Projekt výstavby datové sítě BIVŠ

Bankovní institut vysoká škola Praha Katedra informatiky

Projekt výstavby datové sítě BIVŠ Diplomová práce

Autor:

Bc. Filip Volavka Informační technologie a management

Vedoucí práce:

Praha

Ing. Vladimír Beneš

Duben 2010

Prohlášení: Prohlašuji, ţe jsem diplomovou práci zpracoval samostatně a s pouţitím uvedené literatury.

V Praze, dne 25.4.2010

Filip Volavka

2

Obsah Úvod .............................................................................................................................................................. 6 1. Topologie sítě BIVŠ, lokální síť centrály .................................................................................................. 7 1.1. Topologie sítě – Zadání ...................................................................................................................... 7 1.2. Serverové vybavení BIVŠ .................................................................................................................. 7 1.3. Přehledné údaje o celé síti .................................................................................................................. 8 1.4. Diagram moţného zapojení sítě centrály ............................................................................................ 9 2. Bezdrátová síť ......................................................................................................................................... 11 2.1. Co je to bezdrátová síť Wi-Fi ........................................................................................................... 11 2.2. Popis ................................................................................................................................................. 11 2.3 Technická specifikace ....................................................................................................................... 11 2.4. Připojení klientů ............................................................................................................................... 12 2.5. Diagram SmartMesh technologie ..................................................................................................... 15 2.6. Měření signálu na lokalitě ................................................................................................................ 16 3. Vzdálené sítě VPN .................................................................................................................................. 18 3.1. Co je to VPN .................................................................................................................................... 18 3.2. Zadání lokalit pro připojení do VPN sítě .......................................................................................... 20 3.3. Vlastní VPN řešení ........................................................................................................................... 21 4. Telefonní síť a IP telefonie ...................................................................................................................... 22 4.1. IP telefonie ....................................................................................................................................... 22 4.2. Cisco IP telefonie ............................................................................................................................ 22 4.3. Konvergovaná síť ............................................................................................................................. 24 4.4. Technické řešení IP telefonie Cisco ................................................................................................. 25 4.5. Diagram vlastní IP telefonie ............................................................................................................. 26 5.Virtualizace .............................................................................................................................................. 27 5.1. Co je to virtualizace .......................................................................................................................... 27 5.2. Virtualizační stoje VMware.............................................................................................................. 27 5.3. Cloud computing .............................................................................................................................. 29 5.4. VMware vSphere .............................................................................................................................. 30 5.5. Řešení virtualizace VMware vSphere vCenter Recovery Manager, varianta A ............................... 31 5.6. Řešení virtualizace VMware ESXi, varianta B ................................................................................ 33 5.7. Řešení virtualizace VMware vSphere High Availability, varianta C ............................................... 35 6. Klientská část .......................................................................................................................................... 36 6.1. Klienti bezdrátové centrály sítě ........................................................................................................ 36 6.2. Klienti metalické sítě centrály a knihovny ....................................................................................... 37 6.3. Klienti VPN sítě ............................................................................................................................... 38 7. Zabezpečení a zálohování........................................................................................................................ 39 7.1. Zabezpečení pomocí opensource produktu Untangle gateway ......................................................... 39 7.2. Vestavěné opensource balíčky: ........................................................................................................ 39 7.3. Placené aplikace ............................................................................................................................... 44 7.4. Bezpečnostní řešení Cyberoam UTM Firewall ................................................................................ 49 7.5. Zálohování ........................................................................................................................................ 51 7.6. NAS řešení – FreeNAS .................................................................................................................... 52 7.7. Podporované síťové protokoly: ........................................................................................................ 53 7.8. Další síťové sluţby ........................................................................................................................... 54 7.9. Správa disku a diskových oddílů ...................................................................................................... 55 7.10. Síťová konektivita .......................................................................................................................... 56 7.11. Monitoring a reporting ................................................................................................................... 57 7.12. Acronis Backup & Recovery 10 ..................................................................................................... 58 Celkové řešení, cenové nabídky a dodací lhůty........................................................................................... 59 Výsledky...................................................................................................................................................... 71 Závěry a doporučení .................................................................................................................................... 71 Závěr........................................................................................................................................................ 73 Seznam pouţité literatury a citací ................................................................................................................ 74

3

Poděkování Velmi rád bych na prvním místě poděkoval svému vedoucímu práce, Ing. Vladimíru Benešovi, především za moţnost výběru tématu své diplomové práce, za zkušené vedení, cenné rady a pomoc při práci. Také bych rád poděkoval svému zaměstnavateli, firmě Megabooks CZ s.r.o. a jejímu vedení, které mi vycházelo vstříc při plnění mých akademických povinností a psaní diplomové práce. Dále bych chtěl poděkovat svým obchodním partnerům a dodavatelům, kteří mi předloţili své nabídky a umoţnili studovat své materiály. A v neposlední řadě bych chtěl poděkovat své mamince, která to se mnou celou dobu vydrţela.

4

Anotace práce Tato diplomová práce si klade za úkol zmapovat technologie a sluţby nutné k vybudování centralizované sítě pro BIVŠ a.s. a navrhnout prostředky, jakými lze docílit efektivní a moderní datové sítě na korporátní úrovni pro velkou organizaci, jakou BIVŠ je. Práce se soustředí na zmapovaní dostupných moderních technologií pro budování podnikové infrastruktury za účelem vytvoření skutečné datové sítě BIVŠ a.s., sítě, která by měla centralizovat veškeré IT zdroje, ulehčit administraci, zvýšit efektivitu práce a dát vedení komplexní přehled o celé síti a všech uţivatelích. Tato práce je postavena na reálných nabídkách a cenových kalkulacích, které je moţné pouţít pro samotnou přestavbu či jako informační materiál, o který se lze opřít v budoucnosti při moţných změnách.

Annotation The aim of this work is to map technology and services necessary for building up a centralized computer network for Banking Institute, College of Banking (BICB) and to suggest the tools that can be used to create and sustain modern and efficient data network on a corporate level. The work will focus on mapping attainable and affordable modern technology for constructing organization infrastructure with the aim of creating a real data network for BICB that could centralize all IT sources, facilitate administration, intensify effectiveness of work and provide the management of BICB with complete information about the whole network and its users. The work is based on real market offers and price quotes that can be used both for immediate real-life reconstruction and as a source of information for possible future changes.

5

Úvod Tato práce se bude zabývat projektem datové sítě BIVŠ, a.s., a to nejen sítě centrály, metalické i bezdrátové, ale také VPN sítí pro veškeré pobočky tak, aby bylo moţné veškeré IT zdroje centralizovat a zefektivnit celkovou správu i kontrolu sítě a všech jejích prostředků.

6

1. Topologie sítě BIVŠ, lokální síť centrály 1.1. Topologie sítě – Zadání Lokalita Nárožní Spoj do internetu – Firewall/VPN

-

Segment LAN

-

Segment WIFI budova

-

Segment WIFI knihovna/studovna

-

Segment DMZ (webserver, exchange web access server)

Lokalita Teplice Spoj do internetu – Firewall/VPN

- segment LAN

Jednotlivé segmenty sítí jsou odděleny VLANy. Aktivní prvky jsou zapojeny do hvězdy.[4]

1.2. Serverové vybavení BIVŠ Výrobce

Model

P/N

Konfigurace

IBM

x206

84823SG

1,5GB 2x80GB SATA RAID1 R2 CZ

IBM

x206

84823SG

1,5GB 2x80GB SATA RAID1 R2 CZ

IBM

x3350

4193K1G

2GB 2x160GB SATA RAID1 W2K3 STD Nárožní R2 EN 32bit ISA

IBM

x3650

7979KPG

IBM

x3550

7978KNG

8GB 4x750GB SATA RAID5 W2K3 STD Nárožní R2 EN 64bit Fileserver/ exchange server 4GB 2x750GB SATA RAID1 W2K3 STD Nárožní R2 EN 64bit SQL

IBM

x226

8488ECY

512MB Linux

Lokalita a funkce W2K3 STD Teplice Fileserver W2K3 STD Teplice ISA

Nárožní Webserver

Zvýrazněné servery lokality Nároţní budou pouţity pro návrh virtualizačních řešení. Údaje pro tabulku [4]

7

1.3. Přehledné údaje o celé síti -

Rozloha centrály v Praze – 6 podlaţí, z nichţ WiFi signálem jsou v oblasti chodeb a téměř všech učeben pokrytá 4 podlaţí, částečně podzemní podlaţí (knihovna a studovna); není pokryté administrativní podlaţí

-

Počet potenciálních klientů bezdrátové sítě je řádově mezi 100 a 200

-

Klienti metalické sítě – 100 uţivatelů + 65 uţivatelů v učebnách

-

Síť BIVŠ je v podstatě pouze logické oddělení a zabezpečení celků jako LAN, WiFi zóna, učebny, DMZ – centrální firewall

-

Pobočky jsou pouze jedno PC a do centrály nejsou ţádnou VPN připojeny, aţ na jednu v Teplicích (konektivita MS ISA server na obou koncích)

-

Programové vybavení – standardní PC je pouze WINXP a MS Office 2003 nebo 2007, pošta Exchange server (pro vzdálené klienty přes web access), ekonomický systém Helios s daty na MS SQL serveru

-

Studentský informační Systém – outsourcing IS od MU Brno [4]

8

1.4. Diagram možného zapojení sítě centrály

Obrázek 1 – Diagram sítě centrály

Diagram znázorňuje zapojení sítě centrály za pomoci konfigurovatelných L3 swtichů, které podle potřeby tvoří VLANy pro konkrétní podsítě – zaměstnanci, učebny, Wi-Fi síť. Dále je na diagramu viditelná virtuální vrstva, kterou tvoří dva servery, v případě budoucí potřeby i více (licence jsou pouze na počet procesorů). Fyzické servery jsou přes gigabitový switch spojené s diskovým polem NAS, na které ukládají veškerá data. Pokud jeden ze serverů přestane odpovídat (zasílat heartbeaty), druhý okamţitě převezme jeho roli. Toto je doporučená varianta a řešení vSphere, která provádí online replikaci dat a po selhání prvního serveru je druhý online se všemi sluţbami a daty v řádu minut. Druhá varianta, bez online replikace, poţaduje zásah administrátora či technika, který ručně z diskového pole vybere zálohu a tu spustí na záloţní systém.

9

Třetí varianta je podobná variantě první s tím rozdílem, ţe namísto dvou fyzických serverů vyuţívá serverů tří a dokáţe díky tomu zajistit High-availability Cluster, který sniţuje downtime pro kritické aplikace.

Redundance L3 switchů. L3 switche jsou zdvojené kvůli redundanci. Kdyby bylo celé řešení pouze na jednom switchi, výpadek či selhání switche by způsobil pád celého virtuálního layeru, protoţe by servery nemohly komunikovat s diskovým polem. Následně by přestaly odpovídat veškeré virtualizované servery, coţ by způsobilo nemalé problémy, především pád doménového kontroléru a serveru Untangle. To by vyvolalo naprostou nefunkčnost celé sítě, včetně VPN klientů či Wi-Fi sítě. Toto citlivé místo je proto ošetřeno zdvojením prvku. Nebezpečí selhání obou switchů najednou lze vyjádřit číslem blízkým nule. Dále je na diagramu vidět Wi-Fi síť, kterou tvoří jeden Access Point na kaţdé podlaţí. Kaţdý z Access Pointů podporuje standard 802.11n a dokáţe komunikovat aţ 300Mbit/s rychlostí. Vybrané řešení je od společnosti Ruckus, která dodává Access Pointy se speciální technologií Beamflex. Tato technologie dokáţe směrovat signál ke konkrétním klientům tak, aby ho maximálně vyuţili. Uvedená technologie také dokáţe překrývat ruchy z okolí či sousedních Wi-Fi sítí. Všechny Acces Pointy jsou spravované přes centrální prvek Ruckus ZoneDirector, který rozhoduje co bude v danou chvíli kaţdý Access Point dělat, stará se o plynulý přechod klientů od signálu jednoho Access Pointu k druhému tak, aby uţivatel ani nezaznamenal výpadek signálu, konfiguruje celou Wi-Fi síť a v neposlední řadě dává celé sítí jednotnost tím, ţe se navenek tváří jako jeden výkonný Access Point, čímţ ulehčuje přechody uţivatelů. Dále je na diagramu zobrazen Cisco Router 2811s IOS Firewallem, který slouţí jako první router a firewall. Díky své robustnosti a výkonu můţe navíc fungovat jako centrální VPN prvek, který bude sjednocovat veškeré vzdálené lokality do jedné konfigurovatelné a spravovatelné sítě, například pomocí virtualizovaného gateway systému Untangle.

10

2. Bezdrátová síť 2.1. Co je to bezdrátová síť Wi-Fi Wi-Fi neboli IEEE 802.11 je standard vytvořený IEEE (Institute of Electrical and Electronics Engineers) pro bezdrátovou síťovou komunikaci. Tento standard má více podmnoţin, jakými jsou IEEE 802.11/a/b/g/n. Uvedený standard byl původně postaven na IEEE 802.11 zainteresovanými telekomunikačními společnostmi (například Cisco či 3com), které se na tomto dohodly a vytvořily alianci pro spolupráci a rozšiřování standardu WECA (Wireless Ethernet Compatibility Alliance). WECA byla v roce 2000 přestrukturována a přejmenována na Wi-Fi Alliance a dnes se povaţuje za certifikační autoritu pro produkty standardu IEEE 802.11/a/b/g/n.

2.2. Popis IEEE 802.11 čili Wi-Fi zkratka vycházející z anglického Wireless Fidelity LAN. Wi-Fi tvoří vysílače Access Pointy a klientská zařízení podporující stejný standard, jako jsou notebooky, MDA, netbooky či IP telefony. Wi-Fi má několik standardů IEEE 802.11b a jeho nástupce IEEE 802.11g tyto standardy pracují na volném pásmu 2,4GHz. Standard 802.11a pracuje na pásmu 5GHz a 802.11n umí pracovat jak na 5Ghz tak na 2,4GHz.

2.3. Technická specifikace Standard IEEE 802.11a vydaný IEEE v roce 1999 pracuje na pásmu 5GHz. Jeho teoretická maximální přenosová rychlost je 54Mbit/s. Tento standard díky své specifikaci dosahuje lepšího a stabilnějšího signálu. Pásmo, na kterém vysílá, je vhodné na venkovní pouţití a pro pouţití na delší vzdálenosti, například bezdrátové mosty mezi budovami. Standard IEEE 802.11b vydaný IEEE v roce 1999 pracuje na pásmu 2,4GHz. Jeho teoretická rychlost dosahuje jen 11Mbit/s, a proto se dnes jiţ vlastně nehodí a je vytlačován svým nástupcem, standardem IEEE 802.11g. Výhodou IEEE 802.11b je jeho

11

kompatibilita. Většina zařízení standardu IEEE 802.11g je zpětně kompatibilní s IEEE 802.11b. Stávající struktura access pontů IEEE 802.11b se dnes dá vyuţít na bezdrátové sluţby pro IP telefony místo datové sítě, na které je jiţ zbytečně pomalá. Standard IEEE 802.11g, nástupce IEEE 802.11b, je dnes nejrozšířenější. Tento standard byl vydán IEEE v roce 2003. Operuje na pásmu 2,4GHz a jeho teoretická maximální přenosová rychlost je podporován,

ovšem

54Mbit/s. Tento standard je sice v současnosti nejšířeji jeho

rychlost

absolutně

nedostačuje

potřebám

dnešních

bezdrátových sítí. Standard IEEE 802.11n je nejmodernějších ze všech zatím jmenovaných standardů. Byl vydán IEEE v roce 2009. Je schopný operovat jak na pásmu 2,4Ghz tak na 5GHz. Teoretická rychlost tohoto standardu dosahuje aţ 600Mbit/s, coţ je šestkrát více, neţ je maximální teoretická rychlost klasické metalické sítě postavené na kabeláţi Cat5e a aktivních prvcích podporujících pouze 100Mbit/s. Těchto výborných vlastností standard dosahuje díky upravené linkové vrstvě. Celé zrychlení je zaloţené na pouţití více rádií a více kanálů postavených na fyzické vrstvě Multiple-input multiple-output (MIMO). Tato technologie, aby zvýšila výslednou rychlost, pouţívá více vysílacích a přijímacích antén. Konfigurace antén technologie MIMO mohou být 4x4, 3x3 a 2x2, označované jako 802.11n Draft 2.0. Dnes nejvíce komerčně pouţívaná řešení vyuţívajících MIMO dosahují teoretických rychlostí aţ 300Mbit/s.

2.4. Připojení klientů Bezdrátová sít bude provedena technologií ZoneFlex společnosti Ruckus Wireless ZoneFlex 7300 series. Jedná se o chytrý Access Point s vysokým výkonem a patentovanou technologií BeamFlex, která dokáţe díky speciální anténě vysílat tak, aby pokryla dostatečným signálem všechny klienty. Zařízení za pomoci chytré antény dokáţe ladit signál na jednotlivého, dokonce i pohybujícího se klienta bezdrátové sítě.

12

Současně Ruckus ZoneFlex 7300 series, podává vysoký výkon a zajišťuje vysokou spolehlivost bezdrátových sítí na standardu 802.11n, čili aţ 300Mbit sítě. Na rozdíl od ostatních bezdrátových řešení na standardu 802.11n, ZoneFlex kombinuje patentovaný systém dynamického vysílání signálu a automatického vyrovnávání a překryv interferencí tak, aby podával trvalý zisk výkonu 4dBi na delší vzdálenosti a 10dBi odstup od šumu. Řešení ZoneFlex dodává zvýšení výkonu od 2 do 4dBi v celé šířce vysílaného pásma a sníţení chybně přenesených paketů. Sniţuje tak rapidně počet nutných AP pro pokrytí dané lokality. Zaručuje tudíţ spolehlivou Wi-Fi síť, na kterou se dají navázat IP tel. prostředky, notebooky, PDA/MDA přístroje a další bezdrátová zařízení. Kaţdé AP integruje patentovanou technologii BeamFlex a softwarové kontrolované pole vysokovýkonných antén. Ty kontinuálně sondují a měří, který klient má komunikovat s kterým AP tak, aby byla síť co nejlépe vytíţená, aby byl nejlépe pokryt definovaný prostor a zaručená bezchybná sluţba pro klienty. Protoţe ZoneFlex automaticky přizpůsobuje signál prostředí i jeho změnám, jednou implementované řešení se dokáţe přizpůsobit velkým změnám na kaţdém podlaţí. Při organizačních změnách a stěhováních tedy není třeba provádět site surveys, čtení logů, testovaní signálu, měnění kanálů a vysílacího výkonu. Malé rozměry AP byly speciálně vytvořené, aby byla moţná jednoduchá integrace do jiţ vybaveného prostředí. Díky jejich váze je moţné je umístit například na podhledy nebo pod ně, či prostě na strop. Variabilitu umístění rozšiřuje i široká škála barev. ZoneFlex je ideální varianta pro velkou organizaci, jako jsou velké úřady, podniky, hotely nebo právě vysoká škola, která potřebuje vytvořit prostředí hotspotů. ZoneFlex 7300 dostupný ve verzích single i dual bandu můţe být pouţit jako obyčejný Access Point a nebo jako část centrálně kontrolované smart WLAN, která byla jiţ představena na začátku této práce. S pouţitím Ruckus ZoneDirectoru a konfigurací smart WLAN lze nastavit všechny pouţité AP ve všech patrech tak, aby se tvářily jako

13

jedno jediné AP, které pokrývá celý objekt. Dále je toto řešení schopno fungovat v SmartMesh módu, kterým se budu zabývat v následující části. SmartMesh Klasické zapojení WLAN sítě vlastně není vůbec bezdrátové. Jednotlivé Access Pointy jsou závislé na metalické síti, přes kterou vedou svojí konektivitu. Toto řešení nemusí být ve všech podmínkách naprosto ideální. Vytvoření strukturované kabeláţe je velice nákladné, časově náročné a v určitých podmínkách i nemoţné. Proto vznikla technologie SmartMesh. SmartMesh je sítová technologie sniţující náklady na plánovaní strukturované kabeláţe, protoţe Access Pointy podporující tuto technologii nepotřebují pro šíření Wi-Fi signálu ethernetovou kabeláţ. Celé řešení SmartMesh je postavené na jednom centrálním Access Pointu, který je připojený do LAN sítě klasickým ethernetem za vyuţití strukturované kabeláţe. Ovšem, ostatní Access Pointy podporující SmartMesh se pouze připojí do elektrické sítě a datové toky se uskutečňují bezdrátově pomocí centrálního Access Pointu, na který se připojí a jehoţ signál potom síří dále. Řešení samozřejmě podporuje Standard 802.3af Power Over Ethernet (PoE), díky kterému je centrální Access Point limitován jen ethernetovou kabeláţí a nepotřebuje k svému chodu elektrickou síť– napájení je vedeno po ethernetu. Výhody řešení Ruckus ZoneFlex 7300 s ZoneDirector Ruckus ZoneFlex 7300 s ZoneDirector je nejlepší ve své třídě při srovnání nákladyvýkon. Je to jeden z nejlevnějších dualbandových accesspointů, jehoţ rozšířený dosah si vyţádá méně Access Pointů. Technologie Beamflex dokáţe podat aţ čtyřnásobné zvýšení signálu, čímţ zmenšuje počet nutných Access Pointů pro obsluhu dané oblasti. Patentovaná technologie chytrých antén, formovaní signálu a Quality of Service dohromady napomáhá sníţení interferencí a ztrátě paketů. V neposlední řadě je díky USB portu moţné připojit 3G modem, CDMA modem či jiné zařízení pro bezdrátové připojení k internetu a šířit tak internet rovnou z Access Pointu. Toto řešení je vhodné například pro výstavy či konference a jiné mobilní akce.

14

2.5. Diagram SmartMesh technologie

Obrázek 2 – Diagram SmartMesh

15

2.6. Měření signálu na lokalitě Pokrytí signálu prvního AP MAC:00.4f.62.12.bc.73

Obrázek 3 – Měření na lokalitě

Pokrytí signálu druhého AP MAC:00.4f.62.12.bc.87

Obrázek 4 – Měření na lokalitě

16

Celkové pokrytí obou AP na patro

Obrázek 5 – Měření na lokalitě

Průniky z ostatních podlaží

Obrázek 6 – Měření na lokalitě

17

Testovací pokrytí zařízením Ruckus ZoneFlex 7300

Obrázek 7 – Měření na lokalitě

Legenda k pokrytí

3. Vzdálené sítě VPN 3.1. Co je to VPN Zkratka VPN znamená Virtual Private Network, v překladu znamená virtuální privátní síť. Sítě VPN se dají kategorizovat podle několika kritérií. První z nich je to, zda je síť VPN hostovaná či privátní. Hostované VPN sítě jsou sítě, které zřizuje provider/dodavatel internetové konektivity pro svého zákazníka za pomoci svých partnerů a subdodavatelů tak, ţe je schopen sjednotit a centralizovat připojení klientových poboček v různých lokalitách či mezinárodně. Zabezpečení VPN se provádí šifrováním. Dnešní standard šifrování VPN je 256bitově šifrované rozhraní ipsec. VPN umoţňuje centralizaci, díky které zákazník vidí všechny své vzdálené pobočky jako klienty lokální sítě LAN a je tak schopen jim poskytovat všechny sluţby jako

18

klientům, kteří se fyzicky na LAN nacházejí. Jediné, co je pro architekturu sdílení sluţeb LAN pro VPN omezující, je rychlost VPN linek, které si nechá klient zřídit. Mimo datových sluţeb sítě LAN je velká výhoda hostované sítě VPN oproti nehostované v hlasových sluţbách, jinak zvaných IP telefonie. Jde o hlasové sluţby přenášené po datové síti a protokolu IP, které jsou zakončené buď fyzickým klientem, který připomíná klasický telefon se sluchátkem, nebo SW telefonem instalovaným v klientově PC či notebooku. Zásadní přednost hostované VPN spočívá kvalitě IP telefonie a jejich sluţeb, které jsou velmi citlivé na packet marking, tzn. označování pořadí paketů, které je pro IP tel. prakticky fatální. V hostované VPN síti je provider schopen, a to i za předpokladu, ţe sám nedosáhne vlastními linkami do všech zákazníkem určených lokalit, zaručit díky svým subdodavatelům a partnerům jednotnost sítě a značkování paketů společně s Quality of Services (QoS) tak, aby se celá síť chovala jednotně. Pokud tedy bude odeslána dávka paketů z lokality v Teplicích a Bratislavě do centrály v Praze, obě dojdou přesně ve stejně značeném pořadí v jakém byly odeslány. To v konfiguraci s QoS zaručuje maximální kvalitu IP tel. sluţeb. V praxi to znamená, ţe všechny pobočky se mezi sebou volají zcela zdarma a do veřejné telefonní sítě pouţívají centrální telefonní rozhraní nastavené na centrále, pomocí kterého se dají lépe sledovat náklady na hlasové sluţby. Takto konfigurovaná síť se dá ovšem mimo IP tel. pouţít i na další datově citlivé sluţby jako je například streamovaní multimedií s podporou QoS. Neposlední výhodou takto konfigurované sítě je fakt, ţe klienti VPN jsou limitováni jen rychlosti svých připojení a veškeré sluţby i nastavení sdílí s centrálou, coţ znamená i filtraci webu. Klienti takto nastavené VPN se nejdříve tunelují zabezpečeným kanálem do centrály, kde jim jsou teprve povoleny konkrétní sluţby internetu či filtrační pravidla. Nehostované VPN sítě nebo také vlastní VPN jsou sítě, které si zákazník zřídí sám za pomocí hardwaru či softwaru a připojení k síti internet, kde vytvoří zabezpečený šifrovaný kanál. Tato varianta se pouţívá spíše u menších společností případně u společností, které nechtějí svojí bezpečnost svěřit třetím stranám, či za podmínky, ţe je méně klientů VPN nebo za předpokladu, ţe je třeba spojit pouze dva vzdálené body 19

infrastruktury připojené k internetu. Toto řešení se také pouţívá pro zabezpečené připojení servisování a správy sítí, sluţeb a podpory. V malém rozsahu je toto řešení podstatně levnější a nabízí zákazníkovi plný a okamţitý přístup ke konfiguraci. Ve velkém měřítku se však nevyplácí, jelikoţ provideři dnes zákazníkům pronajímají jinak poměrně drahý hardware a licenci na software za symbolické ceny. Nehostované VPN navíc díky připojení přes internet a ne konfigurovanou WAN nepodporuje markovaní paketů a QoS. Díky tomu nemusí podporovat sluţby IP tel. v plné či poţadované kvalitě. Vzdálené sítě nebo také rozlehlé sítě, jinak označované jako WAN. V dnešní době se dá říci ţe nejznámější sítí WAN je internet. V našem případně lze ale sítě WAN poskytovatelů internetového připojení pouţít pro naši síť VPN.

3.2. Zadání lokalit pro připojení do VPN sítě Středisko

Adresa Nároţní 9, 155 00 Praha 5

Praha

Počet Služby zaměstnanců (jen počty studentů) 106

1638

2

253

1

156

1

107

1

98

1

136

Ulice 28. října 26/851 415 01 Teplice Teplice Lidická 40 360 20 Karlovy Vary Karlovy Vary Karla Čapka 402 397 01 Písek Písek Ulice 17. listopadu 1a 690 02 Břeclav Břeclav Horní náměstí 15 466 79 Jablonec nad Nisou Jablonec n. Nisou

Tabulka 1 – VPN síť

Údaje do tabulky [1]

20

3.3. Vlastní VPN řešení Diagram vlastního řešení VPN sítě

Obrázek 8 – Diagram VPN

Na digramu jsou vidět všechny české pobočky BIVŠ, a.s. připojené pomocí routerů Cisco 871, případně 871W s Wi-Fi, pokud je na lokalitě potřeba bezdrátového připojení. Router Cisco 871/W obstarává zabezpečený IP sec tunel přes klasické připojení lokálního providera internetových sluţeb k centrále, kde hlavní router Cisco 2811 zpracovává IP sec tunely jednotlivých VPN a propouští je do lokální sítě přes switch jako jednotlivé VLANy. Kaţdá vzdálená pobočka připojená přes VPN bude mít tedy vlastní na centrále spravovaný VLAN.

21

4. Telefonní síť a IP telefonie 4.1. IP telefonie IP telefonie je telefonní řešení vytvořené za pomocí sítě, která operuje na protokolu IP a pouţívá na rozdíl od klasických telefonů IP telefony. Ty se liší od klasického telefonu hned v několika směrech. Základ fungování IP telefonů je zřejmý jiţ z jejich názvu: IP telefony pouţívají Internet Protocol. IP telefon můţe být jak HW zařízení tak SW produkt. Klasický HW IP telefon se většinou připojuje na ethernetovou síť konektorem RJ45 a tím se liší od svého předchůdce analogového či digitálního telefonu, připojovaného pomoci RJ11/12 konektoru, který je prakticky poloviční. IP telefon je tedy zařízení, které vyuţívá ethernetové LAN sítě popřípadě Wi-Fi WLAN sítě, po níţ komunikuje s přidělenou IP adresou, s komunikačním serverem, či komunikační bránou. Komunikační server bývá většinou SW řešení nasazené na serverovém hardwaru, případně můţe být rovnou virtualizované. Komunikační IP brána či IP gateway je ucelené řešení hardwaru a softwaru.

4.2. Cisco IP telefonie Základním prvkem celého řešení IP telefonie od společnosti Cisco je Unified Call Manager Express, který tvoří hlasová gateway. Ta zastává funkci pobočkové ústředny a signalizačního uzlu. Unified Call Manager Express poskytuje zpracování hovorů pro IP telefony Cisco. Toto řešení je ideální jak pro lokální telefony centrály tak především pro vzdálené pobočky, které volají mezi sebou i centrálou zdarma. Centrála má navíc náklady na volání všech poboček pod drobnohledem.

22

Unified Call Manager Express umoţňuje pouţití velkého počtu zařízení Cisco sluţeb pro IP telefonii. Sluţeb, které zpřístupní nejen hlasové, ale i video hovory na vysoké úrovni. Unified Call Manager Express registruje Cisco IP telefony do centrální telefonie, spravuje číselný plán, spravuje hovory.

Pokud jsou na Unified Call Manager Express připojena zařízení Cisco, chovají se jen jako klienti, kteří veškeré nastavení dostanou od serveru. Zjednodušeně řečeno je to jistá obdoba s DHCP serverem, který také dynamicky konfiguruje své klienty. Unified Call Manager Express tedy podle definovaných specifikací konfiguruje koncové zařízení Cisco, přiděluje jim čísla, sleduje hovory vytváří logy. Unified Call Manager Express zvládá všechny funkce klasické telefonní ústředny a navíc rozšířené funkce.

Extension Mobility je jedna z pokročilých funkcí Unified Call Manager Express. Jiţ podle názvu dává vědět, ţe jde o řešení mobility a přesunu uţivatelů. Díky této funkci se můţe kterýkoliv uţivatel zalogovat na jakémkoliv Cisco IP telefonu a rázem získává veškeré svoje nastavení včetně čísla své linky. Pokročilou funkcí je integrace s Microsoft Outlookem, díky které si můţe uţivatel ukládat volaná čísla v Outlooku, či opačně můţe z Outlooku rovnou volat. Při příchozích hovorech se známá čísla identifikují podle adresáře kontaktů Outlooku.

Parkovaní hovorů je pak další pokročilá funkce Unified Call Manager Express. Tato funkce umoţňuje jednoduché zaparkovaní hovoru na jednom IP telefonu a vyzvednutí na jiném, třeba ve stovky kilometrů vzdálené lokalitě. Sigle Number Reach je velmi uţitečná funkce pro managery a uţivatele, kteří se často přemísťují. Díky této funkci dokáţe Unified Call Manager Express zařídit, ţe hovor směrovaný na IP telefon zároveň zvoní i na klasické pevné lince, kterou má uţivatel doma, či na jedno mobilu. Hovor je následně přepojen na zařízení, které odpoví jako první.

Další výbornou pokročilou funkcí je přepínání hovorů v rámci určité organizační jednotky jako je například divize či v našem případě katedra. Unified Call Manager Express přepojí hovor klasicky na dotázaný IP telefon, pokud ten hovor v určitém

23

časovém intervalu nebere, přepojí ho v rámci určité skupiny na další a pokud ten hovor nebere, opět na další. Takto se hovor můţe točit v kruhu podle určité konfigurace jednou či vícekrát, případně, podle jiné konfigurace, pokud hovor dojde aţ na posledního účastníka organizační jednotky a ten ho nevezme, sám se ukončí.

Unified Call Manager Express umí mimo klasických HW IP telefonů pracovat i s oblíbeným Cisco SW telefonem, který stačí nainstalovat na uţivatelské PC či notebook. Pokud je uţivatel mobilní a je s notebookem mimo lokalitu, stačí aby se jakkoliv připojil k internetu, například přes Hotspot na letišti, poté uskutečnil VPN připojení k centrální síti a následně jiţ můţe spustit svůj SW Cisco telefon, který má instalovaný. Po zalogování má přístupné veškeré pokročilé funkce Unified Call Manager Express a můţe uskutečňovat hovory jak do IP tel. sítě organizace tak hovory do běţné telefonní sítě pomocí Unified Call Manager Express.

4.3. Konvergovaná síť Konvergence je velký trend a v budoucnu se budeme čím dále setkávat jen s konvergovanými sítěmi. V dnešní době jiţ není ekonomické pro organizace a podniky vytvářet nezávislé sítě pro data, hlas či obraz. Všechny tyto sluţby dokáţe pojmout jedna jediná konvergovaná síť a podstatně tak sníţit náklad na strukturovanou kabeláţ.

Samozřejmě, ţe se jednotlivé sluţby konvergované sítě liší: svou náročností na šířku pásma, odezvy, ztrátovost paketů. Například hlasové a video sluţby vyţadují minimální ztrátovost a velmi krátkou dobu odezvy s minimálním zpoţděním, ovšem nevyţadují takovou šířku pásma, jako data, kterým naopak nevadí kolísaní či drobné výpadky.

Ţivotně důleţitým prvkem konvergované sítě je moţnost konfigurace Quality of Service QoS), která po správné konfigurace rozhoduje o upřednostnění sluţeb a klientů.

24

Základem kaţdé konvergované sítě je konfigurace všech prvků, jako jsou např. switche a na nich pro konkrétní sluţbu vytvořené VLAN, v síti tak, aby správně podporovaly QoS a konfigurace QoS na routeru.

Je nutné důsledně dodrţet implementaci QoS pro celou síť tak, aby jak hlasové tak datové sluţby neomezovaly jedna druhou a byly pro uţivatele skutečně přínosem. Připojení analogových zařízení do konvergované sítě proběhne Adaptérem Cisco ATA 186, který je přidán do gateway a zpřístupňuje klasickým analogovým zařízením jako jsou faxmodemy nebo faxy připojení komunikaci.

4.4. Technické řešení IP telefonie Cisco Kaţdá pobočka bude v tomto řešení připojena dvěma VLANy. První VLAN povede pouze data, druhá VLAN bude určená pouze pro hlasové sluţby a také tak upřednostňována pomocí Quality of Service pro přednost před daty. Kaţdý koncový bod, přes který bude pobočka připojena, bude mít implementované nastavení Quality of Service tak, aby bylo shodné s centrálním a podporovalo správně hlasové i datové sluţby. Toto řešení stojí a padá na markovaní paketů. Pro hlasové sluţby je nezbytně nutné, aby pakety přišly ve stejném pořadí, jako byly odeslány. V rámci LAN sítě toto není problém, ovšem v rámci VPN sítě, která je zaloţena na více operátorech to problém můţe být. Operátoři se většinou nedokáţou dohodnout a někdy záměrně mění pořadí, proto nemusí být hovor vţdy perfektní a mohou v něm být výpadky či sníţená kvalita hlasu. Tomuto lze velice lehce předejít uzavřením smlouvy s jedním datovým operátorem, který se zaváţe, ţe pokud vzdálená pobočka odešle pakety v určitém pořadí, centrála je ve stejném pořadí příjme.

25

4.5. Diagram vlastní IP telefonie

Obrázek 9 – Diagram IP tel.

26

5.Virtualizace 5.1. Co je to virtualizace Virtualizací se v tomto smyslu označují virtualizované platformy a operační systémy, které nejsou nasazené přímo na „ţelezo“ serveru. Ovšem mezi virtualizovaným operačním systémem a fyzickým serverem se nachází virtualizační vrstva. Na této vrstvě jsou teprve nainstalované konkrétní systémy ať MS Windows, MS Windows server 2003/2008 či operační systémy Unix a Linux. Virtualizační vrstva zprostředkovává spojení kaţdého operačního systému se systémovými prostředky fyzického serveru, poskytuje přístup k diskům, síťovým kartám, procesorům multimediálním zařízením, operační paměti.

Virtualizace dokáţe konsolidovat operační systémy a tím šetří čas na jejich správu a zálohovaní. Omezuje náklady vydané na další nutný HW, díky rozloţení více systémů na jednom serveru šetří energie a vyuţívá servery velice efektivně.

Existuje mnoho virtualizačních systémů. Jedním z příkladů můţe být Xen. Xen je virtualizační stroj navrţený pro architektury x86 a 64, procesory Itantium a PowerPC. Díky Xenu se můţe na jeden fyzický server nainstalovat více operačních systémů – jejich počet je závislý jen na výkonu serveru. Xen byl vyvinut na University of Cambridge a jedním z jeho hlavních rysů je, ţe se jedná o volný virtualizační stroj postavený na licenci GNU General Public License.

5.2. Virtualizační stoje VMware Další variantou virtualizačního stroje je komerční VMware ESXi, který stejně jako XEN pracuje jako „bare metal“ virtualizace, coţ znamená ţe dokáţe pracovat prakticky na úrovni HW daného serveru. VMware ESXi, stejně jako XEN, funguje na linuxovém základu. Díky tomu váţe jen prostředky, které jsou nezbytné k chodu virtualizačního stroje. VMware ESXi je tedy

27

přímo na HW serveru instalovaný SW, který vytváří speciální virtualizační vrstvu, díky které můţe na fyzickém serveru existovat více replikovatelných virtuálních strojů a kaţdý z nich má přístup k biosu, diskům, procesorům, paměti, síťovým kartám, multimediálním adaptérům. Nainstalovaný operační systém se poté tváří podle dané konfigurace ESXi a je plně přenositelný. Takto virtualizovaný systém je naprosto nerozeznatelný od systému instalovaného přímo na server bez virtualizační vrstvy. Veškeré funkcionality a aplikace nerozpoznávají změnu mezi virtualizovaným a nevirtualizovaným strojem. VMware tak garantuje plnou funkčnost a identičnost aplikací. To znamená, ţe virtualizované prostředí nijak neovlivňuje standardní funkce například MS Windows 2003 serveru či MS SQL serveru, instalované či přenesené systémy nepoznají ţádný rozdíl. Virtualizační řešení ESXi podporuje také přenositelnost systémů. ESXi nabízí klasické instalace jak z média tak z vytvořeného nebo dodaného image systému. Mimo klasické instalace nového systému nabízí toto řešení velmi uţitečnou funkci přenosu stávajících systémů, které jsou instalované přímo na server. Přenos lze uskutečnit „on the fly“, takzvaně za letu, kdy je zdrojový fyzický server spuštěn a klientský SW VMware na něm spuštěný dělá za běhu kopii celého systému, kterou zároveň přesouvá na zvolené místo v síti. V tomto případě je doporučeno vypnout veškeré sluţby, které server poskytuje. Jinou moţností přenosu jiţ nainstalovaných a do infrastruktury zapojených systémů je vytvořit kopii pomocí zálohovacího SW Acronis. Ten vytvoří bitovou kopii disku stanice, na které je instalovaný, a na zvolené místo v síti ji potom uloţí. Tuto kopii lze poté kdykoliv vyvolat pomoci ESXi a nastartovat z ní zvolený systém. Další velkým pozitivem virtualizace a pouţití virtuálního stroje ESXi je optimalizace vytíţení, šetření spotřeby a nákladů. Díky taktickému rozmístění vhodných operačních systémů na jednom virtuálním stroji lze plně optimalizovat výkon stroje a vyuţít všechny systémové prostředky, za které jsme zaplatili.

28

Především ve velkých datacentrech se virtualizace projeví i na spotřebě serverů. Díky virtuální konsolidaci systému lze sníţit pouţití fyzického hardwaru nutného k chodu datacentra aţ o jednu desetinu. To sniţuje investice jak do přímého hardwaru, tak do infrastruktury nutné k jeho chodu, jakou je strukturovaná kabeláţ, záloţní zdroje a záloţní generátory. VMware ESXi poskytuje velkou škálovatelnost systémů. Díky tomu není problém flexibilně měnit infrastrukturu a instalované systémy v závislosti na poţadavcích kladených na celé IT. Další velkou devizou virtualizovaného prostředí ESXi je moţnost migrace virtualizovaných systémů za běhu mezi virtualizačními stroji. Toto řešení poskytuje spoustu výhod, například vysokou dostupnost – High Availability. Řešení vysoké dostupnosti funguje na principu online replikace a migrace dat. Pomocí rozmístění virtualizačních strojů na více fyzických serverech zapojených do jednoho High Availability řídícího centra, je moţné obsluhovat všechny virtualizované systémy z jednoho místa. Pokud jeden či více fyzických serverů selţe, například kvůli závadě na hardwaru, je tu navíc funkce, podle které systémy automaticky migrují na další dostupný virtualizační stroj. Takovým řešením lze dosáhnout opravdu vysoké dostupnosti sluţeb za velice nízkých investic jak do HW tak do správy. Obrovskou výhodou řešení VMware ESXi je také rozloţení výkonu mezi fyzické servery tak, aby nebyly ohroţeny klíčové na výkon náročné aplikace a zároveň, aby se vyuţil výkon celého virtualizaţního řešení a všech serverů v clusteru.

5.3. Cloud computing Cloud computing je sdílení všech hardwarových a softwarových prostředků pomocí datové sítě za účelem dosaţení lepšího výkonu, větší redundance, správy jak lokální tak především vzdálené, a v neposlední řadě dosaţení větší bezpečnosti. Celé řešení cloudu dostalo svůj název díky zobrazení ve schématu, které připomíná mrak.

29

5.4. VMware vSphere VMware vSphere je platforma pro konstrukci cloud computingových struktur. Jejím vytvořením se veškeré IT zdroje, hardwaru, softwaru i náklady na provoz a správu sníţí. Celé IT se zefektivní a navíc umoţňuje správcům daleko lepší dohled nad všemi zdroji. VMware vSphere je operační systém zaloţený na cloudu a vytvořený na virtualizačních strojích VMware. Díky tomu se dá velice jednoduše implementovat do stávající infrastruktury a stejně jednoduše se dají převést veškeré systémy na virtualizované stroje. Pomocí vSphere se dá velice rychle celá infrastruktura převést do virtualizovaného cloud computingu, a tak vyuţít celý její potenciál. Řešení vSphere je postavené na platformě VMware Infrastructure, kterou pouţívají velké organizace. Takto dokáţe vSphere zpřístupnit výkon a robustnost korporátního řešení i menším a středním organizacím. VMware vSphere redukuje náklady, sniţuje počet obsluţného personálu, nabízí velkou elasticitu, co se týče nasazení na hardware. Díky vSphere je moţné nasadit virtualizační stroj v podstatě na jakýkoliv z velkého spektra podporovaného hardwaru. Po nasazení virtualizačního stroje je jiţ moţné přímo tvořit virtuální systémy přesně podle nároků na konkrétní aplikace, které zákazník pouţívá. Je například moţné namodelovat systém, který bude mít pouze 512mb paměti, bude vyuţívat pouze jeden procesor, ale bude mu přiřazeno 800gb diskové kapacity. Takto konfigurovaný systém se dá pouţít jako síťové úloţiště. Další systémové prostředky lze rozpustit do jiných potřebných systémů jako je například databáze, filtrace webu, doménový kontrolér. Pokud jde o konsolidaci a průběţnou optimalizaci serverového, úloţného a síťového hardwaru, v rámci řešení VMware vSphere jsou aplikace spouštěny na virtuálních strojích, které běţí na menším počtu serverů a efektivněji vyuţívají úloţné a síťové zdroje. Organizace vyuţívající řešení VMware vSphere mohou díky jeho unikátním schopnostem v oblasti dynamické optimalizace a správy paměti dosáhnout maximálních konsolidačních poměrů na server. Řešení VMware vSphere zjednodušuje správu hardwaru prostřednictvím kompletní vizualizace serverového, úloţného i síťového hardwaru.

30

5.5. Řešení virtualizace VMware vSphere vCenter Recovery Manager, varianta A Toto řešení poskytuje maximální redundanci a odolnost proti výpadkům, proti chybám hardwaru (například pevných disků, zdroje) či proti „obyčejnému“ přehřátí jednoho ze serverů. Virtuální stroje jsou zapojené pro větší redundanci k síťovému úloţišti pomocí dvou swtichů tak, aby se předešlo pádu celého řešení kvůli selhání jednoho levného nicméně klíčového prvku, který je pro fungování celého řešení zásadní. Virtuální stroje jsou spouštěny z lokálního diskového pole serveru, avšak vCenter Recovery Manager zajišťuje online replikaci mezi servery v clusteru. Pokud jeden server selţe či přestane z nějakých okolností odpovídat, druhý server ihned přebírá jeho funkce a startuje veškeré systémy prvního serveru. Výpadek sluţeb je tak maximálně v řádu minut případně sekund a běţný uţivatel zaznamená jen minimum potíţí nebo vůbec ţádné. Správce proto nemusí zasahovat okamţitě a můţe se věnovat problému a diagnostice ve své běţné pracovní době. Celé řešení zvětšuje svojí robustnost pravidelnou zálohou celého clusteru pomocí Acronis Backup & Recovery, díky kterému je na síťovém poli záloha všech určených systémů. Acronis Backup & Recovery přitom umí poskytovat jak jednotlivé, například týdenní, zálohy tak denní inkrementální zálohu nebo rychlé testovací zálohy „time machine“, které jsou vhodné pro správce na ladění a pokročilé konfigurace systémů. Veškeré zálohy lze pro větší bezpečí zrcadlit buď na další úloţiště přímo na lokalitě nebo ještě lépe pravidelně zálohovat na vzdálenou lokalitu, coţ se označuje jako „offsite backup“.

31

Obrázek 10 – Diagram virtualizace A

32

5.6. Řešení virtualizace VMware ESXi, varianta B Řešení virtualizace pouze pomoci VMware ESXi je další moţnou levnější variantou, při které ovšem přicházíme o hodnotnou online replikaci, coţ znamená, ţe jednotlivé systémy si mezi sebou automaticky nereplikují data, a tím zásadně sniţují redundanci toto řešení neposkytuje výhody vSphere a vRecovery, díky kterým se umí veškeré virtualizované stroje automaticky přemigrovat na další funkční server pokud primární selţe. Při pouţití ESXi je celý cluster stále zálohován Acronis Backup & Recovery, takţe v případě selhání hardwaru je moţné veškeré virtuální stroje obnovit. To ovšem jiţ nenastane automaticky, ale je potřeba zásahu správce systému. Správce musí manuálně zvolit zálohu, kterou chce obnovit, na který konkrétní server a potom samozřejmě čekat neţ se obnovení ze záloh uskuteční. Teprve potom je moţné opětovně spustit virtualizované stroje a věnovat se výpadku prvního serveru. Z toho důvodu můţe být celková délka výpadku i několik hodin. Je zřejmé, ţe toto řešení klade větší nároky na IT pracovníka, který musí zároveň řešit selhaní prvního serveru a spuštění systému na druhém. Toto řešení není vhodné pro business critical aplikace, slouţí však jako virtualizační konsolidace, která dokáţe vyuţít všech výše popsaných výhod virtualizace a zároveň poskytuje i jistou míru zálohovaní vhodného pro non-critical aplikace.

33

Obrázek 11 – Diagram virtualizace B

34

5.7. Řešení virtualizace VMware vSphere High Availability, varianta C VMware High Availability je řešení navrţené pro jednoduchou správu business critical aplikací a systémů za vyuţití efektivní virtualizace. VMware High Availability řešení se liší od dvou předchozích, jak je zřejmé na diagramu, především pouţitím dalšího serveru. Celé řešení je stavěno tak, aby v momentu fyzické závady jednoho ze serverů převzaly veškeré jeho funkce a virtuální stroje další dva zbývající servery. Toto se děje stejně jako u obyčejného vSphere naprosto automaticky a bez nutného zásahu administrátora, proto je toto řešení ideální právě pro kritické aplikace a systémy, které potřebují mít co nejniţší neplánovaný downtime. Toto řešení tedy sdílí veškeré výhody řešení virtualizace VMware vSphere vCenter Recovery Manager a navíc přidává vysokou dostupnost za jednu z neniţších cen na současném trhu.

Obrázek 12 – Diagram virtualizace C

35

6. Klientská část 6.1. Klienti bezdrátové centrály sítě Klienti bezdrátové sítě centrály budou především studenti, případně účastníci odborných akcí, proto je nutné pomocí konfigurace Ruckus ZoneDirector nastavit síť tak, aby uměla rozpoznat nový stav, jakým bude například odborná přednášková akce, při které se budou Wi-Fi klienti soustředit pouze na jednom místě, ve kterém budou poţadovat maximum signálu. Po nastavení této události umí ZoneDirector podobnou akci automaticky rozpoznat a směrovat veškerý výkon na poţadované místo.

Další důleţitou konfigurací pro klienty Wi-Fi podsítě bude konfigurace celého serveru Untangle, kterému je věnována následující kapitola. Základními nástroji veškeré bezpečnostní a filtrační funkce jsou filtrace webu s placeným addonem eSoft web filter, branding manager, captive portál a reporty.

Pro studenty pro dobu běţných přednášek lze doporučit takové nastavení Wi-Fi sítě, kdy uţivatel po otevření webového prohlíţeče a zadání jakékoliv adresy bude automaticky pomocí captive portálu přesměrován na stránku, na které se buď bude moci zalogovat a pomocí uţivatelských účtu a skupin pouţívat prohlíţení webu podle svého platného oprávnění, nebo pouze potvrdí základní nastavení, to jest potvrdí podmínky pouţívaní a teprve potom mu bude povoleno surfovat na internetu případně bude automaticky redirectován na studentský informační systém.

Pokud student poruší podmínky uţívání například návštěvou akademicky nevhodných webů jako například pornografie, bude tato stránka blokována a pomocí branding manageru designována tak, aby odpovídala institucionálním zásadám školy. Zároveň bude student upozorněn, ţe porušuje podmínky uţívání školní Wi-Fi a ţe za toho chování mu můţe být přístup zablokován. Je vhodné, aby stránka obsahovala kontakt na správce a prolinky na informační systém a formulář pro nahlášení blokace relevantního webu.

36

Všechny uţivatele, a to i uţivatele Wi-Fi sítě, je moţné snadno roztřídit pomocí obsáhlého reportovacího nástroje. Třídit lze například podle hostname, či mac adresy jejich notebooku či MDA. Potom můţe správce lehce odhalit největší „hříšníky“ a zablokovat jim přístup na studentskou Wi-Fi v plném rozsahu případně vytvořit skript, který pomocí reportů a Captive Portal bude hříšníkům ukazovat jejich skóre např. od 0 do 10, aby měli přehled, kdy jim bude přístup na web zamezen plně.

6.2. Klienti metalické sítě centrály a knihovny Klienti metalické sítě budou především zaměstnanci školy, ale z části i studenti přistupující z počítačových učeben a dále zaměstnanci a studenti přistupující z knihovny. Proto je nutné vytvořit minimálně tři základní oddělené skupiny na této síti.

Skupina první, zaměstnanci, by měla mít nastaven nejvolnější reţim filtrace webu. Neměli by být brzděni v práci na webu, ale díky integraci Active Directory by jim naopak mělo být procházení webu ulehčeno například filtrací reklam.

Pomocí Direcotory Connectory na serveru Untangle bude moţné vytvářet podrobné reporty o práci a chovaní jak na lokální síti tak na internetu kaţdého uţivatele. Společně s funkcí Captive Portal to pomůţe vedení nastavit jednotné chovaní všech zaměstnanců na síti. Omezením přístupu na timewastingové weby se výrazně zvýší produktivita práce na internetu a díky reportovacím nástrojům bude jednodušší hodnotit konkrétní zaměstnance podle jejich práce. Pomocí Policy Manageru a Captive Portálu lze napříč všemi skupinami udělovat výjimky ze všech stanovených pravidel. Můţe jít o výjimky časové, například přístup na sociální sítě v době oběda či o víkendech, na výjimky na uţivatele, například pro zaměstnance na rozdíl od studentů či návštěvníků, nebo pro vedení na rozdíl od řadových zaměstnanců.

Druhá skupina, studenti pracující v počítačových učebnách, by měla mít pravidla nastavena podstatně striktněji. Od timewastingových webů jako jsou sociální sítě přes video portály, které silně ukrajují z konektivity, za kterou škola platí, po veškeré

37

akademicky nevhodné stránky. Pokud se studenti budou hlásit svým konkrétním loginem a nikoli jen obecně, bude také moţné monitorovat jejich konkrétní činnost a vytvářet podrobné reporty o tom, kdo a co na lokální síti dělá.

A konečně skupina klientů, kteří budou přistupovat na lokální sít a internet z knihovny. Knihovna by měla být místem informací a poznání, proto snad aţ na tvrdou pornografii či weby porušující zákony ČR by neměly být ţádné jiné stránky blokovány. Podsíť knihovny bude samozřejmě monitorovaná a z logů a výstupních reportů bude moţné zjistit, jak se klienti knihovní metalické sítě chovají. Podle toho se vţdy dají provést potřebná opatření a nastavit případná omezení.

6.3. Klienti VPN sítě Klienty VPN sítě budou tvořit klienti jednotlivých VLANů vytvořených pro jednotlivé pobočky. Kaţdá pobočka bude tudíţ připojena nejprve pomocí VPN sítě k centrále a ta teprve rozhodne, co pobočce povolí či nepovolí. Toho řešení umoţňuje plnou správu nad celou infrastrukturou, i kdyţ bude sebevzdálenější. Vzdálení uţivatelé budou tak kontrolovatelnější a bude moţné vynutit úplné dodrţování bezpečnostní politiky školy naprosto identicky jako na lokální síti centrály.

Díky reportovacím nástrojům Untangle serveru bude moţné přesně zjistit, kdo, co a v jakou dobu na vzdálených pobočkách dělá. Toto řešení přiblíţí vedení, které si bude moci jednoduše vyţádat reporty na kaţdého uţivatele, i k těm nejvzdálenějším pobočkám.

38

7. Zabezpečení a zálohování 7.1. Zabezpečení pomocí opensource produktu Untangle gateway Systémové minimální poţadavky Poslední verze 7.2 Webinar Generic Intel/AMD hardware. Pentium III processor, Dvě síťové karty a 512MB RAM. Toto jsou skutečně minimální poţadavky u větších sítí rapidně narůstá potřeba více paměti RAM. [6] Untangle gateway je opensource produkt postavený na Linuxu s velkým portfoliem předinstalovaných funkcí, které jsou zdarma. Další pokročilé funkce lze zakoupit s tím, ţe výrobce garantuje slevy pro školy, další vzdělávací zařízení a státní organizace. Nyní se budu zabývat konkrétní funkčností aplikace balíku Untangle gateway. Nejdříve uvedu aplikace, které jsou standardně vestavěné, jsou zdarma a tvoří tzv. Value Packages.

7.2. Vestavěné opensource balíčky: Web Filter Filtrace obsahu zaloţená na opensource linuxovém řešení Squid, blokuje definované weby podle jejich skóre, obsahu, podle blacklistů. Umí také přímo definovat konkrétní weby, umí definovat kategorie blokace, např. pornografický obsah, timewastingové weby, freemaily, online noviny, atd. Virus Blocker Jednoduchý antivirus blokující spojení, pokud při inspekci narazí na viry. Spam Blocker Jednoduchý ale účinný spamfilter, který díky napojení na známé MX blacklisty jako je například MXToolBox, umí vyfiltrovat aţ 90% spamu.

39

Captive Portal Školy, firmy a statní organizace mají přísně nastavenou politiku přístupu na internet. Untangle Captive Portal umoţní organizaci zobrazit povinnou základní webovou stránku všem uţivatelům ještě předtím, neţ jsou schopni se připojit na internet. Webová stránka Captive Portal můţe zobrazovat a vynucovat zvláštní uţivatelskou politiku, jakoţ i autentifikaci uţivatelů a kontrolu přístupu k internetu. Organizace si můţe definovat interní pravidla, která uţivatelé musí před přístupem na internet potvrdit. Autentizacni mechanismy Captive Portal podporují široké pole autentizace od základní lokální autentizace pomocí adresářové sluţby na serveru po autentizaci pomocí Active Directory serveru nebo RADIUS serveru, pokud jsou spárovány s Untangle Directory Connector. Captive portal je vysoce modifikovatelný. Umoţňuje organizacím nastavit uţivatelská pravidla tak, aby zvládla velké mnoţství výjimek, které mohou být poţadované. Například autentizace muţe být vyţadovaná pouze v určité stanovené hodiny, současně mohou být určité skupiny uţivatelů a PC vyjmuty z tohoto pravidla a nemusí se autentizovat. To je například ideální řešení pro veletrhy či konference. Captive portal má kompletně modifikovatelnou logovací stránku, která umoţňuje nasazení firemního designu tak, aby korespondovala s webem, případně corporate identity organizace. Mimo to mohou web developeři na log in stránku nasadit další addony, pluginy a pokročilé funkce. Všechny pokusy připojit se na internet přes Captive Portal, jsou automaticky logované. Toto poskytuje jasné a čisté informace o přijetí podmínek pro přístup na web a moţnost auditu práce na internetu u kaţdého uţivatele.

40

Ad Blocker Blokuje či potlačuje definované reklamy na webových stránkách, které mrhají konektivitou, která se dá lépe vyuţít jinde. Attack Blocker Jednoduchý filtr, který zamezuje útokům DOS (Denial of Service). Phish Blocker Chrání uţivatele proti zcizení identity a nejrůznějším „phishingovým“ útokům Spyware Blocker Chrání uţivatele proti webům a softwaru, které se snaţí na lokálním PC instalovat spy či maleware. Firewall Robustní firewall je základem bezpečností kaţdé sítě. Vestavěný firewall umí všechny standardní funkce jako je RouTek, NAT, routovaný NAT, DMZ, IP sec, QoS QoS neboli Quality of Services, priorizace sluţeb. QoS je jedním ze základních stavebních kamenů konvergovaných sítí a IP telefonie. Prevence neoprávněného připojení Většina hackerů vyhledává počítačové systémy, které je moţné napadnout a zneuţít. Rozhazují své sítě za pomoci automatických programů schopných vystopovat nechráněné systémy. Zranitelné jsou především malé firmy, které nemohou dostatečně financovat IT. Untangle software eliminuje veškeré známé moţnosti průniků do sítě. Tato nová aplikace operuje v síti naprosto transparentně. Vychází ze standardních průmyslových pravidel, přičemţ pouţívá tisíce podpisů jejichţ pomocí detekuje, blokuje a vyhodnocuje pokusy o proniknutí. Vedle toho zjednodušuje celý proces stanovením rozumných předvolených nastavení pro tisíce předpisů. Tyto předvolby lze případně měnit a přidávat nová pravidla vycházející z konkrétních potřeb. 41

Klíčové charakteristiky Open source & bezplatné podle licence GNU General Puublic Licence (GPL ). Tisíce podpisů pro širokou škálu útoků. OpenVPN OpenVPN je jedno ze dvou řešení, které Untangle nabízí pro bezpečný vzdálený přístup k síti. Pro pouţívaní OpenVPN stačí mít instalovaného klienta, který je volně šiřitelný a staţitelný na internetu, poté, pokud se uţivatel přihlásí správným jménem a heslem, které je pro OpenVPN vytvořené, připojí se VPN tunelem ke vzdálené LAN síti a podle stanovených pravidel na ní pracuje případně vyuţívají její DNS sluţby. OpenVPN je smysluplný pro trvalá site-to-site připojení a vzdálený přístup k newebovým aplikacím (např. klient/server). OpenVPN je virtuální privátní sít zaloţená na SSL. Můţe vyřešit širokou škálu potřeb, protoţe podporuje celou řadu platforem včetně Windows 2000/XP a vyšší, Linux, OpenBSD, FreeBSD, NetBSD, Mac OS X, a Solaris. Silné bezpečnostní a řídící prvky spolu s intuitivním setupem z něj tvoří ideální řešení. Klíčové rysy Open source & bezplatné podle licence GNU General Puublic Licence (GPL). Status a Wizzard pro základní nastavení a setup. Custom nastavení automaticky generováno pro kaţdého klienta. Záznam událostí ukazuje jednotlivé VPN přihlášení/odhlášení. Zprávy ukazují statistiku VPN pouţití. Reports Zprávy poskytují administrátorovi přehled a údaje potřebné pro vyšetření jednotlivých bezpečnostních rizik a podporují politiku přijatelného uţívání počítačové sítě. Interaktivní drill down. Monitoring chování na úrovni uţivatel-hostitel a monitoring událostí. Reporty e-mailem. Sledování toků a vzorců pouţívání počítačové sítě. Plně exportovatelné informace o jednotlivých událostech ve formátu CSV. 42

Sdílení reportů ve formátech PDF nebo HTML. Automatické aktualizace. Není potřeba instalovat aktualizace – Untangle se aktualizuje automaticky. Viditelnost je prvním krokem při správě sítě, protoţe umoţňuje identifikovat zneuţití a prosadit konkrétní pravidla uţívání sítě. Reporty tuto viditelnost poskytují a jsou také nástrojem pro odstraňování potíţí. Denně dostupné zprávy o aktivitě v síti a aplikaci softwaru Untangle. Informace o tom, kolik virů a spamu bylo zablokováno, který phishing byl zachycen, které webové stránky byly navštíveny. Zprávy mohou být doručeny e-mailem nebo prohlédnuty na webu. Klíčové rysy Interaktivní drill down. Plně exportovatelné logy incidentů/událostí. Open source & bezplatné podle licence GNU General Puublic Licence (GPL). Zprávy sumární, detailní nebo o jednotlivých uţivatelích. Automatické zasílání zpráv e-mailem. Archivování zpráv.

43

7.3. Placené aplikace Live Support Sluţba placené verze, která představuje online podporu produktu a řešení potíţí. Problémům se věnují opravdoví odborníci a specialisté na jednotlivé vloţené aplikace a funkcionality. Zákazník můţe kontaktovat podporu v anglickém jazyce emailem nebo telefonem. eSoft Web Filter Jeden z nejlepších webových filtrů, umí rozeznat a podle nutnosti blokovat přes 100 milionů webů v 60 kategoriích.

44

Kaspersky Virus Blocker Kaspersky je jeden z nejlepších antivirů současnosti. Zcela nová technologie scannovaní trafficu řadí Kaspersky na špičku gateway řešení. Zastavit virus na rozhraní internetové gateway je zásadní. Virové hrozby se dramaticky přenesly od emailu k webu. Záplava maleware se exponencionálně zvyšuje, od pouhých 200 000 v roce 2006 na 2 miliony v roce 2007 a přes 20 milionů v roce 2008, kdy bylo uskutečněno poslední srovnání. A toto číslo bohuţel stále roste. Kaspersky antivirus instalovaný na bezpečností bráně provádí trvale inspekci celé sítě a neustále se updatuje. Jedině tak je moţné účinně bránit problémům. Provádí inspekci protokolu POP3, SMTP, IMAP, speciální ochranu webmailu, ochranu HTTP a FTP protokolu. Reportuje a zasílá logy o stavu a bezpečnostních rizikách. Commtouch Spam Booster Další vrstva proti nevyţádanému emailu. Jeden z nejlepších spam blokačních systémů. Commtouch Spam Booster je placeným rozšířením pro Spam Blocker, kterému předává další vrstvu ochrany na korporátní úrovni proti nevyţádané nebo čas mrhající poště. Commtouch Spam Booster umoţňuje administrátorům zjistit přes 98% spamových zpráv na SMTP, POP a IMAP sluţbách. Minimalizuje blokovaní nespamové komunikace, které můţe neplacená verze při vysokém nastavení zabezpečení působit. Detekuje spamové útoky v reálném čase patentovanou technologií Recurrent Pattern Detection technology.

Podívejme se teď ještě na srovnání free a placené verze. Rozdíl placené verze od free je především v Recurrent Pattern Detection technology. Dále v technologii Commtouch's Recurrent Pattern Detection (RPD). Tato technologie je sluţba „v cloudu“ a dramaticky se liší od běţných spam filtrů.

Tradiční filtry hodnotí kaţdou zprávu zvlášť, poté pro ni vypočítávají skóre, které je zaloţené na velké databázi pravidel, podle kterých zprávu buď zařadí jako spam nebo

45

ne. Příklady: předmět obsahuje „tvoje sestra” nebo tělo zprávy obsahuje „bussines“ případně vysoké mnoţství prázdných řádků nebo URL odkazy na přímé ip adresy. Toto je důvod, proč kaţdý spam filter potřebuje lokalizaci a nastavení pro konkrétního zákazníka individuálně. Na rozdíl od toho, Commtouch’s RPD technology analyzuje velké mnoţství internetového trafficu v reálném čase. Nové spamového hrozby jsou identifikovány, jakmile se objeví a jsou zaznamenány na Commtouch Detection Center. Na Untangle serveru pomocí Commtouch Spam Booster, který je dále předává Commtouch Detection Center, které přijímá klasifikaci pro zprávy v reálném čase. Výsledek je okamţitá ochrana proti záplavě nového spamu (v jakémkoliv jazyce), daleko od klasické klasifikace nebo updatovaní. Analytici se shodují ţe Commtouch dosahuje jednoho z nejlepších spamfiltrů v poměru detekce a výkon, který dokáţe detekovat a blokovat spam do několika minut od vypuknutí spamové záplavy. Integruje se s základním Spam Blockerem. Blokuje aţ 98% spamu, téměř nulová hodnota pro chybně blokované zprávy. Velká přesnost pro neomezené formáty a jazykové mutace. WAN Balancer Alokuje traffic napříč aţ šesti oddělenými připojeními k internetu. Zvyšuje výkon a spolehlivost připojení. Umoţňuje jednoduše rozvrhnout traffic aţ šesti různými připojeními k internetu. Traffic je rozprostřen podle definovaných uţivatelských pravidel, vah, času, zajišťující méně „přetahovaní“ o rychlost připojení a tím vyšší výkon. Organizace mohou také ušetřit značné částky s WAN balancerem eliminací jednoho drahého připojení a pouţít vícero levnějších, která po sloţení v balanceru poskytnu vyšší výkon za menší částky. Umoţňuje alokovat připojení přes více operátorů a docílit tak větší stability připojení.

46

Maximalizuje propustnost a zlepšuje výkon sítě. Maximalizuje šířku pásma. WAN Failover Automaticky přepíná traffic na alternativní připojení. Zvyšuje spolehlivost a network uptime. Umoţňuje ochránit sítě před výpadky způsobenými poskytovatelem (providerem) internetových sluţeb. Zjistí, zda primární připojení k internetu odpovídá či ne a podle toho přepojuje veškerou komunikaci na základě stanovených pravidel na záloţní připojení. Umí (s pouţitím aplikace WAN Balancer) spolupracovat s více internetovými připojeními a rozloţit tak konektivitu na připojeních, která odpovídají a odstínit ta která jsou zrovna nefunkční kvůli výpadku. Klient lokální či VPN sítě potom nezaregistruje prakticky ţádný výpadek v připojení k internetu. Loguje všechna internetová připojení a z reportů potom lze jednoduše vyčíst, která jsou spolehlivá a která ne a je lepší je zrušit. Je to velmi účinná aplikace pro Untangle server a v balíčku pro školy zahrnuje i WAN Balancer. Pro bezproblémový chod je podmínkou mít pro kaţdé jednotlivé internetové připojení jednu sítovou kartu. To je ovšem moţné také řešit pomocí virtualizace a switche který podporuje VLANy. Policy Manager Policy Manager umoţňuje vytvořit uţivatelsky a časově definované pravidla pro přístup na web a vzdáleného přístupu – rozvrţení podle uţivatelů a času. Policy Manager neboli správce zásad oprávnění umoţňuje administrátorům přesně ladit práva přístupů na lokální síti tak ostatních VLANech či VPN nebo Wi-Fi. Konkrétně Policy Manager obsahuje dva stromy pro ladění oprávnění. První strom tvoří oprávnění podle uţivatelských jmen, tudíţ na základě loginů mají uţivatelé přiřazená 47

privilegia. Druhý strom definuje oprávnění podle času. V tomto stromu lze nastavovat oprávnění podle časové dispozice, například neblokovaný internet mimo přednáškové hodiny. Oba stromy mají společné kořeny a jdou kombinovat. Například uţivatel operátor má přístup do systému jen o víkendech pro vytváření záloh. Oba stromy umí uplatňovat pravidla na prohlíţení webu, online hry, video stream, messengery a jiné internetové aplikace. Policy Manager je ideální nástroj pro administraci velkých sítí. Velké organizace, například vysoké školy, potřebují konfigurace unikátních řešení a zvláštní nastavení pro konkrétní uţivatele, proto je Policy Manager ideálním řešením. Directory Connector Directory Connector je nástroj pro spárování Untangle serveru s Microsoft Active Directory serverem a tím zjednodušení správy oprávnění a reportování. Untangle server Directory Connector je navrţen tak, aby bylo moţné naplno vyuţít potenciálu Microsoft Active Directory serveru, pro zjednodušení správy a získávaní bohatých reportů pomocí reportingového nástroje. Directory Connector můţe být pouţit pro reportováni podle uţivatelských jmen, vynucení bezpečnostních politik podle uţivatelů, uţivatelských skupin. Microsoft Active Directory je nástroj pro správu identit a Untangle server zjednodušuje jeho pouţití a pomáhá administrátorům vyuţít veškerý jeho potenciál pro nastavení privilegií a oprávnění na síti, která jiţ jednou vytvořili. Pro uţivatele je toto řešení výhodné, protoţe si nemusí pamatovat vícero hesel, stačí jim pouze jedno z účtu na Active Directory serveru. Tento nástroj je dobrým pomocníkem vedení kaţdé organizace protoţe díky reportovacímu nástroji dokáţe shromaţdovat informace o uţivatelích a plně tak vyuţít potenciál Active Directory pro jednoduší reporty o tom, kdo co dělá na síti organizace. Hlavní funkce Directory Connectoru Maximální vyuţití Active Direcotory. Autentifikace do celého řešení Untangle pomocí účtů v Active Directory. 48

Logování a reporty spárované s Active Directory. Automatické updates a upgready. Reporty v PDF, HTML, CSV, logovaní sítě, systémů a uţivatelského chování na celé síti. Branding Manager Branding Manager je nastroj pro brandování obsahu webu umoţní organizaci pouţít její vlastní logo, vlastní corporate identity a zprávy na blokovací stránce webového filtru či content manageru. Branding Manager umoţňuje administrátorům zaměnit standardní logo Untangle serveru a zprávy logem organizace a lokalizovat zprávy pro uţivatele. Branding Manager umoţňuje organizaci udrţovat corporate identity pro celé IT a odstranit standardní Untangle logo, styl a texty, také umoţňuje vkládat správné kontakty na administrátory či jiné osoby.

7.4. Bezpečnostní řešení Cyberoam UTM Firewall Potřebu identifikace konkrétního uţivatele při monitoringu sítě a analýze ţurnálů není třeba dvakrát zdůrazňovat, stejně jako není třeba obhajovat vhodnost definice pravidel na síťových prvcích tak, aby vycházela z potřeb konkrétních uţivatelů nebo jejich skupin. Je aţ s podivem, jak málo doposud tradiční firewally toto umoţňovaly… Přitom zejména v menších organizacích (obvykle bez jasně daných bezpečnostních pravidel) by striktní uplatnění politiky, jen dle identity uţivatele a moţnost doplnění ţurnálů taktéţ o identitu uţivatelů, ušetřilo administrátorovi spoustu času! Ruku na srdce, ve firmách do 50 uţivatel je situace často taková, ţe administrátor nemá na pravidelné reţijní činnosti ani 20 minut denně! [2] Doporučuji bezpečnostní řešení Cyberoam UTM Firewall právě z důvodu velice jednoduché instalace a konfigurace. Cyberoam je „box“ řešení, není potřeba instalovat ţádný software či zařízení nějak speciálně oţivovat. Box stačí nainstalovat do racku,

49

připojit do proudu, do datové sítě a nakonfigurovat. Toto by nemělo zabrat zkušenému administrátorovi více neţ oněch kritických 20min. Nejprve si ale řekněme, jak vlastně v praxi funguje identifikace uţivatelů. Firewall Cyberoam umí ověřovat identitu uţivatelů proti Microsoft Active Directory serveru (i starší NT4) pomocí LDAP protokolu, pomocí Radius protokolu, nebo definovat účty uţivatelů a skupiny přímo na firewallu (nebo lze účty z MS AD vyexportovat a naimportovat na Cyberoam). Ověření příslušnosti do skupiny se provádí LDAP protokolem. [2] Z tohoto vyplývá, ţe konfigurace je opravdu jednoduchá. Je samozřejmě moţné vytvořit vlastní účty, ovšem daleko jednoduší je pouţít Microsoft Active Directory a importovat účty z něj. To podstatně zkracuje jak délku celé instalace tak pozdější administraci.

Cyberoam má dvě základní prostředí pro správu a konfiguraci klientů. První prostředí je vhodné pro mobilní klinety, druhé pro pevné klienty připojené natrvalo k doméně.

Z pohledu nasazení má správce moţnost nejprve definovat tzv. clientless uţivatele, tj. účty pro zařízení, která se identifikovat nemohou, ale pro která by také rád vyuţil moţnost definice pravidel per identita (Internet Access policy, Bandwidth Policy). Typicky jsou to servery, síťové tiskárny atp. Lze je definovat jejich pevnou IP adresou, nebo rozsahem adres. [2]

Celé zařízení je zaloţeno na Linuxu a SPI Firewallu, dále obsahuje další původně na opensource zaloţené funkcionality jako je transparentní proxy podobná Squidu, antispam a integrovaný antivir Kaspersky AV. Jednou z velmi zajímavých funkcionalit celého řešení je databáze, díky které dokáţe provádět filtraci https protokolu, mimo toho samozřejmě filtruje klasický http a ftp protokol.

Pro stolní počítače je nejvhodnější pouţít v prostředí Active Directory spojení SSO mechanismu s vyuţitím logon scriptu. Administrátor na AD server do logon adresáře uţivatele umístí malou aplikaci (40kB) a konfigurační soubor. Jakmile se uţivatel přihlásí do domény, aplikace se spustí a provede se autentizace uţivatele proti 50

Cyberoamu. Ten pak provede ověření proti AD. Pro SSO lze samozřejmě definovat i maximální dobu platnosti přihlášení a v DHCP prostředí (DHCP server nabízí i Cyberoam sám) i maximální dobu "inactivity", po které dojde k odhlášení a novému ověření identity. [2] Pro mobilní počítače je nejvhodnější agent (k dispozici i pro Linux) běţící na Windows v systémové liště. Zprostředkovává přihlášení uţivatele k Cyberoam, který pak provede ověření proti autentizačnímu serveru (AD, Radius, LDAP) či lokální databázi. [2]

7.5. Zálohování Zálohování probíhá v popsaném řešení na dvou vrstvách. První vrstva je vrstva klientská, kde je kaţdý klient zálohovaný na určený virtuální server FreeNAS integrovaný do domény. Následně je celý virtuální cloud zálohovaný na externí diskové pole Cisco připojené přes gigabitový swich a fungující na RAIDu 5. Varianta A počítá s online replikací. To znamená ţe veškerá data se budou zrcadlit online a pokud jeden ze systému přestane posílat „heartbeaty“, druhý zaujme jeho roli. To samo o sobě je jiţ velká míra redundance, pokud budeme chtít zajít ještě dále můţeme celé řešení posilovat prostředky jako je pouţití dalšího diskového pole, které bude uloţeno offsite a bude se online zrcadlit s polem prvním. Pokud tedy dojde k výpadku všech disků, případně k nějaké katastrofě, například poţáru, přijdeme sice o všechen hardware, ovšem naše data budou bezpečně replikovaná na bezpečné offsite lokalitě, buď na druhém konci budovy, v jiné budově nebo jiném městě. Toto je ovšem čistě nástin dalších moţností. Uvedené řešení je pro naše pouţití extremní, jelikoţ samotné pole obsahuje dostatek kvalitních disků pro disková pole s vysokou vydrţí. Navíc samotné pole obsahuje dva zdroje. Zdroje jsou ihned po discích další citlivou, na selhání náchylnou součástí, proto jsou zdroje redundantní a při selhání jednoho ihned, bez výpadku, přebírá roli druhý a diskové pole okamţitě hlásí adminovi závadu.

51

7.6. NAS řešení – FreeNAS FreeNAS je opensource řešení postavené na Linuxu, konkrétné jádru FreeBSD. FreeNAS vychází z distribuce Moonwall, která je primárně určená jako gatewayové řešení. Jiţ podle názvu je jasné, co je FreeNAS zač. Jde o opensource řešení NAS serveru, které mimo klasického Network Attached Storage umí spoustu zajímavých věcí, které se mohou někdy hodit. Primárně je tedy FreeNAS určen na sdílení souborů na sítích Windows, Linux a Mac os. Dále má pokročilé funkce integrace do domény a sluţby synchronizace, a proto je i velmi dobrý na zálohovaní. Mimo těchto funkcí obsahuje jednoduchý webserver, DLNA server pro streamovaní uloţených multimedií po síti, rsync server i klient pro synchronizaci obsahu jak na server tak z něj.

Minimální poţadovaná konfigurace, údaje přímo od iXsystems, Inc.: Base OS: Embedded FreeBSD 7.2 (supported devices list) 128Mb on media (flash compliant) and 256Mb of RAM Multiple arch: i386 or amd64 Full Web Management Interface [3]

52

7.7. Podporované síťové protokoly: CIFS/SMB CIFS (Common Internet File System) a SMB(Server Message Block) jsou podstatou NAS serveru. Oba protokoly slouţí k sdílení dokumentů na síti. Uţivatelé Windows/Linux se mohou na server připojit a podle nastavených pravomocí ukládat, mazat či měnit soubory. FTP File Transfer Protocol, FTP, je obdobou SMB, ovšem pro rozlehlejší sítě internetu. Opět podle nastavených práv můţe uţivatel měnit, mazat či zapisovat soubory s tím, ţe na rozdíl od klasického SMB můţe být FTP server v daňovém ráji na druhém konci světa. FTP se pouţívá převáţně pro sdílení souborů na internetu, výměnu dat či jako moţnost, jak jednoduše spravovat www servery. TFTP Trivia FTP, Primitivní varianta FTP protokolu SSH Secure Shell komunikační protokol pouţívaný pro správu vzdálených systému. Slouţí jako náhrada Telnetu, podporuje vysoké úrovně šifrování. NFS Network File System, systém sdílení souboru od Sun Microsystems AFP Apple Filing Protocol, opět obdoba SMB, ovšem nyní ve formě vhodné pro systémy Apple UPnP Universal Plug and Play, skupina protokolů zavedená UPNP forem pro jednoduché sdílení v domácích podmínkách a integraci externích zařízení.

53

Rsync Rsync je Unix/Linux program pro síťovou synchronizaci souborů, Rsync na rozdíl od konkurenčních řešení minimálně vytěţuje sít a umí komunikovat pouze jedním směrem. FreeNAS neobsahuje pouze Rsync client, ale i server. Proto není nutné mít přeinstalovaného jakéhokoliv klienta. Rsync po připojení sdíleného adresáře automaticky synchronizuje bez potřeby jakéhokoliv dodatečného softwaru. Unison Obdoba Rsyncu pro Windows a Linux primárně určená pro mirrorování dat na síti.

7.8. Další síťové služby iTunes/DAAP DAAP neboli Digital Audio Access Protocol je protokol od společnosti Apple pro sdílení multimédií po lokální síti. iTunes je multimediální přehrávač s mnoţstvím dalších pokročilých funkcí od stejné firmy. Webserver Jednoduchý, ale spolehlivý a ověřený linuxový webserver BitTorrent Internetový protokol pro sdílení souborů, vyuţitelný pro hromadné sdílení například studijních materiálů. Funguje tak, ţe klient, který stáhne materiál (jiţ při stahovaní) se mění v server a sám poskytuje data ostatním klientům, kteří o ně mají zájem. Tak rychle narůstá počet klientů sdílejících konkrétní soubory a s tím i rychlost jakou další klienti mohou data stahovat. Toto řešení rapidně sniţuje zbytečný traffic uskutečněný stahovaní objemných souborů, například video přednášky.

54

Dynamické DNS Pokud provider internetových sluţeb neposkytuje statickou IP adresu, ale dynamickou, je nejlepší volbou kontinuálně se měnící dynamické DNS, umoţňující postytování hostingu některých sluţeb internetu jako například web, mail či FTP server. Toto řešení je spíše určené pro malé kanceláře a domácí pouţití.

7.9. Správa disku a diskových oddílů ZFS ZeroFileSystem, file systém vyvinutý Sun Microsystems pro velkokapacitní disky, jednoduchá specifikace od Sun Microsystems: Max file size

16 EiB

Max number of files

248

Max filename length

255 bytes

Max volume size

16 EiB

Údaje do přehledu [5] Software RAID 0,1,5 and mix (1+0,1+1, etc…) RAID neboli (Redundant Array of Independent Disks) je systém pouţití více disků na jedné stanici, serveru či diskovém poli na vytvoření diskového pole RAID, které podle specifikace RAID zajišťuje buď redundanci dat RAID 1, případně rychlejší zpracovaní RAID 0 či oba dohromady RAID 10, případně RAID 5 velká míra redundance který vychází z RAID 3 a pouţití paritních disků ovšem na rozdíl od RAID 3 ukládá paritní informace střídavě na všech discích. Disk encryption (cryptographic accelerator card) Moţnosti šifrovaní obsahu disků tak, aby se k datům nedostala nepovolaná osoba ani při fyzickém odcizení disků.

55

Filesystem: UFS, Ext2/3, FAT, NTFS Souborové systémy, FreeNAS umí pouţít a obsluhovat klasické linxové EXT 2 a 3 souborové systémy, ale i filesystemy Microsoftu jako jsou FAT a NTFS. Optimální volbou je filesystém UFS vyvinutý pro FreeBSD, které je základ FreeNAS. Partition: MBR and GPT FreeNAS umí pracovat jak s MBR i jeho nástupcem GPT, vývojáři doporučují GPT. iSCSI initiator iSCSI neboli Internet Small Computer System Interface je protokol, který umoţňuje připojení diskových polí po síti, přesně jak je popsáno ve virtualizačních variantách. iSCSI initiator je Linuxový projekt, který na bázi SW a HW vytváří iSCSI.

7.10. Síťová konektivita 802.1q vlan tagging IEEE 802.1Q, or VLAN Tagging je síťový standard vytvořený IEEE group. Podporuje více bidgovaných sítí, transparentně sdílet stejnou fyzickou linku bez propuštění informací jedním nebo druhým směrem na jiný VLAN. VLANY se navzájem nevidí. Wireless Moţnost připojit server pomocí bezdrátové sítě, například Wi-Fi. Link aggregation pod standardem IEEE 802.1AX-2008

se skrývá agregace síťovích prostředků, coţ

zjednodušeně znamená vyuţití více sítových karet pro rychlejší vícesměnnou komunikaci. Wake On LAN Probuzení pomoci speciálního paketu, případně moţnost takto probouzet jiná síťová zařízení, která tuto technologii podporují.

56

7.11. Monitoring a reporting S.M.A.R.T pomocí (smartmontools) Self-Monitoring, Analysis and Reporting Technology, čili S.M.A.R.T. je monitorovací systém pro počítačové disky, tento systém má na starost detekci a reportování různých indikátorů stavu disku jako je například teplota nebo chybové zápisy. Tento systém dokáţe také hodnotit či měřit spolehlivost a chybovost.

SNMP SNMP neboli Simple Network Management Protocol, je protokol pro správu rozsáhlých sítí. Slouţí k sběru dat z rozmanitých síťových prvků, které zasílají logy na SNMP server pomocí SNMP agenta, na straně serveru je SNMP manager. Syslog Je obdobní standard jako SNMP, ovšem v tomto případě loguje zprávy programů. UPS (NUT) Moţnost konfigurace známých UPS zařízení pro korektní provoz při výpadku a ukončovaní provozu serveru. E-mail reporting Moţnost vytváření různých typů reportů. Od velice povrchních reportů o obsazeném místě po velmi komplexní reporty a statistiky všech sluţeb, včetně vytíţení hardwaru, teploty a S.M.A.R.T. diagnostiky. Souborový editor a manažer Moţnost přímo z konzole nebo webového prohlíţeče měnit, editovat, mazat a vytvářet soubory.

57

7.12. Acronis Backup & Recovery 10 Acronis Backup & Recovery 10 je software pro vytváření záloh systému, sloţek a vytváření bitových kopií. Umoţňuje kompletní zálohování systému a to jak běţné zálohy tak zálohy inkrementální. Díky Certifikaci VMware Ready je Acronis Backup & Recovery 10 plně kompatibilní s produkty VMware. Díky kompatibilitě s VMware jde tak velice jednoduše zálohovat veškeré virtuální stroje a to jak VMware ESXi či vSphere. Mimo certifikace a přímé podpory VMware umí Acronis Backup & Recovery 10 zálohovat virtuální stroje MS Hyper-V. Acronis Backup & Recovery 10 je tedy velmi rozšířený a široce podporovaný software na zálohy „bare metal“ operačních systémů, virtuálních systémů VMware, Microsoft, zálohu sloţek, tvoření inkrementálních záloh a správů. Acronis Backup & Recovery 10 díky centralizovanému prostředí spravuje veškeré zálohovací joby najednou, zároveň tak vidí veškeré vytvořené zálohy a plány záloh. Díky Acronis Backup & Recovery 10 Universal Restore je moţné plánovat automatické obnovy a migrace mezi fyzickými servery či virtuálními. Acronis Backup & Recovery 10 Advanced Server Virtual Edition umoţňuje organizacím všech velikostí dosáhnout úspory nákladů virtualizací a to tím, ţe zabezpečí virtuální stroje běţící na jednom fyzickém hostiteli za nízkou a pevnou cenu. Podpora virtuálních platforem zahrnuje VMware®, Microsoft® Hyper-V®, Citrix® XenServer® a Parallels®. Acronis Backup & Recovery 10 Advanced Server Virtual Edition také vyuţívá výhod serverových technologií VMware a Microsoft Hyper-V. [2]

58

Celkové řešení, cenové nabídky a dodací lhůty Cenový přehled pro Wi-Fi síť centrály varianta A Položka

Počet

Cena Kč/ks (bez DPH)

Cena Kč/Celkem (bez DPH)

ZoneDirector

1

87 630 Kč

87 630 Kč

ZoneFlex 7363 - 802.11a/b/g/n mid-range indoor přístupový bod

4

10 954 Kč

43 815 Kč

Projekční práce / Koordinace

1

935 Kč

935 Kč

HW instalace systému

1

770 Kč

770 Kč

Oživení systému

1

935 Kč

935 Kč

Konfigurace junior

1

935 Kč

935 Kč

Konfigurace senior

1

1 155 Kč

1 155 Kč

Konfigurace expert

1

1 595 Kč

1 595 Kč

Testy / Akceptační testy / Měření

1

0 Kč

0 Kč

CELKEM bez DPH DPH 20% CELKEM s DPH

137 771 Kč 27 554 Kč 165 325 Kč

Tabulka 2 – Wi-Fi A

59

Cenový přehled pro Wi-Fi síť centrály varianta B Položka

Počet

Cena Kč/ks (bez DPH)

Cena Kč/Celkem (bez DPH)

WX5002 Access Controller

1

114 456 Kč

114 456 Kč

WA 2620 Dual Radio a/b/g/n Access Point(FIT)

8

14 931 Kč

119 448,00 Kč

Projekční práce / Koordinace

1

850 Kč

850 Kč

HW instalace systému

1

700 Kč

700 Kč

Oživení systému

1

850 Kč

850 Kč

Konfigurace junior

1

850 Kč

850 Kč

Konfigurace senior

1

1 050 Kč

1 050 Kč

Konfigurace expert

1

1 450 Kč

1 450 Kč

Testy / Akceptační testy / Měření

1

0 Kč

0 Kč

CELKEM bez DPH DPH 20% CELKEM s DPH

239 654 Kč 47 931 Kč 287 585 Kč

Tabulka 3– Wi-Fi B

60

Cenový přehled pro virtualizační a zálohovací řešení A Položka

Počet

Cena Kč/ks (bez DPH)

Cena Kč/Celkem (bez DPH)

IBM DS3200 System Storage

1

58 529 Kč

58 529 Kč

Záruka pro NAS IBM SPac 3yr 7x24x24h ComFixTime on-site (DS3200, DS3300, DS3400)

1

21 293 Kč

21 293 Kč

IBM 1TB DualPort SATA II Hotswap 3Gb/s HDD (DS3000)

6

10 897 Kč

65 380 Kč

HP ProCurve Switch 2510G 24port Gigabit switch

2

21 450 Kč

42 900 Kč

Acronis® Backup & Recovery 10 Advanced Serve

2

28 160 Kč

56 320 Kč

VMware vSphere 4 Standard for 1 processor (Max 6 cores per processor)

3

21 450 Kč

64 350 Kč

Gold Support/Subscription for VMware vSphere Standard for 1 processor for 1 year

3

8 800 Kč

26 400 Kč

VMware vCenter Server 4 Foundation for vSphere

2

36 190 Kč

72 380 Kč

Gold Support/Subscription for vCenter Server 4 Foundation for vSphere

2

13 200 Kč

26 400 Kč

VMware vCenter Site Recovery Manager 4 for 1 processor

3

42 515 Kč

127 545 Kč

Gold Support/Subscription for VMware vCenter Site Recovery Manager 4

3

8 965 Kč

26 895 Kč

Implementace

1

66 000 Kč

66 000 Kč

Podpora po dobu testovacího provozu –3 měsíce od podpisu akceptačního protokolu

1

19 800 Kč

19 800 Kč

CELKEM bez DPH

674 191 Kč

DPH 20%

134 838 Kč

CELKEM s DPH

809 029 Kč

Tabulka 4 – Virtualizace A

61

Cenový přehled pro virtualizační a zálohovací řešení B Položka

Počet

Cena Kč/ks (bez DPH)

Cena Kč/Celkem (bez DPH)

IBM DS3200 System Storage

1

58 529 Kč

58 529 Kč

Záruka pro NAS IBM SPac 3yr 7x24x24h ComFixTime on-site (DS3200, DS3300, DS3400)

1

21 293 Kč

21 293 Kč

IBM 1TB DualPort SATA II Hotswap 3Gb/s HDD (DS3000)

6

10 897 Kč

65 380 Kč

HP ProCurve Switch 2510G 24port Gigabit switch

2

21 450 Kč

42 900 Kč

VMware ESXi

2

0 Kč

0 Kč

Acronis® Backup & Recovery 10 Advanced Server AAS EN

2

28 160 Kč

56 320 Kč

Implementace

1

66 000 Kč

66 000 Kč

Podpora po dobu testovacího provozu –3 měsíce od podpisu akceptačního protokolu

1

19 800 Kč

19 800 Kč

CELKEM bez DPH DPH 20% CELKEM s DPH

330 221 Kč 66 044 Kč 330 221 Kč

Tabulka 5 – Virtualizace B

62

Cenový přehled pro virtualizační a zálohovací řešení C Položka

Počet

Cena Kč/ks (bez DPH)

Cena Kč/Celkem (bez DPH)

IBM DS3200 System Storage

1

58 529 Kč

58 529 Kč

Záruka pro NAS IBM SPac 3yr 7x24x24h ComFixTime on-site (DS3200, DS3300, DS3400)

1

21 293 Kč

21 293 Kč

IBM 1TB DualPort SATA II Hotswap 3Gb/s HDD (DS3000)

6

10 897 Kč

65 380 Kč

HP ProCurve Switch 2510G 24port Gigabit switch

2

21 450 Kč

42 900 Kč

Acronis® Backup & Recovery 10 Advanced Serve

2

28 160 Kč

56 320 Kč

VMware vSphere 4 Standard for 1 processor (Max 6 cores per processor)

4

21 450 Kč

85 800 Kč

Gold Support/Subscription for VMware vSphere Standard for 1 processor for 1 year

4

8 800 Kč

35 200 Kč

VMware vCenter Server 4 Foundation for vSphere

2

36 190 Kč

72 380 Kč

Gold Support/Subscription for vCenter Server 4 Foundation for vSphere

2

13 200 Kč

26 400 Kč

VMware vCenter Site Recovery Manager 4 for 1 processor

4

42 515 Kč

170 060 Kč

Gold Support/Subscription for VMware vCenter Site Recovery Manager 4

4

8 965 Kč

35 860 Kč

Implementace

1

66 000 Kč

66 000 Kč

Podpora po dobu testovacího provozu –3 měsíce od podpisu akceptačního protokolu

1

19 800 Kč

19 800 Kč

CELKEM bez DPH

755 921 Kč

DPH 20%

151 184 Kč

CELKEM s DPH

907 105 Kč

Tabulka 6 – Virtualizace C

63

Bezpečnostní řešení Cyberoam UMT firewall s licencí na dva roky Položka

Počet

Cena Kč/ks (bez DPH)

Cena Kč/Celkem (bez DPH)

1

23 149 Kč

23 149 Kč

1

37 457 Kč

37 457 Kč

Cyberoam CR 50ia - 6 GbE ports, 750 Mbps Firewall Throughput, 125 Mbps UTM Throughput, 1year support 8x5 Licence na 2 roky - Total Value Subscription includes Anti Malware, Anti Spam, Web and Application Filter and Intrusion Prevention System ,support 8x5 CELKEM bez DPH

60 605 Kč

DPH 20%

12 121 Kč

CELKEM s DPH

72 727 Kč

Tabulka 7 – Cyberoam

Bezpečnostní řešení Untangle s placeným modulem Education Standard na dva roky Položka

Počet

Cena Kč/ks (bez DPH)

Cena Kč/Celkem (bez DPH)

Untangle Education Standard licence na dva roky pro 50-150PC

1

28 915 Kč

28 915 Kč

instalace a konfigurace

1

12 000 Kč

12 000 Kč

CELKEM bez DPH DPH 20% CELKEM s DPH

40 915 Kč 8 183 Kč 49 098 Kč

Tabulka 8 – Untangle

64

Vlastní VPN síť Položka

Počet

Cena Kč/ks (bez DPH)

Cena Kč/Celkem (bez DPH)

Router Cisco 2811

1

58 575 Kč

58 575 Kč

Servisní podpora Silver – 36

1

31 361 Kč

31 361 Kč

Router Cisco 871

5

15 290 Kč

76 450 Kč

Servisní podpora Silver – 36

5

4 466 Kč

22 330 Kč

1

57 200 Kč

57 200 Kč

měsíců 24x7, reakce 4hodin, odstranění 8hodin

měsíců 24x7, reakce 4hodin, odstranění 8hodin Implementace Konfigurace, směrování a překladu adres do internetu, Konfigurace QoS dle požadavku zákazníka, Konfigurace VPN pro připojení vzdálených uživatelů, Konfigurace VPN pro připojení poboček CELKEM bez DPH DPH 20% CELKEM s DPH

245 916 Kč 49 183 Kč 295 099 Kč

Tabulka 9 – VPN kalkulace

65

Vlastní IP telefonie varianta A Položka

Cisco 2821 Voice Bundle - Call

Počet

1

Cena Kč/ks (bez DPH)

Cena Kč/Celkem (bez DPH)

93 159 Kč

93 159 Kč

40 524 Kč

40 524 Kč

16 412 Kč

16 412 Kč

6 908 Kč

6 908 Kč

2 596 Kč

2 596 Kč

1 727 Kč

1 727 Kč

578 Kč

578 Kč

88 000 Kč

88 000 Kč

Manager Express 7 Support Cisco Silver pro Call Manager Express 7 – 24 měsíců

1

Cisco Two-port Voice Interface Card – BRI (ISDN rozhraní)

1

Cisco 2-Port Voice Interface Card (připojení faxu do routeru)

1

Cisco ATA186-I2 (připojení faxu na pobočkách)

1

CallManager Express Lic For Single SCCP analog port (licence k ATA)

1

Support Cisco Standard – 24 měsíců

1

Nasazení a konfigurace

1

CELKEM bez DPH DPH 20% CELKEM s DPH

249 904 Kč 49 981 Kč 299 884 Kč

Tabulka 10 – IP tel. A

66

Vlastní IP telefonie varianta B Položka

Počet

Cena Kč/ks (bez DPH)

Cena Kč/Celkem (bez DPH)

Cisco 2821 Voice Bundle - Call Manager Express 7

1

93 159 Kč

93 159 Kč

Support Cisco Silver pro Call Manager Express 7 – 24 měsíců

1

40 524 Kč

40 524 Kč

Cisco Two-port Voice Interface Card – BRI (ISDN rozhraní)

1

22 451 Kč

22 451 Kč

Cisco 2-Port Voice Interface Card (připojení faxu do routeru)

1

6 908 Kč

6 908 Kč

Cisco ATA186-I2 (připojení faxu na pobočkách)

1

2 596 Kč

2 596 Kč

CallManager Express Lic For Single SCCP analog port (licence k ATA)

1

1 727 Kč

1 727 Kč

Support Cisco Standard – 24 měsíců

1

578 Kč

578 Kč

Nasazení a konfigurace

1

88 000 Kč

88 000 Kč

CELKEM bez DPH DPH 20% CELKEM s DPH

255 943 Kč 51 189 Kč 307 131 Kč

Tabulka 11– IP tel. B

67

Telefony vhodné jak k variantě A tak B Telefonní přístroje

Počet

Cena/ks (bez DPH)

Cena/Celkem (bez DPH)

Základní Cisco IP Phone 7911G, napájecí adaptér, napájecí kabel

1

4 835 Kč

4 835 Kč

Licence k Cisco IP Phone 7911G

1

2 591 Kč

2 591 Kč

Support Cisco Standard – 24 měsíců

1

325 Kč

325 Kč

Cisco IP Phone 7962G + modul 7915, napájecí adaptér, napájecí kabel

1

15 939 Kč

15 939 Kč

Licence k Cisco IP Phone 7962G x

1

3 454 Kč

3 454 Kč

Support Cisco Standard – 24 měsíců

1

618 Kč

618 Kč

Siemens DECT Gigaset C470 IP Black

1

2 530 Kč

2 530 Kč

Licence k SIP telefonu

1

2 591 Kč

2 591 Kč

1

4 323 Kč

4 323 Kč

Velký vhodný pro recepce

Přenosný

SW telefon Cisco CallMgr / Express Lic f Sgl IP Phone (licence k SW telefonu)

Tabulka 12 – Telefony

68

Podpora od předání celého projektu a akceptačních protokolů po dobu tří měsíců Rozsah sluţeb včetně výjezdů k zákazníkovi v rozsahu 5hod. /měsíc a odhadovaná časová náročnost úkonů: záloha OS serveru, aktualizace zabezpečení, integrita systému

3 hod./měsíc

pravidelná kontrola logů, konfigurace, průběhu zálohování

2 hod./měsíc

Veškeré další výjezdy budou účtované podle následujícího sazebníku Hodinová sazba:

1500 Kč/hod.

Cestovné po Praze

250 Kč/výjezd

V případě poţadavku na poskytnutí sluţeb mimo specifikované pracovní hodiny bude účtován příplatek 50% z výše uvedené hodinové ceny.

69

Další možné služby pro zákazníka: Administrace instalovaných systémů, pravidelné updaty, čistění. Administrace virtuálního stroje. Administrace aktivních prvků infrastruktury jako jsou switche, routery Cisco a telefonní zařízení Cisco . Administrace uţivatelského prostředí, active directory a uţivatelských politik. Administrace pravidelných záloh systému a administrace diskového pole IBM. Disaster recovery managment pro celé řešení. Administrace vlastní VPN sítě a DNS serverů. Konzultace a technická pomoc.

Kontaktní osoba: Bc. Filip Volavka IČ: 76468291 Tel.: 777 823 123 Email: [email protected] www.it-expert.cz

70

Výsledky Celkové řešení datové sítě BIVŠ, a.s. při pouţití vţdy draţší moţné varianty ze dvou moţných nepřesahuje 1 869 647 Kč viz tabulka. Nabídky Virtualizace řešení C GW Cyberoam Wifi řešení B Vlastní VPN Vlastní IP telefonie řešení B Celkem

Cena s DPH 907 105 Kč 72 727 Kč 287 585 Kč 295 099 Kč 307 131 Kč 1 869 647 Kč Tabulka 13– Suma

Toto řešení ovšem nezahrnuje ţádný z IP telefonů, SW telefonů a licencí, které je nutné dokoupit zvlášť podle vhodně zvoleného počtu. Celková implementace můţe začít do čtyř týdnů od podepsání smlouvy. Cenové nabídky se mohou lišit na základě pohybu eura a dolaru. Implementace by se měla provádět po etapách, kdy kaţdá etapa je zacílena na konkrétní nabídku a ta je na konci zákazníkem akceptována. Po akceptaci celku a předání škole je moţné zajistit dodatečnou testovací podporu za sníţené ceny na dobu tří měsíců.

Závěry a doporučení Záměrem této práce je mapovat technologie a sluţby nutné k vybudovaní centralizované sítě pro BIVŠ a navrhnout prostředky, jakými docílit efektivní a moderní datové sítě na korporátní úrovni pro velkou organizaci jakou BIVŠ a.s. je. Tato práce vytyčuje a zpracovává moţné řešení celé infrastruktury sítě BIVŠ a.s., včetně cenové nabídky. Cena není vţdy hlavním faktorem výběru. Někdy můţe být zákazník přesvědčen, ţe draţší řešení musí být nutně lepší a ţe poskytne více. Chtěl bych však upozornit, ţe vţdy tomu tak není. Například bezpečnostní řešení Cyberoam CR 50ia stojí podstatně více neţ bezpečnostní řešení Untangle Education Standard, ovšem poskytuje mnohem méně moţností zabezpečení správy a hlavně rozšiřitelnosti. Opačný případ je řešení 71

virtualizace, kde má buď smysl vyuţít nejlevnějšího řešení, virtualizačního řešení B, které poskytuje veškeré výhody virtualizace a zálohovaní za přijatelnou cenu, anebo investovat do řešení virtualizace C, které je draţší oproti variantě A o pouhých 98 076 Kč s DPH, ovšem přináší výhody High-Availability Clusteru. Z osobní zkušenosti doporučuji vyuţít varianty C. Pokud máme hovořit o vybudovaní vlastní VPN sítě a vlastní IP telefonie, tato část je k diskuzi. Záleţí přímo na vedení organizace, jaké sluţby, jak a kde chce vyuţívat. Vybudovaní kompletní VPN infrastruktury s infrastrukturou pro IP telefonii s výběrem draţší varianty B vyjde celkem na 602 230 Kč s DPH. Alternativou k budovaní vlastní infrastruktury VPN a IP tel. je nechat si tyto sluţby hostovat od proviedera, který je schopný nabídnout pronájem veškerých zařízení za velice rozumné aţ symbolické ceny, sám celou síť servisovat a nabídnout aţ 99,5% dostupnost sluţeb. Provider je navíc schopný do celého řešení zahrnout klasické telefony, ale i telefony mobilní, tyto potom mohou telefonovat v jedné síti zcela zdarma a nehraje roli jestli jde o volání z IP telefonu na telefon mobilní či ze SW telefonu na pevnou linku. Veškeré vyúčtování je potom na jednom přehledném dokladu. Moje doporučení pro VPN a IP tel. je kontaktovat aktuálního operátora a providera internetových sluţeb a nechat si tyto sluţby hostovat. Pro Wi-Fi síť centrály byly vytvořeny opět dvě nabídky. První od společnosti H3C(Huawei-3Com), která by dosáhla stejného výsledku jako řešení od společnosti Ruckus Networks, ale stála by o 122 260 Kč s DPH více. Nenabízí však ţádné výhody, Naopak, vyţaduje dvojnásobný počet Access Pointů. Z toho vyplývá, ţe tato varianta by byla zcela nelogická. Jednoznačně tudíţ doporučuji variantu Wi-Fi A. Doporučená varianta by potom mohla vypadat takto: Nabídky

Cena S DPH 907 105 Kč

Virtualizační a zálohovací řešení C

49 098 Kč Bezpečnostní řešení Untangle s placeným modulem Education Standard na dva roky Wifi řešení A

Celkem

165 325 Kč

1 121 528 Kč Tabulka 14 – Doporučená suma

72

Závěr Výsledkem celé práce je komplexní zpracování řešení datové sítě BIVŠ, a.s. včetně cenové nabídky. Toto řešení je aplikovatelné v praxi podle uvedených dodacích lhůt. Současně je toto řešení flexibilní a přístupné změnám podle případných konkrétních poţadavků školy.

73

Seznam použité literatury a citací Použitá literatura 1. STEPHENS, Adrian. IEEE 802 LAN Standards Committee : IEEE 802.11TM WIRELESS LOCAL AREA NETWORKS [online]. 2001 [cit. 2010-04-03]. Dostupné z WWW: http://www.ieee802.org/11/index.shtml. 2. VOLAVKA, Filip. Bezdrátové sítě a jejich uţití v komerčním sektoru . Praha, 2008. 30 s. Bakalářská práce. VŠO. 3. Wi-Fi In Wikipedia : the free encyclopedia [online]. St. Petersburg (Florida) : Wikipedia Foundation, 31. 7. 2007, 13. 4. 2010 [cit. 2010-05-03]. Dostupné z WWW: . 4. Untangle, Inc. Untangle [online]. 2010 [cit. 2010-04-05]. Untangle. Dostupné z WWW: .

Citace [1] Beneš, Vladimír, Ing. [2] COMGUARD a.s. Popis řešení [online]. 2010 [cit. 2010-04-03]. Cyberoam UTM. Dostupné z WWW: . [3] iXsystems. Hardware Lists [online]. 2010 [cit. 2010-04-04]. FreeNAS. Dostupné z WWW: . [4] Rydrych, Jan [5] Sun Microsystems, Inc. Oracle [online]. 2010 [cit. 2010-04-04]. Solaris ZFS. Dostupné z WWW: . [6] Untangle, Inc. Untangle [online]. 2010 [cit. 2010-04-04]. Product Overview. Dostupné z WWW: . [7] Zebra systems, s.r.o. Acronis.cz [online]. 2010 [cit. 2010-04-04]. Zálohování, obnova a migrace virtuálních strojů. Dostupné z WWW: .

74

Seznam tabulek a obrázků Seznam tabulek:

Seznam obrázků:

Tabulka 1 – VPN síť

Obrázek 1 – Diagram sítě centrály

Tabulka 2 – Wi-Fi A

Obrázek 2 – Diagram SmartMesh

Tabulka 3– Wi-Fi B

Obrázek 3 – Měření na lokalitě

Tabulka 4– virtualizace A

Obrázek 4 – Měření na lokalitě

Tabulka 5– virtualizace B

Obrázek 5 – Měření na lokalitě

Tabulka 6– virtualizace C

Obrázek 6 – Měření na lokalitě

Tabulka 7–Cyberoam

Obrázek 7 – Měření na lokalitě

Tabulka 8– Untangle

Obrázek 8 – Diagram VPN

Tabulka 9– VPN kalkulace

Obrázek 9 – Diagram IP tel.

Tabulka 10– IP tel A

Obrázek 10 – Diagram virtualizace A

Tabulka 11– IP tel. B

Obrázek 11 – Diagram virtualizace B

Tabulka 12– Telefony

Obrázek 12 – Diagram virtualizace C

Tabulka 13– Suma Tabulka 14– Doporučená suma

75