SPOŁECZNA WYŻSZA SZKOŁA PRZEDSIĘBIORCZOŚCI I ZARZĄDZANIA W ŁODZI WYDZIAŁ STUDIÓW MIĘDZYNARODOWYCH I INFORMATYKI KIERUNEK INFORMATYKA

Transkrypt

1 SPOŁECZNA WYŻSZA SZKOŁA PRZEDSIĘBIORCZOŚCI I ZARZĄDZANIA W ŁODZI WYDZIAŁ STUDIÓW MIĘDZYNARODOWYCH I INFORMATYKI KIERUNEK INFORMATYKA Bartkowiak Piotr Dąbrowski Mariusz Matys Marek Stachnik Daniel Sikora Przemysław PROJEKT GRUPOWY SIECI DLA FIRMY CARTAGO Przedmiot realizowany w ramach Projektu: Modernizacja i rozwój systemu nauczania informatyki w Społecznej Wyższej Szkole Przedsiębiorczości i Zarządzania współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego, Program Operacyjny Kapitał Ludzki Łódź

2 1 Audyt Założenia projektowe Analiza potrzeb Priorytety instalacji Schematy sieci Schemat logiczny sieci w warstwie trzeciej Schemat logiczny sieci w warstwie drugiej Schemat logiczny sieci w warstwie pierwszej Adresacja IP / VLANy Wstęp teoretyczny Implementacja sieci VLAN oraz zakres adresów IP w przedsiębiorstwie CARTAGO Bezpieczeństwo VPN Częśd Teoretyczna Połączenia VPN w przedsiębiorstwie Cartago Dobór okablowania poziomego, pionowego i urządzeń pasywnych Wstęp teoretyczny Połączenie między budynkowe (Punkt dystrybucyjny kampusu) Okablowanie strukturalne pionowe (Punkt dystrybucyjny kondygnacji) SC Pigtail Multimode 50/125 green, 2m Okablowanie poziome (Dystrybucyjny Punkt Kondygnacji) Metody oznakowania punktów abonenckich Dostęp do internetu ISP Łódź Lokalizacja w Berlinie Dobór sprzętu aktywnego Wstęp Routery

3 8.3 Moduły Switche Access Point Serwery Wybór sprzętu pod serwery Sprzęt Dobór oprogramowania do serwerów Konfiguracja usług Licencje Bezpieczeństwo serwerów Polityka bezpieczeństwa Hosty, urządzenia peryferyjne, oprogramowanie Sprzęt Specyfikacje

4 Wstęp Oto projekt sieci w firmie Cartago, potentata na tynku produkcji map. Jest to kompletny, bardzo dokładny plan stworzenia profesjonalnej infrastruktury która ma w sposób łatwy i maksymalnie bezproblemowy zagwarantuje najlepsze efekty pracy dla pracowników. Zaprezentowano najnowsze rozwiązania technologiczne jakie możemy uzyskać na obecną chwilę. Wszystko w jasny i klarowny sposób tak, aby zarówno osoba która nic nie wie na temat budowania i projektowania sieci mogła wyciągnąć z tej pracy wiele interesujących informacji i wiedzy. Praca stworzona jest o realnym nastawieniu do czytelnika. Nie jest problemem pisanie językiem zrozumiałem tylko dla garstki społeczeństwa wyspecjalizowanego w jakiejś dziedzinie. Kluczem jest przekazanie wiedzy w prosty sposób. Staraliśmy się również odbiec od ogólnie nałożonych standardów i troszkę zrewolucjonizować wygląd tej pracy. Miała ona nauczyć jej autorów tworzenia sieci ale w sposób faktycznie przydatny. I organizacji. Myślę że praca ta dopięła i sprostała temu zadaniu. Nie pozostaje nam nic tylko zaprosić do lektury naszej pracy. 4

5 1 Audyt W dniu odbyło się spotkanie z przedstawicielem firmy Cartago celem przeprowadzenia wstępnego planu montażu sieci komputerowej i informatyzacji przedsiębiorstwa. Podczas rozmowy otrzymaliśmy wytyczne dzięki którym będziemy realizować nasze przedsięwzięcie. Firma Cartago to międzynarodowy potentat w produkcji map i produktów kartograficznych. To bardzo szybko rozwijająca się firma zatrudniające na dzień dzisiejszy blisko 150 pracowników a w niedalekiej przeszłości ilość ich ma wzrosnąć do blisko 200. Wśród kadry zatrudnionych możemy wyróżnić następujące działy: Zarząd; - czyli kadra zarządzająca przedsiębiorstwem. Dział księgowości; - księgowi i analitycy finansowi. Dział logistyki; Dział przygotowania produkcji; - przetwarzają pliki stworzone przez grafików na format gotowy do produkcji (produkt końcowy). Dział graficzny; - tworzą projekty map. Dział administracyjny; - pracownicy administracyjni. Dział IT; - informatycy. Handlowcy; - osoby zajmujące się sprzedażą gotowych produktów. Dział Marketingu; - reklama i promocja. Firma wypracowała unikalny sposób rozmieszczania pracowników w biurach. Działy przenikają się nawzajem czyli w jednym pomieszczeniu znajduję się pracownicy kilku działów. Firma otwarta jest na przyjmowanie do siebie stażystów i praktykantów celem poszukiwania nowych, interesujących pracowników. Firma posiada trzy siedziby: Główna (Centrala) znajdująca się w Łodzi, będąca trzypiętrowym budynkiem przeznaczonym dla pracowników biurowych. Tutaj znajduje się główna serwerownia wyposażona w najwyższej jakości systemu zabezpieczeń. Na potrzeby montażu okablowania strukturalnego konieczne było zamontowanie podwieszanej podłogi i sufitu. 5

6 Produkcyjna również znajdująca się w Łodzi jednak posiadająca tylko dwie kondygnacje. Budynek przeznaczony jest dla celów produkcyjnych oraz magazynowych. W budynku tym znajduję się hala produkcyjna w której w wyniku działających maszyn (wysokie zakłócenia) nie możliwe jest dostarczenie sygnału za pomocą kabli miedzianych ani fal radiowych. Związku z tym Koniecznie jest położenie okablowania światłowodowego. Biuro Handlowe z siedzibą w Berlinie. Powierzchnia biurowa zajmująca jedną kondygnację przeznaczoną dla działu handlowego i przedstawicieli handlowych. Wszystkie budynki są nowe, bez zamontowanej sieci elektryczno informatycznej. Nie ma również sieci telefonicznej. W naszym projekcie nie będziemy się zajmowani tym zagadnieniem. Dopuszcza się montaż dodatkowych ścianek działowych lecz nie posiadamy zezwolenia na burzenie już istniejących ścian. Łódzkie budynki znajdują się w odległości ~6 km od siebie. Pozostaje kwestia połączenia budynków infrastrukturą informatyczną. Firma chcę posiadać tani, szybki i niezawodny dostęp do Internetu. Wymagać to będzie dostarczenia dwóch niezależnych łączy internetowych (jedno główne rzędu 6-10Mbsp i drugie zapasowe 1-2Mbsp). Zapasowe ma się uaktywniać w momencie utraty łączności z głównym łączem. Dodatkowo konieczne będzie postawienie pomiędzy siedzibami łącza VPN w celu wymiany danych. Firma od której będziemy korzystać będzie musiała posiadać podpisaną umowę o świadczenie takiej usługi również za granicą. Na potrzeby projektu otrzymaliśmy plany wszystkich budynków celem zaplanowania rozłożenia okablowania i wykorzystania poszczególnych pomieszczeń. Naszym calem jest również komputeryzacja przedsiębiorstwa. Firma postanowiła kompleksowa wymienić wszystkie komputery wraz z urządzeniami peryferyjnymi i oprogramowaniem. Część personelu korzystać ma z komputerów firmy Apple, pozostali ze zwykłych PCetów. Konieczne jest dobranie również drukarek (wszystkie mają być wyposażone w karty sieciowe), serwerów, urządzeń sieci aktywnej i pasywnej. Potrzebne jest również oprogramowanie do obsługi komputerów. Wykorzystamy do tego celu system Linux, Windows 7, oprogramowanie antywirusowe, oraz programy graficzne wykorzystywane to tworzenia map. Powierzono nam również dobór systemu CRM do zarządzenia 6

7 przedsiębiorstwem. Jako warunek otrzymaliśmy konieczność pracowania bazy danych na silniku firmy Oracle. Firma zdecydowanie odmówiła korzystania z urządzeń firmy Cisco ze względu na liczne problemy wynikające w wcześniejszych etapach funkcjonowania przedsiębiorstwa. Sieć którą mamy założyć w budynkach klienta ma opierać na okablowaniu miedzianym w miejscach nie zarażonych na zakłócenia, dostępie radiowym (portiernia i sala konferencyjna) oraz szybkich łączach światłowodowych (infrastruktura pionowa i komputery umieszczone na hali produkcyjne narażone na zakłócenia elektro-magnetyczne). Każdy dział ma posiadać własny zasoby i przywileje. Firma chce otrzymać własne, unikalne domeny internetowe (przykładowo: Dodatkowo chce posiadać własny serwer pocztowy, sklep internetowy, serwer WWW i 2 serwery DNS. Z usług wewnątrz intranetu konieczne jest położenie serwera DHCP, domeny, serwera plików. Przedsiębiorstwo nie narzuca nam limitów finansowych na wykonanie projektu. Wymaga jednak rozsądnego i racjonalnego gospodarowaniem kosztorysem który ma zostać dołączony do naszego projektu. Kompleksowy plan ma zostać oddany 1 lipca

8 2 Założenia projektowe Wymagania firmy odnośnie projektu sieci są następujące: sieć komputerowa ma być szybka i niezawodna stacje robocze pracowników mają być klasy business pracownicy dyrekcji mają mieć zapewnione lekkie, przenośne laptopy oraz bezpieczny dostęp VPN do danych zgromadzonych na serwerach w siedzibie firmy na każdym piętrze należy zainstalować sieciowe drukarki laserowe w budynku głównym należy zapewnić niezawodny dostęp do Internetu wszyscy pracownicy mają mieć dostęp do Internetu pomieszczenie serwerowni ma być wyposażone w klimatyzację, kontrolę dostępu, zabezpieczenia antywłamaniowe i przeciwpożarowe należy zapewnić firmie bezpieczeństwo i ochronę danych 2.1 Analiza potrzeb Projektowana sieć powinna zaspokoić bieżące jak i przyszłe zapotrzebowanie względem ilosci gniazd sieciowych jak i transferu danych. Polaczenia sieciowe powinny być szybkie w celu płynnego transferu projektów graficznych. Cały projekt ma zostać wykonany zgodnie z obowiązującymi normami. Konfiguracja sieci powinna być tak skonstruowana aby handlowcy mogli z każdego miejsca łączyć się z zasobami firmowymi. Serwery maja mieć SLA rzędu 99% dostępności. 2.2 Priorytety instalacji Rozwiązania przyjęte w dalszej części pracy wynikają z przyjętych ograniczeń dotyczących wykonywania okablowania : - Realizacja w godzinach prac: Nie ma ściśle wytyczonych godzin pracy, możliwa jest praca zarówno w godzinach nocnych jak i w środku dnia. Teren jest prywatny i dostępny cała dobę w celach instalacyjnych 8

9 - Koszty: Firma nie wystosowała górnego pułapu cenowego, głównym kryterium doboru jest jakość/wydajność. -Elastyczność: Konstrukcja torów kablowych musi umożliwiać łatwe modyfikacje ilości oraz położenia gniazd abonenckich -Otwartość: Konstrukcja torów kablowych musi zapewniać możliwość uzupełnienia o dodatkowe specyficzne rodzaje kabli takich jak światłowody, kable do monitoringu, kable do systemów kontroli dostępu rejestracji czasu pracy, kable systemów alarmowych. 9

10 3 Schematy sieci 3.1 Schemat logiczny sieci w warstwie trzeciej Rys. 1 Schemat sieci w warstwie trzeciej Dostawcą internetu jest firma ATMAN RAIL.Internet dostarcza ona połączenie podstawowe o prędkości 50Mb/s oraz łącze zapasowe znajdujące się w fili Łódzkiej o przepustowości równej 15Mb/s. Dostawca zapewnia że łącze kablowe używane w łódzkiej centrali będzie dostępne w 99,99% czasu użytkowania. Internet o szybkości 6 Mbit/s i wysyłania 512 Kbit dla oddziału berlińskiego zapewnia Niemiecka firma T-Com Dla obu fili firmy znajdującej się w Łodzi firma wydzieliła nam publiczne adresy z puli /28. W Berlinie mamy do dyspozycji adresy z puli /29. Wewnątrz sieci, wszystkie urządzenia aktywne posiadają adresy z puli /24. Za routerem brzegowym umieszczono wydajny komputer z systemem linuks pełniący rolę Firewall a, oddziela on strefę DMZ, w której znajdują się publiczne serwery od wnętrza sieci oraz filtruje pakiety przychodzące do wnętrza sieci. Firewall ten pełni również rolę serwera dostępowego 10

11 VPN dla użytkowników mobilnych oraz koduje ruch IPSec site to site oraz L2TP między oddziałami łódzkim i berlińskim. Sieć komputerowa z powodów bezpieczeństwa podzielona została na oddzielne VLAN-y, czyli posiada sieci komputerowe wydzielone logicznie w ramach jednej, większej sieci fizycznej. Do sieci fizycznej podpięte zostały sieci logiczne odpowiadające konkretnym działom, które znajdują się w firmie stanowiące jedną całość. Do tworzenia VLAN-ów wykorzystaliśmy konfigurowalne, switche umożliwiające podział jednego fizycznego urządzenia na większą liczbę urządzeń logicznych, poprzez separację ruchu pomiędzy określonymi grupami portów. Wszystkie działy mają przypisane swoje oddzielne zakresy adresów IP, oraz odpowiadające im VLAN-y. W celu łatwiejszego zarządzania dostępem do poszczególnych zasobów, zostały wprowadzone listy kontroli dostępu. W celu umożliwienia bezpiecznego dostępu z zewnątrz sieci korporacyjnej do jej wewnętrznych zasobów została zastosowana technologia bezpiecznych sieci prywatnych (VPN). Działa ona na zasadzie wydzielonego "tunelu", przez który płynie ruch w ramach sieci prywatnej pomiędzy klientami końcowym za pośrednictwem publicznej sieci w taki sposób, że węzły tej sieci są przezroczyste dla przesyłanych w ten sposób pakietów. Dane przesyłane przez tunel możemy opcjonalnie kompresować lub szyfrować w celu zapewnienia lepszej jakości lub większego poziomu bezpieczeństwa przesyłanych danych. Aby ochronić sieć przed atakami z zewnątrz zapora sieciowa (firewall- ściana ognia ) filtruje pakiety oraz posiada filtry reagujące na powszechnie znane i używane najczęściej formy ataków, pozwala również konfigurować własne filtry. Firewall ten posiada funkcję logowania zdefiniowanych przez użytkownika zdarzeń do dziennika, dzięki czemu administrator będzie mógł analizować wszelkie pakiety uznane przez filtry za niebezpieczne. Ponieważ jest to komputer z systemem Linux możliwe jest na nim zainstalowanie programu snort oraz snifera sieciowego. Snort jest darmowym i niezwykle elastycznym systemem IDS (Instrusion detection system) może on służyć do poprawienia bezpieczeństwa sieci. Poprawne skonfigurowanie firewalla pozwoli dobrze zabezpieczyć sieć przed atakami oraz zapewni jej wysoki poziom niezawodności. Na zaporze sieciowej zdefiniowano DMZ. DMZ jest strefą ograniczonego zaufania. Sieć tą izoluje się od sieci wewnętrzne, a zawiera ona serwery lokalne, które udostępniają usługi na zewnątrz. W strefie tej znalazł się jeden fizyczny serwer 17

12 podzielony na 3 logiczne serwery. Serwery te to serwer poczty, serwer WWW, oraz serwer DNS. Umieszczając te serwery w strefie DMZ zwiększamy bezpieczeństwo sieci. Jeśli serwer zostanie zaatakowany a napastnikowi uda się przejąć nad nim kontrolę to serwer ten nie posłuży do przejęcia kontroli nad całą siecią firmową, ponieważ strefa DMZ nie ma żadnego kontaktu z siecią wewnętrzną, o co dba firewall. Firma dysponuje trzema budynkami, w których pracownicy przydzieleni są do odpowiednich wirtualnych LAN-ów. W firmie utworzono 10 wirtualnych sieci. Każdy dział tworzy oddzielną sieć wirtualną. Sieci te mają ograniczone możliwości komunikowania się ze sobą, co również zwiększa bezpieczeństwo i stabilność pracy sieci. Ograniczenie dostępu do poszczególnych sieci VLAN realizowane jest dzięki zastosowaniu list kontroli dostępu umieszczonych na przełączniku warstwy Schemat logiczny sieci w warstwie drugiej Rys. 2 Schemat logiczny sieci w warstwie drugiej 18

13 3.3 Schemat logiczny sieci w warstwie pierwszej Rys. 3 Schemat logiczny sieci w warstwie pierwszej

14 4 Adresacja IP / VLANy 4.1 Wstęp teoretyczny VLAN (Virtual Local Area Network) to skrót oznaczający wirtualną sieć lokalną. Opracowano go w celu separacji logicznej sieci. Separacja taka zwiększa zarówno bezpieczeństwo jak i wydajność sieci, gdyż dzieli całą sieć na domeny rozgłoszeniowe bez użycia routera, który wprowadziłby większe opóźnienia. Istnieją dwa odrębne standardy określane jako port based VLAN, polegający na separacji portów oraz tag based. Pierwszy jest stosunkowo prosty w konstrukcji. W urządzeniu wydziela się grupę portów, która jest traktowana jak odrębne urządzenie. Rozwiązanie to pozwala stosować jeden przełącznik jako kilka urządzeń logicznych. Standard ten nie umożliwia przesyłania kilku sieci logicznych jednym łączem fizycznym. Drugi standard polega na oznaczeniu ramek ethernetowych specjalnie umieszczonym znacznikiem. Urządzenie separuje ramki na podstawie znacznika. Pozwala to przesyłać jednym kanałem fizycznym wiele odseparowanych logicznie podsieci. Technologia ta jest opisana standard IEEE 802.1Q Rys. 4 Porównanie ramek: Standardowej ramki Ethernetowej (na górze) oraz ramki Ethernetu 802.1Q (na dole) wraz z prezentacją pola TCI

15 Z porównania ramek z Rys. 4 wynika kilka istotnych faktów. Po pierwsze ramka 802.1Q jest dłuższa o dodatkowe 4 bajty. Po drugie wartość pola Typ/rozmiar zawiera wartość inną niż w chwili wysłania. Po trzecie zmienia się zawartość ramki i trzeba na nowo obliczyć sumy kontrolne. Większość produkowanych przełączników zarządzalnych zgodna jest z tym standardem i można je bez większych kłopotów łączyć ze sobą. Urządzenia znajdujące się w różnych sieciach VLAN mogą się komunikować ze sobą tylko przy udziale warstwy 3 modelu ISO/OSI. Dlatego też każda sieć VLAN musi znajdować się w osobnej podsieci logicznej. Dzięki takiemu rozwiązaniu możliwe jest precyzyjne rozdzielenie adresów IP w sieci przedsiębiorstwa. Adresy IP mogą być przypisywane ręcznie lub automatycznie za pomocą protokoły DHCP. Przypisanie statyczne adresu do maszyny powinno tyczyć się głównie serwerów i urządzeń sieciowych1, ponieważ są to urządzenia kluczowe dla działania firmy. Użytkownicy końcowi powinni mieć dynamicznie przydzielane adresy IP, a jeśli zachodzi potrzeba żeby użytkownik miał przez dłuższy czas takie samo IP wystarczy odpowiednio skonfigurować serwer DHCP. Adresy IPv4 składają się z 4 oktetów czyli 8 bitów ( dziesiętne wartości 0-255), co daje nam łączną wielkość adresu 32 bity. Aby ściśle zdefiniować adresy przynależne do danej sieci wymyślono pojęcie maski podsieci. Określona ilość pierwszych bitów adresu IP ma być taka sama, a pozostałe bity w sieci mogą się różnić. W ten sposób powstaje proste kryterium, pozwalające komputerom na określenie swojego położenia na podstawie adresu. Maskę sieci zapisuje się podobnie jak adres IP. W masce sieci część określona przez same jedynki jest częścią sieciową, a cześć określona zerami jest częścią mówiącą o numerze hosta w danej sieci. Jeśli komputer po przeanalizowaniu adresu IP i maski sieci stwierdzi że komputer który wysłał do niego informacje nie znajduje się w tej samej sieci, wówczas odpowiedz wysyłana jest na adres tzw. bramy domyślnej, która powinna znać drogę do określonego celu. Brama domyślna to najczęściej router. Stąd ważne żeby adresy routerów były przypisane statycznie. Adresy w sieci powinny być rozdzielane tak aby administrator sieci już po adresie IP mógł ustalić z jakiej lokalizacji pojawił się pakiet, oraz host z jakiego działu firmy go wysłał. Takie podejście pozwala na późniejsze łatwe identyfikowanie sprawców ewentualnych problemów z działanie sieci przedsiębiorstwa. 4.2 Implementacja sieci VLAN oraz zakres adresów IP w przedsiębiorstwie CARTAGO Zaprojektowano następujące sieci VLAN: graficy zarząd

16 produkcja serwery VLAN zarządzający- pracownicy IT wifi drukarki administracja/księgowość handlowcy magazyn Adresacja będzie się odbywać wg schematu: X.0/24 Gdzie X będzie numerem VLAN-u, Każdy sprzęt ma przypisany swój adres MAC do IP na serwerze DHCP, dzięki czemu będzie można dokonać podziału według lokalizacji tzn dana część puli adresów IP z VLANu X jest przypisana do danej lokalizacji:

17 Tab. Adresacja urządzeń w przedsiębiorstwie Cartago wraz z podziałem na sieci VLAN.

18 4.3 Bezpieczeństwo Ze względów bezpieczeństwa nie wszystkie sieci VLAN mają dostęp do wszystkich zasobów. I tak produkcja pozbawiona jest możliwości wyjścia na Internet, będzie mogła jedynie komunikować się z serwerem plików. Graficy korzystają z Internetu serwera plików oraz łączą się bezpośrednio z urządzeniami w sieci Produkcja. Zarząd firmy posiada dostęp do zasobów wszystkich sieci VLAN oprócz VLAN5. Serwery odpowiadają na zapytania ze wszystkich sieci VLAN, ale nie będą miały wyjścia na Internet, oprócz serwera bezpieczeństwa danych, który czasowo nawiązuje sesję vsftp/scp z serwerem WWW w celu pobrania plików do archiwizacji. Sesja taka będzie mogła być nawiązana tylko w określonych godzinach, poza nimi t serwer bezpieczeństwa danych nie będzie nawiązywać połączenia z Internetem. VLAN5 będzie służył do zarządzania całą siecią do niego będą należeli tylko pracownicy działu IT oraz aktywne urządzenia sieciowe. Sieć wi-fi ze względów bezpieczeństwa została wydzielona z sieci wewnętrznej. Access Point-y mają dostęp jedynie do Internetu, nie nawiązują połączeń z siecią LAN firmy. Wybrane w projekcie drukarki są drukarkami sieciowymi i jako takie będą udostępnione użytkownikom. Do tej sieci VLAN mogą dostać się wszyscy z sieci wewnętrznej, aby mogli wydrukować potrzebne im dokumenty. Administracja oraz handlowcy muszą mieć dostęp do wszystkich serwerów w firmie oraz do Internetu. VLAN10 musi mieć dostęp do serwera bazodanowego oraz opcjonalnie do Internetu. Dodatkowo dostęp do zasobów zlokalizowanych na serwerach będzie odbywał się na podstawie loginów i haseł użytkowników. Przez określenie Dostęp do Internetu rozumie się możliwość połączenia z adresami spoza sieci wewnętrznej.

19 5 VPN 5.1 Część Teoretyczna VPN (Virtual Private Network) jest prywatną siecią, która używa publicznej sieci, najczęściej Internetu, do łączenia zdalnych punktów i użytkowników. Oprócz wykorzystywania dedykowanych połączeń, VPN stosują połączenia internetowe przebiegające od sieci prywatnej lub korporacyjnej do punktu zdalnego albo zdalnego użytkownika. Istnieją dwa typy sieci VPN: Remote-Access Site-to-Site. Remote-Access Remote-Access, czyli zdalny dostęp sieć ta łączy użytkownika z siecią lokalną przedsiębiorstwa. Rozwiązanie (pokazane na rysunku 1) jest szczególnie użyteczne dla przedsiębiorstw, które mają zdalnych, często przemieszczających się pracowników, np. duża firma rozsyłająca po kraju wielu przedstawicieli handlowych. W ten sposób tworzy się bezpieczne, szyfrowane połączenie między prywatną siecią firmową a zdalnymi użytkownikami za pośrednictwem internetu. Rys. 5 Schemat sieci VPN typu remote Access

20 Site-to-Site Dzięki zastosowaniu zaawansowanych technik szyfrowania oraz specjalnego, dedykowanego sprzętu firma może połączyć wiele swoich rozproszonych punktów, a właściwie sieci lokalnych, za pośrednictwem sieci publicznej (Rysunek2). Ten typ VPN dzieli się na dwa podtypy, oparte na: intranecie i ekstranecie. O sieci typu pierwszego mówi się zazwyczaj wtedy, gdy przedsiębiorstwo ma centralę i jeden lub kilka punktów zdalnych, które chce połączyć. Intranetowa VPN łączy sieć lokalną centrali z siecią lokalną punktu zdalnego. Natomiast sieci wirtualne z wykorzystaniem ekstranetu stosuje się z powodzeniem wtedy, kiedy przedsiębiorstwo zachowuje silne związki ze swoim podwykonawcą, klientem lub łączą je innego typu mocne więzi z jakimś innym przedsiębiorstwem. Dzięki połączeniu sieci lokalnych obydwu firm przedsiębiorstwa mogą pracować we współużytkowanym środowisku. Intranet sieć lokalna lub rozległa przedsiębiorstwa, w której zastosowano technologie internetowe: głównie oprogramowanie oparte na TCP/IP i HTTP. Kontakt takiej sieci z siecią publiczną odbywa się najczęściej przez zaporę ogniową. Ekstranet sieć niezależnych przedsiębiorstw, oparta na technologiach internetowych. Są to często sieci korporacyjne połączone ze sobą za pośrednictwem bezpiecznych łączy internetowych i linii dzierżawionych. Rys. 6 Ogólny schemat połączenia VPN typu Site to Site

21 Bezpieczeństwo VPN W VPN przewidziano kilka metod zabezpieczenia danych: Zapora ogniowa. Stanowi ona rodzaj przegrody między siecią prywatną a Internetem. Zapora ogniowa jest oddzielnym urządzeniem lub oprogramowaniem, ale wszystkie jej funkcje mogą być wbudowane w niektóre routery. Szyfrowanie. Większość systemów szyfrowania przynależy do jednej z dwu następujących kategorii: Symmetric-key encryption, PKE (Public-Key Encryption). W przypadku Symmetric-key encryption, czyli preferującej metodę z użyciem klucza symetrycznego, każdy komputer ma klucz sekretny, który może stosować do szyfrowania pakietów zawierających informacje przed ich wysłaniem przez sieć do innego komputera. Przy stosowaniu tej metody trzeba wiedzieć, które z komputerów będą się ze sobą komunikowały, gdyż klucz będzie zainstalowany na każdym z nich. Szyfrowanie z użyciem klucza publicznego wymaga kombinacji klucza prywatnego i publicznego. Klucz prywatny zna tylko komputer wysyłający, natomiast klucz publiczny jest znany wszystkim komputerom, z którymi będzie prowadzona komunikacja. Aby dekodować zaszyfrowaną wiadomość, komputer musi używać klucza publicznego i swojego klucza prywatnego. Tunelowanie Wiele sieci VPN opiera się na tunelowaniu w Internecie. Tunelowanie jest procesem umieszczania całego pakietu w innym pakiecie i wysyłania go przez sieć. W procesie tunelowania biorą udział trzy rodzaje protokołów: Protokół transportowy (Carrier Protocol), używany przez sieć do transportu informacji; Protokół kapsułkowania lub tunelowania (Tunneling Protocol). Protokół, w rodzaju GRE, IPSec, L2F, PPTP czy L2TP, który niejako owija oryginalne dane; Protokół przenoszony (Passenger), czyli oryginalne, transportowane jednostki danych IPX, NetBEUI, IP oraz innych. Tunelowanie ma ważne następstwa dla VPN. Przykładowo: użytkownik może umieścić pakiet używający protokołu nie wspierającego Internetu, np. NetBEUI, wewnątrz pakietu IP i przesyłać go bezpiecznie przez Internet.

22 W konfiguracji dwupunktowej stosuje się protokół kapsułkowania GRE (Generic Routing Encapsulation). Określono w nim sposób przygotowania do transportu protokołu oryginalnego za pośrednictwem protokołu transportowego, którym jest typowo protokół na bazie IP. Zawiera on informację o typie kapsułkowanego pakietu oraz informacja o połączeniu między klientem a serwerem. Oprócz GRE w trybie tunelowym czasem używa się IPSec do kapsułkowania pakietów. IPSec sprawdza się dobrze w obydwu typach sieci VPN Remote-Access i Site-to- Site. Do protokołów używanych przez VPN zdalnego dostępu i opartych na strukturze PPP należą: L2F (Layer 2 Forwarding) opracowany przez Cisco System; L2F używa schematu identyfikacji wspieranego przez PPP; PPTP (Point-to-Point Tunneling Protocol) firmowany przez PPTP Forum, w którego skład weszły US Robotics, Microsoft, 3Com (obecnie HP), Ascend i ECI Telematics; PPTP wspiera 40- i 128-bitowe szyfrowanie i używa schematu identyfikacji wspieranego przez PPP; Dzięki zastosowaniu nowego protokołu uwierzytelniania rozszerzonego (EAP, Extensible Authentication Protocol) w połączeniu z metodami silnego uwierzytelniania, takimi jak certyfikaty, transfer danych przez sieci VPN z protokołem PPTP jest tak samo bezpieczny jak wewnątrz firmowej sieci LAN. Hermetyzuje on ramki protokołów IP lub IPX w datagramach protokołu PPP. Oznacza to, że można zdalnie uruchamiać aplikacje zależne od określonych protokołów sieciowych. Serwer tunelu sprawdza wszystkie zabezpieczenia i poprawności oraz włącza szyfrowanie danych, co pozwala znacznie bezpieczniej przesyłać informacje w niezabezpieczonych sieciach. Rys. 7 Ramka PPP Rys. 8 Połączenie VPN z użyciem protokołu PPTP

23 L2TP (Layer 2 Tunneling Protocol) rezultat współpracy PPTP Forum, Cisco Systems oraz IETF (Internet Engineering Task Force). Łączy cechy PPTP i L2F. L2TP w pełni wspiera IPSec i może być używany jako protokół tunelowania w VPN typu dwupunktowego i zdalnego dostępu. Może też tworzyć tunel między: klientem a routerem, NAS a routerem i między dwoma routerami. L2TP jest protokołem sieciowym, który kapsułkuje ramki PPP po to, aby móc je przetransportować siecią IP, FR lub ATM. Kiedy jest skonfigurowany do przenoszenia ramek siecią IP, to może zostać użyty do tunelowania w Internecie. Ale L2TP może być także bezpośrednio zaimplementowany jako wsparcie WAN, bez stosowania warstwy transportowej IP. Natomiast w przypadku sieci VPN L2TP transportuje ramki PPP w pakietach IP. Najnowsza wersja tego protokołu to wersja trzecia wspiera ona nie tylko ppp ale także Ethernet i ramkę 802.1q dzięi czemu możliwe jest przenoszenie broadcastów, multicastów i ramek BPDU między lokalizacjami oddzielonymi siecią WAN. EAP (Extensible Authentication Protocol) jest rozszerzeniem protokołu PPP, które pozwala na stosowanie dowolnej metody uwierzytelniania na drodze wymiany poświadczeń i informacji o dowolnej długości. Protokół EAP opracowano w odpowiedzi na rosnące zapotrzebowanie na metody uwierzytelniania wykorzystujące urządzenia zabezpieczające, takie jak karty inteligentne, tokeny i kalkulatory kryptograficzne. Protokół EAP stanowi standardową architekturę obsługi dodatkowych metod uwierzytelniania w protokole PPP. Należą do nich tokeny, hasła jednorazowe, uwierzytelnianie z kluczem publicznym przy użyciu kart inteligentnych oraz certyfikaty. Protokół EAP, połączony z silnymi typami EAP, stanowi istotny składnik technologii zabezpieczania połączeń wirtualnej sieci prywatnej (VPN). Silne typy EAP, na przykład bazujące na certyfikatach, zapewniają lepsze zabezpieczenie przed zgadywaniem hasła oraz atakami siłowymi lub wykorzystującymi techniki słownikowe niż protokoły uwierzytelniania bazujące na hasłach, takie jak CHAP czy MS-CHAP.

24 Protokół IPSec IPSec Working Group IETF zdefiniowała protokół IPSec (IP Security), który ma dwa tryby szyfrowania: tunelowy i transportowy. W pierwszym z nich szyfruje się nagłówek i ładunek każdego z pakietów, natomiast w drugim tylko ładunek. Wszystkie urządzenia muszą używać wspólnego klucza, a zapory ogniowe muszą mieć ustanowione podobne polityki bezpieczeństwa. IPSec może szyfrować dane między różnymi urządzeniami, takimi jak np. dwa routery, router i zapora ogniowa czy komputer osobisty i router. IPSec opiera się na trzech protokołach: AH (Authentication Header), który zapewnia zarówno identyfikację oryginalności danych, jak i ich integralność, ESP (Encapsulating Security Payload), dostarczający poufności danych, identyfikację oryginalności oraz integralności danych, ISAKMP (Internet Security Association and Key Management Protocol), który jest odpowiedzialny za automatyczne ustawianie SA oraz zarządzanie kluczami kryptograficznymi tych SA. AH zapewnia uwierzytelnienie integralności i pochodzenia danych. Integralność danych jest zapewniona poprzez sumę kontrolną generowaną przez kod identyfikacyjny wiadomości. Natomiast sprawdzenie oryginalności danych dokonuje się poprzez zamieszczenie tajnego, współdzielonego klucza w danych przeznaczonych do identyfikowania. ESP zapewnia poufność danych dzięki szyfrowaniu. Może także opcjonalnie zapewnić uwierzytelnienie pochodzenia danych, sprawdzanie integralności i replay protection. Porównując ESP do AH, widać, że tylko ten pierwszy dostarcza szyfrowania, natomiast obydwa zapewniają identyfikację, sprawdzenie integralności i replay protection. Szyfrowanie ESP stosuje symetryczny współdzielony klucz, tzn. jest on współużytkowany przy szyfrowaniu i deszyfrowaniu danych.

25 Rys. 9 Schemat działania dwóch trybów protokołu IPSec transportowego i tunelowego 5.2 Połączenia VPN w przedsiębiorstwie Cartago Rys. 10 Schemat połączeń VPN oraz zastosowane technologie

26 Między centralą łódzką i Berlinem utworzono połączenie typu site to site. Jak widać na rysunku 4 jest ono realizowane przez połączenie IPSec/L2TP. Działający w trybie tunelowym protokół IPSec zapewnia wysokie bezpieczeństwo transmisji danych. Ponadto użycie dodatkowo protokołu L2TP umożliwia nam zachowanie integralności sieci VLAN, co urządzeniom działającym w sieci daje złudzenie że pracują w jednej dużej sieci LAN. Integralność sieci VLAN rozdzielonych przez sieć WAN tj połączenie Berlin- Łódź, została zachowana poprzez protokół L2TP. Protokół ten enkapsuluje całe pakiety IP które ma przenieść, łącznie z warstwą dostępu do danych i jej nagłówkiem. Ramka Ethernetowi zarówno przenosząca ja k i nie przenosząca informacji o sieciach VLAN (nie będąca ramką IEE 802.1q) jest po prostu enkapsulowana w ramkę L2TP na jednym końcu tunelu i dekapsulowana na drugim końcu tunelu. Aby wprowadzić maksymalne bezpieczeństwo danych ( L2TP nie szyfruje pakietów) używamy protokołu IPSec i w nim enkapsulujemy ramkę L2TP, ramkę taką przedstawia rys 6. Następnie taki pakiet jest przesyłany przez sieć. Taki dobór protokołów uniezależnia nas od technologii w jakiej dostawca internetowy udostępnia nam połączenie internetowe i umożliwia przesyłanie ramek 802.1Q przez sieć WAN. Nagłówek IP Nagłówek UDP Nagłówek L2TP Nagłówek Ethernet Dane przenoszone przez ramkę Ethernetową (IP, IPX) Rys. 11 Ramka L2TP przenosząca ramkę Ethernetowi Nagłówek Nagłówek Nagłówek Nagłówek Dane przenoszone przez ramkę IPSec ESP UDP L2TP Ethernet Ethernetową (IP, IPX, NetBEUI) Rys. 12 Ramka IPSec przenosząca protokół L2TP. Pola zaznaczone na żółto są przesyłane przez sieć jako dane zaszyfrowane

27 Pracownicy zdalni łączą się z serwerami centralnymi za pomocą VPN IPSec. Połączenie takie jest możliwe dzięki zainstalowaniu na komputerach pracowników mobilnych oprogramowania służącego do tworzenia tunelu IPSec. Tunel taki umożliwi nadanie adresów pracownikom mobilnym z wewnętrznej puli adresowej firmy, dzięki czemu będą oni mieli ułatwiony dostęp do zasobów znajdujących się na Łódzkich serwerach. Aby odciążyć router do kodowania pakietów IPSec do ich obsługi będzie służył Firewall. Użytkownicy mobilni będą łączyć się poprzez tunel VPN z publicznym adresem Firewalla i to on będzie odpowiedzialny za deszyfrację i ponowne szyfrowanie pakietów IPSec. To również na nim spoczywać będzie ciężar komunikacji IPSec site to site. Bezpieczeństwo połączeń site to site, jest gwarantowane przez protokóły L2TP i IPSec. Dane są szyfrowane za pomocą protokołu IPSec działającego w trybie tunelowym, więc ich przechwycenie nie spowoduje wycieku ważnych informacji z firmy. Wykorzystanie protokołu L2TP pozwoli na przenoszenie ruchu VLAN-owego przez Internet. Bezpieczeństwo VPN typu Remote Access rozwiązane jest w taki sposób iż każdy z pracowników mobilnych ma swój certyfikat i do tego token z generowanym kluczem do autentykowania połączenia VPN. Połączenie VPN jest szyfrowane za pomocą IPSec działającego w trybie tunelowym. Nie wszyscy pracownicy firmy będą mieć do niej zdalny dostęp, o tym kto ma mieć takie możliwości decyduje zarząd w porozumieniu z działem IT firmy. 6 Dobór okablowania poziomego, pionowego i urządzeń pasywnych 6.1 Wstęp teoretyczny Aby komputery i serwery działały w sieci potrzeba jest ich ze sobą spięcia za pomocną jakiegoś medium. W dzisiejszych czasach możemy wyróżnić trzy główne sposoby łączenia ze sobą komputerów: za pomocą fal radiowych (WiFi, WiMAX, Bluetooth); za pomocą kabli miedzianych (kabel koncentryczny, skrętka );

28 za pomocą światłowodów; W projekcie wykorzystany będzie każdy z nich głównie opierając się na wykorzystaniu okablowania miedzianego wynikającego z prostoty jego montażu w budynku i parametru ceny/szybkość akceptowalnego przez 99% przedsiębiorstw. Okablowanie światłowodowe wykorzystane będzie jedynie do połączenia dwóch budynków firmy, w infrastrukturze pionowej do łączenia każdego piętra budynków oraz na niewielkim odcinku struktury poziomej a dokładnie na hali produkcyjnej gdzie w wyniku dużych zakłóceń nie możliwe jest położenie okablowania miedzianego. Sieć bezprzewodowa stanowi jedynie punktami dostępowymi dla gości potocznie nazywanymi Hot Spot ami. W projekcie wykorzystany został kabel kasy E (Cat. 6), przewiduje ono implementację Gigabit Ethernetu (4x 250 MHz = 1 GHz) i transmisji ATM 622 Mb/s. W okablowaniu budynków można stosować dodatkowo różne rodzaje kabla w zależności od materiału z jakiego został zrobiony. Rozróżnia się dwa główne rodzaje: kable UTP; kable FTP; Kable UTP to kable bez ekranu czyli najczęściej wyposażone tylko w oplot z cienkiego tworzywa sztucznego. Tego typu kabel jest miękki i łatwy do montażu jednak wymaga do poprawnej pracy terenu bez zakłóceń czyli nie może być kładziony w pobliżu okablowania zasilającego lub w miejscach gdzie takie zakłócenia są wytwarzane. Kable FTP różnią się od kabli FTP dodatkowym foliowanym ekranem którego celem jest odizolowanie zakłóceń od kabla. Kable FTP można dodatkowo podzielić na różne wariacje wykorzystania fali i siatki ekranującej (SFTP, foliowana każda para kabla osobno, itp.). W projekcie wykorzystano kabel nieekranowany. Okablowanie miedziane kojarzy się z pojęciem Punktu Dystrybucyjnego Kondygnacji inaczej nazywanego Okablowaniem Strukturalnym Poziomym. Jak sama nazwa skazuje jest on najczęściej wykorzystywany na jednej kondygnacji budynku w położeniu poziomym (wzdłuż ścian). Wszystkie końcówki muszą być zakończone wtykami RJ45 które noszą nazwę punktów abonenckich. Powyżej PDK w hierarchii budowania systemu okablowania znajduje się Punkt Dystrybucyjny Budynku czyli Okablowanie Pionowe Budynku. Scala ze sobą piętra budynków dlatego charakteryzuje się znacznie większymi prędkościami przepływu danych niż w

29 okablowaniu poziomym. Na potrzeby projektu w tym celu wykorzystaliśmy światłowody. Można stosować również kable miedziane ale należy pamiętać że duże ilości danych z okablowania poziomego muszą być równie szybko a nawet znacznie szybciej transportowanie w okablowaniu pionowym. Nie dopuszcza się, aby od okablowania pionowego dochodziły punkty abonenckie. Istnieje jeszcze pojęcie Punktu Dystrybucyjnego Kompusu. Jest to połączenie poziome, międzybudynkowe. W dzisiejszych czasach realizowane głównie światłowodami w luźnej tubie lub łączami dzierżawionymi u innych firm komunikacyjnych. We wszystkim co robimy obowiązują normy. Nie inaczej jest w przypadku montażu i eksploatacji okablowania strukturalnego w budynku. Główną normą która obowiązuje w tym przypadku jest norma PN-EN dotycząca wymagań ogólnych okablowania. Jednym z najważniejszym punktem tej normy jest długość odcinków kabla jaki może łączyć ze sobą punkt abonencki (gniazdko na ścianie) do punktu dystrybucyjnego. Odległość ta nosi nazwę Pernament Link i może wynosić maksymalnie 90m. Długość całego kanału nie może przekraczać 100m a kanałem nazywa się odległość od komputera do urządzenia aktywnego. Maksymalna długość kabla łącząca punkt abonencki z komputerem (kabel krosowy) nie może przekraczać długości 5 metrów. Norma przewiduje i nakazuje na wiele innych aspektów montowania okablowania: Zalecane jest stosowanie topologii gwiazdy lub gwiazdy hierarchicznej; Jeden odcinek kabla zakończony jest jednym punktem abonenckim i zaszyte jest na jednym porcie na panelu; Ilość gniazd przy jednym stanowisku: 2 4, gniazda nie mogą być kluczowane; Gęstość rozlokowania punktów abonenckich wyliczona według wzoru: 10 m 2 2 x RJ45 Zachowanie minimalnego promienia zgięcia kabla w czasie instalacji (parametr ten jest zazwyczaj umieszczany na pudełku z kablem, dla skrętki zazwyczaj 4 x średnica kabla); Prowadzenie okablowanie w korytach i trasach kablowych wzdłuż ścian;

30 Przepusty kablowe o 30% większe niż średnica wiązki kablowej dodatkowo zabezpieczony kruchym, niepalnym materiałem; Zakańczanie wszystkich kabli gniazdami (nawet zapasowych); Odpowiednie ułożenie kabli w szafach krosowniczych; Istnieje możliwość ubiegania się o otrzymanie potwierdzenia o poprawności montażu okablowania strukturalnego opartego właśnie o normę PN-EN Polega ona na przetestowaniu całej sieci specjalnymi przyrządami która weryfikuje wszystkie parametry kabli znajdujących się w budynku. Szczegóły tego procesu zostały opisane w innym dziale tego projektu. 6.2 Połączenie między budynkowe (Punkt dystrybucyjny kampusu). Firma Cartago posiada dwa budynki w Łodzi które muszą być ze sobą połączone celem przekazywania wszelkich danych potrzebnych do poprawnego funkcjonowania firmy. Biorąc pod uwagę liczbę pracowników, prędkość Internetu oraz objętość plików które muszą być transportowane pomiędzy lokacjami wydaje się oczywiste wybranie jako medium kabla światłowodowego. Również odległość bliska 6 km praktycznie wyeliminowała transmisję bezprzewodową i opartą o kable miedziane. Rys. 13 Schemat podłączenia budynków

31 Jak widzimy na rysunku 13, głównie należy skupić się na poprawnym i bezpiecznym doprowadzeniu światłowodu do budynków. Skupić się należy jednak na prawnym aspekcie takiej inwestycji. Instalowanie czy też kładzenie okablowania pod ziemią w światłe Prawa Telekomunikacyjnego jest budową więc potrzebna jest zgoda nadzoru budowlanego na tego typu działania. Dodatkowo musimy wystosować o koncesję na transmisję danych i Ministerstwie Łączności. O wiele prostszym i wygodniejszym rozwiązaniem było by wydzierżawienie studzienek telekomunikacyjnych od TPSA lub innych firmy jednak nie jest to proste (firmy te nie są skore do tego typu działań) i bardzo nieopłacalne. Na potrzeby jednak projektowe uznajemy że otrzymaliśmy wszystkie potrzebne zgody i koncesje. Oba budynki oddalone są od siebie na odległość około 6 km w linii prostej. Takiego też długiego przewodu światłowodowego będziemy potrzebować. Dodatkowo jako zapas i dojście do budynków dodać należy po 200 metrów z każdej strony czyli całkowita długość światłowodu będzie wynosić 6400 metrów. W projekcie zastosowano światłowód TELE-FONIKA Z-XOTKtsd Rys. 14 Światłowód TELE-FONIKA Z-XOTKtsd Z-XOTKtsd - kabel zewnętrzny (Z), z powłoką polietylenową (X), optotelekomunikacyjny (OTK), tubowy (luźna tuba) z suchym uszczelnieniem ośrodka (ts), całkowicie dielektryczny (d). BUDOWA: a. CENTRALNY ELEMENT WYTRZYMAŁOŚCIOWY: dielektryczny pręt FRP w powłoce z polietylenu lub bez powłoki b. TUBA: luźna tuba ze światłowodami wypełniona żelem hydrofobowym c. WŁÓKNO OPTYCZNE: jednomodowe (J) d. WKŁADKA: polietylenowa e. OŚRODEK KABLA: tuby lub tuby i wkładki skrócone wokół centralnego elementu wytrzymałościowego; ośrodek składa się z 12 ementów f. USZCZELNIENIE OŚRODKA: suche g. NITKI: 2 nitki do rozrywania powłoki h. POWŁOKA: polietylenowa; czarna lub pomaranczowa

32 Rys. 15 Przekrój TELE-FONIKA Z-XOTKtsd ZASTOSOWANIE I WŁASNOŚCI UŻYTKOWE: Kable przeznaczone są do transmisji sygnałów cyfrowych i analogowych w całym paśmie optycznym, wykorzystywanym we wszystkich systemach transmisji: danych, głosu i obrazu, stosowanych w teleinformatycznych sieciach dalekosiężnych, rozległych i lokalnych, w każdej konfiguracji przestrzennej. Kable przeznaczone są do układania w kanalizacji kablowej pierwotnej i wtórnej. Kable mogą być układane w pobliżu energetycznych linii wysokiego napięcia. Kable tubowe są: W pełni dielektryczne Odporne na zakłócenia elektromagnetyczne Zabezpieczone przed wnikaniem wilgoci i wzdłużną penetracją wody poprzez wypełnienie tub żelem hydrofobowym oraz wypełnienie ośrodka przy pomocy taśm czy sznurków wodno blokujących lub żelu hydrofobowego Powłoka kabli jest odporna na ścieranie, promieniowanie UV oraz korozję naprężniową. Nadruk metryczny oraz oznakowanie kabli są naniesione na powłoce. ZAKRES TEMPERATUR: Instalacji: -15 st C -> +60 st C Transportu i przechowywania: -40 st C -> +70 st C Pracy: -40 st C -> +70 st C

33 6.3 Okablowanie strukturalne pionowe (Punkt dystrybucyjny kondygnacji). Do połączenia kondygnacji budynków zostanie wykorzystany światłowód wielomodowy o trzech parach włókien. Dotyczy to tylko budynków w Łodzi gdyż w Berlinie mamy do czynienia tylko z jednym piętrem więc nie jest konieczne. Kabel został położony w specjalnie wytyczonym dukcie, wciągnięty w peszel w celu uniknięcia jego ewentualnego uszkodzenia. Rys. 16 schemat okablowania poziomego Do położenia okablowania pionowego wykorzystano

34 Światłowód - CDT/Raydex wielomod 62,5/125; Rys. 17 Kabel Światłowodowy. Jest to światłowód wielodomowy, z 6 włóknami typu ścisła tuba, breakout owy. Charakteryzuje się wzmacnianym elementem z włókna szklanego w środku kabla który nadaje sztywności. Promień gięcia to 20 x średnica kabla. Położony został kabel z 6 włóknami celem zapewnienia połączenia awaryjnego (dwie pary w zapasie). Panele światłowodowe TRITON 16 LC Rys. 18 Panel światłowodowy Kabel światłowodowy dokładnie jak kabel miedziany musi być zaszyty na panelu. W tym celu wybrany został panel firmy TRITON do 16 końcówek o szerokości 1U i długości 19. Służą dla okablowania pionowego, poziomowego i światłowodu łączącego budynki.

35 Kasety spawów Rys. 19 Kasety spawów Kasety spawów służą do łączenia końcówek światłowodów z pigtail ami. Łączniki Brand-Rex SC/LC Rys. 20 Łączniki do paneli krosowych. Łączniki montuje się w panelach krosowych i służą do połączenia pigtaila (w tym przypadku zakończony wtykiem SC) z patchcordem biegnącym do przełącznika (wtyk LC). Łączniki są uniwersalne i łatwo wymienialne.

36 SC Pigtail Multimode 50/125 green, 2m Rys. 21 Pigtail zakończony wtykiem SC. Pigtail to kawałek światłowodu z jednej strony zakończony wtykiem a z drugiej pozostawiony swobodny celem połączenia go ze światłowodem. Wykorzystano wielodomowe pigtail e z końcówką SC. Patchcord wielomodow, Duplex Lc-Lc 2m Rys. 22 Kabel krosowy z końcówkami LC. Panel światłowodowy jest łączony z przełącznikiem za pomocą patchcordu czyli krótkiego odcinka kabla zakończonego z dwóch stron wtykiem LC. Wykorzystane zostały kable o długości 2 metrów.

37 Długości okablowania pionowego: Zakładamy iż wysokość hali produkcyjnej wynosi 3.5 metra, pomieszczeń biurowych 2.5 metra a podłogi 0.5 metra. Zapas kabla wynosi 0.1 metra. Budynek: Centrala Kabel łączący Parter I piętro Parter II pietro Budynek: Filia Łódź Kabel łączący Parter I piętro Długość w metrach 4.5 metra 7.3 metra Przebieg okablowania pionowego dla Centrali Długość w metrach 4.5 metra Przebieg okablowania pionowego dla Filii Łódź.

38 6.4 Okablowanie poziome (Dystrybucyjny Punkt Kondygnacji). W poziomym okablowaniu najważniejszą częścią są kable miedziane, ewentualnie światłowodowe które z powodów ceny ale również utrudnionego montażu są jednak rzadziej wybierane. Zupełnie w niepamięć odeszły już kable koncentryczne które mimo iż są lepszym kablem niż popularna skrętka to jednak nie oferują takich prędkości przesyłowych jakie dziś są potrzebne do pracy dużych przedsiębiorstw. W projekcie wykorzystano kabel skrętkę kategorii 6-tej: Rys. 23 Telegartner Cat.6 U/UTP PVC 4x2 (drut) oraz światłowód który wykorzystaliśmy do instalacji w okablowaniu pionowym czyli CDT/Raydex wielomod 62,5/125:

39 Rys. 24 Światłowód Szafy Wszystkie kable, panele oraz urządzenia aktywne i pasywne zaczynają się w jednym miejscu w szafach. Są to najczęściej potężne, metalowe konstrukcje w których umieszcza się wszelaki sprzęt począwszy od serwerów kończąc na modemach i panelach na kable. W naszym projekcie wykorzystaliśmy dwa rodzaje szaf: Rys. 25 MOLEX MODBOX III 19 42U

40 Rys. 26 GFlex Tango T2 22U Szafy 42U przeznaczone są pod serwery a mniejsze (22U) tylko pod panele z kablami i przełącznikami. Jednostka U oznacza szerokość jednego urządzenia aktywnego. Do szaf konieczne jest zakup akcesoriów które pomogą w zarządzaniu powierzchnią. Należy wliczyć to: Wentylator sufit 4 x wen. Do szafy 1000 KB z termostatem Rys. 27 Wentylator do szafy.

41 Listwa zasilająca 9 portowa 19 protect Rys. 28 Listwa zasilająca do szafy Organizator kabli 19 1U z haczykami plastik Rys. 29 Wieszak na kable.

42 Panel 19" 24 port kat.6 1U Telegaertner Rys. 30 Panel 24 portowy 6.5 Metody oznakowania punktów abonenckich Oznakowanie punktów abonenckich to ważny element każdej sieci komputerowej. Szybkie i bezbłędne odnalezienie właściwego gniazda czy to na ścianie w pomieszczeniu przy którym stoi komputer czy też w szafie na panelu krosującym to zaoszczędzenie jakże ważnego i cennego czasu każdego administratora. Opis powinien być prosty, krótki i przekazujący jednoznacznie informacje. Rys. 28 Numeracja punktów abonenckich. Zapis oznakowania punktu abonenckiego składa się z trzech cyfr

43 oddzielony poziomymi kreskami. Pierwsza cyfra wskazuje numer kondygnacji na której znajduje się panel krosujący. Jedynka oznacza pierwszą kondygnację (parter/piwnica), dwójka drugą itd. Kolejna cyfra w zapisie informuje na którym panelu znajduje się zaszyty kabel. Panele w szafach są numerowane od góry w dół. Ostatnia cyfra oznacza który port na konkretnym panelu odpowiada gniazdu na ścianie. Związku z takim opisem, zapis w postaci: oznacza, że gniazdko, o którym informuje nas pracownik przez telefon znajduje się na drugiej kondygnacji budynku w którym się znajdujemy, na trzecim panelu od góry i jest to 19 port. Oznakowanie paneli krosujących jest o tyle łatwiejsze w porównaniu do oznakowania punktów abonenckich iż nie musimy oznaczać dokładnie każdego portu a jedynie zbiorową ilość portów wykorzystanych dla konkretnego pomieszczenia. Dokładnie ilustruje to rysunek nr. 29: Rys. 31 Przykładowe oznaczenie panelu krosowego

44 7 Dostęp do internetu ISP Głównym założeniem w przypadku doboru usługodawcy internetowego był wybór wysoko wydajnego łącza. Z racji tego, iż nasza firma na co dzień będzie przesyłać dość pokaźnej ilości dane ( pliki graficzne) musimy zapewnić przepustowość, która nie powodowałby przestoju w pracy użytkowników. Ilość użytkowników na dzień dzisiejszy wynosi 150 natomiast w planach mamy powiększenie się zespołu do około 200. Dodatkowo musimy zapewnić niezawodność takiego łącza. Nie możemy pozwolić sobie na przestoje, dlatego też będzie potrzebny dobór dwóch usługodawców, jeden z nich będzie stanowił trzon naszej infrastruktury pełniący rolę dostawcy głównego oraz drugiego usługodawcę, który to w przypadku awarii będzie w stanie nam zapewnić przyzwoitą łączność ( dostawca backupowy).w dużym stopniu zależy nam by łącze dobrane było łączem symetrycznym, zapotrzebowanie wynika z tego, iż bardzo ważny dla naszego przedsiębiorstwa będzie będzie UPLOAD jaki i DOWNLOAD 7.1 Łódź Jako łącze główne postanowiliśmy wybrać ofertę firmy ATMAN z ich usługą ATMAN Business.Internet. Zakładamy iż początkowo łącze 50 Mb/s będzie w zupełności wystarczające w przypadku znacznego spadku wydajności i problemach z transferem danych umowa operatora zapewnia nam możliwość zmiany przepustowości. Łącze samo w sobie zapewnia nam 99,9% dostępności. Wszystko za sprawą dostarczenia usługi dwoma nie zależnymi liniami jako podstawa światłowód natomiast backup drogą radiową. W ramach umowy mamy zagwarantowany 30 min czas reakcji. Łącze jest otwarte na wykorzystanie klienta co znaczy, że poza standardową usługą możemy na niej dodatkowo korzystać z technologii VoIP, Wideokonferencje etc. W ramach umowy otrzymujemy pulę adresów publicznych. Natomiast zwiększenie zapotrzebowania na adresację gwarantuje nam umowa i możemy w każdej chwili ją zmienić. Koszt takiego łącza 3900 zł. Usługodawca nie dostarcza nam żadnego urządzenia.

45 Łącze zapasowe Mimo gwarancji firmy ATMAN o niezawodności ich usług musimy zabezpieczyć się łączem, które dla naszego przedsiębiorstwa stanowiłoby backup usług. Łącze to będzie wykorzystywane w przypadku nagłej awarii. Najważniejsze aby takie łącze było tanie w utrzymaniu gdyż zakłada się dość rzadkie wykorzystanie. Łącza symetryczne w TP SA są dość drogie około 1500 zł za 2 Mbit\s. Dlatego też wybór padł na opcję Internet DSL Jest to łącze Internetowe świadczone technologią DSL czyli po tradycyjnej linii analogowej. Jest to łącze asymetryczne o prędkości pobierania danych rzędu do kbit/s i wysyłania 800 kbit/s. Wraz z usługą otrzymujemy stałą, 8 adresową podsieć publicznych adresów IP na interfejsie LAN modemu który otrzymujemy od Telekomunikacji TP. Jest nim CellPipe 7130 (Rys. 30). Powodem wyboru takiego rozwiązania jest niski koszt miesięcznego utrzymania łącza oraz bardzo łatwego przyłączenia usługi wiążącej się praktycznie z podłączeniem modemu do gniazdka telefonicznego. Ponieważ w przypadku awarii głównego łącza ważniejsze jest pobieranie danych z globalnej sieci niż wysyłanie, dlatego wybór padł na prędkość kbit/s. Różnica w porównaniu do właściwego transferu będzie dla pracowników mniej odczuwalna niż w przypadku wolniejszego wariantu. Jako fundamentalna zasada backup u, Internet DSL tp jest świadczony na łączach innych niż główny dostarczyciel w tym przypadku wewnątrz sieci POLPAKT łączący się z TeliaSonera oraz OpenTransit (France Telecom). Rys. 32 Modem CellPipe 7130 dostarczany z usługą Internet DSL tp

46 Ulotka DSL.PDF Oferta Lokalizacja w Berlinie Łącze główne Biorąc pod uwagę fakt, że w Berlinie znajduje się jedynie biuro handlowe, siedziba ta otrzymała Internet od Niemieckiej firmy T-Com (Deutche Telecom). Jest to usługa świadczona w technologii DSL o maksymalnej prędkości pobierania danych równą 6 Mbit/s i wysyłania 512 Kbit/s. Usługa nosi nazwę Call&Surf Komfort a umowa jest podpisywana na okres 2 lat. Wraz z usługą jest oferowany modem DSL z wyjściem RJ45. Łącze zapasowe (backupowe) Jako łącze zapasowe również została wybrana firma świadczącą usługę w technologii DSL o identycznej prędkości co łącze podstawowe czyli 6Mbit/s na 512Kbit/s. Firma 1&1 w pakiecie DSL-BussinesNet oferuje niezależne w stosunku 51do T-Com a łącza co w idealny sposób gwarantuje podłączenia biura 24h na dobę w sieci. Internet mobilny dla handlowców W kwestii doboru mobilnego Internetu dla handlowców w Polsce mamy obecnie 3 największych usługodawców Orange, Plus oraz od niedawana T-mobile ( dawniej Era ). Wybór padł na T-Mobile ze względu na największe pokrycie w całej Polsce oraz Unii Europejskiej. Urządzenia wykorzystują technologię HSDPA, której prędkość wynosi do 7,2 Mbit/s w kraju oraz roamingu ( informacje dotyczą pobierania danych) oraz w identycznym zakresie osiąga prędkość do 2 Mbit/s (dane wysyłane). Każdy z przedstawicieli zostaje wyposażony w modem USB HUAWEI E173. Dodatkowymi atutami urządzenia jest umieszczony 4 GB slot pamięci dzięki czemu urządzenia

47 pracuje także jako pamięć przenośna. W przypadku braku zasięgu modem działa jako karta Wi-Fi przez co możemy podłączyć się pod sieć otwartą. W ofercie są dostępne modemy, które gwarantują transmisję danych w standardzie HSPA+(21 Mbit/s) oraz HSPA+ Dual (42 Mbit/s) natomiast zakłada się, że nie zależy handlowcom na szybkości transmisji w dodatku jest nie wiele miejsc gwarantujących tak szybką transmisję danych. Umowa zostaje podpisana na okres dwóch lat w tym czasie można poczynić obserwacje rozwoju i dostępności nowych technologii na podstawie, to których można zadecydować o wymianie floty modemów. Jeśli chodzi o abonament uważam, że oferta blueconnect biznes 58 ( 58 zł netto /miesiąc ) jest ofertą, dającą nam duży zapas jeżeli chodzi o ilość pobieranych danych w miesiącu limit ( 8 GB ) oraz nielimitowana ilość ściąganych danych w nocy (00:00 09:00). Koszt pojedynczego modemu to 1 zł netto. Obraz nr 1 prezentuje wygląd modemu, obraz nr 2 zasięg w Polsce oraz nr 3 dostępna oferta dla klientów biznesowych. Rys 33. Modem HSDPA

48 Rys. 34 Zasięg T-mobile w Polsce Rys. 35 Oferta dla usługi

49 Charakterystyka urządzenia Producent Model Typ Huawei E173 modem USB GSM [MHz] 850/900/1800/1900 UMTS 2100 [MHz] 2100 Standard Złącze anteny zew. USB tak System Operacyjny MS Windows 2000 MS Windows XP MS Windows Vista 32 MS Windows Vista 64 Windows 7 32 Windows 7 64 tak tak tak tak tak tak MAC OS X 10.6 Wiadomości Wysyłanie wiadomości SMS* Odbieranie wiadomości SMS* tak tak Transmisja Danych

50 GPRS EDGE UMTS tak tak tak pobieranie danych HSDPA 7.2 [Mbps] wysyłanie danych HSUPA [Mbps] 1.92 Inne Waga [g] Sposób instalacji Slot na karty pamięci Wymienne obudowy ok 30 g Automatyczna** tak nie 8 Dobór sprzętu aktywnego 8.1 Wstęp Do urządzeń aktywnych zalicza się urządzenia pracujące we wszystkich warstwach modelu ISO/OSI. Niezbędnym do poprawnego i niezawodnego działania sieci jest zastosowanie następujących urządzeń aktywnych: Routery służą do połączenia sieci rozległej WAN z siecią lokalną LAN Przełączniki (switche) grup roboczych znajdują zastosowanie w głównych punktach dystrybucyjnych szkieletowe do nich podłącza się przełączniki grup roboczych Access Point bezprzewodowy punkt dostępowy, umożliwia komunikację za pomocą fal radiowych o częstotliwości 2,4/5GHz

51 Karty sieciowe służą do pracy w sieci Ethernet światłowodowe służą do połączenia odległych od siebie punktów, połączenie to charakteryzuje się bardzo niskim zakłóceniom elektromagnetycznym oraz wyższą przepustowością niż połączenia miedziane W łódzkim budynku trzykondygnacyjnym mieści się główny serwer, który pełni funkcję tunelu - VPN (Virtual Private Network, Wirtualna Sieć Prywatna), przez który odbywa się ruch w obrębie sieci prywatnej pomiędzy użytkownikami za pośrednictwem sieci publicznej (Internet). Do łączenia z Internetem służy łącze DSL od ISP (Internet Service Provider) połączony z modułem w routerze HP A-MSR20-20 Router (JF283A). 8.2 Routery Router posiada modułową budowę, dzięki której jest możliwość rozbudowy, w celu uzyskania większych możliwości. Do rozbudowy służą 2 sloty SIC, do których można wpiąć dodatkowe moduły.provider dostarczy Internet DSL, do którego dołączy modem, który zostanie podłączony do routera (specjalnych modułów) za pomocą standardu Ethernet. Do routera HP A-MSR20-20 Router (JF283A) zostaną zakupione 2 moduły HP z jednym portem 10/100Base-T SIC A-MSR (JD545B), do których zostaną podłączone dwa łącza internetowe. Główne o przepustowości 100 Mb/s oraz zapasowe (awaryjne) 6 Mb/s. Jego zadaniem będzie trasowanie między łączem internetowym [WAN], a siecią lokalną [LAN]. Będzie także pełnił funkcję Wirtualnej Sieci Prywatnej (VPN) za pomocą protokołu L2TP oraz IPSec. Będzie także pełnił funkcję Firewalla. Rysunek numer 34 przedstawia zdjęcie urządzenia. W tabeli zamieszczono specyfikację routera.

52 Rys. 36 HP A-MSR20-20 Router (JF283A) Porty Zamocowanie Pamięć i procesor Przepustowość Pojemność tabeli rutingu Funkcje zarządzania Zużycie energii Napięcie wejściowe Częstotliwość wejściowa Bezpieczeństwo Certyfikaty 2 SIC slots; 2 RJ-45 autosensing 10/100 WAN ports(ieee Type 10BASE-T, IEEE 802.3u Type 100BASE-TX), Duplex: half or full Desktop or can be mounted in a standard 19-in. rack when used with the optional rack-mount kit. Processor : 400 MHz, 256 MB compact flash, 256 MB SDRAM 180 Kpps (64-byte packets) entries IMC - Intelligent Management Center; commandline interface; Web browser; SNMP Manager; Telnet; RMON1; FTP; IEEE Ethernet MIB Wymagania dotyczące zasilania i eksploatacji 54 W (maximum) / VAC 50 / 60 Hz UL ; AS/NZS 60950; EN Safety of Laser Products-Part 1; EN Safety of Laser Products-Part 2; IEC ; CAN/CSA- C22.2 No ; EN /A11; FDA 21 CFR Subchapter J EN Class A; ICES-003 Class A; ANSI C ; ETSI EN V1.3.3; AS/NZS CISPR22 Class A; EN ; EN ;

53 Zakres temperatur podczas eksploatacji Dopuszczalna wilgotność względna podczas eksploatacji Wymiary (szer. x głęb. x wys.) Waga produktu Gwarancja EN ; EN ; EN ; EN :2006; EN :1995 +A1:2001+A2:2005; EMC Directive 2004/108/EC; FCC (CFR 47, Part 15) Class A; EN 55024:1998+ A1: A2:2003; EN :2004; EN : to 40 C 5 to 90% (noncondensing) Wymiary i waga x 36 x 4.42 cm 3.4 kg W zestawie 1 year, advance replacement, 30 calendar day, phone support Tab. Specyfikacja Routera HP A-MSR20-20

54 8.3 Moduły HP z jednym portem 10/100Base-T SIC A-MSR (JD545B) Moduł dostarcza szereg możliwości rozbudowy, które pozwalają na zwiększenie wydajności routera oraz wyposaża go w dodatkowe funkcje. Provider udostępni łącze internetowe DSL wraz z modemem, który umożliwi podłączenie do sieci za pomocą standardu Ethernet, dlatego niezbędny będzie zakup dwóch modułów. Jeden do łącza głównego a drugi do łącza zapasowego. Moduł jest kompatybilny z routerami HP HP A-MSR20 Series, HP A-MSR20-1x Series, HP A-MSR30 Series, HP A-MSR50 Series Rys. 37 HP z jednym portem 10/100Base-T SIC A- MSR (JD545B) 8.4 Switche grup roboczych HP A G SI Switch (JE072A) W łódzkich budynkach na każdych z pięter będą zastosowane dwa lub jeden switch w zależności od ilości pracowników. W przypadku dwóch switchy należy stakować je ze sobą za pomocą portu trunk3 w celu uzyskania większej ilości portów. Switche grup roboczych zostaną połączone z hostami i drukarkami sieciowymi łączem 1 Gb/s. Szybkie połączenie LAN (Local Area Network) jest niezbędne, ponieważ

55 firma będzie korzystać z aplikacji WEB-owych oraz Samby, na której będą przesyłane duże pliki m.in. graficzne. Switch posiada 4 porty mini-gbic (GigaBit Interface Converter) do połączenia modułu zawierającego transceivery SFP (Small Form Factor Pluggable). W każdym z budynków switche grup roboczych zostaną połączone ze switchem szkieletowym za pomocą portu SFP światłowodem wielomodowym do switcha szkieletowego. Rysunek numer 36 przedstawia zdjęcie urządzenia. W tabeli zamieszczono specyfikację switcha. Rys. 38: Switch HP A G SI Switch (JE072A) Porty Pamięć i procesor 48 RJ-45 auto-sensing 10/100/1000 ports(ieee Type 10Base-T, IEEE 802.3u Type 100Base-TX, IEEE 802.3ab Type 1000Base-T), Duplex: 10Base-T/100Base-TX: half or full; 1000Base-T: full only; 4 fixed Gigabit Ethernet SFP ports; 1 RJ-45 serial console port storage: 128 MB flash, 128 MB SDRAM, packet buffer size: 1 MB Opóźnienie 1000 Mb Latency: < 3 µs Przepustowość Przepustowość rutowania/przełą czania Pojemność tabeli rutingu Funkcje zarządzania Zużycie energii Napięcie wejściowe 77.4 million pps 104 Gbps 32 entries IMC - Intelligent Management Center; commandline interface; Web browser; SNMP Manager Wymagania dotyczące zasilania i eksploatacji 55.4 W (maximum) VAC

56 Częstotliwość wejściowa Bezpieczeństwo 50 / 60 Hz UL ; EN Safety of Laser Products-Part 1; EN Safety of Laser Products-Part 2; IEC ; CAN/CSA-C22.2 No ; Anatel; ULAR; GOST; EN /A11; FDA 21 CFR Subchapter J; NOM; ROHS Compliance Certyfikaty FCC part 15 Class A; VCCI Class A; EN Class A; CISPR 22 Class A; ICES-003 Class A; ANSI C ; ETSI EN V1.3.3; AS/NZS CISPR22 Class A; EN ; EN ; EN ; EN ; EN ; EN ; EN ; EN ; EN :2006; EN :1995 +A1:2001+A2:2005; EMC Directive 2004/108/EC; FCC (CFR 47, Part 15) Class A Zakres temperatur podczas eksploatacji Dopuszczalna wilgotność względna podczas eksploatacji Wymiary (szer. x głęb. x wys.) Waga produktu Gwarancja 0 to 45 C 10 to 90% (non-condensing) Wymiary i waga x x 4.37 cm 5 kg W zestawie Lifetime, advance replacement, next business day, phone support, software releases Tab. 5 Specyfikacja Switcha HP A G SI Switch (JE072A) HP ProCurve 6200yl (hala produkcyjna) Switch posiada 24 porty MiniGBIC SFP (Small Form Pluggable) do połączeń światłowodowych. Do tych portów zostaną podłączone stacje robocze z hali produkcyjnej. Rysunek numer 38 przedstawia zdjęcie urządzenia. W tabeli zamieszczono specyfikację switcha.

57 W centralnych punktach dystrybucyjnych zostaną umieszczone switche szkieletowe,z którymi będą połączone wszystkie switche grup roboczych. W tym celu zostanie użyty światłowodów wielomodowy. Switch zawiera 24 porty MiniGBIC SFP (Small Form Pluggable) do połączeń światłowodowych. Główną cechą switcha HP ProCurve 6200yl jest duża ilość portów SFP. Zarządzanie switchami będzie możliwe po SSH (Secure Shell) przez ludzi należących do VLAN-u administracyjnego. Dzięki obsłudze wirtualnych sieci VLAN, router zostanie odciążony.rysunek numer 37 przedstawia zdjęcie urządzenia. W tabeli zamieszczono specyfikację switcha. Rys. 39 HP ProCurve 6200yl Porty Pamięć i procesor 24 wolne gniazda mini-gbic (SFP); Obsługuje maksymalnie 4 porty 10 GbE, z opcjonalnym modułem Procesor: Procesor Freescale PowerPC MHz; Wyjątki: procesor wbudowany ARM9 200 MHz; bufor pakietów 144 Mb; QDR SDRAM; Pojemność pamięci flash: 4 MB; Pamięć SDRAM: 256 MB Opóźnienie 1000 MB: <3,7 µs (64-bajtowe pakiety FIFO ); 10 Gb/s: < 2,1 µs (64-bajtowe pakiety FIFO) Przepustowość Przepustowość rutowania/przełą czania Prędkość maks. 74 Mp/s 101 Gb/s Gbps

58 matrycy przełączającej Pojemność tabeli rutingu Funkcje zarządzania Zużycie energii Napięcie wejściowe Natężenie wejściowe Częstotliwość wejściowa Bezpieczeństwo entries HP PCM+; HP PCM (included); command-line interface; Web browser; configuration menu; outof-band management (serial RS-232C) Wymagania dotyczące zasilania i eksploatacji 243 W / VAC 1.8 / 0.9 A 50 / 60 Hz CSA 22.2 nr 60950; UL 60950; IEC60950; EN60950 Certyfikaty FCC Class A; EN55022/CISPR-22 Class A; VCCI Class A Zakres temperatur podczas eksploatacji Dopuszczalna wilgotność względna podczas eksploatacji Wymiary (szer. x głęb. x wys.) Waga produktu Gwarancja Od 0 do 55 C 15-95% bez kondensacji Wymiary i waga 44,3 x 39,2 x 4,4 cm 6,4 kg Tab. 6 Specyfikacja Switcha HP ProCurve 6200yl W zestawie Lifetime, advance replacement, next business day

59 8.5 Access Point Access Point HP A-WA2620E-AGN Dual Radio n Plenum FIT Access Point (JD453A) jest bezpiecznym i niezawodnym rozwiązaniem. Został zaprojektowany do użytku w trudnym środowisku RF, takich jak fabryki, magazyny, hale produkcyjne. AP posiada równoczesną transmisję na 2,4GHz i 5 GHz. Urządzenie zostanie podłączone do specjalnie wydzielonego osobnego VLAN- u który będzie umożliwiał tylko dostęp do Internetu. W celu bezpieczeństwa zostanie użyte szyfrowania WPA2 (WiFi Protected Access). AP zostanie umiejscowiony w salach konferencyjnych w budynku w Łodzi. Zapewni on łatwy i wygodny dostęp użytkownikom do Internetu. Rysunek numer 40 przedstawia zdjęcie urządzenia. W tabeli zamieszczono specyfikację Access Pointa. Rys. 40 HP A-WA2620E-AGN Dual Radio n Plenum FIT Access Point (JD453A) Porty 1 RJ-45 autosensing 10/100/1000 PoE port(ieee Type 10BASE-T, IEEE 802.3u Type 100BASE-TX, IEEE 802.3ab Type 1000BASE-T, IEEE 802.3af PoE), Duplex: 10BASE- T/100BASE-TX: half or full; 1000BASE-T: full only; 1 RJ-45 serial console (only for debugging) port Bezpieczeństwo UL 2043; UL ; EN ; IEC :2001 (with CB Report); CAN/CSA-C22.2 No Certyfikaty ANSI C63.4; FCC Part 15 65

60 Zużycie energii Zakres temperatur podczas eksploatacji Dopuszczalna wilgotność względna podczas eksploatacji Wymiary (szer. x głęb. x wys.) Waga produktu Gwarancja Wymagania dotyczące zasilania i eksploatacji 16 W (maximum) -10 to 65 C 5 to 95% (noncondensing) Wymiary i waga 21 x 15 x 3.5 cm 1.3 kg W zestawie 1 year, advance replacement, 30 calendar day, phone support,, Specyfikacja Access Pointa HP A-WA2620E-AGN Dual Radio n Plenum FIT Access Point (JD453A) 9 Serwery 9.1 Wybór sprzętu pod serwery Jako, że serwery są komputerami, które działają 24h/dobę oraz dostarczają usługi niezbędne do pracy firmy sprzęt, który zostanie wybrany na początku musi być przygotowany nie tylko obsłużenie obecnego obciążenia, ale i przygotowany z myślą o kliku latach naprzód. W zależności od zastosowania serwera przyjmuje się różne priorytety doboru sprzętu. Serwer WWW na przykład musi być przygotowany do obsługi wielu połączeń jednocześnie (co zapewni dobra karta sieciowa) oraz przetwarzania wielu danych jednocześnie (co zapewni szybki procesor i duża ilość szybkiej pamięci RAM). Przestrzeń dyskowa oraz prędkość tych dysków nie jest tu najważniejsza. Serwer pocztowy, w przeciwieństwie do poprzednika, potrzebuje bardzo szybkich dysków (najlepiej SCSII lub SAS). Jest to spowodowane tym, że poczta to nic innego jak pliki, które za każdym razem muszą być odczytane. Serwer bazodanowy powinien być wydajny i zapewnić pełne bezpieczeństwo 66

61 przed utratą danych. Osiągnięte to zostanie poprzez wydajny procesor, szybką pamięć oraz dyski spięte w RAID5. Zadaniem serwera plików oraz backupowego jest gromadzenie tych plików w dużych ilościach. Nie jest konieczne była to bardzo wydajna maszyna, wystarczy, żeby zapewniała odpowiednią przestrzeń dyskową. Serwery DNS wystarczy żeby był stabilne. Bind (czyli serwer DNS) nie zajmuje dużo zasobów. Poza kwestiami czysto technicznymi wybierając sprzęt do serwerowni należy zwrócić też uwagę na gwarancję (długość oraz typ). 9.2 Sprzęt Aby sprostać wymaganiom firmy oraz ograniczyć TCO (Total Cost of Ownership) zostały wybrane serwery marki IBM z serii X oraz Serwery firmy Ideal. Ze względu na swoją niezawodność do usług krytycznych dla działania firmy proponuje się serwery IBM z serii x. Są to urządzenia z procesorami x86 dla systemów Windows i Linux, które zostały zaprojektowane z myślą o zapewnieniu dostępności, ułatwieniu zarządzania, znakomitej wydajności i skalowalności. Dzięki bardzo dobrej współpracy zarówno z systemami operacyjnymi Windows jak i Linux serwery te umożliwiają dużą elastyczność w doborze oprogramowania. Ponadto proponowane serwery x3655 i x3650 zoptymalizowane są pod kątem wirtualizacji i obsługi baz danych. Do obsługi mniej ważnych serwisów firmowych wybrano tańsze serwery firmy Ideal, które bazują na podobnych co IBM markowych podzespołach ale oferują niższą cenę przy porównywalnej jakości. W serwerach firmy Ideal brak jest niestety rozwiązań jakie występują w serwerach IBM związanych z zarządzaniem i diagnostyką jednostki. Serwery IBM spełniają rolę: Serwera bazodanowego (IBM System x3655) Serwera WWW, poczta i DNS (IBM System x3650) Serwer bezpieczeństwa danych (IBM System 3400) Urządzenia firmy IDEAL spełniają rolę: Serwer plików (Ideal Server R2550) Serwer zapasowy(ideal Server R1550) Serwer bezpieczeństwa danych będzie przechowywał na swych 67

62 dyskach kopie zapasowe wszystkich potrzebnych danych. Dodatkowo w celu zapewnienia maksymalnego bezpieczeństwa zostanie zainstalowana pamięć taśmowa TS3100 Tape Library Model 3573L3S. Rys. 41 IBM System x3650 Wielkość Procesor Liczba procesorów L3 cache Pamięć Sloty Karta sieciowa Zasilanie Gwarancja Rack/2U Intel 4-Core Xeon E GHz QPI 5,86 GT/s 2 12 MB 16GB Fully Buffered DDR3 PC MHz RDIMMDyski 5x146GB 15k hot plug SAS w RAID5 (IBM RAID M5014) 4 PCI-Express lub 2 PCI-X i 2 PCI-Express Zintegrowana podwójna gigabitowa karta Intel 835W x2 AC Trzyletnia gwarancja on site IBM System x3650 Rys. 42 IBM System x3600 Wielkość Rack/2U Procesor 8 Core AMD Opteron Processor Model GHz Ilość procesorów 2 Pamięć 32 GB Fully Buffered DIMM 1333 MHz via 32 DIMM slots 68

63 Dyski Sloty Karta sieciowa Zasilacz Gwarancja 4x146GB 15k hot plug SAS w RAID5 4 PCI-Express lub 2 PCI-X i 2 PCI-Express Zintegrowana podwójna gigabitowa karta Realtek 835W x2 AC Trzyletnia gwarancja on site IBM System x3655 Rys. 43 IBM System 3400 Wielkość Tower/5U (można montować w rack-u) Procesor Intel 4-Core Xeon E GHz Liczba procesorów 1 L3 cache 12MB Pamięć 2x2GB DDR MHz Dyski 5x 1TB hot plug SATA w RAID5 Karta sieciowa Zintegrowana podwójna gigabitowa karta Intel Zasilacz 600W x2 AC Gwarancja Trzyletnia gwarancja on site IBM System 3400 Wielkość Rack/2U Rys. 44 Ideal Server R

64 Procesor Liczba procesorów L2 cache Pamięć Dyski Sloty Karta sieciowa Zasilacz Gwarancja Intel Xeon Xeon E5506 2,13 GHz 1 4 MB 4 GB DDR3 4x 1TB hot plug SATA w RAID5 3 PCI-Express lub 2 PCI-X i 2 PCI-Express Intel PRO/1000 Server Network 835W Trzyletnia gwarancja on site Ideal Server R2550 Rys. 45 Ideal Server R1550 Wielkość Procesor Liczba procesorów L3 cache Pamięć Dyski Sloty Karta sieiowa Zasilacz Gwarancja Rack/1U 1 x Intel Xeon Dual-Core E5620 2,4 GHz, 1 12 MB 4 GB DDR3 4x 1TB hot plug SATA w RAID5 4 PCI-Express lub 2 PCI-X i 2 PCI-Express Intel PRO/1000 Server Network 835W Trzyletnia gwarancja on site Ideal Server R

65 Rys. 46 TS3100 Tape Library Rodzaj napędu Maksymalna ilość kardridży Pojemność Napęd IBM LTO Ultrium 5 (8 Gbps FC, 6 Gbps SAS lub LVD SCSI). Biblioteka obsługuje także napędy LTO ,6 TB (LTO3), 19,2 TB (LTO4) lub 36TB (LTO5) Transfer Do 120MB/s Tab. 17 TS3100 Tape Library IBM gwarantuje o wiele lepsze warunki supportu - w cenie daje aż 3 letnią gwarancję on site z reakcją maksymalnie następnego dnia roboczego, a za dopłatą aż 5 letnią gwarancję tego typu. Ideal w cenie oferuje jedynie roczną gwarancję na tych samych zasadach co IBM, z możliwością płatnego przedłużenia na okres 3 lat. Zarządzanie serwerami Do serwerów będzie się można dostać na dwa sposoby: lokalnie zdalnie. Dostęp lokalny będzie polegał na zastosowaniu przełącznika KVM, do którego będzie podłączona mysz, klawiatura i monitor. Przełącznik ten będzie podłączony do wszystkich serwerów w serwerowi, tak aby do każdego z nich można się było dostać awaryjnie. Ponadto na wszystkich serwerach będą działać demony ssh, dzięki którym będzie możliwy bezpieczny dostęp zdalny do urządzeń. 71

66 9.3 Dobór oprogramowania do serwerów Serwer Oracle Serwer bazodanowy jest najważniejszym serwerem znajdującym się w firmie Cartago. W związku z tym ważne jest dobranie bardzo stabilnego oraz bezpiecznego systemu oraz aplikacji na nim się znajdujących. Od strony bazy danych zaimplementowana zostanie baza Oracle 11g Release 2. Wynika to z jednej strony z powodu jakości produktów Oracle'a, a z drugiej z faktu iż firma Cartago dotychczas na takiej bazie pracowała. Powyższa baza będzie pracowała na system RHEL 6.1 Server (Red Hat Enterprise Linux Server 6.1). Głównymi atutami tego systemu do omawianego zastosowania są: specjalny support Oracle dla firm, które instalują bazę na systemie RHEL, tzw. Oracle Unbreakable Linux Support długa żywotność systemu. Red Hat zapewnia 7-letni support (4 lata pełny support, 3 lata tylko seciurity updates) dedykowane rozwiązanie dotyczące wirtualizacji Na serwerze tym będzie pracować autorskie oprogramowanie dzięki któremu wszystkie działy będą mogły wprowadzać dane do bazy. W celu uzyskania niezależności platformowej oraz ograniczenia wymagań końcówek klienckich oprogramowanie to będzie dostępne przez przeglądarkę WWW. Żeby to wszystko sprawnie działało na serwerze zainstalowany zostanie serwer Apache. Wybór padł na to rozwiązanie głównie z powodu wieku tego projektu. Nie jest potrzebne nam rozwiązanie które będzie obsługiwało miliony zapytań jednocześnie. W końcu oprogramowanie firmy Cartago będzie dostępne tylko dla osób znajdujących się w sieci wewnętrznej (czyli tylko setki osób). Oprogramowanie zostanie napisane w języku PHP. Jest to język ciągle rozwijany oraz popularny. Tak jak w przypadku Apache'a jest to rozwiązanie stabilne. Za pomocą PDO (PHP Data Objects) język bezproblemowo porozumiewa się z bazą danych Oracle. Łączenie z bazą poprzez PDO jest też bardzo elastycznym rozwiązaniem na przyszłość, gdyż w przypadku zmiany systemu bazodanowego aplikacja będzie ciągle działać. 72

67 Serwer WWW + DNS + Poczta W przeciwieństwie do poprzednika, serwer WWW musi być przygotowany na obsługę bardzo dużej ilości zapytań jednocześnie. Tak jak w przypadku serwera Oracle, na komputerze tym zainstalowany zostanie RHEL 6.1 Server, Oracle 11g Release 2 oraz Apache. Użycie Apache'a (a nie serwera typu ngnix czy Lighttpd) jest uzasadnione głównie tym, że popularność sklepu (nawet międzynarodowego) z mapami nie wygeneruje aż tak ogromnej liczby zapytań, żeby trzeba było stosować 'lżejsze' rozwiązania. Apache w trybie prefork bardzo stabilnie radzi sobie z obsługą około 1000 połączeń jednocześnie. Gdyby jednak zostało to przekroczone serwer dysponuje jeszcze trybem worker, który jest o wiele wydajniejszy (aczkolwiek trochę mniej stabilny). Dodatkowo przeciwko rozwiązaniom typu ngnix czy Lighttpd przemawiał ich brak w oficjalnych repozytoriach. Zastosowanie, więc któregoś z powyższych dostarczałoby dodatkowych kłopotów w postaci ciągłego pilnowania oraz kompilowania. Do poczty użyte zostaną Sendmail (SMTP) oraz Dovecot (IMAP oraz POP3). Cała poczta znajdować się będzie na osobnym dysku. Dzięki temu duże obciążenie poczty nie będzie wpływało znacznie na pracę serwera WWW. Jako serwer DNS użyty zostanie BIND. Jest to w obecnej chwili najstabilniejszy i najbezpieczniejszy serwer do tego zastosowania. Obciążenie generowane przez ten serwer można uznać za pomijalne. Serwer Samba/DHCP/Oprogramowania pracy grupowej Na tym komputerze będzie znajdować się większość usług wewnętrznych firmy Cartago, czyli: Samba DHCP Oprogramowanie do pracy grupowej Systemem, tak jak w pozostałych przypadkach jest RHEL Server 6.1, Co prawda nie jest to serwer aż tak strategiczny jak pozostałe, jednak pozostanie przy tym systemie zapewni większą stabilność oraz ułatwi kontakt z supportem. 73

68 Oprogramowanie pracy grupowej / wymiany dokumentów Oprogramowanie takie będzie działać za pomocą interfejsu WWW. W związku tym potrzebny będzie Apache oraz PHP + MySQL. Skrypt do pracy grupowej oraz wymiany dokumentów będzie skryptem autorskim, dostosowanym specjalnie do pracy w firmie Cartago. Będzie on oparty na duecie PHP + MySQL. Samba Serwer Samby ma trzy główne zadania: pozwolić na trzymanie backupów ważnych plików pozwolić na wymianę większych plików wewnątrz firmy odciążyć pocztę (pracownicy nie będą przesyłać pomiędzy sobą plików, tylko będą udostępniać je za pomocą Samby) Każdy użytkownik będzie miał do dyspozycji 2 katalogi prywatne (backup oraz udostępnione) oraz jeden katalog wspólny do wymiany tzw 'śmieci'. Katalog wspólny będzie czyszczony z plików starszych niż tydzień. DHCP Dzięki DHCP wszystkie komputery w sieci będą automatycznie otrzymywać adres IP, adres bramy i DNS. Będzie to obsługiwane za pomocą dhcpd. Mirror W celu ograniczenia ruchu spowodowanego aktualizacjami oprogramowania na hostach na serwerze postawiony będzie także mirror repozytorium Red Hata oraz własne z programami nie umieszczony w oficjalny repozytorium, a używanymi w firmie. Backup Serwer Na tym serwerze także będzie zainstalowany RHEL. Głównie dla zachowania jednolitości systemowej. Kluczową usługami działającymi na tym komputerze będą Cron oraz skrypty do wykonywania poszczególnych backupów napisane w bashu. 74

69 9.4 Konfiguracja usług Większość usług (np Apache, BIND) będzie działać w konfiguracji dość zbliżonej do konfiguracji domyślnej. Będą oczywiście wprowadzone poprawki mają na celu zwiększenie bezpieczeństwa (np. mod_security w apache'u w DMZ patrz zabezpieczenia usług) czy dostosowanie do specyfiki firmy (serwer DHCP i specjalna konfiguracja pod VLANy). Synchronizacja bazy Oracle z serwerem WWW Jako, że serwer WWW znajduje się w DMZ oraz nawiązanie przez serwer WWW połączenia z bazą Oracle'a byłoby zaprzeczeniem całej idei strefy zdemilitaryzowanej, synchronizację trzeba rozwiązać w bardziej skomplikowany sposób. Na serwerze Oracle w CRON'ie będzie cyklicznie chodził skrypt, nawiązujący połączenie z serwerem WWW. Następnie będzie uaktualniał niezbędną część bazy danych (strona firmowa nie musi mieć dostępu do wszystkich informacji zawartych w Oraclowej bazie, wystarczy tylko stan magazynu i realizacje zleceń). Pobierze także informacje by zaktualizować bazę główną (zlecenia). Ta ostatnia czynność jest jedyną o podwyższonym stopniu ryzyka, gdyż jeżeli nastąpiło naruszenie zasad bezpieczeństwa, który jeszcze nie zostało wykryte w głównej bazie mogą pojawić się fałszywe dane. Nie jest to jednak krytyczne zagrożenie, mogące spowodować utratę danych. Dodatkowo serwer WWW w IPTABLES będzie miał zestaw regułek które pozwolą tylko na dostanie się od środka serwera Oraclowego. Samby W firmie będą znajdować się dwa serwery Samby jeden w Polsce drugi w Niemczech. Osobne Samby mają zapobiegać długiemu oczekiwaniu na dostęp do swoich serwerowych plików pracowników niemieckich. Nie będzie to jednak przeszkodą w możliwości przeglądania plików pomiędzy filią, a częścią główną firmy, gdyż na komputerach będą zamontowane za pomocą NFS (Network File System) katalogi z drugiej Samby. 75

70 9.5 Licencje System RHEL jest oparty na licencji GNU GPL(GNU General Public License) Oznacza to, że jest to oprogramowanie o otwartym źródle oraz zakłada przekazanie użytkownikom czterech podstawowych wolności: wolność uruchamiania programu w dowolnym celu (wolność 0) wolność analizowania, jak program działa i dostosowywania go do swoich potrzeb (wolność 1) wolność rozpowszechniania niezmodyfikowanej kopii programu (wolność 2) wolność udoskonalania programu i publicznego rozpowszechniania własnych ulepszeń, dzięki czemu może z nich skorzystać cała społeczność (wolność 3). Jako, że system posiada taką licencje to oprogramowania zawarte w nim musi posiadać taką samą licencję lub kompatybilną (np. BSD, Apache, LGPL czy MIT). Pewną wadą licencji GPL jest fakt iż każde oprogramowanie stworzone na bazie (lub z użyciem) rozwiązań GPL musi zostać także opublikowane na tej samej licencji. Do prawidłowej i pełno wydajnej pracy musimy zakupić jednak tzw. Subskrypcje, bez których nie będziemy mieli dostępu do repozytoriów firmy Red Hat. Mamy do dyspozycji 3 wersje: Basic, Standard oraz Premium. Różnią się one zakresem pomocy technicznej, ilością dostępnego oprogramowania oraz sprzętem na którym może być zainstalowany i użytkowany system RHEL. Jedynym wyjątkiem od powyższej licencji jest Oracle, który jest produktem w pełni komercyjnym o zamkniętym źródle. Oracle Database Enterprise Edition jest licencjonowany na dwa sposoby: named user i processor. Pierwszy wariant zakłada zakup tylu licencji ilu użytkowników zostanie autoryzowanych do korzystania z oprogramowania znajdującego się serwerze/serwerach. Drugi zaś jest zależny od ilości procesorów na których działa oprogramowanie Oracle. Wszystkie programy stworzone przez firmę Cartago, czyli CMS do strony WWW oraz system zarządzający, działają na licencji GPL. Udostępnienie kodów źródłowych publicznie ułatwi wykrywanie luk i błędów oraz może doprowadzić do powstania nowych rozszerzeń czy dodatków.

71 9.6 Bezpieczeństwo serwerów Fizyczne bezpieczeństwo serwerów będzie zapewnione przez odpowiednie zabezpieczenie serwerowi. Serwerownia powinna być wyposażona w przeciwogniowe drzwi, oraz system gaszenia ognia i ostrzegania przed pożarem. Do serwerowi można będzie wejść tylko przez pokój IT. System kontroli dostępu ograniczy możliwości wejścia zarówno do pomieszczenia IT jak i do samej serwerowi, do tych pokoi będzie można się dostać jedynie po autentykacji za pomocą karty magnetycznej i podania kodu PIN. Serwery będą umocowane w szafie RACK- owej, dodatkowo będą posiadały szyny ułatwiających dostęp do serwerów i szybką wymianę uszkodzonych części np. dysków twardych, wentylatorów czy zasilaczy. Do serwerów można się będzie dostać jedynie z konsoli lub zdalnie poprzez ssh. Autentykacja użytkowników którzy będą logować się zdalnie będzie odbywać się poprzez certyfikaty i klucze. Klucze prywatne użytkowników będą zabezpieczone dodatkowo hasłem. Na każdym serwerze będzie działał firewall co dodatkowo zwiększy bezpieczeństwo serwerów. Bezpieczeństwo danych Zawarte na serwerach dane zostaną zabezpieczone przed utratą poprzez podwójny system backup-ów danych, system maszyn wirtualnych oraz zastosowanie droższych ale bezpiecznych rozwiązań dyskowych. Każdy serwer w firmie posiada kontroler RAID który umożliwia zastosowanie relatywnie taniego i bardzo bezpiecznego rozwiązanie jakim jest RAID5. Macierz dyskowa tego typu wymaga jednego dodatkowego dysku o tej samej pojemności co inne, ale za to dane są bezpieczne w przypadku gdy awarii ulegnie jeden z dysków macierzy. Zastosowanie dysków typu hot plug pozwala na ich wymianę w czasie pracy urządzenia, co pozwoli na wymienienie wadliwego dysku na inny bez konieczności wyłączania serwera. Kopie zapasowe danych firmowych w pierwszej kolejności zostaną zgrane na serwer bezpieczeństwa danych. Dzięki temu będzie je można odzyskać dużo szybciej niż z taśm magnetycznych. Na serwer bezpieczeństwa danych będą

72 spływać codziennie zrzuty z bazy danych Oracle, oraz pliki z serwera plików w sposób różnicowy. Raz w tygodniu dokonywany jest pełny backup wszystkich danych oraz stany maszyn wirtualnych każdego z serwerów. Proces ten jest powtarzany każdego tygodnia z tą różnicą że raz na 2 tygodnie pełny backup jest zgrywany na taśmy magnetyczne, po zapisie następuje weryfikacja danych zapisanych na taśmie. Nośniki te są następnie przechowywane w ognioodpornym sejfie poza serwerownią lub w banku. W ten sposób nawet w przypadku zniszczenia zarówno serwera podstawowego np. bazy danych jak i serwera kopi bezpieczeństwa zawsze istnieje możliwość odzyskania danych najdalej sprzed tygodnia. Kopie zapasowe stanów maszyn wirtualnych są potrzebne do sprawnego działania przedsiębiorstwa. Gdyby któryś z serwerów uległ uszkodzeniu to dzięki temu że co tydzień zapisywaliśmy stan maszyny wirtualnej i mamy w szafie zapasowy serwer z systemem operacyjnym i środowiskiem do wirtualizacji to bardzo szybko można odtworzyć działającą konfigurację serwera, dzięki temu po 2-3 godzinach od momentu awarii serwer znów działa, tylko na innej fizycznej maszynie. Zabezpieczenia usług Serwery do których dostęp jest możliwy tylko z wewnątrz nie muszą posiadać jakiś specyficznych zabezpieczeń. Ich głównym zabezpieczeniem jest właśnie fakt, że dostęp do nich jest mocno ograniczony. Nie oznacza to, że należy zaniechać instalacji łat bezpieczeństwa, zacząć stosować krótkie hasła i wyłączyć iptables. Serwery, które znajdują się w DMZ są bardziej podatne na ataki. W tym przypadku za pomocą iptables należy ograniczyć możliwość do dostania się na serwer (otwarte zostaną tylko porty niezbędne do działania zainstalowanych tam usług). Instalowanie łat bezpieczeństwa należy uznać za priorytet. Serwis WWW jest kolejną potencjalną luką. Ważna, więc będzie konfiguracja apache'a oraz php w taki sposób, żeby wykluczyć jak największą liczbę potencjalnych 'dziur'. Dodatkowym skutecznym zabezpieczeniem będzie mod_security, który zapobiega włamaniom poprzez aplikacje webowe (w naszym przypadku przez sklep). Jest też skutecznym zabezpieczeniem na ataki typu DoS.

73 10 Polityka bezpieczeństwa Polityka Bezpieczeństwa jest zbiorem przepisów, reguł, procedur niezbędnych do zarządzania, udostępniania zasobów i systemów informatycznych wewnątrz firmy/korporacji. Jej zadaniem jest jasne określenie sposobu ochrony zasobów informatycznych i informacji. Procedury w niej zawarte przechowują scenariusze postępowania w przypadku naruszenia bezpieczeństwa. Polityka bezpieczeństwa definiuje sposoby korzystania z zasobów informatycznych. Ochronie podlegają zarówno dane jak i sprzęt teleinformatyczny. Polityką bezpieczeństwa objęte są zarówno procesy zabezpieczenia elementów software jak i hardware. Bardzo ważnym jest określenie sposobów dostępu fizycznego do sprzętu komputerowego zarówno z poziomu użytkownika jak i administratora zasobów firmowych. Ograniczenia dostępu dla osób i programów z zewnątrz intranetu z możliwością dostępu w sposób kodowany za pomocą VPN. Przygotowując dokument dotyczący polityki bezpieczeństwa Firma Cartago jasno określiła co podlega ochronie. Systemy i zasoby informatyczne zostały precyzyjnie podzielone na działy tematyczne z jasno określonymi wagami zabezpieczeń. Technologie, które zostały zastosowane w projekcie również wpłynęły na sposób określania bezpieczeństwa. Mechanizmy kontroli dostępu, autentykacji, identyfikacji, a wraz z nimi poziomu uprawnień mają za zadanie chronić cenne wartości Firmy przed niepowołanym dostępem. Poniżej wylistowane i w krótko opisane zostały podstawowe zagadnienia z zakresu bezpieczeństwa zastosowane w projekcie Firmy Cartago. Szczegółowe informacje dotyczące tworzeniu zabezpieczeń w poszczególnych etapach projektu zawarte zostały w każdym z działów. VLAN Virtual Local Area Network Logiczna sieć wydzielona w ramach jednej sieci fizycznej. VPN Virtual Private Network tunel, przez który płynie ruch w ramach sieci prywatnych za pośrednictwem sieci publicznej. Podstawowe cechy : - VPN jest strukturą logiczną działającą w ramach sieci publicznej.

74 - Dzięki kompresji danych charakteryzuje się dużą efektywnością. - Zapewnia bezpieczeństwo dzięki szyfrowaniu danych. - VPN dla pracowników mobilnych, daje możliwość pracy poza biurem. Elementy pasywne elementy sieci nie biorące czynnego udziały w transmisji pakietów : - szafy - listwy zasilające - panele - rynny prowadzące okablowanie itp. Urządzenia aktywne pracujące we wszystkich warstwach modelu ISO/OSI. Zaliczane są do nich: - routery - switche - karty sieciowe - access point -y Serwery sprzęt, oprogramowanie świadczące usługi innym komputerom, udostępniające pewne zasoby, pośredniczące w wymianie danych. Zabezpieczenia przeciwpożarowe, antywłamaniowe Jest to bardzo wazny dzial bezpieczenstwa, wykonanie zabezpieczen przeciwpozarowych oraz instalacja klimatyzacji zostanie wykonana przez firme zewnetrzna. Zabezpieczenie hostów Sposoby zabezpieczenia : - szyfrowanie danych - kopia zapasowa danych strategicznych - ograniczenie dostępu do Internetu - oprogramowanie antywirusowe - firewall

75 11 Hosty, urządzenia peryferyjne, oprogramowanie 11.1 Sprzęt Hosty Urządzenia końcowe, zwane hostami to ostatnie ogniwo sieci komputerowej, ale nie najmniej ważne, to na tych maszynach będzie się odbywała większość pracy wykonywanej przez firmę. Dlatego też, ważny jest odpowiedni dobór parametrów hostów do zadań, które będą na nich wykonywane. Po zapoznaniu się z profilem firmy, oraz oczekiwaniami dotyczącymi tej części sieci wybrano następujące konfiguracje: Zestaw Prezes w skład, którego wchodzi: Macbook Air (na specjalne życzenie Prezesa), bardzo lekki i z odpowiednia konfiguracja wewnętrzna względem potrzeb przedstawionych przez jego przyszłego użytkownika, niezwykle elegancki a zarazem funkcjonalny. Apple Mighty Mouse, mysz przeznaczona do powyższego notebooka, zgodnie z życzeniem także firmy Apple. Oprogramowanie znajdujące się na tej jednostce to: Mac OS X Snow Leopard Adobe Photoshop Elements CS 5 PL Corel Painter 12 ESET NOD32 Antivirus Zestaw Grafik w skład którego wchodzi:

76 Apple Mac Pro(jednostka centralna), polaczenie niskiej ceny i wysokiej wydajności dedykowanej pod kątem prac graficznych, z jednoczesną możliwością rozbudowy pod potrzeby naprawdę grymaśnych grafików. Eizo ColorEdge CG223W (monitor), specjalistyczny monitor dla grafików z kalibracją barw, monitory firmy Eizo należą do czołówki monitorów o przeznaczeniu specjalistycznym, gwarantując wysokie parametry pracy i łatwość obsługi.

77 Apple Keyboard Silver PL(klawiatura), produkt wykonany z myślą o zastosowaniu biznesowym, lecz dzięki dodatkowym portom USB i klawiszom funkcyjnym staje się niezmiernie użyteczna dla grafików. Logitech mx revolution mouse(mysz), dzięki dodatkowym klawiszom funkcyjnym uzupełnia się wraz z klawiatura jako narzędzia pracy grafika, bezprzewodowa oraz optyczna mysz z rozdzielczością 800 DPI jest odpowiednim narzędziem dla grafików. Oprogramowanie znajdujące się na jednostce centralnej tego zestawu: Mac OS X Snow Leopard Adobe Photoshop Elements CS5 PL Corel Painter 12 ESET NOD32 Antivirus Zestaw Handlowiec w skład którego wchodzi: Lenovo ThinkPad T500(Notebook), idealne rozwiązanie dla pracowników mobilnych, warunkowane mała waga, dobrą wydajnością i bezpieczeństwem danych, seria T500 posiada wbudowane czytniki linii papilarnych. Oprogramowanie znajdujące się na jednostce to: Windows 7 Professional sp1 OpenOfficePL Professional 2010 Adobe Photoshop Elements CS5 PL Corel Painter 12 Zestaw Biuro w skład którego wchodzi: Lenovo ThinkCentre M58 (jednostka centralna), mały

78 ,wydajny, cichy, energooszczędny oraz stabilny podczas pracy to cech idealnego komputera biurowego, ten model posiada wszystkie te cechy. ThinkVision L197, estetyczny, wygodny w użytkowaniu, posiada to co potrzebne do pracy biurowej, uzupełnia zestaw, który tworzy z jednostka centralną tej samej firmy. Lenovo Enhanced Performance USB Keyboard, klawiatura uzupełniająca zestaw, także firmy Lenovo: Lenovo USB Optical Wheel Mouse, mysz uzupełniająca zestaw, także firmy Lenovo. Oprogramowanie znajdujące się na jednostce to: Red Hat Enterprise Linux 6.1 Desktop OpenOfficePL Professional 2010 Zestaw Księgowość w skład którego wchodzi: Lenovo ThinkCentre M58 (jednostka centralna), mały,wydajny, cichy, energooszczędny oraz stabilny podczas pracy to cech idealnego komputera biurowego, ten model posiada wszystkie te cechy. ThinkVision L197, estetyczny, wygodny w użytkowaniu, posiada to co potrzebne do pracy biurowej, uzupełnia zestaw, który tworzy z jednostka centralną tej samej firmy. Lenovo Enhanced Performance USB Keyboard, klawiatura uzupełniająca zestaw, także firmy Lenovo. Lenovo USB Optical Wheel Mouse, mysz uzupełniająca zestaw, także firmy Lenovo. Oprogramowanie znajdujące się na jednostce to: Windows 7 Professional sp1 Płatnik OpenOfficePL Professional 2010 ESET NOD32 Antivirus

79 Zestaw Produkcja w skład którego wchodzi: Lenovo ThinkCentre M58 (jednostka centralna), mały,wydajny, cichy, energooszczędny oraz stabilny podczas pracy to cech idealnego komputera biurowego, ten model posiada wszystkie te cechy. ThinkVision L197, estetyczny, wygodny w użytkowaniu, posiada to co potrzebne do pracy biurowej, uzupełnia zestaw, który tworzy z jednostka centralną tej samej firmy. Lenovo Enhanced Performance USB Keyboard, klawiatura uzupełniająca zestaw, także firmy Lenovo. Lenovo USB Optical Wheel Mouse, mysz uzupełniająca zestaw, także firmy Lenovo. Intel PRO/1000 MF Server Adapter, karta sieciowa światłowodowa, konieczność jej zastosowania wymuszona warunkami panującymi na hali produkcyjnej. Oprogramowanie znajdujące się na jednostce to: Windows 7 Professional sp1 OpenOfficePL Professional 2010 Adobe Photoshop Elements 9 PL Corel Painter 12 Zestaw Magazyn w skład którego wchodzi: Lenovo ThinkCentre M58 (jednostka centralna), mały,wydajny, cichy, energooszczędny oraz stabilny podczas pracy to cech idealnego komputera biurowego, ten model posiada wszystkie te cechy. ThinkVision L197, estetyczny, wygodny w użytkowaniu, posiada to co potrzebne do pracy biurowej, uzupełnia zestaw, który tworzy z jednostka centralną tej samej firmy. Lenovo Enhanced Performance USB Keyboard, klawiatura uzupełniająca zestaw, także firmy Lenovo. Lenovo USB Optical Wheel Mouse, mysz uzupełniająca zestaw, także firmy Lenovo. MOTOROLA LS3578 FZ(czytnik kodów kreskowych), wygodny w użyciu, mobilny skaner, wydajny i na jego prace nie będą miały wpływu warunki środowiskowe pochodzące z produkcji.

80 Oprogramowanie znajdujące się na jednostce to: Red Hat Enterprise Linux 6.1 Desktop OpenOfficePL Professional 2010 Zestaw Prezes Zakup produktu Macbook Air (zilustrowanego na rysunku 56). został narzucony przez prezesa firmy Cartago. Wybrano jedną z najmocniejszych konfiguracji sprzętowych możliwych dla tego modelu. Rys. 47 Macbook Air Notebook do zastosowań czysto biznesowych. Został wykonany z wielką precyzją. Posiada ultra cienką aluminiową obudowę, której zawartość w stosunku do ilości dostępnego miejsca wewnątrz, jest bardzo satysfakcjonująca. Jest przy tym lekki, poręczny i wytrzymały, dzięki czemu można go zabrać po prostu wszędzie. Według producenta akumulator podczas pracy w sieci bezprzewodowej jest w stanie wytrzymać nawet 4,5 godziny. Specyfikacja: 1. Intel Core 2 Duo 1,86 GHz 2. Dysk półprzewodnikowy 128 GB 3. 2 GB pamięci SDRAM DDR MHz na płycie głównej 4. NVIDIA GeForce 9400M z 256 MB pamięci SDRAM DDR3 5. Magistrala systemowa 1066 MHz 6. Przekątna ekranu 13,3 cala z błyszczącą powłoką i podświetleniem LED, 1280 na 800 pikseli 7. Wbudowany interfejs sieci bezprzewodowej AirPort Extreme (IEEE n)

81 8. 8x napęd SuperDrive (DVD±R DW/DVD±RW/CD-RW) 9. Mac OS X Snow Leopard 10. MacBook jest objęty 90-dniowym telefonicznym wsparciem technicznym oraz roczną ograniczoną gwarancją Tab. 18 Specyfikacja Macbook air Mysz Apple Mighty Mouse(zilustrowana na rysunku 57) będzie stanowiła zestaw z notebookiem Macbook Air. Wybrano ją w celu zwiększenia komfortu pracy prezesa. Rys. 48 Apple Mighty Mouse Laserowa mysz firmy Apple świetnie dostosowuje się do każdej powierzchni. Posiada wbudowany interfejs bluetooth za pomocą którego łączy się z komputerem. Wystarczy tylko skojarzyć ją z macbook air i można pracować przy jej użyciu bez żadnych kabli. Oprócz tego jest niezwykle precyzyjna i czuła na dotyk, co znacznie podnosi komfort czynności wykonywanych za pomocą Mighty Mouse. Specyfikacja: 1 Zasilanie dwiema bateriami AA 2 Wbudowany interfejs bluetooth 3 System Mac OS X Specyfikacja Mighty Mouse