Сетевой журнал: галерея ИТ-проектов

  ПРОЕКТ

Проект модернизации центра обработки данных и построения защищенного канала до удаленного филиала в банке

ОБИНКО: МЫ ВЫБИРАЕМ CISCO

Сеть

Представитель ОБИНКО сразу взял быка за рога и начал с далеко не лестной характеристики сети Банка. По его мнению, сеть настолько плохо спроектирована, что разумнее всего было бы полностью ее поменять, и чем скорее Банк на это решится, тем лучше. Попытка сэкономить средства, сохранив какие-то элементы старой сети, неизбежно повлечет за собой проблемы и, как следствие, дополнительные расходы - как говорится, скупой платит дважды.

Разберем все по порядку. Кабельная система не структурирована - по-видимому, при ее проектировании был использован так называемый дешевый вариант, когда делается локальная разводка кабелей по комнатам, а затем из каждой комнаты прокладывается сегмент кабеля до центрального коммутатора.

Попытка сэкономить средства, сохранив какие-то элементы старой сети, неизбежно повлечет за собой проблемы и, как следствие, дополнительные расходы - как говорится, скупой платит дважды.

Поскольку при работе сети на эти сегменты ложится основная нагрузка, они могут стать и часто становятся узким местом. Поэтому ОБИНКО предлагает проложить структурированную кабельную систему (СКС), имеющую коммутационный центр (или, при необходимости, несколько), где на коммутационной панели сводятся все кабели и осуществляется их перекоммутация. Кабель целесообразно взять категории 5e. Использовать кабели категории 6 особого смысла нет: они достаточно дороги, а обеспечиваемый ими канал Gigabit Ethernet нескоро понадобится на рабочих местах.

Что касается активного оборудования, то серьезным недостатком, с точки зрения ОБИНКО, является само по себе использование концентраторов. Компания уже несколько лет не применяет их, а строит только коммутируемые сети: это необходимо, поскольку сейчас все больше используются приложения, предъявляющие высокие требования к полосе пропускания каналов связи. Коммутатор 3Com SuperStack II Switch 1100 - неплохое устройство с довольно высокой производительностью, но сейчас он обслуживает лишь около 70 пользователей. Если же их число существенно возрастет (как это предполагается в задаче), то коммутатор, возможно, перестанет справляться с нагрузкой. Все-таки он предназначен для рабочих групп и не должен выступать в роли центра сети.

Поскольку возможно потребуется заново перепроектировать сеть, следует определиться с выбором производителя оборудования. В нынешней сети используется оборудование компании 3Com, но ОБИНКО предлагает перейти на Cisco. Почему?

Причин здесь несколько. Во-первых, компания Cisco Systems выпускает полную линейку оборудования, позволяющую целиком спроектировать решение для средней или крупной сети, - от коммутаторов для рабочих групп до мощных устройств, способных обслуживать нагруженный центр сети и обеспечивающих коммутацию третьего уровня. Во-вторых, она давно работает на российском рынке телекоммуникаций и имеет массу партнеров среди российских компаний, а в-третьих, обеспечивает высокий уровень поддержки как партнеров, так и клиентов. ОБИНКО - сертифицированный партнер Cisco Systems и имеет большой опыт разработки проектов на ее оборудовании (хотя опыт работы с 3Com у нее тоже есть).

Будем считать, что максимальное число пользователей будущей сети - 250 (если росту системы в 4-5 раз соответствует пропорциональное увеличение числа операционистов, которых сейчас 40), т. е. мы имеем дело с сетью среднего размера. В предположении, что серверы, хранящие основные массивы данных, расположены централизованно, сеть можно было бы организовать следующим образом.

Пользователи подключаются к коммутаторам рабочих групп семейства Catalyst 3500 XL, которые могут иметь 24 или 48 коммутируемых портов 10/100, т. е. Fast Ethernet. Рабочая станция, подключенная к такому порту, получает гарантированную полосу пропускания в 100 или 10 Мбит/с в зависимости от установленной в ней сетевой платы. Коллизии исключены, так что обусловленных ими потерь пакетов не будет. На 200-250 пользователей потребуется пять-шесть 48-портовых коммутаторов 3548-XL или вдвое больше 24-портовых Catalyst 3524-XL (однако следует учитывать, что когда организация занимает несколько этажей, на каждом этаже при наличии этажных кроссовых комнат необходим как минимум один свой коммутатор).

Эти коммутаторы, образующие так называемый уровень доступа (Access Layer), снабжены специальным портом Gigabit Ethernet, через который они подключаются к коммутатору следующего уровня - уровня распределения (Distribution Layer). ОБИНКО рекомендует установить здесь коммутатор семейства Catalyst 6000 или 6500, например на шесть слотов (точная модель на данном этапе не обсуждается). Он содержит модуль, аккумулирующий все каналы связи с этажных коммутаторов.

Идеология проектирования сетей Cisco предусматривает и третий уровень - уровень ядра (Core Layer), но в сети такого размера его функции вполне можно возложить на коммутатор уровня распределения.

Для повышения надежности функционирования центра сети рекомендуется устанавливать два центральных коммутатора и каждый коммутатор уровня доступа подключать к обоим: одно из соединений будет основным, другое - резервным. В случае неполадок с основным каналом связи или с самим коммутатором активизируется резервный путь и пакеты идут уже по нему. Однако дополнительный коммутатор такого класса удорожает решение на десятки тысяч долларов. Несколько дешевле будет поставить всего одно шасси, добавив в него дополнительный модуль с гигабитными интерфейсами и замкнув на этот модуль резервные соединения с коммутаторами рабочих групп.

Если в Банке будут виртуальные сети, то между ними потребуется осуществлять маршрутизацию, когда пользователю одной такой сети понадобятся ресурсы другой. Для этой цели в Catalyst 6000 нужно будет установить либо специальную плату MSM (Multi-Layer Switch Module), либо модуль управления (Supervisor Engine, SE), содержащий платы MSFC (Multi-Layer Switch Feature Card) и PFC (Policy Feature Card).

Подключать серверы к Catalyst 6000 ОБИНКО рекомендует с помощью сетевых адаптеров производства компании Intel типа IntelPro Server Adapter. Эти платы необязательно должны быть гигабитными, поскольку виртуальная сеть Банка вряд ли способна сейчас создать трафик, требующий такой полосы пропускания. По оценке ОБИНКО, должно хватить обычного Fast Ethernet либо агрегированного канала. У Cisco соответствующая технология носит название Fast EtherСhannel (FEC) и позволяет объединить от двух до четырех каналов Ethernet в один с соответственно увеличенной полосой пропускания (объединив четыре канала Fast Ethernet, работающих в режиме Full Duplex на 100 Мбит/с, получим полосу пропускания до 800 Мбит/с). Поскольку сетевые адаптеры Intel эту технологию поддерживают, их можно подключать к центральному коммутатору и получать "толстый" агрегированный канал. Такой канал выгоден с точки зрения как стоимости (нет необходимости покупать дорогие кабель и адаптер, рассчитанные на передачу со скоростью 1 Гбит/с), так и надежности: если что-то происходит с одним адаптером или соединением, остальные продолжают работать и связь с сервером не прерывается.

Серверы

О конфигурации самих серверов представители ОБИНКО не стали говорить подробно, ограничившись замечанием о том, что компания является сертифицированным партнером компании Compaq и без труда подберет сервер под ту или иную задачу, лишь бы она была четко сформулирована. А "увеличение надежности" - это очень неконкретно. В принципе, можно взять любой сервер Compaq, снабженный контроллером RAID, организовать с помощью этого контроллера массив дисков, например RAID 5, обеспечивающий высокую надежность хранения данных, применять диски, которые можно менять "на лету" (так называемые hot plugable), и дополнить все это хорошей DLT-библиотекой, т. е. устройством резервирования данных на магнитной ленте.

Поскольку в качестве ОС в Банке используется Windows NT, ОБИНКО советует присмотреться также к кластерным технологиям Microsoft и Compaq. Они позволяют создать единый комплекс, обеспечивающий колоссальную степень надежности. Кластер состоит из двух дублирующих друг друга серверов, связанных специальными контроллерами с общей дисковой подсистемой. Если в процессе эксплуатации на одном из серверов происходит программный или аппаратный сбой, система автоматически переключается на второй и продолжает работать.

Защита от сбоев электропитания

У ОБИНКО есть опыт использования в своих проектах источников бесперебойного питания (ИБП) Symmetra компании APC. Это очень мощные устройства, способные обеспечивать бесперебойное питание сетевого и серверного оборудования, находящегося в одной комнате. ИБП Symmetra довольно велики, требуют специального помещения и выполнения ряда жестких условий от электриков, монтирующих оборудование, но зато гарантируют должный уровень надежности и защиты. И если речь идет о серьезном решении, вряд ли можно посоветовать что-либо попроще, особенно для банка, где такая защита жизненно важна.

Многие банки устанавливают у себя также дизель-генераторы, но к решению этого вопроса нужно подходить очень аккуратно, анализируя среди прочих параметров такой, как время запуска генератора. ИБП реагируют на сбои в системе питания практически мгновенно, а генератор может среагировать с задержкой.

Филиал

Предложенное ОБИНКО сетевое решение для филиала было совсем простым - один коммутатор Catalyst 3548-XL. Он имеет 48 портов и способен даже с некоторым запасом обслужить 30 рабочих мест. Доустановив в него специальный гигабитный модуль, получим два полноценных гигабитных порта, к которым можно подключать серверы, а по мере роста числа пользователей сети (вплоть до того, что не останется ни одного свободного порта) также другие сетевые устройства.

Защищенный канал связи

Защищенный канал связи между двумя офисами можно организовать массой способов. Если речь идет о передаче данных через интернет, то для защиты локальной сети от несанкционированного доступа извне необходим надежный межсетевой экран. Компания ОБИНКО строит свои решения по защите либо с использованием программно-аппаратных комплексов компании Cisco Systems - PIX, либо с использованием программного обеспечения Firewall-1 компании CheckPoint. В составе Firewall-1 имеется модуль VPN для организации виртуальных частных сетей.

Программно-аппаратный межсетевой экран Cisco PIX представляет собой устройство с двумя сетевыми интерфейсами - внутренним и внешним, первый из которых подключается к локальной сети организации, второй - к маршрутизатору, обеспечивающему связь с интернетом. Он имеет мощное ПО для настройки всевозможных пакетных фильтров, позволяющее разрешать или запрещать те или иные соединения, а также обращение к тем или иным внешним узлам. Часто его изображают в виде диода: в одну сторону трафик проходит, в другую нет. Программа Firewall-1 устанавливается на специально выделенный для защиты сети сервер, также имеющий два сетевых интерфейса. В обоих случаях возможны конфигурации с дополнительными портами, позволяющими организовать так называемую "демилитаризованную зону", где могут размещаться при необходимости серверы Web и электронной почты.

Когда для связи с филиалом используется выделенный канал, защищаться обычно не от кого, так что ни межсетевые экраны, ни виртуальная частная сеть не нужны. В качестве внешних маршрутизаторов и для выделенного канала, и для связи через интернет рекомендуются устройства семейства Cisco 26хх. Эти маршрутизаторы пришли на смену "бестселлерам" серии 25хх. Модульные, высокопроизводительные - они способны удовлетворить различные потребности заказчика.

Организация работы с заказчиком

После того, как заказчик обращается к компании ОБИНКО, ее представители проводят с ним несколько рабочих встреч, на которых сначала знакомятся с потребностями заказчика, а затем сами знакомят его с неким эскизным вариантом своих предложений, включающим, среди прочего, оценку стоимости разработки проекта: проектные работы, как и всякие другие, разумеется, должны оплачиваться. Если заказчик принимает предложения, между ним и компанией ОБИНКО подписывается договор и затем ОБИНКО формирует "виртуальный творческий коллектив" из своих специалистов, который приступает к подготовке проекта. Иногда договор заключается только на составление проекта, а выбор исполнителя проекта заказчик оставляет за собой.

Когда речь идет о модернизации имеющейся информационной системы, работы по проектированию, естественно, включают ее детальное обследование: аудит сети, анализ состояния кабельной инфраструктуры, серверов и информационной системы в целом. И при обследовании, и при внедрении инженеры работают в тесном контакте с ИТ-персоналом фирмы-заказчика. Основные составные части проекта ОБИНКО по возможности старается смоделировать у себя в лаборатории.

Вообще технологический цикл для проекта состоит из пяти этапов: обследование, подготовка эскизного (пилотного) проекта, проектирование, внедрение и паспортизация ИС. Когда готовая система проходит испытания и сдается в эксплуатацию, ОБИНКО разрабатывает для нее специальный технический паспорт, где описываются все конфигурации и настройки оборудования, приводятся рекомендации. К паспорту прилагаются также методика и результаты испытаний. Проект и паспорт сети дают полное представление о том, как она работает, и если, например, прежний ИТ-менеджер уволится, новый при наличии соответствующей квалификации сможет управлять сетью, познакомившись с этими двумя документами.

Сроки и расценки

Решение, которое описали нам в общих чертах представители ОБИНКО, было достаточно типовым. Реализация подобных проектов занимает, как правило, от двух до четырех недель, и еще неделя отводится на ходовые испытания. Однако это очень приблизительная оценка: можно ли, например, говорить о сроках монтажа кабельной системы, не имея данных об архитектуре здания, в котором находится фирма? В стандартном случае специалисты ОБИНКО монтируют СКС на 250 портов за две-три недели, но здание может оказаться очень нестандартным.

Разработка проекта стоит от $3 тыс. до $10 тыс. в зависимости от его сложности. Сложность нашего проекта, по оценке ОБИНКО, средняя, но недостает многих деталей, которые позволили бы определить ее более точно: каковы требования заказчика по настройке сетевого оборудования, нужна ли маршрутизация виртуальных сетей, как обеспечивается доступ в интернет и какие требования предъявляются к его защите; те же вопросы - относительно связи с удаленным филиалом.

Стоимость монтажа оборудования с настройкой, запуском и полугодовой либо квартальной поддержкой составляет обычно от 5 до 10% стоимости этого оборудования.

Обслуживание готовых систем

Оборудование, поставляемое ОБИНКО, имеет гарантию от производителя. Но заказчик может заключить договор на техническую поддержку и с самой компанией ОБИНКО, у которой имеются три вида стандартных сервисных контрактов. Самый полный - базовый - предполагает выезд инженеров к заказчику в случае возникновения аварийных ситуаций и для выполнения различных регламентных процедур, а также телефонные консультации (иногда проще смоделировать ситуацию на стенде ОБИНКО и довести до заказчика результат). Второй, более дешевый, предполагает выезд только в случае возникновения аварийных ситуаций, а третий - лишь телефонные консультации. Стоимость контрактов не фиксирована, а зависит от сложности информационной системы или той ее части, которая взята на обслуживание, а также от требований заказчика. r

сетевой форум
поиск
подписка на журнал
о сетевом


"INLINE Technologies"
"КРОК"
"РИАЛ СИСТЕМС"
"СофтИнтегро"

Rambler's Top100