Konsolidace datové infrastruktury podniku

Bankovní institut vysoká škola Praha Katedra informatiky a kvantitativních metod

Konsolidace datové infrastruktury podniku Bakalářská práce

Autor:

Martin Míšek Informační technologie, správce IS

Vedoucí práce:

Ing. Vladimír Beneš, Ph.D.

Praha

Červen, 2014

1

Touto cestou bych chtěl poděkovat vedoucímu mé bakalářské práce Ing. Vladimíru Benešovi, Ph.D. za konzultace a cenné připomínky, dále slečně Mgr. Zuzaně Pírkové za formální a věcné komentáře.

Prohlášení: Prohlašuji, ţe jsem bakalářskou práci zpracoval samostatně a v seznamu uvedl veškerou pouţitou literaturu. Svým podpisem stvrzuji, ţe odevzdaná elektronická podoba práce je identická s její tištěnou verzí, a jsem seznámen se skutečností, ţe se práce bude archivovat v knihovně BIVŠ a dále bude zpřístupněna třetím osobám prostřednictvím interní databáze elektronických vysokoškolských prací. Ve Vinařicích dne 28. 6. 2014

Martin Míšek

Anotace a klíčová slova Bakalářská práce popisuje projekt konsolidace datové sítě ve velkém podniku. Zabývá se popisem procesu konsolidace jako takového a všech jeho souvisejících částí. Hlavně popisuje vlastní implementaci v konkrétním podniku a její aspekty, se kterými jsme se během tohoto projektu museli potýkat. Klíčová slova: Konsolidace, LAN, VLAN, Interconnect, Wi-Fi, TCP/IP, aktivní prvky.

Abstract and keywords This Bachelor thesis describes the project of consolidation of data networks in a large enterprise. It describes the consolidation process itself and all related components. Mainly describes the actual implementation at the particular company and its aspects that we have had to contend during this project with. Keywords: Consolidation, LAN, VLAN, Interconnect, Wi-Fi, TCP/IP, network devices

Obsah Úvod ........................................................................................................................................... 6 1.Problematika datových sítí ...................................................................................................... 7 1.1.

Počítačová síť............................................................................................................... 7

1.1.1.

LAN (Local Network Area) ................................................................................. 8

1.1.2.

MAN (Metropolitan Area Network) ..................................................................... 8

1.1.3.

WAN (Wide Area Network) ................................................................................. 8

1.1.4.

VLAN (Virtual Local Area Network)................................................................... 8

1.1.5.

WLAN (Wireless Local Area Network) ............................................................... 8

1.2.

Referenční model ISO/OSI .......................................................................................... 9

1.3.

Rodina protokolů TCP/IP .......................................................................................... 11

1.3.1.

Architektura TCP/IP ........................................................................................... 11

1.3.2.

Základní protokoly ............................................................................................. 12

1.4.

Porovnání TCP/IP a modelu ISO/OSI ....................................................................... 15

1.4.1. 1.5.

Odlišnosti architektur ......................................................................................... 15

Základní topologie ..................................................................................................... 16

1.5.1.

Sběrnice (bus) ..................................................................................................... 16

1.5.2.

Hvězda (star) ...................................................................................................... 17

1.5.3.

Kruh (ring).......................................................................................................... 18

1.5.4.

Mříţka (mesh) ..................................................................................................... 18

1.6.

Aktivní prvky v počítačové síti .................................................................................. 19

1.6.1.

Ethernetový hub – rozbočovač ........................................................................... 19

1.6.2.

Switch – přepínač ............................................................................................... 20

1.6.3.

Router – směrovač .............................................................................................. 21

1.6.4.

Repeater – opakovač........................................................................................... 22

1.6.5.

Gateway – brána ................................................................................................. 23

1.6.6.

Firewall ............................................................................................................... 23

2.Analýza stávajícího stavu ...................................................................................................... 24 2.1.

Popis stávajícího stavu ............................................................................................... 24

2.2.

Stávající sítě ............................................................................................................... 24

2.3.

Stávající „Interconnect“ mezi sítěmi ......................................................................... 25

2.4.

Stávající propojení do externích sítí – „Perimetr“ ..................................................... 26

2.5.

Stav HW ..................................................................................................................... 26

2.6.

Lidské zdroje.............................................................................................................. 27

3.Zadání poţadovaných parametrů ........................................................................................... 28 3.1.

Konsolidace – cíle a předpoklady .............................................................................. 28

3.1.1.

Od klasické LAN k reţimu poskytovatele sluţeb .............................................. 28

3.1.2.

Cíle konsolidačního procesu............................................................................... 28

3.1.3.

Předpoklady pro započetí konsolidace ............................................................... 29

4.Návrh provedení .................................................................................................................... 31 4.1.

Konsolidace – rozsah a kroky .................................................................................... 31

4.1.1.

Dotčené sítě ........................................................................................................ 31

4.1.2.

Oblasti a směr konsolidace ................................................................................. 32

4.1.3.

Jednotné, distribuované datové centrum ............................................................ 34

4.1.4.

Sjednocení přístupové vrstvy ............................................................................. 35

4.1.5.

Vznik bezpečnostní hranice ................................................................................ 36

4.2.

Zabezpečení komunikační infrastruktury .................................................................. 38

4.2.1.

Vznik komunikační infrastruktury – koncepce .................................................. 38

4.2.2.

Zabezpečení komunikační infrastruktury ........................................................... 39

4.3.

Směry dalšího rozvoje komunikační infrastruktury ................................................... 40

4.3.1.

Volba LAN platformy ........................................................................................ 40

4.3.2.

Varianty modernizace LAN platformy ............................................................... 43

5. Ekonomické zhodnocení ...................................................................................................... 44 Závěr ......................................................................................................................................... 45 6.Seznam pouţité literatury ...................................................................................................... 46 7.Seznam obrázků a tabulek ..................................................................................................... 47 8.Seznam zkratek ...................................................................................................................... 48 9.Přílohy ................................................................................................................................... 50

Úvod Historie počítačových sítí se datuje do doby, kdy počítače byly příliš drahé a velké. V podnicích a institucích existovala vţdy jen jedna centrální výpočetní jednotka, o jejíţ výkon se dělili uţivatelé po síti – kaţdý uţivatel měl k dispozici terminál (monitor a klávesnici) a veškeré výpočty probíhaly na centrální jednotce. Doba integrovaných obvodů a procesorů s sebou přinesla osobní počítače, které si můţe dovolit téměř kaţdý a tomu odpovídá i zapojení dnešních sítí a způsob jejich pouţití. Sítě slouţí zejména jako prostředek pro sdílení dat a drahých zařízení (diskových polí, tiskáren, plotterů a jiných zařízení připojitelných k počítači) a umoţňuje jejich efektivnější vyuţívání (zařízení je v síti jen jedno a pouţívat je mohou všichni – nemusí se kupovat pro všechny účastníky sítě). Ve své bakalářské práci se věnuji konsolidaci datové sítě ve velkém podniku. Konsolidace (z lat. con-, dohromady a solidus, pevný) znamená upevnění, ustálení, urovnání. Ve firmě, kde pracuji, jsme byli v roce 2012 nuceni z rozhodnutí vlády ČR tento projekt uskutečnit. Původně jsme spravovali pouze sítě v majetku Letiště Praha s.p. (lan LP, EXT, SITA, IE a CCTV) posléze jsme konsolidovali síť Českých aerolinii a výsledkem je datová síť CAH. Veškeré dílčí kroky, které jsme museli provést, jsou předmětem mé bakalářské práce. Český aeroholding (ČAH) je významnou skupinou firem, do které byly postupně začleněny společnosti působící v oblasti letecké přepravy a souvisejících pozemních sluţbách v prostoru mezinárodního letiště Praha/Ruzyně. Dceřinými firmami Českého aeroholdingu se od roku 2011 postupně staly: Letiště Praha, České aerolinie, HOLIDAYS Czech Airlines, Czech Airlines Technics, Czech Airlines Handling a CSA Services.

6

1.Problematika datových sítí 1.1. Počítačová síť Počítačová síť vznikne ve chvíli, kdy dva (někdy se říká minimálně tři) nebo více počítačů propojíme dohromady pomocí telekomunikačního systému za účelem sdílení zdrojů. V praxi je dnes nejrozšířenější síť zaloţena na technologii ethernet a pouţívá protokol TCP/IP (Transmission Control Protocol/Internet Protocol – „primární přenosový protokol/protokol síťové vrstvy“). Počítačové sítě se dělí podle řady kritérií. Například podle velikosti/měřítka na PAN (Personal Area Network), LAN (Local Area Network), CAN (Campus Area Network), MAN (Metropolitan Area Network) či WAN (Wide Area Network). Podle technologie pouţité pro spojení zařízení na ethernet, WLAN (Wireless Local Area Network), apod. nebo podle síťové topologie na topologie sběrnice, hvězda, kruh a mříţka. Zjednodušeně můţeme počítačovou síť (jejímţ velkým reprezentantem je např. internet) zobrazit takto:

Obrázek 1: Počítačová síť Zdroj: internet, dostupné na: http://www.samuraj-cz.com/gallery/000523.gif

7

1.1.1. LAN (Local Network Area) Lokální počítačová síť se vyznačuje tím, ţe počítače jsou propojeny na menším geografickém území (tedy v rámci firmy, budovy, místnosti, atp.). V rámci LAN se nejvíce pouţívá přepínaný ethernet nebo Wi-Fi (IEEE802.11). Infrastruktura je většinou tvořena metalickými kabely a případně metalickou či optickou páteří. LAN můţe být samostatná síť, která propojuje řadu zařízení, ale v dnešní době je většinou propojena do internetu, tedy WAN sítě. (1)

1.1.2. MAN (Metropolitan Area Network) Síť, která spojuje jednotlivé LAN, ale nepřekračuje hranice města či metropolitní oblasti, se označuje jako metropolitní síť - MAN. V rámci MAN se často pouţívá bezdrátové spojení nebo optická vlákna. MAN můţe být vlastněna jednou organizací, nebo se můţe jednat o propojení několika nezávislých objektů, např. několik poboček firmy v jednom městě, propojených do MAN sítě. (1)

1.1.3. WAN (Wide Area Network) WAN je komunikační síť, která pokrývá rozsáhlé území, jako je spojení zemí či kontinentů. Obecně můţeme říci, ţe jednotlivé LAN sítě se propojují přes WAN síť, aby se zajistila komunikace na velké vzdálenosti. Tímto způsobem pracuje internet jako nejrozsáhlejší a nejznámější WAN. (1)

1.1.4. VLAN (Virtual Local Area Network) Virtuální LAN je obdobou klasické lokální sítě s tím, ţe LAN závisí na fyzickém uspořádání a propojení, kdeţto VLAN vzniká logicky uvnitř fyzické LAN. (1)

1.1.5. WLAN (Wireless Local Area Network) Bezdrátová lokální síť je opět obdobou běţné LAN. Jednotlivé prvky nejsou fyzicky propojeny kabely (metalickými či optickými), ale jsou propojeny bezdrátově. Vyuţívají se rádiové vlny a určitá modulace pro přenos dat. Výhoda bezdrátového připojení je jasná pro mobilní zařízení. Nevýhodou je například to, ţe se špatně omezuje šíření signálu, a případný 8

útočník nemusí získat přímo fyzický přístup k datové zásuvce, jako v případě drátových sítí. (1)

1.2. Referenční model ISO/OSI Model ISO/OSI je referenční komunikační model označený zkratkou slovního spojení "International Standards Organization/Open Systen Interconnection" (Mezinárodní organizace pro normalizaci/propojení otevřených systémů). Jedná se o doporučený model definovaný organizací ISO v roce 1983, který rozděluje vzájemnou komunikaci mezi počítači do sedmi souvisejících vrstev. Zmíněné vrstvy jsou téţ známé pod označením sada vrstev protokolů. Úkolem kaţdé vrstvy je poskytovat sluţby následující vyšší vrstvě a nezatěţovat vyšší vrstvu detaily o tom jak je sluţba ve skutečnosti realizována. Neţ se data přesunou z jedné vrstvy do druhé, rozdělí se do paketů. V kaţdé vrstvě se pak k paketu přidávají další doplňkové informace (formátování, adresa), které jsou nezbytné pro úspěšný přenos po síti. Protoţe model ISO/OSI byl v konečné fázi redukován i o protokoly, vytratila se z něho praktická pouţitelnost. Měl však být vyuţit v členských státech, které by postupně model zaváděly do praxe. I přes některé snahy nebylo moţné tuto snahu realizovat z důsledku malého počtu výrobků na trhu, které by tento model podporovaly. (2)

Obrázek 2: Referenční model ISO/OSI Zdroj: internet, dostupné na: http://site.the.cz/images/schemes/osi.gif

9

-

Fyzická vrstva

Definuje prostředky pro komunikaci s přenosovým médiem a s technickými prostředky rozhraní. Dále definuje fyzické, elektrické, mechanické a funkční parametry týkající se fyzického propojení jednotlivých zařízení. Je hardwarová. - Linková vrstva Zajišťuje integritu toku dat z jednoho uzlu sítě na druhý. V rámci této činnosti je prováděna synchronizace bloků dat a řízení jejich toku. Je hardwarová. - Síťová vrstva Definuje protokoly pro směrování dat, jejichţ prostřednictvím je zajištěn přenos informací do poţadovaného cílového uzlu. V lokální síti vůbec nemusí být, pokud se nepouţívá směrování. Je hardwarová, pouze v případě kdyţ směrování řeší PC s dvěma síťovými kartami je softwarová. - Transportní vrstva Definuje protokoly pro strukturované zprávy a zabezpečuje bezchybnost přenosu (provádí některé chybové kontroly). Řeší například rozdělení souboru na pakety a potvrzování. Je softwarová. - Relační vrstva Koordinuje komunikace a udrţuje relaci tak dlouho, dokud je potřebná. Dále zajišťuje zabezpečovací, přihlašovací a správní funkce. Je softwarová. - Prezentační vrstva Specifikuje způsob, jakým jsou data formátována, prezentována, transformována a kódována. Řeší například háčky a čárky, CRC (Cyklický Redundantní Součet), kompresi a dekompresi, šifrování dat. Je softwarová. - Aplikační vrstva Je to v modelu vrstva nejvyšší. Definuje způsob, jakým komunikují se sítí aplikace, například databázové systémy, elektronická pošta nebo programy pro emulaci terminálů. Pouţívá 10

sluţby niţších vrstev a díky tomu je izolována od problémů síťových technických prostředků. Je softwarová. (3)

1.3. Rodina protokolů TCP/IP Rodina protokolů TCP/IP vznikla v sedmdesátých letech. Vytvořilo ji Ministerstvo obrany USA původně pro vojenské účely pod názvem ARPANET, který se později dostal i na americké univerzity. Zde však jiţ nevyhovovaly stávající protokoly, především protokol NCP (Network Control Program), a 1. ledna 1983 definitivně rodící se Internet přestal pouţívat NCP a začal vyuţívat koncepci TCP/IP. Architektura TCP/IP vyuţívá pouze čtyř vrstev. Z těchto čtyř vrstev však protokoly TCP/IP "obsazují" jen tři nejvyšší. U nejniţší vrstvy (vrstvy síťového rozhraní) se počítá s tím, ţe zde budou vyuţity takové přenosové mechanismy, které jsou k dispozici a "pochází odjinud" (tj. nejsou součástí TCP/IP). Můţe jít např. o Ethernet, o Wi-Fi, o technologie ATM (Asynchronous Transfer Mode) či FR (Frame Relay), nebo o xDSL (ADSL) atd. (2) Rodina protokolů TCP/IP obsahuje sadu protokolů pro komunikaci v počítačové síti a je hlavním protokolem celosvětové sítě internet. Komunikační protokol je mnoţina pravidel, které určují syntaxi a význam jednotlivých zpráv při komunikaci. (4)

1.3.1. Architektura TCP/IP Vzhledem ke sloţitosti problémů je síťová komunikace rozdělena do tzv. vrstev, které znázorňují hierarchii činností. Výměna informací mezi vrstvami je přesně definována. Kaţdá vrstva vyuţívá sluţeb vrstvy niţší a poskytuje své sluţby vrstvě vyšší. Komunikace mezi stejnými vrstvami dvou různých systémů je řízena komunikačním protokolem za pouţití spojení vytvořeného sousední niţší vrstvou. Architektura umoţňuje výměnu protokolů jedné vrstvy bez dopadu na ostatní. Příkladem můţe být moţnost komunikace po různých fyzických médiích - ethernet, optické vlákno, sériová linka. Architektura TCP/IP je členěna do čtyř vrstev (na rozdíl od referenčního modelu OSI se sedmi vrstvami): - Vrstva síťového rozhraní (network interface) Nejniţší vrstva umoţňuje přístup k fyzickému přenosovému médiu. Je specifická pro kaţdou síť v závislosti na její implementaci. Příklady sítí: Ethernet, Token ring, FDDI (Fiber

11

Distributed Data Interface), X25 (standard mezinárodní telekomunikační unie), SMDS (Switched Multi-megabit Data Service). - Síťová vrstva (internet layer) Vrstva zajišťuje především síťovou adresaci, směrování a předávání datagramů. Protokoly: IP, ARP, RARP, ICMP, IGMP, IGRP, IPSEC. Je implementována ve všech prvcích sítě, směrovačích i koncových zařízeních. - Transportní vrstva (transport layer) Transportní vrstva je implementována aţ v koncových zařízeních (počítačích) a umoţňuje proto přizpůsobit chování sítě potřebám aplikace. Poskytuje transportní sluţby kontrolovaným spojením spolehlivým protokolem TCP (Transmit Control Protocol) nebo nekontrolovaným spojením nespolehlivým protokolem UDP (Uncontroled Data Protocol). - Aplikační vrstva (application layer) Vrstva aplikací. Jsou to programy (procesy), které vyuţívají přenosu dat po síti ke konkrétním sluţbám pro uţivatele. Příklady: Telnet, FTP, HTTP, DHCP, DNS. Aplikační protokoly pouţívají vţdy jednu ze dvou základních sluţeb transportní vrstvy: TCP nebo UDP, případně obě dvě (např. DNS). Pro rozlišení aplikačních protokolů se pouţívají tzv. porty, coţ jsou domluvená číselná označení aplikací. Kaţdé síťové spojení aplikace je jednoznačně určeno číslem portu a transportním protokolem (a samozřejmě adresou počítače). Vrstvy TCP/IP zajišťující přenos mezi dvěma hostiteli prostřednictvím dvou routerů. (5)

1.3.2. Základní protokoly - IP - Internet Protokol Internet Protocol je základní protokol síťové vrstvy a celého Internetu. Provádí vysílání datagramů na základě síťových IP adres obsaţených v jejich záhlaví. Poskytuje vyšším vrstvám síťovou sluţbu bez spojení. Kaţdý datagram je samostatná datová jednotka, která obsahuje všechny potřebné údaje o adresátovi i odesilateli a pořadovém čísle datagramu ve zprávě. Datagramy putují sítí nezávisle na sobě a pořadí jejich doručení nemusí odpovídat pořadí ve zprávě. Doručení datagramu není zaručeno, spolehlivost musí zajistit vyšší vrstvy (TCP, aplikace). Tento protokol se dále stará o segmentaci a znovu-sestavení datagramů do a z rámců podle protokolu niţší vrstvy (např. ethernet).

12

V současné době je převáţně pouţíván protokol IP verze 4. Je připravena nová verze 6, která řeší nedostatek adres v IPv4, bezpečnostní problémy a vylepšuje další vlastnosti protokolu IP. a) IPv4 - Internet protokol verze 4: •

32 bitové adresy,

•

cca 4 miliardy různých IP adres,

•

dnes nedostačující.

b) IPv6 - Internet protokol verze 6: •

128 bitové adresy,

•

podpora bezpečnosti,

•

podpora pro mobilní zařízení,

•

funkce pro zajištění úrovně sluţeb (QoS - Quality of Service),

•

fragmentace paketů – rozdělování,

•

není zpětně kompatibilní s IPv4,

•

snadnější automatická konfigurace (NDP - Neighbor discovery protocol).

- ARP – Address Resolution Protocol Address Resolution Protocol se pouţívá k nalezení fyzické adresy MAC podle známé IP adresy. Protokol v případě potřeby vyšle datagram s informací o hledané IP adrese a adresuje ho všem stanicím v síti. Uzel s hledanou adresou reaguje odpovědí s vyplněnou svou MAC adresou. Pokud hledaný uzel není ve stejném segmentu, odpoví svou adresou příslušný směrovač. Příbuzný protokol RARP (Reverse Address Resolution Protocol) má za úkol najít IP adresu na základě fyzické adresy. - ICMP - Internet Control Message Protocol Internet Control Message Protocol slouţí k přenosu řídících hlášení, které se týkají chybových stavů a zvláštních okolností při přenosu. Pouţívá se např. v programu ping pro testování dostupnosti počítače, nebo programem traceroute pro sledování cesty paketů k jinému uzlu. - TCP - Transmission Control Protocol Transmission Control Protocol vytváří virtuální okruh mezi koncovými aplikacemi, tedy spolehlivý přenos dat. Vlastnosti protokolu: •

spolehlivá transportní sluţba, doručí adresátovi všechna data bez ztráty a ve správném pořadí,

•

sluţba se spojením, má fáze navázání spojení, přenos dat a ukončení spojení, 13

•

transparentní přenos libovolných dat,

•

plně duplexní spojení, současný obousměrný přenos dat,

•

rozlišování aplikací pomocí portů.

- UDP - User Datagram Protocol User Datagram Protocol poskytuje nespolehlivou transportní sluţbu pro takové aplikace, které nepotřebují spolehlivost, jakou má protokol TCP. Nemá fázi navazování a ukončení spojení a uţ první segment UDP obsahuje aplikační data. UDP je pouţíván aplikacemi jako je DHCP, TFTP, SNMP, DNS a BOOTP. Protokol pouţívá podobně jako TCP čísla portů pro identifikaci aplikačních protokolů. - SCTP - Stream Control Transmission Protocol Spolehlivý protokol pro přenos datagramů ve více proudech. Je vyuţívaný zejména v telekomunikacích. Doplňuje některé vlastnosti, které TCP postrádá: •

multihoming - komunikující uzel můţe mít několik IP adres,

•

členění datového toku na diagramy,

•

pouţívání více proudů dat - omezuje blokování komunikace způsobené chybějícím blokem dat, ke kterému můţe dojít v TCP,

•

výběr a sledování cesty - pokud má primární adresa problémy s dostupností lze pouţívat alternativní,

•

ověřovací a potvrzovací mechanismy - SCTP komplikuje některé útoky směřující k nedostupnosti sluţeb (DoS),

•

zajišťuje ověření opakujících se a chybějících balíků.

Stejně jako TCP a UDP rozlišuje aplikační protokoly pomocí portů. - Další aplikační protokoly (služby): •

DNS – systém doménových jmen,

•

DHCP – dynamické přidělování IP adres,

•

FTP – přenos souborů po síti,

•

TFTP - jednoduchý protokol pro přenos souborů,

•

HTTP – přenos hypertextových dokumentů (WWW),

•

WebDAV – rozšíření HTTP o práci se soubory,

•

IMAP (Internet Message Access Protocol) umoţňuje manipulovat s jednotlivými email zprávami na poštovním serveru,

•

IRC - (Internet Relay Chat) – jednoduchý chat po internetu, 14

•

NNTP (Network News Transfer Protocol) umoţňuje číst a umísťovat do sítě zprávy typu news,

•

NFS (Network File System) – síťový systém souborů, který umoţňuje transparentní sdílení vzdálených souborů, jako by byly lokální,

•

NTLM Autentizační protokol Windows,

•

NTP – synchronizace času (šíření přesného času),

•

POP3 (Post Office Protocol) – protokol pro získání pošty z poštovního serveru,

•

SMB (Server Message Block) - sdílení souborů a tiskáren v sítích windows,

•

SMTP – zasílání elektronické pošty,

•

SNMP (Simple Network Management Protokol) je určen pro správu síťových uzlů,

•

Telnet – protokol virtuálního terminálu,

•

SSH – bezpečný shell,

•

X11 – zobrazování oken grafických programů v Unixových systémech,

•

XMPP – rozšiřitelný protokol pro zasílání zpráv a sledování přítomnosti (protokol Jabber). (4)

1.4. Porovnání TCP/IP a modelu ISO/OSI 1.4.1. Odlišnosti architektur Mezitím co se referenční model ISO/OSI prosazoval do praxe, předstihla ho rodina protokolů TCP/IP. ISO/OSI model byl totiţ původně navrţen jako systém, který bude poskytovat spojované a spolehlivé sluţby. Snaţil se tedy zajistit spolehlivost přenosu aţ do komunikační podsítě (včetně) v důsledku toho musela být poměrně sloţitá, zatímco k ní připojované hostitelské počítače měly mít relativně jednoduchou úlohu. Později se však ukázalo, ţe tímto řešením se zaměstnávají všechny vrstvy modelu. Na druhou stranu TCP/IP vycházela z předpokladu, ţe zajištění spolehlivosti je problémem koncových účastníků komunikace, a mělo by tedy být řešeno aţ na úrovni transportní vrstvy. Nebylo tak třeba řešit spolehlivost, resp. potvrzování a zpětné čekání na odpovědi, a ušetřený čas se mohl vyuţít pro vlastní přenos. Díky tomuto není však protokol TCP/IP tolik spolehlivý jako jeho "rival" ISO/OSI, nicméně poskytuje jednoduchou a rychlou komunikační síť, ke které se připojují hostitelské počítače. (2)

15

Tabulka 1: Rozdíly architektur TCP/IP a Model ISO/OSI Zdroj: internet, dostupné na: http://cs.wikipedia.org/wiki/Síťová_architektura

1.5. Základní topologie 1.5.1. Sběrnice (bus) Sběrnice byla pouţívána v prvních dobách ethernetu a realizovala se pomocí koaxiálního kabelu a BNC konektorů, na konci musel být vţdy terminátor. Všechna zařízení jsou zapojena na společnou sběrnici. V sítích se od této technologie ustoupilo a dnes se pouţívá převáţně zapojení do hvězdy.

Obrázek 3: Topologie sběrnice – bus Zdroj: internet, dostupné na: http://www.samuraj-cz.com/clanek/pocitacove-site-zakladni-topologie/

16

1.5.2. Hvězda (star) Hvězda je dnes nejpouţívanější topologie pro ethernet. Je zde centrální prvek, který realizuje propojení zařízení, a do něj jsou připojena jednotlivá zařízení. Jako centrální prvek slouţí ve většině případů switch, ale z jiného pohledu se můţe jednat i o router. Obdobná je „rozšířená topologie hvězda“, která vznikne, kdyţ několik samostatných hvězd propojíme dohromady přes centrální prvky. V praxi se dnes často pouţívá tří-vrstvá topologie (případně dvou-vrstvá, kdy se jedna vrstva vynechá) vyuţívající propojení do hvězdy. V nejvyšší vrstvě je jeden nebo dva switche (pro redundanci), tzv. jádro (core). Druhá vrstva obsahuje několik switchů připojených do jádra a zvaných distribuční (distributed). Poslední vrstva, připojená do distribuční, je přístupová (access) a do ní se připojují stanice a servery. Některé důleţité servery se mohou připojit přímo do distribuční vrstvy. Zapojení, kdy zdvojíme centrální prvek, se také označuje jako dvojitá hvězda.

Obrázek 4: Topologie hvězda Zdroj: internet, dostupné na: http://www.samuraj-cz.com/clanek/pocitacove-site-zakladni-topologie/

Topologie hvězda se také označuje jako zapojení „hub and spoke“. Není zde pouţit termín hub jako aktivní síťový prvek, ale je to odvozeno od označení pro kolo u vozu, kde máme střed (hub) a paprsky/loukotě (spoke). Tento termín se pouţívá také u routování nebo VPN, kdy hub je centrála/centrální prvek a spoke jsou pobočky.

17

Obrázek 5: Topologie dvojitá hvězda Zdroj: internet, dostupné na: http://www.samuraj-cz.com/clanek/pocitacove-site-zakladni-topologie/

1.5.3. Kruh (ring) V kruhové topologii je kaţdý uzel připojen ke dvěma sousedním a dohromady tvoří kruh. Standardně existuje pouze jedna cesta mezi dvěma uzly. Rozšířením je, ţe komunikace probíhá ve směru i proti směru hodinových ručiček. Pouţívá se pro síťové technologie FDDI (Fiber Distributed Data Interface) a token ring.

Obrázek 6: Topologie kruh Zdroj: internet, dostupné na: http://www.samuraj-cz.com/clanek/pocitacove-site-zakladni-topologie/

1.5.4. Mřížka (mesh) V topologii mesh jsou uzly propojeny s dalšími sousedy. Buď se můţe jednat o „plnou mříţku“ (full mesh), kdy je kaţdý uzel spojený se všemi ostatními, takţe můţe komunikovat 18

s kaţdým přímo a v případě výpadku některé linky můţe jednoduše nalézt cestu. Pří více uzlech se jedná o sloţité a drahé zapojení. Dalším zapojením můţe být tzv. “částečná mříţka“ (partial mesh), kdy jsou některé uzly spojeny nepravidelně s jinými uzly. Logická Full Mesh se pouţívá například pro routování BGP (Border Gateway Protocol) protokolem. Dále se Mesh topologie pouţívá v některých Wi-Fi sítích.

Obrázek 7: Topologie mřížka a částečná mřížka Zdroj: internet, dostupné na: http://www.samuraj-cz.com/clanek/pocitacove-site-zakladni-topologie/

1.6. Aktivní prvky v počítačové síti 1.6.1. Ethernetový hub – rozbočovač Je aktivní prvek počítačové sítě, který umoţňuje její větvení a je základem sítí s hvězdicovou topologií. Chová se jako opakovač. To znamená, ţe veškerá data, která přijdou na jeden z portů (zásuvek), zkopíruje na všechny ostatní porty, bez ohledu na to, kterému portu (počítači a IP adrese) data náleţí. To má za následek, ţe všechny počítače v síti „vidí“ všechna síťová data a u větších sítí to znamená zbytečné přetěţování těch segmentů, kterým data ve skutečnosti nejsou určena. Nástupcem síťových rozbočovačů jsou switche (přepínače), které síťový provoz inteligentně směrují (mají přehled o tom, který počítač je připojený ke kterému portu a data pak odešlou pouze na daný port). Hub pracuje na fyzické vrstvě (1. vrstva) modelu OSI. Některé huby obsahují BNC a/nebo AUI konektory pro připojení 10BASE2 nebo 10BASE5 zařízení do segmentu. V současné době se huby jiţ nevyrábějí a nalezneme je jen ve starších rozvodech, kde je postupně nahrazují switche, které nabízejí vyšší bezpečnost přenášených dat - u hubů mohl vidět jakýkoliv uţivatel sítě veškerou síťovou komunikaci, u switchů to není (tak jednoduše) moţné.

19

Obrázek 8: Ethernetový hub Zdroj: Vlastní fotodokumetace

1.6.2. Switch – přepínač Je aktivní síťový prvek, propojující jednotlivé segmenty sítě. Switch obsahuje větší či menší mnoţství portů (aţ několik stovek), na něţ se připojují síťová zařízení nebo části sítě. Pojem switch se pouţívá pro různá zařízení v celé řadě síťových technologií. Switche dnes často nabízejí i některé pokročilejší funkce, jako například: •

Management - moţnost upravovat nastavení switche pomocí telnetu, ssh nebo webového rozhraní (HTTP).

•

VLAN - podpora virtuálních sítí.

•

SNMP - vzdálená správa zařízení, hlášení určitých stavů a situací apod.

•

POE - Power over Ethernet je napájení po datovém síťovém kabelu, bez nutnosti přivést napájecí napětí k přístroji za switchem dalším samostatným kabelem.

Příklady přístrojů vyuţívajících napájení přes ethernet: •

webové LAN kamery,

•

bezdrátové přístupové body (Wi-Fi access-pointy),

•

IP telefony.

20

Obrázek 9: 12 a 48 portový switch Zdroj: Vlastní fotodokumentace

Obrázek 10: Switche v rozvaděči Zdroj: Vlastní fotodokumentace

1.6.3. Router – směrovač Je v počítačových sítích aktivní síťové zařízení, které procesem zvaným routování přeposílá datagramy směrem k jejich cíli. Routování probíhá na třetí vrstvě referenčního modelu ISO/OSI (síťová vrstva). Jinak řečeno, router spojuje dvě sítě a přenáší mezi nimi data. Router se podstatně liší od switche, který spojuje počítače v místní síti. Rozdílné funkce routerů a switchů si lze představit jako switche coby silnice spojující všechna města ve státě a routery coby hraniční přechody spojující různé země. Routování je většinou spojováno s protokolem IP, ačkoliv se stále pouţívají i jiné, méně populární protokoly. Obecně jako router můţe slouţit jakýkoliv počítač s podporou síťování a pro routování v menších sítích se často dodnes pouţívají běţné osobní počítače, do vysokorychlostních sítí jsou však jako routery pouţívány vysoce účelové počítače obvykle se speciálním hardwarem, optimalizovaným jak pro běţné přeposílání (forwarding) datagramů, tak pro specializované funkce jako šifrování u IPsec tunelů.

21

Obrázek 11: Routery Zdroj: Vlastní fotodokumentace

1.6.4. Repeater – opakovač Je elektronický aktivní síťový prvek, který přijímá zkreslený, zašuměný nebo jinak poškozený signál a opravený, zesílený a správně časovaný ho vysílá dále. Tak je moţné snadno zvýšit dosah média bez ztráty kvality a obsahu signálu. Opakovače patří do první (fyzické) vrstvy referenčního modelu OSI, protoţe pracují přímo s elektrickým signálem.

Obrázek 12: Repeater Zdroj: internet, dostupné na: http://cs.wikipedia.org/wiki/Opakovač

22

1.6.5. Gateway – brána Je v počítačových sítích uzel, který spojuje dvě sítě s odlišnými protokoly. Brána musí vykonávat i funkci routeru (směrovače), a proto ji řadíme v posloupnosti síťových zařízení výše. Brána například přijme z Internetu pomocí webové stránky zprávu, kterou odešle do mobilní GSM sítě v podobě SMS zprávy. Pojem implicitní brána (default gateway) označuje router (směrovač), přes který se stanice dostanou do vnější sítě (tj. obvykle do internetu). Oba významy jsou často nesprávně zaměňovány.

1.6.6. Firewall Je síťové zařízení, které slouţí k řízení a zabezpečování síťového provozu mezi sítěmi s různou úrovní důvěryhodnosti a zabezpečení. Zjednodušeně se dá říct, ţe slouţí jako kontrolní bod, který definuje pravidla pro komunikaci mezi sítěmi, které od sebe odděluje. Tato pravidla historicky vţdy zahrnovala identifikaci zdroje a cíle dat (zdrojovou a cílovou IP adresu) a zdrojový a cílový port, coţ je však pro dnešní firewally uţ poměrně nedostatečné – modernější firewally se opírají přinejmenším o informace o stavu spojení, znalost kontrolovaných protokolů a případně prvky IDS.

Obrázek 13: Firewall Zdroj: Vlastní fotodokumentace

23

2. Analýza stávajícího stavu 2.1. Popis stávajícího stavu V objektech a areálech nově vzniklého holdingu se dnes vyskytuje několik oddělených sítí, tak jak decentralizovaně vznikaly a rostly. Kaţdá z těchto sítí má infrastrukturu vybudovanou nezávisle na druhé. Tyto sítě byly navrhovány a designovány dle standardů pro klasickou LAN infrastrukturu, jejich IT zdroje (databázové a aplikační servery) jsou vţdy umístěny v rámci jedné LAN společně s jejich uţivateli.

Obrázek 14: Schéma LAN infrastruktury Zdroj: Interní dokumentace

2.2. Stávající sítě - Síť „Letiště Praha" (LP) •

Síť LP je v tuto chvíli největším samostatným celkem. Je tvořena 261 kusy převáţně 48 portových aktivních prvků výrobce ENTERASYS a 413 bezdrátovými přístupovými body SYMBOL/MOTOROLA,

•

na síť je připojeno cca 5000 koncových zařízení,

•

je provozována v reţimu L2 s cca 120 konfigurovanými VLANy.

- Síť „České Aerolinie" (CSA) •

Je tvořena 130 aktivními prvky výrobce CISCO a 50 bezdrátovými přístupovými body stejného výrobce,

•

na síť je připojeno cca 1000 koncových zařízení,

•

je provozována v reţimu L3.

- Síť „SITA" •

Síť je určena pro provoz a funkcionalitu „odbavovacích" systémů letiště, 24

•

tvořena 79 aktivními prvky výrobce ENTERASYS,

•

je provozována v reţimu L2.

- Síť „EXT" •

Síť je určena pro provoz a funkcionalitu cca 100 externích subjektů (klientů), které sídlí v prostorách ČAH,

•

tvořena 51 prvky ENTERASYS,

•

je provozována v reţimu L2, převáţně pouze jako distribuční síť.

- „CCTV" •

Síť je určena pro provoz a funkcionalitu bezpečnostních kamerových dohledových systémů letiště,

•

tvořena 72 prvky CISCO,

•

je provozována v reţimu L3.

- Síť „IE" •

Síť je určena pro provoz a funkcionalitu „průmyslového ethernetu".

•

Tvořena 191 prvky HIRSCHMAN,

•

připojuje systémy charakteru EKV, PLC, MAR, dopravníky a další.

2.3. Stávající „Interconnect“ mezi sítěmi Síťovému oddělení IT se jiţ dnes podařilo vybudovat z prostředků sítě LP velmi kvalitní základ pro integrační platformu. Pro potřebné „propojení“ jednotlivých celků je vyuţito tzv. Hight Avaibility prostředí bezpečnostních prvků Juniper NS-5400. Cluster těchto zařízení zajišťuje především řízený přístup z jedné LAN do ostatních především pro servisní protokoly IP vrstvy. Existence tohoto „Interconnectu“ byla základním kamenem k začátku konsolidace některých fundamentálních protokolů a systémů jako je například DHCP, NTP, DNS a další. Dnešní výchozí stav je znázorněn schematicky takto:

25

Obrázek 15: Výchozí stav perimetru a interconnectu, ADAS – Autentizační databázové a aplikační servery Zdroj: Interní dokumentace

2.4. Stávající propojení do externích sítí – „Perimetr“ Připojení do internetu je dnes řešeno pomocí clusteru dvou bezpečnostních zařízení Juniper ISG2000. Hrají roli nejen Firewallu a Intrusion Prevention Systemu (IPS), ale také fungují jako bezpečná brána pro tzv. Vzdálené připojení VPN. Síť ČSA má pro vysokou dostupnost poskytovaných sluţeb směrem k veřejnosti historicky domluven reţim, kdy má svůj vlastní perimetrický modul řešen pomocí prvků Checkpoint. Před ně je předsazen prvek LinkProof (RADWARE) fungující jako ISP balancer mezi jednotlivými konektivitami. Pro IPSec se vyuţívá cluster NS208 od Juniperu.

2.5. Stav HW I přesto, ţe prostředí jednotlivých sítí dává dohromady nehomogenní celek, situace se stavem HW je všude poměrně stejná. Boxy jiţ nejsou pod ţádnou z variant smluvního vztahu s výrobcem (maintenance), některé jsou jiţ i po termínu, kdy se prodej jejich produktové řady ukončil a některé z boxů jsou jiţ dokonce po ohlášení termínu konce jejich HW podpory samotným výrobce. To by mělo za důsledek v případě poruchy takového zařízení, jeho nemoţnost opravy a tudíţ by byla ohroţena dodávka sluţeb a provoz komunikační infrastruktury. 26

2.6. Lidské zdroje V současné době se o veškeré funkce a sluţby komunikační infrastruktury stará tým 6 lidí v následujícím sloţení:

Obrázek 16:Lidské zdroje ČAH – síťové oddělení Zdroj: Interní dokumentace

27

3. Zadání požadovaných parametrů 3.1. Konsolidace – cíle a předpoklady 3.1.1. Od klasické LAN k režimu poskytovatele služeb Nyní stojí IT oddělení před okamţikem, kdy je potřeba zajistit re-design síťové infrastruktury podle nové role. Tou je transformace do řešení, které se blíţí architektuře poskytovatele sluţeb, který má jen jedinou infrastrukturu, jedno distribuované datové centrum ale více uţivatelů sluţeb. Takovéto sítě se řídí jinými pravidly, neţ sítě klasického typu. Klíčovým rozdílem je, ţe se k jejich vyuţívání přistupuje, jako k poskytování sluţby. Odpovídá tomu tzv. model IaaS Infrastruktura jako sluţba. Uţivatele prakticky přestává zajímat, na čem je sluţba poskytována, protoţe nad vlastní infrastrukturou přestávají mít kontrolu. Důleţité pro ně je, aby data z jejich aplikací a naopak, byla přenesena co nejrychleji a nejbezpečněji a samozřejmě nejlevněji do datového centra nebo do externích sítí. Přesně toto je hnací faktor, který nutí přemýšlet o krocích, které přivedou popsanou vstupní situaci do stavu, kdy bude provoz a poskytování sluţeb ekonomické, bezpečné a dostupné. V transportních sítích jsou jinak definovaná pravidla odbavování paketů, neprobíhá jejich hloubková analýza, nenasazují se mechanismy, případně automatizované procesy, jako je tomu v uzavřených sítích firemního charakteru. Jsou tvořeny striktně oddělenou přístupovou vrstvou, jednotným, vysoce propustným páteřním systémem a IT zdroje jsou kumulovány do „plochého“ (klidně i distribuovaného) datového centra.

3.1.2. Cíle konsolidačního procesu - Cíle ekonomické •

Provést konsolidaci s co nejmenší investiční náročností.

•

Zefektivnit ekonomiku provozu a podpory bez dopadu na kvalitu a dostupnost.

•

Eliminovat náklady do technologií a celků, které jsou jiţ morálně zastaralé.

- Cíle provozní •

Sjednocení autorizace uţivatelů a jejich přístupu do sítě.

•

Konsolidovat páteřní i přístupovou vrstvu na co nejmenší počet autonomních sítí.

•

Konsolidací sítí docílit vytvoření vlastních HW zásob pro nezávislou servisní činnost. 28

- Cíle technologické •

Konsolidací sjednotit výrobce aktivních prvků a získat tak homogenní prostředí.

•

Vydělit IT zdroje z jednotlivých LAN sítí a konsolidovat je do jednoho distribuovaného datového centra.

•

Přístup ke zdrojům toho DC řídit a kontrolovat na základě definovaných pravidel na prostředcích modulu „Interconnect".

Obrázek 17: Cílový stav síťového prostředí ČAH Zdroj: Interní dokumentace

3.1.3. Předpoklady pro započetí konsolidace Ještě před konkrétními kroky v rámci konsolidace je nutné definovat a zajistit nutné předpoklady k těmto úkonům. Není moţné vyjmout IT zdroje a umístit je do nového prostředí, aniţ by byly vyřešeny otázky ohledně základních provozních protokolů a systémů, 29

mezi které počítáme: - NTP •

Slouţí jako protokol zajištující synchronizaci času všech aktivních prvků prostředí.

•

V prostředí ČAH je jiţ sluţba centrálně zajišťována.

- DHCP •

Slouţí jako protokol zajišťující dynamické přidělování IP adres zařízením a klientům.

•

V prostředí ČAH je jiţ sluţba centrálně zajišťována.

- DNS •

Jako protokol zajišťující dynamické překládání IP adres na doménová jména.

•

V prostředí ČAH je jiţ sluţba centrálně zajišťována.

- Active Directory •

Adresářová sluţba MS AD je chápána jako jediné místo, kde dochází k ověřování identity uţivatelů i zařízení všech pojmenovaných sítí.

•

Všichni klienti, kteří budou zahrnuti do konsolidace LAN jiţ v prostředí ČAH pouţívají jednotnou MS AD.

Díky existenci „interconnect" modulu, který propojuje samostatné LAN sítě a jiţ proběhlým přípravám na straně klíčových protokolů a systémů je prostředí komunikační infrastruktury ČAH plně připraveno k vlastnímu kroku konsolidace stávajících sítí.

30

4. Návrh provedení 4.1. Konsolidace – rozsah a kroky Konsolidace (z lat. con-, dohromady a solidus, pevný) znamená upevnění, ustálení, urovnání. Ve firmě, kde pracuji, jsme byli v roce 2012 nuceni z rozhodnutí vlády ČR tento projekt uskutečnit.

4.1.1. Dotčené sítě Z pohledu podobnosti skladby koncových zařízení a činnosti uţivatelů budou do konsolidace zahrnuty následující sítě: •

LAN „LP“

•

LAN „CSA“

•

LAN „SITA“

A tímto vytvořit novou, sdílenou komunikační infrastrukturu LAN „ČAH“. Ke zváţení ještě zůstává začlenění LAN „EXT“, nicméně její uţivatelé buď nemají v prostorách ČAH ţádné „IT zdroje“, a síť vyuţívají jen pro propojení PC, transportu do jiných, externích sítí a VPN a také pro připojení k Internetu. Pokud zde nějaké IT zdroje mají, mohou je mít podle potřeby umístěny ve speciálních technologických místnostech serverovnách. Vzhledem k tomu, ţe síť LAN EXT je jiţ vyvedena do datových center, moţné ušetření nákladů, spojené s jejím začleněním do nové LAN ČAH, se nabízí pouze na úrovni konsolidace fyzických přepínačů. Varianta, se kterou zde budu dále pracovat, je bez konsolidace sítě EXT. Je to především z bezpečnostních důvodů, kdy v síti ČAH budou proudit nativní data provozních systémů a oddělením těchto sítí lze předcházet a eliminovat např. případné důsledky konfiguračních chyb, chyb operačních systémů HW apod. V odděleném reţimu, pouze přístupné přes „Interconnect“ a „Perimetr“, zůstanou nadále sítě LAN „IE“, která je tvořena prvky průmyslového Ethernetu a tudíţ konsolidovat nelze, a také síť LAN “CCTV“, která je postavena na prvcích Cisco a její integrace by znamenala obměnu kompletního prostředí aktivních prvků, coţ nekoresponduje s pojmenovanými cíli konsolidace.

31

4.1.2. Oblasti a směr konsolidace Všechny dotčené sítě jsou dnes reprezentovány: •

Poměrně roztříštěným umístěním datových zdrojů.

•

Dedikovanými páteřní boxy.

•

Oddělenou přístupovou vrstvou přepínačů případně bezdrátových přístupových bodů.

Vzhledem k tomu, ţe síť „LP“ je nerozsáhlejší a ţe pomocí perimetru této LAN je jiţ započat proces konsolidace řídících protokolů, bereme v potaz fakt, ţe klíčovou platformou na cestě k LAN „ČAH“ bude právě bývalá LAN „LP“. Z toho vyplývá, ţe ostatní sítě LAN „SITA“ a LAN „ČSA“ převezmou zásadní faktory od sítě „LP“. Jsou to především: •

Architektura (design).

•

Jmenná konvence.

•

IP adresní plán.

•

Transportní systém pracující na L2 vrstvě.

•

Jednotnou platformu výrobce ENTERASYS.

•

AAA (authentication, authorization and accounting) servery a jiné řídící protokoly.

•

Matice rozmístění prvků a IT zdrojů v technologických místnostech

32

Obrázek 18: Dotčené sítě Zdroj: Interní dokumentace

33

4.1.3. Jednotné, distribuované datové centrum V současné době jsou páteřní prvky a IT zdroje zúčastněných sítí umístěny v těchto serverovnách:

Lokalita

LAN "LP"

Technologická

LAN "ČSA"

místnost

Páteř

IT zdroje

Terminál JIH

Bílý dům

X

X

Terminál JIH

Serverovna "DC1"

Terminál SEVER

Serverovna "T1"

Terminál SEVER

Serverovna "DC2"

Terminál SEVER

Serverovna "SO"

Terminál SEVER

Serverovna "T2"

Páteř

IT zdroje

X

X

LAN "SITA" Páteř

IT zdroje

X

X

X

X

X

X

X

X

X X

X

Tabulka 2: Využití technologických místností před konsolidací Zdroj: Vlastní zpracování dokumentace

Sloučením páteřních systémů dojde k reorganizaci umístění jejich boxů v serverovnách. Funkci páteřního systému LAN „SITA“ totálně převezmou boxy LAN „LP“. Zbylé prvky ENTERASYS budou pouţity na náhradu prvků Cisco z původní sítě „ČSA“ a do fondu vlastních HW zásob pro nezávislou servisní činnost nad nově vzniklou jednotnou páteří „ČAH“. Funkci páteřního systému LAN „ČSA“ totálně převezmou prvky ENTERASYS z původní sítě „SITA“ a zbylé prvky Cisco budou pouţity do fondu vlastních HW zásob pro nezávislou servisní činnost nad sítí „CCTV“, kde platforma Cisco zůstává. Těmito posuny bude vytvořena jednotná páteřní síť LAN „ČAH“, která je tvořena prvky jediného výrobce. Technologická místnost Serverovna „DC2“ bude opuštěna a IT zdroje z ní se přesunou do Serverovny T2. Tímto dojde k naplnění dalších cílů konsolidace a to především ke vzniku jednotné, distribuované datové základy pro poskytování sluţeb. Sluţby, které před konsolidací poskytovaly IT zdroje do oddělených sítí, se nyní sdruţí a doplní jiţ existující „Katalog sluţeb“ poskytovaných na takto transparentní infrastruktuře LAN „ČAH“.

34

Lokalita

Technologická

LAN "CAH"

místnost

Páteř

IT zdroje

Terminál JIH

Bílý dům

X

X

Terminál JIH

Serverovna "DC1"

X

X

Terminál SEVER

Serverovna "T1"

X

X

Terminál SEVER

Serverovna "SO"

X

X

Terminál SEVER

Serverovna "T2"

X

X

Tabulka 3: Využití technologických místností po konsolidaci Zdroj: Vlastní zpracování dokumentace

Zbylé prvky Enterasys a Cisco budou tvořit vlastní nezávislou HW bázi, která ve střednědobém horizontu řeší prvotní problém s morální i obchodní zastaralostí provozovaných aktivních prvků.

4.1.4. Sjednocení přístupové vrstvy Započatý proces konsolidace pak musí pokračovat také na úrovni přístupové vrstvy a dle stejného klíče. Základní platformou přístupu je infrastruktura původní LAN „LP“ opět na HW prvcích Enterasys. Přístupové přepínače Enterasys původně zajišťující konektivitu do LAN „SITA“ budou pouţity na doplnění nové infrastruktury „ČAH“, tak, aby vykryly poţadavky na připojení klientů a koncových zařízení, původně patřících do sítí LAN „SITA“ a LAN „ČSA“. Zbylé prvky Enterasys a také přístupové přepínače Cisco, původně z prostředí LAN „ČSA“, budou opět vyuţity pro vytvoření fondu vlastních HW zásob pro nezávislou servisní činnost nad sítěmi „ČAH“ a „CCTV“. Součástí přístupové sítě je také její bezdrátová část. Ta je tvořena přístupovými body výrobce Symbol/Motorola v původní síti „LP“ a dále systémem bezdrátových prvků Cisco fungujících v síti „ČSA“. Pro další poskytování sluţeb je opět vhodné zvolit systém klíčový. Zde se přikloníme opět k řešení, které je v tuto chvíli nasazeno ve větší míře a tím je bezdrátové řešení Symbol/Motorola. Díky centrálnímu řešení AAA je toto moţné provést prakticky okamţitě. Kromě náhrady vyzařovaných SSID sítí dojde také k začlenění poskytovaných sluţeb do jiţ zmiňovaného katalogu sluţeb. Tímto mohou všichni klienti a zařízení vyuţívat nově vzniklé Wi-Fi sítě ČAH.

35

Tímto dojde k naplnění dalších cílů konsolidace a to především ke vzniku jednotného přístupového systému a transparentní infrastruktury LAN „ČAH“.

4.1.5. Vznik bezpečnostní hranice Na jedné straně se nám pomocí konsolidace podaří dosáhnout jednotného datového centra, a na druhé straně sloučíme uţivatele z jednotlivých LAN do jediné přístupové infrastruktury. To s sebou nese také nezbytnost řízení jednotlivých uţivatelů k povoleným IT zdrojům s různou mírou důvěrnosti. Proto je vhodné mezi oba bloky začlenit bezpečnostní hranici a v případě LAN ČAH navrhuji pro tento účel vyuţít stávající „Interconnect řešení“ v podobě clusteru zařízení Juniper NS-5400. Cluster je díky své HW výkonnosti připraven odfiltrovat provoz o kapacitě aţ 12GBps při zapnutých sluţbách jako je firewall a IPS systém. Vzhledem k charakteru provozu a poţadavku některých aplikací, nebudeme pouţívat na této úrovni funkcionality stavového firewallu, ale spíše hloubkové inspekce paketů, která dokáţe rozpoznat a také zachytit útoky nejen klasického, ale také aplikačního charakteru a protokolové a aplikační anomálie stejně jako FW, nicméně to dělá bez omezení funkcionality některých, především multimediálních aplikací. Druhou klíčovou funkcí této hranice je rozdělení jiţ poměrně velké ploché sítě na více tzv. nekolizních domén. Aby toto bylo moţné a různé typy broadcastového (všesměrového) provozu se nešířili neřízeně aţ přímo k IT zdrojům LAN „ČAH“, budeme brát v potaz fakt, ţe „Interconnect“ bude plnit funkci L3 (routované) hranice mezi IP sítí IT zdrojů a IP sítěmi uţivatelů. Na obou stranách tedy bude zachováno L2 prostředí v podobě VLAN a na úrovni clusteru HW boxů Juniper budou tyto sítě mezi sebou routovat a to podle předem definovaných a schválených pravidel. Tímto dojde k naplnění dalšího cíle konsolidace a to především ke vzniku řízeného přístupu jednotlivých uţivatelů ke sdíleným IT zdrojům infrastruktury LAN „ČAH“.

36

Obrázek 19: Výsledná podoba LAN "ČAH" po konsolidaci ¨ Zdroj: Interní dokumentace

37

4.2. Zabezpečení komunikační infrastruktury Návrh, design a volbu konkrétních aktivních prvků a software pro zabezpečení komunikační infrastruktury silně ovlivňuje celková vize a koncepce, a samozřejmě také to, jak ji jako subjekt vnímáme. Důleţitý je také samotný důraz na nastavení a prosazení alespoň základních bodů této koncepce, které si jako subjekt definujeme.

4.2.1. Vznik komunikační infrastruktury – koncepce Následující schéma ukazuje koncepci komplexního zabezpečení komunikační infrastruktury, která je v souladu s vizemi, organizací jako je IDC, Gartner apod.

Obrázek 20: Komunikační infrastruktura Zdroj: Interní dokumentace

Základní kameny koncepce se pohybují v úrovních monitoringu (modré) a také exekuce (červené), přičemţ klíčovou roli hraje jednoznačná identifikace identity, která je propojovacím prvkem mezi kompetencemi síťového oddělení a bezpečnostního oddělení subjektů. Mnohdy bývají role bezpečnostního oddělení kompletně přeneseny do oddělení síťového. Zastřešujícím elementem je systém SIEM (Security Incident and Event Management) který sbírá a indexuje tzv. „strojová data“ z jiných systémů a provádí jejich korelaci a vyhodnocení do formy konsolidovaných událostí a incidentů. 38

Obrázek 21: Systém SIEM Zdroj: Interní dokumentace

4.2.2. Zabezpečení komunikační infrastruktury Na základě výše zmiňované koncepce je moţné vyhodnotit, ţe konsolidovaná infrastruktura „ČAH“ se definovanou formou zabezpečení jiţ od počátku inspiruje a prakticky ji naplňuje jiţ stávajícími SW a HW nástroji. Mapa řešení jednotlivých stavebních kamenů: - Jednotná identita - Řešena pomocí sjednocené MS Active Directory. - SNMP monitoring -

Nasazen systém NAGIOS a pomocí vlastní vizualizace je zde velmi sofistikovaně řešen monitoring potřebných segmentů sítě.

- Flow monitoring -

Řešen pomocí stávajícího SW produktu „ENTOP“ a pomocí funkcionality klíčových HW prvků. 39

- Network Behavior Analysis - Tato oblast není pokryta samostatným SW nástrojem. - Dá se řešit korelací informací z Flow monitoringu a některých nástrojů obsaţených přímo v HW aktivních prvků. Tento způsob je však v porovnání s nasazením dedikovaného profesionálního nástroje velmi časově náročný a neefektivní. - Firewalling - Na úrovni „Perimetr" modulu je řešen clusterem HW prvků Juniper ISG-2000. - Na úrovni „Interconnect" hranice je řešen clusterem HW prvků Juniper NS-5400. - Intrusion Prevension Systém - Na úrovni „Perimetr" modulu je řešen clusterem HW prvků Juniper ISG-2000. - Na úrovni „Interconnect" hranice je řešen clusterem HW prvků Juniper NS-5400. - SIEM - V současné podobě je řešení zajišťováno pomocí produktů N-vision a uvaţováno je o SIEMU od Q1 Labs.

4.3. Směry dalšího rozvoje komunikační infrastruktury V původním, velmi různorodém prostředí oddělených LAN sítí různých dodavatelů a pravidel bylo uvaţování o střednědobých a dlouhodobých systémových obměnách HW, nebo nasazování nových sluţeb či trendů v LAN prostředí, vcelku nereálné. Právě výše navrhovaná podoba konsolidace LAN prostředí sebou nese klíčovou změnu v moţnostech dalšího rozvoje prostředí a sluţeb.

4.3.1. Volba LAN platformy Jak jiţ bylo na začátku dokumentu popsáno, současný HW je z pohledu dalšího bezpečného a ekonomického provozování infrastruktury zastaralý, a to jak z pohledu morálního, tak ale i z pohledu ţivotnosti a podpory ze strany výrobce. Popisované kroky konsolidace sice sjednotí HW platformu na prvky Enterasys a umoţní vznik vlastní HW báze pro servisní činnost, ale z pohledu dlouhodobého je toto řešení nevhodné. Jedním z důvodů jsou rostoucí nároky uţivatelů a IT zdrojů na nasazování nových funkcionalit a protokolů, které umoţňují HW zdroje vyuţívat daleko efektivněji a s menší náročností na správu. Tento efekt je trendový, kdy poţadavky na lidské zdroje nutí spravovat administrátory ve stejném počtu lidí daleko více rozmanitějších HW a SW. Nyní je ten správný moment k rozvaze nad tím, kam celou konsolidovanou infrastrukturu posunout a zvolit její budoucí schopnost reagovat na inovace potřebné k nasazování 40

poţadovaných sluţeb. Na úrovni páteřní sítě skloňují dnešní trendy především slova jako je „Virtualizace“, „vysoká dostupnost“, „MPLS“, „QoS“, „IPv6“ a „Network Admission Control“. Je potřeba se na tyto informace dívat vţdy s přínosem pro konkrétní prostředí LAN, skladbu a poţadavky koncových uţivatelů. - MPLS (Multi Protocol Label Switching) V této souvislosti nejsou MPLS nebo jiné formy směrování v páteři „ČAH“ přínosné. Je to dáno minimálním přínosem k vysoké dostupnosti v topologii, kterou získá konsolidovaná infrastruktura oproti poměrně náročné konfiguraci a údrţbě takovéhoto prostředí. Právě ztráta přínosu vysoké dostupnosti, kterou tato forma provozu nabízí, se jeví případné zatíţení stávajících lidských zdrojů jako neadekvátní. - IPv6 V případě nasazení „nové“ podoby IP adresace je situace v dnešní době velice podobná. V úvodu jsem naznačil, ţe forma infrastruktury se díky konsolidaci přiblíţí více k podobě, která je charakteristická pro poskytovatele sluţeb jako je ISP apod. a právě nasazení IPv6 v takovýchto infrastrukturách je aktuálním tématem. Nicméně, v prostředí LAN „ČAH“ je přínos nasazení tohoto trendu více neţ sporadický. Aby efekt nabyl opravdu klíčových výhod, je potřeba počítat s readresací všech IT zdrojů, tedy i databázových a aplikačních serverů, které například ISP ve své infrastruktuře nabízí k přístupu jen výjimečně, nebo pořád dle pravidel IPv4 a na hranicích síťového HW dochází k překladu IPv6 na protokol standardní. Je to především proto, ţe ne všechny HW a hlavně aplikační produkty jsou na IPv6 v tuto chvíli připraveny a jeho nasazení do prostředí „ČAH“ by mohlo vyvolat disfunkci nebo změnu kvality některých nabízených sluţeb a aplikací. Proto budeme tento trend na úrovni páteře a přístupového systému LAN ignorovat a k jeho nasazení se vrátíme v horizontu 5 let, kdy věřím, ţe dojde ke kompletní obměně páteře a také některých prvků v perimetru sítě a především k připravenosti aplikační části IT prostředí. - QoS Quality of Service není ţádným novým trendem, ale v dnešních sítí hraje klíčovou roli pro nasazování nových, především multimediálních aplikací, jako jsou videokonferenční systémy nebo systémy sjednocené komunikace s podporou videa. Nicméně nasazování QoS v multiplatformním prostředí s sebou nese mnoho potenciálních problémů s kompatibilitou 41

implementace standardů u jednotlivých výrobců. Díky navrhované konsolidace tento aspekt odpadá a implementace QoS je v tuto chvíli v prostředí LAN „ČAH“ moţná. Toto řešení bude realizováno, jelikoţ infrastruktura je výkonově dostačující. Konfigurace QoS mechanismů totiţ neřeší jenom prioritu provozu, ale také pravidla zahazování paketů v případě přetíţení rozhraní. Toto je aspekt bezpečnostního charakteru, který zvyšuje dostupnost kritických sluţeb a ty jsou pak dostupné i v případě zatíţení infrastruktury nechtěným provozem jako je nekontrolovaný DDOS útok, chybovost LAN karet u klientů, ale také provoz generovaný virovou infiltrací sítě apod.

- NAC (Network Access Control) NAC je v různých formách nasazován především v souvislosti s rozmachem mobilních zařízení a trendem nazývaným „Bring Your Own Device“ - BYOD (přines si své zařízení). Tento trend umoţňuje zaměstnancům pracovat na vlastních zařízeních, která jsou mnohdy sofistikovanější neţ koncová zařízení firemního standardu a která pak uţivatel pouţívá i pro vlastní potřeby mimo firemní síť. Tento způsob práce je čím dál častější a dnes je charakteristický pro „typové“ skupiny lidí, jako jsou manaţeři firem, obchodní zástupci apod. NAC řeší kontrolu těchto zařízení nejen z pohledu jejich identifikace a autentizace jejich uţivatelů, ale také jakou formou přistupují do LAN, zda z pevné, bezdrátové nebo VPN sítě a také v jakém čase apod. Jeho úspěšné nasazení nezávisí pouze na HW prvcích LAN, ale především na skladbě a různorodosti operačních systémů klientských zařízení. Z obecných zkušeností vyplívá, ţe právě toto je největším úskalím, které mnohdy převrátí zmiňované bezpečnostní výhody do podoby provozních nevýhody v nestabilitě a náročnosti takovéhoto prostředí z pohledu uţivatelů infrastruktury. Proto toto řešení nebudeme momentálně brát v úvahu. - Virtualizace Nejvíce přínosným trendem současnosti a to právě pro prostředí LAN „ČAH“ bude zřejmě právě virtualizace přepínačů především na páteřní úrovni sítě. Implementace této funkcionality má bezesporu dramatický dopad na propustnost a výkon celé páteře. Klíčovou myšlenkou virtualizace přepínačů je fakt, kdy se několik samostatných boxů logicky chová jako box jediný. Kromě efektivnější správy a nasazování mechanismů třeba jako je QoS, je klíčovým přínosem eliminace protokolu Spanning Tree (STP), který se v prostředí více HW boxů stará o vysokou dostupnost na nich konfigurovaných L2 prostředí. Nevýhodou protokolu STP a jeho mutací a novějších forem je, ţe vţdy nechává jednu redundandní linku 42

mezi boxy nevyuţitou. Díky „virtualizaci“ přepínačů je tato nevýhoda eliminována a pomocí protokolů jako je LACP (Link Aggregation Control Protocol) jsou vţdy vyuţívána všechna propojení mezi boxy. Nasazením tedy ihned zvýšíme propustnost celé páteře skoro na dvojnásobek. Toto je funkcionalita, která je vhodná pro implementaci v prostředí LAN „ČAH“, avšak stávající HW vybavení páteře ji neumoţňuje implementovat.

4.3.2. Varianty modernizace LAN platformy Popsali jsme si zde důvody a cíle řízené modernizace platformy, ale je potřeba navrhnout také její podoby. Nabízí se v současnosti minimálně dvě formy, jak modernizaci nastartovat. Jednou z variant je hromadná výměna páteřních prvků v určitých investičních cyklech, nicméně je to proces náročný na přípravu a především na investiční zatíţení holdingu. Má však i své výhody, jako je implementace nových funkcí, např. virtualizace přepínačů, na celé páteřní infrastruktuře v jeden okamţik apod. Druhým pohledem je postupná modernizace v horizontu několika let. Nákupem například dvojice boxů nové platformy a vhodným umístěním do topologie sítě dojde k efektu tam, kde je v tuto chvíli nejvíce potřebný a s vývojem sluţeb a provozu lze v následujících 2-3 letech provést obměnu kompletního páteřního systému tak, aby vyhovoval poţadavkům dalších 5-7 let. Po této době bude vhodné začít uvaţovat opět o změnách. Zvýšením propustnosti LAN sítě dojde ke zvýšení nároků na HW v modulech Interconnectu a Perimetru LAN, a to jsou další klíčové momenty obměny infrastruktury „ČAH“. Přístupová vrstva většinou prochází neustálou obměnou, tak jak se mění skladba uţivatelů v jednotlivých segmentech LAN. Při zachování podpory zmiňovaných trendových funkcionalit je nákup přístupových prvků průběţný a skoro pravidelný.

43

5. Ekonomické zhodnocení Původní konsolidace předpokládala úplné zrušení distribučního systému lan SITA a lan ČSA a následně vybudování nové lan ČAH. Toto se ovšem ukázalo jako velice finančně náročné. Lan SITA se sice zruší, ale vzhledem ke skutečnosti tj. nedostatku potřebných nových secure stacků nám vznikne potřeba koupě 159 nových kusů (z propočtu potřebných datových portů v rozvodnách). V lan LP (ze které vznikne lan ČAH) se vţdy pouţívaly nejnovější řady přepínačů vendoru Enterasys, tzv. secure stacky a starší modely, které jiţ nevyhovovaly poţadavkům sítě LP byly pouţívány dále pro servisní účely resp. rozšíření zbylých lan EXT a SITA. Vzhledem k jiţ zmiňované veliké finanční náročnosti padlo rozhodnutí investiční akci rozloţit na vícero investičních období a provést výměnu aktivních prvků postupně. To byl také důvod, proč je nyní část Cisco prvků z bývalé lan ČSA překonfigurována a připojeno do páteřní sítě lan CAH a bude se postupně v ročních investičních vlnách modernizovat. Dále jsme předpokládali, ţe konsolidací ušetříme větší finanční prostředky za elektrickou energii. Toto se sice potvrdilo, avšak ne v takové míře, v jaké bychom očekávali. Celkový rozdíl je zanedbatelných, ušetřená měsíční částka zhruba rok od počátku konsolidace je 3176,2Kč. V tabulce v přílohách jsou započítány náklady na klimatizaci rozvoden. Vzhledem k tomu, ţe v rozvodnách nejsou jen zařízení v majetku ČAH, je v tabulce naznačena procentuální spoluúčast z celkové spotřeby v jednotlivých rozvodnách a serverovnách. Pevná cena je 3,5,-Kč za kWh. První tabulka ukazuje stav před konsolidací a druhá tabulka zhruba rok poté. Částka bude později ještě klesat, podle toho jak budou probíhat postupné investiční vlny. (Příloha 1,2)

44

Závěr Cílem mé bakalářské práce bylo popsat konkrétní situaci v konkrétním podniku. Tato práce je jedinečná, ale v obecné rovině můţe slouţit jako částečné vodítko pro architekty datové sítě, kteří se vyskytnou v obdobné situaci. Celý projekt by byl z finančního hlediska velice náročný, proto se přistoupilo k realizaci v ročních investičních krocích. Součástí projektu jsou i tabulky nákladů na spotřebu elektrické energie, aktivních prvků a klimatizací v jednotlivých rozvodnách a to před konsolidací a zhruba rok v samotném průběhu konsolidace.

45

6. Seznam použité literatury 1.

DOUŠA, Jan. Jak vytvořit novou HW infrastrukturu podniku „Konsolidace HW infrastruktury“. Praha, 2011. Diplomová práce. Vysoká škola finanční a správní, o.p.s. v Praze, Fakulta sociálních studií.

2.

HORÁK, Jaroslav a Milan KERŠLÁGER. Počítačové sítě pro začínající správce. Brno: Computer Press, 2011. ISBN 978-80-251-3176-3.

3.

KABELOVÁ, Alena a Libor DOSTÁLEK. Velký průvodce protokoly TCP/IP a systémem DNS. Brno: Computer Press, 2008. ISBN 978-80-251-2236-5.

4.

PETERKA, Jiří: Toulky Internetem, Vogel Publishing, s.r.o. ©2009. ISBN 80-85986-043. Dostupné také z: http:// http://jiri.peterka.cz/knihy.php3

5.

PUŢMANOVÁ, Rita. TCP/IP v kostce. České Budějovice: Kopp, 2004. ISBN 80-7232236-2.

6.

PUŢMANOVÁ, Rita a Pavel ŠMRHA. Propojování sítí s TCP/IP. České Budějovice: Kopp, 1999. ISBN 80-7232-080-7.

7.

SPURNÁ, Ivona. Počítačové sítě: praktická příručka správce sítě. Kralice na Hané: Computer Media, 2010. ISBN 978-80-7402-036-0.

Elektronické dokumenty: 8.

(1)Bouška, Petr. Počítačové sítě a jejich typy [online]. © 2005-2014 [cit. 2014-06-20]. Dostupné z: http://www.samuraj-cz.com/clanek/pocitacove-site-a-jejich-typy

9.

(2)Wikipedie. Síťová architektura [online]. © 2013 [cit. 2014-06-20]. Dostupné z: http://cs.wikipedia.org/wiki/Síťová_architektura

10. (3) http://site.the.cz/index.php?id=4 11. (4)Wikipedie. TPC/IP [online]. © 2014 [cit. 2014-06-20]. Dostupné z: http://cs.wikipedia.org/wiki/TCP/IP

46

7. Seznam obrázků a tabulek Obrázek 1:

Počítačová síť

Obrázek 2:

Referenční model ISO/OSI

Obrázek 3:

Topologie Sběrnice bus

Obrázek 4:

Topologie Hvězda

Obrázek 5:

Topologie Dvojitá Hvězda

Obrázek 6:

Topologie Kruh

Obrázek 7:

Topologie Mříţka

Obrázek 8:

Eternetový hub

Obrázek 9:

Switch 12 a 48 portový

Obrázek 10: Switch v rozvaděči Obrázek 11: Router Obrázek 12: Repeater Obrázek 13: Firewall Obrázek 14: Schéma LAN infrastruktury Obrázek 15: Výchozí stav perimetru a interconnectu Obrázek 16: Lidské zdroje ČAH – síťové oddělení Obrázek 17: Cílový stav síťového prostředí ČAH Obrázek 18: Dotčené sítě Obrázek 19: Výsledná podoba LAN "ČAH" po konsolidaci Obrázek 20

Komunikační infrastruktura

Obrázek 21

Systém SIEM

Tabulka 1:

Rozdíly architektur TCP/IP a Model ISO/OSI

Tabulka 2:

Vyuţití technologických místností před konsolidací

Tabulka 3:

Vyuţití technologických místností po konsolidaci

47

8. Seznam zkratek LAN

- Local area network

MAN

- Metropolitan area network

WAN

- Wide Area Network

VLAN

- Virtual Local Area Network

WLAN

- Wireless Local Area Network

PAN

- Personal area network

IEEE802.11

- Wi-Fi standart pro lokální bezdrátové sítě

CAN

- City area network

CRC

- Cyklický Redundantní Součet

NCP

- Network Control Program

TCP/IP

- Transmission Control Protocol / Internet Protocol

ISO/OSI

-International Standards Organization / Open System Interconnection

ATM

- Asynchronous Transfer Mode

ETHERNET

- název pro souhrn technologií LAN

FDDI

- Fiber distributed data interface

SMDS

- Switched Multi-megabit Data Service

QoS

- Quality of Service

NDP

- Neighbor discovery protocol

IP

- Internet Protokol

ARP

- Address Resolution Protocol

MAC

- Media Access Control

RARP

- Reverse Address Resolution Protocol

ICMP

- Internet Control Message Protocol

TCP

- Transmission Control Protocol

UDP

- User Datagram Protocol

SCTP

- Stream Control Transmission Protocol

DNS

- systém doménových jmen 48

DHCP

- dynamické přidělování IP adres

FTP

- přenos souborů po síti

TFTP

- jednoduchý protokol pro přenos souborů

http

- přenos hypertextových dokumentů (WWW)

WebDAV

- rozšíření HTTP o práci se soubory

IMAP

- Internet Message Access Protocol

IRC

- Internet Relay Chat

NNT

- Network News Transfer Protocol

NFS

- Network File System

NTLM

- Autentizační protokol Windows

NTP

- synchronizace času

POP3

- Post Office Protocol

SMB

- Server Message Block

SMTP

- zasílání elektronické pošty

SNMP

- Simple Network Management Protokol

Telnet

- protokol virtuálního terminálu

SSH

- bezpečný shell

BGP

- Border Gateway Protocol

IPS

- Intrusion Prevention System

AAA

- authentication, authorization and accounting

SIEM

- Security Incident and Event Management

NAC

- Network Acces Control

STP

- Spanning Treee Protokol

LACP

- Link Aggregation Control Protocol

49

9. Přílohy Tabulka 1 stav před konsolidací. Tabulka 2 stav zhruba rok po konsolidaci.

50

Příloha č.1

51

52

53

54

55

Příloha č.2

56

57

58

59