Построение сети.

26 ноября 2002 г.

Построение локально-вычислительной сети.

пятая редакция
Фёдоров М.В.

Содержание.

Общие положения.
Схема сети.
Этапы внедрения.
Подключение к Internet.
Защита сети.
Используемое оборудование.
Используемое сетевое программное обеспечение.
Приложения.

Общие положения.

Проектируемая локально-вычислительная сеть (ЛВС) предназначена для осуществления совместной, централизованной работы всех пользователей компьютеров, подключенных к данной сети, а также повышения надёжности хранения общей информации, антивирусного контроля и лучшей взаимозаменяемости персонала.

Это осуществляется путем создания и разделения общих центральных информационно-технических ресурсов. К ним относятся два основных ресурса:

центральное устройство для хранения информации, хранения программного обеспечения совместного использования и хранения любых других данных (файловый сервер)
центральное устройство печати документов (сервер печати)

и так же ряд дополнительных устройств

центральное устройство для коммуникации компьютеров по телефонным линиям (RAS - сервер или сервер удалённого доступа)
центральное устройство для обеспечения совместного доступа к глобальной сети Internet (прокси - сервер)
центральное устройство для работы с документами на базе HTML страниц (справки, документы, списки, и подобное) (Internet сервер)
центральное устройство для хранения и использования баз данный (SQL - сервер)
центральное устройство для работы с электронной почтой (почтовый сервер)

и ряд других дополнительных устройств.

Преимущества такой системы состоят в обеспечении безбумажного делопроизводства, стандартизации, работе в единых программных средах, возможности выбора печати и других дополнительных возможностей.

Обеспечение безбумажного делопроизводства основывается на том, что пользователи используют общий массив информации, которым является диск высокой плотности, расположенный на центральном компьютере. Это один из основных и необходимых сетевых ресурсов. Работа на общем диске сервера, в выделенном разделе, и уникальном для каждого конкретного пользователя, осуществляется прозрачно. То есть пользователь, работая на компьютере, никак не обременён наличием сети. Единственное ограничение - ввод соответствующих паролей, уникальных для каждого пользователя.

Стандартизация обусловлена тем, что пользователи используют единое программное обеспечение, а так же тем, что для облегчения понимания и читаемости общей деловой документации они обязаны придерживаться единых правил составления документов.

Возможность выбора печати означает, что все имеющие принтеры могут быть доступны для пользователей сети, и по этому каждый пользователь может выбрать то печатающее устройство (из доступных) которое более выгодно использовать для печати именно его документов. Например для печати широкоформатных документов можно выбрать широкий принтер, для печати документов большого объема следует выбрать более производительный принтер. Большие объемы можно распределить между сетевыми принтерами, чтобы снять техническую нагрузку на устройства.

Применение общих программ обеспечивает более удобную взаимозаменяемость персонала. Отпадает необходимость вникать, изучать и адаптироваться к другим программам.

Открывается возможность применения сетевых программ, которые позволят расширить возможности персонального компьютера.

При одновременном проведении кабельных работ по коммуникациям телефонной, охранной, противопожарной, компьютерной сетям существенно снижаются затраты как на сами работы, так и на материалы и оборудование.

Схема сети.

Прелагаемая сеть строится по топологии типа "звезда". Это означает, что все компьютеры подключаются к центральному коммутирующему устройству, которое называется сетевым концентратором или хабом (HUB). Такая топология представляет собой достаточно надежную, быструю, доступную систему. Для подключения компьютеры оснащаются специальными устройством, которое называется сетевым адаптером. Все соединения коммутируются с использованием специального высококачественного экранированного сетевого кабеля. Подключенные компьютеры конфигурируются на работу в сети и могут выступать в роли потребителей сетевых ресурсов или в роли компьютеров, предоставляющих свои ресурсы. Например, компьютер может предоставить для общего использования свой принтер, одновременно являясь потребителем принтеров, предоставленных другими компьютерами.

При использовании двух (или более) сетевых концентраторов получим возможность разбить сеть на физическом уровне на 2 (или более) части. Это полезно, когда одну группу компьютеров нужно отделить от другой для достижения какого-либо уровня конфиденциальности или повышения отказоустойчивости (вирусоустойчивоти) системы

Построение сети может осуществляться различными способами. Наиболее удобно вводить в эксплуатацию сеть, используя поэтапный способ, получая работоспособные промежуточные результаты.

Этапы внедрения.

Первый тестовый этап представляет парное соединение компьютеров. Это дает возможность паре компьютеров вести какую-либо совместную работу по подготовке деловой документации и использования общих ресурсов (диски, принтеры, модемы и пр.). При этом проходит тестирование программ на пригодность работы в многопользовательском (сетевом) режиме. Обучение и изучение пригодности персонала к корпоративной работе.

Второй этап это завязывание компьютеров в одноранговую сеть путем подключения к концентратору. Выделение принтеров общего пользования, общих разделов для хранения информации и обмена документами и прочее. Здесь происходит более тщательная проверка пригодности программ и персонала. На этом этапе возможен обоснованный выбор других программ для работы в сети.

Третий этап - построение UNIX сервера. Получаем возможность работы в локальной intranet сети. Возможно использование обмена информацией по http, ftp. Локальная электронная почта. Использование Internet ориентированных программ и баз данных. Системы внутренних новостей. На этом же сервере возможно построить систему связи с глобальной сетью Internet и осуществлять доступ к глобальной сети с каждого компьютера, создать электронную почту Internet, построить комплекс защиты от сетевых атак из сети Интернет, создать сервер удалённого доступа для возможности удалённой (например из дома, во время болезни) работы с сетью а также удалённого администрирования (управления) сети.

Четвёртый этап. Создание файлового сервера NetWare. Выделение ресурсов для централизованного хранения файлов (информации и документов). Это даёт более надёжное хранение информации. Ежедневный антивирусный контроль. Ежедневное архивирование информации.

Пятый этап. Дополнительный. При наличии материальной базы, можно построить сервер на основе Windows NT 4. Что даёт возможность применения некоторых серверных программ предназначенных только под эту операционную систему.

Полученная сеть не лишена возможности развития. Мощность сети увеличивается путем добавления или замены отдельных узлов сервера, добавления дополнительных серверов с распределением нагрузки на каждый сервер, добавления высокоскоростного канала обмена данными. При наличии достаточного по мощности канала доступа к Интернет, появляется возможность за определённую плату предоставлять доступ к глобальной сети сторонним пользователям.

Сетевое программное обеспечение и сетевые операционные системы устанавливаются и настраиваются в процессе построения сети. Например, настройки общих принтеров и совместно используемых разделов можно осуществить уже на втором этапе, когда еще нет выделенного сервера. Установка центральной сетевой операционной системы возможна соответственно только после сборки, конфигурации и настройки сервера. Большие сетевые прикладные программы устанавливаются уже на готовую, сконфигурированную сеть.

После установки сервера все документы переносятся на сервер, каждому пользователю назначается пароль доступа к серверу, запрещается доступ между компьютерами, весь документооборот осуществляется только через сервер, выделяется один или два принтера для общей печати (например, один цветной и один чёрно-белый).

Подключение к Internet.

Внимание! При наличии доступа в Internet необходимо проведение мер по защите информации от несанкционированного доступа, защите систем от сетевых атак, компьютерных вирусов. Для этого используются следующие серверы:

Firewall (брандмауэр) - это либо программа, устанавливаемая на сервере, либо устройство, которое, основываясь на некоторых правилах, разрешает или запрещает передачу информации, проходящей через сервер, с целью ограждения некоторой подсети от внешнего доступа или наоборот, для недопущения выхода наружу. Firewall может определять правомерность передачи информации на основе только заголовков IP-пакетов, а может анализировать и их содержимое, т.е. использовать данные протоколов более высокого уровня.

Маскарадинг - это подмена некоторых параметров в заголовках IP-пакетов, позволяющая машинам, не имеющим реальных IP-адресов (серых IP), практически полноценно работать в Internet.

Прозрачное проксирование (transparent proxying) - это переадресация пакетов на другой порт машины. Обычно используется для того, чтобы заставить пользователей из локальной сети пользоваться местным proxy-сервером без дополнительного конфигурирования их клиентских программ.

Наличие канала Internet даёт неограниченное использование ресурсов глобальной сети. К этим возможностям относиться: гигантская справочная база документов по различным тематикам, системы новостей, архивы новостей, деловая информация (курсы валют на данное время, котировки ценных бумаг, прогнозы погоды), система электронной почты, возможность публикации собственной информации, участие в телеконференциях, системы новостей.

Защита сети.

Защита от взлома изнутри.
Защита от взлома извне.
Защита системы от компьютерных вирусов.
Защита данных от краха оборудования.
Защита оборудования по цепям электропитания.

Защита сети должна строиться по нескольким направлениям:

защита от взлома изнутри, то есть защита от злоумышленника, который находиться непосредственно за компьютером данной сети;
защита от взлома извне, то есть защита от злоумышленника, который проникает в данную сеть по каналам Итнернет или через модемные соединения;
защита системы от компьютерных вирусов;
защита данных от краха оборудования;
защита оборудования по цепям электропитания.

Взлом - несанкционированный доступ к данным. Следствие - доступ к коммерческой тайне, порча (а так же и удаление) информации, заражение компьютерным вирусом, порча оборудования и тому подобное.

Компьютерный вирус - специально написанная программа со свойствами обычного биологического вируса:

программа вредоносна, то есть, направлена на порчу или удаление информации, прочу оборудования, рассекречивания паролей, кражи информации (например, кража пароля для доступа в Интернет) и тому подобное;
программа не видима, обнаружение ведётся специальными средствами;
программа способна выживать и плодиться, заражая доступные компьютеры.

Способы заражения:

через носитель информации (дискета, лазерный диск, съёмный жёсткий диск и тому подобное),
через локальную сеть с заражённого компьютера,
через каналы глобальной сети, по электронной почте.

Защита от взлома изнутри.

Нужно предусмотреть ситуацию, когда взломщик находиться за компьютером сети. В случае внесения вируса с носителей информации в роли взломщика может оказаться и сам пользователь, ни о чём не подозревающий. В этих случаях целесообразна рекомендация по введению следующих мер защиты:

установка и поддержка пароля пользователя;
жёсткий график работы с компьютером: пришёл - зарегистрировался (ввёл пароль и начал работу), ушёл - закончил сеанс доступа (перевод компьютера в режим ввода пароля с одновременным отключением от сети);
установка локальных антивирусных программ, установка антивирусных детекторов для устройств обмена информацией (дисководы, приводы чтения лазерных дисков и подобное), установка антивирусных программ мониторинга;
физическое блокирование клавиатуры (и мыши) во время отсутствия пользователя;
физическое отключение устройств обмена информацией (шлейфы дисководов и приводов лазерных дисков, лампочек-индикаторов), отключение неиспользуемых портов, пломбирование корпуса компьютера;
предусмотреть установку средств по принудительному уничтожению информации;
правильная настройка систем;
работа с пользователем.

Защита от взлома извне.

Здесь имеет место ситуация, когда взломщик подключается к сети либо по каналам доступа в Интернет, либо по каналам сервера удалённого доступа или через модем (телефонные каналы). Защита:

установка защиты типа firewall (дословно "огненная стена"), то есть, грубо говоря, установка в разрыв канала передачи данных компьютера (или специального устройства), который будет отслеживать всю передаваемую информацию и в случае опасности блокировать доступ;
соответствующая настройка системы доступа в Интернет;
отключение (изъятие) неиспользуемых модемов;
контроль используемых модемов; правильная настройка систем;
работа с пользователем.

Защита системы от компьютерных вирусов.

Производиться комплекс мер защиты от заражения, предусматривается ситуация, когда вирус уже находиться в системе и ситуация, когда информации нанесён вред.

установка антивирусных программ, и их поддержка;
своевременное обновление антивирусных баз;
контроль системы, поиск вирусов, мониторинг;
работа с группой поддержки антивирусных программ;
работа по сохранению и восстановлению информации;
надёжное хранение архивных копий; правильная настройка систем;
работа с пользователем.

Защита данных от краха оборудования.

Здесь имеет место ситуация, когда информация теряется при порче компьютера или от действия вируса. Для этого необходимо рекомендовать следующие меры безопасности:

дублирование информации;
ежедневное резервирование информации;
правильная настройка системы;
работа с пользователем.

Защита оборудования по цепям электропитания.

В основной массе все компьютеры питаются от сети электроснабжения, в которой напряжение не только опасно для жизни пользователя, но и для некоторых узлов самого компьютера. Проблема состоит в том, что в сети все компьютеры соединены друг с другом проводами. А также соединены и "массы" компьютеров. И существует опасность, что при неисправности какого либо устройства можно получить опасное напряжение на ВСЕХ компьютерах. Это может привести либо к электрической травме пользователя, либо к выходу из строя оборудования. При особых случаях возможна порча всего как-либо подключённого оборудования. Можно рекомендовать следующие меры безопасности:

контроль всех электрических коммуникаций, завязанных на компьютерную сеть;
установка устройств по обеспечению качественного электропитания всего подключаемого оборудования;
надёжное заземление;
установка дополнительных защит на телефонные и компьютерные сети;
работа с персоналом, обслуживающим сеть электропитания;
работа с пользователем.

Может показаться, что все вышеперечисленные проблемы носят гипотетический характер и являются относительно не реальными, но даже такая простая и очень распространённая вредоносная операция, как кража пароля доступа в Интернет, может лишить пользователя оплаченного времени. А если речь идет о доступе в Интернет, закреплённом за конкретным (юридическим или физическим) лицом, то под этим паролем могут быть совершены незаконные сделки или другие преступные операции, что влечёт серьёзные последствия.

Используемое оборудование.

Сетевые адаптеры фирмы 3Com серии 3C905C-TX-M.

Сетевой коммутатор. Центральное устройство коммутации или Хаб (HUB). Фирмы 3Com серия 3C16751 OfficeConnect Dual Speed Hub (16xRJ-45) 10/100 Base TX.

Серия Office Connect специально разработана для небольших предприятий и офисов. Это доступные по цене устройства для создания эффективной сетевой структуры.

Их особенности:

Простота установки и использования.
Простое выявление неисправностей с помощью индикатора состояний.
Компактный размер с возможностью закрепления на стене.
Полная совместимость с наиболее популярными сетевыми системами (Nowell Netware, Windows 95/98/NT и др.).

Сетевой экранированный кабель 5-й категории. Бухта 305 м. Необходим для соединения сетевых плат и коммутатора. Кабель кладется от концентратора по поолуку (между основным и подвесным) и через кабель-каналы к рабочему месту с выходом на розетку. От розетки к компьютеру идет свой кабель произвольной длинны, что дает свободное перемещение компьютера относительно розетки. Разъемы на розетках подписываются, а концы кабеля на концентраторе маркируются бирками в соответствии с номером розетки. Остаток храниться для ремонта и расширения сетевых коммуникаций.

Коннекторы и розетки RJ-45. Разъемы для коммутационных сетевых кабелей.

Инструменты для обжимания (присоединения) разъёмов и розеток на концы сетевого кабеля.

Источники бесперебойного питания (UPS). Фирмы POWERWARE: PV 9110 2000VA (on-line). Тип: On-line. Диапазон напряжений 140-276 В. Время включения батарей 0 мс, форма напряжения от батарей: синусоидальная волна. АВМ технология обеспечивает увеличение срока службы батарей на 50%. "Горячая" (в рабочем режиме) замена батарейных модулей, ПО. Мощность 2000 ВА. Устройство необходимо для питания сервера и коммутатора. Основные функции - стабилизация напряжения и обеспечение питания ПК при падении или полном выключении напряжения в сети электропитания (аварийный режим). Служит общим центральным выключателем питания подключённых к нему устройств. Сетевой фильтр Lider или подобный. Стабилизатор напряжения. Обеспечивает стабильное напряжение (сглаживание скачков) для питания двух ПК и принтера и фильтрует ВЧ и НЧ помехи. Служит также и централизованным выключателем питания. Имеет металлический корпус.

Сервер. Центральный компьютер, функции которого сводятся к управлению сети, обеспечению сетевых ресурсов (диски, принтеры, модемы ...), обеспечению работы в сетевых программах и прочее.

Используемое сетевое программное обеспечение.

Рабочее место.

Для работы в сети на рабочих компьютерах предусматривается установка локализованной операционной системы Microsoft Windows 98SE. Возможна установка нескольких операционных систем. При этом каждая будет выполнять свою определённую задачу. Пример: Windows 95/98 - работа с обычными документами, игры, интернет. Windows NT4 - работа с основными документами, работа в сети.

В качестве основных прикладных программ предусматривается использование Microsoft Offise 97 или 2000 и сетевой версии 1С:Предприятие 7.7 ПРОФ. Возможна установка и других прикладных программ.

Сервер.

Управление файловым сервером и сервером печати целесообразно осуществлять сетевой серверной операционной системой (СОС) Nowell Nwtware 3.12 (4,х).

Управление интранет сервером, шлюзом в интернет, почтовым сервером целесообразно осуществлять UNIX-подобной сетевой серверной операционной системой. Например такие клоны NUIX как Linux (2.4.х) или FreeBSD.

Использование локализованной операционной системой Microsoft Windows 2000 Server или NT4 Server в качестве серверной ОС считаю нецелесообразным. Единственно, стоит отметить, что возможна установка сервера на базе Windows NT4 как дополнительного, чтобы иметь возможность запускать серверные приложения ориентированные именно на системы Windows Server.

Приложения.

Документ: "Финансовые затраты на ЛВС"

Список оборудования
Сервер NetWare
Сервер UNIX
Жёсткие диски

Michael 26.11.2002