Sítě, servery, racky, routery a firewally

0

Pokud stavíte počítačovou síť, je vaším cílem propojení počítačů, serverů a dalších zařízení, které tvoří infrastrukturu firmy pro její plnohodnotné fungování. Takovéto sítě je dnes určena jak pro vnitřní fungování firmy, tak i pro její napojení na internet.

Návrh sítě, operační systém

Dráty jsou základ

Nejprve je nutné navrhnout strukturovanou kabeláž. Je vhodné určit výchozí bod, odkud budete kabeláž natahovat. Výchozím bodem bude bezesporu serverovna, místnost či alespoň místo, kde budou všechny kabely končit a kde se bude nacházet většina serverů a aktivních prvků. Při návrhu rozmístění datových i telefonních zásuvek je potřeba počítat s dostatečnou rezervou a myslet také na možné stěhování uživatelů a rozmístění nábytku. Proto vždy navrhujte síť s rezervou. Je mnohem lepší mít deset zásuvek navíc, než posléze kabeláž jakkoliv rozbočovat na trase a řešit nedostatky provizorně. Po návrhu je žádoucí k celkové metráži kabeláže přihodit přidat alespoň dvacet procent navíc. Ne vždy se podaří nacvaknout konektory napoprvé a určitě je lepší, když ze zdi kouká dvacet centimetrů kabelu před nacvaknutím, než abyste nemohli dohledat kabel kdesi ve zdi či liště.

Pokud tvoříte větší než malou síť, doporučujeme vždy vyústění kabelů v serverovně natáhnout do patch panelu. Získáte tím tak přehled i pořádek. V případě výměny jakéhokoliv aktivního síťového prvku ušetříte spoustu času nad dešifrováním změti kabelů. Podle velikosti sítě navrhujte taktéž rack. I zde počítejte s rezervou. Není na škodu použít rack dvakrát větší, než budete podle plánu potřebovat. Mezi aktivními prvky je dobré nechat místo kvůli jejich chlazení, ale i pro případ řešení krizových situací, kde se hodí každý centimetr místa – jak pro natažení dočasného kabelu z jakékoliv strany, tak i pro přebudování sítě.

Příklad racku s přehledně uspořádanou kabeláží

Spojte vše

Jakmile je kabeláž navrhnutá a natažená, je čas pro připojení aktivních síťových prvků. Při návrhu se řiďte podle počtu možných uživatelů, síťových tiskáren, serverů, přivedení internetové konektivity a opět přidejte trochu kapacity do rezervy. První aktivní prvek, který se nabízí, je switch. Pro umístění do racku je nejběžnější počet 24 portů na switch. Jednoduše lze tedy spočítat, kolik switchů bude potřeba. Počítejte nejen uživatele, ale i servery, print servery, Wi-Fi připojení a dalších zařízení. Dále připočtěte porty pro připojení k internetu.

K návrhu sítě je vždy vhodné vytvořit nákres sítě. Nejlepší a nejosvědčenější je v podmínkách menší sítě klasická tužka a papír. Je dobré nakreslit si, kudy potečou data, a to jak ve vnitřní síti, tak i do a z internetu – zakomponování prvků základní či rozšířené bezpečnosti bereme jako samozřejmost.

Topologie sítě

Souboj systémů V prostředí menších a středních firem existují dvě hlavní možnosti – Windows či Linux. Každý systém má svá pro a proti. Linuxové řešení má nespornou výhodu s nízkou či žádnou pořizovací cenou. Je ale dobré si uvědomit, že při stavbě a údržbě této platformy je třeba zkušeného administrátora, který ví jak na to. Platforma Windows má vyšší prvotní pořizovací náklady, ale přes protest některých administrátorů si troufám tvrdit, že je jednodušší a lehce spravovatelný.
Rozhodující je tedy většinou jen podpora aplikací, které chcete používat. Pokud potřebuje váš firemní informační systém Windows, moc si vybírat nemůžete. Pokud ale stavíte zbrusu třeba nový souborový server, není problém vybrat si řešení, které vám vyhovuje více.

Firewall, základní prvky

Pevná hráz

Prvním prvkem mezi bezpečnost vnitřní sítí a z principu nebezpečným internetem je router s firewallem. Ten volíme podle zatížení, rychlosti přivedené konektivity a celkového použití. Jednoduché a levné hardwarové řešení volíme pro firmu, kde je potřeba jen přístup z vnitřní sítě do internetu. Je také možné použít či postavit takovýto prvek na středně výkonném počítači s routovacím softwarem (ať už ve Windows nebo třeba Linuxu). Pro firmu, která kromě připojení k internetu používá vlastní doménu, poštovní a webový server, je většinou používáno softwarové řešení na serveru.

Pro aplikace internetových obchodů, hlavní a záložní konektivy, možného dálkového přístupu a propojení poboček volíme profesionální servery, buď přímo s integrovaným routovacím softwarem, nebo nákladnější hardwarové řešení, které vás zbaví problémů při řešení výpadku u velkého zatížení. V takovémto případě je také nejvhodnější využít služeb specializovaných firem, které se postarají o dodávku a především nastavení hardwaru i softwaru.

Router SMC 7004VBR Barricade nabízí i SPI firewall

Zařaďte správnou rychlost

Přivedení konektivity bychom mohli rozdělit na tři stupně, dle počtu uživatelů a aplikací, které chceme zprovoznit. Pro malou kancelář s deseti lidmi si vystačíte s připojením třeba od kabelových operátorů či jednoduchým bezdrátovým připojením s rychlostí kolem 1 Mb/s. Na odesílání e-mailů a surfování internetem je to dostatečné. Pro větší pobočky, řekneme do třiceti uživatelů, s poštovním a webovým serverem, již uvažujte o připojení s veřejnými IP adresami a vyhrazenou rychlostí (tedy bez agregace). Zde musíte vymyslet kompromis mezi rychlostí a dostupností. Rychlost 2–5 Mb/s je zde na místě. Počet veřejných adres volte podle toho, jak chcete mít dostupnou síť nejen zevnitř do internetu, ale také z venku – například pro vzdálenou správu či pro propojení VPN nebo IP tunelem s další pobočkou.

Pro velké pobočky nad 50 uživatelů, kde chcete provozovat přesuny dat, mít svou vlastní doménu, provozovat B2C aplikace a podobně, je ideální vypsat výběrové řízení a pozvat do něj poskytovatele připojení. Obrovskou výhodou výběrových řízení je možnost stlačit cenu a pořizovací poplatky směrem dolů díky skutečnému konkurenčnímu boji. V tomto případě je více než žádoucí přemýšlet i o záložní konektivitě, která sice může zůstat nevyužitá po celou dobu (což je optimistický případ), ale při výpadku hlavní se bude rozhodně hodit.

Server je připraven pro běh 24/7(IBM Netfinity 7000 z obrázku patří mezi starší stroje s Pentium II Xeony)

Navrhněte vše předem

Klientské počítače s nejobvyklejším operačním systémem Windows je třeba spravovat, zabezpečit a udržovat. Obrovskou chybou nezkušených administrátorů je myšlenka, že nainstalují počítač, zapojí ho do sítě a dál se nemusí starat. Nesmíme zapomenout, že nejhorší a bohužel i nejpravděpodobnější je (většinou neúmyslný) útok zevnitř. Takový zavirovaný počítač ve vnitřní síti dokáže udělat pěknou paseku.

Prvním bezpečnostním bodem je firewall. Dá se použít klasický integrovaný nebo produkt ze třetí strany, kterých je nespočet. Dalším bodem jsou aktualizace systému; jelikož budete mít firmě desítky nebo stovky počítačů, není zde jiná možnost než k tomuto účelu postavit svůj aktualizační server (Microsoft toto řešení přímo nabízí). Nespornou výhodou tohoto řešení je šetření konektivity k internetu a přehled o tom, zda se záplaty podařilo aplikovat v pořádku.

Pokročilý router jako Cisco 2600 zajišťuje datové i hlasové služby, internet i intranet, VPN, firewall a mnoho dalších funkcí

Vzdálená správa, komunikace

Vzdálená správa

Ne každého administrátora baví běhat od počítače k počítači (ostatně posedávání na své židli je pohodlnější). Nabízí se zde trojí možnost dálkové správy. Buď využijete vzdálenou plochu, která je integrovaná přímo ve Windows, či přístup přes známé VNC, případně pomocí SMS serveru. První možnost je velmi jednoduchá, bohužel uživatele lokálně odhlásí, takže s ním nemůžete plně komunikovat. Systémy založené na VNC jsou zadarmo, jsou ovšem relativně pomalé a potřebují přenášet po síti značné množství dat – což může být při přístupu přes WAN problém. SMS (Systém Management Server) je integrované řešení do vnitřní domény, které nabízí jak vzdálenou plochu, ale také i přehled a informace o stanicích.

Právě vnitřní doména je pojem, který sice mnoho administrátorů zná, ale kupodivu nepoužívá. Její výhody jsou přitom zřejmé – například při větším počtu počítačů zajistí komplexní správu pravidel pro stanice, ať jde o připojování síťových disků, chování systému či rozdělování práv uživatele. Není nic jednoduššího pravidlo aplikovat na serveru a počkat, až se projeví na stanicích, než pracně oběhávat sto a více uživatelů a na každém z nich strávit pár minut svého času.

Rack v budově jednoho z mamutích komunikačních satelitů v Antarktidě. Zdroj: www.sethwhite.org

Komunikace

Návrh poštovního serveru se přímo týká zmiňované domény, nejsnazší je dnes integrování MS Exchange. Nabízí více možností, než jen přijímání a odesílání e-mailů: skupiny, které si rozdělíte na uživatele dle oddělení, veřejné složky, sdílené kontakty a kalendáře, možnost plánování schůzek a jiné. Výborným doplňkem Exchange je Outlook Web Access, jde o přístup do pošty přes webové rozhraní, a to jak zevnitř firmy, tak zvenku. Zvolit můžete i jiné obdobné systémy s rozšířenými možnostmi (tzv. groupware), za zmínku stojí např. Lotus Domino nebo Kerio MailServer.

K poštovnímu serveru dnes povinně patří antispamová ochrana. Pokud nemáte tuto ochranu, dojde více nevyžádané pošty, než té, kterou doopravdy potřebujete. V některých systémech se antispam přímo integrován, do jiných je vhodnější ho přidat zvlášť. V případě zmíněného Exchange se často stává, že integrovaný antispam může pekelně vytížit počítač, často se tedy volí externí software. Antispam server, který přeposílá již vyčištěnou poštu, má i další výhodu: při chvilkové nedostupnosti hlavního poštovního serveru si antispam server e-maily ponechá v paměti a přepošle je, až bude hlavní server dostupný.

Bezpečnost, slovník pojmů

Bezpečnost

Umístění vlastního webu je dobré kvůli bezpečnosti naplánovat do tzv. demilitarizované zóny. Je to vlastně druhá vnitřní síť, která je oddělená od uživatelů. Hodí se to i v případě, kdy vám web vyvíjí nějaká společnost, která potřebuje přístup na webový server, ale zároveň chcete zamezit tomu, aby tito vývojáři viděli do vnitřní sítě. Webový server by také měl být dostupný a neměl by být nijak zatěžován vnitřní sítí. Z toho například plyne, že by třeba neměl být umístěn na serveru, kde běží jiné aplikace (nezdravá je zejména obvyklá kombinace souborového a web serveru).

Zálohování dat je velmi důležitou sekcí pro správné fungování firmy. Ať jde o zálohování dokumentů, síťových disků s důležitými informacemi, tak i o zálohování stavu systému serverů. Vždy je dobré mít dobré dvojí úložiště, tzn. zálohovat vše nejdřív na zálohovací server, který postavíte s dostatečnou diskovou kapacitou, a až potom zálohovat na pásky, které se navíc archivují na zcela jiném místě. Výhoda je v okamžité dostupnosti například den staré zálohy a zároveň máte možnost obnovení třeba v případě, kdy vám celá serverovna vyhoří.

Často pomíjenou věcí ochrana před špičkami a výkyvy napětí v elektrické síti. Ideální je napojit všechny servery a aktivní síťové prvky na UPS. Nejenže vám umožní pracovat či bezpečně vypnout servery při výpadku napájení, ale také ochrání počítače před zničením. Dávat UPS pro každý počítač je většinou příliš nákladné, přinejmenším na přepěťovou ochranu by se ale peníze najít mohly. V tomto ohledu mají velkou výhodu notebooky, které jsou zálohovány i chráněny automaticky.

Slovník Firewall
Bezpečnostní prvek, který filtruje komunikaci mezi okolím a počítačem, nebo internetem a lokální sítí. Obvykle součást routeru
NAT
Network Address Translation – překlad síťových adres. Dokáže připojit celou lokální sít do internetu přes jedinou IP adresu, přičemž se stará o překlad komunikace mezi lokálními a vzdálenými počítači. Vedlejším efektem je také zvýšení bezpečnosti počítačů v LAN
Patch panel
Jednoduchý síťový prvek, který slouží jen jako místo pro propojení dvou kabelů. Důvodem jeho použití je pouze větší přehlednost a zjednodušení konfigurace sítě. Obvykle je montován do racku
Rack
Speciální normalizovaná skříň pro montáž síťových prvků, serverů a podobně. V současnosti se nejčastěji využívá 19“ rack s šířkou 482,6 mm (původně navržený pro železniční systémy). Prvky určené pro montáž do racku se označují jako rack-mount. Do racku je ale možné umístit i polici a na ni běžný počítač nebo třeba monitor
Router (směrovač)
Server či prvek, který tvoří bránu mezi vnitřní sítí a internetem. Umožňuje posílat a směrovat data mířící z lokání sítě do internetu a zpět. Navíc často obsahují algoritmy pro korekci chyb přenosu a bezpečností prvky (např. firewall). Většinou je součástí NAT
Switch (přepínač)
Aktivní síťový prvek, který se stará o propojení sítě a doručováním dat. Jeho jedinou funkcí je přeposílání komunikace (paketů) na jejich cílové adresy
UPS
Uninterruptible Power Supply – nepřerušitelný zdroj napájení, záložní zdroj. Zařízení obsahující akumulátor a měnič, který dokáže po několik minut či desítek minut napájet počítač. Pro větší zátěže se využívají naftové generátory
LAN
Local Area Network. Lokální síť (obvykle v rámci budovy)
Veřejná a privátní IP adresa
IP adresy identifikují počítač v rámci sítě či internetu. Veřejná IP adresa je unikátní v celém internetu a na počítač s veřejnou IP adresou je tedy možné se odkázat odkudkoliv. Privátní IP adresa je unikátní pouze v rámci LAN. Privátní adresy jsou v rozsahu 10.0.0.0–10.255.255.255, 172.16.0.0–172.31.255.255, 192.168.0.0–192.168.255.255.
WAN
Wide Area Network. Geograficky rozsáhlá síť, největším příkladem je dnes internet. Ve firemní praxi obvykle (virtuální) síť, která spojuje pobočky
TCO
Total Cost of Ownership – celkové náklady na vlastnictví. V případě sítě obsahuje například pořizovací cenu hardwaru a softwaru, náklady na montáž a zprovoznění a veškeré provozní náklady včetně platů administrátorů

Článek vyšel v časopise Extra PC

V přištích dnech pro vás na ExtraHardware.cz připravujeme:

  • Recenzi XFX GeForce 8800 Ultra Extreme a nejrychlejší grafiky v DirectX 10 hrách
  • Test Radeonů HD 2600 a 2400
  • Recenzi chladiče Scythe Ninja Mini
  • Srovnávací test střední třídy grafických karet
  • Duel procesorů: AMD Athlon X2 6000+ vs. Intel Core 2 Duo E6750
  • Recenzi Radeonu HD 2900 Pro
  • Recenzi základní desky Asus Blitz Extreme
  • SLI vs. CrossFire v nových hrách (DirectX 10)

 

Sítě, servery, racky, routery a firewally

Ohodnoťte tento článek!