Сетевой журнал: галерея ИТ-проектов

  ПРОЕКТ

Проект создания единой системы управления для фирмы с пятью различными по платформам отделениями


Race Communications: объединяй и разделяй
Компания Race Communications - системный интегратор, специализирующийся в области разработки, построения и сопровождения корпоративных сетей и систем связи. По мнению ее специалистов, наша задача естественным образом делится на три составляющие: во-первых, управление устройствами, т. е. сетевым оборудованием и аппаратной частью компьютеров, во-вторых, управление серверами на уровне серверных приложений и, наконец, в-третьих, централизованная установка ПО и контроль установленного ПО на рабочих станциях. Последнюю составляющую специалисты Race не считают для себя профильной. Они полагают, что здесь целесообразно будет использовать пакет Microsoft SMS (Systems Management Server), который позволяет управлять конфигурацией рабочих станций Windows 98, NT, 2000, но подробно рассматривать это решение не стали и предложили ограничиться только первой и второй частями задачи.

Будь фирма не виртуальной, а реальной, Race прежде всего провела бы предпроектное обследование, в данном случае заключающееся в первую очередь в подробной беседе с заказчиком. Вариантов решения можно предложить несколько, есть относительно дешевые и более дорогие. Выбор между ними зависит от того, часто ли в сети происходят отказы и в какую сумму они обходятся, чем и как заказчику в действительности нужно управлять, сколько сотрудников и в каких подразделениях предположительно будут работать с системой управления и др.

Архитектура системы
Сеть холдинга из задачи представляет собой то, что называется "полный зоопарк". Маршрутизаторы, правда, однотипные - все производства Cisco, причем не слишком сложные в управлении и их сравнительно немного, но коммутаторы во всех точках разные. Можно, конечно, поставить в каждом офисе специализированную систему управления для соответствующего типа оборудования, и в некоторых отношениях это было бы полезно (к чему мы еще вернемся в конце статьи). Однако такие системы довольно дороги, а специалисты по ним (которых еще нужно будет обучить), вообще говоря, имеют разную квалификацию и не взаимозаменяемы. Кроме того, остается нерешенной проблема управления настольными компьютерами и серверами.

Поэтому, с точки зрения Race, более разумным представляется подход, основанный на классическом SNMP-управлении. Протокол SNMP поддерживается и сетевым оборудованием, и компьютерами, и другими типами устройств, что позволяет строить универсальные системы управления. Наиболее распространенной такой системой промышленного класса является HP OpenView NNM (Network Node Manager), с которой работает Race.

Вариант с SNMP, в свою очередь, распадается на несколько подвариантов: управление можно сделать централизованным, с одной мощной SNMP-платформой в центральном отделении, которая "видит" все оборудование в холдинге, можно распределенным, со своей SNMP-системой в каждой из пяти точек, и можно комбинировать обе эти схемы.

Распределенное управление привлекательно в первую очередь тем, что обеспечивает оперативное оповещение о проблемах: очевидно, информация о том, что, например, такой-то порт пропал или перегружен, наиболее актуальна там, где это произошло. Централизованное позволяет получить в одной точке информацию обо всей сети, и оно обойдется дешевле, так как лицензия NNM и соответствующая аппаратная платформа нужны для него только в одном экземпляре, а не в пяти. Конечно, лицензия потребуется на большее число управляемых узлов, а платформа - более мощная, чем для каждого из отделений в случае распределенного управления. Кроме того, необходимопозаботиться о пропускной способности каналов связи между отделениями: если ограничиться опросом устройств раз в 10-15 минут, достаточно 64-128 кбит/с, если их предполагается опрашивать значительно чаще, каналы должны быть шире.

Поскольку NNM позволяет организовывать уровни управления и передавать сигналы на уровень вверх, возможен, например, следующий комбинированный подход: в каждом из пяти офисов устанавливается система управления; эти системы контролируют сети своих офисов, а кроме того, сигналы о критичных событиях передаются из периферийных офисов в центральный. Эта схема обеспечит сочетание оперативности и возможности собрать информацию в одном месте, однако она дороже централизованной.

Допустима и такая архитектура: в центральном офисе установить одну мощную систему на базе OpenView NNM, которая будет собирать информацию со всей сети холдинга, и обеспечить доступ к ней по сети из четырех периферийных отделений. Доступ может осуществляться через Web-интерфейс, а в случае использования Unix-платформы - также через X-терминал.

Возможность доступа через Web-интерфейс встроена в NNM. Этот интерфейс предъявляет сравнительно скромные требования к пропускной способности каналов связи: в принципе хватит тех же 64-128 кбит/с, что и для управляющего трафика; впрочем, используемые там Java-апплеты довольно громоздки, и чтобы не ждать подолгу появления экрана, лучше все-таки расширить канал до 256 кбит/с. X-терминал нужно приобретать и устанавливать отдельно, он отнюдь не бесплатен (хотя, конечно, дешевле отдельной лицензии NNM) и достаточно требователен к ресурсам: в типичной установке программа X-терминала занимает более 100 Мбайт, а для нормальной работы ей необходим канал связи с Unix-сервером минимум на 256-512 кбит/с. Зато системы с доступом через X-терминалы, по опыту специалистов Race, получаются самыми наглядными, удобными и устойчивыми.

Возможности NNM
Итак, остановимся на архитектуре с одной NNM-системой в центральном офисе, к которой организован доступ из отделений, так что каждый администратор может работать со своим сегментом.

В основном работа происходит с картой сети, где отображается информация о проблемах - отказах устройств, портов, выходе заданных параметров за пределы нормы. Организована карта по иерархическому принципу: администратор видит блоки, соответствующие офисам, может открыть нужный блок и взглянуть на интересующее его устройство. При появлении проблемы блок будет помечен красным; открыв его, администратор увидит, какое именно устройство прислало сигнал. Однако при всей прозрачности интерфейса, для работы с NNM требуется серьезная подготовка. Это инструментарий для системного администратора, и нужно уметь им пользоваться. Стандартные процедуры SNMP в принципе позволяют запросить практически любой параметр любого выбранного устройства, но необходимо знать, как это сделать.

В основном задача управления сетью сводится к мониторингу - контролю нагрузки на сеть и устройства, отлавливанию критических событий, прогнозированию и профилактике отказов. Если же отказ все-таки произошел, его необходимо локализовать, и NNM обеспечивает это, просто трассируя движение пакетов по сети и проверяя, в какие точки они доходят.

Для мониторинга серверов и рабочих станций на них устанавливаются программные SNMP-агенты, которые существуют для всех современных ОС, включая различные варианты Windows, Linux, SUN Solaris и другие упомянутые в задаче. Разумеется, такой агент представляет собой отдельный программный модуль, и его работа создает определенную нагрузку на машину, хотя эта нагрузка не очень высока.

Сам по себе SNMP-агент, конечно, ничего не может - он просто переводит информацию с языка устройства на язык SNMP. Если, например, системная плата поддерживает диагностику температуры процессора, состояния работы вентиляторов и напряжения в сети электропитания, то вся эта информация может быть передана в NNM, если нет, получить ее не удастся. И все же SNMP-агенты сообщают не так уж мало. Они позволяют следить за такими параметрами, как производительность и загрузка процессора, степень заполнения дисков, средняя скорость записи и считывания файлов, нагрузка на сетевой интерфейс (это стандартная функция, она присутствует всегда) и многими другими.

Во многих SNMP-агентах есть возможность присваивать определенным ситуациям статус отказа, чтобы при их возникновении генерировался соответствующий сигнал. И если на какой-то машине диск заполнится больше чем на 90%, на сервере загрузка процессора превысит норму, перегреется системная плата и т. д., администратор сразу же увидит это на карте сети.

В задаче упомянута проблема отслеживания несанкционированных изменений аппаратной конфигурации. NNM в принципе позволяет это делать, но замечает, конечно, не больше, чем может определить операционная система самого компьютера и "понять" SNMP-агент. Иначе говоря, изменение объема памяти или дисков может быть обнаружено, а замена более дорогого модуля памяти на более дешевый без изменения объема - нет. Кроме того, SNMP-агент нельзя настроить так, чтобы он сигнализировал, например, о смене марки видеоплаты: это событие можно будет заметить со станции управления, только специально запросив данный параметр данного компьютера. Стопроцентно надежную защиту от взлома способно дать разве что использование специальных корпусов, сигнализирующих о вскрытии и посылающих соответствующий SNMP-сигнал.

Управление на прикладном уровне
Управление работающими на серверах ОС и прикладными системами (в задаче это файл-сервер NetWare, Oracle и интернет-сервисы) представляет собой отдельную задачу и основано на анализе "логов", т. е. журналов системных событий.

Эти журналы - основной инструмент, которым пользуется системный администратор при возникновении проблемы или при необходимости что-либо проанализировать. Программные средства помогают частично автоматизировать процесс изучения системных журналов, организовать его более разумно и эффективно. Из таких средств Race предлагает использовать HP OpenView Perfomance/Operations - компонент того же семейства OpenView, что и NNM, способный взаимодействовать с NNM с точки зрения топологии сети, т. е. обмениваться соответствующими данными.

Для работы Operations на серверах сети устанавливаются программные агенты, главная функция которых - мониторинг системных журналов. Агент просматривает системные журналы и при появлении в них событий, которые при настройке системы были определены как критичные, немедленно предупреждает оператора - в данном случае системного администратора.

Агенты Operations довольно ресурсоемки, так что если сервер работает на пределе аппаратных возможностей, на нем агента лучше не устанавливать. Впрочем, серверы редко эксплуатируются в таком режиме, а если текущая загрузка допускает увеличение хотя бы на 10%, установка агента возможна.

Сколько это будет стоить
Лицензия OpenView NNM стоит от $9 тыс. на 250 управляемых устройств до $30 тыс. на неограниченное их число. Иначе говоря, для системы, контролирующей все 900 устройств, имеющихся в сети холдинга, имеет смысл брать неограниченную лицензию. Perfomance/Operations обойдется еще дороже: агенты стоят от $500 до $1000, а стоимость лицензии на центральную управляющую систему варьируется в широких пределах в зависимости от функциональности. Наиболее полный пакет, включающий сразу NNM с неограниченной лицензией, Perfomance/Operations и ряд других функций, в том числе управление Web-серверами, обойдется примерно в $100 тыс. Развертывать всю эту систему имеет смысл на Unix-платформе (SUN Solaris или HP-UX). При этом будет обеспечена еще и интеграция с Microsoft SMS.

Стоимость аппаратной платформы для развертывания системы может составлять от 10 до 50 тыс. долл. в зависимости от количества управляемых узлов.

Отдельную статью расходов составит обучение персонала. Стандартный недельный курс по работе с NNM стоит около $1000 на одного специалиста, а нашему холдингу, как считают в Race, их потребуется не менее пяти - хотя бы по одному в каждой точке иметь необходимо. Курс по Perfomance/Operations стоит примерно столько же, но количество обучаемых специалистов здесь может быть меньше. Race может направить сотрудников заказчика на обучение в один из авторизованных учебных центров HP, а кроме того, организовать в своем учебном центре специализированный курс, ориентированный на систему конкретного заказчика, который будет включать и знакомство с системой OpenView NNM.

А нельзя ли подешевле?
Как видим, решение на базе HP OpenView обойдется довольно дорого. Однако существуют и менее мощные SNMP-системы, которые обеспечивают схожие с OpenView NNM возможности управления оборудованием при значительно более низкой цене. Правда, они не позволяют управлять большими сетями, но почему бы не попробовать установить такую систему, скажем, для нескольких десятков устройств (включив туда, естественно, все серверы и сетевое оборудование) и не познакомиться таким путем с SNMP, прежде чем тратить десятки тысяч долларов на мощный профессиональный продукт? Специалистам Race это представляется вполне разумным.

Из SNMP-систем начального уровня Race может порекомендовать SNMPс компании Castle Rock, популярную благодаря ее пользовательскому интерфейсу, кое в чем даже более удачному, чем у OpenView NNM. Послать SNMP-запрос и получить ответ в SNMPc можно точно так же, как и в NNM, правда, полученную информацию приходится расшифровывать "вручную".

Существует и совсем дешевая система - WhatsUp компании IPSwitch, которая стоит меньше $1000. Она не поддерживает автоматическое построение карты сети, а возможности ограничены периодическим опросом устройств, "ручной" работой с SNMP-запросами и отображением тревожных сигналов. Тем не менее работать с WhatsUp достаточно удобно. И SNMPc, и WhatsUp вполне подойдут, чтобы посмотреть, что такое SNMP-управление, насколько оно нужно фирме и чего недостает в его "облегченном" варианте.

Внедрение и сопровождение
Заказчики, приобретающие у Race пакет OpenView, далеко не всегда нуждаются в услугах по проектированию и внедрению системы управления - часто речь идет просто о поставке продукта либо о поставке продукта и обучении персонала.

Если же заказчику нужно установить и настроить систему, Race настаивает на наличии как минимум технического задания и протокола приемосдаточных испытаний - это позволяет избежать недоразумений в дальнейшем. Вообще же в таких случаях специалисты компании предпочитают работать с полным проектным циклом: он отнимает много времени и труда, но во всех отношениях надежнее.

Если у заказчика есть рабочий проект, то у него соответственно есть и документация, в которой описаны все настройки системы. Правда, если при этом заказчик хочет что-то перенастроить, он обязан вносить в формуляр все сделанные изменения. Это, конечно, тяжело, но если заказчик что-то испортит, записи помогут быстрее вернуть систему в работоспособное состояние.

Иногда Race по желанию клиента готовит отдельную эксплуатационную документацию - инструкции о том, как с чем обращаться и что в какой ситуации предпринимать. Эта услуга пользуется спросом.

Базовый пакет сопровождения Race, применяемый, когда заказчик только приобретает оборудование и ПО, предусматривает только заочную поддержку - по телефону, электронной почте и через Web-сервер (на нем имеется закрытая область технической поддержки, где выкладывается информация для клиентов). Срок реагирования не гарантируется, но фактически Race отвечает на запросы достаточно оперативно.

Минимумом поддержки у Race считается установка и ввод в эксплуатацию, а стандартный контракт высокого уровня поддержки гарантирует выезд специалиста и устранение проблемы в течение 72 часов по стране и не более чем через сутки в Москве и тех городах, где у Race есть представительства. Правда, действительно гарантировать устранение неполадок в заданный срок можно только для аппаратуры - проблемы с программными средствами иногда бывают очень серьезными. Поэтому, беря систему на гарантию, компания часто выдвигаеттребование, чтобы заказчик согласовывал с нею любое изменение в настройках системы.

Стоимость установки и настройки системы определяется объемом работ, а для гарантийного обслуживания с выездом специалиста она исчисляется в процентах от стоимости системы.

Дополнительные соображения
По опыту своих клиентов специалисты Race могут сказать, что для организации эффективного управления в холдинге разумно будет разделить полномочия между сотрудниками ИТ-отдела, закрепив за каждым свой сегмент инфраструктуры. Пусть за саму сеть, т. е. передачу информации и каналы связи, маршрутизаторы и коммутаторы и т. д., отвечает одна служба, обслуживанием пользователей (установкой ПО и аппаратуры на рабочих станциях) занимается другая, а поддержкой серверных ОС - третья. Организационно это может быть один отдел, но разделение по функциям необходимо.

Соответственно желательно разделить и информацию на операторских консолях системы управления, чтобы каждый сотрудник видел тот сегмент, который ему поручен. Взаимодействие между разными службами, разумеется, необходимо, но именно как взаимодействие.

Внутри большинства современных холдингов существуют службы - причем распределенные, т. е. их сотрудники сидят в разных офисах, - трафик которых следует изолировать от трафика остальных подразделений (кадровая служба, различные отделы, работающие с финансами, и т. п.). Сейчас такую изоляцию стандартно обеспечивают с помощью виртуальных локальных сетей - VLAN, так что холдингу, естественно, потребуются функции маршрутизации VLAN при передаче по каналам связи.

Вообще управление VLAN, правами доступа между ними, списками ограничений доступа намного удобнее организовывать на оборудовании одного производителя. Что же касается нашего холдинга, то по крайней мере для сегмента Cisco, т. е. коммутаторов центрального офиса и маршрутизаторов, стоило бы поговорить о нескольких компонентах Cisco Works 2000, в частности о Cisco Security Manager - системе управления безопасностью и о Cisco Campus Manager - системе управления VLAN.

Отдельный вопрос представляет подключение предприятия к интернету. Согласно условию, оно осуществляется через тот же маршрутизатор Cisco 3620, который служит для связи с отделениями, и межсетевой экран. По опыту инженеров Race, это хотя и возможное, но крайне неудобное решение. Любое изменение конфигурации сети должно в таком случае создавать массу сложностей: например, при необходимости подключить еще один офис потребуется переделывать все списки ограничений доступа. Поэтому Race рекомендует приобрести еще один маршрутизатор, который будет использоваться только для связи с интернетом, а первый маршрутизатор поместить за межсетевым экраном, сделав полностью невидимым извне. Подобная схема включения надежнее с точки зрения безопасности и более управляема. В качестве дополнительного маршрутизатора вполне подойдет модель Cisco 805, стоимость которой (менее $1500) ничтожна по сравнению с рассмотренными средствами управления.

сетевой форум
поиск
подписка на журнал
о сетевом