CATEGORII DOCUMENTE |
Proiect la Retele de Calculatoare
Proiectarea unei retele virtual private
(LAN & WAN design)
Lucrarea de fata are ca scop declarat descrierea modului in care trebuie realizata implementarea unei retele de calculatoare intr-o societate comerciala care are mai multe sedii raspandite geografic la distanta mare.
Am ales ca fiind necesar un numar de trei locatii initiale si gandirea proiectului in asa fel incat sa poata fi scalabil pana la un numar oricat de mare in functie de viitoarea extindere economica.
In cursul realizarii planului de design trebuie tinut cont in mod obligatoriu de cateva cerinte principiale. In general aceste cerinte sunt valabile pentru toate tipurile de retele.
functionalitatea
scalabilitatea
adaptabilitatea
posibilitatile de management
Functionalitatea in contextul networkingului inseamna ca reteaua trebuie sa mearga, mai exact utilizatorii sa-si poata indeplini cerintele muncii lor .Reteaua trebuie sa furnizeze atat conectivitatea utilizator-la-utilizator cat si utilizator-la-aplicatie (in cazul aplicatiilor care opereaza pe un server ) la o viteza si siguranta rezonabila.
Scalabilitatea : Reteaua trebuie sa fie pregatita pentru orice viitoare extindere. Iar acesta crestere in dimensiuni nu trebuie sa afecteze in mare masura designul initial.
Adaptabilitatea : inseamna ca reteaua trebuie implementata cu un ochi atintit spre viitoarele tehnologii .Aceasta inseamna ca nu trebuie sa includa elemente care ar putea sa impiedice implementarea noilor tehnologii odata ce acestea devin disponibile.In acest sens trebuie respectate cat mai in detaliu standardele existente.
In ceea ce priveste crearea posibilitatilor de management exista doua lucruri de mentionat : posibilitatile de monitorizare si posibilitatea de control a traficului , accesului etc.
In procesul de design in cazul retelei pe care am ales-o se impune de mentionat ca sunt doua aspecte ale proiectarii si anume LAN-disign-ul si WAN-designul. Cele doua aspecte sunt diferite si la fiecare trebuie tinut cont de parametri diferiti.
Pe de o parte cand vorbim despre LAN-uri ( Local Area Network - retea locala) ne referim la acele comunitati de calculatoare care se afla intr-o locatie bine precizata , dimensiunea dintre cele mai departate masini fiind de maxim cateva sute de metri .Uzual aceste retele acopera suprafata unei cladiri sau cel mult un campus .Elementele acestor retele sunt alcatuite din simple calculatoare (PC-uri cel mai adesea ) , servere , imprimante etc.Viteza la care se face conexiunea este mare iar timpul in care este disponibila conexiunea este virtual nelimitata.
In cazul LAN-urilor exista cateva cerinte critice care trebuie urmarite in cazul implementarii:
* Plasarea serverelor si definirea functiei lor.
* Detectia coleziunilor.
* Segmentarea retelei.
* Definirea domeniilor de broadcast si a celor de bandwidth.
Un al doilea aspect al implementarii este cel legat de realizarea retelei WAN (Wide Area Network-retea de mare intindere).Exista deosebiri mare intre cele doua tipuri de retele .
Retelele de mare intindere leaga intre ele masini aflate la mare distanta geografica , punctul maxim constituindu-l Internetul .In general conexiunile de acest gen sunt realizate pentru a permite comunicarea intre retele locale .In general in retelele de mare intindere rareori se intalnesc simple PC-uri , cel mai adesea la "capetele cablurilor " se afla modemuri,routere sau switchiuri WAN.Transferul datelor se face la viteze mici , existand posibilitatea cresterii de banda dar acesta necesitand cheltuieli mari .Din acest motiv trebuie foarte judicios calculat si ales cel mai bun raport calitate/pret.In genere serviciile WAN sunt cumparate sau inchiriate de la un furnizor sau provider generic numit ISP.
Pentru designul WAN trebuie tinut cont de urmatorii factori :
* Conexiunea trebuie sa faca fata la cerintele de trafic.
* Asigurarea securitatii specifice .
* Costul detinerii conexiunii.
Proiectul pe care trebuie sa-l implementez atinge toate aspectele enuntate mai sus cu un deosebit accent pe cerintele de securitate deoarece este prevazut ca intre cele trei sedii vor circula informatii critice pentru activitatea financiara.
Imaginea de mai jos reprezinta o schematizare a proiectului:
Cele trei locatii ale firmei proceseaza date vitale pentru activitatea economica a societatii si din aceasta cauza este deosebit de importanta mentinerea comunicarii pe de o parte la un nivel securizat cat si pe parcursul desfasurarii activitatilor specifice.Sediul principal este la Cluj iar filialele sunt in Bucuresti si Timisoara.
Partea 1.Consideratii teoretice relativ la netorking si internetworking.
Despre LAN ( Token Ring , FDDI , Ethernet )
LAN - local area network sau retea locala .Un LAN este o colectie alcatuita dintr-unl sau mai multe computere localizate la o distanta limitata unul de celalalt si care comunica reciproc (direct sau indirect).LAN-urile difera in modul in care computerele sunt conectate intre ele, in modul in care informatia circula intre ele si in modul in care se repartizeaza functiile fiecarui calculator component.Computerele dintr-un LAN pot fi PC-uri, Macintosh, minicomputere, mainframe-uri etc.
In general computerele care se afla intr-un LAN sunt denumite noduri care la randul lor pot sa fie statii sau servere. De asemenea mai pot fi intalnite si alte tipuri de componente: imprimante de retea, scanere, switchiuri etc. Calculatoarele dintr-un LAN sunt legate prin intremediul placii de retea (Network Interface Card - NIC) care se insera in sloturi ca PCI .Serverele pot sa aiba mai multe NIC-uri.
In general putem diferentia LAN-urile in doua moduri:
- in ceea ce priveste relatia administrativa
intre noduri: avem retele clientserver (server based) si retele
pear-to-pear.
- in ceea
ce priveste modul in care se stabileste relatia fizica si logica, adica modul
in care circula informatia intre componente avem mai multe arhitecturi : Ehternet ,
Token Ring FDDI si avem mai multe topologii : bus,
stea, inel,retea extinsa, dispozitie ierarhica , mesh .
In continuare sunt prezentate cateva cuvinte despre fiecare, dar punand un deosebit accent Ethernet (sau IEEE 80.3) deorece este cea mai raspandita tehnolgie. In imagine este o harta a tehnologiilor cele mai raspandite la realizarea unui LAN. Se poate vedea ca aceste tehnologii sunt in principal implementate la primele doua straturi ale modelului OSI .Ar mai fi de remarcat si fatptul ca stratul 2 (data link) este subimpartit in doua substraturi : LLC independent de tehnologii si MAC care este total dependent de tehnologia implementata.
Token
Ring (transfer
la 4-16 Mbps) a fost dezvoltat de IBM iar mai apoi standardizat sub denumirea
de IEEE 802.5.Denumirea sa vine de la token , in
engleza jeton .Din punct de vedere al topologiei logocice avem un inel. Intre
statiile dispuse in acest inel circula un jeton - acesta este un frame de mici
dimensiuni. Acest jeton ramane la fiecare statie un anumit interval de timp
dupa cere este transmis mai departe statiei din vecinatate. Fiecare statie are
voie sa transmita numai atunci cand se afla in posesia acestui jeton. Odata
transmisa informatia in retea nu se mai afla nici un jeton. Informatia circula
de la o statie la alta pana cand atinge destinatia unde este copiata si se
modifica un bit din header iar mai apoi trimisa mai departe. Ciclul se
termina atunci cand informatia reajunge la statia de pornire care poate sa afle
daca ea si-a atins destinatia si apoi o scoate din circuit eliberand dupa aceea
un nou jeton in circulatie. Avantajele acestui tip sunt determinismul ei si
lipsa de coleziuni. Prin determinism putem sa intelegem ca se poate calcula
precis timpul in care o cantitate de informatie ajunge la destinatie. Lipsa de
coleziuni: nu pot sa emita doua statii in acelasi timp (cum este cazul in
Ethernet guvernat de SMA/CD). Dezavantajul principal ar fi ca in cazul in care
apare o lezare a cablului sau la o statie intreaga retea este compromisa. Imaginea
de mai jos schematizeaza circulatia informatiei intr-o retea Token Ring .
FDDI (rata de 100 Mbps) este o
topologie mai scumpa dar se impune ca si backbone sau in locuri unde este
necesara o conexiune foarte sigura intre computere de mare putere. Foloseste
aceeasi tehnologie a jetonului ca si Token Ringul deci este lipsita de problema
coliziunilor. In plus FFDI foloseste transmisia prin fibra optica deci avntaj
la viteza si posibilitate de trafic teoretic nelimitat. Este alcatuita din doua
inele din care al doilea este in cele mai multe cazuri utilizat ca si rezerva
pentru cazuri in care primul cedeaza.
Ethernet este in mod sigur cea mai raspandita arhitectura in lume la ora actuala aceasta datorandu-se probabil raportului calitate/pret pe care il are. In general este cunoscuta si ca tehnologia IEEE 802.3. Noile implementari aduc o crestere enorma in capacitatea de trafic a Ethernetuli: Fast Ethernet (100 Mbps) si Gibabit Ethernet (1000 Mbps).
Imaginea de mai jos prezinta standardele Ethernet:
Ethernetul foloseste o topologie logica de tip bus si cel mai adesea una fizica de tip stea sau stea extinsa (datorata hub-urilor si switchurilor). Mediul de transfer este cel mai adesea cablul UTP Cat 5 (acestea sunt ultimle cerinte in materie de standarde, cablul coaxial nemaifiind recomandat). Exista cateva lucruri standardizate in legatura cu modul in care se face cablarea in Ethernet si pe care trebuie sa le prezentam pentru ca sunt foarte utile in realizarea proiectului pe care l-am propus. Modul in care este construita o retea ethernet este cel mai adesea de tip stea sau stea extinsa, standardele care se aplica pentru acest caz sunt EIA/TIA 568A, acesta definind distantele maxime ale fiecarui segment al cablarii. In cazul folosirii acestor standarde se presupune ca in centrul arhitecturii se afla un hub (sau switch) din care pornesc cablurile ce merg pana la statii. Acest hub se afla intr-o camera speciala denumita camera echipamentelor, tot aici aflandu-se cam toate echipamentele care deservesc facilitatile de comunicare ale retelei, pot fi si servere de retea, routere etc.
Avem urmatoarea schema:
Aceeasi reprezentare dintr-ul alt punct de vedere:
Probabil cel mai caracteristic termen relativ la Ethernet este tehnologia CSMA/CD (elaborata undeva in Hawai).Aceasta consta in mare in urmatoarea secventa de pasi:
.O statie vrea sa transmita
.Asambleaza informatia
. Asculta pe cablu daca cineva transmite
. Daca da atunci asteapta si apoi reancearca
. Daca linia este libera transmite
. Se poate intampla ca doua statii sa emita in acelasi timp si sa apara o
coliziune moment in care informatia este distrusa bit by bit . Prima statie care a decelat
fenomenul trimite un semnal prin care avertizeaza ca s-a produs o coliziune, in felul acesta avand
certitudinea ca toate statiile au auzit ca s-a petrecut o coliziune. Din acest moment fiecare
statie intra intr-o perioda de asteptare precis calculata pentru fiecare,
timp in care nu mai pot sa transmita nici un mesaj.
Atat Ethernet cat si IEEE 802.3 sunt retele de tip broadcast adica fiecare statie poate sa vada frameurile trimise in retea. Fiecare statie incarca o copie a frameului care circula prin mediu si examineaza adresa MAC de destinatie a framelui. Daca acesta corespunde cu adresa respectivei statii atunci este trimis stratului 3 pentru a se examina si IP-ul acelui frame. In cazul in care adresa MAC nu corespunde acel frame este descarcat. Asadar in ceea ce priveste Ethernetul una dintre problemele de care trebuie tinut seama cu prioritate este chestiunea coliziunilor si mai exact a evitarii acestora. Una dintre modalitati ar fi folosirea cailor full-duplex . Mai exact, in cazul huburilor clasice transmisia are loc pe un singur canal atat la trimitere cat si la receptia semnalului, in cazul transmiterii full-duplex exista canale separate dedicate fiecarei actiuni in felul acesta evitandu-se coliziunile si practic dubland rata de transfer deorece un computer poate sa trimita si sa primeasca in acelasi timp nformatie.Crearea acestor circuite se poate realiza pe vechile infrastructuri de cabluri dar in general necesita prezenta unui switch.
Echipamente si functii
Un subiect extrem de important atunci cand tratam problema designului in retelele ethernet este aceea a segmentarii acestora. Pentru a o putea descrie in ansamblu este nevoie de o scurta prezentare a echipamentelor care pot fi folosite in implementarea unui LAN.
Cablurile in general vom folosi UTP
categoria 5 acesta fiind momentan recomandat de standarde fiind tehnologia cea
mai scalabila. Este un cablu alcatuit din patru perechi torsadate pentru
eliminarea efectului de cross-talk. Din pacate este susceptibil de a fi
sesnsibil la radiatia electromagnetica si chiar lumina de neon. Este
recomandata de asemenea folosirea sa cu
deosebita grija in ceea ce priveste respectarea dimensiunilor
recomandate.
Hubul
Este un echipament de strat 1. Functiile sale sunt relativ simple: regenerarea semnalului primit pritr-un port si retransmiterea lui pe toate celelalte porturi. Nu face nici un fel de decizie in ceea ce priveste traficul. Poate avea mai multe porturi 4, 8,32 etc. Este un echipament ieftin. Se mai numeste si multiport repeater. este important de mentionat ca se inlocuieste prin folosirea sa vechea tehnologie de tip bus in care se utiliza cablul coaxial (acum nemaifiind recomandat de standarde).
Switchul este denumit si multiport bridge. In general combina caracteristicile unui hub (are o multitudine de porturi) cu cele ale uni bridge - opereaza la stratul 2 al modelului OSI
Pentru a intelege cum opereaza un switch este foarte important de inteles structura unui frame aceasta fiind elementul cu care lucreaza acest echipament.
Functiile sale sunt cam urmatoarele :
. inspecteaza frame-urile pe care le primeste pe un port , citeste adresa MAC sursa.
. daca adresa este gasita (daca nu o gaseste si-o noteaza in tabela de switching asociind-o cu portul pe care aceasata a sosit) apoi citeste adresa MAC destinatie.
. daca aceasta este gasita se trimite frameul pe
acel port
. daca nu este gasita frameul este trimis pe toate porturile in afara de cel
pe care a sosit
Functiile unui switch sunt deosebit de importante in contextul in care se face trecerea la LAN-uri de capaciatate tot mai mare. In prezent se recomanda inlocuirea hub-urilor cu switch-uri. Un alt factor care trebuie mentionat este existenta mai unor switchuri carora li se poate face un management strict si adaptat la cerintele unei anumite retele
Un subiect deosebit de actual in ceea ce priveste switchurile este utilizarea de VLAN-uri (Virtual LAN). Termenul trebuie descris pentru ca este folosit in acest proiect deorece aduce imbunatatiri categorice in securitatea si eficienta retelelor ethernet.
VLAN este o grupare logica de utilizatori si echipamente conectati administrativ la porturile unui switch. Mai exact VLANul permite realizarea intr-un switch a mai multor domenii de broadcast (si coiliziune). Cel mai simplu este sa descriem pe o imagine in care avem trei VLANe pe o arhitectura de trei switchuri si un router
Dupa cum se vede in imaginea de mai sus cele trei VLANe impart cele trei switchuri. Spre exemplu se poate ca VLAN 1 sa fie al departamentului de marketing, 2 al celui de vanzari iar ultimul aprtinand celui de salarii. Cu totate ca statiile sunt introduse in porturile aceluiasi switch ele nu vor putea comunica intre ele decat daca sunt in acelasi VLAN sau daca exista un router care sa routeze intre VLANe. Cele trei switchuri pot sa fie la etaje diferite, conditia este ca ele sa fie conectate intre ele. Comunicarea intre aceste switchuri se va face prin intermediul unui backbone (in genere de minim 100 Mbps) pe care se foloseste un protocol de trunking. Folosirea acestui mecanism in retele are avantajul deosebit ca degreveaza foarte mult reteaua de calculatoare de traficul generat de broadcast exagerat. Spre exemplu statiile Windows 98 isi pierd tabela ARP la o perioda de 2 minute dupa aceasta reinnoind-o prin generarea unor noi broadcasturi (se obtin adresele MAC cunoscandu-se cele de IP). Un alt avantaj este cel legat de securitate - cu toate ca sunt introduse in porturile aceluiasi switch statiile nu pot sa comunice fara acordul administratorului. Folosirea unui router este extrem de avntajoasa deorece aduce avantajele sale de securitate ca de exemplu folosirea ACL-urilor.1 In logoul de mai jos se poate observa modul cum au fost repartizate porturile unui switch in doua VLANe
Catalyst 1900 - VLAN Membership Configuration
Port VLAN Membership Type
1 1 Static
2 1 Static
3 1 Static
4 1 Static
5 1 Static
6 1 Static
7 1 Static
8 1 Static
9 2 Static
10 2 Static
11 2 Static
12 2 Static
AUI 1 Static
A 1 Static
B 1 Static
[M] Membership type [V] VLAN assignment
[R] Reconfirm dynamic membership [X]
Exit to previous menu
Enter Selection: X
Routerul
Este un echipament esential astazi atat in LANuri cat si in WANuri. Exitsta
mai multe posibilitati de realiza un router, una dintre ele fiind folosirea
unui PC simplu cu OS Linux si cu mai multe placi de retea. In continuare noi
vom vorbi despre routerele dedicate realizate de Cisco si mai exact vom trata
cu cele din seria 2500 (tipurile 2501 si 2514).
Routerul este un echipament de strat 3 lucrand cu pachete si cu adrese IP (in
cazul folosirii TCP/IP-ului).Un router are doua functii principale :
Gaseste cea mai buna cale catre o anumita destinatie. Acest fenomen se produce utilizand route statice sau rounting protocoale (RIP , IGRP, EIGRP,IS-IS,BGP,etc). Face switching de pachete intre diferiltele sale interfete spre exemplu daca a primit un pachet la nivelul interfetei ethernet e0 poate sa-l trimita mai departe catre destinatie prin intermediul interfetei seriale s0
Routerul desfasoaara intreaga activitate de routing si switching folosind tabela de routing unde mapeaza retelele in care poate sa trimita pachete cu interfetele pe care trebuie sa faca switchingul pentru a ajunge in acele retele. Intrarile in tabela de routare se pot crea manual sau pot fi folosite routing protocoale care asigura o intrare dinamica in tabela de routare.
Daca un router primeste un
pachet pentru a carui destinatie nu are o ruta el va trimite acel pachet catre
ceea ce se numeste default router care in prealabil va trebui configurat.Termenul
este asemanator cu default gateway-ul pentru un computer. Daca default routerul
nu este definit atunci pachetul este descarcat si instiintata sursa acelui
pachet. Routerul Cisco 2514 are doua interfete pentru ethernet (conectorii sunt
de tip AUI si necesita transceiveri pentru UTP sau BNC in functie de necesitati
- noi vom folosi pe cei pentru UTP ) si doua interfete
seriale sincrone. Acestea se pot conecta folosind cblu serial V.35 acesta
asigurand o rata a datelor de pana la 2 Mbps
Acest router mai are o interfata pentru consola (console port) si o interfata
AUX (pentru management prin intermediul unei perechi de modemuri).
ACL (Access Control List)
Sunt niste mecanisme extrem de utile in ceea ce priveste asigurarea securitatii retelelor.ACL-urile pot fi folosite doar cu routerul, mai exact se aplica pe interfetele acestuia. Ca definitie: ACL reprezinta o succesiune de declaratiii de tip admis / respins care se aplica pe interfetele unui router pentru a admite sau respinge un enumit tip de trafic. Citirea si aplicarea acestor declaratii o face routerul in mod secvential atunci cand inspecteaza un pachet. Printre avantajele folosirii ACLurilor sunt: posibilitatea de a asigura un control al traficului, scaderea traficului inutil in retea ducand astfel la imbunatatirea benzii disponibile, posibilitatea de a preciza exact tipul traficului permis sau interzis in functie de porturi si adresa de IP 1 .
Partea a 2a.Implementarea VPN.
Implementarea LAN
Firma are 3 locatii in
Intre
cele trei sedii trebuie sa circule informatia in cel mai sigur mod cu putinta,
aceste date fiind vitale pentru activitatea economica a firmei. Cu toate
acestea, aceasta firma nu are fondurile necesare pentru a-si putea crea propia
sa retea pe o distanta atat de mare, astfel ca apeleaza la o solutie de
compromis foarte viabila: implementarea unui VPN. Aceasta se va
face cu preturi mult mai mici decat cea a realizarii unei retele private dar cu
acelasi grad de securitate. Important este si faptul ca cea mai mare parte a
circuitului va fi in seama providerului de servicii internet eliminand astfel o
buna parte din cheltuielile de intretinere ale retelei. Asadar sa schematizam
reteaua pe care dorim sa o implementam:
Dupa cum se vede in imaginea precedenta
aceste trei locatii vor fi interconectate prin legaturi la reteaua internet.
Insa trebuie
mentionat foarte clar ca aceste legaturi nu sunt suficient de sigure pentru a
permite transmiterea de informatie vitala. Asa ca s-a opatat pentru VPN care pe
acest tip de lagaturi transmite in modul cel mai sigur datele prin cripatarea
lor. In paginile care urmeaza am sa incerc sa detaliez modul in care se va face
implementare retelei atat la nivel de LAN cat si de WAN.
Am considerat ca cel mai bine de prezentat aceasta implementare este sa pornesc
de la designul LAN in fiecare dintre cele trei sedii ale firmei iar in cele din
urma sa indic modul in care a fost realizat VPNul.
Implementerea LAN
Cele trei sedii de care am vorbit au o structura diferita in ceea ce priveste cerintele utilizatorilor retelei asa ca cel mai bine este sa le prezint in mod separat.Voi incepe cu locatia din Cluj-Napoca .
Cluj-Napoca
Aici se afla sediul
firmei asa ca vor fi cerinte mai mari in ceea ce priveste performantele de trafic. Din punct
de vedere administrativ am prevazut pentru sediu urmatoarele
departamente de care vom tine seama in cadrul proiectului:
PIRIMUL NIVEL:
Departamentul de vanzari si relatii cu clientii
Departamentul economic si de salarii
Departamentul de comunicatii
AL DOILEA NIVEL:
Departamentul de evidenta stocurilor
Departamentul de resurse umane si training
LA TREILEA NIVEL:
Departamentul de productie
Departamentul de cercetare
Este importanta repartitia pe diferite departamente pentru plasarea serverelor si distribuirea in mai multe VLANe.De asemenea este importanta si gandirea modului in care se vor defini politele de acces intre aceste VLANe care sunt retele diferite .
In continuare am sa prezint
schematic cele trei niveluri ale cladirii in care se afla birourile
firmei.
In continuare trebuie precizate cateva aspecte in legatura cu cablarea. Ideea este ca se va folosi cablu UTP Cat 5. Acest tip asa cum am mai precizat foloseste o topologie fizica de tip stea (si una logica de tip bus) in care lungimea fiecarei raze nu trebuie sa depasesca 100 m din considerente de atenuare. In cazul in care se depaseste aceasta dimensiune este indicata folosirea repeaterelor sau a huburilor. In cazul nostru nu va fi nevoie de nici un repeater pentru ca vom folosi o multitudine de switchiuri si huburi cascadate.
Probabil cea mai importanta parte a designului este definirea VLANelor pentru fiecare departament, daca exista departamente care trebuie sa imparta acelasi VLAN, daca exista utilizatori ai unui VLAN care trebuie sa aiba acces intr-un altul dar fara o relatie de reciprocitate intre aceste doua VLANe. De asemenea trebuie tinut cont de modul in care alegem folosirea switch-urilor sau a hub-urilor. Intr-adevar hub-urile sunt mai ieftine decat switch-urile dar sunt locuri unde avem nevoie de trafic mare si de coliziuni putine, loc unde se preteaza cel mai bine switch-urile. Si mai trebuie tinut cont si de faptul ca huburile tind sa fie complet inlocuite de swichiuri. Un alt factor este cum repartizam largimea benzii in aceasta retea. Momentan exista tendinta de a face trecerea la Fast Ethernet ( 100 Mbps ) si chiar la Gigabit Ethernet ( 1000 Mbps ). Aici va trebui sa urmarim cam ce departamente au nevoie de o banda cat mai larga si care se pot multumi si cu trafic de 10 Mbps (Ethernet). Facem precizarea ca toate conexiunile care asigura backbon-uri intre componente vor fi de 100 Mbps; acest tip de cablu UTP Cat 5 este pregatit sa poata trece la rate mai mari fara a fi nevoie sa fie modificat. Un alt factor de care trebuie sa tinem seama este routerul. Acesta este nodul central al tuturor conexiunilor si al retelei. El va fi acela care va permite legatura intre VLANe si intre retelele celorlalte noduri. De el vor fi atasate o gramada de alte device-uri care vor aduce servicii utilizatorilor (ca de exemplu telefonie pe internet Voice-over-IP sau VoIP). Asdar vom incepe cu definirea unor VLANe. Vom construi in principiu cate un VLAN pentru fiecare dintre departamente cu mentiunea ca vom introduce doua departamente intr-un singur VLAN: evidenta stocurilor si productie. Fac acest lucru pe motiv ca cele doua structuri au ca obiect de lucru aceeasi baza de date. Asadar vom avea urmatoarele VLANe pe departamente:
1.Vanzari si relatii cu clientii
VRC
2.Economic si salarii ES
3.Comunicatii COM
4.Productie si evidenta stocurilor PES
5.Resurse umane si training RUT
6.Cercetare CER
In concluzie avem 6 VLANe la momentul implementarii. Este posibil ca pe parcursul activitatii sa mai fie nevoie si de altele, din aceasta cauza va trebui sa legam un switch care sa permita si porturi redundante. Intre VLANe pentru a permite comunicarea este nevoie de un router cu care switchiul mare (big-sw) va fi legat printr-un port de trunk. Acest port este recomandat sa aiba cel putin 100 Mbps trafic. Este important de mentionat ca si routerul trebuie sa aiba pentru aceasta un port disponibil pentru Fast Ethernet. Dupa cum se vede in imaginea de mai jos am ocupat deja 6 porturi pe big-sw toate trebuie sa fie de 100 M. Va trebui sa pregatim un astfel de debit informational pentru viitor chiar daca acum nu este in totalitate folosit. Trebuie sa mentionez ca cheltuiala nu va fi tocmai mica.
Am sa gandesc in continuare
fiecare departament ca avnd un sever propriu - este ceea ce se numeste
workgroup-server. Exista departamente care au nevoie ca serverul lor sa fie in
deplina securitate, din aceasta cauza este recomandat sa fie plasat impreuna cu
alte servere importante intr-o singura camera cu acces numai pentru personalul
de specialitate. In acest sens m-am gandit sa introduc serverele
departamentelor de cercetare, productie si evidenta stocurilor. Asdar am sa le
leg la porturile lui big-sw ocupand inca doau porturi scumpe. O alta categorie
de servere sunt cele intitulate enterprise servers. Acestea sunt o
categorie aparte de cele denumite workgroup servere prin aceea ca au functii
utilizate de toate masinile si utilizatorii din firma. Spre exemplu sunt
serverele de mail, serverele de nume, servere de web si ftp in cazul in care se
doreste publicare unui site pe internet. M-am gandit sa pun toate aceste
servere intr-un singur VLAN - COM .Exista si aici anumite cerinte in ceea ce
priveste viteza de acces de aceea prefer sa leg cat mai multe dintre aceste
servere la big-sw.
Serverele mari ale firmei (mail, DNS, web, ftp ) impreuna cu cele vitale ca informatie (de cercetare si cel de productie) vor fi situate in doua camere din cele trei ale departamentului de comunicatie ( la primul nivel al constructiei ).
In imaginea de mai jos se poate vedea in detaliu modul de amplasare. Imaginea de mai jos schematizeaza in detaliu modul de aranjare a componentelor retelei la primul nivel al constructiei.
Vom incepe cu departamentul
de comunicatie. Dupa cum se observa exista acolo trei camere: in camera A am
introdus serverele mari ale intreprinderii precum si serverele departamentelor
de productie si cercetare. Conexiunea lor se face la big-sw care este in camera
B. Ideea este ca aceasta conexiune sa fie de minim 100
M daca nu chiar de 1G Bbp, asta depinde si de ce tip este big-sw.Am introdus in
camera A doar acele servere care se conecteaza direct la porturile lui big-sw
fara nici un alt switch intermediar.
In camera B am introdus echipamente Cisco. Vedem aici big-sw si routerul big-ro. Practic acesta este inima intregii retele si trebuie sa respecte niste conditii de mediu extrem de riguroase. Asupra echipamentelor folosite in aceasta camera vom mai reveni pe larg la sfarsitul prezentarii .
In camera C se afla com-sw (switchul celor care
lucreaza in departamentul de comunicatie). Legat la com-sw se afla computerele celor care lucreaza in acest
departament, o imprimanta de retea si cateva servere. Printre aceste servere pot fi cel
de web, mail etc. Decizia este luata de administratorul de sistem care servere
sunt legate aici si care vor fi in sala A. Am introdus pentru acest departament
un numar de 9 calculatoare si o imprimanta de retea, un numar de trei servere. Deci
pentru inceput avem treisprezece noduri care trebuie sa fie legate la porturile
com-sw. Trebuie urmarita, pentru a asigura un numar redundant de porturi, si
disponibilitatea unui port care sa permita realizarea unui trunk cu un viitor
switch care s-ar
putea atasa acestui departament. Departamentul de vanzari si relatii cu
clientii are pentru inceput un numar de 30 calculatoare, un file-server, o
imprimanta de retea, un plotter de retea si un scanner de retea. De asemenea sala
de primire tine tot de acest departament. Este de recomandat ca toate aceste
noduri sa fie legate la porturile lui vrc-sw care pot sa fie atat de 100 cat se
de 10 Mbps. De asemenea trebuie facuta mentiunea ca pentru sala de primire mai
trebuie folosit un hub deoarece este posibila depasirea distantei limita de 100
metri pentru unele masini. Consider ca este suficient un simplu hub deoarece
traficul pentru aceste calculatoare este relativ mic. Departamentul economic si de salarii are nevoie de doua
imprimante de retea deoarece tipareste o multitudine de facturi. Pentru
moment sunt 29 de calculatoare un file-server 1 si doua printere de retea. Pentru
a reuni si ultimile masini mai avem nevoie de un hub. Asadar o parte dintre
calculatoare se leaga direct la es-sw iar o alta parte se leaga la un
hub.
In continuare vom prezenta arhitectura celui de al doilea nivel al cladirii sediului central al firmei. Aici se afla doua din departamentele firmei : in primul rand departamentul de evidenta a stocurilor si o serie de birouri administrative, iar in al doilea rand departamentul de training si resurse umane. In ceea ce priveste departamentul de evidenta stocurilor , acesta face parte din acelasi VLAN cu cei de la productie. Asadar avem trei posibilitati : fie sa aducem din big-sw un cablu aparte pentru fiecare dintre cele doua departamente, sa le reunim pe acelasi cablu folosind astfel un sigur port al big-sw si un singur switch pentru amblele departamente plus un hub de Fast Ethernet, sau sa folosim un singur port de la big-sw si doua switchuri pentru fiecare departament legate intre ele printr-un trunk. Eu am optat pentru a doua varianta fiind cea mai ieftina in ideea ca un port al lui big-sw este mai scump decat unul de la pes-sw. Mai exista de asemenea posibilitatea ca in loc de hub sa folosim un switch fara posibilitate de management care ar fi mai ieftin decat unul cu management si ar permite microsegmentatie si o buna performanta a traficului. Asadar acest departament are un numar de 30 workstation-uri, un server, o imprimanta de retea. In ceea ce priveste celalalt departament cerintele de banda disponibila sunt ceva mai riguroase pentru urmatorul fapt: exista la ora actuala o regandire a cheltuielilor de training ale unei intreprinderi inspre orientarea acestora pe solutii de desktop. Mai exact exista doi factori importanti :
1.toate firmele mari sunt
constiente ca training-ul
trebuie sa fie o realitate permanenta , multe avand
un departament care se ocupa permanent cu asa ceva
2.cheltuielile cu educarea permanenta a angajatilor sunt mari ,
pentru ca in afara de plata
unor instructori mai apar si cheltuieli
adiacente : transport , cazare , masa , lipsa de la locul de munca .
In aceste conditii a aparut
tendinta ca unele corporatii sa-si faca o retea de calculatoare suficient de
puternica incat sa suporte trafic intensiv pentru tinerea unor cursuri on-line
in intranet sau pentru consultarea on-line a unor materiale. Aceasta modalitate
este foarte performanta pentru ca in afara de reducerea masiva cheltuielilor
permite si o mentinere riguros la zi a tuturor materialelor ce se predau precum
si folosirea unor tehnice electronice foarte rapide prin care se anunta
aparitia unor noutati.
Aceasta noua tehnologie de training am incercat sa o fac si eu disponibila in
firma mea prin buna dotare a unui departament care se ocupa cu asa ceva. In
acest departament toate serverele vor fi performante asigurand o buna viteza de
acces. Legarea acestora la rut-sw se va face pe porturi de minim 100 M.
Acest departament are :
. un
numar de 30 de calculatoare ,
. doua printere de retea ,
. un fax server,
. un proiector ,
. doua camere de luat vederi digitale ,
. cateva displayuri de mari dimensiuni ,
. un plotter de retea ,
. un scanner de retea,
. patru servere.
Asta inseamna aproximativ 45
de noduri pentru inceput. La acestea mai trebuie sa adaugam un numar sulimentar
de porturi redundante fiind un departament in plina expansiune ca importanta. Asadar
rezulta un numar necesar de aproximativ 60 porturi.
In aceste conditii se recomanda ca fiind necesara folosirea unui switch
suplimentar. Acesta poate fi adus direct din big-sw sau poate fi realizat un
trunk intre rut-sw si un alt switch rut2-sw.
Prezenta unul al doilea switch chiar daca poate fi considerata scumpa se poate
considera ca se amortzeaza in timp, acest departament avand ca scop atat un
training mult mai eficient cat si mult mai ieftin.
Al treilea nivel al
constructiei contine departamentele de cercetare si pe respectiv pe cel de
productie. Departamentul de cercetare are mai multe servere, file-severul
principal fiind situat in sediul departamentului de comunicatii din motive de
securitate.
]
Departamentul de cercetare este unul relativ mic :
. 21 de
calculatoare
. 2 servere
. un printer de retea
. un server de fax
Asadar 25 de noduri. Traficul in aceasta retea nu va fi forte mare, din aceasta cauza se poate folosi si un hub daca se depaseste numarul de porturi disponibile de cer-sw. Departamentul de productie este legat in aceeasi retea cu cel care asigura evidenta stocurilor. Este alcatuit dintr-un mare numar de masini :
. 45 de calculatore
. 2 printere de retea
. 2 servere
In plus fata de acestea urmeaza adaugarea altor device-uri
pe masura extinderii firma fiind in plin progres. Am ales sa folosesc doua switchuri 3Com fara capacitate
de management. Reteaua este gandita ca fiind Fast Ethernet. Un aspect mai
deosebit al acestui departament este acela ca trebuie sa mentina legatura
directa tot timpul cu halele de productie si cu depozitele de stocare. Pentru a
realiza asta exista mai multe solutii, una dintre ele fiind de viitor :
folosirea unei retele LAN Wriless
(retea LAN care sa nu foloseasca cabluri). Aceasta retea va fi introdusa in VLAN-ul
pes, atasarea sa poate sa fie la porturile lui pes-sw sau big-sw.
Imagine urmatoare prezinta arhitectura nivelului al treilea al cladirii
sediului central.
In continuare am sa prezint cateva
considerartii relativ la implementare unei
retele LAN wireless Intrucat in capitolul de consideratii teoretice nu
am introdus acest subiect am sa faca aici o scurta
prezentare a subiectului urmata de datele implementarii in firma despre care
vorbim.
Pana acum cativa ani toate
retelele LAN fara fir erau implementari de tip proprietar si in plus foarte
lente (in jur de 1,5 M). Acest fapt facea comunicarea imposibila intre
echipamente apartinand firmelor diferite. De curand a fost implementat
standardadul IEEE-802.11B si s-a constituit un consortiu WECA ce are in grija
dezvoltarea tehnologiilor wireless LAN. Acest fapt a dus la posibilitatea de
interoperabilitate intre produse de firma diferita precum si la
o crestere calitativa a vitezelor de transfer. Acest fapt face momentan
din retelele LAN wireless o modalitate de a extinde retelele LAN cablate. Toate
firmele care livreaza astfel de echipamente trebuie sa respecte un standard
Wi-Fi emis de WECA sau cel intitulat IEEE-802.11B.
Exista si alte standarde LAN fara fir.
Bluetooth (30-400 kbps) ce se preteaza pentru retele personale (intre PDA, laptop, telefon mobil) permitand sincronizarea datelor intre acestea. Distanta permisa intre dispozitive este de 9 m. Momentan se lucreaza la implementari mai raspandite.
HomeRF (1-10 M) pentru retele de birou sau de acasa. Atinge o acoperire de pana la 45 m. Este inca in dezvoltare.
Standardul IEEE-802.11B asigura o acoperire de 15-90 m in functie de
obstacole intalnite de unde (pereti, plafoane etc). Functioneaza la o rata de
11 M teoretic si 6 M in teste, deci este asemanatoare ca si performante cu
Ethernetul de 10 M. Posibilitati de folosire sunt toate cele valabile pentru
standardul ethernet dar se preteaza cel mai bine la utilizarea in depozite,
spitale, aeroporturi in principiu locuri care necesita miscarea dispozitivelor
de retea. Aceasta alegere se datoreaza preturilor de implementare care sunt
destul de ridicate. O retea LAN fara fir are doua componente: un punct de acces si un adaptor LAN
client. Punctul de acces este un dispozitiv mic care se conecteaza la
reteau LAN cablata si care asigura transferul intre datele transmise prin cupru
si cele transmise ca si unde radio (transceiver radio). In plus acest
dispozitiv mai contine soft pentru criptarea si decriptarea datelor. Clientul
este in principiu o placa de retea care are un transceiver radio si o antena. Aceasta
placa trebuie adaptata cu interfete specifice dispozitivelor de care se
ataseaza: laptopuri, PDA, desktop-uri.
Distantele acoperite de un singur punct de acces variaza in functie de obstacolele pe care le intampina undele. In spatiu liber pot sa mearga pana la o raza de cateva zeci de metri (chiar 90 m) iar in spatii de tip campus, depozite in jur de 18 m.Cele doua dispozitive clientul si punctul de acces negociaza rata de transfer la initierea conexiunii. Exista bineinteles posibilitatea de a extinde mult mai mult raza de acoperire prin folosirea mai multor puncte de acces. Astfel se definesc niste celule asemanatoare celor din cazul telefoniei mobile. Deplasarea intre celule se face automat prin negociere fenomenul purtand numele de roaming. Asa cum am mai spus securitatea intre client si punctul de acces se asigura prin incriptarea datelor odata transmise sub forma de unde radio. Firme care comercializeaza echipamente pentru wireless LAN sunt Cisco , Apple , Compaq , Lucent ,3Com si altele. Printre cele mai apreciate solutii sunt cele oferite de Cisco prin kitul Cisco Aironet Wireless Series (in jur de 200 $ pe client si 1000 $ pe punctul de acces). Acest echipament este si ceva mai scump decat concurenta (in jur de 150 $/client si 800$/punct de acces). In ceea ce priveste proiectul meu este nevoie de o retea LAN fara fir in cazul halelor de productie si a depozitelor. In aceste incinte se pot folosi diferite echipamente de retea mobile: scannere de coduri de bare, etichetatoare, laptopuri.
Arhitectura retelei este prezentata in schita
care urmeaza.
Schitele care urmeaza
prezinta schematic celelalte doua sedii Bucuresti si respectivTimisoara.
Locatia din Bucuresti este
una fara utilitati deosebite avand rolul in principal de reprezentare.
Aici avem urmatoarele echipamente:
. 21 computere
. un pinter de retea
. un server
. facilitati de training
Nodul de comunicare este
dotat cu un router si un switch la care se mai pot adauga optional un hub si un
switch.
Locatia de la Timisoara este ceva mai mare avand si facilitati de productie. Echipamente :
. 35 de
calculatoare
. doua severe
. 2 printere de retea si un plotter
. 1 scanner , 1 server de fax
. facilitati de training
Toate aceste echipamente
si posibila adaugare a altora determina folosirea a doua switchuri si un
backbone intre ele.
Implementarea WAN
Adresele IP si iesirea la internet
Arhitectura propusa poate folosi doua varinate de adrese IP:
- Se pot folosi adrese reale pentru fiecare masina prin achizitionarea catorva sute de adrese de clasa C (spre exemplu achitionarea a doua clase la un pret cam de 1 $ pe adresa). De asemenea se pot achizitiona un numar ceva mai mic de adrese IP care vor fi repartizate in primul rand gateway-urilor prin intermediul carora se va iesi la internet, iar restul preferential pentru anumite masini.
- Se pot folosi in intregime adrese private si achizitionarea de adrese reale doar strict pentru gateway-urile care vor iesi la internet. In acest caz gateway-ul care va fi un router ceva mai puternic va face conversia intre adresa sa reala si adresele private foolosind protocolul NAT (Network Address Translation) cu varianta sa overloading. Imaginea de mai jos descrie in mare cum are loc procesul :
Dupa cum se vede mai sus
este folosita o singura adresa reala si mai multe private, la iesirea in
internet asignandu-se diferite porturi care sunt mapate cu adresele private.
Trebuie mentionat ca se va folosi o singura legatura la internet realizata in
sediul firmei. Aceasta legatura se va face pe un canal diferit de cele
pentru legatura cu celelalte locatii ale firmei folosind de preferinta acelasi
provider de internet. In arhitectura noastra vom folosi acelasi router dar cu
interfete diferite pentru tipurile de iesiri. Setarea gateway-lui pentru
internet este foarte importanta deorece se pun probleme deosebit de stricte de
securitate.
Ideea pe care o vom urmari in
acest sens este: pentru ce folosim legatura la internet? Raspunsul depinde de
unde privim aceasta conexiune:
- daca privim dinspre internet este necesar sa se vada in primul rand
serverul de web si ftp. Cu timpul se va pune si problema implementarii unor
solutii de e-commerce dar deocamdata nu vom trata aceasta problema.
- Daca privim dinspre companie spre internet este nevoie de cat mai multa
liberate de miscare asa ca vom fi mai permisivi.
Asadar pentru conexiunea la internet vom folosi o arhitectura de tip
firewall, care este alcatuita din mai
multe masini, dar in acest caz vom folosi doar un router pe care vom seta
securiatea cu ACLuri. Arhitectura va arata ca mai jos :
In imaginea de mai sus big-ro va
face atat legatura la internet, intre locatiile VPN-ului cat si routarea intre VLAN-ele
descrise mai devreme. Nu vom insista mai mult asupra conexiunii le internet
nefiind acesta subiectul lucrarii. Ideea este ca cel mai bine este achizitionarea
unui set de adrese reale, sa spunem 100 si folosirea in rest a adreselor
private. De asemenea este indicat sa achizitionam o banda garantata de 2,048
Mbps (1xE) pentru conexiunea la internet.
Ar mai trebui sa controlam accesul la internet printr-o politica austera cu
privire la conexiune pe http. Toata lumea trebuie sa aiba acces la e-mail dar
nu toti angajati trebuie sa poata vizita site-uri, sau unii trebuie sa o faca
cu prioritate. Acestea pot fi coordonate in detaliu cu ACL si QoS
disponibile in sistemul de operare al routerului (IOS).
Trebuie tinut cont de faptul
ca toate celelalte locatii vor accesa internetul tot prin intermediul lui
big-ro. De asemenea este important si faptul ca firma trebuie sa aiba
suficienta iesire pentru internet pentru o eventula trecere la sistemul de
voice-over-ip (fiecare canal de voce necesita 16 kbps) care ar permite
convorbiri internationale la preturi foarte mici.
Important atunci cand tinem seama de banada de iesire pentru internet este daca
aceasta firma are servere de web sau ftp puternice si daca va planifica
trecerea la vanzrile on-line. Aceasta nu se va intampla de la inceput asa cum
am prevazut deja. Trecerea la e-commerce este ceva mai
complexa deoarece presupune realizarea unei mutitudini de solutii
redundante.
Implementarea conexiunilor de VPN
Iata ca am ajuns si la acest
punct. L-am lasat la urma pentru ca poate este cel mai didicil de proiectat. Si
asta se intampla din cauza faptului ca este destul de dificila alegerea intre
diferitele tipuri de VPN si diferitele tipuri de echipamente disponibile la ora
actuala. Solutiile de echipament pe care le-am ales sunt exclusiv Cisco
datorita simplului fapt ca acesta firma asigura la ora actuala 80% din
infrastructura internetului. Intrucat lucrarea deja a ajuns la dimensiuni mari
am sa fiu cat mai schematic in prezentarea acestei parti.
Asadar solutiile alese de noi vor fi pentru un intranet VPN in ceea ce priveste
locatiile din Timisoara si Bucuresti.Totusi este important de realizat de
asemenea si un Access VPN pentru angajati care vor sa lucreze acasa daca
aceasta este mai profitabil pentru firma. Aceasta din urma solutie permite de
asemenea si a treia varianta a extranet VPN, acesta fiind dedicat pentru
conexiunile realizate cu partenerii de afaceri ai firmei (furnizori, resealeri
etc.). Vom prezenta aceste implementari pe rand impreuna cu tipurile de
echipament pe care le putem folosi.
Intranet VPN
Imaginea de mai jos prezinta
modul in care am proiectat conexiunea intre cele trei sedii. Am preferat ca
pentru moment sa leg doar prin doua conexiuni dar sa fac posibila si o treia
intre Bucuresti si Timisoara.
Dupa cum se vede am preferat folosirea numai a routerelor
cu toate ca exista solutii care cuprind pe langa routere si hardware firewalls
(in acest caz routerul este degrevat de o multitudine
de sarcini). Am ales arhitectura cu routere deorece mi se pare mai scalabila.
Va trebui sa alegem routere ceva mai puternice. Pana aici totul este simplu dar
trebuie ales routerele pe care sa le folosim in cele trei locatii si tipul de
legatura WAN.
Pentru routere
Pentru sediul firmei se recomanda ca alegerea sa se faca dintre urmatoarele serii : 2600, 3600, 7100. Fac mentiunea ca ma ales sa folosesc serii cu routere VPN-optimized mai puternice (exista si categoria VPN-enabled care sunt recomandate penru solutiile care cer o cripatare moderata si cerinte limitate de tunel).
Este un fapt extrem de important in alegerea routerului sa tinem seama de scalabilitatea echipamentului, domeniul fiind extrem de dinamic din toate punctele de vedere. Exista tendinta de a se concentra pe un singur backbone cam tot ceea ce tine de comunicarea de date de orice fel: video, voce, informatii. In acest sens trebuie tinut cont de tehnologii ca Voice-over-IP (VoIP) si mai ales AVVID. Asa ca in ceea ce priveste routerele vom prefera categoric o solutie modulara aceasta permitand adaugarea unor noi componente pe sasiu.
Asadar pentru sediul centreal este un router din cele trei serii mai sus mentionate. Am sa le prezint pe fiecare in cateva cuvinte iar in cele din urma am sa prezint alegerea mea .
Seriile 2600 si 3600 permit folosirea unei multitudini de tipuri de interfete pentru WAN (de la ISDN si pana la cele mai rapide conexiuni). Permit de asemenea sa fie folosite in toate cele trei tipuri de VPN avand un design modular. Ambele serii au procesoare RISC. Permit realizarea unor tunele folosind: Ipsec, GRE, L2F si L2TP iar ca modalitatea de incriptare HI' 00 in hardware (ca modul optional). Se pot folosi module de voce permitand trecerea la tehnologii avansate
Seria de routere 7100 (si cele care urmeaza pe aceasta) pot fi considerate daca imi este permis, un fel de Mercedes al routerelor.Acestea permit optiuniunile cele mai avnsate in routing si switching, au optiuni de scalabilitate extreme (pot merge lejer pe Gigabit Ethernet).Partea mai putin placuta este ca si pretul este pe masura. Aceste routere permite folosirea unei game foarte variate de porturi permitand totodata si folosirea unui mare numar de placi pe un singur router.Pot fi folosite in toate tipurile de VPN permitand tuneling si incriptare cu cele mai bune tehnologii (Ipsec ,L2T,L2F,GRE,3DES,PPTP,MPPE). Aceasta serie mai permite si folosirea setului de caracteristici Cisco IOS Firewall.
Pentru filiale avem in principiu doua optinui: fie seria 1700 fie seria 800.Seria 1700 mi se pare cea mai buna alegere pentru ca in primul rand este modulara, in aldoilea rand permite o mare diversitate a porturilor pentru WAN (pot fi folosite acceasi gama de conexiuni ca si pentru seriile 2600 si 3600). In plus permite facilitati de tunneling ca L2F,L2TP,Ipsec,GRE iar incriptarea o realizeaza in software. In plus fata de aceste aspecte mai ofera posibilitatea de routare pe Fast Ethernet ceea ce ar fi ideal pentru necesitatile noastre de arealiza LANuri 100% Fast Ethernet. Aceasta serie ofera si avantajul posibilitatii de a folosi module pentru transmiterea de voce facand posibila realizarea unei retele care sa suporte in totalitate VoIP si telefonia intre cele trei locatii.
Seria 800 ofera o interfata pentru ISDN si din cauza aceasta face mai prohibitiva utilizarea acestui router si anume ca va trebui sa depindem de monopolul Romtelecom, fapt destul de ingrijorator.Alternativa ar fi folosirea seriei UBR900 sau 1400 .Acestea permit IPsec , L2TP ,Cisco IOS Firewall .Ubr900 permite utilizarea unui modem de cablu.
Acum
trebuie mentionata alegerea mea. Sa optez pentru routere peste 7000 mi se pare cam
nepractic pentru dimensiunile pe care le are firma momentan. As face-o daca as
sti ca se prefigureaza cresteri mari in debitul informational .Dar deocamdata
aleg pentru sediul din cluj un router din seria 3600 iar pentru cele doua
filiale cate unul din seria 1700.
Alegerea o fac tinand cont si de faptul ca acestea sunt modulare si permit
optiuni ve VoIP si AVVID .In legatura cu ultimul termen discutia este ceva mai
complicata pentru ca alegerea gatewaylui este ceva mai dificila fiind diferente
intre tipul acesteia ( digital sau analog , cati useri trebuie sa suporte,
facilitati de fax etc ).Oricum subiectul aceste lucrari este mai putin orientat
spre prezentarea unei solutii de VoIP si cu atat mai
putin de AVVID.Totusi am sa prezint schema de principiu a realizarii unei
retele care sa permita VoIP.
Alegerea furnizorului de servicii internet (ISP).
Acest lucru poate fi considerat o optiune subiectiva.In cazul meu am luat
hotararrea dupa ce am consulatat mai multe oferte.La Xnet am vazut niste
birouri foarte luxoase .Am ales RDS care dupa parerea mea sunt cei mai buni pe
piata la ora actuala avand o rata de dezvoltare foarte buna . Pe langa tot
avantajul tehnologic pe care il au fata de alti competitori au dat dovada si de
deplina transparenta oferindu-mi toate detaliile de care am avut nevoie.
Vom trata aici problema VPN-ului nu si pe cea a conexiunii la intrenet aceasta
fiind deja schitata. In general prefer conexiunile end-to-end cu providerul (la
un necesar de banda ca acesta ar fi si ceva mai dificila utilizarea unor linii
inchiriate).Asadar toate cele trei locatii vor avea conexiune neintermediata cu
providerul.Ar trebui ales tipul de conexiune aici fiind ceva mai multe
posibilitati.Le vom prezenta schematic mai jos schitand posibilitatile de
realizare.
Pe schema de mai sus se pot observa in detaliu ce tipuri de conexiuni sunt posibile cu providerul pe care l-am ales si la ce debit de date sunt acestea disponibile. Eu as alege una dintre primele doua posibilitati (cablu coaxial sau modemuri radio) datorita bunului raport performanta/prêt. Se mai pot face alegeri hibride ca de exemplu in Cluj varianta pe cablu iar in Timisoara si Bucuresti varianta radio. Linia denumita DEMARC defineste responsabilitatea firmei in administrarea retelei fata de cele ale providerului de internet (RDS), adica responsabilitatea mea este doar pana la aceasta linie restul fiind de partea ISPului.
Implementarea Access VPN
Realizarea unui astfel de
VPN consider ca este necesara pentru ca extinde granitele informatice ale
firmei, permitand salavarea unor costuri prin posibilitatea de a folosi
angajati care la fel de bine isi pot desfasura activitatea si acasa. Un alt
avantaj este faptul ca in felul acesta se pot realiza conexiuni importante intre
diferiti utilizatori mobili (care spre exemplu trebuie sa circule in
interes comercial) si firma.
De asemenea este posibilitatea de a seta conexiuni de backup intre sediul
firmei si filialele sale acestea fiind necesare in cazul in care se ajunge ca
intre aceste sedii sa circule informatie vitala pentru activitatea comerciala a
firmei.
In ceea ce urmeaza voi incerca sa prezint cam ce posibilitati ar fi pentru realizarea unei astfel de conexiuni. In principiu sunt doua:
1.Prin intermediul providerului de servicii internet acesta punand la dispozitie contra cost majoritatea echipamentelor necesare (NAS, modemuri, conexiunea tunelata si cripatata cu firma mea). Aceasta este una care mi se pare mai avantajoasa din punct de vedere financiar pentru ca in afara de un port de pe routerul big-ro dedicat pentru conexiunea cu providerul si de managementul user-ilor nu mai am alte responsabilitati. Ma refer la mine ca la administratorul acestei retele - firma avand de platit serviciile catre provider. In plus aceasta situatie imi ofera si avantajul ca utilizatorii se pot conecta si din alte localitati (conditia este ca providerul sa aiba POP acolo) avand de platit doar costul convorbirilor locale. Toate aceste argumente sunt suficiente pentru a convinge staful acestei firme ca ese mult mai sanatos financiar implementarea acestui tip de access VPN decat oricare altul. Aceasta fiind o lucrare cu caracter teoretic am sa prezint schematic ambele posibilitati. firmei.
In continuare am sa prezint modul in care se poate realiza un access VPN folosind
un NAS al providerului. Acesta va fi un exemplu de VPN initiat de serverul de
acces al providerului care asa cum am mai mentionat si in partea teoretica a
lucrarii are avantajul ca nu mai necesita folosirea unui client de VPN pe
partea utilizatorului care se conecteaza la
siteul firmei si are dezavantajul ca nu asigura un tunel cripatat decat intre
NAS si routerul firmei .
In cazul unui astfel de acces VPN responsabilitatile vor fi impartite intre administratorul de sistem al firmei si ISP dupa cum urmeaza :
ISP :
-acizitioneaza
, configureaza si mentine Network Access Serverul ( NAS) in POP sau
-achizitioneaza si suporta
modemurile necesare pentru conexiuni impreuna cu numarul de telefon necesar
conectarii (in general este un numar dar procedura de achizitionare este ceva
mai complicata pentru ca in cazul in care ai 20 de modemuri folosesti un singur
numar de telefon cu care esti vazut din afara dar achizitionezi de la
Romtelecom 20 de numere pe care le asociezi cu modemurile. Stabilirea
conexiunii se face printr-un procedeu de hunting: primul modem gasit liber va fi folosit
pentru realizarea conexiunii. Acest hunting il realizeaza centrala
Romtelecomului.)
-mentine un server de autentificare si
autorizare (AAA)
-mentine un router care se va conecta
cu routerul firmei
Firma :
-achizitioneaza, configureaza si mentine routerul sau
-autentifica si autorizeaza ( username si
parola ) utilizatorii (server AAA) .
Imaginea de mai jos prezinta schematic tipul de aparatura utilizata pentru realizarea acestui tip de Access VPN. Dupa cum se poate vedea pe partea utilizatorului nu este nevoie decat de un terminal si un modem fara a trebui configurat nimic altceva decat un username si o parola de acces in serverul ISPului.
Utilizatorul poate in principiu folosi orice sistem de operare cu conditia ca acesta sa fie capabil de dial-up. Odata ce utilizatorul initiaza o sesiune de dial-up se va conecta la NAS. Logarea se va face la serverul de parole al ISPului. Pentru aceasta logare va fi folosita un alt username configurat in client, ca de exemplu abcd@firma.ro. Serverul de parole va fi interesat numai sa descopere ce domeniu vrea sa contacteza acel uttilizator. Va gasi in baza sa de date ca acel client doreste sa se conecteze la domeniul firma.ro. Din acest moment face legatura cu routerul ISPului si trimite acestuia comanda .
Routerul ISP-ului va incepe negocierea unui tunel criptat cu big-ro. Dupa
ce acesta va fi functional se face legatura cu sesiunea deschisa de utilizator,
echipamentul ISP-ului devenind transparent pentru procesul de logare care va
urma. Utilizatorul se logheaza cu username-ul si parola pe care le-a configurat
in clientul sau de dial-up. Este verificat in serverul de parole al firmei si
se da acordul sau nu asupra inceperii transferului de date sau orice altceva se
doreste in reteaua firmei.
Din acest moment utilizatorul poate fi
considerat ca facand parte integranta din retea firmei. Fiecare
utilizator poate fi asociat cu anumite drepturi, privilegii, asociat unui
anumit grup de utilizatori, asociat cu anumite ore in care poate sa-si
desfasoare activitatea.
In general pentru locatia ISPului se recomanda ca serverul de parole sa fie un SUN cu UNIX iar la firma se poate foarte bine folosi un PC cu Windows NT 4 sau 2000 server. Cisco vinde mai multe tipuri de servere de acces ( NAS) unul recomandat pentru o astfel de utilizare ar fi Cisco AS5300 .Ca router pentru ISP se poate folosi un Cisco 4500- M.
2.A doua modalitate prin care s-ar putea realiza un Access VPN este folosirea independent de ISP a unor echipamente care sa permita realizarea conexiunilor. In acest caz putem spune fara sa gresim ca firma se transforma intr-un ISP mai mic. Aceasta poate avea avantajele sale dar mai presus de toate are costuri ridicate nu atat de mult la implementare cat mai ales la management si intretinere. Acest fapt se datoreaza preluarii tuturor atributiilor de catre firma.
Procesul de comunicare intre client si concentrator parcurge uramatorii pasi :
In imaginea care urmeaza
se schematizeaza echipamentele de care este nevoie pentru realizarea acestui
tip de Access VPN. Se poate observa ca avantajul principal consta in faptul ca
tot circuitul informatiei in afara perimetrului firmei se realizeaza cripatat. Acesta
este asadar un tip de Access VPN intitulat client-initiated.
Extranet VPN
In legatura cu acest subiect
nu mai sunt aici prea multe de spus pentru ca in mare ss-au acoperit aspectele
tehnice.
Asadar acest tip de VPN permite conexiunea site-ului firmei cu potentiali colaboratori
: clienti, resealeri, alti parteneri. Drepturile pe care le au acestia in
reteaua firmei pot fi setate functie de tipul relatiei stabilite cu acestia.
Din punct de vedere tehnic nu este mare deosebire in realizarea link-urilor cu acestia sau
angajatii firmei. Acestea pot facute fie prin legaturi dedicate fie prin
dial-up. Acestea
au fost deja prezentate si sunt valabile si pentru acest tip de VPN.
Bineinteles ca subiectul ramane deschis pentru ca si aici se pot folosi metode
de certificare ca semnaturi electronice unde arhitectura este ceva mai complexa
intrucat implica si o autoritate de certificare.
Management si calitatea la VPN - QoS
Implementarea unei retele VPN este doar prima parte a problemei. In general
implementarea o face o firma specializata in asa ceva; cel mai adesea o firma
de consultanta este insarcinata cu dezvoltarea proiectului. Dezvoltarea
proiectului se face dupa un studiu al activitatii firmei client si in fuctie de
cerintele de trafic si aplicatii ale acesteia. Nu spun ca designul este o parte
usoara dar partea cea mai grea este in mod categoric managementul retelei
create si impunerea unor standarde de calitate in exploatarea acesteia. Aceasta
se materializeza printr QoS (Quality-of-Service).
Mai concret un utilizator al retelei respective nu-si va pune in nici un caz problema tipului de router folosit sau a tipului de tunelare si incriptare intre sedii. Intrebarea pe care o va pune celui care implementeaza sau administreaza reteaua ve fi de genul :
Voi putea sa accesez
rapid serverul firmei pentru a vedea ce stoc de produse este disponibil?
Voi putea sa comunic numarul contului de plati cu clientul din Bucuresti
fara ca nimeni sa nu fure acesta informatie din retea?
Asadar intrebari concrete la care se poate raspunde mai putin in termeni
tehnici. Pentru cel care implementeaza si administreaza reteau aceste intrebari
se traduc in termeni de intarzieri pe retea (delay), banada de acces WAN (bandwidth
si throughput), securitate, asigurarea prioritatii pentru informatia vitala
activitatii economice (mission-critical). Toate acestea pot fi rezolvate cu
ajutorul unui pachet de unelte create in acest sens si implementate in IOS de
catre Cisco care sunt denumite cum am precizat si mai sus QoS.
QoS urmareste in principal urmtoarele aspecte :
In continuare vom spune cateva cuvinte despre
fiecare dintre acesti termeni. Asadar ce inseamna clasificarea pachetelor? Se
pot grupa anumite tipuri de pachete de date astfel incat sa fie separate de
masa larga a pachetelor. Odata facuta acesta separare se pot aplica acestor
pachete un tratament special in sensul ca acestea pot fi trimise cu prioriate,
circulatia lor fiind considerata mai importanta decat a celorlalte, se pot
asigura conditii ca probabilitatea ca aceste pachete sa fie pierdute sa fie
minima. Asadar prioritate intr-un singur cuvant.
Este important ca aceste clasificari sa se faca dupa ce tunelul si cripatarea
au fost definite pentru ca clasificare se face adaugand niste headere, ori daca
tunelarea s-ar face dupa ar putea sa altereze aceste headere. Clasificarea
pacheteleor se poate face pe urmatoarele criterii:
. Adresa IP
. Porturi TCP sau UDP.
. Precedanta IP.
. URL.
. Adresa MAC.
. Timpul in care se face transmisia
In acest sens se poate spune ca se impune folosirea a inca unui termen: ToS - type-of-service, acesta permitand clasificarea pachetelor. Odata ce anumite pachete au fost marcate ca fiind mai importante decat altele trebuie sa asiguram faptul ca aceste pachete vor avea un tratament special. Acest lucru se face prin prin managementul bandei (bandwidth management). Cea mai importanta metoda de management a bandei este punerea in cozi a pachetelor.
Punerea in cozi a pachetelor poate fi inteleasa prin intermediul termenului de flux de date. In general un flux inseamna un grup de pachete de date care impart aceleasi criterii de clasificare enuntate mai sus.
Punerea in cozi a pachetelor (WFQ1) poate fi de doua tipuri: flow-based WFQ si class-based WFQ. In flow-based WFQ pachetele sunt clasificate pe flux, mai exact fiecare flux corespunde unei cozi de iesire separate.Cand un pachet este clasificat intr-un anumit flux el va fi plasat intr-o coada care apartine acelui flux. In perioade de congestie sistemul de punere in cozi a pachetelor (WFQ) aloca fiecarei cozi o anumita largime de banda.
Class-based WFQ defineste prioritati in functie de niste clase de pachete pe care administratorul trebuie sa le defineasca. Crearea de clase se poate realiza spre exemplu cu ACL-urile iar apoi se aloca fiecarei clase o fractiune din banda de iesire a unei interfete WAN. Diferenta fata de tipul bazat pe fluxul de date consta in aceea ca in cazul claselor alocarea este absoluta la capacitatea interfetei si nu relativa la alte fluxuri (flow-based). In class-based se poate face alocarea in procente sau kbps.
Acest ultim tip WFQ este cel mai important pentru ca permite alocarea de banda garantata pentru o anumita aplicatie (spre exemplu pentru baza de date cu informatiile financiare vitale) precum si definirea de utilizatori care au prioritate in folosirea benzi disponibile.
Evitarea congestiilor consta in termeni teoretici in capacitatea de a
recunoaste congestiile care apar pe o anumita cale de comunicare si de a le
minimiza efectele. Congestiile produc efecte nedorite in VPN si trebuie
evitate. Cisco a implementat in IOS un algoritm intitulat WRED. Acesta consta
in definirea unor limite de trafic pentru diferite clase de de trafic (definite
cu class-based WFQ). Odata ce aceste limite sunt depasite pachetele vor fi
aruncate in functie de prioritatea acestora: cele
mai putin importante primele iar cele importante ultimele.
Concluzii : exista momentan cateva scule care pot fi folosite pentru imbunatatirea si eficientizarea traficului in retelele VPN. In principal este deosebit de importanta o urmarire atenta si o eficientizare a traficului pe legaturile WAN pentru ca acestea sunt cele mai scumpe. Politicile firmei in ceea ce priveste traficul trebuie in primul rand enuntate in functie de tipul de date care circula iar mai apoi implementate.
Politica de confidentialitate | Termeni si conditii de utilizare |
Vizualizari: 6122
Importanta:
Termeni si conditii de utilizare | Contact
© SCRIGROUP 2024 . All rights reserved