Выявление требований к проектируемой системе

В данном разделе будет произведен обзор деятельности компании в аспекте требований с сетевой инфраструктуре, рассмотрены основные условия которым должна удовлетворять информационная система. Кратко рассмотрена существующая корпоративная сетевая инфраструктура. Будут определены требования к каждому из структурных блоков сетевой инфраструктуры. беспроводной сеть мэйл коммутатор Деятельность компании Основные направления деятельности Mail.ru Group — электронная почта, социальные сети, сервисы мгновенных сообщений, e-commerce, онлайн-развлечения, поиск. Посетителями проектов компании являются около 85% аудитории интернет-пользователей в России.

Компания неразрывно связана с сетью Интернет, с разработкой сетевых приложений и поддержкой существующих онлайн-сервисов. Разработка онлайн-сервисов невозможно в отсутствии стабильного, и высокоскоростного доступа в интернет. Так же, большинству подразделений требуется доступ к корпоративной инфраструктуре, расположенной в ЦОДах компании.

Офисы компании, как в России так и за ее пределами, требуют стабильной связанности как с инфраструктурой головного офиса, так и с расположенными в Москве ЦОДами.

Видом деятельности компании так же диктуются особые требования к сетевой безопасности, контроле доступа к корпоративным ресурсам как изнутри корпоративной сети, так и снаружи. И если вопросов с контролем доступа к внутренним ресурсам из сети Интернет не возникает — в большинстве случаев они однозначно закрыты, то разделение и определение прав доступа к внутренним ресурсам корпоративным пользователям не столь очевидно. Нередко, при исследовании инцидентов, возникает необходимость идентификации трафика, его однозначной ассоциации с одним из пользователей.

В компании активно пользуется средствами телефонии, конференц-звонками — каждому сотруднику требуется свой внутренний номер, с выделенной линией.

Значительна нагрузка на беспроводную локальную вычислительную сеть (БЛВС), все больше электронных устройств поддерживают стандарт 802.11, все больше пользователей предпочитают быть отвязанными от проводов и используют беспроводной доступ к сети интернет и корпоративным ресурсам.

Для некоторых сервисов — IPTV, синхронизация контроллеров системы освещения, требуется передача multicast-трафика.

Общее описание В настоящий момент инфраструктура располагается по следующим адресам:

• 1. Московский офис (Л47). Адрес: г. Москва, Ленинградский п-т, д. 47, стр. 2
• 2. Головной офис (ГО). Адрес: г. Москва, Ленинградский п-т, д.39А
• 3. Датацентр «М100». Адрес: г. Москва, Варшавское шоссе 125, стр. 18а
• 4. Филиалы. В настоящее время более 15 филиалов в различных регионах РФ и за пределами.

При этом, московский офис компании (1) в ближайшее время закрывается в связи с переводом всех сотрудников и инфраструктуры в новое здание головного офиса (2), сеть которого и разрабатывается в рамках данного проекта.

Описание существующей инфраструктуры. Существующая корпоративная сеть компании построена на базе каналов, арендуемых у операторов связи. Региональные филиалы имеют защищенные каналы связи с датацентром «М100» и московским офисом (Л47). Обеспечено резервирование внешних каналов. Внутренняя сеть московского офиса частично сегментирована, построена по топологии звезда. В силу слабого планирования и быстрого увеличения количества пользователей сеть развивалась не оптимально, и не справляется с нагрузками. Имеются несколько широковещательных доменов охватывающих десятки устройств — что способствует увеличению количества широковещательного трафика в сети.

БЛВС московского офиса построена на базе оборудования Cisco, с использованием «легковесных точек доступа» и контроллеров беспроводной сети.

На границе офисной сети межсетевой экран. Развернута Active Directory, все пользователи компании имеют учетную запись, использующуюся для доступа к корпоративным ресурсам. Обеспечение политик безопасности в существующей сети обеспечивается за счет правки списков доступа на коммутаторах уровня доступа, а так же за счет правил прохождения трафика на сетевом экране. Такой подход не всегда обеспечивает соблюдение и актуально правил прохождения трафика пользователей.

Развернуто несколько систем мониторинга. Существующая система управления оборудованием сети является разрозненной, отсутствует единый центр агрегации и корреляции событий, происходящих в сети. Это усложняет процесс эксплуатации сетевого оборудования и увеличивает время, затрачиваемое на разрешение проблем, что создает репутационые и финансовые риски для компании.

Одной из целей данной работы является устранение данных недостатков при построении инфраструктуры нового головного офиса компании.

Назначение системы.

• 1. Обеспечение защищенной передачи данных по протоколу IP между:
• 1.1. Головным офисом и датацентром
• 1.2. Головным офисом и московским офисом (Л47) на время переезда инфраструктуры и сотрудников.
• 1.3. Головным офисом и филиалами
• 2. Обеспечение безопасного доступа в сеть Интернет для сотрудников;
• 3. Обеспечение доступа из сети Интернет к выделенным внутренним ресурсам
• 4. Обеспечение управления устанавливаемым сетевым оборудованием
• 5. Обеспечение возможности идентификации проходящего через систему трафика, привязки его к конкретному пользователю
• 6. Обеспечение сбора и обработки событий Информационной безопасности
• 7. Обеспечение безопасного и управляемого доступа к интрефейсам управления активного сетевого оборудования.

Требования к разрабатываемой системе Разумно разделить разрабатываемую систему на следующие структурные блоки, и сформировать требования для каждого из блоков системы:

• 1. Ядро системы передачи данных ГО
• 2. Граничный блок системы передачи данных ГО
• 3. Система беспроводной локальной вычислительной сети (БЛВС)
• 4. Система мониторинга
• 5. Уровень доступа ЛВС
• 6. Офисный ЦОД

Требования к ядру системы. Основная задача данного структурного блока — обеспечение связи компонентов сети между собой, маршрутизация и коммутация трафика между ними. Ядро системы должно обеспечивать максимальную производительность и надежность.

Ядро системы должно обеспечивать:

• 1. Подключение граничного блока
• 2. Подключение уровня доступа,
• 3. Подключение офисного ЦОД
• 4. Подключение системы БЛВС
• 5. Логическую изоляцию потоков данных при передаче между структурными блоками на уровнях 2 и 3 МВОС
• 6. Защищенное управление устройствами ядра системы
• 7. Защиту от атак, направленных на устройство ядра
• 8. Передачу данных на уровне 2 МВОС
• 9. Передачу данных на уровне 3 МВОС
• 10. Передачу пакетов по протоколу Internet Protocol
• 11. Передачу данных по протоколу Ethernet 100/1000/10 000 с возможностью подключения медных и оптических сред передачи
• 12. Поддержку стандарта IEEE 802.1Q
• 13. Поддержку высокоскоростной коммутации кадров Ethernet
• 14. Поддержку передачи маршрутной информации с использованием протоколов маршрутизации OSPF и BGP
• 15. Маршрутизация multicast-трафика

Требования к граничному блоку системы Задача граничного блока — обеспечение безопасного подключения внешних каналов, поддержка связи с удаленными офисами, а так же трансляция сетевых адресов и инспекция сессий внутренних пользователей при их выходе в интернет.

Граничный блок системы передачи данных ГО должен обеспечивать.

• 1) Подключение к ядру передачи данных ГО
• 2) Подключение служебных подсистем и систем ГО, граничащих с внешними сетями
• 3) Передачу данных на уровне 3 МВОС
• 4) Передачу данных на уровне 2 МВОС
• 5) Передачу данных по протоколу Ethernet 100/1000/10 000 c возможностью подключения медной и оптической сред передачи
• 6) Поддержку стандарта IEEE 802.1Q
• 7) Поддержку передачи маршрутной информации с использованием протоколов маршрутизации OSPF и BGP
• 8) Защищенное управление устройствами граничного блока
• 9) Преобразование сетевых адресов (NAT)
• 10) Поддержка шифрования трафика, технологии IPSec

Требования к БЛВС Задача системы БЛВС — обеспечить безопасный и высокоскоростной доступ пользователей в внутренним ресурсам и сети Интернет, а так же дать возможность идентификации трафика беспроводных пользователей, и реакцию на возникающие помехи в частотном диапазоне 2.4 и 5Ггц. Так же должен быть обеспечен «бесшевный» роуминг между точками доступа для беспроводной VoIP телефонии, используемой в компании. К тому же, требуется обеспечить подключение сервисным устройствам — таким как контроллеры освещения и часть камер видеонаблюдения.

Система БЛВС должна обеспечивать:

• 1) Двухдиапазонное покрытие (5 и 2.4ГГц) во всех офисных помещениях.
• 2) Передачу трафика реального времени (Голосовые и видеозвонки)
• 3) Защищенное управление устройствами БЛВС
• 4) Поддержку стандарта IEEE 802.1Q
• 5) Поддержку различных способов авторизации, включая IEEE 802.1X
• 6) Динамический выбор частотного диапазона
• 7) Балансировку беспроводных клиентов между точками доступа
• 8) Мониторинг эфира, и реакцию на интерференцию
• 9) Маршрутизацию multicast-трафика в беспроводной сети
• 10) Определение местоположения беспроводных клиентов и источников помех
• 11) Подключение к ядру передачи данных ГО
• 12) Передачу данных на уровне 3 МВОС
• 13) Передачу данных на уровне 2 МВОС
• 14) Прозрачный для клиентских устройств роуминг между точками доступа

Требования к блоку уровню доступа ЛВС Уровень доступа должен обеспечивать высокоскоростное подключение конечных пользователей к проводной сети, электропитание сетевых устройств (таких как телефоны и точки доступа), применение локальных политик безопасности, фильтрацию трафика между пользователями.

Уровень доступа ЛВС должен обеспечивать:

• 1) Подключение к ядру
• 2) Защищенное управление устройствами уровня доступа
• 3) Защиту от атак, направленных на устройства уровня доступа
• 4) Передачу данных на уровне 2 МВОС
• 5) Передачу данных на уровне 3 МВОС
• 6) Передачу пакетов по протоколу Internet Protocol
• 7) Передачу данных по протоколу Ethernet 100/1000/10 000 с возможностью подключения медных и оптических сред передачи
• 8) Поддержку стандарта IEEE 802.1Q
• 9) Поддержку проводной авторизации IEEE 802.1X
• 10) Изоляцию пользовательского трафика
• 11) Поддержку передачи маршрутной информации с использованием протоколов маршрутизации OSPF и BGP
• 12) Маршрутизация multicast-трафика
• 13) Питание подключенных устройств по PoE, стандарт IEEE 802.3af
• 14) Применение локальных политик безопасности к трафику пользователя

Требования к системе офисного ЦОД Сетевая инфраструктура офисного ЦОД обеспечивает высокоскоростное и зарезервированное подключение серверных ферм к ядру сети.

Подсистема ЦОД должна обеспечивать:

• 1) Подключение к ядру
• 2) Защищенное управление устройствами подсистемы ЦОД
• 3) Защиту от атак, направленных на устройства подсистемы ЦОД
• 4) Передачу данных на уровне 2 МВОС
• 5) Передачу данных на уровне 3 МВОС
• 6) Передачу пакетов по протоколу Internet Protocol
• 7) Передачу данных по протоколу Ethernet 100/1000/10 000 с возможностью подключения медных и оптических сред передачи
• 8) Поддержку стандарта IEEE 802.1Q

Требования к cистеме мониторинга Подсистема мониторинга должна обеспечивать действия, связанные с конфигурацией и мониторингом оборудования, и взаимодействовать со следующим набором сервисов и протоколов:

• 1. Simple Network Management Protocol version 3 (SNMPv3);
• 2. Simple Network Management Protocol version 2 (SNMPv2);
• 3. Syslog;
• 4. NetFlow;
• 5. NTP.

Так же, при необходимости, должна быть обеспечена возможность экспорта данных в общекорпоративную систему мониторинга (по средством экспорта в БД MySQL, либо SNMP).

Исходя из вышеописанного, можно так же выделить общие требования к оборудованию, производительности и надежности разрабатываемой системы.

Требования к оборудованию В компании накоплен немалый опыт эксплуатации сетевой инфраструктуры и центров обработки данных (ЦОДов), имеется значительный парк оборудования снятого с эксплуатации как неудовлетворяющий тем или иным современным требованиям. В целях разумного расходования средств стоит использовать такое оборудование при реализации проекта, там, где это возможно. Так же накопленный опыт позволяет делать выбор оборудования для сети головного офиса опираясь не только на характеристики, но так же на эксплуатационный опыт.

К оборудованию построения системы передачи данных ГО предъявляются следующие требования:

• 1) Оборудование должно использовать высокоскоростную коммутацию пакетов данных на уровнях 2 / 3 МВОС;
• 2) Оборудование должно иметь модульную структуру;
• 3) По возможности, система должна строится используя имеющееся оборудование, либо используя оборудование производителей, хорошо себя зарекомендовавших за время эксплуатации — Cisco Systems, Juniper Networks.

Требования к производительности К производительности оборудования и системы в целом предъявляются следующие требования:

• 1) Оборудование должно обладать неблокируемой архитектурой маршрутизации или коммутации пакетов / кадров данных;
• 2) оборудование должно обеспечивать коммутацию пакетов / кадров на полной скорости интерфейсов;
• 3) оборудование должно обеспечивать возможность объединения нескольких физических интерфейсов в один логический интерфейс для повышения скорости передачи данных и отказоустойчивости.

Требования к надежности Так как работа компании неотрывно связана со стабильностью сетевой инфраструктуры и телефонии, к надежности оборудования и системы передачи данных ГО в целом предъявляются следующие требования:

• 1) Архитектура построения системы должна соответствовать принципу исключения единой точки отказа;
• 2) Отказ какого-либо одного канала данных или внутреннего подключения не должен приводить к изоляции частей систем друг от друга;
• 3) Оборудование должно обеспечивать возможность установки резервных модулей коммутации и / или модулей управления устройством.

Приведено описание деятельности компании, исходя из него выделены основные требования к необходимой сетевой инфраструктуре. Рассмотрена существующая ситуация, обнаружены недостатки, требующие исправления. Приведены требования к каждому структурному блоку проектируемой инфраструктуры, а так же к корпоративной сети в целом в аспекте надежности, производительности, используемого оборудования.