Evropský polytechnický institut, s.r.o.
BAKALÁŘSKÁ PRÁCE
2013 DAVID DANĚK
Evropský polytechnický
institut, s.r.o. v Kunovicích
Studijní obor: Elektronické počítače
ŘEŠENÍ INFRASTRUKTURY
POČÍTAČOVÉ SÍTĚ PRO VÝROBNÍ PODNIKY STŘEDNÍ VELIKOSTI
(Bakalářská práce)
Autor: David DANĚK
Vedoucí práce: Ing. Jakub GREGUŠ
Kunovice, 2013
Prohlašuji, že jsem bakalářskou práci vypracoval samostatně pod
vedením
Ing. Jakuba GREGUŠE a uvedl v seznamu literatury všechny použité literární
a odborné zdroje.
Kunovice, 2013
Děkuji panu Ing. GREGUŠOVI za velmi užitečnou metodickou pomoc, kterou mi poskytl při zpracování mé bakalářské práce.
Kunovice, 2013
David DANĚK
Obsah:
1 Teoretický základ aktivních prvků
počítačové sítě
1.1 Vysvětlení
typů použitých aktivních prvků
1.1.2 Druhy
základních využitých síťových protokolů
1.2 Začlenění
do hierchického designu
2 Analýza potřeb síťového vybavení
výrobního podniku
2.5 Základní
principy řešení problémů
2.5.1 Základní
zásady pro práci s kabeláží
2.5.2 Základní
příkazy pro diagnostiku problémů z příkazové řádky
3 Výběr a opodstatnění navrhovaných
prvků
4 Design sítě, vytvoření síťové
mapy a konfigurace aktivních prvků
4.3.4 Prevence
smyček na kabeláži
4.3.7 Cisco
3750 s BGP protocolem a statickou routou
4.3.10 Záložní
VPN tunel a připojení pro návštěvníky.
4.4 Konfigurace
klíčových zařízení
5 Řešení pro high availability a
redundanci
5.1 Technologie
pro vzdálenou správu
5.2 Technologie
pro redundanci
5.2.2 Stackování
aktivních prvků
6 Vyhodnocení benefitů
z pohledu uživatelů managementu a IT správy
Hodnocení ústavu aplikované informatiky
Bakalářská práce “Řešení infrastruktury počítačové sítě pro výrobní podniky střední velikosti” byla vybrána zcela cíleně s ohledem na profesní zodpovědnosti a znalosti vyžadované vykonávanou pracovní pozicí. Náplň práce je ve firmě definována zodpovědností za funkčnost sítě, jejího konfigurování, údržby a vývoje, díky které bylo možno zúročit nabyté pracovní zkušenosti a dovednosti.
Stěžejními oblastmi jsou především segmentace sítě s ohledem na jednoduchý troubleshooting neočekávaných situací a redundance řešení, ve které je cílem dosáhnout nepřerušené služby i v případě výpadku jednotlivého prvku řešení. Obzvlášť v dnešní době vysoké závislosti na informačních technologiích je klíčová neustálá dostupnost všech součásti a v případě krizových situací schopnost okamžitě reagovat a incident vyřešit.
Problémy související s dostupností služeb poskytovaných uživatelům se zabývá každý administrátor. Efektivně navržená struktura může minimalizovat dopady chyb hardwarových součástí, software a manuálních zásahů uživatelů nebo administrátorů. V dnešní době je spousta podniků přímo závislých na IT systémech a jejich nedostupnost může způsobovat nemožnost vykonávat specifické úkony, až po znemožnění primárního účelu firmy včetně výroby.
Redundance a provozuschopnost datových sítí je natolik obsáhlá tématika, že je vhodné ji vnímat jako separátně oddělené znalostní okruhy. Mezi výše zmiňované okruhy můžeme zařadit například bezpečnostní politiku pro přístup k datům, vzdálený přístup, routovací protokoly na třetí vrstě OSI standardu, protokoly zabraňující smyčkám a přidávající stabilitu na druhé vrstvě OSI standardu ale i celková redundance řešení pro přístup k datům a službám obecně. Cílem je především stabilita, která zamezí výpadkům poskytovaného řešení uživatelům. Zaměření se na nepřerušení služby je zásadní, protože v době informačních systémů mají prostoje zaměstnanci, kteří tvoří hlavní složku nákladů firmy. Taktéž plnění termínů, na nichž je postavena věrohodnost, a dobré jméno firmy jsou zásadní měrou ohroženy.
K ucelenému přehledu o všech návaznostech a výhodách je potřeba znalost TCP/IP protokolu. Produktového portfolia společnosti Cisco, znalosti o druhé a třetí vrstvě OSI, povědomí o funkcionalitě poskytované na úrovni switchů, routerů a technologií obecně využívaných v síťovém prostředí firmy.
Práce se bude zabývat především návrhem designu počitačové sítě, rozborem konfigurací jednotlivých zařízení a jejich přínosem pro funkcionalitu sítě, při vysvětlení technologických standardů zvolených pro optimální funkcionalitu za daných podmínek. Zároveň je kladen důraz na minimalizaci počtu aktivních prvků pro snížení spotřeby elektrické energie, která je jedním z důležitých cílů zhodnoceným v nákladech na dlouhodobý provoz.
Přidanou hodnotou řešení je zvýšená odolnost vůči výpadkům, kdy není potřeba manuálního zásahu administrátora a služby zůstanou nadále poskytovány uživatelům díky využití standardů, které automaticky přesunou poskytované služby do nepoškozeného segmentu. Dále vysoká modularita řešení umožňuje ať už přidávat další specificky využitelné části sítě nebo segmentovat stávající. Tato vlastnost přináší administrátorům možnost efektivně začlenit nové oblasti podnikání nebo rozdělit aktuální, ať je požadavek funční a nebo organizační. Ve vnitropodnikových sítích je problematická analýza toku dat a požadavků z jednotlivých částí sítě. Kvůli tomuto požadavku jsou začleněna do klíčových míst designu zařízení, která díky podpoře netflow protokolu pomohou řešit i tento druh monitorování stavu sítě.
Cílem bakalářské práce je poskytnout optimální řešení a nové technologie společnosti Inventec (Czech) s. r. o. Zároveň lze věřit, že tato práce může poskytnout návod dalším síťovým administrátorům, počítačovým nadšencům a lidem zabývajícím se touto problematikou. Není účelem jakkoliv vnucovat aktuální a plně optimalizovanou strukturu, ale topologie a principy využívané v řešení lze používat při implementacích obdobného charakteru a rozsahu. Práce obsahuje návrh síťové struktury, jsou v ní zmíněny aktivní prvky a výhody spojené s jejich implementací, která bude z důvodu vysoké finanční náročnosti závislá na finančních možnostech zaměstnavatele čerpat zdroje pro jejich uvedení do provozu.
1 Teoretický základ aktivních prvků počítačové sítě
Klíčovými požadavky na funkční vlastnosti sítě je především stabilní komunikace s ostatními pobočkami, kde jsou umístněny ERP systémy. Dále poskytované externí přístupy zákazníkům nebo pracovníkům, reportování o stavu sítě a zpřístupnění externích zdrojů internetového prostředí, které znázorňuje Schéma č. 1.
Schéma
č. 1: Diagram datových toků počítačové
sítě
Zdroj: vlastní
Vzhledem k požadovaným vlastnostem, mezi něž patří lehké ostranění závad, minimalizace nákladů, jednoduchá rozšiřitelnost a škálovatelnost sítě a maximální míra odolnosti vůčí výpadkům byly využity technologie minimalizující počet využitých aktivních prvků. Taktéž v míře maximálně finančně únosné pro společnost se snažím využít nejnovějších zařízení, které mají před sebou dlouhý užitkový potenciál. Od tohoto přístupu jsem musel ustoupit u zařízení využívaných v přístupové vrstvě, protože tato vrstva obsahuje velký počet zařízení, jejichž výměna by byla finančně náročná a přínos pro společnost by spočíval především ve využití bezpečnostního protokolu 802.1x, který není prioritou.
Zařízení první vrstvy jako repeatery, huby, bridge nejsou vůbec použity a jejich funkcionalita je zastoupena vlastnostmi zařízení pracujících na vyšších vrstvách OSI protokolu. Výhodou tohoto přístupu je transparentnost vziklé sítě, která je dána omezením počtu aktivních prvků a tim i nižší energetická náročnost poskytovaného řešení.
1.1 Vysvětlení typů použitých aktivních prvků
S vyjímkou firewallu, který pracuje na čtvrté vrsté OSI standardu jsou využity téměř výlučně zařízení s hlavní funkcionalitou ve druhé a třetí vrstvě. Tudíž se jedná o kombinaci switchů a routerů s navázanými funkcionalitami a protokoly které jejich operační systém umožňuje využívat.
Dále jsou využity prvky s vyloženě specifickým funkčním využitím pro vzdálený a bezdrátový přístup jako jsou například IP KVM a wireless controller.
U switchů se jedná se o prvky pracující na druhé vrstě OSI protokolu. Kromě toho také stále zastávají některé funkce, které má na starosti vrstva první. Fungují jako opakovače fyzického signálu na síti. Na druhé vrstě hlavními funkcemi switche jsou učení se MAC adresy z každého příjatého frame na rozhraní a jeho následné zapsání do MAC databáze, na základě které probíhá rozhodování o odfiltrování nebo přeposlání frame, čímž omezují kolizní doménu, což je zdůrazněno ve Schéma č. 2 (provoz na port po spojení se specifickou MAC adresou je provoz posílán pouze na ni) a starají se o odeslání neporušeného frame cílovému zařízení. Dále se jedná o ochranu proti vzniku fyzických smyček, ať už vytvořených náhodně nebo z důvodu redundance. Spanning tree protokol je zodpovědný, aby vypnul port, který vytváří smyčku a v opačném případě při náhodném vypojení stále umožňuje propojení pomocí původně logicky odpojených portů. [2, s. 378]
Schéma
č. 2: Switch dělení broadcastové a
kolizní domény
Zdroj: vlastní
Routery jsou zodpovědny za směřování na bázi třetí vrsty OSI
protokolu. Když ethernetový rámec dorazí do routeru, tak se odstraní hlavička
z druhé vrstvy a router nadále přeposílá na bázi IP adresy třetí vrstvy. Routery
taktéž dělí kolizní a broadcastovou doménu, což znázorňuje Schéma č. 3, čímž omezují využití šírky pásma. Dále podporují
routovací protokoly, díky kterým jsou schopny využít optimálni cestu pro
doručení. Taktéž obsahují metody pro filtrování provozu, redundanci rout a
vytěžování šířky pásma
[4, s. 453].
Schéma
č. 3: Router dělení broadcastové
a kolizní domény
Zdroj: vlastní
Switche třetí vrstvy jsou LAN switche, které mají podporu routovacích protokolů. Díky tomu mohou komunikovat se soudícími routery. Jsou taktéž zmíňovány jako multivrstvé switche. Využití switchovacích technologií na síťové vrstě dramaticky urychluje přeposílání packetů mezi připojenými VLANy.
1.1.2 Druhy základních využitých síťových protokolů
Na druhé vrstvě je využíván spanning tree protokol, respektivě rapid spanning tree protokol, který byl vyvinut firmou Digital Equipmnet Corpartion. Tato firma byla později koupena a přejmenována na Compaq. Aktuálně se tato verze příliš nevyužívá, protože Institut pro elektrotechnické a elektronické inženýrství později vyvinul jejich vlastní verzi spanning tree protokolu, která se je využíván pod standardem 802.1D. V dnešních dnech je právě tato verze defaultní pro všechny zařízení společnosti Cisco a není zpětně kompatibilní s verzí od společnosti DEC. Jeho primárním účelem je zamezení smyček, tím že odpojí druhý kabel, kterým by byl v topologii vytvořen kruh. Spanning tree protokol využívá spanning tree algoritmus za jehož pomoci nejprve vytvoří databázi aktuální topologie sítě, kterou se ujistí, že existuje kabel způsobující smyčku. Pokud je takový stav detekován, tak jsou všechny redundantní propojení logicky odpojeny tím, že port, do kterého jsou připojeny je změněn do zablokovaného stavu.
Porty ve spanning tree protokolu mají několik stavů. Blokující port nepřeposílá rámce, pouze naslouchá BPDU. Účelem je předejití využití smyček pro posílání datového provozu. Při nastartování switche jsou všechny defaultně všechny porty v tomto stavu. Naslouchající port přijímá BPDU, aby se ujistil, že se v síti nevyskytuje smyčka, než přepošle rámec k cíli. Učící se port naslouchá BDPU a učí se všechny cesty ve switchované síti, ale neodesílá rámce. Přeposílající port je pak zodpovědný z přeposílání rámců. Poslední stav portu je logicky vypnutý. Tento port se nadále nezúčastňuje přeposílání rámců ani STP.
Port co má být odpojen je rozeznán podle čísla bridge, ten s nejvyšším číslem je odpojen. Pokud jsou oba kabely z jednoho zařízení a stejnou spanning tree prioritou, tak je odpojen port s vyšším číslem.
Na třetí vrstě jsou využity statické routy a především dynamický routovací protokol boarder gateway protokol, který se využívá pro routování mezi autonomními systémy. Tento protokol je schopen poměřovat spousty metrik, aby byl schopen determinovat nejvhodnější cestu pro routování packetů.
1.2 Začlenění do hierchického designu
Hierarchický design je využíván pro jeho přínos pro přehlednost při definování počítačových struktur. Zařízení do něho začleněné nebyly umístěny do specifických částí designu podle jejich fyzické lokace nebo podle účelu daného segmentu sítě, nýbrž podle svého využítí pro přístup uživatelů, do vzdálených poboček, serverů, či distrubuce datových toků uvnitř společnosti.
Takto vznikly čtyři základní zóny, do kterých byly umístěny všechny aktivní prvky společnosti. Access vrstva je využita pro klientský přístup a ve většině případů se lze využít rovnici, kde jeden port se rovná jeden připojený uživatel. Server farm a datacenter je část sítě dedikovaná pro přístup k serverům a využívá prvky s vysokou datovou propustností a redundancí pro zamezení výpadku přístupu ke službě. Distribuční vrstva se zabývá doručováním informací napříč všemi segmenty sítě [3, s.42]. Enterprise edge má na starosi konektivitu ke všem externím zdrojům včetně přístupu do vzdálených poboček firmy. Core vrstva je agregována do vrstvy distribuční, protože pro její vybudování je nákladné a není dostatečně opodstaněné užitným přínosem.
2
Analýza
potřeb síťového vybavení výrobního podniku
Standardní počítačové sítě se stávají součástí života natolik běžnou, že tento úsek práce se bude zabývat výhradně stavem ve výrobních podnicích. Oproti standardnímu připojení pro domácnosti jsou zde k nalezení zásadní rozdíly ve vztahu ke kvalitativním požadavkům na síťové prostředí.
Základními parametry, které budou rozebírány, jsou především odezvy sítě, šířka pásma, nároky na stabilitu a řešení krizových stavů.
Ve vnitřním prostředí díky novým a technologicky vyspělým zařizením by se měly pohybovat okolo jedné milisekundy. Je to ovšem deklarace spíše odpovídající manažerskému pohledu na věc než technickému. Podíváme-li se na problematiku blíže, tak je nutno položit si otázku k čemu vlastně tak nízké odezvy sítě opravdu potřebujeme. Odpověď bude především kvůli aplikacím pracujícím v reálném čase jako je VOIP, telekonference a video. Ostatní aplikace jsou ovlivněny odezvou sítě jen minimálně a přínos nízkých odezev se může omezit jen na pocitově těžko zjistitelné rychlejší reakce síťových aplikací.
Pro výrobní podnik by odezva způsobená sítí neměla přesáhnout pěti milisekund. Pokud vlastní odpověď sítě ve vnítřním prostředí přesahuje tuto hranici, potom se pravděpodobně ve struktuře vyskytuje zařízení natolik nevýkonné, že je zdrojem zbytečného zpoždění. Druhou podobnou možností může být špatná konfigurace, ať už konfliktního rázu nebo jen nevhodná kombinace využitých funkcionalit zařízení. Je nutno upozornit, že je nutností měřit odezvu na zařízeních, se kterými jsme detailně obeznámeni, a které nemohou svými vlastnostmi vyšší odezvu způsobit. Klasickým příkladem mohou být switche, které jsou optimalizovány k funkcionlitě, ale odezvu pro měření mohou mít vyšší nebo klienti osazené firewallem s inspekcí. Další kvalitativní měření odezvy je v případě tohoto druhů sítí považováno více za managerskou deklaraci, než za účelné vynakládaní prostředků pro jejich vylepšení.
Obecně platí čím více, tím lépe. Jsou to ale účelně vynaložené
prostředky? Ano, ale jen ve specifických případech. Je nutné si uvědomit, že
při využívání klienta na získávání dat v objemu několika desítek megabytů
za měsíc je využití deseti gigabitové sítě plýtváním prostředků podniku.
V obnobných případech je lepší se spíše zaměřit na odezvu sítě
u klienta a případně šetřit náklady volbou levnějších aktivních prvků.
Pro VOIP řešení jsou kvůli výše zmiňované logice využity 100 megabitové switche, protože nárokům na šířku pásma pro hlasovou komunikcaci bez problému dostojí. Pro běžné uživatele je k dispozici gigabitové připojení, které je opodstatněné nyní již nízkými náklady na zařízení podporující tuto přenosovou rychlost a vysokými náklady na uživatele, který je potenciálně zdržován pomalou dostupností informací v případě stahování většího objemu dat. Důležitou roli zde hraje taktéž psychika zaměstnance, které je možné frustrovat pomalou dostupností IT zdrojů. Naopak vysoká propustnost datových sítí je požadována v serverových farmách a datových centrech. Pokud je dodržována struktura klient server, tak nám málo prospěje u uživatele vysoká propustnost, když server bude disponovat propustností nižší. Také k serverům přistupuje naráz více uživatelů, kteří se musí o datovou konektitu k serveru dělit, což opodstaňuje i několik deseti gigabitových připojení k serveru logicky spojené v jedno připojení. Tohoto přístupu využijeme především u připojení CCTV serveru. Taktéž v distribuční části sítě si nemůžeme dovolit žádné zařízení o nízké rychlosti přenosu dat, protože by mohlo být zdrojem takzvaného úzkého krku při připojování se k serverům anebo externím zdrojům. Naopak u Enterprise edge datová propustnost většinou není kritická, protože její objem je determinován rychlostí připojení od poskytovatelů, které bývají drahé, a proto nenabývají vysokých hodnot. Rizikem však mohou být routery, VPN concentrátory a firewally u kterých výrobci deklarují maximální přenosovou rychlost při dané funkcionalitě a občas může být neočekávaně nízká.
Je těžko možné si představit spokojené uživatele, kteří budou využívat počítačovou síť s obrovskou datovou propustností, nízkými odezvami a všemi kvalitativně měřitelnými výbornými hodnotami, ale bude nestabilní. Je potřeba věnovat maximální pozornost, aby bylo takovému stavu předejito. Z tohoto důvodu jsou do návrhu zakomponovány redundantní mechanismy, které mají za úkol výpadkům předejít. Z pohledu výrobního podniku je ale potřeba brát v potaz rozumné náklady na realizaci, proto nejsou využity všude, ale jen na místech s výrazným dopadem na předmět podnikání.
Optimální přístup ke krizovým stavům je zamyslet se, jak jim
vůbec předejít. Z tohoto důvodu je nezbytné zakomponovat maximální objem
redundantních mechanismů v míře pro podnik finančně únosné. Z výše
zmiňovaného vyplývá, že redundantní mechanismy nebude možné využít všude, těžko
si například představit zaměstnance který pracuje na dvou samostatně datově
připjených a napájených serverech v clusteru. Proto v síti dochází k její
segmentaci. Hlavní myšlenkou je omezit dopad výpadku jen na část sítě a tím
i ulehčit lokalizaci zdroje problému.
Dále se může jednat o kvalitní školení personálu zodpovědného za řešení krizových stavů, ale tímto se práce nebude nadále zabývat.
2.5 Základní principy řešení problémů
Všechny zařízení je potřeba monitorovat přes SNMP protokol nebo Netflow protokol. Tento druh dohledu poskytuje mnohé informace. Příkladem mohou být varování o jejich síťové nedostupnosti, využití šířky pásma jednotlivými protokoly nebo využití jejich systémových prostředků. Možnosti tčchto zpráv generovaných širokou škálou komerčních i nekomerčních řešení jsou opravdu široké. Přes vysokou variabilitu informací co mohou být automaticky zasílány odpovědným osobám, je i nadále nezbytné znát základní sadu příkazů. Na klíčová místa struktury sítě byly vybrány především zařízení společnosti Cisco, která disponují promyšleným rozhraním CLI, a které historicky dlouho využívají relativně konzistentní příkazy pro zobrazování základních systémových informací.
2.5.1 Základní zásady pro práci s kabeláží
Kabeláž musí být vedena ve vyvázaných svazcích, aby se dalo mluvit o organizované kabeláži. Toto sice stěžuje identifikování jednotlivého kabelu v tomto svazku, ale dle ukončení svazku se dá okamžitě určit oblast připojená právě tímto vedením. Dále je nuto využívat k uspořádanému vedení na delší vzdálenosti žlaby. V případě, že kabeláž končí na místě s nedostatkem zásuvek a nevadí snížená přenosová rychlost z gigabitového ethernetu na fast ethernet, se osvědčuje používat T-Mod adaptery. Ty díky fyzickému využití všech osmi pinů, oproti fastethernetovému standardu, který využívá piny pouze čtyři, zvýší počet zásuvek z jedné na dvě. K tomuto zapojení jsou zapotřebí dvě tyto zařízení, které jsou zobrazeny na Obrázku č. 1.
Obrázek
č. 1: T-Mod adaptér.
Zdroj: vlastní
2.5.2 Základní příkazy pro diagnostiku problémů z příkazové řádky
Príkazy, které by měly být využívány pro prvotní identifikace, jsou typu show.
Sh switch slouží ke kontrole stacku. Mezi jinými zobrazuje informace, jestli všichni členi stacku jsou v něm aktuálně korektně zařazeni.
Sh stack–power neighbor je využíván ke kontrole napájecího stacku, jestli se všechny switche v něm nainstalované navzájem vidi.
Sh log zobrazí ukázka syslogu daného zařízení.
Sh int status error–disable vyfiltruje zařízení ktere jsou v errorovém stavu.
Sh processes CPU history se používá k zobrazení historie mikroprocesoru za posledních šedesát vterin, šedesát minut a sedmdesát dva hodin
Sh processes CPU zobrazuje aktuální využití procesoru procesy pro aktualni troubleshooting
Není zde cílem popsat všechny příkazy pro diagnostiku, ale zdůraznit několik zásadních, které efektivně a s nízkou náročností na požadovaný čas umožní administrátorovi základní orientaci v problému.
3
Výběr a
opodstatnění navrhovaných prvků
Kapitola se zabývá výběrem a opodstaněním využitých prvků. Jejich výběr je dán různými kritérii, některé jsou funkční, jiné naopak jsou zase ve vztahu k ceně či nebo podmíněné jejich fyzickou dostupností z minulosti. Taktéž pojednává o aspektech podnikání, které způsobí výpadek jednotlivých zařízení, hrajících v designu sítě klíčovou roli. Tyto detaily jsou graficky znázorněny v Příloze č. 3: Mapa výpadků. Tuto analýzu je potřeba provést především kvůli nákladům spojeným s jejich pořízením, které jsou výraně vyšší ve srovnání s ostatním prvky struktury.
Prvky jsou navrženy tak, aby byly schopny požadovaného výkonu,
funkčnosti, měly před sebou dlouhý životní cyklus a podporu. Z těchto
důvodů jsou zvoleny především zařízení společnosti Cisco, které podporují mnoho
propritárních i veřejných standardů a jejich podpora díky silné společnosti
nebude nečekaně přerušena. Pro klíčové části řešení jsou použity zařízení
podporující netflow protokol, který umožňuje detailní analýzu jím
procházejících datových toků, což je především v LAN sítích problém těžko
řešitelný
a zařízení v akceptovatelné cenové hladině pro tyto účely není mnoho.
Switch druhé vrstvy z produktové řady Cisco Catalyst 2960 je
vhodný pro střední sítě
s potřebou bezpečností a gigabitového ethernetu. Z původního záměru využít
tento switch pro implementaci bylo ustoupeno především kvůli restrikcím
v konfiguraci. Zcela klíčová funkce etherchannel pro spojování více
fyzických portů do jednoho logického je podporována jen pro šest případů. Toto
je zcela zásadní restrikce z pohledu začlenění tohoto zařízení do serverových
farem nebo pro začlenění vyšší kvantity než pěti switchů pod něj, protože
ostatní by postrádali toto klíčové nastavení z pohledu redundance. Absence
deseti gigabitového modulu přes metalické vedení mě donutila udstoupit
z uvažováné implementace pro bezpečnostní systém.
Nadále je uvažováno o přepínačích třetí vrstvy produktové řady 3750, která výše zmíněné restrikce nemá.
Toto zařízení v datovém i power stacku je využito jako klíčový prvek infrastruktury, přes který různé segmenty sítě komunikují mezi sebou. V případě jeho výpadku nebudou schopny serverové farmy komunikovat s žádným klientem, zdroji umístněnými v internetu a ani s klienty. Stejný dopad má případný výpadek i na klienty a zdroje umístěné vně společnosti. Dalším požadavkem na zařízení je možnost zaintegrovat do něj některé routovací protokoly a tím snížit počet zařízení participujících na funkcionalitě, co je zdrojem omezení pravděpodobnosti výpadku. Pro výše zmíněný důvod využijeme verzi IOSu IP Base, která obsahuje podporu protokolů třetí vrstvy. 48 portová verze je využita pro počet VLANů které je potřeba propojit přes toto zařízení
Schéma
č. 4: Výpadek ústředního prvku
struktury
Zdroj: vlastní
Schéma č. 4 znázorňuje dopad výpadku vlastně klíčového zařízení. Jeho následkem jsou okamžitě všichni uživatelé odpojeni od serverových farem. Tím je postihne okamžitá nedostupnost všech firemních zdrojů, protože ve společnosti je zachovávána striktní
klient – server struktura. Stejně je to i se zdroji na internetu. Routování z VLANů pro uživatele do internetu okamžitě přerušeno. Stejným způsobem je routováno do vzdálených poboček a i když vzdálené pobočky zůstanou připojeny, tak ani administrativní servery nejsou schopny s nimi nadále komunikovat. Produkční segment sítě zůstavá nadále bez výpadku, protože jeho servery jsou umístěty ve stejném VLANu a tudíž stále dostupné. Problém produkce ovšem zůstává v komunikaci produkčních serverů se vzdálenými pobočkami, kde jsou umístněny ERP systémy. Kvůli této nemožnosti toku dat zůstávají produkční servery neupdatovány, takže další produkce je nezávislá jen do té míry dokud nevyrobí všechny zakázky do výrobních systému stažené před výpadkem sítě.
Hlasová komunikace je i nadále funkční přes připojení providera, ale VOIP trunky do dalších poboček jsou nefunkční, protože data z telefonní ústředny nejsou schopny doroutovat až ke statickým VPN propojům do dalších poboček.
CCTV monitorovací řešení nadále plně nahrává všechny události
dějící se ve společnosti
a security je stále schopna operovat jako při standardním provozu, ale
uživatelé s pravomocemi pracovat s řešením jsou v době výpadku
od řešení odříznuti.
Vzdálený přístup přes firewall je nefunkční, protože uživatelé se nebudou schopni autorizovat proti doméně. ILO a IP KVM nejsou schopny fungovat.
Bezdrátové řešení není schopno navázat LDAP autorizaci proti domain kontrolerům a je nefunkční. Tento druh výpadku je nanejvýš kritický a v jeden čas může zasáhnout až 320 uživatelů.
Tyto switche pracující na třetí vrstvě 0SI protoklu jsou zvoleny pro serverové farmy. Klíčovými požadavky na ně jsou především vysoký počet portů a neomezený počet etherchannelů, kterými je možné redundantně připojit servery. Pokročilé routovací funkce nejsou požadovány, proto je zvolena verze IOS LAN Base.
Schéma
č. 5: Výpadek switchů pro serverové
farmy
Zdroj: vlastní
Výpadky těchto layer 3 switchů, které jsou pro tyto konkrétní účely využívány na druhé vrstě musí být rozděleny, protože jejich dopady jsou velmi odlišné. Schéma č. 5 je proto níže rozepsáno na dvě části.
V případě 2a jsou uživatelé úplně odříznuti od
administrativní serverové farmy, internetového připojení i možnosti komunikovat
se vzdálenými pobočkami. Což resultuje v nemožnost pracovat se SAPem a
administrativními systémy. Nadále zůstává možnost využívat prodkuční servery,
ale jen s aktuálními daty, není možné stáhnout nové zakázky. Také
expedování vyrobených produktů je nemožné, protože výrobní systém předává informace
nezbytné pro úspěšné odeslání EDI signálů SAPu. Zaměstnanci vykonávající
činnost z lokací vně společnosti se nebudou schopni se přihlásit do
vnitřní sítě, protože pouze dosáhnout na vnější VPN koncentrátor, ale
neproběhne autorizace proti doméně. Vnitřní komunikace přes VOIP a hlasová
komunikace do veřejné telefonní sítě nebudou zasaženy, ale VOIP trunky do
vzdálených poboček Inventecu budou nefunkční. IP KVM
a ILO vzdálené přísupy zůstanou nadále plně funkční pouze pro vnitropodnikové
využití. CCTV řešení zůstává plně funkční, avšak nedostupné pro pracovníky
vykonávající svou činnost fyzicky vně společnosti.
Bezdrátové řešení není schopno navázat LDAP autorizaci proti domain kontrolerům a je nefunkční. Tento výpadek okamžitě zasáhne až 140 uživatelů
V případě výpadku 2b jsou odříznuty produkční servery od produkčních klientů a zbytku sítě. Tento stav okamžitě kompletně ochromí kompletní výrobu, že zaměstnanci mohou provádět pouze nevýrobní operace. Produkční servery jsou kompletně odstaveny od zbytku sítě, takže nemohou být updatovány ani jinak spravovány. Oproti tomu administrativní část sítě zůstává nedotčená, komunikace se zákazníkem může probíhat jak prostřednictvím internetu, emailové komunikace, VOIP a jiných. Taktéž nenástává žádný dopad na spojení s ostatními částmi společnosti. I přes výše zmiňované zůstává dopad na společnost vysoce kritický, protože může okamžitě zasáhnout až 180 pracovníků produkce.
Zde jsou zvoleny zařízení obsahující 24 portů a nejnižší možnou verzi IOS. Ve struktuře pod nimi budou zapojeny přístupové switche pro klienty ve výrobním segmentu firmy. Vzhledem k plně využívanému prostoru v produkční části společnosti není pravděpodný další nárůst zařízení pod ně připojených, proto není uvažováno o víceportové verzi. Klíčovým zůstává podpora etherchannelu pro všechny porty, aby všechny aktivní prvky byly připojeny redundantně.
Schéma
č. 6: Výpadek switchů zodpovědných za
datovou konektivitu aktivních prvků na produkční hale
Zdroj: vlastní
Ve Schématu č. 6 je zobrazen výpadek switchů, pod které jsou zařazeny ostaní produkční switche. Každý z těchto výpadků switchů znamená okamžitý dopad na zaměstnance produkční oblasti. Tento dopad je zhruba rovnoměrný, protože každý obsluhuje zhruba polovinu produkční haly, ale liší se částmi produkčního procesu, které jsou postižené. V prvním případě je okamžitě vyřazena z provozu kompletace serverů, pozice pro vyměňování vadných částí a první inspekce kvality.
Ve druhém případě je postižen test ukostření, finální inspekce kvality, pozice zodpovědné za balení produktu a kompletní struktura pro expedici.
Oba tyto výpadky lze nadále považovat za kritické, protože každý z nich má dopad na devadesát zaměstnanců.
Zařízení ASA5512 je využito jako firewall na primárním přístupu
do internetu a VPN koncentrátor. Jsou na něm zakončeny dynamické Ipsec tunely
uživatelů, kteří přistupují z veřejného internetu, což jim umožní pohodlný
přístup ke všem firemním zdrojům
a pravidla firewallu a pro NAT. Network address translator
je využit ve dvou variantách. Statický NAT společně s pravidly
definovanými access listem je použit pro přístup na servery ze specifických
rozsahů vnější sítě a restriktován pouze na specifické služby. K této
restrikci je využito definice portů služeb na čtvrté vrstvě OSI. Naproti tomu
dynamický NAT je využit pro přístup mnoha uživatelů z vnitřní sítě jen
přes jednu IP adresu veřejnou. Bohužel produktová rodina zařízení ASA
nepodporuje stackování, které by umožnilo využít kompletní zdroje obou zařízení
naráz a proto je nutno přistoupit k řešení active – standby, kdy obě
zařízení mají nakonfigurovanou jednu statickou IP adresu a jedno zařízení je
primární a tím funkční. Sekundární zařízeni repetivně zasílanými zprávami
zjišťuje dostupnost primárního zařízení na síti a v případě jeho
nedostupnosti přebírá jeho funkcionalitu, aniž administrátor by musel přikročit
k manuální konfiguraci. Nevýhodou konceptu je aktivita pouze jednoho
zařízení v daný čas, ale není zásadním způsobem na obtíž, protože konektivita
do internetu je stále nejméně propustným místem, které i jedno zařízení zvládne
plně obsloužit.
Schéma
č. 7: Výpadek hlavního firemního
firewallu
Zdroj: vlastní
Schéma č. 7 znázorňuje
výpadek firewallu. Vnitropodnikové služby a konektivita ke vzdáleným pobočkám
zůstanou plně zachovány. Problémy způsobuje jiným způsobem. Není možné se
připojit z lokací vně společnosti, což znamená okamžitou nedostupnost
všech zdrojů pro pracovníky vykonávající svou činnost z domů, pro
uživatele na pracovních výjezdech, ale i nedostupnost služeb pro všechny mobily
a tablety. Dále není možné z vnitřních prostor společnosti využívat zdroje
internetu i odesílání emailů ven ze společnosti není možné, ale přijímání
emailu zůstává nezasažené díky přesměrovávání z dalších poboček. Všechny
servery se službami pro externí společnosti jsou nedostupné
a není možné využívat vzdálenou kontrolu přes ILO a IP KVM. Tento stav má dopad
především na administrativní pracovníky, protože produkční klienti jsou drženi
jen ve výrobním segmentu sítě.
Důvodem pro instalaci zařízeni Cisco WS-C3750X-24P-L je především
jeho vysoká propustnost, podpora PoE a možnost instalace modulů komunikujících
přes kroucenou dvojlinku rychlostí deseti gigabitů. Na krátkou vzdálenost, kde
je připojen k serveru fungujícímu jako primární úložiště a poskytujícímu
ovládací rozhraní security řešení je optické připojení zbytečnou komplikací.
Starosti vzbuzují především fyzické vlastnosti optického kabelu, ale i
akceptování optických modulů základní deskou například po upgrade IOS.
Podporované PoE je využito pro napájení přes datové vedení. Díky tomu není
třeba vest elektrické napájení až k bezpečnostním kamerám, které se často
nacházejí
v těžko dostupných místech.
Schéma
č. 8: Výpadek switchů pro CCTV řešení
Zdroj: vlastní
Výpadek znázorněný ve Schématu č. 8 ovlivní výlučně monitorovací řešení. Zcela zásadním aspektem je nedostupnost jejich serverů. Vzhledem k jejich funkcionalitě kdy slouží jako úložiště pro data stream, ale i jako primární instalace security systému, tak vyřazení je zcela kompletní. Kamery zapojené přímo do těchto switchů i přímou cestou přestanou běžet, protože jsou napájeny přes PoE, ale proti ostatním tento stav není nevýhodou. Zbytek kamer zůstává běžet, ale jejich datový stream je ztracen a není možné se k nim připojit, aby byly v realném čase využity pro monitorování. Tento stav představuje pro společnost zásadní riziko, protože všechen monitoring včetně archivovaných záznamů je po dobu výpadku nenávratně ztracen.
Nasazením wireless kontroleru oproti bezdrátové struktuře sestávající se z jednotlivých access pointů je získáno hned několik výhod. Administrace z jednotného rozhraní, které přináší zvýšenou úroveň zabezpečení eliminací repetivních manuálních zásahů a zařízením designovaným specificky pro konsolidaci bezdrátové komunikace. Taktéž access pointy jsou schopny automaticky přesouvat uživatele z jednoho na druhý, když se pohybuje, aniž by uživatel zaznamenal přerušení služby. Tato funkcionalita je klíčové specificky pro aplikace, které obsahují bezpečnostní mechanismus, který uživatele odpojí, když se v krátkém časovém intervalu připojí z různých míst sítě. Tohoto stavu se dá dosáhnout velice jednoduše pohybem po objektu.
Schéma
č. 9: Výpadek wireless kontroleru
Zdroj: vlastní
Při výpadku znázorněném ve Schématu č. 9 všichni uživatelé okamžitě přijdou o bezdrátové připojení. Tento stav je nebezpečný především proto, že některé lokace jsou obsluhovány výlučně bezdrátovým připojením. U administrativních uživatelů toto znepokojení není zásadní, protože všichni zaměstnanci, kteří jsou vybavení desktopy, mají i pevné připojení přes metalickou kabeláž a uživatelé vybavení notebooky jsou vysoce flexibilní a mohou se přemístit na místa kde je drátové připojení k dispozici. Největší znepokojení vyvolávají desktopy s pouze bezdrátovým připojením umístěné na produkci. Ty není možné jednoduše připojit kabelem a navíc ohrožují posloupnost výrobního procesu. Aby se předešlo těmto celkovým výpadkům, budou rozmístěny po společnosti stand alone access pointy, které se autorizují proti doméně přes RADIUS server. Využitím této struktury by vzniklo několik SSID, což je matoucí z pohledu uživatelů a nevhodné z pohledu IT správy. Proto tyto samostatně stojící zařízení během běžného provozu nebudou zapnuty, ale pouze nainstalovány na předem definovaných lokacích. Jejich start bude řešen pomocí kolébkového vypínače a napájení PoE, které bude posíláno přes patch panel, jak je vyobrazeno na Obrázku č. 2.
Obrázek
č. 2: Kolébkový vypínač pro PoE
Zdroj: vlastní
Díky nasazení samostaně stojících access pointů a samostatného napájení vyplývá, že implementace bezdrátového kontroleru je především spojena s flexibilitou a pohodlím uživatelů a její výpadek nezpůsobí kritický stav síti.
Nejsou optimalizovány pro poskytnutý užitek, ale jsou využity především zařízení, které nebylo potřeba nově pořizovat. I tyto zařízení však pro uživatele musí poskytovat gigabitovou rychlsot připojení a podporovat funkci etherchannel, aby mohly být připojeny minimálně ze dvou na sobě nezávislých aktivních prvků. Tento přístup je odůvodněný především cenou nákupu, ale i relativně nízkým počtem zasažených uživatelů v případě výpadku.
4 Design sítě, vytvoření síťové mapy a konfigurace aktivních prvků
Cílem této kapitoly je poskytnutí konkrétních nákresů, návrhů a konfigurací jednotlivých zařízení, aby poskytly přehled, ze kterého je možno vycházet při aplikaci řešení. Dalším výstupem je mapa prvků pro řešení závad, které grafickou formou navázanou na klíčové součásti konfigurace umožní efektivní identifikaci závad.
Pro transparentnost vysvětlovaných funkcí, je využit nejdříve
logický design zobrazený
v Příloze č. 1, kde jsou vyčleněny
všechny prvky, které nejsou zásadní, a zaměřuje se pouze na klíčové vlastnosti
sítě a na nich zdůrazňuje logické návaznosti. Naopak fyzický design v Příloze č. 2 už zakresluje skutečný
stav, včetně všech zařízení a kabeláže.
K vytvoření byly použity standardní značky využívané společností Cisco systems. Není zde snaha zakreslit všechny prkvy participující na síťovém řešení, ale jsou zakresleny jen klíčové součásti, na kterých je vysvětlena funkcionalita síťe. Jedná se o maximální možné zjednodušení, jehož účelem je určit směr řešení, prezentace managementu, ale ne přesné zakreslení skutečného stavu.
Prvkem nejzásadnějšího charakteru je Cisco 3750x-48T-S, které segmentuje síť do více subnetů, kde každý subnet má definován vlastní VLAN. Cisco 3750x-48T-S je switch pracující na 3. vrstvě OSI protokolu což je klíčové pro troubleshooting. Vzniká tak segmentace sítě, broadcasty se nedostanou do dalších subnetů, dokud není zadán příkaz IP helper-address. To je zásadní z pohledu zahlcování šířky pásma, ale i při službách jako DHCP, kdy spuštění druhého DHCP serveru neznamená výpadek pro celou síť, ale pouze pro subnet, který byl neautorizovaným DHCP serverem zasažen [9, s. 353]. Konfigurace VLANu je dynamická, což vyžaduje, aby byly nakonfigurovány až na zařízeních druhé vrstvy zařazením access portů do patřičného VLANu. Dále využívá dynamického routovacího protokolu boarder gateway protocol v kombinaci s poníženou prioritou statické routy, aby zůstalo zachováno připojení do matčiné části společnosti, kde běží služba SAP, spam brána pro příchozí emaily, VOIP komunikace a další. Díky tomuto designu je automaticky switchováno ze statické EVPN služby (běžící na fyzické kabeláži poskytované O2) od společnosti AT&T na statické VPN tunely konfigurované a udržované společností Inventec na Ciscu 2811. Tato konektivita pak využívá odlišného providera - společnost Maxprogress, aby byla zajištěna odolnost proti výpadku na straně providera.
Pro přístup do firmy z internetu a naopak z firmy do internetu má nejvýznamnější postaveni firewall Cisco ASA 5512. Uživatelé a služby jsou routovánín z vnitřní sítě donuceni přistupovat do internetu přes tento firewall, kde jsou definovány access control listy omezující provoz který je nežádoucí. Taktéž jsou nastaveny statické NATy pro přistup zařízení, které potřebují veřejné IP adresy a NAT s overloadingem (PAT) pro přístup užívatelů vnitřní sítě do internetu. Taktéž funguje jako koncentrátor dynamických VPN klientů.
Pro přístupovou vrstvu jsou využity především gigabitové switche DGS 3224 TGR jejich hlavní výhodou je jejich fyzická prezence ve společnosti a podpora technologie port group, která je kompatibilní z Cisco technologií etherchannel. Z výše uvedených důvodů vyplývá nutnost nulových investic, dostatečná podpora podpora protokolů a akceptovatelná šířka pásma pro provoz datových aplikací.
Se snaží o vyčerpávající zakreslení všech nuancí fyzického zapojení a všech aktivních prvků, které participují na poskytovaném řešení pro koncového uživatele. Barvami jsou ohraničeny specifické lokace. I v něm je rezignováno na detaily, které nemají vliv na finální funkcionalitu jako například zapojení portů do nekonfigurovaného switche, který pracuje v nativním VLANu.
Zde je možné si zvolit mezi dvěma variantami popisu. Jednak je možné se vydat cestou popisu fyzického rozložení prvků, kde se půjde v topologii od vnějšího připojení WAN nebo providerů internetového připojení, přes strukturu aktivních prvků, využitých protokolů až po klientské přístupy. K pochopení schématu však lze vnímat jako vhodnější logické dělení zobrazené v Příloze č. 1, které bude následně rozebráno.
Klíčovým prvkem struktury je switch pracující na třetí vrstě OSI protokolu. Díky tomu je schopen omezovat broadcastovou doménu a zajistí intervlan routing. Tyto dvě vlastnosti jsou klíčové pro segmentaci sítě a budoucí troubleshooting. Jejích zásadními výhodami jsou omezení broacastů jen pro daný VLAN, čímž je radikálně uspořena šířka pásma pro ostatní aplikace na úkor broadcastového vysílání, které často jen zahlcuje síť. Pokud ovšem broadcastové vysílání je zásadního rázu pro funkčnost sítě a potřebuje být šířeno napříč všemi VLANy (v našem případě se jedná například o DHPC nebo PXE), tak lze definovat tyto povolené prvky příkazem ip helper-address (povolená IP adresa), kdy jsou pak broadcasty posílány do všech segmentů sítě a daná služba tedy může tedy běžet jen na jednom zařízení. Klíčového významu toto dělení nabývá v případě troubleshootingu. Například v našem konkrétním případě uživatel pustil neautorizovaný DHCP server. Pokud by se jednalo o nesegmentovanou topologii sítě, tak tato akce znamená přímý dopad na všechny uživatele sítě, kteří budou náhodně dostávat informace o IP adrese, kterou mají využívat od jednoho ze dvou aktuálně běžících serverů. Taktéž by se tento neautorizovaný DHCP server mohl fyzicky nacházet v jakékoliv lokaci sítě. Rozdíl při segmentaci na VLANy je zřejmý. Namísto výpadků objevujících se po celé síti, bude zasažen pouze jeden VLAN, kde neautorizovaný DHCP server běží, což výrazně omezí počet zasažených klientů i plochu kde tento server může být umístěn. Dalšími případy kde se obdobně projeví výhody dělení na VLANy jsou například virové infekce nebo funkční poškození aktivních prvků, kdy nebude zahlcena celá síť, nýbrž jen její VLAN. V aktuálním designu tedy jen kolem jedné patnáctiny sítě.
Do catalystu WS-C3750X-48T-S jsou připojeny všechny switche, které poté definují VLAN. Zde je možno využít dva základní druhy přístupu k řešení daného problému. Prvním je staticky definovaný VLAN na úrovni portu. To znamená, že daný port má fixně zadané číslo VLANu a rozsah IP adres pod ním běžícím. Tato implementace selhává především při jakékoliv alternaci s kabeláží. Klienti v případě špatného zapojení kabeláže mají jiný přidělený jiný rozsah IP adres, než který je přidělen danému portu, což ústí v jejich okamžitou nefukčnost. Tomuto stavu předcházíme jednotnou konfigurací portů, kdy VLAN je definován až na zařízení druhé vrstvy. Nevýhodou je především potenciální hardwarový pád těchto switchů. Dopady takového stavu je však možné minimalizovat exportem konfigurací a následným uploadem v případě potřeby. Nevýhodou zůstává nemožnost definovat na komunikaci specifických VLANů mezi sebou (například nechceme, aby produkční klienti mohli do administrativní sítě, zatímco servery tento přístup potřebují) na úrovni trunkových portů, protože bychom ztratili variabilitu zapojení kabeláže. Tento nedostatek je odstraněn filtrem jemnějším a detailněji nakonfigurovatelným – access listem.
Access list na WS-C3750X-48T-S je používán k omezení přístupu produkčních klientů do jiného než výrobního VLANu. Zde už je vidět první důvod nezbytnosti access control listu, protože naopak od produkčních klientů servery dedicované do výrobního VLANu pro jejich přímou spojitost s výrobním systémem potřebují dosáhnout externích zdrojů. Aplikováním access listu na vnitřní rozhraní Vlanu čtyři v Příkazovém řádku č. 1 se dostane možnost omezit specifické klienty, aniž by se omezil koncept volně zapojitelných portů.
interface Vlan4 |
ip address 10.13.4.254 255.255.255.0 |
ip access-group 1 in |
Příkazový řádek IOS č. 1: Aplikování access listu na VLAN
Zdroj: vlastní
Dále je potřeba IP adresy, které mohou přes daný access list procházet, v našem případě to jsou aktivní prvky a servery.
access-list 1 permit
10.13.4.158
access-list 1 deny any
Příkazový řádek IOS č. 2: Implicitní pravidlo access listů
Zdroj: vlastní
Poslední řádek konfigurace access listu v Příkazovém řádku č. 2 definuje implicitní pravidlo všech access listů, že je potřeba zahodit všechen ostatní nedefinovaný síťový provoz. Není ho třeba psát, ale je zmíněno pro transparentnost konfigurace.
4.3.4 Prevence smyček na kabeláži
Dalším zásadním principem využitým pro zvýšení stability sítě je spanning tree protokol, respektivě jeho novější verze rapid spanning tree protokol. Jedná se o řešení, které umožňuje sítím rezistenci vůči podobným smyčkám v kabeláži jako je znázorněno ve Schématu č. 10.
Schéma č. 10 Ukázka smyčky na druhé vrstě OSI protokolu
Zdroj: vlastní
Je potřeba definovat root bridge což je aktivní prvek, který bude mít nejvyšší prioritu portů (nejvyšší prioritu má prvek s nejnižším přiřazeným číslem). Poté jsou definovány prvky s nižší prioritou. V případě, že se v kabeláži objeví smyčka, tak port zařízení s nejnižší prioritou je automaticky přenastaven do logicky zablokovaného stavu. Pokud chceme vyřadit tuto logiku z kontrolování, tak zadáme spanning-tree port fast, což má za následek funkčnost zařízení okamžitě po zapojení, ale riskujeme výskyt smyček, které mohou mít fatální následky.
Pod switchem třetí vrstvy jsou zapojeny switche, které vytvářejí VLANy se specifickými účely, kterou jsou níže popsány.
VLAN1 je nativní. To znamená, že je automaticky šířen, pokud není nakonfigurováno jinak. Bývá ve většině domácích řešení použit pro veškerou komunikaci, aniž by vlastníci sítě věděli, že ho používají. Pro nás je z výše uvedených důvodů ideální pro administraci síťových zařízení. Budeme ho tedy nadále využívat pro konfiguraci aktivních prvků pro přístup na ně přes telnet, http nebo https a ssh.
VLAN2 je pool IP adres, které jsou přiřazovány pracovníkům, kteří se připojí na VPN koncentrátor – v našem případě totožný s firemním firewallem Cisco ASA5512x. Odtud nadále vzdálení pracovníci se chovají jako logičtí členi firemní sítě a s vyjímkou nezbytnosti zapnutého Cisco VPN klienta, limitací šířkou pásma, kterou mohou využívat od svého poskytovatele připojení a šířkou pásma co mohou využít z připojení Inventecu jsou schopni pracovat identicky jako když jsou fyzicky přítomni v kanceláři.
VLAN3 je využíván jako serverová farma pro administrativní klienty. Taktéž aktivní prvky, na které je zaměřeno routování a tím pro ně není optimální nativní VLAN, tak se nacházejí ve VLANu3. V tomto VLANu je výrazně omezena funkce DHCP, protože případná změna IP adresy by měla kritické důsledky. Bylo uvažováno i o rezervaci dané IP adresy pro specifická zařízení, ale ani tento přístup nebyl zvolen, protože do funkcionality serverů by zbytečně zasahoval DHCP server, který v tomto případě znamená pouze riziko spojené s vlastní funkčností v kontrastu s jednoduchou manuální IP konfigurací. Navíc tato IP konfigurace probíhá pouze jen jednou a poté už ji může ovlivnit pouze výpadek na úrovni vlastního zařízení. Vnější přístup do tohoto segmentu je ovlivněn nastavením firemního firewallu ASA5512, který nutí uživatele vnitřní sítě přistupovat přes firemní proxy server, protože ostatní klienti mají http a většinu ostatních protokolů zakázaných. Naopak FTP přístupy na stažení dat z venkovního prostředí jsou povoleny. Taktéž v tomto segmentu se nachází servery pro dohledávání dat zákazníků. Pro jejich zpřístupnění je na firewallu definován statický NAT, který mapuje jedna k jedné veřejnou IP adresu na IP adresu z rozsahu vnitřní sítě. Nadále jsou potřebné protokoly povoleny jmenným access control listem.
VLAN4 je dedikován pro výrobní účely. Kvůli standardně využívané masce sítě 255.255.255.0 je možno do produkce přidělit jen 253 klientů. Zde je potřeba změnit masku 255.255.254.0 a tím rozšířit počet klientů na 507. Tento segment je kritický z pohledu dopadu výpadku na počet zasažených pracovníků. V případě vytížené výroby v jeden moment tento výpadek může zasáhnout přibližně až 200 pracovníků. Z tohoto důvodu je mu potřeba věnovat maximální pozornost z pohledu redundance. Ve výrobní serverovně je potřeba jeden pár switchů v datovém i napájecím stacku, taktéž každou polovinu haly obsluhuje pár switchů ve stacku jak datovém, tak napájecím. Tyto stacky jsou propojeny pokažde dvojicí kabelů, kdy každý je tažen ze samostatného switche, aby v případě výpadku jednoho switche zůstalo řešení plně funkční. Tyto dvojice kabelů jsou poté logicky spojeny v jeden technologií etherchannel, která oproti technologii hot standby je schopna využít plnou přenosovou rychlost obou fyzických kabelů. Pod těmito stacky switchů jsou zapojeny jednotlivé switche s jediným redundantním mechanismem – etherchannel obsluhovaný přes dva porty kde je každý připojen z jiného switche. Protože jejich výpadek má dopad maximálně na dvacetdva produkčních klientů (dvacetičtyř portový switch se dvěma porty pro uplink). Tyto switche jsou nadále rozmístněny po hale, aby mohly pokrýt výrobní proces.
VLAN30 je využíván pro vzdálenou správu a administraci serverů. Nejedná se o běžně využívané techniky vzdálené správy, ale o varianty pro řešení krizových stavů. Především jde o klíčové vlastnosti, které nepotřebují funkční servery na úrovni operačního systému, ale proprietární Hewlett Packard technologií ILO je možné se připojit i na fyzicky vypnutý server. Přistupuje se přes webové rozhraní, kdy ILO je připojeno přes RJ45 konektor a zůstává napájeno i když je server vypnutý. Díky této vlastnosti je možno emulovat ve webovém prohlížeči i tlačítka reset a vypnutí a zapnutí elektrického proudu. Dále jsou přístupny logy systémových čidel na úrovni BIOSu a v ILO advanced, což je placená verze, ve které je dostupná varianta adekvátní remote desktopu běžící ve webovém prohlížeči. IP KVM switche umožňují stejně jako standardní KVM kontrolovat s užitím jedné myši, klávesnice a monitoru více serverů. Rozdílem je IP přístup na tyto IP KVM switche přes webový prohlížeč s podporou Javy. Díky této vlastnosti je možné server kontrolovat v jakékoliv části bootování, včetně konfigurace BIOSu z pohodlí kanceláře nebo domova.
VLAN33, VLAN35 – VLAN40 jsou běžně konfigurované VLANy využívané pro přístup administrativních klientů. Mají za úkol omezit úroveň broadcastů a velikost prostoru kde by byly využívany, čímž přispívají ke stabilitě prostředí, propustnosti sítě a troubleshootingu řešení.
VLAN31 je využíván pro VoIP (Voice over IP). Do veřejné sítě je připojen přes PRI (ISDN30), která je adekvátní přenosovou rychlostí symetrické 2 Mbps lince, je schopna obsloužit v jeden moment až 30 souběžně probíhajícíh hovorů a je zakončena v telefonní ústředně Alcatel Omni PCX. Z ústředny jsou vyvedena připojení na čtyři základnové stanice, co obsluhují DECT bezdrátové telefonní přístroje. Deskové stolní přístroje jsou připojeny pomocí IP sítě, kdy jsou i její pomocí napájeny přes power injektors – Planet POE 1200 standartem power over ethernet. Komunikace do vzdálených poboček probíhá dle interního číslovacího plánu, přes IP trunky a hlasový protokol H323. Poté co je definována voice gateway, tak jsou packety doručeny na zařízení Cisco3750 a nadále routovány k cílům stejnými pravidly jako ostatní síťový provoz.
VLAN32 je využit pro testovací síť HPDiags. Je v ní okolo 30 serverů, které pro komunikaci ve více sítích využívají přebridgování pomocí většího počtu NIC (network interface card). Z tohoto vyplývá jejich možnost komunikovat se všemi fyzicky oddělenými sítěmi, do kterých jsou připojeny. Důvod jejich připojení v tomto případě je pouze možnost administrovat tyto servery vzdáleně z administrativní sítě, přistupovat na ně z internetu a administrovat testovací síť prostřednictvím těchto serverů.
VLAN34 je nastaven pro CCTV řešení. Využit je switch s minimálně dvěmi rozhraními pracujícími na desetigigabitovém ethernetu. Důvodem jsou extrémní požadavky na rychlost komunikace se servery uchovávajícími video stream z IP kamer. IP kamery mohou být v první fázi umísťovány do aktualní struktury, pokud všechny switche budou napájeny z UPS (uninterruptible power supply). Tím by byla zajištěna jejich funkčnost i v případě výpadku elektrického proudu, která je nezbytná, aby ostraha mohla i nadále vykonávat svou činnost a nezůstala bez video záznamu ve chvílích přerušení distribuce elektrické energie z veřejné sítě. Pokud by výpadek proudu byl delší dobu, funkčnost UPS zastupuje diesel agregát. V případě instalace vyšší kvantity kamer nebo požadavku na vysoký počet snímků za vteřinu ve vysokém rozlišení, by bylo potřeba vybudovat samostatnou strukturu přímo podřazenou pod stack switchů pro IP kamery.
VLAN41 – 44 Jsou identické svým využitím jako VLAN33, VLAN35 – VLAN40. Rozdíl tvoří jejich umístění na produkční hale.
Řešení pro připojení WAN a vzdálených poboček Inventecu. Ze
zařízení
Cisco WS-C3750X-48T-S je obsluhován vnitřní rozsah české pobočky v rozsahu
10.13.0.0/16 díky definovaným VLANům. Další části jsou už směrováný statickými
routami:
1. ip route 0.0.0.0 0.0.0.0
10.13.3.2
2. ip route 10.0.0.0
255.0.0.0 10.13.3.5
3. ip route 10.8.15.60 255.255.255.255
10.13.3.1
4. ip route 10.13.2.0
255.255.255.0 10.13.3.2
5. ip route 143.162.128.0
255.255.252.0 10.13.3.5
6. ip route 161.114.4.160
255.255.255.224 10.13.3.5
7. ip route 192.168.0.0
255.255.0.0 10.13.3.5
Příkazový řádek IOS č. 3: Routy
Zdroj: vlastní
První routa v Příkazovém řádku č. 3 je obecná, která směřuje všechen detailněji nespecifikovaný provoz na 10.13.3.2 což je firewall brána do internetu. Zde je namístě zmínit, že takové pravidlo na prvním místě definice rout není kolizní, protože statické routy se rozhodují podle “best fit” pravidla. Toto pravidlo říká, že IOS, nebo jiný operační systém aktivního prvku projde všechny statické routy a poté daný provoz pošle na prvek pracující na třetí vrstvě OSI protokolu, který má nejpřesnější shodu cílové IP adresy s prefixem ip routy. Druhá routa na 10.0.0.0 255.0.0.0 10.13.3.5 posílá všechen vnitřní provoz na cisco 1841 které už je navázané na BGP protokol na EVPN připojení od AT&T a sekundární route má nastavenou na záložní VPN statický tunel od společnosti Maxprogress. Třetí routa využívá sekundární VPN tunely na zálohování na server 10.8.15.60. Čtvrtá routa je pro připojení vzáleně pracujícíh přes dynamický Cisco VPN klient. Pátá, šestá a sedmá routa jsou specifické rozsahy sítí přístupné přes vnítřní routování ve struktuře Inventecu.
4.3.7 Cisco 3750 s BGP protocolem a statickou routou
Cisco 3750 je v zásadním prvkem z pohledu routovacích protokolů.
router bgp 65109
no
synchronization
bgp
log-neighbor-changes
network
10.13.0.0 mask 255.255.0.0
neighbor
10.13.3.3 remote-as 65001
no
auto-summary
ip route 10.0.0.0 255.0.0.0 10.13.3.1 200
Příkazový řádek IOS č. 4: Podpora BGP
Zdroj: vlastní
V Příkazovém řádku č. 4 vidíme označení routeru pro boarder gateway protocol, vnitřní rozsah české sítě a informaci na který sousední router má být provoz odesílán. 10.13.3.3 je prvním routerem ve struktuře, který je udržován společností AT&T. Je k němu přes AUX port připojen modem, který je ve struktuře za ISDN BRI, aby bylo možno na něj přistoupit i v případě, že celá IP síť bude nefunkční. Dále na posledním řádku konfigurace je zásadní součástí konceptu statická routa s poníženou prioritou na 200. Čímž dosahuje nižší priority než routy naučené boarder gateway protokolem a tím je z ní routa sekundární, což znamená, že bude využita v případě nedostupnosti primární routy definované boarder gateway protokolem.
Před 10.13.3.3 směrovačem společnosti AT&T se ještě nachází zařízení Allot NetEnforcer AC-402. Jedná se network accelerator, jehož účelem je komprimovat přenášená data a tím uspořit šířku pásma nezbytnou pro komunikaci. Obzvláště při WAN implementacích nasazení podobných zařízení může přinést velkou úsporu v nákladech snížením rychlosti propoje, kterou je nezbytné si objednat od poskytovatele. Samozřejmostí je nezbytnost druhého zařízení na opačné straně propoje, aby mohlo provoz dekomprimovat a nadále ho poslat ve standardním tvaru.
Pod připojením od O2, které se skládá ze dvou spojených
symetrických metalických okruhů o rychlosti 2 Mbps a které poskytovatel prodává
pod marketingovým názvem IOL digital je připojeno Cisco 1721. Přímo pod ním je
do switche SMC 108-DT připojeno
4 Mbps z internetu a poté hlavní firemní firewall ASA5510. Důvod
přítomnosti SMC switche je čistě pro troubleshooting. Přes něj se dá odstínit –
případně i fyzicky odpojit kompletní struktura Inventecu. Po připojení a
statické konfiguraci diagnostického zařízení na SMC switch, se dá otestovat
stav sítě O2, což poskytuje jasnou argumentační základnu pro další vyjednávání
s poskytovatelem. V minulosti bylo na místo SMC switche uvažováno o
instalaci hubu. Tento plán byl opuštěn kvůli rizikům spojených
s bezpečností. Jedná se především o vlastnost hubu, kdy toto zařízení
automaticky broadcastuje traffic přijatý z jednoho portu na všechny porty
ostatní. Kolizní doména tímto vzniklá by neznamela problém, protože v hubu
by byly aktivní maximálně tři porty. Rizikem se především jevilo, že při
neautorizovaném přístupu do serverovny by útočníkovi stačilo pouze fyzicky
připojit datový kabel do hubu, nastavit IP konfiguraci a zprovoznit na
klientovi sniffer. Poté by mohl analyzovat všechen provoz mířící z a do
internetu. Pod SMC switchem je zapojen firewall ASA5510, který funguje jako VPN
koncentrátor pro pracovníky fyzicky v továrně nepřítomných. Taktéž na něm
běží dynamický NAT pro přístup klientů do internetu, statické naty pro
specifické služby poskytované vnitřní struktrou společnosti a sada pravidel
omezujících provoz z a do internetu nastavená přes jmenný access list.
4.3.10 Záložní VPN tunel a připojení pro návštěvníky
Záložní připojení do vzdálených poboček Inventecu a přístup pro hosty je postaven přes symetrické připojení s rycholstí 4 Mbps od společnosti Maxprogress. Hned gigabitovým konventorem optického připojení CS-1300 je switch od společnosti D-Link DES1008D. Je využit k prostému rozdělení připojení, aby mohlo být využito pro dva účely. Důvod proč není sofistikovaněji přidělena šířka pásma je především míra vytíženosti připojení. Jak záložní VPN propoje na vzdálené pobočky Inventecu, tak připojení pro návštěvníky je zatížené minimálně. Pro návštěvníky je využito Cisco1841, které plní jak funkci DHCP klientu, tak dynamického NATu a statického NATu. Dále jsou jeho pomocí filtrovány cílové MAC adresy, co mají zakázaný přístup do internetu. Za Ciscem 1841 se už nachází pouze pár switchů a access pointů které jsou bez restrikce přístupné komukoliv. V dnešní době není běžné mít bezdrátové přístupové body nezabezpečené, ale vzhledem k lokaci společnosti v polích centrálního technologického parku zatím nebyl zaznamenán incident spojený s jeho zneužitím zásadnějšího rázu. Tyto nedostatky vyvažuje možnost využívat přístupové body bez konfigurace na straně uživatele.
4.4 Konfigurace klíčových zařízení
Jde o zdůraznění konfigurací prvků zásadního významu a vysvětlení jejich funkce v konečném designu sítě. Budu využívat pouze fragmenty konfigurace, protože na některých zařízeních výrazně přesahují rámec součástí, co chci demonstrovat, a dosahují stovek řádků.
Cisco 3750 je klíčovým prvkem zdůrazněným v Příloze č. 2 pod označením 3750X-48T-S. Na jehož základě dochází k segmentaci vnitřní síť. Touto konfigurací je umožněno vytvořit na prvku k němu připojeném vlastní VLAN, aniž by administrátor byl zatěžován, do kterého portu patří daný patch kabel. Taktéž na tomto prvku probíhá základní routování ve vnitřní struktuře společnosti.
spanning-tree extend
system-id |
spanning-tree vlan 1-4,30-45 priority 4096 |
! |
vlan internal allocation policy ascending |
! |
vlan 3-4,30-45 |
! |
! |
! |
interface GigabitEthernet0/1 |
description To_DGS-3224TGR-1 |
switchport trunk encapsulation dot1q |
switchport trunk allowed vlan 1-4,30-45 |
switchport mode trunk |
switchport nonegotiate |
nterface GigabitEthernet0/2 |
description To_DGS-3224TGR-2 |
switchport trunk encapsulation dot1q |
switchport trunk allowed vlan 1-4,30-45 |
switchport mode trunk |
switchport nonegotiate |
Příkazový řádek IOS č. 5: Elementární konfigurace 3750X-48T-S Zdroj: vlastní Na začátku Příkazového řádku IOS č. 5 jsou zmiňovány pro spanning tree protokol, který zabraňuje využitím smyček v kabeláži na úrovni druhé vrstvy OSI protokolu tím, že port vytvářející smyčku je logicky odpojen. Tím se zamezí poslání poničených rámců a broadcast stormů, které by se mohly šířit ven ze segmentu sítě pod tento port připojený. Dále následují klíčové příkazy pro dynamickou konfiguraci VLANů. Jedná se o VLANy, které bude nadále přeposílat a o encapsulaci, kterou bude využívat. Dot1q je otevřený standard pro výrobce síťových zařízení, díky kterému je možné připojit variabilní druhy různých výrobců síťových prvků. Dále je klíčový schwitchport mode trunk, který umožňuje začlenit komunikaci více VLANů přes jeden fyzický port. Konfigurace nadále pokračuje dalšími porty dle konfigurace switche, ale ty už nejsou zmiňovány, protože jejich nastavení je obdobné. |
interface Vlan1 |
ip
address 10.13.1.254 255.255.255.0 |
interface Vlan3 |
ip
address 10.13.3.254 255.255.255.0 |
ip
helper-address 10.13.3.11 |
ip
helper-address 10.13.3.55 |
! |
interface Vlan4 |
ip
address 10.13.4.254 255.255.255.0 |
ip
access-group 1 in |
ip
helper-address 10.13.3.11 |
Příkazový řádek IOS č. 6: Konfigurace VLANů Zdroj: vlastní V Příkazovém řádku č. 6 jsou dynamicky nastavené VLANy i s definováním interface, které může být využito jako první hop, tedy default gateway. Touto adresou je taktéž asociován tento switch třetí vrstvy, co se nadále stará o routování dat dále v síti. Dále je definována ip helper address, protože router zabraňuje broadcastům do dalších segmentů, ale v případě služeb jako DHCP nebo PXE by bylo krajně neefektivní mít pro každý segment vlastní server, tak jsou tímto příkazem povoleny broadcasty pro specifické adresy i z jiných VLANů. Dále je potřeba zmínit aplikování access listu na VLAN4, kterým jsou kompletně zakázány přístupy produkčních klientů ven z produkčního segmentu sítě. access-list 1 permit 10.13.4.138 access-list 1 permit 10.13.4.137 access-list 1 permit 10.13.4.136 access-list 1 permit 10.13.4.140 access-list 1 permit 10.13.4.158 access-list 1 deny any |
Příkazový řádek IOS č. 7: Konfigurace access listu
Zdroj: vlastní
Příkazový řádek č. 7 je ukázkou základního access listu povolujícího vybraným produkčním klientům opustit výrobní segment sítě. Vzhledem k logice rozhodování access listů, která vždy vybírá od vrchu první pravidlo, které může využít a okamžitě ho použije, tak poslední řádek zabraňující všem nedefinovaným pravidlům je irelevantní, protože je vždy implicitně použit. Byl zapsán především pro transparentnost konfigurace.
Je prvkem, pomocí něhož jsou postaveny VPN tunely do ostatních částí Inventecu. Tato funkce je důležitá především pro integraci vysokého počtu služeb jako emaily, ERP systémy, VOIP a další. Jeho lokace je zakreslena v Příloze č. 2 pod označením Cisco 2811.
router ospf 101 |
router-id 8001887182145 |
log-adjacency-changes |
redistribute static subnets route-map
icz_static_to_ospf |
network 192.168.107.32 0.0.0.31 area 0 |
! |
ip route 0.0.0.0 0.0.0.0
85.93.121.129 |
ip route 10.13.0.0 255.255.0.0
10.13.3.254 |
! |
no ip http server |
no ip http secure-server |
! |
ip access-list extended
IESC |
permit ip 10.13.0.0 0.0.255.255 10.6.111.0
0.0.0.255 |
permit ip 10.13.0.0 0.0.255.255 10.6.112.0
0.0.0.255 |
permit ip 10.13.0.0 0.0.255.255 10.6.113.0 0.0.0.255 |
permit ip 10.13.0.0 0.0.255.255 10.6.114.0
0.0.0.255 |
permit ip 10.13.0.0 0.0.255.255 10.6.115.0
0.0.0.255 |
permit ip 10.13.0.0 0.0.255.255 10.6.116.0
0.0.0.255 |
Příkazový řádek IOS č. 8: Konfigurace routovacího protokolu
Zdroj: vlastní
Výše zmiňovaná konfigurace pojednává o nastavení začlenění routeru do struktury routovacího protokolu open shortest path first a nastavení access control listu, ve kterém je využíváno logiky first hit, čímž jsou minoritní součásti sítě nejprve zakázány a na konci povoleny větší rozsahy sítě. Dále je na zařízení povolen přístup přes http, aby v prohlížeči bylo možno efektivně určit stav zařízení.
Je běžný switch druhé vrstvy, který je využit na vytvoření VLANu. Díky této konfiguraci nezahlcují broadcasty tohoto segmentu sítě ostatní a jsou základním prvkem pro troubleshooting daného rozsahu sítě.
ip subnet-zero
!
spanning-tree mode pvst
no spanning-tree optimize
bpdu transmission
spanning-tree extend
system-id
!
interface GigabitEthernet0/1
switchport access vlan 31
switchport mode access
spanning-tree portfast
!
interface GigabitEthernet0/24
description To_Cisco3560_port2
switchport trunk allowed vlan 1,31
switchport mode trunk
!
interface Vlan1
ip address 10.13.1.31 255.255.255.0
!
ip http server
Příkazový řádek IOS č. 9: Konfigurace switche tvořícího VLAN
Zdroj: vlastní
V Příkazovém řádku č.
9 jsou zdůrazněny základní principy fungování switchů druhé vrstvy, které
v interakci se switchem 3750 třetí vrstvy segmentují síť. Je
nakonfigurován k využití nultého subnetu, spanning tree protokolu, ale
především interface GigabitEhernet0/1 ukazuje, jak má porty přiřazeny do
specifického VLANU a příkazem switchport mode access donucené příjímat provoz
právě jen z tohoto jednoho VLANu. Tento koncept je základní pro omezení
nadbytečného provozu. Na interface GigabitEthernet0/24 je naopak nastavené
trunkování VLANů, díky kterému je možné přistupovat na IP adresu switche, která
je definovaná pod VLANem jedna. Jako poslední je zmíněn příkaz pro zapnuté webové
administrativní rozhraní switche.
5
Řešení
pro high availability a redundanci
Pojem high availability jde z pohledu uživatele vnímat jako možnost využívat danou službu bez nenadálých přerušení nebo aspoň tyto stavy minimalizovat s ohledem na požadavky podnikání. V aktuálním případě je tato problematika dělena na neustálou přístupnost k datům na serverové úrovni, minimalizovaní síťových výpadků, vzdálené ovládání a vzdálený přístup k IT službám.
Pro tyto účely jsou zvoleny nástroje jako HP ILO (Integrated Lights-Out), HP NIC teaming, RAID, clusterování aktivních prvků, aplikaci remote desktop či její alternativy, IP KVM konzole, telnet nebo ssh a Cisco dynamické VPN.
5.1 Technologie pro vzdálenou správu
Vzdálená správa v podnicích zaměřujících se vysokou dostupnost IT služeb nabývá stále vyššího významu. Její zásadní výhodou je možnost korekce chybových stavů, konfigurace a přístup k firemním zdrojům bez nutnosti být fyzicky přítomen v místě kde jsou alokovány.
Některé firmy došly tak daleko, že na nástrojích pro vzdálenou
správu postavili účel oddělení o mnoha zaměstnancích. Typickými příklady tohoto
typu podnikání jsou především technologické firmy jako IBM nebo HP. Přes
možnost využívat vzdálenou podporu od externí firmy, stále je idealní mít to
zajištěné vlastními zaměstnanci. Jedná se
o loajalitu, která se projevuje zájmem o přímý dopad akce, znalostí toho dopadu
na zaměstnance a též primární motivací prospěchu pro svého zaměstnavatele. Na
druhou stranu externě poskytovaná vzdálená správa může dosáhnout vyšší kvality
danou robustnostní týmu a nástrojů který je pro tento účel vyčleněn. Zásadním
problémem zůstává motivace externích týmů, kterou tvoří profit třetí strany.
ILO pochází z anglického sousloví Integrated Lights-Out a jedná se o proprietární HP technologii aplikovanou v serverových řadách. iLO je obdoba technologie Lights Out Managment, kterou nějakým způsobem implementují všichni přední výrobci serverových technologií, jako jsou například DELL a jeho DRAC a IBM Remote Supervisor Adapter. HP iLO je možné najít na serverech Proliant společnosti HP od řady G1 tehdy poskytovaná pod názvem Lights Out 100, až po nejnovější servery řady osmé genrace, které využívají technologii iLO ve verzi čtyři.
Tato funkce serverů je vložena do samostatného integrovaného obvodu, který zůstává napájen i v případě fyzického vypnutí serveru. I zde máme limitace, jako že dodávka elektrického proudu musí zústat nepřerušena a síťová struktura na cestě k serveru musí zůstat funkční, protože technologie ILO komunikuje přes ethernet. Z počítače ovládajícího server využíváme internet explorer nebo jiný prohlížeč, tudíž se vyhneme omezující nezbytnosti instalovat distribuční balíček dodavatele třetích stran. Za splnění těchto podmínek dostáváme skvělou funkcionalitu, která spočívá například v emulaci fyzického tlačítka pro „tvrdý reset“, samostatné (na operačním systému nezávislé) logování systémových událostí, dynamicky se aktualizující rozhraní zobrazující informace shromažďované systémovými čidly a další.
Rozhranim pro ILO je RJ45, které lze připojit stejně jako standardni síťovou kartu běžného zařízení. ILO je schopné automaticky začít fungovat, pokud síť disponuje DHCP a DNS službou. Pokud nejsou funkční, je možné ILO konfigurovat manuálně pro využití statické IP adresy. Zneužití je chráněno standardní přístupovou politikou, kde je potřeba znát uživatelské jméno a heslo. Vlastní ILO produkt taktéž podléhá licenční politice společnosti Hewlett-Packard, takže ve standardní verzi je limitována například vzdálená kontrola typu remote desktop přes ILO nebo nástroje hromadné správy. Vzhledem k časovým omezením vyšších řad licencí znamenající nutnost je neustále dokupovat, se budu nadále zabývat pouze variantou základní. Funkcionalitu vyšších verzí ILO je možné nahradit jinými nástroji, které není nutné periodicky kupovat, a tudíž postrádají repetivní charakter nákupu, který při rozhodování nejvíce vadil. Pro použití byly klíčové funkce dostupné už u verze standard.
Obrázek č. 3: Seznam stavu monitorovaných součástí přes ILO
Zdroj: vlastní
Overview tato položka obsahuje přehled informací o stavu serveru a jeho komponentách. System information je využita ke zobrazení přehledu o jednotlivých hardwarových komponentách serveru. Summary se jak sám název napovídá, stará o celkové shrnutí informací o systému. Fans v sobě udržují informaci o aktuálním stavu ventilátorů. Temperatures evidují teplotní stav jednotlivých komponent. Záložka power eviduje informace o stavu zdrojů a aktuálním odběru energie. Processors obsahují detailnější popis použitých procesorů. Memory mají na starosti popis operačních pamětí a včetně fyzického osazení do jednotlivých slotů. NIC information nese informace o využívaných síťových kartách a v drives jsou základní informace o použitých discích
iLO Event Log je log sloužící pro uchování informací o akcích prováděných přes webové rozhraní.
Do Integrated Managment Logu se zapisují informace o problémech především hardware. Funguje zároveň jako jakýsi záznam o opravách. Jednotlivé chyby zapsané je možné označit jako vyřešené, nebo opravené a vytvářet své vlastní poznámky. Není však možné je přidávat k již existujícím záznamům, bez ohledu na to jestli byl záznam vytvořen systémem nebo uživatelem.
Pod volbou diganostic je možné resetovat iLO. Tuto operaci je nutné provádět zřídka a to při zaseknutí systému nebo po úpravách jako jsou firmwarové updaty apod. Vzhledem k tomu, že iLO je navrženo tak, aby bylo nezávislé na ostatním hardwaru nebo operačním systému, nemůže iLO reset nějakým způsobem ovlivnit chod systému samotného serveru.
Záložka insight Agent odkazuje na HP System Managment Homepage. Toto slouží především pro přehledné zobrazování reportů o daném serveru, generovaných za pomocí HP Insight Agentů
Obrázek č.4: Rozhraní nahrazující tlačítko start
Zdroj: vlastní
Virtual power Button a jeho funkce znázorněné v Obrázku č. 4 je nejjednodušší
a nejužitečnější funkce systému iLO. Umožňuje vypnutí a samozřejmě také zapnutí
serveru bez ohledu na to v jakém stavu se právě nachází. Vše co je k tomuto
potřeba je síťová konektivita a funkční iLO port. Pro přehlednost jsou uváděny
možnosti zapnutí a vypnutí serveru
Graceful Power On je stisk tlačítka, který provede akci podle nastavení OS, je doporučeno využívat tuto možnost pouze pro zapnutí serveru.
Force Power Off je stisknutí a podržení tlačítka, vynucené vypnutí. Není dostupné, pokud je server vypnutý.
Force System Reset je standartní reset po kterém následuje teplý start. Tato volba není dostupná, pokud je server vypnutý.
Force Power Cycle je volba po které nastane takzvaný studený start. Není dostupny, pokud je server vypnutý.
Power configuration settings jsou využívány k nastavení akcí spojených s vypnutím nebo ztrátou napájí serveru.
Auto Power-On má za úkol automatický stav serveru po jeho vypnutí.
Power on delay definuje dobu, jak dlouho server čeká, než opět zahájí bootovací sekvenci. Jsou na výběr dvě varianty a to minimální a náhodné zdržení trvající až dvě minuty. Toto zdržení je efektivní především po výpadku proudu, kdy náhodné zdržení opětovného nabíhání serverů snižuje maximální elektrickou spotřebu, čímž může zamezit přetížení elektrických jističů a jejich následnému spadnutí.
Obrázek č. 5: Systémové logy udržované rozhraním ILO
Zdroj: vlastní
Na Obrázku č. 5 jsou logy sytému ILO, jejichž zásadní výhodou je nezávislost na operačním systému. Díky této skutečnosti lze v nich sledovat historii i v případě, že logy systému jsou nedostupné.
Služba Remote desktop umožňuje promítnout plochu vzdáleného počítače na lokální monitor a virtuálně se vzdáleným strojem pracovat jako by byl operátor u něj fyzicky přítomen. Je proprietárně poskytovaná společností Microsoft. Není ovšem ničím jedinečná proti svým předchůdkyním typu VNC běžícíh jak v prostředí linuxu, tak v prostředí Windows, která se běžně vyskytuje pod GPU licencí a je tudíž volně šiřitelná a využívaná. Hlavními důvody, proč se remote desktop dočkal majoritního využití, spočívají v jeho prezenci na všech operačních systémech firmy Microsoft novějších než verze označované Windows 2000 a starší. Mezi jeho hlavní výhody patří jednoduchá konfigurovatelnost, možnost kopírovat z clipboardu na vzdálený počítač, možnost navázat víc uživatelů na jednu relaci a v jeho celkové integraci s ostatními systémovými nástroji.
Jedná se o síťovou službu využívající protokol TCP/IP. Pro zprovoznění přístupu na vzdálený počítač je potřeba systémovou službou spustit démona naslouchajícího na 3389, definivat uživatele kteří mohou přistupovat a zvolit verzi šifrování.
Cisco VPN má několik mutací od web VPN přes anywhere clienty. Web
VPN má hlavní výhodu, že může být používáno na všech počítačích s moderním
webovým prohlížečem. Hlavní nevýhody spočívají v omezeném rozsahu služeb,
ke kterým jde přes něj přístoupit
a také každá služba musí být jednotlivě konfigurována. Naproti tomu pro využití
VPN přes anywhere klienty je nezbytné nejprve nainstalovat instalační balík
distribuovaný ve spustitelném formátu [11, s 310]. Po instalaci a připojení se
je minimalizováno jakékoliv nastavování, protože klient dokáže automaticky
změnit i routovací tabulku počítače, který se začne chovat identicky jako by
byl v lokální síti. Jedinou limitací zůstává šířka pásma domácího
připojení a firemního, za kterým je připojen VPN koncentrátor.
Vzhledem k nízkému počtu povolených VPN klientů a k administrativním restrikcím pro jejich využívání (uživatel musí získat potvrzující podpis manažera) byla zvolena verze šířená přes instalační balíček, která je zvýrazněna na Obrázku č. 6. Další výhodou je, že pro užívání není potřeba žádné uživatelské školení, protože využívání je identické jako standardní operace v prácí. VPN koncentrátor je Cisco ASA5512.
Obrázek č. 6: Systémové logy udržované rozhraním ILO
Zdroj: vlastní
Jsou protokoly určené pro vzdálenou správu aktivních prvků z příkazové řádky. Zásadním rozdílem mezi nimi je že telnet posílá příkazy nekryptované v plain textu, zatímco ssh je kryptované.
Oba nástroje jsou využívány především pro jejich naprostou kontrolu
nad konfigurovanými součástmi, kde nehrozí interaktivnost jiných řešení, kdy
jedna změna ovlivní nespecifikovaný počet řádků v konfiguračním kódu. SSH
a telnet mají za následek detailní znalost funkčnosti a posilují schopnosti jít
přímo ke zdroji chyb, místo řešení přístupem pokus omyl. Další výhodou je
přístupnost klientů při minimálních nárocích na kvalitu
a prostupnost sítě. Zatímco telnet stačí konfigurovat pouze při přístupu na vty
konzoli, tak ssh potřebuje sofistikovanější kroky ke své funkčnosti.
IP KVM jsou samostatně stojící aktivní prvky vizáží podobné switchům a poskytující funkcionalitu stejnou jako obvyklé keyboard, video, mouse switche. Ke komunikaci využívají protokol TCP/IP a adaptéry, které jsou schopny se identifikovat na síti. Ty jsou připojeny ze strany IP KVM přes RJ 45 port a do serverů dovedeny přes USB nebo PS2 porty. Seznam těchto zařízení je zvýrazněn na Obrázku č. 7.
Obrázek č. 7: Seznam stavu kontrolovatelných serverů přes
IP KVM
Zdroj: vlastní
Navíc proti standardní KVM kontrole více serverů jednou klávesnicí, myší a monitorem, tak IP KVM poskytuje i přístup přes webový prohlížeč podporující Javu. Zásadní je, že například oproti Remote desktopu tato vzdálená kontrola není závíslá na běžícím operačním systému počítače. Tudíž administrator může pracovat i v BIOSu zařízení, případně kontrolovat operace během bootování
I když použití IP KVM je omezeno znalostí logovacího jména a hesla, tak v prostředí firmy není rozhraní pro vzdálenou kontrolu serverů otevřeno z internetu. Hlavním důvodem je obava z útoku na aplikační vrstě a proto, že přístup by musel být nastaven na stejném zařízení, jako jsou ukončeny dynamické VPN. Takovýto přístup nedává smysl, protože v případě nezbytnosti zásahu administrátor postaví dynamický VPN tunel a problém řeší. Pokud by byl výpadek na VPN koncentrátoru, tak by padl kromě VPN i přístup na IP KVM.
Obrázek č. 8: Ukázka GUI přes
webový prohlížeč IP KVM
Zdroj: vlastní
Velkou výhodou tohoto rozhraní je jeho identičnost s dobře známou konzolí vzdálené plochy, jako se tomu děje na Obrázku č. 8, od které se graficky odlišuje pouze jinou lištou umístěnou uprostřed vrchní části obrazovky.
5.2 Technologie pro redundanci
Tyto technologie mají své místo, protože zabraňují přerušení služby v případě výpadku jednotlivé součásti struktury. Implementace redundantních řešení spočívá v automatické zastupitelnosti selhávajících součastí stejnou komponentou nebo sadou komponent, které dokážou službu poskytovat bez jejího výpadku v rozhraní koncového uživatele.
Technologie NIC teaming, jejíž GUI je znázorněno na Obrázku č. 9, je nástroj standardně
dodávaný v instalačním balíčku pro HP servery „Smart start“. Její
využívání je volné
a není nadále zpoplatněno. Instalace může proběhnout buď automaticky při
instalaci operačního systému, nebo později samostatně.
Obrázek č. 9: Konfigurační
rozhraní pro NIC teaming
Zdroj: vlastní
Po nakonfigurování umožňuje, aby 2 fyzické NIC adaptéry logicky fungovaly jako jeden. Funkcionalita tohoto řešení je zásadně ovlivněná strukturou síťového prostředí, ke kterému jsou servery využívající NIC teaming připojeny. Pokud je na straně switche pouze jedno zařízení a na něm nakonfigurovány dva porty pro ether channel (terminologií firmy D-Link portgroup), tak se získá redundace na úrovni poškození fyzického vodiče, poškození portu na straně switche nebo serveru a dvojnásobná šířka pásma pro přenos dat.
Optimální situace nastává pro implementaci NIC teamingu nastává, když na straně aktivních prvků jsou dva switche ve stacku-a každý je připojen do vlastní NIC na serveru. Zde získáváme přidanou hodnotu oproti standardnímu řešení ve stabilitě při výpadku jednoho switche. Služby běžící na serveru zůstanou uživatelsky dostupné i při poškození jedné síťové karty nebo jednoho datového kabelu.
5.2.2 Stackování aktivních prvků
Technologie stackování aktivních prvků byla vyvinuta, aby se zamezilo „single point failure“. Při výpadku jednoho zařízení je nastaveno druhé, které automaticky převezme funkci toho, co selhalo. Zde je potřeba zdůraznit výhodnody proti „hot standby“ zařízením. Pří stackování totiž zařízení nečeká, až primární prvek vypadne, ale obě jsou využívány zároveň, čímž poskytují výkon rovný součtu společných zdrojů.
Základními typy stacků jsou datový a pro elektrickou distribuci. Elektrický cluster by měl být zapojen do dvou silových okruhů, aby nebyla pokryta pouze chyba zdroje ale i jističe. Pokročilé prvky jsou schopny přes jeden zdroj napájet vyšší počet zařízení, aniž by byla omezena funkcionalita. Efektivní využití datového stacku závisí na zařízeních využívaných na druhé straně. Je potřeba, aby i na nich byly využity redundantní technologie, jinak hrozí nadále vznik „single point failure“ struktury, které se snažíme předejít.
Schéma č. 11: Logika virtual
switching systému
Zdroj: vlastní
V první části Schéma č. 11 vidíme klasický design, kde síťové smyčky vytvořené propojením switchů musí být zablokováný spanning tree protokolem. Ve druhém obrázku je skutečné fyzické zapojení, jakého je dosaženo pomocí VSS. Poslení obrázek je logickým překreslením fyzického zapojení prostředního a tudíž jeho ekvivalentem.
Přinosem technologie RAID je především redundance datových úložišť, která při správné konfiguraci může znamenat plnou dostupnost dat i v případě výpadku až jakýchkoliv dvou fyzických hard disků v poli. I když tento druh využití je nejobvyklejší, je zde vhodné zmínit i jiné přínosy. Jedná se o vyšší rychlost zapisovaných dat a čtení z RAID pole, co je důležité především pro databázové aplikace. Nadále se budu věnovat typům RAID polí, které jsem vyhodnotil jako nejvhodnější pro použití v prostředí výrobní firmy. Na Obrázku č. 10 je zakresleno proprietární rozhraní od společnosti HP sloužící ke konfigurování a diagnostice RAIDových polí.
Obrázek č. 10: Konfigurační
rozhraní pro NIC teaming
Zdroj: vlastní
RAID 5 je nejčastěji využívaným typem. Je jím především pro jeho dřívější datum vyvinutí, pro rozumnou míru redundance kdy vyžaduje minimálně tři disky v poli a pro svou plnou funkcionalitu i po výpadku jednoho disku. Taktéž je možné z něj rychleji číst, díky rozprostření dat na více fyzických disků, nevýhodou zůstává pomalejší zápis kvůli výpočtu samoopravného kódu.
RAID 6 je nástupcem RAID 5 v enterprise společnostech. Byl
vyvinut později, ale svoji oblibu si získává především díky zachování
dostupnosti dat i při výpadku dvou disků. Ostatní kvalitativní hodnoty jsou
srovnatelné s RAID 5, vyjímku tvoří nutnost čtyř disků
a pomalejší zápis dat, který je daný nezbytností výpočtu dvou sad paritních
informací.
RAID 1 je zrcadlení prvního disku na druhý. Jeho výhodou je
transparentnost technologie, která umožňuje např. velice jednoduché zálohování
formou fyzického klonování disků
a zachování funkcionality i po výpadku řadiče. Nevýhodou je pomalejší zápis,
protože všechny informace je nutno ukládat zároveň na oba disky a tím dané
využití pouze 50 % kapacity úložiště.
RAID 1+0 musí být nejméně na čtyřech fyzických discích. Data se
nejdříve zkopírují mezi disky 1 a 2 a potom mezi disky 3 a 4. Když budeme
potřebovat číst soubor rozložený přes obě logické jednotky tak první část
souboru bude na discích 1 a 2 a druhá část na discích
3 a 4. Výhodou je vysoká rychlost při čtení. Nevýhodou zůstává pomalejší
rychlost zápisu a využití pouze padesáti procent fyzického diskového prostoru.
6
Vyhodnocení
benefitů z pohledu uživatelů managementu a IT správy
Všechny subjekty vstupující do interakce s datovou síťí požadují především stabilní prostředí. Uživatelé aby mohli plnit cíle definované jejich nadřízenými. Management naopak proto, aby nebyly žádné překážky prodlužující dobu nezbytnou k vykonávání jejich požadavků. IT oddělení zase potřebuje alokovat svoje zdroje na jiné než repetivní úkoly způsobené nízkou stabilitou sítě.
Při bližším pohledu je ovšem nasnadě, že se jedná vlastně o totéž. Nikdo nechce věnovat svoji energii, čas ani peníze na operace, které nejsou nezbytně nutné. Toto není pravidlo týkající se výlučně počítačových sítí, ale stav, který je možno vypozorovat napříč kompletní lidskou historií. Tento přístup je jedním ze zdrojů evoluce technologií, protože stejný objem práce může být vykonáván stále menším počtem pracovníků. Díky němu je možné lidský potenciál zaměřit na jinou tvůrčí práci, která bude přinášet zaměstnavateli jiné přínosy.
Jedině na IT oddělení klade nové řešení další nároky. Je nezbytné
IT profesionály nadále školit v nových technologiích switchování,
routingu, redundantních řešení, protokolů, ale
i celkově k principům řešení síťové infrastruktury. Toto vše je ale
maximální mírou kompenzováno schopností okamžité opravy ve chvíli kdy je zásah
nutný a dovedností nadále navrhovat strukturu, která bude využívat nejnovější
technoologické možnosti právě probíhajícího období. Díky tomuto kontinuálnímu
přístupu k IT oddělení a vývoji síťového prostředí, služby poskytované
počítačovou sítí jsou pak zachovány i při částečném výpadku kvůli odstranění
zařízení, jejichž výpadek by resultoval v okamžitou nedostupnost
poskytovaných zdrojů a redundatním mechanismům obecně.
Pohled managementu podniku se od ostatních odlišuje zaměřením se na finanční náklady projektu. I tomuto pohledu bylo učiněno zadost využitím v maximální únosné míře starších aktivních prvků, což bylo zdrojem výrazného snížení nákladů, které byly brány v potaz vedením společnosti.
Cíl práce z pohledu zainteresovanych skupin byl splněn, protože nové technologické řešení poskytují všem stabilnější prostředí. Díky těmto podmínkám poskytovaným síťovým řešením se všichni účastníci síťového provozu mohou věnovat operacím přinášejícím přidanou hodnotu.
Smyslem práce bylo analyzovat stav sítě, identifikovat její slabiny a poskytnout řešení, které bude akceptovatelné z pohledu finanční nákladnosti a zároveň bude schopné poskytnout přidanou hodnotu pro předmět podnikání společnosti. Vzhledem k tomu, že kompletní komunikace firmy je digitalizovaná a papírová komunikace zůstává využita už jen v oblastech kde je to vyžadováno právními standardy, požadavky kvality nebo potřebou produkce, tak na kvalitě síťového řešení závisí mnohé. Jedná se o dostupnost pracovních prostředků všech administrativních oddělení, komunikaci s externími partnery, ale i přímou závislost výroby.
Z pohledu podniku se při zhodnocování projektu vždy poměřují
vydané prostředky
a přínos. Pod pojmem přínos je možno si představit spoustu specificky
přínosných situací, zde jsou ale vyjmenovány pouze přímé výhody nové
implementace, a negování rizik s ní spojených.
Z této perspektivy se nabízí několik stavů, které znamenají
okamžitý dopad na předmět podnikání u výrobních podniků. Z pohledu
důvěryhodnosti u zakázníků a plnění zakázek jsou maximálním rizikem prodlevy ve
výrobním procesu. Oproti tomu můžou být postaveny okamžité ztráty vznikající
nečinností zaměstnanců. Při detailnějším zkoumání se v dnešní době vysoké
závislosti na informačních technologiích dostáváme k závěru, že při
moderně pojatém podnikání je negace všech těchto rizik primárně spojena
s neustálou dostupností všech IT služeb. Ještě detailnější zkoumání nám
řekne, že velice podobně fatálních důsledků jako při výpadku elektrické sítě,
se dočkáme při výpadku sítě počítačové. Ta je klíčem ke všem informačním
systémům, ke komunikaci, ale
i k dokumentaci procesů, jimiž se firma řídí. Zásadní snahou projektu bylo
tyto rizika eliminovat nebo aspoň minimalizovat.
Pro výše zmíněné důvody je implementace datového i elektrického stacku na zařízení WS-C3750X-48T-S je zcela zásadního rázu. V případě nedostupnosti nebo nefunkčnosti tohoto prvku je okamžitě přerušena komunikace všech subnetů mezi sebou. Následkem toho není možné komunikovat s žádnou serverovou farmou, kde výjimku tvoří pouze produkční klienti, kteří díky zařazení do stejného subnetu nadále mohou pracovat s výrobními servery. Proto prvky poskytující přidanou reduncanci byly zaměřeny především do částí sítě, které jsou s tímto prvkem v interakci.
Uživatelé neocení vylepšení, které jsou hlavním důvodem pro investici z pohledu managementu, nebo odpovědí proč k implementaci sáhlo IT oddělení, ale je pro ně zásadní především odstranění obstrukcí v jejich práci. Touto perspektivou můžeme vnímat jako vylepšení dosažené vyšší přenosové rychlosti ke klíčovým prvkům struktury technologií etherchannel a fyzické navýšení přenosových rychlostí dané gigabitovým a deseti gigabitovým ethernetem. Dalším důležitým problémem zásadně ovlivňujícím uživatele jsou výpadky, které jsou omezeny segmentací sítě. Ta má za následek rychlejší určení zdroje problému, protože nemusí být prověřována celá síť, ale jen její část výpadkem zasažená. Zcela zásadní v tomto ohledu je pak přidaná automatická redundance. Klíčové části jsou schopny ve struktuře v případě jejich výpadku předat funkcionalitu svému zástupci, aniž by byl uživatel zasažen výpadkem. Toto umožňuje uživatelům nadále nerušeně vykonávat pracovní úkoly, aniž by se dostávali do termínových skluzů nebo zůstali nečinní.
Pro management jako takový je cílem především maximálně efektivně využít zdroje podniku, při udržení provozních nákladů. Z tohoto pohledu je taktéž potřeba k navrhovanému designu přistoupit. Poměr nákladů na výstavbu počítačové sítě, úspor a zvýšení efektivity je zásadní. Zde je potřeba uvést, že předmět podnikání výrobní firmy je už na výrobních technologiích plně závislý. Toto je klíčem k odůvodnění i vysokých nákladů, protože každý prostoj způsobený nedostupností IT zdrojů přímo resultuje v nemožnost vykonávat pracovní úkoly na straně zaměstnanců. Obzvláště citelný zásah je v produkci, protože celý proces výroby je spjatý s informačními technologiemi a každý krok výrobního procesu je zaznamenáván ve firemních databazích. Tyto výrobní nástroje běží na dedicované serverové farmě, což znemožňuje jakoukoliv operaci bez její dostupnosti přes počítačovou síť. V administrativní části společnosti je situace podobná, ale není tak kritická, protože uživatelé krátkodobě mohou využít data uložená lokálně na svých přístrojích, proto výpadek síťové dostupnosti neznamená nutně okamžitý výpadek v práci.
Pro tyto důvody je síť robustní především v místech přístupu k firemním serverům, v komunikaci do dalších poboček Inventecu a v neposlední řadě v částech které obsluhují produkci. Management tím získává konkurenční výhodu, která spočívá v jistotě, že naplánované pracovní směny nebudou rušeny kvůli nefunkčnostem spojeným se síťovou strukturou, což resultuje v prevenci finančních ztrát vyplácením pracovní odměty zaměstnancům, kterým je znemožněno pracovat a zároveň pomáhá podniku budovat dobré jméno, které má za následek vyšší důvěryhodnost podniku v budoucnosti a tím i potenciálně možné vyšší objemy zakázek od zákazníků.
Jako hlavní výhodu pro IT administrátora můžeme zmínit možnost zasáhnout v době, kdy sám uzná za vhodné, namísto nutnosti uvádět chybu zpět do funkčního stavu okamžitě. Toto je dáno především tím, že výpadek v síťové struktuře neznamená přerušení služby pro uživatele a ti ho nemusí ani zaznamenat. To zbavuje správce spousty vysoce stresujících stavů, kdy na jeho okamžitém zásahu závisí možnost vykonávat pracovní úkoly značného počtu uživatelů.
Taktéž nově vzniklá segmentace je obrovským přínosem z pohledu správy, protože díky ní je možné problémy mnohem lehčeji izolovat nebo řešit již vzniklé problémy aniž by nabývaly globálního charakteru. Je možné zacílit se logicky pouze na malou část struktury společnosti namísto společnosti celé. Tato výhoda se projevuje také při manuálních opravách, tedy při snaze alokovat problém fyzicky, ale i při odstraňování dopadů.
Vzdálená administrace pak umožňuje řešit problémy z domácího počítače nebo i z mobilních zařízení jako jsou tablety a mobilní telefony. Tato flexibilita umenšuje reakční dobu a poskytuje administrátorovi volnost pohybu při zachovaných schopnostech řešit problém jako by byl v pohotovosti doma. Z pohledu vedení společnosti je toto klíčové z více pohledů. Stejnou práci obstará méně početné oddělení, které v případě dostupného mobilního připojení od zaměstnavatele, bude schopné efektivní domluvy i koordinovaného zásahu téměř kdykoliv.
Práce splnila účel, kterým je stabilní prostředí pro účel podnikání subjektu. Zásadním nadále zůstává lehká modifikovatelnost, zaměnitelnost využitých prvků a použití otevřených standardů, které umožňují využití variabilních technologií a síťových prvků v budoucnu. Tento přístup by měly zachovávat všechy síťová řešení, protože stále probíhá dynamický vývoj a nelze očekávat, že výborné řešení dnešních dnů bude v horizontu několika let vnímáno stejně pozitivně.
Hodnocení ústavu aplikované informatiky
David DANĚK Řešení
infrastruktury počítačové sítě pro výrobní podniky střední velikosti
Kunovice, 2013. Bakalářská práce. Evropský polytechnický institut, s.r.o.
Vedoucí práce: Ing. Jakub GREGUŠ
Klíčová slova: síť, switch, router, řešení o vysoké dostupnosti, Cisco, podnik, ILO, IP, KVM, VPN, VOIP, redundance, server, protokol
Tato práce se zabývá síťovým řešením aplikovatelným především ve výrobních podnicích střední velikosti. Jejím cílem je zaintegrování všech služeb, které mohou běžet přes počítačovou síť. Důvodem jsou především provozní úspory ve spotřebované energii, dané menším počtem zařízení, jednotná a variabilně využitelná kabeláž pro komunikaci počítačů, VOIP telefonii, bezpečností systémy a podobně. Tímto multifunkčním přístupem se taktéž opodstatňují případné vyšší náklady na strukturu sítě. Nejdříve se zabývá celkovým teoretickým úvodem do aktivních síťových prvků a jejich využití. Většina těchto detailů a termínů jsou ve vztahu s Cisco terminologií a koncepty. Právě proto jsou tyto standartizované značky využity ve všech součástech designu. Dále jsou definovány potřeby výrobních zařízení. Zde je zdůrazněno co je účelně vynaloženým prostředkem společnosti a také co už můžeme považovat za neúčelné náklady. Později je vysvětlován výběr aktivních prvků, ve vztahu k požadované funkčnosti, ceně, síťovému designu, redundanci a nástrojům využívaných pro vysokou dostupnost řešení.
David DANĚK Network
solution for middle sized factories Kunovice, 2013. Bachelor thesis. Evropský polytechnický institut, s.r.o.
Supervisor: Ing. Jakub GREGUŠ
Key words: Network, switch, router, high availability solution, Cisco, company, ILO, IP, KVM, VPN, VOIP, redundancy, server, protocol
This work is primarily focusing on network solution suitable especially for middle sized industry business. The goal is an integration of all services, which can run using computer network. The point in this attitude we can find in regular expenses which are decreased by lower power consumption due to lower network parts quantity, unified, variable and suitable cabling for computer communication, VOIP telecommunication, security systems and so on. This multifunctional attitude also makes reasonable higher expenses in order to network structure construction. Firstly takes place overall theoretical introduction to active network parts and their alocation to design concept. Most of these details and terms are related to Cisco teminology and concepts. Therefore according to needs of solution description were also these used in all parts of design. Then is defined needs of factories. It is mentioned what is really needed and what can be just source of wasting. After this is focused on active parts decison in order to their functions, suitability, price, network design, redundancy and high availability techniques.
Knihy, monografie:
[1] WATKINS, M.; WALLACE, K. CCNA Security Official Exam Certification Guide. Indianopolis: Cisco Press, 2008. 637 s. ISBN 978-1-58720-220-9.
[2]
LAMMLE, T. Cisco
Certified Network Associate Study Guide Sixth Edition.
Indianapolis: Wiley Publishing, 2007. 965 s. ISBN 978-0-470-11008-9.
[3] JORDAN S.; BRUNO, A. CCDA 640-864.Indianapolis: Cisco Press, 2011. 688s. ISBN 978-1-58714-257-4.
[4] BIGELOW, S. Mistrovství v počítačových sítích. Brno: Computer Press, 2004. 990 s. ISBN 80-251-0178-9.
[5]
LUDVÍK, M,; ŠTĚDROŇ B. Teorie bezpečnosti počítačových sítí.
Praha: Computer Media, 2008.
98 s. ISBN 978-80-86686-35-6.
[6] THOMAS, T. Zabezpečení počítačových sítí bez předchozích znalostí. Brno: Computer Press, 2005. 338 s. ISBN 80-251-0417-6.
[7] SOSINSKY, B. Počítačové sítě – mistrovství. Brno: Computer Press, 2010. 840 s. ISBN 978-80-251-3363-7.
[8] SPURNÁ, I. Počítačové sítě praktická příručka správce sítě. Praha: Computer Media, 2010. 180 s. ISBN 978-80-7402-036-0.
[9] DROMS, R.; LEMON, T. DHCP- příručka administrátora. Brno: Computer Press, 2004. 490 s. ISBN 80-251-0130-4.
[10] JANSEN, H. Informační a telekomunikační technika. Praha: Europa-Sobotáles, 2004. 400 s. ISBN 80-86706-08-7.
[11] HARPEN, A.; HARRIS, S.; EAGLE, Ch.; NESS, J.; LESTER, M. Hacking - manuál hackera. Praha: Grada, 2008. 400 s. ISBN 978-80-247-1346-5.
[12] TRULOVE, J. Sítě LAN. Praha: Grada, 2009. 384 s. ISBN 978-80-247-2098-2
[13]
WENDELL, O.; HEALLY, R.; METHA, N. Směrování a přepínání sítí.
Brno: Computer Press/CP Books, 2009. 878 s. ISBN 978-80-251-2520-5.
[14] PUŽMANOVÁ, R. Moderní komunikační sítě od A do Z. Brno: Computer Press/CP Books, 2006, 450 s. ISBN 978-80-251-1278-6.
[15]
SANDERS, Ch. Analýza
sítí a řešení problémů v programu Wireshark.
Brno: Computer Press, 2012. 288 s. ISBN 978-80-251-3718-5.
[16] DOSTÁLEK, L.; KABELKOVÁ A. Velký průvodce protokoly TCP/IP a systémem DNS. Brno: Computer Press, 2012. 488 s. ISBN 978-80-251-2236-5.
[17]
CARROLL, B. J. Bezdrátové sitě Cisco. Brno: Computer Press, 2011. 478 s.
ISBN 978-80-251-2884-8.
802.1D Spanning tree protocol
ASA Adaptive Security Appliance, produktové
označení řady firewallů společnosti Cisco
AT&T
American Telephone and
Telegraph, nadnárodní poskytovatel internetového
připojení
AUX Auxiliary
port, port využívaný pro připojení
modemu
B2B Business
to business
BGP Boarder
gateway protocol, routovací protokol třetí vrstvy OSI standardu
BIOS Basic input-output system,
rozhraní obsahující základní nastavení pro ovládání hardware počítače
BPDU Bridge
protocol data unit, zpráva
využívaná pro determinování root bridge
BRI Basic
rate interface, komunikační standard obsahující dva hlasové kanály
CCTV Closed
circuit television, označuje monitorovací řešení
CLI Command
line interface
CCNA Cisco
certified network associate
CPU Central
processing unit
Č. Číslo
DEC Digital
Equipment Corporation
DGS D-Link
gigabit switch
DHCP Dynamic host control protocol, je
zodpovědný za dynamické přidělování IP adres klientům sítě
DRAC Dell
remote access card
EDI Electronic
data interchange
ERP enterprise
resource planning
G4p Označení čtvrté generace
serverové produktové řady společnosti HP
HP Hewlett-Packard,
jedna z největších nadnárodních IT společností
IBM International
business machines
IEEE The
Institute of Electrical and Electronics Engineers
ILO Integrated Lights-Out, rozhraní
poskytující možnosti správy nezávislé na nainstalovaném operačním systému
IOL Internet
OnLine, marketingové označní internetového připojení poskytovaného společností
O2
IOS Interwork
operating system, operační systém dodávaný společností Cisco k obsluze
aktivních prvků
IP Internet
protocol, jeden ze základních protokolů pro dnešní počítačové sítě
IPSec Internet
protocol security, je využíván pro zabezpečení VPN tunelů
ISDN Integrated
services digital network, je využíván primárně pro hlasovou komunikaci
IT Information
technology
KVM Keyboard video mouse, využívaný
pro správu více zařízení přes jednu sadu fyzických periferií
LAN Local
area network
MAC Media access control, je adresa
využívána pro jedinečnou identifikaci síťového zažízení na druhé vrstvě OSI
protokolu
Mbps Megabits per second, jednotka
využívaná pro měření propustnosti šířky pásma datového přípojení
MRTG Multi router traffic grapher
NAT Network address translator
statický, je využíván pro překlad IP adresy vnitřního rozsahu sítě na veřejnou.
NIC Network
interface card, označení pro síťovou kartu
OSI Open system interconnection,
standard který má za úkol rozškálovat síťovou komunikaci a tím ulehčit
odstraňování chyb
PAT Port address translation, byl vyvinut
aby přes jednu veřejnou IP adresu mohlo do internetu přistupovat více zařízení
využívajících vnitřních IP adresy
PoE Power over ethernet, stadard
díky němuž je možné napájet eletktrickým napájením zařízení přes ethernet
PRI Primary rate interface, je
standard umožňující až třicet hlasových hovorů v jednu chvíli
PS2 Personal
system/2
RADIUS Remote
authentication dial in user service
RJ-45 Registered jack čtyřicet pět,
nejčastěji využívana koncovka pro zapojení kroucené dvojlinky
SAP System applications and product
s. r. o. Společnost s ručením omezeným
SSID Service set identifier
SMC Výrobce
aktivních prvků
STP Spannig tree protocol,
zabraňuje smyčkám na kabeláži na druhé vrstvě OSI standardu
SSH secure
shell
UPS Uninterrupted
power supply, záložní zdroj elektrického proudu
USB Universal
serial bus
VLAN Virtual
local area network, je využíván pro logické dělení sítě
VoIP Voice
over IP, standard využívající IP sítě pro hlasovou komunikaci
VPN Virtual private network, je
používán pro propojení fyzicky vzdálených míst do jednoho logického celku
WAN Wide
area network –síť pokrývající geograficky rozsáhlé území
Seznam schémat, obrázků a příkazových řádků
Schéma č. 1: Diagram datových toků počítačové sítě
Schéma č. 2: Switch dělení broadcastové a kolizní domény
Schéma č. 3: Router dělení broadcastové a kolizní domény
Schéma č. 4: Výpadek ústředního prvku struktury
Schéma č. 5: Výpadek switchů pro serverové farmy
Schéma č. 6: Výpadek switchů zodpovědných za datovou konektivitu aktivních prvků na produkční hale
Schéma č. 7: Výpadek hlavního firemního firewallu
Schéma č. 8: Výpadek switchů pro CCTV řešení
Schéma č. 9: Výpadek wireless kontroleru
Schéma č. 10: Ukázka smyčky na druhé vrstě OSI protokolu
Schéma č. 11: Logika virtual switching systému
Obrázek č. 1: T-Mod adaptér.
Obrázek č. 2: Kolébkový vypínač pro PoE
Obrázek č. 3: Seznam stavu monitorovaných součástí přes ILO
Obrázek č. 4: Rozhraní nahrazující tlačítko start
Obrázek č. 5: Systémové logy udržované rozhraním ILO
Obrázek č. 6: Systémové logy udržované rozhraním ILO
Obrázek č. 7: Seznam stavu kontrolovatelných serverů přes IP KVM
Obrázek č. 8: Ukázka GUI přes webový prohlížeč IP KVM
Obrázek č. 9: Konfigurační rozhraní pro NIC teaming
Obrázek č. 10: Konfigurační rozhraní pro NIC teaming
Příkazový řádek IOS č. 1: Aplikování access listu na VLAN
Příkazový řádek IOS č. 2: Implicitní pravidlo access listů
Příkazový řádek IOS č. 3: Routy
Příkazový řádek IOS č. 4: Podpora BGP
Příkazový řádek IOS č. 5: Elementární konfigurace 3750X-48T-S
Příkazový řádek IOS č. 6: Konfigurace VLANů
Příkazový řádek IOS č. 7: Konfigurace access listu
Příkazový řádek IOS č. 8: Konfigurace routovacího protokolu
Příkazový řádek IOS č. 9: Konfigurace switche tvořícího VLAN
Příloha č. 1: Logický design sítě
Příloha č. 2: Fyzický design sítě
Příloha č. 3: Mapa výpadků