Требования к лвс кратко

Обновлено: 04.07.2024

Крупные компании имеют в обороте большой объем данных разного характера:

• текстовые файлы;
• графические;
• изображения;
• таблицы;
• схемы.

Для руководства важно, чтобы вся информация имела удобный формат, легко конвертировалась и передавалась на любом носителе в нужные руки. Но бумажные документы давно начали сменяться оцифрованными, так как компьютер может содержать множество данных, с которыми намного удобнее работать с помощью автоматизации процессов. Также этому способствует перемещение сведений, отчетов и договоров партнерам или проверяющим компаниям без длительных переездов.

Так появилась необходимость повсеместного снабжения отделов фирм электронно-вычислительными устройствами. Вместе с этим встал вопрос о соединении этих приборов в единый комплекс для защиты, сохранности и удобства перемещения файлов.

В этой статье мы расскажем, как облегчить проектирование локальной вычислительной (компьютерной) сети на предприятии.

Что такое ЛВС, ее функции

Это связующее подключение ряда компьютеров в одно замкнутое пространство. Часто такой метод используется в крупных компаниях, на производстве. Также можно самостоятельно создать небольшую связь из 2 – 3 приборов даже в домашних условиях. Чем больше включений в структуру, тем она становится сложнее.

Виды составления сетей

Бывает два типа подключения, они различаются по сложности и наличию руководящего, центрального звена:

Равнозначные, они же одноранговые, характеризуются схожестью по техническим характеристикам. На них идет одинаковое распределение функций – каждый пользователь может получить доступ во все общие документы, совершить одинаковые операции. Такая схема легка в управлении, для ее создания не требуется множественных усилий. Минусом является ее ограниченность – не более 10 членов может вступить в этот круг, в ином случае нарушается общая эффективность работы, скорость.

Серверное проектирование локальной сети компании более трудоемкое, однако, у такой системы выше уровень защиты информации, а также есть четкое распределение обязанностей внутри паутины. Самый лучший по техническим характеристикам (мощный, надежный, с большей оперативной памятью) компьютер назначается сервером. Это центр всей ЛВС, здесь хранятся все данные, с этой же точки можно открывать или прекращать доступ к документам другим пользователям.

В настоящее время экспертами и представителями бизнеса самым эффективным способом создания единой информационной среды в компании признано построение локальных сетей. Локальная сеть (LAN) - группа подсоединенных друг к другу компьютеров, способных совместно использовать общие ресурсы. Данные передаются в виде пакетов, при этом для управления данным процессом используются разные технологии. На данный момент наиболее востребованной технологией является Ethernet – технология передачи данных посредством кабеля. Физической средой для канала передачи данных в проводной сети служат кабели, обычно это витая пара либо оптоволоконный кабель. Единое информационное пространство в компании необходимо для того, чтобы ее сотрудники – пользователи сети – имели возможность быстро обмениваться данными, вместе пользоваться разнообразными ресурсами и устройствами и выполнять многие другие действия, необходимые для успешного осуществления предприятием своей основной деятельности.

Ключевые преимущества локальных сетей для бизнеса:

• обеспечение непрерывного доступа персонала компании к общим ресурсам – документам, базам данных и пр., сохраняющее время и обеспечивающее высокий уровень коммуникации сотрудников;

• возможность совместного использования офисной техники – принтеров, факсов, сканеров, копиров, позволяющая сэкономить на приобретении дополнительных устройств;

• простота и легкость перемещения и добавления рабочих мест и оборудования, снижающая затраты средств и времени персонала компании;

• повышение безопасности критически важной коммерческой информации за счет использования систем защиты данных.

Специалисты компании ALP Group осуществляют работы по организации и построению коммутируемых локальных сетей, используя современные технологии и собственный серьезный опыт, накопленный за многие годы создания, сопровождения и технической поддержки инженерных систем для отечественного бизнеса. Создание локальной сети – ответственный процесс, требующий высокой степени профессиональной подготовки и уровня квалификации. Ведь от стабильности работы LAN зависит стабильная работа всей компании.

Основные требования к локально-вычислительной сети

• Надежная защита от внешних и внутренних угроз

• Адаптация под наиболее популярные виды кабелей и устройств

• Наличие запасных каналов и потенциала для последующего расширения и оптимизации

Этапы построения компьютерных сетей

1. Разработка. Включает в себя обследование территории, на которой предполагается построить локальную сеть, обсуждение с клиентом задач, которые она будет выполнять, формирование технического задания и выбор оборудования.

2. Установка и монтаж кабельных трас. На этом этапе производится прокладка кабеля, после которой производится установка и последующая настройка оборудования, ПО и системы защиты данных.

3. Тестирование. Проводится проверка ЛВС на предмет ее работоспособности, стабильности, безопасности и соответствия принятым нормам и стандартам качества.

4. Гарантийное и постгарантийное обслуживание. Предоставление поддержки и проведение профилактических и ремонтных работ сети и оборудования.

Принципы организации локально-вычислительных сетей

Эксплуатация сети, созданной по этому принципу, дает предприятию несколько важных преимуществ:

• достаточно небольшая стоимость прибавления новых рабочих мест (примерно до 1 тыс. единиц);

• независимое функционирование компьютеров: если в одном из них произойдет сбой, остальные продолжат свою работу.

Особенности LAN

На предприятиях для локальных сетей характерна организация рабочих групп – объединения нескольких персональных компьютеров в одну группу с единым названием. За бесперебойное функционирование LAN в целом или ее некоторых участков отвечают сетевые администраторы. В сложных сетях права администраторов строго регламентированы, также осуществляется запись действий каждого члена группы сетевых администраторов.

Создание локальной сети наиболее часто проводится на базе технологии Ethernet. Для организации простых сетей применяют маршрутизаторы, модемы, коммутаторы и сетевые адаптеры. В обычных локальных сетях принято использовать статическую либо же динамическую маршрутизацию.

Специалисты ALP Group выполнят весь комплекс работ по созданию локальной сети Вашей компании с использованием современных технологий и соблюдением всех международных стандартов – качественно и в оптимальные сроки.

Назначение ЛВС – это прежде всего осуществление непрерывного совместного доступа к данным, программному обеспечению и оборудованию. Таким образом, использование лвс весьма удобно и экономически целесообразно как в рамках небольшого офиса, так и в пределах целой группы зданий: так, сотрудники предприятия могут обмениваться файловыми документами, что называется, не вставая с места, и даже организовывать целые собрания (конференции) в режиме он-лайн. А для того, чтобы любой сотрудник мог, к примеру, распечатать отчет о проделанной работе, совсем необязательно подключать к каждому рабочему месту по дорогостоящему принтеру: достаточно установить по одному принтеру на каждый отдел или несколько отделов.

Однако там, где начинается массовая работа с большими объемами информации, рано или поздно встает вопрос о надежности и скорости ее передачи, а также защищенности от взлома и других нежелательных воздействий. И чем крупнее предприятие, тем выше требования к ЛВС.

Требования к ЛВС: тернистый путь к идеалу

Итак, главным требованием, предъявляемым к локальной сети, является обеспечение пользователей потенциальной возможностью доступа к разделяемым ресурсам всех объединенных в сеть компьютеров. Это и есть – основное назначение лвс, и с качеством его выполнения связаны другие требования к ЛВС:

• производительность
• надежность
• расширяемость
• масшабируемость
• управляемость

Основные характеристики производительности сети – время реакции на запрос, пропускная способность сети и задержка передачи: первая определяется интервалом между запросом и получением ответа на него, вторая отражает объем переданных данных за единицу времени, а третья, в свою очередь, характеризуется разницей во времени между поступлением сигнала на вход устройства и появлением его на выходе.

Надежность ЛВС – это обеспечение возможности использования ЛВС для передачи данных без потерь и искажений и безотносительно к отказам отдельных элементов сети, а также обеспечение максимальной защищенности данных от несанкционированного доступа.

Обеспечение расширяемости и масштабируемости сети дает возможность наращивать новые рабочие места, устанавливать самое разнообразное программное и аппаратное обеспечение, а также заменять имеющееся оборудование более мощным без существенных затрат и с сохранением производительности сети.

Назначение ЛВС в полной мере выполняется в случае, когда компьютеры не просто связаны между собой кабелем, а представляют собой единую информационно-вычислительную машину. В этом случае можно вести речь об управляемости лвс – возможности централизованно и удаленно контролировать работоспособность основных элементов сети, выявлять и устранять возникающие неполадки, а также планировать развитие сети.

Использование ЛВС, спроектированной и установленной нашими специалистами в соответствии со всеми стандартными требованиями к проектированию ЛВС и с учетом Ваших пожеланий, убережет Ваше предприятие от распространенных проблем, связанных с работой его информационной инфраструктуры.

Разберемся в базовых протоколах с стандартах

Группа стандартов Ethernet IEEE 802.3

Для подключения клиентских устройств рекомендуется поддержка следующих стандартов:

IEEE 802.3z (1 Гбит/с);

IEEE 802.3u (100 Мбит/с);

IEEE 802.3 (10 Мбит/с).

Для подключения активного сетевого оборудования между собой рекомендуется поддержка следующих стандартов:

IEEE 802.3z (1 Гбит/с);

IEEE 802.3ae-2002 (10 Гбит/с);

IEEE 802.3ba (40 Гбит/с) — да, время пришло.

Питание по PoE (Power over Ethernet)

Если для подключения оконечных сетевых устройств нужно active PoE, то необходимо предусмотреть коммутаторы доступа с поддержкой нужных стандартов active PoE. Для наглядности ниже таблица по основным характеристиками active PoE:

Стандарт

Мощность на PSE (Power Supply Equipment), Вт

Мощность на PD (Powered Device), Вт

IEEE 802.3af (PoE)

IEEE 802.3at (PoE+)

IEEE 802.3bt Type 3 (PoE++)

Следует различать две характеристики мощности:

PSE (Power Supply Equipment) — мощность, которую коммутатор готов выдать на порт;

PD (Powered Device) — мощность, которая дойдет до оборудования (с учетом потерь).

VLAN (Virtual Local Area Network)

Не рекомендуется использовать VLAN 1 для передачи пользовательских данных. Рекомендуется использовать диапазон VLAN'ов с 2 по 1000 включительно.

Деление устройств на VLAN'ы рекомендуется выполнять из соображений получения общего сетевого доступа для последующего применения ACL. В большинстве случаев это существенно упростит задачу конфигурирования межсетевого экрана.

Протоколы обмена базой данных VLAN'ов

Протоколы обмена базой данных VLAN'ов рекомендуется отключить. Примеры протоколов обмена базой данных VLAN'ов:

VTP (VLAN Trunk Protocol);

GVRP (Generic VLAN Registra on Protocol).

DTP (Dynamic Trunking Protocol)

DTP рекомендуется отключить, тип порта рекомендуется указать явно как access или trunk.

LACP (Link Aggregation Control Protocol)

Для объединения нескольких физических каналов в один логический рекомендуется применять протокол LACP (IEEE 802.3ad) с целью предотвращения возможных L2 петель в сети, которые могут быть вызваны ошибкой конфигурации или коммутации, в случае использования статически заданной агрегации портов.

STP (Spanning Tree Protocol)

Для минимизации использования проприетарных протоколов в сети, рекомендуется применение открытого протокола MSTP (Multiple Spanning Tree Protocol, IEEE 802.1s) с грамотным построением дерева STP. Перечислим основные рекомендации, которые помогут ничего не забыть:

На всех портах типа access рекомендуется включить port edge с двумя целями:

b) Быстрое включение передачи пользовательских данных при включении устройства в порт коммутатора;

На всех портах типа access рекомендуется включить stp guard root, а также bpdu guard, чтобы при появлении BPDU-пакета порт переходил в состояние error disabled;

На downlink портах коммутаторов ядра распределения рекомендуется включить технологии root guard;

Для настройки портов сторонних подключений, таких как провайдер Интернета, рекомендуется включить фильтрацию BPDU (bpdu lter);

Uplink порты коммутаторов распределения к резервному коммутатору ядра должны быть в роли Alternate;

Нежелательно использование half duplex портов;

На всех trunk портах рекомендуется явно указать тип порта point-to-point, чтобы гарантировать быструю сходимость протокола STP;

Storm-control

DHCP snooping

На всех коммутаторах (и на всех VLAN-ах) рекомендуется включить DHCP snooping. Все порты коммутаторов должны быть недоверенными, кроме uplink портов и портов подключения к DHCP серверу.

Dynamic ARP inspection

На всех VLAN'ах, где включен DHCP snooping и нет оконечных сетевых устройств со статическими настройками IP-адресации, рекомендуется включить Dynamic ARP inspection.

Для стабильной работы протокола некоторые производители предусматривают использование FTP или TFTP серверов для резервного хранения базы данных механизма Dynamic ARP inspection. Таким образом, в случае перезагрузки коммутатора оборудование сможет восстановить базу данных из резервной копии на FTP/TFTP сервере.

LLDP (Link Layer Discovery Protocol, IEEE 802.1AB)

Активное сетевое оборудование чаще всего будет поддерживать протокол LLDP, который позволяет сетевым устройствам анонсировать в сеть информацию о себе и о своих возможностях, а также собирать эту информацию о соседних устройствах. Протокол LLDP рекомендуется выключить на портах подключения к сторонним сетевым устройствам, например, к оборудованию оборудованию провайдеров.

Proxy ARP

Proxy ARP (RFC 1027) лучше отключить или использовать осознанно, так как это позволяет не использовать адрес шлюза в сетевых настройках оконечных сетевых устройств, что может дать ложные представление о корректности сетевых настроек. Например, если в сетевых настройках принтера нет адреса шлюза по умолчанию или он некорректный, но Proxy ARP позволит принтеру корректно работать. При замене оборудования или выключении Proxy ARP неправильно настроенные устройства не будут работать корректно.

VRRP (Virtual Router Redundancy Protocol)

Для объединения двух маршрутизаторов в один виртуальный маршрутизатор и назначения общего виртуального IP-адреса, рекомендуется использовать открытый протокол VRRP (RFC 5798).

OSPF (Open Shortest Path First)

Для осуществления обмена IP маршрутами между L3 устройствами сети рекомендуется использовать протокол OSPF (RFC 2328, RFC 5709). Для достижения максимально быстрой сходимости протокола OSPF рекомендуется использование протокола BFD (Bidirectional Forwarding Detection, RFC 5880, RFC 5881) совместно с OSPF. BFD позволяет сократить время обнаружения проблемы на канале до 50 мс.

Наиболее общие настройки сетевого оборудования

Доступ на активное сетевое оборудование

Для аутентификация на оборудование рекомендуется применение RADIUS сервера. В случае недоступности RADIUS сервера должна применяться локальная аутентификация;

Пароль от локальной учетной записи рекомендуется хранить на оборудовании в зашифрованном виде;

Порт для подключения по протоколу SSH рекомендуется заменить со стандартного TCP/22 на кастомный TCP/XXXX. Эта мера не так значительна, но мы стараемся использовать все возможности для увеличения времени потенциального взлома;

Для доступа на активное сетевое оборудование рекомендуется предусмотреть ACL (Access- Control List), определяющие адреса устройств, с которых разрешено подключаться к оборудованию;

Типы портов (L2)

Access порт – это порт, который передает и принимает только нетегированные фреймы.

Trunk порт – это порт, который передает и принимает тегированные фреймы, без тега передается и принимается только native VLAN.

Гибридный порт – передает и принимает тегированные и нетегированные фреймы, при этом в качестве нетегированного фрейма можно передавать не native VLAN. Может потребоваться при подключении некоторых типов оконечных устройств, таких как IP-телефоны, точки доступа Wi-Fi (в режиме local switched).

Рекомендации по настройке access и гибридных портов:

ARP-inspection (только если устройство получает IP-адрес динамически);

rate-limit (multicast, broadcast);

switch off SNMP trap, SYSLOG;

выключить DTP negotiation;

IEEE 802.1x (при необходимости авторизации);

Port-Security (при необходимости).

Рекомендации по конфигурации trunk портов между коммутаторами

В качестве native VLAN рекомендуется использовать дефолтный VLAN 1;

Рекомендуется включить SNMP trap и логирование SYSLOG (изменение статусов Up, Down);

На всех trunk портах рекомендуется явно указать тип порта point-to-point;

На всех trunk портах рекомендуется разрешить все VLAN'ы, которые используются на коммутаторе.

Рекомендации к конфигурации ACL

Для уменьшения “площади атаки” рекомендуется разработать и внедрить правила ACL между различными сегментами сети. Трафик, не разрешенный в явном виде, рекомендуется блокировать. Для простоты управления и визуализации правил удобно использовать матрицу правил, например:

Читайте также:

  
• В понятие инициативность входят в доу
  
• Основные типы философской культуры восточная западная русская кратко
  
• Политика россии в средней азии кратко
  
• Принцип работы постоянной памяти кратко
  
• Политическая философия юрия крижанича кратко