Корпоративная сеть Предприятия предназначена для обеспечения функционирования распределенных комплексов программных (компьютерных) приложений, используемых при осуществлении коммерческой, производственной и хозяйственной деятельности предприятия в рамках согласованной и утвержденной технической информационной политики и политики информационной безопасности. В качестве объекта автоматизации выступает коммерческая, производственная и хозяйственная деятельность подразделений предприятия, а также ряд задач, связанных с деятельностью головных структур, смежных и дочерних предприятий.
2. Цели создания Системы
Основной целью создания Системы является минимизация производственных, коммерческих и иных рисков, величина которых может зависеть от эффективности функционирования корпоративной сети и использующих ее приложений. Для достижения этой цели требуется обеспечить максимально надежную работу всех узлов сети и ее линий связи, что, в свою очередь, определяет необходимость выполнения следующих задач: • обеспечение отказоустойчивости Системы на функциональном уровне ядра локальной вычислительной сети (далее – ЛВС); • организация физически выделенных отказоустойчивых сегментов ЛВС с повышенными требованиями безопасности (сторонние организации, цеховые структуры контроля и управления технологическими процессами и пр.) и обеспечение связи этих сегментов с остальной сетевой инфраструктурой при помощи специализированных защищенных шлюзовых устройств; • модернизация узлов ЛВС, относящихся к уровню распределения, для обеспечения отказоустойчивой работы этого функционального уровня; • модернизация критически важных участков ЛВС функционального уровня доступа с целью резервирования сетевых подключений, используемых серверами; • дооснащение сетевого оборудования и инфраструктуры интерфейсными модулями и кабельными линиями связи – для обеспечения отказоустойчивости на физическом уровне.
Предлагаемая конфигурация локальной вычислительной сети эффективно обеспечивает текущие и планируемые корпоративные бизнес-требования, а именно: • интеграцию приложений и данных на общекорпоративном уровне; • совместное безопасное использование консолидированных данных; • работу пользователей прикладных систем в реальном времени и высокую степень доступности ресурсов сети; • гарантированный доступ к информации и приложениям в режиме 24x7x365; • высокую производительность доступа к ресурсам, малое время отклика, адекватную пропускную способность, достаточный резерв пропускной способности для будущего роста. Для того, чтобы обеспечить надежное функционирование комплексной информационной системы и гарантированный высокоскоростной доступ всех категорий пользователей к его информационно-вычислительным ресурсам, предлагаемые решения по построению ЛВС основываются на современных технологиях передачи данных и предусматривают реализацию следующих основных возможностей: • обеспечение пропускной способности магистрали сети, достаточной для обмена данными в рамках корпоративных прикладных систем, задач и сервисов с учетом того, что для обеспечения сбалансированности нагрузки пропускная способность подключения серверов и магистрали сети должна на порядок превышать пропускную способность подключения рабочих станций пользователей сети; • необходимое и достаточное резервирование среды передачи данных на физическом и логическом уровне с целью повышения степени надежности функционирования и устойчивости сети к повреждениям каналов связи, отказам технических средств и сбоям программного обеспечения, исключение «единой точки отказа»; • применение структурированной кабельной системы (СКС); • предоставление пользователям доступа к корпоративным ресурсам и приложениям на основе коммуникационных протоколов стека TCP/IP; • организация виртуальных сетей на основе проведения согласованной политики разграничения прав доступа и защиты от несанкционированного доступа; • подключение ЛВС к внешним телекоммуникационным сетям; • обеспечение удаленного доступа к ресурсам сети мобильных пользователей через телефонную сеть общего пользования; • подключение внешних каналов связи и предоставление пользователям локальной вычислительной сети доступа к ресурсам сетях Интернет и Интранет, интеграция в единое информационное пространство; Развёрнутая в результате выполнения настоящего проекта ЛВС обеспечит поддержку следующих сервисов: • файлового сервиса; • сервиса печати; • сервиса электронной почты; • сервиса HTTP и FTP; • сервиса Dynamic Host Configuration Protocol (DHCP); • сервиса Domain Name Server (DNS); • осуществление централизованного технического обслуживания, администрирования и мониторинга. Успешное функционирование корпоративных прикладных систем существенно зависит от степени интеллектуальности сетевой инфраструктуры. Это подразумевает необходимость обеспечения сетевого администратора инструментами и процедурами для выделения и приоритезации сетевых ресурсов между различными приложениями и группами пользователей. В рамках настоящего проекта предполагается реализация архитектуры Policy Networking, включающей следующие функциональные компоненты: • Intelligent Network - интеллектуальные устройства инфраструктуры сети, т.е. маршрутизаторы, коммутаторы, серверы доступа, с унифицированным межплатформенным программным обеспечением; • Policy Services - средства и технологии преобразования бизнес-требований в конфигурацию сети и активирования политики качества сервиса (QoS), сетевой безопасности и других сетевых сервисов; • Registration and Directory Services - средства и технологии обеспечения динамической регистрации сетевого адреса, профиля приложения, имени пользователя и другой информации в каталогах; • Policy Administration - средства и технологии обеспечения централизованного управления, основанные на правилах политики контроля сервисов сети. Аппаратно-программные средства ЛВС реализуют следующие механизмы и инструменты: • контроль качества сервиса QoS для управления скоростью обмена данными и задержками; • активная идентификация и авторизация пользователей в сети, реализация предопределенных правил регистрации, контроль деятельности пользователей в реальном времени, защита от несанкционированного доступа к сети; • регистрация имени, виртуальной сети, IP-адреса и МАС-адреса пользователя, а также порта коммутатора доступа при подключении пользователя; • поддержка всех типов имеющихся в сети коммутаторов; • динамическое взаимодействие с сервисами Dynamic Host Configuration Protocol (DHCP) и Domain Name Server (DNS); • автоматическое конфигурирование портов коммутаторов доступа; • контроль пользователей по различным атрибутам правил регистрации и предоставление этой информации другим компонентам системы, в частности для конфигурирования виртуальных сетей по именам пользователей; • резервирование подсистемы регистрации; • предоставление интегрированных сервисов DNS и DHCP, обеспечение управления адресным пространством IP для обеспечения функций идентификации, авторизации и регистрации пользователей; • автоматизация разработки, проверки, конфигурирования и внедрения политики и инструментов обеспечения качества сервиса QoS; • определение различных классов трафика для различных приложений; • проверка разработанной политики QoS перед ее внедрением с учетом типов устройств, интерфейсов, версий программного обеспечения и поддерживаемых технологий; • активизация сервиса предотвращения перегрузок в сети; • упрощенная и надежная процедура распространения политики QoS в пределах административного домена сети; • фильтрация IP-трафика и разграничение доступа к устройствам сетевой инфраструктуры в соответствии со списками доступа (Access Lists). Для достижения лучших характеристик в части производительности, надежности, управляемости и масштабируемости локальной вычислительной сети применен подход, предусматривающий разработку «многоуровневой» архитектуры.
Пример «многоуровневой» архитектуры корпоративной ЛВС представлен на Рис. 1.
Рис. 1. Пример «многоуровневой» архитектуры корпоративной ЛВС
Многоуровневая модель ЛВС включает 4 уровня:
• уровень доступа (Access Layer) – коммутаторы уровня 2 модели OSI; • уровень распределения (Distribution Layer) – коммутаторы уровня 2 модели OSI; • уровень ядра (Core Layer) – коммутаторы уровня 3 модели OSI; • серверная ферма (Server Farm) – коммутаторы уровней 2/3 модели OSI; • применение в качестве активного сетеобразующего оборудования коммутаторов вместо традиционных концентраторов и маршрутизаторов обеспечивает максимальную производительность сети, поскольку в коммутаторах все основные функции реализованы на аппаратном уровне. Коммутация уровня 2 представляет собой аппаратно реализованный мост (bridge). В частности, передача кадров осуществляется специализированным оборудованием, называемым Application-Specific Integrated Circuit (ASIC). Коммутаторы уровня 2 заменяют концентраторы-повторители в составе коммуникационных узлов локальной сети. Коммутация уровня 3 представляет собой аппаратную маршрутизацию. В частности, передачей пакетов занимаются специализированные устройства (ASIC). В зависимости от протоколов, интерфейсов и поддерживаемых функций коммутаторы уровня 3 могут использоваться в локальных сетях вместо маршрутизаторов. Коммутация уровня 4 заключается в аппаратном анализе трафика, создаваемого различными типами пользовательских приложений. В потоках данных, создаваемых протоколами TCP (Transmission Control Protocol) и UDP (User Datagram Protocol), порт того или иного приложения содержится в заголовке каждого пакета. Имеется набор функций для анализа информации протоколов уровня 4, что позволяет управлять потоками данных на основе списков доступа (Access Lists). В одном физическом устройстве (коммутаторе) возможна одновременная реализация нескольких или всех логических уровней коммутации (2, 3, 4).
Модернизация корпоративной сети Предприятия будет проводиться с резервированием основных линий связи на 2000 рабочих мест. При этом будет учитываться соотношение между количеством рабочих мест, находящихся в офисных помещениях административно-бытовых корпусов (70%), и количеством подключаемых к сети компьютеров, расположенных в цехах (30%). Центры маршрутизации и коммутации ядра сети будут находиться в различных зданиях. Основным маршрутизируемым протоколом в сети является протокол IP. Проектируемая сеть будет устойчива к случайным и намеренным попыткам нарушения информационной безопасности, таким как несанкционированное подключение, несанкционированный доступ к данным и порождение сетевой активности, приводящей к отказу в обслуживании (Denial of Service) со стороны серверов и(или) активного сетевого оборудования, относящегося к уровням ядра и распределения.
2. Характеристики узлов (объектов, подсистем) сети
Дополнительный центр маршрутизации и коммутации уровня ядра сети предполагается разместить в здании (АСУ ТП). Центры коммутации уровней распределения и доступа, размещенные на площадках «Управление», «Управления цехов 1,2,4,3», «ЦЕХ-5», «АСУ ТП», «АСУ ТП уровня автоматики», «Адм.Здание Мех.Цеха -1», «Адм. Здание АТЦ», «Адм.Здание Мех. Цеха-2». В производственных помещениях и участках сети, принадлежащих сторонним организациям, предполагается организовать физически и (или) логически выделенные отказоустойчивые сегменты ЛВС. Связь этих сегментов с остальной сетью предполагается организовать с использованием специализированных защищенных шлюзовых устройств.
Центры маршрутизации и коммутации уровней ядра и распределения будут связаны между собой резервированными оптоволоконными каналами связи, проходящими, по возможности, различными физическими трассами, с заявленной пропускной способностью протокола передачи данных канального уровня не менее 1 Гбит/с. Резервирование и настройка оборудования уровней ядра и распределения, а также избыточность линий связи этих уровней обеспечат полную отказоустойчивость Системы на всех уровнях ЛВС. Выход из строя одного центра маршрутизации и коммутации или какого либо из его элементов не повлияет на работу конечных пользователей.