Обзор существующих решений построения корпоративных сетей

Прежде чем приступать к проектированию структуры будущей сети передачи данных, требуется выбрать технологии, которые будут использоваться. Определившись с ключевыми для проекта характеристиками, по которым будет происходить выбор стандарта, можно выбрать подходящую технологию для физического, канального и сетевого уровня модели взаимодействия открытых систем (МВОС, ISO OSI). Не смотря на некоторую условность данной модели в современном мире и неоднозначность трансляции данной модели на наиболее распространенный стек протоколов — TCP/IP, данный подход позволит определится с набором стандартов для реализации проекта, и, в дальнейшем, с используемым оборудованием.

Технологии, используемые при построении защищенных корпоративных сетей. Выбирая технологию, которая будет использоваться при реализации проекта, необходимо сразу обращать внимания на несколько моментов. Во-первых — технология должна удовлетворять требованиям проекта — обеспечивать необходимую пропускную способность, масштабируемость, защищённость передаваемой информации и т. д. Во-вторых, технология должна быть стандартизирована, и широко распространена — это позволит избежать проблем в ходе внедрения и эксплуатации (например, прекращения поддержки выбранной технологии производителями оборудования). Еще один довод в пользу решений на основе стандартных протоколов — независимость от производителя оборудования, и гарантия возможности дальнейшей модернизации сети с использованием актуальных решений.

Физический уровень определяет среду передачи данных и протокол. Для ЛВС под требования актуальности для задача проекта и распространенности подходит оптическая среда передачи данных и витая пара. Для беспроводной — только радиоканал, причем в частотных диапазонах не требующих дополнительных разрешений на использование.

Исходя из вышесказанного, следует рассмотреть набор протоколов передачи данных IEEE 802, и выбрать наиболее подходящие стандарты для реализации проекта:

• · 802.3 Ethernet
• · 802.4 Token bus
• · 802.5 Token ring
• · 802.6 Distributed Queue Dual Bus
• · 802.9 «isoEthernet»
• · 802.10 SDE
• · 802.11 Wi-Fi
• · 802.12 100BaseVG
• · 802.15 Bluetooth
• · 802.16 WMAN
• · 802.17 RPR

Технология, используемая при построении сети, как проводной так и беспроводной, должна быть распространенной и используемой. Из перечисленных, с некоторыми оговорками, таковыми являются 802.3 (широко распространена), 802.11 (широко распространена), 802.15 (широко распрстранена), 802.16, 802.5. Сначала необходимо определится со стандартом для беспроводной сети:

• · IEEE 802.15 (Bluetooth) был изначально разработан как протокол для беспроводной связи мобильных устройств, и не обеспечивает ни должной пропускной способности, ни масштабируемости для решения задач БЛВС.
• · IEEE 802.16 (WMAN, также широко используется наименование WiMAX) — беспроводное решение, разработанное для покрытия больших площадей, использует диапазон частот от 1,5 до 11 ГГц. Изначально разрабатывалось как стандарт «последней мили» для беспроводных сетей, требует разрешения на использование частотного диапазона базовых станций, не обеспечивает должной пропускной способности при наличии множества абонентов, и для реализации проекта не подходит.
• · IEEE 802.11 (Wi-Fi) — набор стандартов, наиболее распространены 802.11b, 802.11a, 802.11g, 802.11n. Предполагает работу в частотных диапазонах 2.4 ГГц и 5 ГГц, 11b обеспечивает пропускную способность в 11 Мбит/с на канал, стандарты 11a и 11g — обеспечивают пропускную способность в 54 Мбит/с, работая в диапазонах 2.4 и 5 ГГц соответственно. Наиболее современный IEEE 802.11n обеспечивает теоретическую пропускную способность до 600 Мбит/с, используя MIMO (multiple input multiple output, наличие нескольких передающих и принимающих антенн на устройстве) и channel bonding (объединение частотных каналов). Допустима работа устройств 11n как в диапазонах 2.4−2.5 ГГц, так и в 5 ГГц. Стандарт обратно совместим с 11a/b/g. В данный момент принята черновая редакция стандарта 802.11ac, обеспечивающего скорость беспроводной передачи данных до 6 Гбит/с, в первую очередь за счет использования MIMO с большим количеством антенн и расширения канала. Данное семейство стандартов больше всего подходит для реализации проекта, учитывая требования масштабируемости и пропускной способности решения.

В выборе протоколов канального уровня для проводной сети — из распространенных под требование распространенности, доступности и обеспечения пропускной способности подходит только семейство IEEE 802.3, Ethernet. В первую очередь:

• · 802.3ae, 10 Гбит/с по оптическому волокну
• · 802.3ab, GigabitEthernet по витой паре
• · 802.3af, Power over ethernet
• · 802.3ad, агрегирование каналов

Для выполнения задач проекта на сетевом и выше уровнях МВОС требуется использование стека протоколов TCP/IP.

Обзор решений организации связи между структурными подразделениями Как правило, корпоративные сети характеризуются не только повышенными требованиями к безопасности и отказоустойчивости системы, но так же и необходимостью организации каналов связи между удаленными друг от друга территориально подразделениями компании. Можно выделить три основных механизма построения таких каналов:

• · Выделенные каналы, арендуемые у операторов связи.
• · Сеть связи на основе технологии VPN (Virtual Private Network)
• · Построение собственных сетей связи, называемых так же технологическим, выделенными.

Нет никаких препятствий для комбинирования описанных выше подходов, использования наиболее целесообразного метода в каждой конкретной ситуации.

Построение собственной сети, либо же аренда каналов у операторов рационально использовать в пределах города — для данного проекта это может быть применимо для связи между датацентром и головным офисом компании. Для связи же с удаленными офисами остается только организация вирутальных соединений — данная технология предусматривает построение корпоративной сети поверх сетей общего пользования, например Интернета. Защита передаваемых данных от несанкционированного доступа должна осуществляться с помощью механизмов шифрования и использования подходящих для построения таких сетей протоколов. Наибольшее распространение получили протоколы IPSec, PPTP, L2TP, иногда эти протоколы так же инкапсулируются в GRE. Рассмотрим протоколы по отдельности:

• · IPSec (IP Security) — набор протоколов для обеспечения защиты передаваемых данных, позволяющих осуществлять проверку целостности, подверждение подлинности и шифрование IP-пакетов. Так же включает в себя протоколы обмена ключами. Является «надстройкой» над IP, для работы достаточно поддержки стандарта только от устанавливающих VPN-туннель устройств. Может работать как в туннельном так и в транспортном режиме. При передаче данных используются три основных протокола: ESP (Encapsulating Security Payload) либо AH (Authentication Header), при первичной настройке соединения (согласование шифрования, ключей, взаимной аутентификации) используется ISAKMP (Internet Security Association and Key Management Protocol). Стандарт не накладывает ограничений на используемые алгоритмы шифрования трафика и длину ключа.
• · PPTP (Point-to-point Tunneling Protocol) — протокол, так же позволяющий установить защищенное соединение поверх общественных сетей. Устанавливается обычная PPP сессия с противоположной стороной, кадры PPP инкапсулируются в GRE для передачи к точки назначения. Поддерживает 128 и 40 битное кодирование, в целом считается менее безопасным чем IPSec. В силу использования двух разных протоколов, в том числе GRE, есть сложности прохождения PPTP трафика через межсетевые экраны и трансляцию адресов и портов, решаемые включением механизмов инспекции PPTP пакетов на межсетевом экране. Полноценная поддержка протокола PPTP реализована в большинстве популярных пользовательских операционных систем, но отсутствует у части производителей сетевого оборудования.
• · L2TP (Layer 2 Tunneling Protocol) — протокол туннелирования второго уровня, который может работать не только в IP-сетях. Является протоколом сеансового уровня, совместим с IPSec.
• · GRE (Generic Routing Encapsulation) — протокол используемый для передачи пакетов одной сети через другую сеть. Туннель представляет из себя соединение точка-точка, и может рассматриваться как разновидность VPN соединения без шифрования. Для обеспечения защиты передаваемых по такому туннелю данных от несанкционированного доступа требуется использовать поверх туннеля другие механизмы шифрования, например IPSec в транспортном режиме.

Из рассмотренных вариантов для установления постоянных каналов связи между офисами поверх общественный сетей наиболее подходящим является IPSec — это стандартный протокол, поддерживаемый большинством производителей сетевого оборудования и не ограничивающий администратора в выборе алгоритма шифрования передаваемых данных. Так же на выбор используемого для решения задачи протокола значительное ограничение накладывает уже существующая инфраструктура в удаленных офисах и датацентрах — каналы в большинстве своем строятся на основе технологии IPSec в туннельном режиме и сопутствующего криптографического оборудования.

Обзор существующих решений построения корпоративной ЛВС Казалось бы, зачем проектировать сеть «с нуля», когда любой производитель оборудования готов предоставить несколько вариантов типовых решений, универсальных и полностью законченных? Проекты, размещенные в качестве примеров в секции «SRND» сайта производителя, как правило обладают несколькими общими чертами:

• · Ориентированность на оборудование одного производителя, что сразу снижает гибкость и отказоустойчивость решения. Зачастую на всей линейке сетевого оборудования используется одна и та же, либо близкая программная платформа, которая не идеальна (Пример — Juniper Networks и JunOS, Cisco Systems и IOS, IOS-XR). И в случае обнаружения критической уязвимости, либо нестабильного поведения пострадает вся сеть сразу.
• · Широкое применение проприетарных протоколов, и, как следствие, сложность дальнейшей модернизации сети с использованием оборудование иного производителя.
• · Максимально общие решения, которые потребовалось бы серьезно пересматривать для соответствия требованиям данного проекта (multicast routing, каналы во внешние офисы, отказоустойчивость, возможное использование уже имеющегося у компании оборудования, покрытие БЛВС в лифтах)

Подобные решения не отвечают требованиям предъявляемым к сетевой инфраструктуре, и не могут быть использованы без внесения изменений, по масштабности сравнимых с разработкой «с нуля», однако заимствование с незначительными изменениями тех или иных составных блоков типовых вендорских проектов может быть вполне оправдано.

Обеспечение сетевой безопасности ЛВС Для обеспечения безопасности данных передаваемых по корпоративной проводной сети, использующей кабельную систему, потребует соблюдение пункта 7.2.3 ГОСТ 17 799 при прокладке, а так же требуется соблюдение мер безопасности указанных в пункте 7.1 «Охраняемые зоны». Этого достаточно, чтобы предотвратить доступ неавторизованных пользователей к среде передачи данных. Для дополнительной защиты, возможно использование механизмов туннелирования и шифрования трафика, проходящего через сеть, например протоколы IPSec, PPTP.

В сетях построенных на базе стандарта IEEE 802.3 возможно так же реализовать авторизацию, защиту и идентификацию трафика пользователей следующими способами:

• · Авторизация и идентификация по MAC-адресу (Media Access Control, иначе называемый Hardware Address) сетевого адаптера. Возможно в сочетании с протоколом динаимческой конфигурации узла (DHCP) и использование на коммутаторах и иных устройствах уровня доступа таких мер как DHCP-snooping и инспекция ARP-запросов,. Позволяет ограничить доступ к сети и корпоративным ресурсами определенному списку MAC-адресов. Недостатки данного подхода очевидны — возросшая административная нагрузка — необходимость ведения списка MAC-адресов, которым разрешен доступ, сниженное удобство конечных пользователей, простота подмены MAC-адреса для злоумышленника, что позволит обойти данную меры защиты, не оставив следов.
• · IEEE 802.1x — стандарт определяющий протокол аутентификации и контроля доступа, ограничивая права неавторизованных компьютеров подключенных к коммутатору. В общем случае, до аутентификации подключенного сетевого устройства, разрешено прохождение только EAPOL-трафика на порту коммутатора. EAPOL (extensible authentication protocol over LAN) используется для трансляции кадров между клиентом и сервером аутентификации, обычно это RADIUS-сервер. После аутентификации пользователя — получения коммутатором подтверждения от RADIUS-сервера и дополнительных атрибутов, описывающих доступные клиенту сервисы, правила фильтрации трафика, сетевое устройство получает доступ в сеть. Недостатки данного подхода — в необходимости поддержания развернутой инфраструктуры, включающей RADIUS-сервера, каналы к ним, поддержание актуальной базы пользователей, необходимость поддержки 802.1x со стороны конечных устройств и операционных систем, необходимы коммутаторы с поддержкой 802.1x. Преимущества — гибкость и централизованность данного решения, минимизация ручной конфигурации коммутаторов при подключении пользователей — большую часть необходимых настроек порта коммутатора можно передавать c RADIUS-сервереа в виде атрибутов. Так же, при использовании связки 802.1x, DHCP и сборки Netflow с сетевых устройств, появляется возможность надежной идентификации трафика и привязки его к конкретным пользователям сети.
• · Туннелирование трафика, с помощью технологий VPN. Необходима соответствующая инфраструктура для терминации такого трафика, аутентификации пользователей при подключении. Недостатки — дополнительная точка отказа, требующая резервирования (VPN-сервер и сервера авторизации пользователей), пропускная способность такой сети ограничивается возможностями VPN-сервера, сниженное удобство пользователей конечных пользователей, возможны проблемы с некоторыми сетевыми приложениями при таком подключении. Преимущества — не требуется какой-либо дополнительно поддержки технологий со стороны оборудования уровня доступа, коммутаторов (в отличии, от 802.1x и фильтрации по mac-адресам), единая точка применения политик безопасности, фильтрации и мониторинга трафика пользователей, при необходимости — дополнительная защита всего передаваемого по сети трафика с помощью шифрования.

Исходя из достоинств и недостатков описанных вариантов, для решения задачи идентификации трафика пользователей и ограничения доступа к корпоративной сети неавторизованным пользователям, больше всего подходит решение на основе 802.1x, которое хоть и требует значительной инфраструктуры и конфигурации на начальном этапе, в дальнейшем, помимо решения основных задач, так же позволит централизованное управление настройкой портов коммутаторов за счет передаваемых с RADIUS-сервера атрибутов.

Обзор существующих решений построения корпоративной БЛВС Определившись с протоколами и стандартами, на основе которых будет строится проводная сеть головного офиса — 802.11, ethernet, TCP/IP, требуется рассмотреть и выбрать подходящее решение по структуре беспроводной сети.

БЛВС на основе стандарта 802.11 может быть организована по одной из трех топологий:

• · BSS (Basic Service Sets) — группа работающих по стандарту 802.11 станций, с центральным пунктом связи — точкой доступа. Клиентские станции не связываются друг с другом, отправляя весь трафик точке доступа, которая в свою очередь доставляет кадры адресату.
• · IBSS (Independent Basic Service Sets) — децентрализованная, ad-hoc топология. Отсутствует центральный узел связи, беспроводные станции передают трафик, связываясь непосредственно друг с другом. Распределение времени в течении которого вещает каждая станция так же происходит децентрализовано.
• · ESS (Extended Service Sets) — объединение нескольких инфраструктур BSS с целью увеличения зоны покрытия и распределения сетевого трафика. Для соединения между BSS используется независимый канал, который может быть как беспроводным, так и проводным.

Для осуществления целей проекта подходит только последняя из перечисленных топологий, так как в случае с BSS одна общая точка доступа является единственной точкой отказа, физически не может обеспечить покрытие во всем здании, а так же подразумевает под собой деление пропускной способности между всеми подключенными абонентами. IBSS так же не подходит из-за динамически меняющейся топологии сети, отсутствия централизованного управления, низкой скорости передачи данных (не более 11Мбит/с согласно стандарту 802.11), и слабой защищенностью — единственный поддерживаемый способ шифрования WEP.

Определившись с топологией, необходимо рассмотреть возможные варианты объединения множества точек доступа в единую систему. Точки доступа могут быть:

• · Автономные (децентрализованные, «умные»). Автономные точки доступа полностью самостоятельно отвечают за доставку трафика абонентов, применение политик безопасности, мониторинг эфира и выбор канала.
• · Работающие под управлением контроллера беспроводной сети (так называемые lightweight AP, «легковесные»). Возможно как решения в котором весь трафик беспроводных пользователей сначала передается точкой доступа контроллеру, так и подход при котором контроллер осуществляет только контроль за единообразием настроек фактически автономных точек доступа.

Так же, стандарт 802.11 не дает указаний по способу организации и управления радиоканалами, поэтому имеет место быть как использование точками доступа для работы статически заданных диапазонов частот, так и динамическая настройка канала.

Преимущество автономных точек доступа очевидно — отсутствие единой точки отказа (контроллера беспроводной сети), отсутствие в сети избыточного управляющего трафика между контроллером и точками доступа. Данное решение прекрасно подходит для небольших проектов. Однако, когда появляется необходимость в общей конфигурации и политике безопасности для множества точек доступа, согласовании каналов каждой из точек доступа, автоматической реакции на интерференцию, разворачивании дополнительных сервисов — таких как, например, определение местоположения абонентов — гораздо эффективней использовать решение на основе связки «легковесных» точек доступа и контроллера беспроводной сети. Главную проблему этого подхода можно устранить используя несколько контроллеров и механизмы резервирования.

Может отличаться в зависимости от задачи и способ соединения точек между собой — это может быть беспроводной канал связи (так же реализованный по стандарту 802.11, но в другом частотном диапазоне) — такое построение БЛВС так же часто называют mesh, либо локальная сеть. Точки доступа поддерживающие mesh-сети, значительно дороже, сложнее в конфигурации — особенно если стоит требование отказоустойчивости. Обычно беспроводной канал связи используется при организации БЛВС за пределами зданий, в местах где использование проводной сети невозможно либо нецелесообразно. Для офисной сети вполне подойдет подключение точек через общую локальную сеть на основе Ethernet.

Обеспечение сетевой безопасности БЛВС В отличии от ЛВС и кабельной системы, проконтролировать физический доступ к среде распространения сигнала невозможно — Wi-Fi использует радиоэфир. Поэтому, по стандарту 802.11 возможно использование следующих инструментов обеспечения конфиденциальности и защиты передаваемых данных авторизованных пользователей от прослушивания, в первую очередь основанных на различных способах шифрования:

• · WEP (Wired Equivalen Privacy) — один из ранних способов защиты передаваемых в сетях 802.11 данных, алгоритм RC4 и статический ключ. Существует две разновидности WEP — WEP-40 и WEP-104, с различной длиной ключа. Больше бит — большее количество возможных комбинаций, и, в теории, большая стойкость ко взлому. В случае с WEP-40 используется 64-битное шифрование, причем 40 бит являются статическими, а оставшаяся часть ключа является динамической (вектор инициализации), и меняется в процессе работы сети. Шифр RC4 имеет две основных проблемы — возможность коллизии (повторения) векторов инициализации в течении определенного промежутка времени и возможность изменения передаваемых кадров. Для взлома требуется перехват кадров и анализ беспроводной сети, однако используя специальные утилиты на современном оборудовании WEP «ломается» за считанные минуты. Для повышения безопасности передаваемых данных в таких сетях можно применять туннелирование с использованием более крипкостойких алгоритмов для шифрования трафика.
• · WPA (Wi-Fi Protected Access) — технология пришедшая на смену WEP в качестве меры защиты беспроводных сетей от перехвата передаваемых данных. В отличии от WEP, обладает механизмом аутентификации пользователей. WPA является суммой нескольких технологий — IEEE 802.1x, EAP, TKIP, MIC. Основой механизма аутентификации пользователей является протокол EAP (Extensible Authentication Protocol, Расширяемый Протокол Аутентификации). Каждый подключающийся к беспроводной сети пользователь должен пройти проверку по базе зарегистрированных пользователей, обычно расположенных на внешнем сервере (RADIUS). Существует упрощенный режим, WPA-PSK, для аутентификации пользователя в котором достаточно ввести один общий пароль для узла беспроводной сети. За счет использования MIC и TKIP достигается более высокий уровень шифрования. TKIP (Temporal Key Integrity Protocol) — протокол динамических ключей сети, так же основанный на RC4, но в отличии от WEP длина ключа увеличена до 128 бит, ключи генерируются автоматически, вместо использования статического 40-битного в WEP-64. MIC (Message Integrity Check) — протокол проверки целостности пакетов, защищает данные от перехвата и перенаправления. Не смотря на то что недостатки WEP в данной технологии были устранены, в 2008;2009 году были продемонстрированы возможности достаточно быстрого «взлома» и перехвата трафика в таких сетях, основанные на уязвимостях TKIP.
• · WPA2 — усовершенствованная версия WPA, где на замену TKIP пришел AES (Advanced Encryption Standard) и CCMP (Counter Mode with Cipher Block Chaining Message Authentication Code Protocol). Единственная продемонстрированная в данный момент уязвимость сетей использующих WPA2 позволяет авторизовавшемуся в сети пользователю в определенных случаях перехватить и расшифровать трафик других пользователей этой же сети.

Исходя из вышесказанного, беспроводные сети использующие WPA2 с точки зрения защиты передаваемых данных являются достойной альтернативой проводным сетям. В случае применения WEP, WPA, или же открытой сети необходимо обеспечить дополнительную защиту трафика с помощью механизмов туннелирования трафика с шифрованием (например, IPSec).

Так же, широко используются следующие способы дополнительно увеличить защищенность беспроводных сетей, это:

• · Фильтрация подключений по MAC адресу. MAC — уникальный идентификатор сетевого адаптера, назначаемый производителем. Составив список разрешенных адресов, можно создать дополнительную преграду злоумышленнику. Однако, необходимость поддержания списка разрешенных mac-адресов создает дополнительную административную нагрузку и неудобство для пользователей, а злоумышленник при обнаружении такой защиты может подменить адрес своего устройства на один из разрешенных.
• · Скрытие SSID (Service Set Identifier), не позволяет обнаружить сеть при сканировани стандартными утилитами. Однако, сеть по прежнему можно обнаружить с помощью анализа трафика подключенных пользователей. Фактически, данное решение не увеличивает защищенность.

Обзор решений для мониторинга состояния сети При увеличении количества сетевого оборудования и серверов, задействованных в корпоративной инфраструктуре, увеличивается и количество проблем требующих вмешательство и решения со стороны администратора. За парой серверов и коммутатором вполне можно присматривать без использования каких-либо специализированных утилит. За десятком — уже не удобно. Когда устройств и систем требующих постоянного контроля становятся сотни — появляется необходимость во внедрении системы мониторинга. Задачи мониторинга:

• · Сбор данных о работе коммутаторов, серверов и сервисов
• · Оповещение о возникновении проблем
• · Накопление и анализ собранных данных

Большинство производителей сетевого оборудования предлагают собственные решения мониторинга сети, как платные так и бесплатные. Пример — Cisco Prime, Juniper Junospace. Подобные решения полностью покрывают потребность в контроле за состоянием сети, но только в случае инфраструктуры построенной на продукции производителя. Поэтому, для решения задачи остается использовать либо сразу несколько систем производителей оборудования, и каким-либо образом интегрировать их между собой, либо выбрать одно из сторонних решений.

Прежде всего, следует рассмотреть основные службы, подсистемы и протоколы, которые могут использоваться для мониторинга сетевой инфраструктуры:

• · Syslog (system log — системный журна) — стандарт отправки сообщений, широко распространенный в unix-, а так же GNU/Linuxсистемах. Помимо этого, поддерживается практически управляемым сетевым оборудованием, позволяет собирать данные самодиагностики системы, оповещения о произошедших событиях.
• · SNMP (Simple network management protocol — простой протокол сетевого управления) — стандартный протокол управления устройствами в ip-сетях. Предоставляется данные для управления в виде переменных, описывающих конфигурацию управляемых устройств. Эти переменные могут быть запрошены системой мониторинга у управляемых устройств. Широко поддерживается производителями сетевого оборудования. Данные, которые можно получить по SNMP от устройства зависят от MIB, базы управляющей информации, реализованной производителем устройства.
• · Netflow — сетевой протокол для учета сетевого трафика. Позволяет осуществлять сбор данных с маршрутизаторов о количестве прошедшего через устройство трафика, с указанием протокола, адресами и портами источника и назначения. Такие данные могут быть полезны при анализе потоков данных в сети и иследовании инцидентов.

Рассмотрим несколько наиболее распространенных решений мониторинга инфраструктуры, выявим преимущества и недостатки:

• · Cacti
• · Nagios
• · Zabbix

Cacti — веб-приложение с открытым исходным кодом, написанное на PHP и C. Распространяется бесплатно. Предназначено для мониторинга сетевой инфраструктуры и построения графиков. Для хранения собранных данных использует RRD (Round-robin database, кольцевая база данных). Для работы с графиками используется RRDTool. Данные с устройств собираются в основном с помощью SNMP. Возомжно расширение функционала с помощью внешних плагинов, так же написанных на PHP. Является наиболее распространенным решением для визуализации и сбора данных. После установки вся настройка осуществляется через графический интерфейс. Обладает минимальными возможностями выявления проблем и посылки оповещений.

Достоинства:

• · Распространенность, широкая поддержка сообществом
• · Кросплатформенность
• · Расширяемый функционал
• · Производительность (за счет быстрого поллера, написаного на C)

Недостатки:

• · Ориентированность на построение графиков и опрос по SNMP
• · Необходимость использования плагинов для создания системы оповещений об аномалиях
• · Сложность написания плагинов (по сравнению с другими системами)
• · Все опросы происходят с локальной системы, удаленные проверки невозможны.

Таким образом, cacti требует серьезной доработки для использования в качестве основной системы мониторинга, и наиболее разумно сочетать с другими системами, используя cacti исключительно для построения графиков, хранения и экспорта данных.

Nagios — одна из самых популярных систем мониторинга. Открытые исходные коды, распространяется бесплатно. Простая и расширяемая архитектура, позволяет быстрое написание и адаптацию расширений. Возможна установку на любую unix-подобную систему (GNU/Linux, FreeBSD, Solaris). Широкий возможности по настройке системы оповещений о проблемах, эскалации. Возможен удаленный мониторинг через SSL-, SSHтуннели с помощью NRPE (Nagios Remote Plugin Executor). За счет распространенности имеет множество доступных плагинов на все случаи жизни. Имеется возможность проактивного решения проблем, средства для построения распределенного мониторинга. Все настройки хранятся и изменяются в файлах конфигурации. Позволяет опредение иерархии устройств, уменьшая количество уведомлений о проблемах на нижестоящих устройствах при отказе вышестоящего.

Достоинства:

• · Распространенность, широкая поддержка сообществом
• · Простота написания расширений, большая база уже готовых.
• · Возможность создания распределенной системы, выполнения удаленных проверок
• · Простой формат файла конфигурации, возможность автоматизировать внесение новых устройств в систему

Недостатки:

• · Практически отсутствуют встроенные средства визуализации, построения графиков.
• · Нет возможности конфигурации через графический интерфейс
• · Запуск каждого плагина как отдельного процесса в ходе работы системы
• · После изменения конфигурации требуется перезапуск nagios
• · Большой минимальный интервал между проверками

Исходя из описанного, Nagios вполне можно использовать для решения задачи мониторинга корпоративной сети, однако его необходимо дополнить каким либо решением визуализации и хранения численных данных (например, графиков трафика и ошибок на портах коммутаторов).

Zabbix — система построения распределенного мониторинга, исходные коды открыты, поддерживается латвийской компанией Zabbix SIA. Для хранения данных использует базу данных. Поддерживает различные способы уведомелния о проблемах. Конфигурация системы централизована, старшие по иерархии сервера мониторинга контролируют настройки подчиненных серверов. Возможно установка zabbix-сервера на любую unix-подобную операционную систему. Широкие встроенные возможности визуализации. Есть система автообнаружения объектов мониторинга.

Достоинства:

• · Подход к мониторингу как к распределенной системе
• · Возможность конфигурации через интерфейс и с помощью API
• · Хранение настроек в БД, вступление изменений «на лету»
• · Встроенные средства визуализации
• · Минимальный интервал между замерами — 1 секунда
• · Развитые возможности анализа собранных данных

Недостатки:

• · Необходимость серьезной адаптации системы для мониторинга конкретной сетевой инфраструктуры
• · Сложность написания расширений (по сравнению с Nagios)
• · Все данные истории хранятся в базе, что ограничивает масштабируемость и неэффективно
• · Не обеспечена отказоустойчивость

Zabbix предоставляет комплексное решение организации мониторинга, однако требуется значительной конфигурации на начальном этапе для удовлетворения требований проекта, что усугубляется повышенной по сравнению с Nagios сложностью написания и интеграции расширений.

Наиболее подходящим для решения задачи построения целостной системы мониторинга состояния корпоративной сети является сочетание Nagios и внешней утилиты сбора и хранения данных, а так же построения графиков — munin, mrtg, cacti, cricket. За счет простой, раширяемой архитектуры, данная связка позволит полностью покрыть потребность в сборе, хранении и анализе происходящих событий. Так же использование Nagios позволит реализовать гибкую систему оповещений о проблемах. Так же остается возможность безболезненной интеграции иных систем мониторинга (например, Cisco Prime) с Nagios, если возникнет такая необходимость.

Были рассмотрены наиболее актуальные технологии, используемые при организации корпоративных сетей, как проводные так и беспроводные решения. Выбраны наиболее подходящие для реализации проекта корпоративной сети компании. Рассмотрены решения авторизации пользователей и контроля доступа к проводной и беспроводной сети, выявлены преимущества и недостатки различных подходов, выбрано наиболее подходящее решение — семейство протоколов IEEE 802.1x.