kterých byly umístěny
všechny aktivní prvky společnosti. Access vrstva je využita pro klientský
přístup a ve většině případů se lze využít rovnici, kde jeden port se rovná
jeden připojený uživatel. Server farm a datacenter je část sítě dedikovaná pro
přístup k serverům a využívá prvky s vysokou datovou propustností a
redundancí pro zamezení výpadku přístupu ke službě. Distribuční vrstva se zabývá doručováním informací napříč všemi segmenty
sítě [3, s.42]. Enterprise edge má na starosi konektivitu ke všem
externím zdrojům včetně přístupu do vzdálených poboček firmy. Core vrstva je agregována
do vrstvy distribuční, protože pro její vybudování je nákladné a není
dostatečně opodstaněné užitným přínosem.
2
Analýza
potřeb síťového vybavení výrobního podniku
Standardní počítačové sítě se stávají součástí života natolik
běžnou, že tento úsek práce se bude zabývat výhradně stavem ve výrobních
podnicích. Oproti standardnímu připojení pro domácnosti jsou zde
k nalezení zásadní rozdíly ve vztahu ke kvalitativním požadavkům na síťové
prostředí.
Základními parametry, které budou rozebírány, jsou především
odezvy sítě, šířka pásma, nároky na stabilitu a řešení krizových stavů.
2.1
Odezvy sítě
Ve vnitřním prostředí díky novým a technologicky vyspělým
zařizením by se měly pohybovat okolo jedné milisekundy. Je to ovšem deklarace
spíše odpovídající manažerskému pohledu na věc než technickému. Podíváme-li se
na problematiku blíže, tak je nutno položit si otázku k čemu vlastně tak
nízké odezvy sítě opravdu potřebujeme. Odpověď bude především kvůli aplikacím
pracujícím v reálném čase jako je VOIP, telekonference a video. Ostatní
aplikace jsou ovlivněny odezvou sítě jen minimálně a přínos nízkých odezev
se může omezit jen na pocitově těžko zjistitelné rychlejší reakce síťových
aplikací.
Pro výrobní podnik by odezva způsobená sítí neměla přesáhnout pěti
milisekund. Pokud vlastní odpověď sítě ve vnítřním prostředí přesahuje tuto
hranici, potom se pravděpodobně ve struktuře vyskytuje zařízení natolik
nevýkonné, že je zdrojem zbytečného zpoždění. Druhou podobnou možností může být
špatná konfigurace, ať už konfliktního rázu nebo jen nevhodná kombinace
využitých funkcionalit zařízení. Je nutno upozornit, že je nutností měřit
odezvu na zařízeních, se kterými jsme detailně obeznámeni, a které nemohou
svými vlastnostmi vyšší odezvu způsobit. Klasickým příkladem mohou být switche,
které jsou optimalizovány k funkcionlitě, ale odezvu pro měření mohou mít
vyšší nebo klienti osazené firewallem s inspekcí. Další kvalitativní
měření odezvy je v případě tohoto druhů sítí považováno více za
managerskou deklaraci, než za účelné vynakládaní prostředků pro jejich
vylepšení.
2.2
Šířka pásma
Obecně platí čím více, tím lépe. Jsou to ale účelně vynaložené
prostředky? Ano, ale jen ve specifických případech. Je nutné si uvědomit, že
při využívání klienta na získávání dat v objemu několika desítek megabytů
za měsíc je využití deseti gigabitové sítě plýtváním prostředků podniku.
V obnobných případech je lepší se spíše zaměřit na odezvu sítě
u klienta a případně šetřit náklady volbou levnějších aktivních prvků.
Pro VOIP řešení jsou kvůli výše zmiňované logice využity 100
megabitové switche, protože nárokům na šířku pásma pro hlasovou komunikcaci bez
problému dostojí. Pro běžné uživatele je k dispozici gigabitové připojení,
které je opodstatněné nyní již nízkými náklady na zařízení podporující tuto
přenosovou rychlost a vysokými náklady na uživatele, který je potenciálně
zdržován pomalou dostupností informací v případě stahování většího objemu
dat. Důležitou roli zde hraje taktéž psychika zaměstnance, které je možné
frustrovat pomalou dostupností IT zdrojů. Naopak vysoká propustnost datových
sítí je požadována v serverových farmách a datových centrech. Pokud je
dodržována struktura klient server, tak nám málo prospěje u uživatele vysoká
propustnost, když server bude disponovat propustností nižší. Také
k serverům přistupuje naráz více uživatelů, kteří se musí o datovou
konektitu k serveru dělit, což opodstaňuje i několik deseti gigabitových
připojení k serveru logicky spojené v jedno připojení. Tohoto
přístupu využijeme především u připojení CCTV serveru. Taktéž
v distribuční části sítě si nemůžeme dovolit žádné zařízení o nízké
rychlosti přenosu dat, protože by mohlo být zdrojem takzvaného úzkého krku při
připojování se k serverům anebo externím zdrojům. Naopak u Enterprise edge
datová propustnost většinou není kritická, protože její objem je determinován
rychlostí připojení od poskytovatelů, které bývají drahé, a proto nenabývají
vysokých hodnot. Rizikem však mohou být routery, VPN concentrátory a firewally
u kterých výrobci deklarují maximální přenosovou rychlost při dané
funkcionalitě a občas může být neočekávaně nízká.
2.3
Stabilita sítě
Je těžko možné si představit spokojené uživatele, kteří budou
využívat počítačovou síť s obrovskou datovou propustností, nízkými
odezvami a všemi kvalitativně měřitelnými výbornými hodnotami, ale bude nestabilní.
Je potřeba věnovat maximální pozornost, aby bylo takovému stavu předejito.
Z tohoto důvodu jsou do návrhu zakomponovány redundantní mechanismy, které
mají za úkol výpadkům předejít. Z pohledu výrobního podniku je ale potřeba
brát v potaz rozumné náklady na realizaci, proto nejsou využity všude, ale
jen na místech s výrazným dopadem na předmět podnikání.
2.4
Řešení krizových stavů
Optimální přístup ke krizovým stavům je zamyslet se, jak jim
vůbec předejít. Z tohoto důvodu je nezbytné zakomponovat maximální objem
redundantních mechanismů v míře pro podnik finančně únosné. Z výše
zmiňovaného vyplývá, že redundantní mechanismy nebude možné využít všude, těžko
si například představit zaměstnance který pracuje na dvou samostatně datově
připjených a napájených serverech v clusteru. Proto v síti dochází k její
segmentaci. Hlavní myšlenkou je omezit dopad výpadku jen na část sítě a tím
i ulehčit lokalizaci zdroje problému.
Dále se může jednat o kvalitní školení personálu zodpovědného za
řešení krizových stavů, ale tímto se práce nebude nadále zabývat.
2.5
Základní principy řešení problémů
Všechny zařízení je potřeba monitorovat přes SNMP protokol nebo
Netflow protokol. Tento druh dohledu poskytuje mnohé informace. Příkladem mohou
být varování o jejich síťové nedostupnosti, využití šířky pásma jednotlivými
protokoly nebo využití jejich systémových prostředků. Možnosti tčchto zpráv
generovaných širokou škálou komerčních i nekomerčních řešení jsou opravdu
široké. Přes vysokou variabilitu informací co mohou být automaticky zasílány
odpovědným osobám, je i nadále nezbytné znát základní sadu příkazů. Na klíčová
místa struktury sítě byly vybrány především zařízení společnosti Cisco, která
disponují promyšleným rozhraním CLI, a které historicky dlouho využívají
relativně konzistentní příkazy pro zobrazování základních systémových
informací.
2.5.1
Základní zásady pro práci s kabeláží
Kabeláž musí být vedena ve vyvázaných svazcích, aby se dalo
mluvit o organizované kabeláži. Toto sice stěžuje identifikování jednotlivého
kabelu v tomto svazku, ale dle ukončení svazku se dá okamžitě určit oblast
připojená právě tímto vedením. Dále je nuto využívat k uspořádanému vedení
na delší vzdálenosti žlaby. V případě, že kabeláž končí na místě
s nedostatkem zásuvek a nevadí snížená přenosová rychlost
z gigabitového ethernetu na fast ethernet, se osvědčuje používat T-Mod
adaptery. Ty díky fyzickému využití všech osmi pinů, oproti fastethernetovému
standardu, který využívá piny pouze čtyři, zvýší počet zásuvek z jedné na
dvě. K tomuto zapojení jsou zapotřebí dvě tyto zařízení, které jsou
zobrazeny na Obrázku č. 1.
Obrázek
č. 1: T-Mod adaptér.
Zdroj: vlastní
2.5.2
Základní příkazy pro diagnostiku problémů z příkazové řádky
Príkazy, které by měly být využívány pro prvotní identifikace,
jsou typu show.
Sh switch slouží ke
kontrole stacku. Mezi jinými zobrazuje informace, jestli všichni členi stacku
jsou v něm aktuálně korektně zařazeni.
Sh stack–power neighbor
je využíván ke kontrole napájecího stacku, jestli se všechny switche v něm
nainstalované navzájem vidi.
Sh log zobrazí ukázka
syslogu daného zařízení.
Sh int status error–disable vyfiltruje zařízení ktere jsou v errorovém
stavu.
Sh processes CPU history
se používá k zobrazení historie mikroprocesoru za posledních šedesát vterin, šedesát
minut a sedmdesát dva hodin
Sh processes CPU zobrazuje aktuální využití
procesoru procesy pro aktualni troubleshooting
Není zde cílem popsat všechny příkazy pro diagnostiku, ale
zdůraznit několik zásadních, které efektivně a s nízkou náročností na
požadovaný čas umožní administrátorovi základní orientaci v problému.
3
Výběr a
opodstatnění navrhovaných prvků
Kapitola se zabývá výběrem a opodstaněním využitých prvků. Jejich
výběr je dán různými kritérii, některé jsou funkční, jiné naopak jsou zase ve
vztahu k ceně či nebo podmíněné jejich fyzickou dostupností z minulosti.
Taktéž pojednává o aspektech podnikání, které způsobí výpadek jednotlivých
zařízení, hrajících v designu sítě klíčovou roli. Tyto detaily jsou
graficky znázorněny v Příloze č. 3: Mapa
výpadků. Tuto analýzu je potřeba provést především kvůli nákladům spojeným
s jejich pořízením, které jsou výraně vyšší ve srovnání s ostatním prvky
struktury.
3.1
Výběr prvků
Prvky jsou navrženy tak, aby byly schopny požadovaného výkonu,
funkčnosti, měly před sebou dlouhý životní cyklus a podporu. Z těchto
důvodů jsou zvoleny především zařízení společnosti Cisco, které podporují mnoho
propritárních i veřejných standardů a jejich podpora díky silné společnosti
nebude nečekaně přerušena. Pro klíčové části řešení jsou použity zařízení
podporující netflow protokol, který umožňuje detailní analýzu jím
procházejících datových toků, což je především v LAN sítích problém těžko
řešitelný
a zařízení v akceptovatelné cenové hladině pro tyto účely není mnoho.
3.1.1
Cisco 2960
Switch druhé vrstvy z produktové řady Cisco Catalyst 2960 je
vhodný pro střední sítě
s potřebou bezpečností a gigabitového ethernetu. Z původního záměru využít
tento switch pro implementaci bylo ustoupeno především kvůli restrikcím
v konfiguraci. Zcela klíčová funkce etherchannel pro spojování více
fyzických portů do jednoho logického je podporována jen pro šest případů. Toto
je zcela zásadní restrikce z pohledu začlenění tohoto zařízení do serverových
farem nebo pro začlenění vyšší kvantity než pěti switchů pod něj, protože
ostatní by postrádali toto klíčové nastavení z pohledu redundance. Absence
deseti gigabitového modulu přes metalické vedení mě donutila udstoupit
z uvažováné implementace pro bezpečnostní systém.
Nadále je uvažováno o přepínačích třetí vrstvy produktové řady
3750, která výše zmíněné restrikce nemá.
3.1.2
Cisco 3750X-48T-S
Toto zařízení v datovém i power stacku je využito jako
klíčový prvek infrastruktury, přes který různé segmenty sítě komunikují mezi
sebou. V případě jeho výpadku nebudou schopny serverové farmy komunikovat
s žádným klientem, zdroji umístněnými v internetu a ani
s klienty. Stejný dopad má případný výpadek i na klienty a zdroje umístěné
vně společnosti. Dalším požadavkem na zařízení je možnost zaintegrovat do něj
některé routovací protokoly a tím snížit počet zařízení participujících na
funkcionalitě, co je zdrojem omezení pravděpodobnosti výpadku. Pro výše zmíněný
důvod využijeme verzi IOSu IP Base, která obsahuje podporu protokolů třetí
vrstvy. 48 portová verze je využita pro počet VLANů které je potřeba propojit
přes toto zařízení
Schéma
č. 4: Výpadek ústředního prvku
struktury
Zdroj: vlastní
Schéma č. 4 znázorňuje
dopad výpadku vlastně klíčového zařízení. Jeho následkem jsou okamžitě všichni
uživatelé odpojeni od serverových farem. Tím je postihne okamžitá nedostupnost
všech firemních zdrojů, protože ve společnosti je zachovávána striktní
klient – server struktura. Stejně je to i se zdroji na
internetu. Routování z VLANů pro uživatele do internetu okamžitě
přerušeno. Stejným způsobem je routováno do vzdálených poboček a i když
vzdálené pobočky zůstanou připojeny, tak ani administrativní servery nejsou schopny
s nimi nadále komunikovat. Produkční segment sítě zůstavá nadále bez
výpadku, protože jeho servery jsou umístěty ve stejném VLANu a tudíž stále
dostupné. Problém produkce ovšem zůstává v komunikaci produkčních serverů
se vzdálenými pobočkami, kde jsou umístněny ERP systémy. Kvůli této nemožnosti
toku dat zůstávají produkční servery neupdatovány, takže další produkce je
nezávislá jen do té míry dokud nevyrobí všechny zakázky do výrobních systému
stažené před výpadkem sítě.
Hlasová komunikace je i nadále funkční přes připojení providera,
ale VOIP trunky do dalších poboček jsou nefunkční, protože data z telefonní
ústředny nejsou schopny doroutovat až ke statickým VPN propojům do dalších
poboček.
CCTV monitorovací řešení nadále plně nahrává všechny události
dějící se ve společnosti
a security je stále schopna operovat jako při standardním provozu, ale
uživatelé s pravomocemi pracovat s řešením jsou v době výpadku
od řešení odříznuti.
Vzdálený přístup přes firewall je nefunkční, protože uživatelé se
nebudou schopni autorizovat proti doméně. ILO a IP KVM nejsou schopny fungovat.
Bezdrátové řešení není schopno navázat LDAP autorizaci proti
domain kontrolerům a je nefunkční. Tento druh výpadku je nanejvýš
kritický a v jeden čas může zasáhnout až 320 uživatelů.
3.1.3
Cisco 3750X-48T-L
Tyto switche pracující na třetí vrstvě 0SI protoklu jsou zvoleny
pro serverové farmy. Klíčovými požadavky na ně jsou především vysoký počet
portů a neomezený počet etherchannelů, kterými je možné redundantně připojit
servery. Pokročilé routovací funkce nejsou požadovány, proto je zvolena verze
IOS LAN Base.
Schéma
č. 5: Výpadek switchů pro serverové
farmy
Zdroj: vlastní
Výpadky těchto layer 3 switchů, které jsou pro tyto konkrétní
účely využívány na druhé vrstě musí být rozděleny, protože jejich dopady jsou
velmi odlišné. Schéma č. 5 je proto
níže rozepsáno na dvě části.
V případě 2a jsou uživatelé úplně odříznuti od
administrativní serverové farmy, internetového připojení i možnosti komunikovat
se vzdálenými pobočkami. Což resultuje v nemožnost pracovat se SAPem a
administrativními systémy. Nadále zůstává možnost využívat prodkuční servery,
ale jen s aktuálními daty, není možné stáhnout nové zakázky. Také
expedování vyrobených produktů je nemožné, protože výrobní systém předává informace
nezbytné pro úspěšné odeslání EDI signálů SAPu. Zaměstnanci vykonávající
činnost z lokací vně společnosti se nebudou schopni se přihlásit do
vnitřní sítě, protože pouze dosáhnout na vnější VPN koncentrátor, ale
neproběhne autorizace proti doméně. Vnitřní komunikace přes VOIP a hlasová
komunikace do veřejné telefonní sítě nebudou zasaženy, ale VOIP trunky do
vzdálených poboček Inventecu budou nefunkční. IP KVM
a ILO vzdálené přísupy zůstanou nadále plně funkční pouze pro vnitropodnikové
využití. CCTV řešení zůstává plně funkční, avšak nedostupné pro pracovníky
vykonávající svou činnost fyzicky vně společnosti.
Bezdrátové řešení není schopno navázat LDAP autorizaci proti
domain kontrolerům a je nefunkční. Tento výpadek okamžitě zasáhne až
140 uživatelů
V případě výpadku 2b jsou odříznuty produkční servery od
produkčních klientů a zbytku sítě. Tento stav okamžitě kompletně ochromí
kompletní výrobu, že zaměstnanci mohou provádět pouze nevýrobní operace.
Produkční servery jsou kompletně odstaveny od zbytku sítě, takže nemohou být
updatovány ani jinak spravovány. Oproti tomu administrativní část sítě zůstává
nedotčená, komunikace se zákazníkem může probíhat jak prostřednictvím
internetu, emailové komunikace, VOIP a jiných. Taktéž nenástává žádný dopad na
spojení s ostatními částmi společnosti. I přes výše zmiňované zůstává
dopad na společnost vysoce kritický, protože může okamžitě zasáhnout až 180 pracovníků
produkce.
3.1.4
Cisco 3750X-24T-L
Zde jsou zvoleny zařízení obsahující 24 portů a nejnižší možnou
verzi IOS. Ve struktuře pod nimi budou zapojeny přístupové switche pro klienty
ve výrobním segmentu firmy. Vzhledem k plně využívanému prostoru
v produkční části společnosti není pravděpodný další nárůst zařízení pod
ně připojených, proto není uvažováno o víceportové verzi. Klíčovým zůstává
podpora etherchannelu pro všechny porty, aby všechny aktivní prvky byly
připojeny redundantně.
Schéma
č. 6: Výpadek switchů zodpovědných za
datovou konektivitu aktivních prvků na produkční hale
Zdroj: vlastní
Ve Schématu č. 6 je
zobrazen výpadek switchů, pod které jsou zařazeny ostaní produkční switche.
Každý z těchto výpadků switchů znamená okamžitý dopad na zaměstnance
produkční oblasti. Tento dopad je zhruba rovnoměrný, protože každý obsluhuje
zhruba polovinu produkční haly, ale liší se částmi produkčního procesu, které
jsou postižené. V prvním případě je okamžitě vyřazena z provozu kompletace
serverů, pozice pro vyměňování vadných částí a první inspekce kvality.
Ve druhém případě je postižen test ukostření, finální inspekce
kvality, pozice zodpovědné za balení produktu a kompletní struktura pro
expedici.
Oba tyto výpadky lze nadále považovat za kritické, protože každý
z nich má dopad na devadesát zaměstnanců.
3.1.5
Cisco ASA5512-K9
Zařízení ASA5512 je využito jako firewall na primárním přístupu
do internetu a VPN koncentrátor. Jsou na něm zakončeny dynamické Ipsec tunely
uživatelů, kteří přistupují z veřejného internetu, což jim umožní pohodlný
přístup ke všem firemním zdrojům
a pravidla firewallu a pro NAT. Network address translator
je využit ve dvou variantách. Statický NAT společně s pravidly
definovanými access listem je použit pro přístup na servery ze specifických
rozsahů vnější sítě a restriktován pouze na specifické služby. K této
restrikci je využito definice portů služeb na čtvrté vrstvě OSI. Naproti tomu
dynamický NAT je využit pro přístup mnoha uživatelů z vnitřní sítě jen
přes jednu IP adresu veřejnou. Bohužel produktová rodina zařízení ASA
nepodporuje stackování, které by umožnilo využít kompletní zdroje obou zařízení
naráz a proto je nutno přistoupit k řešení active – standby, kdy obě
zařízení mají nakonfigurovanou jednu statickou IP adresu a jedno zařízení je
primární a tím funkční. Sekundární zařízeni repetivně zasílanými zprávami
zjišťuje dostupnost primárního zařízení na síti a v případě jeho
nedostupnosti přebírá jeho funkcionalitu, aniž administrátor by musel přikročit
k manuální konfiguraci. Nevýhodou konceptu je aktivita pouze jednoho
zařízení v daný čas, ale není zásadním způsobem na obtíž, protože konektivita
do internetu je stále nejméně propustným místem, které i jedno zařízení zvládne
plně obsloužit.
Schéma
č. 7: Výpadek hlavního firemního
firewallu
Zdroj: vlastní
Schéma č. 7 znázorňuje
výpadek firewallu. Vnitropodnikové služby a konektivita ke vzdáleným pobočkám
zůstanou plně zachovány. Problémy způsobuje jiným způsobem. Není možné se
připojit z lokací vně společnosti, což znamená okamžitou nedostupnost
všech zdrojů pro pracovníky vykonávající svou činnost z domů, pro
uživatele na pracovních výjezdech, ale i nedostupnost služeb pro všechny mobily
a tablety. Dále není možné z vnitřních prostor společnosti využívat zdroje
internetu i odesílání emailů ven ze společnosti není možné, ale přijímání
emailu zůstává nezasažené díky přesměrovávání z dalších poboček. Všechny
servery se službami pro externí společnosti jsou nedostupné
a není možné využívat vzdálenou kontrolu přes ILO a IP KVM. Tento stav má dopad
především na administrativní pracovníky, protože produkční klienti jsou drženi
jen ve výrobním segmentu sítě.
3.1.6
Cisco 3750X-24P-L
Důvodem pro instalaci zařízeni Cisco WS-C3750X-24P-L je především
jeho vysoká propustnost, podpora PoE a možnost instalace modulů komunikujících
přes kroucenou dvojlinku rychlostí deseti gigabitů. Na krátkou vzdálenost, kde
je připojen k serveru fungujícímu jako primární úložiště a poskytujícímu
ovládací rozhraní security řešení je optické připojení zbytečnou komplikací.
Starosti vzbuzují především fyzické vlastnosti optického kabelu, ale i
akceptování optických modulů základní deskou například po upgrade IOS.
Podporované PoE je využito pro napájení přes datové vedení. Díky tomu není
třeba vest elektrické napájení až k bezpečnostním kamerám, které se často
nacházejí
v těžko dostupných místech.
Schéma
č. 8: Výpadek switchů pro CCTV řešení
Zdroj: vlastní
Výpadek znázorněný ve Schématu
č. 8 ovlivní výlučně
monitorovací řešení. Zcela zásadním aspektem je nedostupnost jejich serverů.
Vzhledem k jejich funkcionalitě kdy slouží jako úložiště pro data stream,
ale i jako primární instalace security systému, tak vyřazení je zcela
kompletní. Kamery zapojené přímo do těchto switchů i přímou cestou přestanou
běžet, protože jsou napájeny přes PoE, ale proti ostatním tento stav není
nevýhodou. Zbytek kamer zůstává běžet, ale jejich datový stream je ztracen a
není možné se k nim připojit, aby byly v realném čase využity pro
monitorování. Tento stav představuje pro společnost zásadní riziko, protože
všechen monitoring včetně archivovaných záznamů je po dobu výpadku nenávratně
ztracen.
3.1.7
Cisco AIR-CT2504-25-K9
Nasazením wireless kontroleru oproti bezdrátové struktuře
sestávající se z jednotlivých access pointů je získáno hned několik výhod.
Administrace z jednotného rozhraní, které přináší zvýšenou úroveň
zabezpečení eliminací repetivních manuálních zásahů a zařízením designovaným
specificky pro konsolidaci bezdrátové komunikace. Taktéž access pointy jsou
schopny automaticky přesouvat uživatele z jednoho na druhý, když se
pohybuje, aniž by uživatel zaznamenal přerušení služby. Tato funkcionalita je
klíčové specificky pro aplikace, které obsahují bezpečnostní mechanismus, který
uživatele odpojí, když se v krátkém časovém intervalu připojí
z různých míst sítě. Tohoto stavu se dá dosáhnout velice jednoduše pohybem
po objektu.
Schéma
č. 9: Výpadek wireless kontroleru
Zdroj: vlastní
Při výpadku znázorněném ve Schématu
č. 9 všichni uživatelé okamžitě přijdou o bezdrátové připojení. Tento stav
je nebezpečný především proto, že některé lokace jsou obsluhovány výlučně
bezdrátovým připojením. U administrativních uživatelů toto znepokojení není
zásadní, protože všichni zaměstnanci, kteří jsou vybavení desktopy, mají i
pevné připojení přes metalickou kabeláž a uživatelé vybavení notebooky jsou
vysoce flexibilní a mohou se přemístit na místa kde je drátové připojení
k dispozici. Největší znepokojení vyvolávají desktopy s pouze
bezdrátovým připojením umístěné na produkci. Ty není možné jednoduše připojit
kabelem a navíc ohrožují posloupnost výrobního procesu. Aby se předešlo těmto
celkovým výpadkům, budou rozmístěny po společnosti stand alone access pointy,
které se autorizují proti doméně přes RADIUS server. Využitím této struktury by
vzniklo několik SSID, což je matoucí z pohledu uživatelů a nevhodné
z pohledu IT správy. Proto tyto samostatně stojící zařízení během běžného
provozu nebudou zapnuty, ale pouze nainstalovány na předem definovaných
lokacích. Jejich start bude řešen pomocí kolébkového vypínače a napájení PoE,
které bude posíláno přes patch panel, jak je vyobrazeno na Obrázku č. 2.
Obrázek
č. 2: Kolébkový vypínač pro PoE
Zdroj: vlastní
Díky nasazení samostaně stojících access pointů a samostatného
napájení vyplývá, že implementace bezdrátového kontroleru je především spojena
s flexibilitou a pohodlím uživatelů a její výpadek nezpůsobí kritický stav
síti.
3.1.8
Prvky přístupové vrstvy
Nejsou optimalizovány pro poskytnutý užitek, ale jsou využity
především zařízení, které nebylo potřeba nově pořizovat. I tyto zařízení však
pro uživatele musí poskytovat gigabitovou rychlsot připojení a podporovat funkci
etherchannel, aby mohly být připojeny minimálně ze dvou na sobě nezávislých
aktivních prvků. Tento přístup je odůvodněný především cenou nákupu, ale i
relativně nízkým počtem zasažených uživatelů v případě výpadku.
4
Design sítě, vytvoření síťové mapy a konfigurace
aktivních prvků
Cílem této kapitoly je poskytnutí konkrétních nákresů, návrhů a
konfigurací jednotlivých zařízení, aby poskytly přehled, ze kterého je možno
vycházet při aplikaci řešení. Dalším výstupem je mapa prvků pro řešení závad,
které grafickou formou navázanou na klíčové součásti konfigurace umožní
efektivní identifikaci závad.
Pro transparentnost vysvětlovaných funkcí, je využit nejdříve
logický design zobrazený
v Příloze č. 1, kde jsou vyčleněny
všechny prvky, které nejsou zásadní, a zaměřuje se pouze na klíčové vlastnosti
sítě a na nich zdůrazňuje logické návaznosti. Naopak fyzický design v Příloze č. 2 už zakresluje skutečný
stav, včetně všech zařízení a kabeláže.
4.1
Logický design sítě
K vytvoření byly použity standardní značky využívané
společností Cisco systems. Není zde snaha zakreslit všechny prkvy participující
na síťovém řešení, ale jsou zakresleny jen klíčové součásti, na kterých je
vysvětlena funkcionalita síťe. Jedná se o maximální možné zjednodušení, jehož
účelem je určit směr řešení, prezentace managementu, ale ne přesné zakreslení
skutečného stavu.
Prvkem nejzásadnějšího charakteru je Cisco 3750x-48T-S, které
segmentuje síť do více subnetů, kde každý subnet má definován vlastní VLAN.
Cisco 3750x-48T-S je switch pracující na 3. vrstvě OSI protokolu což je klíčové
pro troubleshooting. Vzniká tak segmentace sítě, broadcasty se nedostanou do
dalších subnetů, dokud není zadán příkaz IP helper-address. To je zásadní
z pohledu zahlcování šířky pásma, ale i při službách jako DHCP, kdy
spuštění druhého DHCP serveru neznamená výpadek pro celou síť, ale pouze pro
subnet, který byl neautorizovaným DHCP serverem zasažen [9, s. 353]. Konfigurace
VLANu je dynamická, což vyžaduje, aby byly nakonfigurovány až na zařízeních
druhé vrstvy zařazením access portů do patřičného VLANu. Dále využívá
dynamického routovacího protokolu boarder gateway protocol v kombinaci
s poníženou prioritou statické routy, aby zůstalo zachováno připojení do
matčiné části společnosti, kde běží služba SAP, spam brána pro příchozí emaily,
VOIP komunikace a další. Díky tomuto designu je automaticky switchováno ze
statické EVPN služby (běžící na fyzické kabeláži poskytované O2) od společnosti
AT&T na statické VPN tunely konfigurované a udržované společností Inventec
na Ciscu 2811. Tato konektivita pak využívá odlišného providera - společnost Maxprogress, aby byla zajištěna
odolnost proti výpadku na straně providera.
Pro přístup do firmy z internetu a naopak z firmy do
internetu má nejvýznamnější postaveni firewall Cisco ASA 5512. Uživatelé a
služby jsou routovánín z vnitřní sítě donuceni přistupovat do internetu
přes tento firewall, kde jsou definovány access control listy omezující provoz
který je nežádoucí. Taktéž jsou nastaveny statické NATy pro přistup zařízení,
které potřebují veřejné IP adresy a NAT s overloadingem (PAT) pro přístup užívatelů
vnitřní sítě do internetu. Taktéž funguje jako koncentrátor dynamických VPN
klientů.
Pro přístupovou vrstvu jsou využity především gigabitové switche DGS
3224 TGR jejich hlavní výhodou je jejich fyzická prezence ve společnosti a
podpora technologie port group, která je kompatibilní z Cisco technologií
etherchannel. Z výše uvedených důvodů vyplývá nutnost nulových investic,
dostatečná podpora podpora protokolů a akceptovatelná šířka pásma pro provoz
datových aplikací.
4.2
Fyzický design sítě
Se snaží o vyčerpávající zakreslení všech nuancí fyzického
zapojení a všech aktivních prvků, které participují na poskytovaném řešení pro
koncového uživatele. Barvami jsou ohraničeny specifické lokace. I v něm je
rezignováno na detaily, které nemají vliv na finální funkcionalitu jako
například zapojení portů do nekonfigurovaného switche, který pracuje
v nativním VLANu.
4.3
Popis síťových schémat
Zde je možné si zvolit mezi dvěma variantami popisu. Jednak je
možné se vydat cestou popisu fyzického rozložení prvků, kde se půjde
v topologii od vnějšího připojení WAN nebo providerů internetového
připojení, přes strukturu aktivních prvků, využitých protokolů až po klientské
přístupy. K pochopení schématu však lze vnímat jako vhodnější logické
dělení zobrazené v Příloze č. 1,
které bude následně rozebráno.
4.3.1
Klíčový prvek struktury
Klíčovým prvkem struktury je switch pracující na třetí vrstě OSI
protokolu. Díky tomu je schopen omezovat broadcastovou doménu a zajistí
intervlan routing. Tyto dvě vlastnosti jsou klíčové pro segmentaci sítě a
budoucí troubleshooting. Jejích zásadními výhodami jsou omezení broacastů jen
pro daný VLAN, čímž je radikálně uspořena šířka pásma pro ostatní aplikace na úkor broadcastového vysílání,
které často jen zahlcuje síť. Pokud ovšem broadcastové vysílání je
zásadního rázu pro funkčnost sítě a potřebuje být šířeno napříč všemi VLANy (v
našem případě se jedná například o DHPC nebo PXE), tak lze definovat tyto
povolené prvky příkazem ip helper-address (povolená IP adresa), kdy jsou pak
broadcasty posílány do všech segmentů sítě a daná služba tedy může tedy běžet
jen na jednom zařízení. Klíčového významu toto dělení nabývá v případě
troubleshootingu. Například v našem konkrétním případě uživatel pustil
neautorizovaný DHCP server. Pokud by se jednalo o nesegmentovanou topologii
sítě, tak tato akce znamená přímý dopad na všechny uživatele sítě, kteří budou
náhodně dostávat informace o IP adrese, kterou mají využívat od jednoho ze dvou
aktuálně běžících serverů. Taktéž by se tento neautorizovaný DHCP server mohl
fyzicky nacházet v jakékoliv lokaci sítě. Rozdíl při segmentaci na VLANy
je zřejmý. Namísto výpadků objevujících se po celé síti, bude zasažen pouze
jeden VLAN, kde neautorizovaný DHCP server běží, což výrazně omezí počet
zasažených klientů i plochu kde tento server může být umístěn. Dalšími
případy kde se obdobně projeví výhody dělení na VLANy jsou například virové
infekce nebo funkční poškození aktivních prvků, kdy nebude zahlcena celá síť,
nýbrž jen její VLAN. V aktuálním designu tedy jen kolem jedné patnáctiny
sítě.
4.3.2
Způsob vytvoření VLANů
Do catalystu WS-C3750X-48T-S jsou připojeny všechny switche,
které poté definují VLAN. Zde je možno využít dva základní druhy přístupu
k řešení daného problému. Prvním je staticky definovaný VLAN na úrovni
portu. To znamená, že daný port má fixně zadané číslo VLANu a rozsah IP adres
pod ním běžícím. Tato implementace selhává především při jakékoliv alternaci
s kabeláží. Klienti v případě špatného zapojení kabeláže mají jiný
přidělený jiný rozsah IP adres, než který je přidělen danému portu, což ústí
v jejich okamžitou nefukčnost. Tomuto stavu předcházíme jednotnou
konfigurací portů, kdy VLAN je definován až na zařízení druhé vrstvy. Nevýhodou
je především potenciální hardwarový pád těchto switchů. Dopady takového stavu
je však možné minimalizovat exportem konfigurací a následným uploadem
v případě potřeby. Nevýhodou zůstává nemožnost definovat na komunikaci
specifických VLANů mezi sebou (například nechceme, aby produkční klienti mohli
do administrativní sítě, zatímco servery tento přístup potřebují) na úrovni
trunkových portů, protože bychom ztratili variabilitu zapojení kabeláže. Tento
nedostatek je odstraněn filtrem jemnějším a detailněji nakonfigurovatelným –
access listem.
4.3.3
Využití access listů
Access list na WS-C3750X-48T-S je používán k omezení
přístupu produkčních klientů do jiného než výrobního VLANu. Zde už je vidět
první důvod nezbytnosti access control listu, protože naopak od produkčních
klientů servery dedicované do výrobního VLANu pro jejich přímou spojitost
s výrobním systémem potřebují dosáhnout externích zdrojů. Aplikováním
access listu na vnitřní rozhraní Vlanu čtyři v Příkazovém řádku č. 1 se dostane možnost omezit specifické
klienty, aniž by se omezil koncept volně zapojitelných portů.
|
interface Vlan4
|
|
ip address 10.13.4.254 255.255.255.0
|
|
ip access-group 1 in
|
Příkazový řádek IOS č. 1: Aplikování access listu na VLAN
Zdroj: vlastní
Dále je potřeba IP adresy, které mohou přes daný access list
procházet, v našem případě to jsou aktivní prvky a servery.
access-list 1 permit
10.13.4.158
access-list 1 deny any
Příkazový řádek IOS č. 2: Implicitní pravidlo access listů
Zdroj: vlastní
Poslední řádek konfigurace access listu v Příkazovém řádku č. 2 definuje implicitní pravidlo všech
access listů, že je potřeba zahodit všechen ostatní nedefinovaný síťový provoz.
Není ho třeba psát, ale je zmíněno pro transparentnost konfigurace.
4.3.4
Prevence smyček na kabeláži
Dalším zásadním principem využitým pro zvýšení stability sítě je
spanning tree protokol, respektivě jeho novější verze rapid spanning tree
protokol. Jedná se o řešení, které umožňuje sítím rezistenci vůči podobným smyčkám
v kabeláži jako je znázorněno ve Schématu
č. 10.
Schéma č. 10 Ukázka smyčky na druhé vrstě OSI protokolu
Zdroj: vlastní
Je potřeba definovat root bridge což je aktivní prvek, který bude
mít nejvyšší prioritu portů (nejvyšší prioritu má prvek s nejnižším
přiřazeným číslem). Poté jsou definovány prvky s nižší prioritou.
V případě, že se v kabeláži objeví smyčka, tak port zařízení
s nejnižší prioritou je automaticky přenastaven do logicky zablokovaného
stavu. Pokud chceme vyřadit tuto logiku z kontrolování, tak zadáme spanning-tree
port fast, což má za následek funkčnost zařízení okamžitě po zapojení, ale
riskujeme výskyt smyček, které mohou mít fatální následky.
4.3.5
Využití VLANů
Pod switchem třetí vrstvy jsou zapojeny switche, které vytvářejí
VLANy se specifickými účely, kterou jsou níže popsány.
VLAN1 je nativní. To znamená, že je automaticky šířen, pokud není
nakonfigurováno jinak. Bývá ve většině domácích řešení použit pro veškerou
komunikaci, aniž by vlastníci sítě věděli, že ho používají. Pro nás je
z výše uvedených důvodů ideální pro administraci síťových zařízení. Budeme
ho tedy nadále využívat pro konfiguraci aktivních prvků pro přístup na ně přes
telnet, http nebo https a ssh.
VLAN2 je pool IP adres, které jsou přiřazovány pracovníkům, kteří
se připojí na VPN koncentrátor – v našem případě totožný
s firemním firewallem Cisco ASA5512x. Odtud nadále vzdálení pracovníci se
chovají jako logičtí členi firemní sítě a s vyjímkou nezbytnosti zapnutého
Cisco VPN klienta, limitací šířkou pásma, kterou mohou využívat od svého
poskytovatele připojení a šířkou pásma co mohou využít z připojení
Inventecu jsou schopni pracovat identicky jako když jsou fyzicky přítomni
v kanceláři.
VLAN3 je využíván jako serverová farma pro administrativní
klienty. Taktéž aktivní prvky, na které je zaměřeno routování a tím pro ně není
optimální nativní VLAN, tak se nacházejí ve VLANu3. V tomto VLANu je
výrazně omezena funkce DHCP, protože případná změna IP adresy by měla kritické
důsledky. Bylo uvažováno i o rezervaci dané IP adresy pro specifická zařízení,
ale ani tento přístup nebyl zvolen, protože do funkcionality serverů by
zbytečně zasahoval DHCP server, který v tomto případě znamená pouze riziko
spojené s vlastní funkčností v kontrastu s jednoduchou manuální
IP konfigurací. Navíc tato IP konfigurace probíhá pouze jen jednou a poté už ji
může ovlivnit pouze výpadek na úrovni vlastního zařízení. Vnější přístup do
tohoto segmentu je ovlivněn nastavením firemního firewallu ASA5512, který nutí
uživatele vnitřní sítě přistupovat přes firemní proxy server, protože ostatní klienti
mají http a většinu ostatních protokolů zakázaných. Naopak FTP přístupy na
stažení dat z venkovního prostředí jsou povoleny. Taktéž v tomto
segmentu se nachází servery pro dohledávání dat zákazníků. Pro jejich
zpřístupnění je na firewallu definován statický NAT, který mapuje jedna
k jedné veřejnou IP adresu na IP adresu z rozsahu vnitřní sítě.
Nadále jsou potřebné protokoly povoleny jmenným access control listem.
VLAN4 je dedikován pro výrobní účely. Kvůli standardně využívané
masce sítě 255.255.255.0 je možno do produkce přidělit jen 253 klientů. Zde je
potřeba změnit masku 255.255.254.0 a tím rozšířit počet klientů na 507. Tento
segment je kritický z pohledu dopadu výpadku na počet zasažených
pracovníků. V případě vytížené výroby v jeden moment tento výpadek
může zasáhnout přibližně až 200 pracovníků. Z tohoto důvodu je mu potřeba
věnovat maximální pozornost z pohledu redundance. Ve výrobní serverovně je
potřeba jeden pár switchů v datovém i napájecím stacku, taktéž každou
polovinu haly obsluhuje pár switchů ve stacku jak datovém, tak napájecím. Tyto
stacky jsou propojeny pokažde dvojicí kabelů, kdy každý je tažen ze
samostatného switche, aby v případě výpadku jednoho switche zůstalo řešení
plně funkční. Tyto dvojice kabelů jsou poté logicky spojeny v jeden
technologií etherchannel, která oproti technologii hot standby je schopna
využít plnou přenosovou rychlost obou fyzických kabelů. Pod těmito stacky
switchů jsou zapojeny jednotlivé switche s jediným redundantním mechanismem –
etherchannel obsluhovaný přes dva porty kde je každý připojen z jiného
switche. Protože jejich výpadek má dopad maximálně na dvacetdva produkčních
klientů (dvacetičtyř portový switch se dvěma porty pro uplink). Tyto switche
jsou nadále rozmístněny po hale, aby mohly pokrýt výrobní proces.
VLAN30 je využíván pro vzdálenou správu a administraci serverů.
Nejedná se o běžně využívané techniky vzdálené správy, ale o varianty pro
řešení krizových stavů. Především jde o klíčové vlastnosti, které nepotřebují
funkční servery na úrovni operačního systému, ale proprietární Hewlett Packard
technologií ILO je možné se připojit i na fyzicky vypnutý server. Přistupuje se
přes webové rozhraní, kdy ILO je připojeno přes RJ45 konektor a zůstává
napájeno i když je server vypnutý. Díky této vlastnosti je možno emulovat ve
webovém prohlížeči i tlačítka reset a vypnutí a zapnutí elektrického proudu.
Dále jsou přístupny logy systémových čidel na úrovni BIOSu a v ILO
advanced, což je placená verze, ve které je dostupná varianta adekvátní remote
desktopu běžící ve webovém prohlížeči. IP KVM switche umožňují stejně jako
standardní KVM kontrolovat s užitím jedné myši, klávesnice a monitoru více
serverů. Rozdílem je IP přístup na tyto IP KVM switche přes webový prohlížeč
s podporou Javy. Díky této vlastnosti je možné server kontrolovat v jakékoliv
části bootování, včetně konfigurace BIOSu z pohodlí kanceláře nebo domova.
VLAN33, VLAN35 – VLAN40 jsou běžně konfigurované VLANy využívané
pro přístup administrativních klientů. Mají za úkol omezit úroveň broadcastů a
velikost prostoru kde by byly využívany, čímž přispívají ke stabilitě
prostředí, propustnosti sítě a troubleshootingu řešení.
VLAN31 je využíván pro VoIP (Voice over IP). Do veřejné sítě je
připojen přes PRI (ISDN30), která je adekvátní přenosovou rychlostí symetrické
2 Mbps lince, je schopna obsloužit v jeden moment až 30 souběžně
probíhajícíh hovorů a je zakončena v telefonní ústředně Alcatel Omni PCX.
Z ústředny jsou vyvedena připojení na čtyři základnové stanice, co
obsluhují DECT bezdrátové telefonní přístroje. Deskové stolní přístroje jsou
připojeny pomocí IP sítě, kdy jsou i její pomocí napájeny přes power injektors
– Planet POE 1200 standartem power over ethernet. Komunikace do vzdálených
poboček probíhá dle interního číslovacího plánu, přes IP trunky a hlasový
protokol H323. Poté co je definována voice gateway, tak jsou packety doručeny
na zařízení Cisco3750 a nadále routovány k cílům stejnými pravidly jako
ostatní síťový provoz.
VLAN32 je využit pro testovací síť HPDiags. Je v ní okolo 30
serverů, které pro komunikaci ve více sítích využívají přebridgování pomocí
většího počtu NIC (network interface card). Z tohoto vyplývá jejich možnost
komunikovat se všemi fyzicky oddělenými sítěmi, do kterých jsou připojeny.
Důvod jejich připojení v tomto případě je pouze možnost administrovat tyto
servery vzdáleně z administrativní sítě, přistupovat na ně
z internetu a administrovat testovací síť prostřednictvím těchto serverů.
VLAN34 je nastaven pro CCTV řešení. Využit je switch
s minimálně dvěmi rozhraními pracujícími na desetigigabitovém ethernetu.
Důvodem jsou extrémní požadavky na rychlost komunikace se servery
uchovávajícími video stream z IP kamer. IP kamery mohou být v první
fázi umísťovány do aktualní struktury, pokud všechny switche budou napájeny
z UPS (uninterruptible power supply). Tím by byla zajištěna jejich
funkčnost i v případě výpadku elektrického proudu, která je nezbytná,
aby ostraha mohla i nadále vykonávat svou činnost a nezůstala bez video záznamu
ve chvílích přerušení distribuce elektrické energie z veřejné sítě. Pokud
by výpadek proudu byl delší dobu, funkčnost UPS zastupuje diesel agregát.
V případě instalace vyšší kvantity kamer nebo požadavku na vysoký počet
snímků za vteřinu ve vysokém rozlišení, by bylo potřeba vybudovat samostatnou
strukturu přímo podřazenou pod stack switchů pro IP kamery.
VLAN41 – 44 Jsou identické svým využitím jako VLAN33, VLAN35 –
VLAN40. Rozdíl tvoří jejich umístění na produkční hale.
4.3.6
WAN připojení
Řešení pro připojení WAN a vzdálených poboček Inventecu. Ze
zařízení
Cisco WS-C3750X-48T-S je obsluhován vnitřní rozsah české pobočky v rozsahu
10.13.0.0/16 díky definovaným VLANům. Další části jsou už směrováný statickými
routami:
1. ip route 0.0.0.0 0.0.0.0
10.13.3.2
2. ip route 10.0.0.0
255.0.0.0 10.13.3.5
3. ip route 10.8.15.60 255.255.255.255
10.13.3.1
4. ip route 10.13.2.0
255.255.255.0 10.13.3.2
5. ip route 143.162.128.0
255.255.252.0 10.13.3.5
6. ip route 161.114.4.160
255.255.255.224 10.13.3.5
7. ip route 192.168.0.0
255.255.0.0 10.13.3.5
Příkazový řádek IOS č. 3: Routy
Zdroj: vlastní
První routa v Příkazovém
řádku č. 3 je obecná, která směřuje všechen detailněji nespecifikovaný
provoz na 10.13.3.2 což je firewall brána do internetu. Zde je namístě zmínit,
že takové pravidlo na prvním místě definice rout není kolizní, protože statické
routy se rozhodují podle “best fit” pravidla. Toto pravidlo říká, že IOS, nebo
jiný operační systém aktivního prvku projde všechny statické routy a poté daný
provoz pošle na prvek pracující na třetí vrstvě OSI protokolu, který má
nejpřesnější shodu cílové IP adresy s prefixem ip routy. Druhá routa na 10.0.0.0
255.0.0.0 10.13.3.5 posílá všechen vnitřní provoz na cisco 1841 které už je
navázané na BGP protokol na EVPN připojení od AT&T a sekundární route má
nastavenou na záložní VPN statický tunel od společnosti Maxprogress. Třetí
routa využívá sekundární VPN tunely na zálohování na server 10.8.15.60. Čtvrtá routa
je pro připojení vzáleně pracujícíh přes dynamický Cisco VPN klient. Pátá,
šestá a sedmá routa jsou specifické rozsahy sítí přístupné přes vnítřní
routování ve struktuře Inventecu.
4.3.7
Cisco 3750 s BGP protocolem a statickou
routou
Cisco 3750 je v zásadním prvkem z pohledu routovacích
protokolů.
router bgp 65109
no
synchronization
bgp
log-neighbor-changes
network
10.13.0.0 mask 255.255.0.0
neighbor
10.13.3.3 remote-as 65001
no
auto-summary
ip route 10.0.0.0 255.0.0.0 10.13.3.1 200
Příkazový řádek IOS č. 4: Podpora BGP
Zdroj: vlastní
V Příkazovém řádku č.
4 vidíme označení routeru pro boarder gateway protocol, vnitřní rozsah
české sítě a informaci na který sousední router má být provoz odesílán.
10.13.3.3 je prvním routerem ve struktuře, který je udržován společností
AT&T. Je k němu přes AUX port připojen modem, který je ve struktuře za
ISDN BRI, aby bylo možno na něj přistoupit i v případě, že celá IP síť
bude nefunkční. Dále na posledním řádku konfigurace je zásadní součástí
konceptu statická routa s poníženou prioritou na 200. Čímž dosahuje nižší
priority než routy naučené boarder gateway protokolem a tím je z ní routa
sekundární, což znamená, že bude využita v případě nedostupnosti primární
routy definované boarder gateway protokolem.
4.3.8
Allot enforcer
Před 10.13.3.3 směrovačem společnosti AT&T se ještě nachází
zařízení Allot NetEnforcer AC-402. Jedná se network accelerator, jehož účelem je
komprimovat přenášená data a tím uspořit šířku pásma nezbytnou pro komunikaci.
Obzvláště při WAN implementacích nasazení podobných zařízení může přinést
velkou úsporu v nákladech snížením rychlosti propoje, kterou je nezbytné
si objednat od poskytovatele. Samozřejmostí je nezbytnost druhého zařízení na
opačné straně propoje, aby mohlo provoz dekomprimovat a nadále ho poslat ve
standardním tvaru.
4.3.9
Připojení do internetu
Pod připojením od O2, které se skládá ze dvou spojených
symetrických metalických okruhů o rychlosti 2 Mbps a které poskytovatel prodává
pod marketingovým názvem IOL digital je připojeno Cisco 1721. Přímo pod ním je
do switche SMC 108-DT připojeno
4 Mbps z internetu a poté hlavní firemní firewall ASA5510. Důvod
přítomnosti SMC switche je čistě pro troubleshooting. Přes něj se dá odstínit –
případně i fyzicky odpojit kompletní struktura Inventecu. Po připojení a
statické konfiguraci diagnostického zařízení na SMC switch, se dá otestovat
stav sítě O2, což poskytuje jasnou argumentační základnu pro další vyjednávání
s poskytovatelem. V minulosti bylo na místo SMC switche uvažováno o
instalaci hubu. Tento plán byl opuštěn kvůli rizikům spojených
s bezpečností. Jedná se především o vlastnost hubu, kdy toto zařízení
automaticky broadcastuje traffic přijatý z jednoho portu na všechny porty
ostatní. Kolizní doména tímto vzniklá by neznamela problém, protože v hubu
by byly aktivní maximálně tři porty. Rizikem se především jevilo, že při
neautorizovaném přístupu do serverovny by útočníkovi stačilo pouze fyzicky
připojit datový kabel do hubu, nastavit IP konfiguraci a zprovoznit na
klientovi sniffer. Poté by mohl analyzovat všechen provoz mířící z a do
internetu. Pod SMC switchem je zapojen firewall ASA5510, který funguje jako VPN
koncentrátor pro pracovníky fyzicky v továrně nepřítomných. Taktéž na něm
běží dynamický NAT pro přístup klientů do internetu, statické naty pro
specifické služby poskytované vnitřní struktrou společnosti a sada pravidel
omezujících provoz z a do internetu nastavená přes jmenný access list.
4.3.10
Záložní VPN tunel a připojení pro návštěvníky
Záložní připojení do vzdálených poboček Inventecu a přístup pro
hosty je postaven přes symetrické připojení s rycholstí 4 Mbps od společnosti
Maxprogress. Hned gigabitovým konventorem optického připojení CS-1300 je switch
od společnosti D-Link DES1008D. Je využit k prostému rozdělení připojení,
aby mohlo být využito pro dva účely. Důvod proč není sofistikovaněji přidělena
šířka pásma je především míra vytíženosti připojení. Jak záložní VPN propoje na
vzdálené pobočky Inventecu, tak připojení pro návštěvníky je zatížené
minimálně. Pro návštěvníky je využito Cisco1841, které plní jak funkci DHCP
klientu, tak dynamického NATu a statického NATu. Dále jsou jeho pomocí
filtrovány cílové MAC adresy, co mají zakázaný přístup do internetu. Za Ciscem
1841 se už nachází pouze pár switchů a access pointů které jsou bez restrikce
přístupné komukoliv. V dnešní době není běžné mít bezdrátové přístupové
body nezabezpečené, ale vzhledem k lokaci společnosti v polích
centrálního technologického parku zatím nebyl zaznamenán incident spojený
s jeho zneužitím zásadnějšího rázu. Tyto nedostatky vyvažuje možnost
využívat přístupové body bez konfigurace na straně uživatele.
4.4
Konfigurace klíčových zařízení
Jde o zdůraznění konfigurací prvků zásadního významu a vysvětlení
jejich funkce v konečném designu sítě. Budu využívat pouze fragmenty
konfigurace, protože na některých zařízeních výrazně přesahují rámec součástí,
co chci demonstrovat, a dosahují stovek řádků.
4.4.1
Cisco 3750
Cisco 3750 je klíčovým prvkem zdůrazněným v Příloze č. 2 pod označením 3750X-48T-S. Na jehož základě dochází k
segmentaci vnitřní síť. Touto konfigurací je umožněno vytvořit na prvku
k němu připojeném vlastní VLAN, aniž by administrátor byl zatěžován, do
kterého portu patří daný patch kabel. Taktéž na tomto prvku probíhá základní
routování ve vnitřní struktuře společnosti.
|
spanning-tree extend
system-id
|
|
spanning-tree vlan 1-4,30-45 priority 4096
|
|
!
|
|
vlan internal allocation policy ascending
|
|
!
|
|
vlan 3-4,30-45
|
|
!
|
|
!
|
|
!
|
|
interface GigabitEthernet0/1
|
|
description To_DGS-3224TGR-1
|
|
switchport trunk encapsulation dot1q
|
|
switchport trunk allowed vlan 1-4,30-45
|
|
switchport mode trunk
|
|
switchport nonegotiate
|
|
|
nterface GigabitEthernet0/2
|
|
description To_DGS-3224TGR-2
|
|
switchport trunk encapsulation dot1q
|
|
switchport trunk allowed vlan 1-4,30-45
|
|
switchport mode trunk
|
|
switchport nonegotiate
|
|
Příkazový řádek IOS č. 5: Elementární konfigurace 3750X-48T-S
Zdroj: vlastní
Na začátku Příkazového
řádku IOS č. 5 jsou zmiňovány pro spanning tree protokol, který zabraňuje
využitím smyček v kabeláži na úrovni druhé vrstvy OSI protokolu tím, že
port vytvářející smyčku je logicky odpojen. Tím se zamezí poslání poničených
rámců a broadcast stormů, které by se mohly šířit ven ze segmentu sítě pod
tento port připojený. Dále následují klíčové příkazy pro dynamickou
konfiguraci VLANů. Jedná se o VLANy, které bude nadále přeposílat a o
encapsulaci, kterou bude využívat. Dot1q je otevřený standard pro výrobce
síťových zařízení, díky kterému je možné připojit variabilní druhy různých
výrobců síťových prvků. Dále je klíčový schwitchport mode trunk, který
umožňuje začlenit komunikaci více VLANů přes jeden fyzický port. Konfigurace
nadále pokračuje dalšími porty dle konfigurace switche, ale ty už nejsou
zmiňovány, protože jejich nastavení je obdobné.
|
|
interface Vlan1
|
|
ip
address 10.13.1.254 255.255.255.0
|
|
interface Vlan3
|
|
ip
address 10.13.3.254 255.255.255.0
|
|
ip
helper-address 10.13.3.11
|
|
ip
helper-address 10.13.3.55
|
|
!
|
|
interface Vlan4
|
|
ip
address 10.13.4.254 255.255.255.0
|
|
ip
access-group 1 in
|
|
ip
helper-address 10.13.3.11
|
|
Příkazový řádek IOS č. 6: Konfigurace VLANů
Zdroj: vlastní
V Příkazovém řádku č. 6 jsou dynamicky
nastavené VLANy i s definováním interface, které může být využito jako
první hop, tedy default gateway. Touto adresou je taktéž asociován tento
switch třetí vrstvy, co se nadále stará o routování dat dále v síti.
Dále je definována ip helper address, protože router zabraňuje broadcastům do
dalších segmentů, ale v případě služeb jako DHCP nebo PXE by bylo krajně
neefektivní mít pro každý segment vlastní server, tak jsou tímto příkazem
povoleny broadcasty pro specifické adresy i z jiných VLANů. Dále je
potřeba zmínit aplikování access listu na VLAN4, kterým jsou kompletně
zakázány přístupy produkčních klientů ven z produkčního segmentu sítě.
access-list 1 permit 10.13.4.138
access-list 1 permit 10.13.4.137
access-list 1 permit 10.13.4.136
access-list 1 permit 10.13.4.140
access-list 1 permit 10.13.4.158
access-list 1 deny any
|
Příkazový řádek IOS č. 7: Konfigurace access listu
Zdroj: vlastní
Příkazový řádek č. 7
je ukázkou základního access listu povolujícího vybraným produkčním klientům
opustit výrobní segment sítě. Vzhledem k logice rozhodování access listů,
která vždy vybírá od vrchu první pravidlo, které může využít a okamžitě ho
použije, tak poslední řádek zabraňující všem nedefinovaným pravidlům je irelevantní,
protože je vždy implicitně použit. Byl zapsán především pro transparentnost
konfigurace.
4.4.2
Cisco 2811
Je prvkem, pomocí něhož jsou postaveny VPN tunely do ostatních
částí Inventecu. Tato funkce je důležitá především pro integraci vysokého počtu
služeb jako emaily, ERP systémy, VOIP a další. Jeho lokace je zakreslena v Příloze č. 2 pod označením Cisco 2811.
|
router ospf 101
|
|
router-id 8001887182145
|
|
log-adjacency-changes
|
|
redistribute static subnets route-map
icz_static_to_ospf
|
|
network 192.168.107.32 0.0.0.31 area 0
|
|
!
|
|
ip route 0.0.0.0 0.0.0.0
85.93.121.129
|
|
ip route 10.13.0.0 255.255.0.0
10.13.3.254
|
|
!
|
|
no ip http server
|
|
no ip http secure-server
|
|
!
|
|
ip access-list extended
IESC
|
|
permit ip 10.13.0.0 0.0.255.255 10.6.111.0
0.0.0.255
|
|
permit ip 10.13.0.0 0.0.255.255 10.6.112.0
0.0.0.255
|
|
permit ip 10.13.0.0 0.0.255.255 10.6.113.0 0.0.0.255
|
|
permit ip 10.13.0.0 0.0.255.255 10.6.114.0
0.0.0.255
|
|
permit ip 10.13.0.0 0.0.255.255 10.6.115.0
0.0.0.255
|
|
permit ip 10.13.0.0 0.0.255.255 10.6.116.0
0.0.0.255
|
Příkazový řádek IOS č. 8: Konfigurace routovacího protokolu
Zdroj: vlastní
Výše zmiňovaná konfigurace pojednává o nastavení začlenění
routeru do struktury routovacího protokolu open shortest path first a nastavení
access control listu, ve kterém je využíváno logiky first hit, čímž jsou
minoritní součásti sítě nejprve zakázány a na konci povoleny větší rozsahy
sítě. Dále je na zařízení povolen přístup přes http, aby v prohlížeči bylo
možno efektivně určit stav zařízení.
4.4.3
Cisco 2960
Je běžný switch druhé vrstvy, který je využit na vytvoření VLANu.
Díky této konfiguraci nezahlcují broadcasty tohoto segmentu sítě ostatní a jsou
základním prvkem pro troubleshooting daného rozsahu sítě.
ip subnet-zero
!
spanning-tree mode pvst
no spanning-tree optimize
bpdu transmission
spanning-tree extend
system-id
!
interface GigabitEthernet0/1
switchport access vlan 31
switchport mode access
spanning-tree portfast
!
interface GigabitEthernet0/24
description To_Cisco3560_port2
switchport trunk allowed vlan 1,31
switchport mode trunk
!
interface Vlan1
ip address 10.13.1.31 255.255.255.0
!
ip http server
Příkazový řádek IOS č. 9: Konfigurace switche tvořícího VLAN
Zdroj: vlastní
V Příkazovém řádku č.
9 jsou zdůrazněny základní principy fungování switchů druhé vrstvy, které
v interakci se switchem 3750 třetí vrstvy segmentují síť. Je
nakonfigurován k využití nultého subnetu, spanning tree protokolu, ale
především interface GigabitEhernet0/1 ukazuje, jak má porty přiřazeny do
specifického VLANU a příkazem switchport mode access donucené příjímat provoz
právě jen z tohoto jednoho VLANu. Tento koncept je základní pro omezení
nadbytečného provozu. Na interface GigabitEthernet0/24 je naopak nastavené
trunkování VLANů, díky kterému je možné přistupovat na IP adresu switche, která
je definovaná pod VLANem jedna. Jako poslední je zmíněn příkaz pro zapnuté webové
administrativní rozhraní switche.
5
Řešení
pro high availability a redundanci
Pojem high availability jde z pohledu uživatele vnímat jako
možnost využívat danou službu bez nenadálých přerušení nebo aspoň tyto stavy
minimalizovat s ohledem na požadavky podnikání. V aktuálním případě je
tato problematika dělena na neustálou přístupnost k datům na serverové
úrovni, minimalizovaní síťových výpadků, vzdálené ovládání a vzdálený přístup
k IT službám.
Pro tyto účely jsou zvoleny nástroje jako HP ILO (Integrated
Lights-Out), HP NIC teaming, RAID, clusterování aktivních prvků, aplikaci
remote desktop či její alternativy, IP KVM konzole, telnet nebo ssh a Cisco
dynamické VPN.
5.1
Technologie pro vzdálenou správu
Vzdálená správa v podnicích zaměřujících se vysokou
dostupnost IT služeb nabývá stále vyššího významu. Její zásadní výhodou je
možnost korekce chybových stavů, konfigurace a přístup k firemním zdrojům
bez nutnosti být fyzicky přítomen v místě kde jsou alokovány.
Některé firmy došly tak daleko, že na nástrojích pro vzdálenou
správu postavili účel oddělení o mnoha zaměstnancích. Typickými příklady tohoto
typu podnikání jsou především technologické firmy jako IBM nebo HP. Přes
možnost využívat vzdálenou podporu od externí firmy, stále je idealní mít to
zajištěné vlastními zaměstnanci. Jedná se
o loajalitu, která se projevuje zájmem o přímý dopad akce, znalostí toho dopadu
na zaměstnance a též primární motivací prospěchu pro svého zaměstnavatele. Na
druhou stranu externě poskytovaná vzdálená správa může dosáhnout vyšší kvality
danou robustnostní týmu a nástrojů který je pro tento účel vyčleněn. Zásadním
problémem zůstává motivace externích týmů, kterou tvoří profit třetí strany.
5.1.1
Technologie ILO
ILO pochází z anglického sousloví Integrated Lights-Out a
jedná se o proprietární HP technologii aplikovanou v serverových řadách. iLO je
obdoba technologie Lights Out Managment, kterou nějakým způsobem implementují
všichni přední výrobci serverových technologií, jako jsou například DELL a jeho
DRAC a IBM Remote Supervisor Adapter. HP iLO je možné najít na serverech Proliant
společnosti HP od řady G1 tehdy poskytovaná pod názvem Lights Out 100, až po
nejnovější servery řady osmé genrace, které využívají technologii iLO ve verzi čtyři.
Tato funkce serverů je vložena do samostatného integrovaného
obvodu, který zůstává napájen i v případě fyzického vypnutí serveru. I zde
máme limitace, jako že dodávka elektrického proudu musí zústat nepřerušena a
síťová struktura na cestě k serveru musí zůstat funkční, protože
technologie ILO komunikuje přes ethernet. Z počítače ovládajícího server
využíváme internet explorer nebo jiný prohlížeč, tudíž se vyhneme omezující
nezbytnosti instalovat distribuční balíček dodavatele třetích stran. Za splnění
těchto podmínek dostáváme skvělou funkcionalitu, která spočívá například
v emulaci fyzického tlačítka pro „tvrdý reset“, samostatné (na operačním
systému nezávislé) logování systémových událostí, dynamicky se aktualizující
rozhraní zobrazující informace shromažďované systémovými čidly a další.
Rozhranim pro ILO je RJ45, které lze připojit stejně jako
standardni síťovou kartu běžného zařízení. ILO je schopné automaticky začít
fungovat, pokud síť disponuje DHCP a DNS službou. Pokud nejsou funkční, je
možné ILO konfigurovat manuálně pro využití statické IP adresy. Zneužití je
chráněno standardní přístupovou politikou, kde je potřeba znát uživatelské
jméno a heslo. Vlastní ILO produkt taktéž podléhá licenční politice společnosti
Hewlett-Packard, takže ve standardní verzi je limitována například vzdálená
kontrola typu remote desktop přes ILO nebo nástroje hromadné správy. Vzhledem
k časovým omezením vyšších řad licencí znamenající nutnost je neustále
dokupovat, se budu nadále zabývat pouze variantou základní. Funkcionalitu vyšších
verzí ILO je možné nahradit jinými nástroji, které není nutné periodicky
kupovat, a tudíž postrádají repetivní charakter nákupu, který při rozhodování nejvíce
vadil. Pro použití byly klíčové funkce dostupné už u verze standard.
Obrázek č. 3: Seznam stavu monitorovaných součástí přes ILO
Zdroj: vlastní
Overview tato položka obsahuje přehled informací o stavu serveru
a jeho komponentách. System information je využita ke zobrazení přehledu o jednotlivých hardwarových komponentách serveru.
Summary se jak sám název napovídá, stará o celkové shrnutí informací o systému.
Fans v sobě udržují informaci o aktuálním stavu ventilátorů. Temperatures evidují
teplotní stav jednotlivých komponent. Záložka power eviduje informace o stavu
zdrojů a aktuálním odběru energie. Processors obsahují detailnější popis
použitých procesorů. Memory mají na starosti popis operačních pamětí a včetně
fyzického osazení do jednotlivých slotů. NIC information nese informace o
využívaných síťových kartách a v drives jsou základní informace o použitých
discích
iLO Event Log je log sloužící pro uchování informací o akcích
prováděných přes webové rozhraní.
Do Integrated Managment Logu se zapisují informace o problémech
především hardware. Funguje zároveň jako jakýsi záznam o opravách. Jednotlivé
chyby zapsané je možné označit jako vyřešené, nebo opravené a vytvářet své vlastní
poznámky. Není však možné je přidávat k již existujícím záznamům, bez
ohledu na to jestli byl záznam vytvořen systémem nebo uživatelem.
Pod volbou diganostic je možné resetovat iLO. Tuto operaci je
nutné provádět zřídka a to při zaseknutí systému nebo po úpravách jako jsou
firmwarové updaty apod. Vzhledem k tomu, že iLO je navrženo tak, aby bylo
nezávislé na ostatním hardwaru nebo operačním systému, nemůže iLO reset nějakým
způsobem ovlivnit chod systému samotného serveru.
Záložka insight Agent odkazuje na HP System Managment Homepage. Toto
slouží především pro přehledné zobrazování reportů o daném serveru,
generovaných za pomocí HP Insight Agentů
Obrázek č.4: Rozhraní nahrazující tlačítko start
Zdroj: vlastní
Virtual power Button a jeho funkce znázorněné v Obrázku č. 4 je nejjednodušší
a nejužitečnější funkce systému iLO. Umožňuje vypnutí a samozřejmě také zapnutí
serveru bez ohledu na to v jakém stavu se právě nachází. Vše co je k tomuto
potřeba je síťová konektivita a funkční iLO port. Pro přehlednost jsou uváděny
možnosti zapnutí a vypnutí serveru
Graceful Power On je stisk tlačítka, který provede akci podle
nastavení OS, je doporučeno využívat tuto možnost pouze pro zapnutí serveru.
Force Power Off je stisknutí a podržení tlačítka, vynucené
vypnutí. Není dostupné, pokud je server vypnutý.
Force System Reset je standartní reset po kterém následuje teplý
start. Tato volba není dostupná, pokud je server vypnutý.
Force Power Cycle je volba po které nastane takzvaný studený
start. Není dostupny, pokud je server vypnutý.
Power configuration settings jsou využívány k nastavení akcí
spojených s vypnutím nebo ztrátou napájí serveru.
Auto Power-On má za úkol automatický stav serveru po jeho
vypnutí.
Power on delay definuje dobu, jak dlouho server čeká, než opět
zahájí bootovací sekvenci. Jsou na výběr dvě varianty a to minimální a náhodné
zdržení trvající až dvě minuty. Toto zdržení je efektivní především po výpadku
proudu, kdy náhodné zdržení opětovného nabíhání serverů snižuje maximální
elektrickou spotřebu, čímž může zamezit přetížení elektrických jističů a jejich
následnému spadnutí.
Obrázek č. 5: Systémové logy udržované rozhraním
ILO
Zdroj: vlastní
Na Obrázku č. 5 jsou
logy sytému ILO, jejichž zásadní výhodou je nezávislost na operačním systému.
Díky této skutečnosti lze v nich sledovat historii i v případě, že
logy systému jsou nedostupné.
5.1.2
Remote desktop
Služba Remote desktop umožňuje promítnout plochu vzdáleného
počítače na lokální monitor a virtuálně se vzdáleným strojem pracovat jako by
byl operátor u něj fyzicky přítomen. Je proprietárně poskytovaná společností
Microsoft. Není ovšem ničím jedinečná proti svým předchůdkyním typu VNC běžícíh
jak v prostředí linuxu, tak v prostředí Windows, která se běžně
vyskytuje pod GPU licencí a je tudíž volně šiřitelná a využívaná. Hlavními
důvody, proč se remote desktop dočkal majoritního využití, spočívají
v jeho prezenci na všech operačních systémech firmy Microsoft novějších
než verze označované Windows 2000 a starší. Mezi jeho hlavní výhody patří
jednoduchá konfigurovatelnost, možnost kopírovat z clipboardu na vzdálený
počítač, možnost navázat víc uživatelů na jednu relaci a v jeho celkové
integraci s ostatními systémovými nástroji.
Jedná se o síťovou službu využívající protokol TCP/IP. Pro
zprovoznění přístupu na vzdálený počítač je potřeba systémovou službou spustit
démona naslouchajícího na 3389, definivat uživatele kteří mohou přistupovat a
zvolit verzi šifrování.
5.1.3
Cisco VPN
Cisco VPN má několik mutací od web VPN přes anywhere clienty. Web
VPN má hlavní výhodu, že může být používáno na všech počítačích s moderním
webovým prohlížečem. Hlavní nevýhody spočívají v omezeném rozsahu služeb,
ke kterým jde přes něj přístoupit
a také každá služba musí být jednotlivě konfigurována. Naproti tomu pro využití
VPN přes anywhere klienty je nezbytné nejprve nainstalovat instalační balík
distribuovaný ve spustitelném formátu [11, s 310]. Po instalaci a připojení se
je minimalizováno jakékoliv nastavování, protože klient dokáže automaticky
změnit i routovací tabulku počítače, který se začne chovat identicky jako by
byl v lokální síti. Jedinou limitací zůstává šířka pásma domácího
připojení a firemního, za kterým je připojen VPN koncentrátor.
Vzhledem k nízkému počtu povolených VPN klientů a
k administrativním restrikcím pro jejich využívání (uživatel musí získat
potvrzující podpis manažera) byla zvolena verze šířená přes instalační balíček,
která je zvýrazněna na Obrázku č. 6.
Další výhodou je, že pro užívání není potřeba žádné uživatelské školení,
protože využívání je identické jako standardní operace v prácí. VPN
koncentrátor je Cisco ASA5512.
Obrázek č. 6: Systémové logy udržované rozhraním
ILO
Zdroj: vlastní
5.1.4
Telnet a SSH
Jsou protokoly určené pro vzdálenou správu aktivních prvků
z příkazové řádky. Zásadním rozdílem mezi nimi je že telnet posílá příkazy
nekryptované v plain textu, zatímco ssh je kryptované.
Oba nástroje jsou využívány především pro jejich naprostou kontrolu
nad konfigurovanými součástmi, kde nehrozí interaktivnost jiných řešení, kdy
jedna změna ovlivní nespecifikovaný počet řádků v konfiguračním kódu. SSH
a telnet mají za následek detailní znalost funkčnosti a posilují schopnosti jít
přímo ke zdroji chyb, místo řešení přístupem pokus omyl. Další výhodou je
přístupnost klientů při minimálních nárocích na kvalitu
a prostupnost sítě. Zatímco telnet stačí konfigurovat pouze při přístupu na vty
konzoli, tak ssh potřebuje sofistikovanější kroky ke své funkčnosti.
5.1.5
IP KVM
IP KVM jsou samostatně stojící aktivní prvky vizáží podobné
switchům a poskytující funkcionalitu stejnou jako obvyklé keyboard, video,
mouse switche. Ke komunikaci využívají protokol TCP/IP a adaptéry, které jsou
schopny se identifikovat na síti. Ty jsou připojeny ze strany IP KVM přes RJ 45
port a do serverů dovedeny přes USB nebo PS2 porty. Seznam těchto zařízení je
zvýrazněn na Obrázku č. 7.
Obrázek č. 7: Seznam stavu kontrolovatelných serverů přes
IP KVM
Zdroj: vlastní
Navíc proti standardní KVM kontrole více serverů jednou
klávesnicí, myší a monitorem, tak IP KVM poskytuje i přístup přes webový
prohlížeč podporující Javu. Zásadní je, že například oproti Remote desktopu
tato vzdálená kontrola není závíslá na běžícím operačním systému počítače.
Tudíž administrator může pracovat i v BIOSu zařízení, případně kontrolovat
operace během bootování
I když použití IP KVM je omezeno znalostí logovacího jména a
hesla, tak v prostředí firmy není rozhraní pro vzdálenou kontrolu serverů
otevřeno z internetu. Hlavním důvodem je obava z útoku na aplikační
vrstě a proto, že přístup by musel být nastaven na stejném zařízení, jako jsou
ukončeny dynamické VPN. Takovýto přístup nedává smysl, protože v případě
nezbytnosti zásahu administrátor postaví dynamický VPN tunel a problém řeší.
Pokud by byl výpadek na VPN koncentrátoru, tak by padl kromě VPN i přístup na
IP KVM.
Obrázek č. 8: Ukázka GUI přes
webový prohlížeč IP KVM
Zdroj: vlastní
Velkou výhodou tohoto rozhraní je jeho identičnost s dobře
známou konzolí vzdálené plochy, jako se tomu děje na Obrázku č. 8, od které se graficky odlišuje pouze jinou lištou
umístěnou uprostřed vrchní části obrazovky.
5.2
Technologie pro redundanci
Tyto technologie mají své místo, protože zabraňují přerušení
služby v případě výpadku jednotlivé součásti struktury. Implementace
redundantních řešení spočívá v automatické zastupitelnosti selhávajících
součastí stejnou komponentou nebo sadou komponent, které dokážou službu
poskytovat bez jejího výpadku v rozhraní koncového uživatele.
5.2.1
NIC teaming
Technologie NIC teaming, jejíž GUI je znázorněno na Obrázku č. 9, je nástroj standardně
dodávaný v instalačním balíčku pro HP servery „Smart start“. Její
využívání je volné
a není nadále zpoplatněno. Instalace může proběhnout buď automaticky při
instalaci operačního systému, nebo později samostatně.
Obrázek č. 9: Konfigurační
rozhraní pro NIC teaming
Zdroj: vlastní
Po nakonfigurování umožňuje, aby 2 fyzické NIC adaptéry logicky
fungovaly jako jeden. Funkcionalita tohoto řešení je zásadně ovlivněná
strukturou síťového prostředí, ke kterému jsou servery využívající NIC teaming
připojeny. Pokud je na straně switche pouze jedno zařízení a na něm
nakonfigurovány dva porty pro ether channel (terminologií firmy D-Link
portgroup), tak se získá redundace na úrovni poškození fyzického vodiče,
poškození portu na straně switche nebo serveru a dvojnásobná šířka pásma pro
přenos dat.
Optimální situace nastává pro implementaci NIC teamingu nastává,
když na straně aktivních prvků jsou dva switche ve stacku-a každý je připojen
do vlastní NIC na serveru. Zde získáváme přidanou hodnotu oproti standardnímu
řešení ve stabilitě při výpadku jednoho switche. Služby běžící na serveru
zůstanou uživatelsky dostupné i při poškození jedné síťové karty nebo jednoho
datového kabelu.
5.2.2
Stackování aktivních prvků
Technologie stackování aktivních prvků byla vyvinuta, aby se
zamezilo „single point failure“. Při výpadku jednoho zařízení je nastaveno
druhé, které automaticky převezme funkci toho, co selhalo. Zde je potřeba
zdůraznit výhodnody proti „hot standby“ zařízením. Pří stackování totiž
zařízení nečeká, až primární prvek vypadne, ale obě jsou využívány zároveň,
čímž poskytují výkon rovný součtu společných zdrojů.
Základními typy stacků jsou datový a pro elektrickou distribuci.
Elektrický cluster by měl být zapojen do dvou silových okruhů, aby nebyla
pokryta pouze chyba zdroje ale i jističe. Pokročilé prvky jsou schopny přes
jeden zdroj napájet vyšší počet zařízení, aniž by byla omezena funkcionalita.
Efektivní využití datového stacku závisí na zařízeních využívaných na druhé
straně. Je potřeba, aby i na nich byly využity redundantní technologie, jinak
hrozí nadále vznik „single point failure“ struktury, které se snažíme předejít.
Schéma č. 11: Logika virtual
switching systému
Zdroj: vlastní
V první části Schéma
č. 11 vidíme klasický design, kde síťové smyčky vytvořené propojením
switchů musí být zablokováný spanning tree protokolem. Ve druhém obrázku
je skutečné fyzické zapojení, jakého je dosaženo pomocí VSS. Poslení obrázek je
logickým překreslením fyzického zapojení prostředního a tudíž jeho
ekvivalentem.
5.2.3
Technologie RAID
Přinosem technologie RAID je především redundance datových
úložišť, která při správné konfiguraci může znamenat plnou dostupnost dat i
v případě výpadku až jakýchkoliv dvou fyzických hard disků v poli. I
když tento druh využití je nejobvyklejší, je zde vhodné zmínit i jiné přínosy.
Jedná se o vyšší rychlost zapisovaných dat a čtení z RAID pole, co je
důležité především pro databázové aplikace. Nadále se budu věnovat typům RAID
polí, které jsem vyhodnotil jako nejvhodnější pro použití v prostředí
výrobní firmy. Na Obrázku č. 10 je
zakresleno proprietární rozhraní od společnosti HP sloužící ke konfigurování a
diagnostice RAIDových polí.
Obrázek č. 10: Konfigurační
rozhraní pro NIC teaming
Zdroj: vlastní
RAID 5 je nejčastěji využívaným typem. Je jím především pro jeho
dřívější datum vyvinutí, pro rozumnou míru redundance kdy vyžaduje minimálně
tři disky v poli a pro svou plnou funkcionalitu i po výpadku jednoho
disku. Taktéž je možné z něj rychleji číst, díky rozprostření dat na více
fyzických disků, nevýhodou zůstává pomalejší zápis kvůli výpočtu samoopravného
kódu.
RAID 6 je nástupcem RAID 5 v enterprise společnostech. Byl
vyvinut později, ale svoji oblibu si získává především díky zachování
dostupnosti dat i při výpadku dvou disků. Ostatní kvalitativní hodnoty jsou
srovnatelné s RAID 5, vyjímku tvoří nutnost čtyř disků
a pomalejší zápis dat, který je daný nezbytností výpočtu dvou sad paritních
informací.
RAID 1 je zrcadlení prvního disku na druhý. Jeho výhodou je
transparentnost technologie, která umožňuje např. velice jednoduché zálohování
formou fyzického klonování disků
a zachování funkcionality i po výpadku řadiče. Nevýhodou je pomalejší zápis,
protože všechny informace je nutno ukládat zároveň na oba disky a tím dané
využití pouze 50 % kapacity úložiště.
RAID 1+0 musí být nejméně na čtyřech fyzických discích. Data se
nejdříve zkopírují mezi disky 1 a 2 a potom mezi disky 3 a 4. Když budeme
potřebovat číst soubor rozložený přes obě logické jednotky tak první část
souboru bude na discích 1 a 2 a druhá část na discích
3 a 4. Výhodou je vysoká rychlost při čtení. Nevýhodou zůstává pomalejší
rychlost zápisu a využití pouze padesáti procent fyzického diskového prostoru.
6
Vyhodnocení
benefitů z pohledu uživatelů managementu a IT správy
Všechny subjekty vstupující do interakce s datovou síťí
požadují především stabilní prostředí. Uživatelé aby mohli plnit cíle definované
jejich nadřízenými. Management naopak proto, aby nebyly žádné překážky
prodlužující dobu nezbytnou k vykonávání jejich požadavků. IT oddělení
zase potřebuje alokovat svoje zdroje na jiné než repetivní úkoly způsobené
nízkou stabilitou sítě.
Při bližším pohledu je ovšem nasnadě, že se jedná vlastně o
totéž. Nikdo nechce věnovat svoji energii, čas ani peníze na operace, které
nejsou nezbytně nutné. Toto není pravidlo týkající se výlučně počítačových
sítí, ale stav, který je možno vypozorovat napříč kompletní lidskou historií.
Tento přístup je jedním ze zdrojů evoluce technologií, protože stejný objem
práce může být vykonáván stále menším počtem pracovníků. Díky němu je možné
lidský potenciál zaměřit na jinou tvůrčí práci, která bude přinášet
zaměstnavateli jiné přínosy.
Jedině na IT oddělení klade nové řešení další nároky. Je nezbytné
IT profesionály nadále školit v nových technologiích switchování,
routingu, redundantních řešení, protokolů, ale
i celkově k principům řešení síťové infrastruktury. Toto vše je ale
maximální mírou kompenzováno schopností okamžité opravy ve chvíli kdy je zásah
nutný a dovedností nadále navrhovat strukturu, která bude využívat nejnovější
technoologické možnosti právě probíhajícího období. Díky tomuto kontinuálnímu
přístupu k IT oddělení a vývoji síťového prostředí, služby poskytované
počítačovou sítí jsou pak zachovány i při částečném výpadku kvůli odstranění
zařízení, jejichž výpadek by resultoval v okamžitou nedostupnost
poskytovaných zdrojů a redundatním mechanismům obecně.
Pohled managementu podniku se od ostatních odlišuje zaměřením se na
finanční náklady projektu. I tomuto pohledu bylo učiněno zadost využitím
v maximální únosné míře starších aktivních prvků, což bylo zdrojem
výrazného snížení nákladů, které byly brány v potaz vedením společnosti.
Cíl práce z pohledu zainteresovanych skupin byl splněn,
protože nové technologické řešení poskytují všem stabilnější prostředí. Díky
těmto podmínkám poskytovaným síťovým řešením se všichni účastníci síťového
provozu mohou věnovat operacím přinášejícím přidanou hodnotu.
ZÁVĚR
Smyslem práce bylo analyzovat stav sítě, identifikovat její
slabiny a poskytnout řešení, které bude akceptovatelné z pohledu finanční
nákladnosti a zároveň bude schopné poskytnout přidanou hodnotu pro předmět
podnikání společnosti. Vzhledem k tomu, že kompletní komunikace firmy je
digitalizovaná a papírová komunikace zůstává využita už jen v oblastech
kde je to vyžadováno právními standardy, požadavky kvality nebo potřebou
produkce, tak na kvalitě síťového řešení závisí mnohé. Jedná se o dostupnost
pracovních prostředků všech administrativních oddělení, komunikaci s externími
partnery, ale i přímou závislost výroby.
Z pohledu podniku se při zhodnocování projektu vždy poměřují
vydané prostředky
a přínos. Pod pojmem přínos je možno si představit spoustu specificky
přínosných situací, zde jsou ale vyjmenovány pouze přímé výhody nové
implementace, a negování rizik s ní spojených.
Z této perspektivy se nabízí několik stavů, které znamenají
okamžitý dopad na předmět podnikání u výrobních podniků. Z pohledu
důvěryhodnosti u zakázníků a plnění zakázek jsou maximálním rizikem prodlevy ve
výrobním procesu. Oproti tomu můžou být postaveny okamžité ztráty vznikající
nečinností zaměstnanců. Při detailnějším zkoumání se v dnešní době vysoké
závislosti na informačních technologiích dostáváme k závěru, že při
moderně pojatém podnikání je negace všech těchto rizik primárně spojena
s neustálou dostupností všech IT služeb. Ještě detailnější zkoumání nám
řekne, že velice podobně fatálních důsledků jako při výpadku elektrické sítě,
se dočkáme při výpadku sítě počítačové. Ta je klíčem ke všem informačním
systémům, ke komunikaci, ale
i k dokumentaci procesů, jimiž se firma řídí. Zásadní snahou projektu bylo
tyto rizika eliminovat nebo aspoň minimalizovat.
Pro výše zmíněné důvody je implementace datového i elektrického
stacku na zařízení WS-C3750X-48T-S je zcela zásadního rázu. V případě
nedostupnosti nebo nefunkčnosti tohoto prvku je okamžitě přerušena komunikace
všech subnetů mezi sebou. Následkem toho není možné komunikovat s žádnou
serverovou farmou, kde výjimku tvoří pouze produkční klienti, kteří díky
zařazení do stejného subnetu nadále mohou pracovat s výrobními servery. Proto
prvky poskytující přidanou reduncanci byly zaměřeny především do částí sítě,
které jsou s tímto prvkem v interakci.
Uživatelé neocení vylepšení, které jsou hlavním důvodem pro
investici z pohledu managementu, nebo odpovědí proč k implementaci
sáhlo IT oddělení, ale je pro ně zásadní především odstranění obstrukcí
v jejich práci. Touto perspektivou můžeme vnímat jako vylepšení dosažené
vyšší přenosové rychlosti ke klíčovým prvkům struktury technologií etherchannel
a fyzické navýšení přenosových rychlostí dané gigabitovým a deseti gigabitovým
ethernetem. Dalším důležitým problémem zásadně ovlivňujícím uživatele jsou
výpadky, které jsou omezeny segmentací sítě. Ta má za následek rychlejší určení
zdroje problému, protože nemusí být prověřována celá síť, ale jen její část
výpadkem zasažená. Zcela zásadní v tomto ohledu je pak přidaná automatická
redundance. Klíčové části jsou schopny ve struktuře v případě jejich
výpadku předat funkcionalitu svému zástupci, aniž by byl uživatel zasažen
výpadkem. Toto umožňuje uživatelům nadále nerušeně vykonávat pracovní úkoly,
aniž by se dostávali do termínových skluzů nebo zůstali nečinní.
Pro management jako takový je cílem především maximálně efektivně
využít zdroje podniku, při udržení provozních nákladů. Z tohoto pohledu je
taktéž potřeba k navrhovanému designu přistoupit. Poměr nákladů na
výstavbu počítačové sítě, úspor a zvýšení efektivity je zásadní. Zde je
potřeba uvést, že předmět podnikání výrobní firmy je už na výrobních
technologiích plně závislý. Toto je klíčem k odůvodnění i vysokých
nákladů, protože každý prostoj způsobený nedostupností IT zdrojů přímo
resultuje v nemožnost vykonávat pracovní úkoly na straně zaměstnanců.
Obzvláště citelný zásah je v produkci, protože celý proces výroby je spjatý
s informačními technologiemi a každý krok výrobního procesu je
zaznamenáván ve firemních databazích. Tyto výrobní nástroje běží na dedicované
serverové farmě, což znemožňuje jakoukoliv operaci bez její dostupnosti přes
počítačovou síť. V administrativní části společnosti je situace podobná,
ale není tak kritická, protože uživatelé krátkodobě mohou využít data uložená
lokálně na svých přístrojích, proto výpadek síťové dostupnosti neznamená nutně
okamžitý výpadek v práci.
Pro tyto důvody je síť robustní především v místech přístupu
k firemním serverům, v komunikaci do dalších poboček Inventecu a
v neposlední řadě v částech které obsluhují produkci. Management tím
získává konkurenční výhodu, která spočívá v jistotě, že naplánované
pracovní směny nebudou rušeny kvůli nefunkčnostem spojeným se síťovou
strukturou, což resultuje v prevenci finančních ztrát vyplácením pracovní
odměty zaměstnancům, kterým je znemožněno pracovat a zároveň pomáhá podniku
budovat dobré jméno, které má za následek vyšší důvěryhodnost podniku
v budoucnosti a tím i potenciálně možné vyšší objemy zakázek od zákazníků.
Jako hlavní výhodu pro IT administrátora můžeme zmínit možnost
zasáhnout v době, kdy sám uzná za vhodné, namísto nutnosti uvádět chybu
zpět do funkčního stavu okamžitě. Toto je dáno především tím, že výpadek
v síťové struktuře neznamená přerušení služby pro uživatele a ti ho nemusí
ani zaznamenat. To zbavuje správce spousty vysoce stresujících stavů, kdy na
jeho okamžitém zásahu závisí možnost vykonávat pracovní úkoly značného počtu
uživatelů.
Taktéž nově vzniklá segmentace je obrovským přínosem z pohledu
správy, protože díky ní je možné problémy mnohem lehčeji izolovat nebo řešit
již vzniklé problémy aniž by nabývaly globálního charakteru. Je možné zacílit
se logicky pouze na malou část struktury společnosti namísto společnosti celé. Tato
výhoda se projevuje také při manuálních opravách, tedy při snaze alokovat
problém fyzicky, ale i při odstraňování dopadů.
Vzdálená administrace pak umožňuje řešit problémy z domácího
počítače nebo i z mobilních zařízení jako jsou tablety a mobilní
telefony. Tato flexibilita umenšuje reakční dobu a poskytuje administrátorovi
volnost pohybu při zachovaných schopnostech řešit problém jako by byl
v pohotovosti doma. Z pohledu vedení společnosti je toto klíčové
z více pohledů. Stejnou práci obstará méně početné oddělení, které v případě
dostupného mobilního připojení od zaměstnavatele, bude schopné efektivní
domluvy i koordinovaného zásahu téměř kdykoliv.
Práce splnila účel, kterým je stabilní prostředí pro účel
podnikání subjektu. Zásadním nadále zůstává lehká modifikovatelnost,
zaměnitelnost využitých prvků a použití otevřených standardů, které umožňují
využití variabilních technologií a síťových prvků v budoucnu. Tento
přístup by měly zachovávat všechy síťová řešení, protože stále probíhá
dynamický vývoj a nelze očekávat, že výborné řešení dnešních dnů bude
v horizontu několika let vnímáno stejně pozitivně.
Hodnocení podniku
Hodnocení ústavu aplikované informatiky
ABSTRAKT
David DANĚK Řešení
infrastruktury počítačové sítě pro výrobní podniky střední velikosti
Kunovice, 2013. Bakalářská práce. Evropský polytechnický
institut, s.r.o.
Vedoucí práce: Ing. Jakub GREGUŠ
Klíčová slova: síť, switch, router, řešení o vysoké dostupnosti,
Cisco, podnik, ILO, IP, KVM, VPN, VOIP, redundance, server, protokol
Tato práce se zabývá síťovým řešením aplikovatelným především ve
výrobních podnicích střední velikosti. Jejím cílem je zaintegrování všech
služeb, které mohou běžet přes počítačovou síť. Důvodem jsou především provozní
úspory ve spotřebované energii, dané menším počtem zařízení, jednotná a
variabilně využitelná kabeláž pro komunikaci počítačů, VOIP telefonii,
bezpečností systémy a podobně. Tímto multifunkčním přístupem se taktéž
opodstatňují případné vyšší náklady na strukturu sítě. Nejdříve se zabývá
celkovým teoretickým úvodem do aktivních síťových prvků a jejich využití.
Většina těchto detailů a termínů jsou ve vztahu s Cisco terminologií a
koncepty. Právě proto jsou tyto standartizované značky využity ve všech
součástech designu. Dále jsou definovány potřeby výrobních zařízení. Zde je
zdůrazněno co je účelně vynaloženým prostředkem společnosti a také co už můžeme
považovat za neúčelné náklady. Později je vysvětlován výběr aktivních prvků, ve
vztahu k požadované funkčnosti, ceně, síťovému designu, redundanci a
nástrojům využívaných pro vysokou dostupnost řešení.
ABSTRACT
David DANĚK Network
solution for middle sized factories Kunovice, 2013. Bachelor thesis. Evropský polytechnický institut, s.r.o.
Supervisor: Ing. Jakub GREGUŠ
Key words: Network, switch, router, high availability solution,
Cisco, company, ILO, IP, KVM, VPN, VOIP, redundancy, server, protocol
This work is primarily focusing on network solution suitable
especially for middle sized industry business. The goal is an integration of all services, which can run
using computer network. The point in this attitude we can find in regular
expenses which are decreased by lower power consumption due to lower network
parts quantity, unified, variable and suitable cabling for computer
communication, VOIP telecommunication, security systems and so on. This
multifunctional attitude also makes reasonable higher expenses in order to
network structure construction. Firstly takes place overall theoretical
introduction to active network parts and their alocation to design concept.
Most of these details and terms are related to Cisco teminology and concepts.
Therefore according to needs of solution description were also these used in
all parts of design. Then is defined needs of factories. It is mentioned what
is really needed and what can be just source of wasting. After this is focused
on active parts decison in order to their functions, suitability, price,
network design, redundancy and high availability techniques.
Literatura
Knihy, monografie:
[1]
WATKINS, M.; WALLACE, K. CCNA Security
Official Exam Certification Guide. Indianopolis: Cisco Press, 2008. 637 s.
ISBN 978-1-58720-220-9.
[2]
LAMMLE, T. Cisco
Certified Network Associate Study Guide Sixth Edition.
Indianapolis: Wiley Publishing, 2007. 965 s. ISBN 978-0-470-11008-9.
[3]
JORDAN S.; BRUNO, A. CCDA 640-864.Indianapolis: Cisco Press, 2011. 688s. ISBN
978-1-58714-257-4.
[4]
BIGELOW, S. Mistrovství
v počítačových sítích. Brno: Computer Press, 2004. 990 s. ISBN 80-251-0178-9.
[5]
LUDVÍK, M,; ŠTĚDROŇ B. Teorie bezpečnosti počítačových sítí.
Praha: Computer Media, 2008.
98 s. ISBN 978-80-86686-35-6.
[6]
THOMAS, T. Zabezpečení
počítačových sítí bez předchozích znalostí. Brno: Computer Press, 2005. 338
s. ISBN 80-251-0417-6.
[7]
SOSINSKY, B. Počítačové
sítě – mistrovství. Brno: Computer Press, 2010. 840 s. ISBN
978-80-251-3363-7.
[8]
SPURNÁ, I. Počítačové
sítě praktická příručka správce sítě. Praha: Computer Media, 2010. 180 s. ISBN 978-80-7402-036-0.
[9]
DROMS, R.; LEMON, T. DHCP- příručka administrátora. Brno: Computer Press, 2004. 490 s.
ISBN 80-251-0130-4.
[10]
JANSEN, H. Informační
a telekomunikační technika. Praha: Europa-Sobotáles, 2004. 400 s. ISBN
80-86706-08-7.
[11]
HARPEN, A.; HARRIS, S.; EAGLE, Ch.; NESS, J.;
LESTER, M. Hacking - manuál hackera. Praha:
Grada, 2008. 400 s. ISBN 978-80-247-1346-5.
[12]
TRULOVE, J. Sítě
LAN. Praha: Grada, 2009. 384 s. ISBN 978-80-247-2098-2
[13]
WENDELL, O.; HEALLY, R.; METHA, N. Směrování a přepínání sítí.
Brno: Computer Press/CP Books, 2009. 878 s. ISBN 978-80-251-2520-5.
[14]
PUŽMANOVÁ, R. Moderní komunikační sítě od A do Z. Brno: Computer Press/CP Books,
2006, 450 s. ISBN 978-80-251-1278-6.
[15]
SANDERS, Ch. Analýza
sítí a řešení problémů v programu Wireshark.
Brno: Computer Press, 2012. 288 s. ISBN 978-80-251-3718-5.
[16]
DOSTÁLEK, L.; KABELKOVÁ A. Velký průvodce protokoly TCP/IP a systémem DNS. Brno: Computer
Press, 2012. 488 s. ISBN 978-80-251-2236-5.
[17]
CARROLL, B. J. Bezdrátové sitě Cisco. Brno: Computer Press, 2011. 478 s.
ISBN 978-80-251-2884-8.
Seznam zkratek
802.1D Spanning
tree protocol
ASA Adaptive Security Appliance, produktové
označení řady firewallů společnosti Cisco
AT&T
American Telephone and
Telegraph, nadnárodní poskytovatel internetového
připojení
AUX Auxiliary
port, port využívaný pro připojení
modemu
B2B Business
to business
BGP Boarder
gateway protocol, routovací protokol třetí vrstvy OSI standardu
BIOS Basic input-output system,
rozhraní obsahující základní nastavení pro ovládání hardware počítače
BPDU Bridge
protocol data unit, zpráva
využívaná pro determinování root bridge
BRI Basic
rate interface, komunikační standard obsahující dva hlasové kanály
CCTV Closed
circuit television, označuje monitorovací řešení
CLI Command
line interface
CCNA Cisco
certified network associate
CPU Central
processing unit
Č. Číslo
DEC Digital
Equipment Corporation
DGS D-Link
gigabit switch
DHCP Dynamic host control protocol, je
zodpovědný za dynamické přidělování IP adres klientům sítě
DRAC Dell
remote access card
EDI Electronic
data interchange
ERP enterprise
resource planning
G4p Označení čtvrté generace
serverové produktové řady společnosti HP
HP Hewlett-Packard,
jedna z největších nadnárodních IT společností
IBM International
business machines
IEEE The
Institute of Electrical and Electronics Engineers
ILO Integrated Lights-Out, rozhraní
poskytující možnosti správy nezávislé na nainstalovaném operačním systému
IOL Internet
OnLine, marketingové označní internetového připojení poskytovaného společností
O2
IOS Interwork
operating system, operační systém dodávaný společností Cisco k obsluze
aktivních prvků
IP Internet
protocol, jeden ze základních protokolů pro dnešní počítačové sítě
IPSec Internet
protocol security, je využíván pro zabezpečení VPN tunelů
ISDN Integrated
services digital network, je využíván primárně pro hlasovou komunikaci
IT Information
technology
KVM Keyboard video mouse, využívaný
pro správu více zařízení přes jednu sadu fyzických periferií
LAN Local
area network
MAC Media access control, je adresa
využívána pro jedinečnou identifikaci síťového zažízení na druhé vrstvě OSI
protokolu
Mbps Megabits per second, jednotka
využívaná pro měření propustnosti šířky pásma datového přípojení
MRTG Multi router traffic grapher
NAT Network address translator
statický, je využíván pro překlad IP adresy vnitřního rozsahu sítě na veřejnou.
NIC Network
interface card, označení pro síťovou kartu
OSI Open system interconnection,
standard který má za úkol rozškálovat síťovou komunikaci a tím ulehčit
odstraňování chyb
PAT Port address translation, byl vyvinut
aby přes jednu veřejnou IP adresu mohlo do internetu přistupovat více zařízení
využívajících vnitřních IP adresy
PoE Power over ethernet, stadard
díky němuž je možné napájet eletktrickým napájením zařízení přes ethernet
PRI Primary rate interface, je
standard umožňující až třicet hlasových hovorů v jednu chvíli
PS2 Personal
system/2
RADIUS Remote
authentication dial in user service
RJ-45 Registered jack čtyřicet pět,
nejčastěji využívana koncovka pro zapojení kroucené dvojlinky
SAP System applications and product
s. r. o. Společnost s ručením omezeným
SSID Service set identifier
SMC Výrobce
aktivních prvků
STP Spannig tree protocol,
zabraňuje smyčkám na kabeláži na druhé vrstvě OSI standardu
SSH secure
shell
UPS Uninterrupted
power supply, záložní zdroj elektrického proudu
USB Universal
serial bus
VLAN Virtual
local area network, je využíván pro logické dělení sítě
VoIP Voice
over IP, standard využívající IP sítě pro hlasovou komunikaci
VPN Virtual private network, je
používán pro propojení fyzicky vzdálených míst do jednoho logického celku
WAN Wide
area network –síť pokrývající geograficky rozsáhlé území
Seznam schémat, obrázků a
příkazových řádků
Schéma č. 1: Diagram datových toků počítačové sítě
Schéma č. 2: Switch dělení broadcastové a kolizní domény
Schéma č. 3: Router dělení broadcastové a kolizní domény
Schéma č. 4: Výpadek ústředního prvku struktury
Schéma č. 5: Výpadek switchů pro serverové farmy
Schéma č. 6: Výpadek switchů zodpovědných za datovou konektivitu
aktivních prvků na produkční hale
Schéma č. 7: Výpadek hlavního firemního firewallu
Schéma č. 8: Výpadek switchů pro CCTV řešení
Schéma č. 9: Výpadek wireless kontroleru
Schéma č. 10: Ukázka smyčky na druhé vrstě OSI protokolu
Schéma č. 11: Logika virtual switching systému
Obrázek č. 1: T-Mod adaptér.
Obrázek č. 2: Kolébkový vypínač pro PoE
Obrázek č. 3: Seznam stavu monitorovaných součástí přes ILO
Obrázek č. 4: Rozhraní nahrazující tlačítko start
Obrázek č. 5: Systémové logy udržované rozhraním ILO
Obrázek č. 6: Systémové logy udržované rozhraním ILO
Obrázek č. 7: Seznam stavu kontrolovatelných serverů přes IP KVM
Obrázek č. 8: Ukázka GUI přes webový prohlížeč IP KVM
Obrázek č. 9: Konfigurační rozhraní pro NIC teaming
Obrázek č. 10: Konfigurační rozhraní pro NIC teaming
Příkazový řádek IOS č. 1: Aplikování access listu na VLAN
Příkazový řádek IOS č. 2: Implicitní pravidlo access listů
Příkazový řádek IOS č. 3: Routy
Příkazový řádek IOS č. 4: Podpora BGP
Příkazový řádek IOS č. 5: Elementární konfigurace 3750X-48T-S
Příkazový řádek IOS č. 6: Konfigurace VLANů
Příkazový řádek IOS č. 7: Konfigurace access listu
Příkazový řádek IOS č. 8: Konfigurace routovacího protokolu
Příkazový řádek IOS č. 9: Konfigurace switche tvořícího VLAN
Seznam příloh
Příloha č. 1: Logický design sítě
Příloha č. 2: Fyzický design sítě
Příloha č. 3: Mapa výpadků
