Proiectarea unei retele virtual private (LAN & WAN design)

Proiect la Retele de Calculatoare

Proiectarea unei retele virtual private

(LAN & WAN design)

          Lucrarea de fata are ca scop declarat descrierea modului in care trebuie realizata implementarea unei retele de calculatoare intr-o societate comerciala care are mai multe sedii raspandite geografic la distanta mare.

Am ales ca fiind necesar un numar de trei locatii initiale si gandirea proiectului in asa fel incat sa poata fi scalabil pana la un numar oricat de mare in functie de viitoarea extindere economica.

In cursul realizarii planului de design trebuie tinut cont in mod obligatoriu de cateva cerinte principiale. In general aceste cerinte sunt valabile pentru toate tipurile de retele.

functionalitatea

scalabilitatea

adaptabilitatea

posibilitatile de management

Functionalitatea  in contextul networkingului inseamna ca reteaua trebuie sa mearga, mai exact utilizatorii sa-si poata indeplini cerintele muncii lor .Reteaua trebuie sa furnizeze atat conectivitatea utilizator-la-utilizator cat si utilizator-la-aplicatie (in cazul aplicatiilor care opereaza pe un server ) la o viteza si siguranta rezonabila.

Scalabilitatea : Reteaua trebuie sa fie pregatita pentru orice viitoare extindere. Iar acesta crestere in dimensiuni nu trebuie sa afecteze in mare masura designul initial.

Adaptabilitatea : inseamna ca reteaua trebuie implementata cu un ochi atintit spre viitoarele tehnologii .Aceasta inseamna ca nu trebuie sa includa elemente care ar putea sa impiedice implementarea noilor tehnologii odata ce acestea devin disponibile.In acest sens trebuie respectate cat mai in detaliu standardele existente.

In ceea ce priveste crearea posibilitatilor de management exista doua lucruri de mentionat : posibilitatile de monitorizare si posibilitatea de control a traficului , accesului etc.

In procesul de design in cazul retelei pe care am ales-o se impune de mentionat ca sunt doua aspecte ale proiectarii si anume LAN-disign-ul si WAN-designul. Cele doua aspecte sunt diferite si la fiecare trebuie tinut cont de parametri diferiti.

Pe de o parte cand vorbim despre LAN-uri ( Local Area Network - retea locala) ne referim la acele comunitati de calculatoare care se afla intr-o locatie bine precizata , dimensiunea dintre cele mai departate masini fiind de maxim cateva sute de metri .Uzual aceste retele acopera suprafata unei cladiri sau cel mult un campus .Elementele acestor retele sunt alcatuite din simple calculatoare (PC-uri cel mai adesea ) , servere , imprimante etc.Viteza la care se face conexiunea este mare iar timpul in care este disponibila conexiunea este virtual nelimitata. 

In cazul LAN-urilor exista cateva cerinte critice care trebuie urmarite in cazul implementarii:

* Plasarea serverelor si definirea functiei lor.

* Detectia coleziunilor.

* Segmentarea retelei.

* Definirea domeniilor de broadcast si a celor de bandwidth.

Un al doilea aspect al implementarii este cel legat de realizarea retelei WAN (Wide Area Network-retea de mare intindere).Exista deosebiri mare intre cele doua tipuri de retele .

Retelele de mare intindere leaga intre ele masini aflate la mare distanta geografica , punctul maxim constituindu-l Internetul .In general conexiunile de acest gen sunt realizate pentru a permite comunicarea intre retele locale .In general in retelele de mare intindere rareori se intalnesc simple PC-uri , cel mai adesea la "capetele cablurilor " se afla modemuri,routere sau switchiuri WAN.Transferul datelor se face la viteze mici , existand posibilitatea cresterii de banda dar acesta necesitand cheltuieli mari .Din acest motiv trebuie foarte judicios calculat si ales cel mai bun raport calitate/pret.In genere serviciile WAN sunt cumparate sau inchiriate de la un furnizor sau provider generic numit ISP.

Pentru designul WAN trebuie tinut cont de urmatorii factori :

* Conexiunea trebuie sa faca fata la cerintele de trafic.

* Asigurarea securitatii specifice .

* Costul detinerii conexiunii.

Proiectul pe care trebuie sa-l implementez atinge toate aspectele enuntate mai sus cu un deosebit accent pe cerintele de securitate deoarece este prevazut ca intre cele trei sedii vor circula informatii critice pentru activitatea financiara.

Imaginea de mai jos reprezinta o schematizare a proiectului:

Cele trei locatii ale firmei proceseaza date vitale pentru activitatea economica a societatii si din aceasta cauza este deosebit de importanta mentinerea comunicarii pe de o parte la un nivel securizat cat si pe parcursul desfasurarii activitatilor specifice.Sediul principal este la Cluj iar filialele sunt in Bucuresti si Timisoara.

Partea 1.Consideratii teoretice relativ la netorking si internetworking.

Despre LAN ( Token Ring , FDDI , Ethernet ) 

LAN - local area network sau retea locala .Un LAN este o colectie alcatuita dintr-unl sau mai multe computere localizate la o distanta limitata unul de celalalt si care comunica reciproc (direct sau indirect).LAN-urile difera in modul in care computerele sunt conectate intre ele, in modul in care informatia circula intre ele si in modul in care se repartizeaza functiile fiecarui calculator component.Computerele dintr-un LAN pot fi PC-uri, Macintosh, minicomputere, mainframe-uri etc.

In general computerele care se afla intr-un LAN sunt denumite noduri care la randul lor pot sa fie statii sau servere. De asemenea mai pot fi intalnite si alte tipuri de componente: imprimante de retea, scanere, switchiuri etc. Calculatoarele dintr-un LAN sunt legate prin intremediul placii de retea (Network Interface Card - NIC) care se insera in sloturi ca PCI .Serverele pot sa aiba mai multe NIC-uri.

In general putem diferentia LAN-urile in doua moduri:

- in ceea ce priveste relatia administrativa intre noduri: avem retele clientserver (server based) si retele pear-to-pear.       
- in  ceea ce priveste modul in care se stabileste relatia fizica si logica, adica modul in care circula informatia intre componente avem mai multe arhitecturi : Ehternet , Token Ring FDDI si avem mai multe topologii : bus, stea, inel,retea extinsa, dispozitie ierarhica , mesh .

In continuare sunt prezentate cateva cuvinte despre fiecare, dar punand un deosebit accent Ethernet (sau IEEE 80.3) deorece este cea mai raspandita tehnolgie. In imagine este o harta a tehnologiilor cele mai raspandite la realizarea unui LAN. Se poate vedea ca aceste tehnologii sunt in principal implementate la primele doua straturi ale modelului OSI .Ar mai fi de remarcat si fatptul ca stratul 2 (data link) este subimpartit in doua substraturi : LLC independent de tehnologii si MAC care este total dependent de tehnologia implementata.

Token Ring (transfer la 4-16 Mbps) a fost dezvoltat de IBM iar mai apoi standardizat sub denumirea de IEEE 802.5.Denumirea sa vine de la token , in engleza jeton .Din punct de vedere al topologiei logocice avem un inel. Intre statiile dispuse in acest inel circula un jeton - acesta este un frame de mici dimensiuni. Acest jeton ramane la fiecare statie un anumit interval de timp dupa cere este transmis mai departe statiei din vecinatate. Fiecare statie are voie sa transmita numai atunci cand se afla in posesia acestui jeton. Odata transmisa informatia in retea nu se mai afla nici un jeton. Informatia circula de la o statie la alta pana cand atinge destinatia unde este copiata si se modifica un bit din header iar mai apoi trimisa mai departe. Ciclul se
termina atunci cand informatia reajunge la statia de pornire care poate sa afle daca ea si-a atins destinatia si apoi o scoate din circuit eliberand dupa aceea un nou jeton in circulatie. Avantajele acestui tip sunt determinismul ei si lipsa de coleziuni. Prin determinism putem sa intelegem ca se poate calcula precis timpul in care o cantitate de informatie ajunge la destinatie. Lipsa de coleziuni: nu pot sa emita doua statii in acelasi timp (cum este cazul in Ethernet guvernat de SMA/CD). Dezavantajul principal ar fi ca in cazul in care apare o lezare a cablului sau la o statie intreaga retea este compromisa. Imaginea de mai jos schematizeaza circulatia informatiei intr-o retea Token Ring .

FDDI (rata de 100 Mbps) este o topologie mai scumpa dar se impune ca si backbone sau in locuri unde este necesara o conexiune foarte sigura intre computere de mare putere. Foloseste aceeasi tehnologie a jetonului ca si Token Ringul deci este lipsita de problema coliziunilor. In plus FFDI foloseste transmisia prin fibra optica deci avntaj la viteza si posibilitate de trafic teoretic nelimitat. Este alcatuita din doua inele din care al doilea este in cele mai multe cazuri utilizat ca si rezerva pentru cazuri in care primul cedeaza.
 
 

Ethernet este in mod sigur cea mai raspandita arhitectura in lume la ora actuala aceasta datorandu-se probabil raportului calitate/pret pe care il are. In general este cunoscuta si ca tehnologia IEEE 802.3. Noile implementari aduc o crestere enorma in capacitatea de trafic a Ethernetuli: Fast Ethernet (100 Mbps) si Gibabit Ethernet (1000 Mbps).

Imaginea de mai jos prezinta standardele Ethernet:

Ethernetul foloseste o topologie logica de tip bus si cel mai adesea una fizica de tip stea sau stea extinsa (datorata hub-urilor si switchurilor). Mediul de transfer este cel mai adesea cablul UTP Cat 5 (acestea sunt ultimle cerinte in materie de standarde, cablul coaxial nemaifiind recomandat). Exista cateva lucruri standardizate in legatura cu modul in care se face cablarea in Ethernet si pe care trebuie sa le prezentam pentru ca sunt foarte utile in realizarea proiectului pe care l-am propus. Modul in care este construita o retea ethernet este cel mai adesea de tip stea sau stea extinsa, standardele care se aplica pentru acest caz sunt EIA/TIA 568A, acesta definind distantele maxime ale fiecarui segment al cablarii. In cazul folosirii acestor standarde se presupune ca in centrul arhitecturii se afla un hub (sau switch) din care pornesc cablurile ce merg pana la statii. Acest hub se afla intr-o camera speciala denumita camera echipamentelor, tot aici aflandu-se cam toate echipamentele care deservesc facilitatile de comunicare ale retelei, pot fi si servere de retea, routere etc.

Avem urmatoarea schema:

Aceeasi reprezentare dintr-ul alt punct de vedere:

Probabil cel mai caracteristic termen relativ la Ethernet este tehnologia CSMA/CD (elaborata undeva in Hawai).Aceasta consta in mare in urmatoarea secventa de pasi:

.O statie vrea sa transmita
.Asambleaza informatia
. Asculta pe cablu daca cineva transmite
. Daca da atunci asteapta si apoi reancearca
. Daca linia este libera transmite
. Se poate intampla ca doua statii sa emita in acelasi timp si sa apara o coliziune moment in care informatia este distrusa bit by bit . Prima statie care a decelat fenomenul trimite un semnal prin care avertizeaza ca s-a produs o coliziune, in felul acesta avand certitudinea ca toate statiile au auzit ca s-a petrecut o coliziune. Din acest moment fiecare statie intra intr-o perioda de asteptare precis calculata pentru fiecare, timp in care nu mai pot sa transmita nici un mesaj.

Atat Ethernet cat si IEEE 802.3 sunt retele de tip broadcast adica fiecare statie poate sa vada frameurile trimise in retea. Fiecare statie incarca o copie a frameului care circula prin mediu si examineaza adresa MAC de destinatie a framelui. Daca acesta corespunde cu adresa respectivei statii atunci este trimis stratului  3 pentru a se examina si IP-ul acelui frame. In cazul  in care adresa MAC nu corespunde acel frame este descarcat. Asadar in ceea ce priveste Ethernetul una dintre problemele de care trebuie tinut seama cu prioritate este chestiunea coliziunilor si mai exact a evitarii acestora. Una dintre modalitati ar fi folosirea cailor full-duplex . Mai exact, in cazul huburilor clasice transmisia are loc pe un singur canal atat la trimitere cat si la receptia semnalului, in cazul transmiterii full-duplex exista canale separate dedicate fiecarei actiuni in felul acesta evitandu-se coliziunile si practic dubland rata de transfer deorece un computer poate sa trimita si sa primeasca in acelasi timp nformatie.Crearea acestor circuite se poate realiza pe vechile infrastructuri de cabluri dar in general   necesita prezenta unui switch. 

Echipamente si functii 

Un subiect extrem de important atunci cand tratam problema designului in retelele ethernet este aceea a segmentarii acestora. Pentru a o putea descrie in ansamblu este nevoie de o scurta prezentare a echipamentelor care pot fi folosite in implementarea unui LAN. 

Cablurile in general vom folosi UTP categoria 5 acesta fiind momentan recomandat de standarde fiind tehnologia cea mai scalabila. Este un cablu alcatuit din patru perechi torsadate pentru eliminarea efectului de cross-talk. Din pacate este susceptibil de a fi sesnsibil la radiatia electromagnetica si chiar lumina de neon. Este recomandata de asemenea folosirea sa cu 
deosebita grija in ceea ce priveste respectarea dimensiunilor recomandate. 

Hubul

Este un echipament de strat 1. Functiile sale sunt relativ simple: regenerarea semnalului primit pritr-un port si retransmiterea lui pe toate celelalte porturi. Nu face nici un fel de decizie in ceea ce priveste traficul. Poate avea mai multe porturi 4, 8,32 etc. Este un echipament ieftin. Se mai numeste si multiport repeater. este important de mentionat ca se inlocuieste prin folosirea sa vechea tehnologie de tip bus in care se utiliza cablul coaxial (acum nemaifiind recomandat de standarde).

Switchul este denumit si multiport bridge. In general combina caracteristicile unui hub (are o multitudine de porturi) cu cele ale uni bridge - opereaza la stratul 2 al modelului OSI 

Pentru a intelege cum opereaza un switch este foarte important de inteles structura unui frame aceasta fiind elementul cu care lucreaza acest echipament. 

Functiile sale sunt cam urmatoarele :

. inspecteaza frame-urile pe care le primeste pe un port , citeste adresa MAC sursa.

. daca adresa este gasita (daca nu o gaseste si-o noteaza in tabela de switching asociind-o cu portul pe care aceasata a sosit) apoi citeste adresa MAC destinatie.

. daca aceasta este gasita se trimite frameul pe acel port
. daca nu este gasita frameul este trimis pe toate porturile in afara de cel pe care a sosit

Functiile unui switch sunt deosebit de importante in contextul in care se face trecerea la LAN-uri de capaciatate tot mai mare. In prezent se recomanda inlocuirea hub-urilor cu switch-uri. Un alt factor care trebuie mentionat este existenta mai unor switchuri carora li se poate face un management strict si adaptat la cerintele unei anumite retele

Un subiect deosebit de actual in ceea ce priveste switchurile este utilizarea de VLAN-uri (Virtual LAN). Termenul trebuie descris pentru ca este folosit in acest proiect deorece aduce imbunatatiri categorice in securitatea si eficienta retelelor ethernet. 

VLAN este o grupare logica de utilizatori si echipamente conectati administrativ la porturile unui switch. Mai exact VLANul permite realizarea intr-un switch a mai multor domenii de broadcast (si coiliziune). Cel mai simplu este sa descriem pe o imagine in care avem trei VLANe pe o arhitectura de trei switchuri si un router 

Dupa cum se vede in imaginea de mai sus cele trei VLANe impart cele trei switchuri. Spre exemplu se poate ca VLAN 1 sa fie al departamentului de marketing, 2 al celui de vanzari iar ultimul aprtinand celui de salarii. Cu totate ca statiile sunt introduse in porturile aceluiasi switch ele nu vor putea comunica intre ele decat daca sunt in acelasi VLAN sau daca exista un router care sa routeze intre VLANe. Cele trei switchuri pot sa fie la etaje diferite, conditia este ca ele sa fie conectate intre ele. Comunicarea intre aceste switchuri se va face prin intermediul unui backbone (in genere de minim 100 Mbps) pe care se foloseste un protocol de trunking. Folosirea acestui mecanism in retele are avantajul deosebit ca degreveaza foarte mult reteaua de calculatoare de traficul generat de broadcast exagerat. Spre exemplu statiile Windows 98 isi pierd tabela ARP la o perioda de 2 minute dupa aceasta reinnoind-o prin generarea unor noi broadcasturi (se obtin adresele MAC cunoscandu-se cele de IP). Un alt avantaj este cel legat de securitate - cu toate ca sunt introduse in porturile aceluiasi switch statiile nu pot sa comunice fara acordul  administratorului. Folosirea unui router este extrem de avntajoasa deorece aduce avantajele sale de securitate ca de exemplu folosirea ACL-urilor.1 In logoul de mai jos se poate observa modul cum au fost repartizate porturile unui switch in doua VLANe 

Catalyst 1900 - VLAN Membership Configuration
Port VLAN Membership Type

1 1 Static
2 1 Static
3 1 Static
4 1 Static
5 1 Static
6 1 Static
7 1 Static
8 1 Static
9 2 Static
10 2 Static
11 2 Static
12 2 Static
AUI 1 Static
A 1 Static
B 1 Static
[M] Membership type [V] VLAN assignment
[R] Reconfirm dynamic membership [X] Exit to previous menu
Enter Selection: X
 

Routerul
 
 

Este un echipament esential astazi atat in LANuri cat si in WANuri. Exitsta mai multe posibilitati de realiza un router, una dintre ele fiind folosirea unui PC simplu cu OS Linux si cu mai multe placi de retea. In continuare noi vom vorbi despre routerele dedicate realizate de Cisco si mai exact vom trata cu cele din seria 2500 (tipurile 2501 si 2514). 
Routerul este un echipament de strat 3 lucrand cu pachete si cu adrese IP (in cazul folosirii TCP/IP-ului).Un router are doua functii principale :

Gaseste cea mai buna cale catre o anumita destinatie. Acest fenomen se produce utilizand route statice sau rounting protocoale (RIP , IGRP, EIGRP,IS-IS,BGP,etc). Face switching de pachete intre diferiltele sale interfete spre exemplu daca a primit un pachet la nivelul interfetei ethernet e0 poate sa-l trimita mai departe catre destinatie prin intermediul interfetei seriale s0

Routerul desfasoaara intreaga activitate de routing si switching folosind tabela de routing unde mapeaza retelele in care poate sa trimita pachete cu interfetele pe care trebuie sa faca switchingul pentru a ajunge in acele retele. Intrarile in tabela de routare se pot crea manual sau pot fi folosite routing protocoale care asigura o intrare dinamica in tabela de routare. 

Daca un router primeste un pachet pentru a carui destinatie nu are o ruta el va trimite acel pachet catre ceea ce se numeste default router care in prealabil va trebui configurat.Termenul este asemanator cu default gateway-ul pentru un computer. Daca default routerul nu este definit atunci pachetul este descarcat si instiintata sursa acelui pachet. Routerul Cisco 2514 are doua interfete pentru ethernet (conectorii sunt de tip AUI si necesita transceiveri pentru UTP sau BNC in functie de necesitati - noi vom folosi pe cei pentru UTP ) si doua interfete seriale sincrone. Acestea se pot conecta folosind cblu serial V.35 acesta asigurand o rata a datelor de pana la 2 Mbps
Acest router mai are o interfata pentru consola (console port) si o interfata AUX (pentru management prin intermediul unei perechi de modemuri).

ACL (Access Control List) 

Sunt niste mecanisme extrem de utile in ceea ce priveste asigurarea securitatii retelelor.ACL-urile pot fi folosite doar cu routerul, mai exact se aplica pe interfetele acestuia. Ca definitie: ACL reprezinta o succesiune de declaratiii de tip admis / respins care se aplica pe interfetele unui router pentru a admite sau respinge un enumit tip de trafic. Citirea si aplicarea acestor declaratii o face routerul in mod secvential atunci cand inspecteaza un pachet. Printre avantajele folosirii ACLurilor sunt: posibilitatea de a asigura un control al traficului, scaderea traficului inutil in retea ducand astfel la imbunatatirea benzii disponibile, posibilitatea de a preciza exact tipul traficului permis sau interzis in functie de porturi si adresa de IP 1 . 

Partea a 2a.Implementarea VPN.

Implementarea LAN

Firma are 3 locatii in Romania: Cluj-Napoca (sediul central), Timisoara si Bucuresti (filiale).

Intre cele trei sedii trebuie sa circule informatia in cel mai sigur mod cu putinta, aceste date fiind vitale pentru activitatea economica a firmei. Cu toate acestea, aceasta firma nu are fondurile necesare pentru a-si putea crea propia sa retea pe o distanta atat de mare, astfel ca apeleaza la o solutie de compromis foarte viabila: implementarea unui VPN. Aceasta se va 
face cu preturi mult mai mici decat cea a realizarii unei retele private dar cu acelasi grad de securitate. Important este si faptul ca cea mai mare parte a circuitului va fi in seama providerului de servicii internet eliminand astfel o buna parte din cheltuielile de intretinere ale retelei. Asadar sa schematizam reteaua pe care dorim sa o implementam: 

Dupa cum se vede in imaginea precedenta aceste trei locatii vor fi interconectate prin legaturi la reteaua internet. Insa trebuie mentionat foarte clar ca aceste legaturi nu sunt suficient de sigure pentru a permite transmiterea de informatie vitala. Asa ca s-a opatat pentru VPN care pe acest tip de lagaturi transmite in modul cel mai sigur datele prin cripatarea lor. In paginile care urmeaza am sa incerc sa detaliez modul in care se va face implementare retelei atat la nivel de LAN cat si de WAN. 
Am considerat ca cel mai bine de prezentat aceasta implementare este sa pornesc de la designul LAN in fiecare dintre cele trei sedii ale firmei iar in cele din urma sa indic modul in care a fost realizat VPNul. 

Implementerea LAN

Cele trei sedii de care am vorbit au o structura diferita in ceea ce priveste cerintele utilizatorilor retelei asa ca cel mai bine este sa le prezint in mod separat.Voi incepe cu locatia din Cluj-Napoca . 

Cluj-Napoca

Aici se afla sediul firmei asa ca vor fi cerinte mai mari in ceea ce priveste performantele de trafic. Din punct de vedere administrativ am prevazut pentru sediu urmatoarele departamente de care vom tine seama in cadrul proiectului: 
PIRIMUL NIVEL: 
Departamentul de vanzari si relatii cu clientii
Departamentul economic si de salarii
Departamentul de comunicatii

AL DOILEA NIVEL: 
Departamentul de evidenta stocurilor
Departamentul de resurse umane si training

LA TREILEA NIVEL: 
Departamentul de productie
Departamentul de cercetare

Este importanta repartitia pe diferite departamente pentru plasarea serverelor si distribuirea in mai multe VLANe.De asemenea este importanta si gandirea modului in care se vor defini politele de acces intre aceste VLANe care sunt retele diferite .

 
In continuare am sa prezint schematic cele trei niveluri ale cladirii in care se afla birourile firmei. 
 
 

In continuare trebuie precizate cateva aspecte in legatura cu cablarea. Ideea este ca se va folosi cablu UTP Cat 5. Acest tip asa cum am mai precizat foloseste o topologie fizica de tip stea (si una logica de tip bus) in care lungimea fiecarei raze nu trebuie sa depasesca 100 m din considerente de atenuare. In cazul in care se depaseste aceasta dimensiune este indicata folosirea repeaterelor sau a huburilor. In cazul nostru nu va fi nevoie de nici un repeater pentru ca vom folosi o multitudine de switchiuri si huburi cascadate. 

Probabil cea mai importanta parte a designului este definirea VLANelor pentru fiecare departament, daca exista departamente care trebuie sa imparta acelasi VLAN, daca exista utilizatori ai unui VLAN care trebuie sa aiba acces intr-un altul dar fara o relatie de reciprocitate intre aceste doua VLANe. De asemenea trebuie tinut cont de modul in care alegem folosirea  switch-urilor sau a hub-urilor. Intr-adevar hub-urile sunt mai ieftine decat switch-urile dar sunt locuri unde avem nevoie de trafic mare si de coliziuni putine, loc unde se preteaza cel mai bine switch-urile. Si mai trebuie tinut cont si de faptul ca huburile tind sa fie complet inlocuite de swichiuri. Un alt factor este cum repartizam largimea benzii in aceasta retea. Momentan exista tendinta de a face trecerea la Fast Ethernet ( 100 Mbps ) si chiar la Gigabit Ethernet ( 1000 Mbps ). Aici va trebui sa urmarim cam ce departamente au nevoie de o banda cat mai larga si care se pot multumi si cu trafic de 10 Mbps (Ethernet). Facem precizarea ca toate conexiunile care asigura backbon-uri intre componente vor fi de 100 Mbps; acest tip de cablu UTP Cat 5 este pregatit sa poata trece la rate mai mari fara a fi nevoie sa fie modificat. Un alt factor de care trebuie sa tinem seama este routerul. Acesta este nodul central al tuturor conexiunilor si al retelei. El va fi acela care va permite legatura intre VLANe si intre retelele celorlalte noduri. De el vor fi atasate o gramada de alte device-uri care vor aduce servicii utilizatorilor (ca de exemplu telefonie pe internet Voice-over-IP sau VoIP). Asdar vom incepe cu definirea unor VLANe. Vom construi in principiu cate un VLAN   pentru fiecare dintre departamente cu mentiunea ca vom introduce doua departamente intr-un singur VLAN: evidenta stocurilor si productie. Fac acest lucru pe motiv ca cele doua structuri au ca obiect de lucru aceeasi baza de date. Asadar vom avea urmatoarele VLANe pe departamente: 

1.Vanzari si relatii cu clientii VRC
2.Economic si salarii ES
3.Comunicatii COM
4.Productie si evidenta stocurilor PES
5.Resurse umane si training RUT
6.Cercetare CER

In concluzie avem 6 VLANe la momentul implementarii. Este posibil ca pe parcursul activitatii sa mai fie nevoie si de altele, din aceasta cauza va trebui sa legam un switch care sa permita si porturi redundante. Intre VLANe pentru a permite comunicarea este nevoie de un router cu care switchiul mare (big-sw) va fi legat printr-un port de trunk. Acest port este recomandat sa aiba cel putin 100 Mbps trafic. Este important de mentionat ca si routerul trebuie sa aiba pentru aceasta un port disponibil pentru Fast Ethernet. Dupa cum se vede in imaginea de mai jos am ocupat deja 6 porturi pe big-sw toate trebuie sa fie de 100 M. Va trebui sa pregatim un astfel de debit informational pentru viitor chiar daca acum nu este in totalitate folosit. Trebuie sa mentionez ca cheltuiala nu va fi tocmai mica. 

Am sa gandesc in continuare fiecare departament ca avnd un sever propriu - este ceea ce se numeste workgroup-server. Exista departamente care au nevoie ca serverul lor sa fie in deplina securitate, din aceasta cauza este recomandat sa fie plasat impreuna cu alte servere importante intr-o singura camera cu acces numai pentru personalul de specialitate. In acest sens m-am gandit sa introduc serverele departamentelor de cercetare, productie si evidenta stocurilor. Asdar am sa le leg la porturile lui big-sw ocupand inca doau porturi scumpe. O alta categorie de servere sunt cele intitulate enterprise servers. Acestea sunt o 
categorie aparte de cele denumite workgroup servere prin aceea ca au functii utilizate de toate masinile si utilizatorii din firma. Spre exemplu sunt serverele de mail, serverele de nume, servere de web si ftp in cazul in care se doreste publicare unui site pe internet. M-am gandit sa pun toate aceste servere intr-un singur VLAN - COM .Exista si aici anumite cerinte in ceea ce priveste viteza de acces de aceea prefer sa leg cat mai multe dintre aceste servere la big-sw.

Serverele mari ale firmei (mail, DNS, web, ftp ) impreuna cu cele vitale ca informatie (de cercetare si cel de productie) vor fi situate in doua camere din cele trei ale departamentului de comunicatie ( la primul nivel al constructiei ). 

    In imaginea de mai jos se poate vedea in detaliu modul de amplasare. Imaginea de mai jos schematizeaza in detaliu modul de aranjare a  componentelor  retelei la primul nivel al constructiei.

Vom incepe cu departamentul de comunicatie. Dupa cum se observa exista acolo trei camere: in camera A am introdus serverele mari ale intreprinderii precum si serverele departamentelor de productie si cercetare. Conexiunea lor se face la big-sw care este in camera B. Ideea este ca aceasta conexiune sa fie de minim 100 
M daca nu chiar de 1G Bbp, asta depinde si de ce tip este big-sw.Am introdus in camera A doar acele servere care se conecteaza direct la porturile lui big-sw fara nici un alt switch intermediar. 

In camera B am introdus echipamente Cisco. Vedem aici big-sw si routerul big-ro. Practic acesta este inima intregii retele si trebuie sa respecte niste conditii de mediu extrem de riguroase. Asupra echipamentelor folosite in aceasta camera vom mai reveni pe larg la sfarsitul prezentarii . 

In camera C se afla com-sw (switchul celor care lucreaza in departamentul de comunicatie). Legat la com-sw se afla computerele celor care lucreaza in acest departament, o imprimanta de retea si cateva servere. Printre aceste servere pot fi cel de web, mail etc. Decizia este luata de administratorul de sistem care servere sunt legate aici si care vor fi in sala A. Am introdus pentru acest departament un numar de 9 calculatoare si o imprimanta de retea, un numar de trei servere. Deci pentru inceput avem treisprezece noduri care trebuie sa fie legate la porturile com-sw. Trebuie urmarita, pentru a asigura un numar redundant de porturi, si disponibilitatea unui port care sa permita realizarea unui trunk cu un viitor switch care s-ar 
putea atasa acestui departament. Departamentul de vanzari si relatii cu clientii are pentru inceput un numar de 30 calculatoare, un file-server, o imprimanta de retea, un plotter de retea si un scanner de retea. De asemenea sala de primire tine tot de acest departament. Este de recomandat ca toate aceste noduri sa fie legate la porturile lui vrc-sw care pot sa fie atat de 100 cat se de 10 Mbps. De asemenea trebuie facuta mentiunea ca pentru sala de primire mai trebuie folosit un hub deoarece este posibila depasirea distantei limita de 100 metri pentru unele masini. Consider ca este suficient un simplu hub deoarece traficul pentru aceste calculatoare este relativ mic. Departamentul economic si de salarii are nevoie de doua imprimante de retea deoarece  tipareste o multitudine de facturi. Pentru moment sunt 29 de calculatoare un file-server 1 si doua printere de retea. Pentru a reuni si ultimile masini mai avem nevoie de un hub. Asadar o parte dintre calculatoare se leaga direct la es-sw iar o alta parte se leaga la un hub. 
 
 

In continuare vom prezenta arhitectura celui de al doilea nivel al cladirii sediului central al firmei. Aici se afla doua din departamentele firmei : in primul rand departamentul de evidenta a stocurilor si o serie de birouri administrative, iar in al doilea rand departamentul de training si resurse umane. In ceea ce priveste departamentul de evidenta stocurilor , acesta face parte din acelasi VLAN cu cei de la productie. Asadar avem trei posibilitati : fie sa aducem din big-sw un cablu aparte pentru fiecare dintre cele doua departamente, sa le reunim pe acelasi cablu folosind astfel un sigur port al big-sw si un singur switch pentru amblele departamente plus un hub de Fast Ethernet, sau  sa folosim un singur port de la big-sw si doua switchuri pentru fiecare departament legate intre ele printr-un trunk. Eu am optat pentru a doua varianta fiind cea mai ieftina in ideea ca un port al lui big-sw este mai scump decat unul de la pes-sw. Mai exista de asemenea posibilitatea ca in loc de hub sa folosim un switch fara posibilitate de management care ar fi mai ieftin decat unul cu management si ar permite microsegmentatie si o buna performanta a traficului. Asadar acest departament are un numar de 30 workstation-uri, un server, o imprimanta de retea. In ceea ce priveste celalalt departament cerintele de banda disponibila sunt ceva mai riguroase pentru urmatorul fapt: exista la ora actuala o regandire a cheltuielilor de training ale unei intreprinderi inspre orientarea acestora pe solutii de desktop. Mai exact exista doi factori importanti :

  1.toate firmele mari sunt constiente ca training-ul trebuie sa fie o realitate permanenta , multe avand un departament care se ocupa permanent cu asa ceva
  2.cheltuielile cu educarea permanenta a angajatilor sunt mari , pentru ca in afara de plata unor instructori mai apar si cheltuieli adiacente : transport , cazare , masa , lipsa de la locul de munca .
 
 

In aceste conditii a aparut tendinta ca unele corporatii sa-si faca o retea de calculatoare suficient de puternica incat sa suporte trafic intensiv pentru tinerea unor cursuri on-line in intranet sau pentru consultarea on-line a unor materiale. Aceasta modalitate este foarte performanta pentru ca in afara de reducerea masiva cheltuielilor permite si o mentinere riguros la zi a tuturor materialelor ce se predau precum si folosirea unor tehnice electronice foarte rapide prin care se anunta aparitia unor noutati. 
Aceasta noua tehnologie de training am incercat sa o fac si eu disponibila in firma mea prin buna dotare a unui departament care se ocupa cu asa ceva. In acest departament toate serverele vor fi performante asigurand o buna viteza de acces. Legarea acestora la rut-sw se va face pe porturi de minim 100 M. 

Acest departament are : 

. un numar de 30 de calculatoare ,
. doua printere de retea ,
. un fax server,
. un proiector ,
. doua camere de luat vederi digitale ,
. cateva displayuri de mari dimensiuni ,
. un plotter de retea ,
. un scanner de retea,
. patru servere.

Asta inseamna aproximativ 45 de noduri pentru inceput. La acestea mai trebuie sa adaugam un numar sulimentar de porturi redundante fiind un departament in plina expansiune ca importanta. Asadar rezulta un numar necesar de aproximativ 60 porturi.
In aceste conditii se recomanda ca fiind necesara folosirea unui switch suplimentar. Acesta poate fi adus direct din big-sw sau poate fi realizat un trunk intre rut-sw si un alt switch rut2-sw. 
Prezenta unul al doilea switch chiar daca poate fi considerata scumpa se poate considera ca se amortzeaza in timp, acest departament avand ca scop atat un training mult mai eficient cat si mult mai ieftin. 
 
 

Al treilea nivel al constructiei contine departamentele de cercetare si pe respectiv pe cel de productie. Departamentul de cercetare are mai multe servere, file-severul principal fiind situat in sediul departamentului de comunicatii din motive de securitate. 
]

Departamentul de cercetare este unul relativ mic : 

. 21 de calculatoare 
. 2 servere 
. un printer de retea 
. un server de fax 

Asadar 25 de noduri. Traficul in aceasta retea nu va fi forte mare, din aceasta cauza se poate folosi si un hub daca se depaseste numarul de porturi disponibile de cer-sw. Departamentul de productie este legat in aceeasi retea cu cel care asigura evidenta stocurilor. Este alcatuit dintr-un mare numar de masini : 

. 45 de calculatore 
. 2 printere de retea 
. 2 servere 

In plus fata de acestea urmeaza adaugarea altor device-uri pe masura extinderii firma fiind in plin progres. Am ales sa folosesc doua switchuri 3Com fara capacitate de management. Reteaua este gandita ca fiind Fast Ethernet. Un aspect mai deosebit al acestui departament este acela ca trebuie sa mentina legatura directa tot timpul cu halele de productie si cu depozitele de stocare. Pentru a realiza asta exista mai multe solutii, una dintre ele fiind de viitor : folosirea unei retele LAN Wriless 
(retea LAN care sa nu foloseasca cabluri). Aceasta retea va fi introdusa in VLAN-ul pes, atasarea sa poate sa fie la porturile lui pes-sw sau big-sw. 
Imagine urmatoare prezinta arhitectura nivelului al treilea al cladirii sediului central. 
 
 

In continuare am sa prezint cateva considerartii relativ la implementare unei retele LAN wireless Intrucat in capitolul de consideratii teoretice nu am introdus acest subiect am sa faca aici o scurta prezentare a subiectului urmata de datele implementarii in firma despre care vorbim. 
Pana acum cativa ani toate retelele LAN fara fir erau implementari de tip proprietar si in plus foarte lente (in jur de 1,5 M). Acest fapt facea comunicarea imposibila intre echipamente apartinand firmelor diferite. De curand a fost implementat standardadul IEEE-802.11B si s-a constituit un consortiu WECA ce are in grija dezvoltarea tehnologiilor wireless LAN. Acest fapt a dus la posibilitatea de interoperabilitate intre produse de firma diferita precum si la o crestere calitativa a vitezelor de transfer. Acest fapt face momentan din retelele LAN wireless o modalitate de a extinde retelele LAN cablate. Toate firmele care livreaza astfel de echipamente trebuie sa respecte un standard Wi-Fi emis de WECA sau cel intitulat IEEE-802.11B. 
Exista si alte standarde LAN fara fir. 

Bluetooth (30-400 kbps) ce se preteaza pentru retele personale (intre PDA, laptop, telefon mobil) permitand sincronizarea datelor intre acestea. Distanta permisa intre dispozitive este de 9 m. Momentan se lucreaza la implementari mai raspandite. 

HomeRF (1-10 M) pentru retele de birou sau de acasa. Atinge o acoperire de pana la 45 m. Este inca in dezvoltare. 

Standardul IEEE-802.11B asigura o acoperire de 15-90 m in functie de obstacole intalnite de unde (pereti, plafoane etc). Functioneaza la o rata de 11 M teoretic si 6 M in teste, deci este asemanatoare ca si performante cu Ethernetul de 10 M. Posibilitati de folosire sunt toate cele valabile pentru standardul ethernet dar se preteaza cel mai bine la utilizarea in depozite, spitale, aeroporturi in principiu locuri care necesita miscarea dispozitivelor de retea. Aceasta alegere se datoreaza preturilor de implementare care sunt destul de ridicate. O retea LAN fara fir are doua componente: un punct de acces si un adaptor LAN 
client. Punctul de acces este un dispozitiv mic care se conecteaza la reteau LAN cablata si care asigura transferul intre datele transmise prin cupru si cele transmise ca si unde radio (transceiver radio). In plus acest dispozitiv mai contine soft pentru criptarea si decriptarea datelor. Clientul este in principiu o placa de retea care are un transceiver radio si o antena. Aceasta placa trebuie adaptata cu interfete specifice dispozitivelor de care se ataseaza: laptopuri, PDA, desktop-uri. 

Distantele acoperite de un singur punct de acces variaza in functie de obstacolele pe care le intampina undele. In spatiu liber pot sa mearga pana la o raza de cateva zeci de metri (chiar 90 m) iar in spatii de tip campus, depozite in jur de 18 m.Cele doua dispozitive clientul si punctul de acces negociaza rata de transfer la initierea conexiunii. Exista bineinteles posibilitatea de a extinde mult mai mult raza de acoperire prin folosirea mai multor puncte de acces. Astfel se definesc niste celule asemanatoare celor din cazul telefoniei mobile. Deplasarea intre celule se face automat prin negociere fenomenul purtand numele de roaming. Asa cum am mai spus securitatea intre client si punctul de acces se asigura prin incriptarea datelor odata transmise sub forma de unde radio. Firme care comercializeaza echipamente pentru wireless LAN sunt Cisco , Apple , Compaq , Lucent ,3Com si altele. Printre cele mai apreciate solutii sunt cele oferite de Cisco prin kitul Cisco Aironet Wireless Series (in jur de 200 $ pe client si 1000 $ pe punctul de acces). Acest echipament este si ceva mai scump decat concurenta (in jur de 150 $/client si 800$/punct de acces). In ceea ce priveste proiectul meu este nevoie de o retea LAN fara fir in cazul halelor de productie si a depozitelor. In aceste incinte se pot folosi diferite echipamente de retea mobile: scannere de coduri de bare, etichetatoare, laptopuri.

Arhitectura retelei este prezentata in schita care urmeaza. 
 
 
 

Schitele care urmeaza prezinta schematic celelalte doua sedii Bucuresti si respectivTimisoara. 
Locatia din Bucuresti este una fara utilitati deosebite avand rolul in principal de reprezentare.

Aici avem urmatoarele echipamente: 

. 21 computere 
. un pinter de retea 
. un server 
. facilitati de training 

Nodul de comunicare este dotat cu un router si un switch la care se mai pot adauga optional un hub si un switch. 

Locatia de la Timisoara este ceva mai mare avand si facilitati de productie. Echipamente : 

. 35 de calculatoare 
. doua severe 
. 2 printere de retea si un plotter 
. 1 scanner , 1 server de fax 
. facilitati de training 

Toate aceste echipamente si posibila adaugare a altora determina folosirea a doua switchuri si un backbone intre ele. 
 

 
 

Implementarea WAN

Adresele IP si iesirea la internet

Arhitectura propusa poate folosi doua varinate de adrese IP:

- Se pot folosi adrese reale pentru fiecare masina prin achizitionarea catorva sute de adrese de clasa C (spre exemplu achitionarea a doua clase la un pret cam de 1 $ pe adresa). De asemenea se pot achizitiona un numar ceva mai mic de adrese IP care vor fi repartizate in primul rand gateway-urilor prin intermediul carora se va iesi la internet, iar restul preferential pentru anumite masini.

- Se pot folosi in intregime adrese private si achizitionarea de adrese reale doar strict pentru gateway-urile care vor iesi la internet. In acest caz gateway-ul care va fi un router  ceva mai puternic va face conversia intre adresa sa reala si adresele private foolosind protocolul NAT (Network Address Translation) cu varianta sa overloading. Imaginea de mai jos descrie in mare cum are loc procesul : 

Dupa cum se vede mai sus este folosita o singura adresa reala si mai multe private, la iesirea in internet asignandu-se diferite porturi care sunt mapate cu adresele private. Trebuie mentionat ca se va folosi o singura legatura la internet realizata in sediul  firmei. Aceasta legatura se va face pe un canal diferit de cele pentru legatura cu celelalte locatii ale firmei folosind de preferinta acelasi provider de internet. In arhitectura noastra vom folosi acelasi router dar cu interfete diferite pentru tipurile de iesiri. Setarea gateway-lui pentru internet este foarte importanta deorece se pun probleme deosebit de stricte de securitate. 
Ideea pe care o vom urmari in acest sens este: pentru ce folosim legatura la internet? Raspunsul depinde de unde privim aceasta conexiune: 

- daca privim dinspre internet este necesar sa se vada in primul rand serverul de web si ftp. Cu timpul se va pune si problema implementarii unor solutii de e-commerce dar deocamdata nu vom trata aceasta problema.
- Daca privim dinspre companie spre internet este nevoie de cat mai multa liberate de miscare asa ca vom fi mai permisivi.

Asadar pentru conexiunea la internet vom folosi o arhitectura de tip firewall, care este alcatuita din mai multe masini, dar in acest caz vom folosi doar un router pe care vom seta securiatea cu ACLuri. Arhitectura va arata ca mai jos : 
 
 

In imaginea de mai sus big-ro va face atat legatura la internet, intre locatiile VPN-ului cat si routarea intre VLAN-ele descrise mai devreme. Nu vom insista mai mult asupra conexiunii le internet nefiind acesta subiectul lucrarii. Ideea este ca cel mai bine este achizitionarea unui set de adrese reale, sa spunem 100 si folosirea in rest a adreselor private. De asemenea este indicat sa achizitionam o banda garantata de 2,048 Mbps (1xE) pentru conexiunea la internet.
Ar mai trebui sa controlam accesul la internet printr-o politica austera cu privire la conexiune pe http. Toata lumea trebuie sa aiba acces la e-mail dar nu toti angajati trebuie sa poata vizita site-uri, sau unii trebuie sa o faca cu prioritate. Acestea pot fi  coordonate in detaliu cu ACL si QoS disponibile in sistemul de operare al routerului (IOS). 

Trebuie tinut cont de faptul ca toate celelalte locatii vor accesa internetul tot prin intermediul lui big-ro. De asemenea este important si faptul ca firma trebuie sa aiba suficienta iesire pentru internet pentru o eventula trecere la sistemul de voice-over-ip  (fiecare canal de voce necesita 16 kbps) care ar permite convorbiri internationale la preturi foarte mici. 
Important atunci cand tinem seama de banada de iesire pentru internet este daca aceasta firma are servere de web sau ftp puternice si daca va planifica trecerea la vanzrile on-line. Aceasta nu se va intampla de la inceput asa cum am prevazut deja. Trecerea la e-commerce este ceva mai complexa deoarece presupune realizarea unei mutitudini de solutii redundante. 
 
 

Implementarea conexiunilor de VPN

Iata ca am ajuns si la acest punct. L-am lasat la urma pentru ca poate este cel mai didicil de proiectat. Si asta se intampla din cauza faptului ca este destul de dificila alegerea intre diferitele tipuri de VPN si diferitele tipuri de echipamente disponibile la ora actuala. Solutiile de echipament pe care le-am ales sunt exclusiv Cisco datorita simplului fapt ca acesta firma asigura la ora actuala 80% din infrastructura internetului. Intrucat lucrarea deja a ajuns la dimensiuni mari am sa fiu cat mai schematic in  prezentarea acestei parti.
Asadar solutiile alese de noi vor fi pentru un intranet VPN in ceea ce priveste locatiile din Timisoara si Bucuresti.Totusi este important de realizat de asemenea si un Access VPN pentru angajati care vor sa lucreze acasa daca aceasta este mai profitabil pentru firma. Aceasta din urma solutie permite de asemenea si a treia varianta a extranet VPN, acesta fiind dedicat pentru conexiunile realizate cu partenerii de afaceri ai firmei (furnizori, resealeri etc.). Vom prezenta aceste implementari pe rand impreuna cu tipurile de echipament pe care le putem folosi. 
 
 

Intranet VPN

Imaginea de mai jos prezinta modul in care am proiectat conexiunea intre cele trei sedii. Am preferat ca pentru moment sa leg doar prin doua conexiuni dar sa fac posibila si o treia intre Bucuresti si Timisoara. 
 
 

Dupa cum se vede am preferat folosirea numai a routerelor cu toate ca exista solutii care cuprind pe langa routere si hardware firewalls (in acest caz routerul este degrevat de o multitudine de sarcini). Am ales arhitectura cu routere deorece mi se pare mai scalabila. 
Va trebui sa alegem routere ceva mai puternice. Pana aici totul este simplu dar trebuie ales routerele pe care sa le folosim in cele trei locatii si tipul de legatura WAN.

Pentru routere

Pentru sediul firmei se recomanda ca alegerea sa se faca dintre urmatoarele serii : 2600, 3600, 7100. Fac mentiunea ca ma ales sa folosesc serii cu routere VPN-optimized mai puternice (exista si categoria VPN-enabled care sunt recomandate penru solutiile care cer o cripatare moderata si cerinte limitate de tunel). 

Este un fapt extrem de important in alegerea routerului sa tinem seama de scalabilitatea echipamentului, domeniul fiind extrem de dinamic din toate punctele de vedere. Exista tendinta de a se concentra pe un singur backbone cam tot ceea ce tine de comunicarea de date de orice fel: video, voce, informatii. In acest sens trebuie tinut cont de tehnologii ca Voice-over-IP (VoIP) si mai ales AVVID. Asa ca in ceea ce priveste routerele vom prefera categoric o solutie modulara aceasta permitand adaugarea unor noi componente pe sasiu. 

Asadar pentru sediul centreal este un router din cele trei serii mai sus mentionate. Am sa le prezint pe fiecare in cateva cuvinte iar in cele din urma am sa prezint alegerea mea . 

Seriile 2600 si 3600 permit folosirea unei multitudini de tipuri de interfete pentru WAN (de la ISDN si pana la cele mai rapide conexiuni). Permit de asemenea sa fie folosite in toate cele trei tipuri de VPN avand un design modular. Ambele serii au procesoare RISC. Permit realizarea unor tunele folosind: Ipsec, GRE, L2F si L2TP iar ca modalitatea de incriptare  HI' 00 in hardware (ca modul optional). Se pot folosi module de voce permitand trecerea la tehnologii avansate

Seria de routere 7100 (si cele care urmeaza pe aceasta) pot fi considerate daca imi este permis, un fel de Mercedes al routerelor.Acestea permit optiuniunile cele mai avnsate in routing si switching, au optiuni de scalabilitate extreme (pot merge lejer pe Gigabit Ethernet).Partea mai putin placuta este ca si pretul este pe masura. Aceste routere permite folosirea unei game foarte variate de porturi permitand totodata si folosirea unui mare numar de placi pe un singur router.Pot fi folosite in toate tipurile de VPN permitand tuneling si incriptare cu cele mai bune tehnologii (Ipsec ,L2T,L2F,GRE,3DES,PPTP,MPPE). Aceasta serie mai permite si folosirea setului de  caracteristici Cisco IOS Firewall. 

Pentru filiale avem in principiu doua optinui: fie seria 1700 fie seria 800.Seria 1700 mi se pare cea mai buna alegere pentru ca in primul rand este modulara, in aldoilea rand permite o mare diversitate a porturilor pentru WAN (pot fi folosite acceasi gama de conexiuni ca si pentru seriile 2600 si 3600). In plus permite facilitati de tunneling ca L2F,L2TP,Ipsec,GRE iar incriptarea o realizeaza in software. In plus fata de aceste aspecte mai ofera posibilitatea de routare pe Fast Ethernet ceea ce ar fi ideal pentru necesitatile noastre de arealiza LANuri 100% Fast Ethernet. Aceasta serie ofera si avantajul posibilitatii de a folosi module pentru transmiterea de voce facand posibila realizarea unei retele care sa suporte in totalitate VoIP si telefonia intre cele trei locatii. 

Seria 800 ofera o interfata pentru ISDN si din cauza aceasta face mai prohibitiva utilizarea acestui router si anume ca va trebui sa depindem de monopolul Romtelecom, fapt destul de ingrijorator.Alternativa ar fi folosirea seriei UBR900 sau 1400 .Acestea permit IPsec , L2TP ,Cisco IOS Firewall .Ubr900 permite utilizarea unui modem de cablu. 

Acum trebuie mentionata alegerea mea. Sa optez pentru routere peste 7000 mi se pare cam nepractic pentru dimensiunile pe care le are firma momentan. As face-o daca as sti ca se prefigureaza cresteri mari in debitul informational .Dar deocamdata aleg pentru sediul din cluj un router din seria 3600 iar pentru cele doua filiale cate unul din seria 1700. 
Alegerea o fac tinand cont si de faptul ca acestea sunt modulare si permit optiuni ve VoIP si AVVID .In legatura cu ultimul termen discutia este ceva mai complicata pentru ca alegerea gatewaylui este ceva mai dificila fiind diferente intre tipul acesteia ( digital sau analog , cati useri trebuie sa suporte, facilitati de fax etc ).Oricum subiectul aceste lucrari este mai putin orientat spre prezentarea unei solutii de VoIP si cu atat mai putin de AVVID.Totusi am sa prezint schema de principiu a realizarii unei retele care sa permita VoIP. 

Alegerea furnizorului de servicii internet (ISP).

Acest lucru poate fi considerat o optiune subiectiva.In cazul meu am luat hotararrea dupa ce am consulatat mai multe oferte.La Xnet am vazut niste birouri foarte luxoase .Am ales RDS care dupa parerea mea sunt cei mai buni pe piata la ora actuala avand o rata de dezvoltare foarte buna . Pe langa tot avantajul tehnologic pe care il au fata de alti competitori au dat dovada si de deplina transparenta oferindu-mi toate detaliile de care am avut nevoie. 
Vom trata aici problema VPN-ului nu si pe cea a conexiunii la intrenet aceasta fiind deja schitata. In general prefer conexiunile end-to-end cu providerul (la un necesar de banda ca acesta ar fi si ceva mai dificila utilizarea unor linii inchiriate).Asadar toate cele trei locatii vor avea conexiune neintermediata cu providerul.Ar trebui ales tipul de conexiune aici fiind ceva mai multe posibilitati.Le vom prezenta schematic mai jos schitand posibilitatile de realizare. 
 
 

Pe schema de mai sus se pot observa in detaliu ce tipuri de conexiuni sunt posibile cu providerul pe care l-am ales si la ce debit de date sunt acestea disponibile. Eu as alege una dintre primele doua posibilitati (cablu coaxial sau modemuri radio) datorita bunului raport performanta/prêt. Se mai pot face alegeri hibride ca de exemplu in Cluj varianta pe cablu iar in Timisoara si Bucuresti varianta radio. Linia denumita DEMARC defineste responsabilitatea firmei in administrarea retelei fata de cele ale providerului de internet (RDS), adica responsabilitatea mea este doar pana la aceasta linie restul fiind de partea ISPului. 

Implementarea Access VPN

Realizarea unui astfel de VPN consider ca este necesara pentru ca extinde granitele informatice ale firmei, permitand salavarea unor costuri prin posibilitatea de a folosi angajati care la fel de bine isi pot desfasura activitatea si acasa. Un alt avantaj este faptul ca in felul acesta se pot realiza conexiuni importante intre diferiti utilizatori mobili (care spre  exemplu trebuie sa circule in interes comercial) si firma.
De asemenea este posibilitatea de a seta conexiuni de backup intre sediul firmei si filialele sale acestea fiind necesare in cazul in care se ajunge ca intre aceste sedii sa circule informatie vitala pentru activitatea comerciala a firmei. 

In ceea ce urmeaza voi incerca sa prezint cam ce posibilitati ar fi pentru realizarea unei astfel de conexiuni. In principiu sunt doua: 

1.Prin intermediul providerului de servicii internet acesta punand la dispozitie contra cost majoritatea echipamentelor necesare (NAS, modemuri, conexiunea tunelata si cripatata cu firma mea). Aceasta este una care mi se pare mai avantajoasa din punct de vedere financiar pentru ca in afara de un port de pe routerul big-ro dedicat pentru conexiunea cu providerul si de managementul user-ilor nu mai am alte responsabilitati. Ma refer la mine ca la administratorul acestei retele - firma avand de platit serviciile catre provider. In plus aceasta situatie imi ofera si avantajul ca utilizatorii se pot conecta si din alte localitati (conditia este ca providerul sa aiba POP acolo) avand de platit doar costul convorbirilor locale. Toate aceste argumente sunt suficiente pentru a convinge staful acestei firme ca ese mult mai sanatos financiar implementarea acestui tip de access VPN decat oricare altul. Aceasta fiind o lucrare cu caracter teoretic am sa prezint schematic ambele posibilitati. firmei. 

In continuare am sa prezint modul in care se poate realiza un access VPN folosind un NAS al providerului. Acesta va fi un exemplu de VPN initiat de serverul de acces al providerului care asa cum am mai mentionat si in partea teoretica a lucrarii are avantajul ca nu mai necesita folosirea unui client de VPN pe partea utilizatorului care se conecteaza la 
siteul firmei si are dezavantajul ca nu asigura un tunel cripatat decat intre NAS si routerul firmei . 

In cazul unui astfel de acces VPN responsabilitatile vor fi impartite intre administratorul de sistem al firmei si ISP dupa cum urmeaza : 

ISP :
        -acizitioneaza , configureaza si mentine Network Access Serverul ( NAS) in POP sau
        -achizitioneaza si suporta modemurile necesare pentru conexiuni impreuna cu numarul de telefon necesar conectarii (in general este un numar dar procedura de achizitionare este ceva mai complicata pentru ca in cazul in care ai 20 de modemuri folosesti un singur numar de telefon cu care esti vazut din afara dar achizitionezi de la Romtelecom 20 de numere pe care le asociezi cu modemurile. Stabilirea conexiunii se face printr-un procedeu de hunting: primul modem gasit liber va fi folosit pentru realizarea conexiunii. Acest hunting il realizeaza centrala Romtelecomului.)
       -mentine un server de autentificare si autorizare (AAA)
       -mentine un router care se va conecta cu routerul firmei

 Firma :
  -achizitioneaza, configureaza si mentine routerul sau
  -autentifica si autorizeaza ( username si parola ) utilizatorii (server AAA) .

Imaginea de mai jos prezinta schematic tipul de aparatura utilizata pentru realizarea acestui tip de Access VPN. Dupa cum se poate vedea pe partea utilizatorului nu este nevoie decat de un terminal si un modem fara a trebui configurat nimic altceva decat un username si o parola de acces in serverul ISPului. 

Utilizatorul poate in principiu folosi orice sistem de operare cu conditia ca acesta sa fie capabil de dial-up. Odata ce utilizatorul initiaza o sesiune de dial-up se va conecta la NAS. Logarea se va face la serverul de parole al ISPului. Pentru aceasta logare va fi folosita un alt username configurat in client, ca de exemplu abcd@firma.ro. Serverul de parole va fi interesat numai sa descopere ce domeniu vrea sa contacteza acel uttilizator. Va gasi in baza sa de date ca acel client doreste sa se conecteze la domeniul firma.ro. Din acest moment face legatura cu routerul ISPului si trimite acestuia comanda . 

Routerul ISP-ului va incepe negocierea unui tunel criptat cu big-ro. Dupa ce acesta va fi functional se face legatura cu sesiunea deschisa de utilizator, echipamentul ISP-ului devenind transparent pentru procesul de logare care va urma. Utilizatorul se logheaza cu username-ul si parola pe care le-a configurat in clientul sau de dial-up. Este verificat in serverul de parole al firmei si se da acordul sau nu asupra inceperii transferului de date sau orice altceva se doreste in reteaua firmei. 
Din acest moment utilizatorul poate fi considerat ca facand parte integranta din retea firmei. Fiecare utilizator poate fi asociat cu anumite drepturi, privilegii, asociat unui anumit grup de utilizatori, asociat cu anumite ore in care poate sa-si desfasoare activitatea. 

In general pentru locatia ISPului se recomanda ca serverul de parole sa fie un SUN cu UNIX iar la firma se poate foarte bine folosi un PC cu Windows NT 4 sau 2000 server. Cisco vinde mai multe tipuri de servere de acces ( NAS) unul recomandat pentru o astfel de utilizare ar fi Cisco AS5300 .Ca router pentru ISP se poate folosi un Cisco 4500- M. 

2.A doua modalitate prin care s-ar putea realiza un Access VPN este folosirea independent de ISP a unor echipamente care sa permita realizarea conexiunilor. In acest caz putem spune fara sa gresim ca firma se transforma intr-un ISP mai mic. Aceasta poate avea avantajele sale dar mai presus de toate are costuri ridicate nu atat de mult la implementare cat mai ales la management si intretinere. Acest fapt se datoreaza preluarii tuturor atributiilor de catre firma.   

  Procesul de comunicare intre client si concentrator parcurge uramatorii pasi :

•   Se negociaza tunelul : adrese, algoritmi etc.
•   Se stabileste tunelul in functie de factorii definiti mai devreme.
• Autentificarea utilizatorilor: username, grupul din care fac parte, parole, alte certificate (semnatura electronica etc).
•   Stabilirea drepturilor pe care le are utilizatorul: ore de acces, durata conexiunii, protocoalele folosite.
•   Negocierea cheilor de securitate.
•   Incepe procesul de incriptare iar comunicatie poate sa inceapa.

In imaginea care urmeaza se schematizeaza echipamentele de care este nevoie pentru realizarea acestui tip de Access VPN. Se poate observa ca avantajul principal consta in faptul ca tot circuitul informatiei in afara perimetrului firmei se realizeaza cripatat. Acesta este asadar un tip de Access VPN intitulat client-initiated. 
 
 

Extranet VPN

In legatura cu acest subiect nu mai sunt aici prea multe de spus pentru ca in mare ss-au acoperit aspectele tehnice. 
Asadar acest tip de VPN permite conexiunea site-ului firmei cu potentiali colaboratori : clienti, resealeri, alti parteneri. Drepturile pe care le au acestia in reteaua firmei pot fi setate functie de tipul relatiei stabilite cu acestia. 
Din punct de vedere tehnic nu este mare deosebire in realizarea link-urilor cu acestia sau angajatii firmei. Acestea pot facute fie prin legaturi dedicate fie prin dial-up. Acestea au fost deja prezentate si sunt valabile si pentru acest tip de VPN.
Bineinteles ca subiectul ramane deschis pentru ca si aici se pot folosi metode de certificare ca semnaturi electronice unde arhitectura este ceva mai complexa intrucat implica si o autoritate de certificare. 
 
 

Management si calitatea la VPN - QoS

Implementarea unei retele VPN este doar prima parte a problemei. In general implementarea o face o firma specializata in asa ceva; cel mai adesea o firma de consultanta este insarcinata cu dezvoltarea proiectului. Dezvoltarea proiectului se face dupa un studiu al activitatii firmei client si in fuctie de cerintele de trafic si aplicatii ale acesteia. Nu spun ca designul este o parte usoara dar partea cea mai grea este in mod categoric managementul retelei create si impunerea unor standarde de calitate in exploatarea acesteia. Aceasta se materializeza printr QoS (Quality-of-Service). 

Mai concret un utilizator al retelei respective nu-si va pune in nici un caz problema tipului de router folosit sau a tipului de tunelare si incriptare intre sedii. Intrebarea pe care o va pune celui care implementeaza sau administreaza reteaua ve fi de genul : 

Voi putea sa accesez rapid serverul firmei pentru a vedea ce stoc de produse este disponibil? 
Voi putea sa comunic numarul contului de plati cu clientul din Bucuresti fara ca nimeni sa nu fure acesta informatie din retea?

Asadar intrebari concrete la care se poate raspunde mai putin in termeni tehnici. Pentru cel care implementeaza si administreaza reteau aceste intrebari se traduc in termeni de intarzieri pe retea (delay), banada de acces WAN (bandwidth si throughput), securitate, asigurarea prioritatii pentru informatia vitala activitatii economice (mission-critical). Toate acestea pot fi rezolvate cu ajutorul unui pachet de unelte create in acest sens si implementate in IOS de catre Cisco care sunt denumite cum am precizat si mai sus QoS. 
 

  QoS urmareste in principal urmtoarele aspecte :

•   Clasificarea pachetelor de date.
•   Managementul bandei disponibile.
•   Evitarea congestiilor

In continuare vom spune cateva cuvinte despre fiecare dintre acesti termeni. Asadar ce inseamna clasificarea pachetelor? Se pot grupa anumite tipuri de pachete de date astfel incat sa fie separate de masa larga a pachetelor. Odata facuta acesta separare se pot aplica acestor pachete un tratament special in sensul ca acestea pot fi trimise cu prioriate, circulatia lor fiind considerata mai importanta decat a celorlalte, se pot asigura conditii ca probabilitatea ca aceste pachete sa fie pierdute sa fie minima. Asadar prioritate intr-un singur cuvant. 
Este important ca aceste clasificari sa se faca dupa ce tunelul si cripatarea au fost definite pentru ca clasificare se face adaugand niste headere, ori daca tunelarea s-ar face dupa ar putea sa altereze aceste headere. Clasificarea pacheteleor se poate face pe urmatoarele criterii: 

. Adresa IP
. Porturi TCP sau UDP.
. Precedanta IP.
. URL.
. Adresa MAC.
. Timpul in care se face transmisia

In acest sens se poate spune ca se impune folosirea a inca unui termen: ToS - type-of-service, acesta permitand clasificarea pachetelor. Odata ce anumite pachete au fost marcate ca fiind mai importante decat altele trebuie sa asiguram faptul ca aceste pachete vor avea un tratament special. Acest lucru se face prin prin managementul bandei (bandwidth management). Cea mai importanta metoda de management a bandei este punerea in cozi a pachetelor. 

Punerea in cozi a pachetelor poate fi inteleasa prin intermediul termenului de flux de date. In general un flux inseamna un grup de pachete de date care impart aceleasi criterii de clasificare enuntate mai sus. 

Punerea in cozi a pachetelor (WFQ1) poate fi de doua tipuri: flow-based WFQ si class-based WFQ. In flow-based WFQ pachetele sunt clasificate pe flux, mai exact fiecare flux corespunde unei cozi de iesire separate.Cand un pachet este clasificat intr-un anumit flux el va fi plasat intr-o coada care apartine acelui flux. In perioade de congestie sistemul de punere in cozi a pachetelor (WFQ) aloca fiecarei cozi o anumita largime de banda. 

Class-based WFQ defineste prioritati in functie de niste clase de pachete pe care administratorul trebuie sa le defineasca. Crearea de clase se poate realiza spre exemplu cu ACL-urile iar apoi se aloca fiecarei clase o fractiune din banda de iesire a unei interfete  WAN. Diferenta fata de tipul bazat pe fluxul de date consta in aceea ca in cazul claselor alocarea este absoluta la capacitatea interfetei si nu relativa la alte fluxuri (flow-based). In class-based se poate face alocarea in procente sau kbps. 

Acest ultim tip WFQ este cel mai important pentru ca permite alocarea de banda garantata pentru o anumita aplicatie (spre exemplu pentru baza de date cu informatiile financiare vitale) precum si definirea de utilizatori care au prioritate in folosirea benzi disponibile. 

Evitarea congestiilor consta in termeni teoretici in capacitatea de a recunoaste congestiile care apar pe o anumita cale de comunicare si de a le minimiza efectele. Congestiile produc efecte nedorite in VPN si trebuie evitate. Cisco a implementat in IOS un algoritm intitulat WRED. Acesta consta in definirea unor limite de trafic pentru diferite clase de de trafic (definite cu class-based WFQ). Odata ce aceste limite sunt depasite pachetele vor fi aruncate in functie de prioritatea acestora: cele 
mai putin importante primele iar cele importante ultimele. 

Concluzii : exista momentan cateva scule care pot fi folosite pentru imbunatatirea si eficientizarea traficului in retelele VPN. In principal este deosebit de importanta o urmarire atenta si o eficientizare a traficului pe legaturile WAN pentru ca acestea sunt cele mai scumpe. Politicile firmei in ceea ce priveste traficul trebuie in primul rand enuntate in functie de tipul de date care circula iar mai apoi implementate.