+7 (495) 234-32-12
пн-пт с 9.30 до 18.00

Корзина пуста

Все системы безопасности в одном центре
Продажа Доставка по России Монтаж Обслуживание
Поиск по каталогу

Варианты сетевого дизайна беспроводной сети для малых и средних предприятий

Обзор архитектуры

В этой статье приводятся обобщенные варианты дизайна сетей, предназначенные для малых и средних предприятий. Сначала указываются функциональные компоненты (модули), из которых могут состоять такие сети. Затем следует более подробное описание модулей: указываются основные устройства, обсуждается их функциональность, рассматриваются возможные альтернативы.

Предлагаемые варианты дизайна сетей не претендуют на полный охват всех возможных потребностей малых и средних предприятий; скорее, они сфокусированы на возможных областях применения беспроводных ЛВС, попутно иллюстрируя соответствующую проводную инфраструктуру. По этой причине не рассматриваются или рассматриваются недостаточно подробно аспекты дизайна проводных сетей, которые должны быть раскрыты в условиях реального проектирования. Среди них — вопросы обеспечения высокой доступности сетей, вопросы масштабируемости, функциональности (например, интеграции голоса, видео и данных в одной сети) и т.д.

Разделение сетей на "малые" и "средние" учитывает возможную разницу в технических требованиях, предъявляемых к сетям разных масштабов. В то же время это разделение носит качественный характер и его не стоит воспринимать буквально. Так, например, при проектировании конкретной сети решения, рассмотренные в дизайне средней сети, могут быть применены к малой сети и наоборот.

Обсуждение этого дизайна большей частью ведется на основе малой сети как главной сети организации; также говорится о специфических изменениях дизайна при конфигурации для филиала.

Дизайн сети малого размера

Типовой дизайн сети малого размера (рис. 1) включает в себя беспроводную и проводную инфраструктуру. Беспроводная инфраструктура обеспечивает доступ мобильных пользователей к ресурсам сети и, возможно, доступ в Интернет. Проводная инфраструктура образует магистраль и периферию ЛВС организации.

В дизайне сети малого размера можно выделить 3 модуля:

  • Модуль беспроводного доступа;
  • Магистраль локальной проводной сети;
  • Модуль доступа в Интернет.
Вариант дизайна сети малого размера

Рис.1 Вариант дизайна сети малого размера

Точки радиодоступа могут поддерживать виртуальные ЛВС, например для сотрудников, гостей, беспроводных IP-телефонов. В этом случае маршрутизация между виртуальными ЛВС может быть реализована в зависимости от требований к производительности на коммутаторе или маршрутизаторе, устанавливаемым в магистрали сети. Эти же устройства могут производить пакетную фильтрацию между виртуальными сетями для обеспечения контроля доступа, например, предоставляя гостям только доступ в Интернет и к принтеру, в то же время блокируя доступ к серверу с конфиденциальной информацией. Альтернативным вариантом в случае малой сети может быть пакетная фильтрация на Уровнях 2/3/4 на точке радиодоступа, но это создает дополнительную нагрузку на нее и снижает масштабируемость.

Безопасность беспроводной ЛВС является очень важным вопросом независимо от масштаба сети. Для обеспечения целостности и конфиденциальности данных организации, а также для защиты от несанкционированного доступа в беспроводную сеть необходимо применять современные средства безопасности. На данный момент к ним относятся архитектура аутентификации IEEE 802.1x, протоколы аутентификации EAP (например, LEAP и EAP-FAST) и усовершенствования технологии шифрования WEP под названием TKIP (Temporal Key Integrity Protocol).

Аутентификация беспроводных пользователей по протоколу 802.1x может производиться не централизованным RADIUS-сервером, а самими точками радиодоступа. Это ограничивает масштабируемость, но может быть приемлемым в случае малой сети. Точки радиодоступа Cisco Aironet могут локально аутентифицировать до 50 беспроводных абонентов.

Альтернативный вариант относится к реализации малой сети как сети филиала организации. В таком случае аутентификация может производиться на централизованном сервере контроля доступа, установленном в главном офисе, а локальная аутентификация на точках радиодоступа может применяться в случае нарушения связи с этим сервером. Это позволяет повысить отказоустойчивость, сохраняя масштабируемость.

Поддержка точками радиодоступа приоритезации трафика позволяет применять беспроводную инфраструктуру и для качественной поддержки чувствительных к задержкам приложений, например IP-телефонии.

Модуль беспроводного доступа

Модуль обеспечивает связь мобильных пользователей с проводной сетью. В случае малой сети его могут составлять одна или несколько точек радиодоступа, количество и характеристики которых выбираются в зависимости от требований к радиопокрытию, производительности и т.д.

Магистраль сети

Магистраль сети обеспечивает обмен трафиком между модулем беспроводного доступа и периферией сети организации. Магистраль сети малого предприятия может быть реализована на одном коммутаторе Уровня 2 или Уровня 3, к которому подключаются как устройства соседних модулей, так и другое оборудование, например внутренние серверы, принтеры и ПК. Возможная альтернатива — оснащение такого оборудования беспроводными интерфейсами и подключение его к сети в модуле беспроводного доступа. В случае невозможности установки беспроводных интерфейсов (например, у принтера), можно подключить такие устройства к радиомосту для рабочих групп. Для удобства и гибкости инсталляции коммутатор может обладать функциональностью Power over Ethernet (PoE). В этом случае отпадает необходимость использования адаптеров питания для точек радиодоступа и, возможно, других устройств, например IP-телефонов, видеокамер и т.д.

Модуль доступа в Интернет

Основная задача модуля заключается в подключении сети организации к Интернет. В случае малой сети модуль может быть образован маршрутизатором с функциональностью межсетевого экрана или специализированным межсетевым экраном в зависимости от требований к интерфейсам, а также программной и аппаратной функциональности. Эти устройства обеспечивают защиту периметра сети. Кроме того, они также могут реализовывать и другую функциональность, например фильтрацию передаваемого контента на прикладном уровне и систему обнаружения вторжений для активного реагирования на сетевые атаки.

Подключение к Интернет может быть как проводным, так и беспроводным. Беспроводной доступ в Интернет можно обеспечить с помощью радиомоста, взаимодействующего с радиомостом поставщика услуг Интернет.

Межсетевой экран может также терминировать VPN-соединения с удаленными пользователями. В случае дизайна для сети филиала он же может поддерживать VPN-соединение с главным офисом.

Модуль также может обеспечивать подключение к Интернет демилитаризованной зоны при ее наличии в сети организации. Демилитаризованная зона содержит серверы с общедоступной информацией об организации. Например, в ней могут размещаться общедоступные серверы HTTP и FTP, а также серверы DNS и SMTP. Демилитаризованная зона создается из соображений безопасности как обособленный от внутренней сети сегмент, подключаемый к отдельному интерфейсу межсетевого экрана.

Дизайн сети среднего размера

Дизайн сети среднего размера может охватывать как одно здание, так и удаленные подразделения, находящиеся в других зданиях. В таком случае беспроводная инфраструктура может применяться не только для обеспечения доступа в сеть мобильных пользователей, мобильных рабочих групп и подключения сети к Интернет, но и для организации связи между главным офисом и удаленными подразделениями.

Рассматриваемый вариант дизайна сети среднего размера (рис. 2) охватывает сеть удаленного подразделения (здание А) и сеть главного офиса (здание Б), включающую в себя:

  • Модуль беспроводного доступа;
  • Модуль беспроводной связи между зданиями;
  • Магистраль локальной проводной сети;
  • Серверный модуль;
  • Модуль доступа в Интернет.
Модуль беспроводного доступа

Модуль беспроводного доступа обеспечивает связь мобильных пользователей с проводной сетью. Важнейшими устройствами модуля являются точки радиодоступа, количество, расположение и характеристики которых определяются в зависимости от требований к радиопокрытию, производительности и т.д. путем проведения обследования объекта (site survey).

После развертывания беспроводной сети возникает задача ее эффективной эксплуатации. Эта непростая сама по себе задача осложняется при отсутствии в штате организации специалиста в области беспроводных сетей. В таких случаях применение средств управления беспроводной сетью становится особенно эффективным.

С ростом количества точек радиодоступа обеспечение роуминга между ними, прозрачного для пользователей, становится все более актуальным. Поскольку сеть средней организации включает в себя различные IP-подсети, актуальной также является и задача обеспечения мобильности беспроводных абонентов между разными подсетями с сохранением одного и того же IP-адреса.

В сети среднего предприятия могут находиться абоненты и устройства, которым необходимы различные уровни доступа к сети и настройки безопасности, например, беспроводные ПК постоянных, временных сотрудников и гостей, а также устройства других типов, такие как беспроводные IP-телефоны. Их сегментация может быть успешно проведена с помощью виртуальных локальных сетей, поддержка которых реализована на точках радиодоступа и в соответствующей проводной инфраструктуре.

Безопасность беспроводной ЛВС является очень важным вопросом независимо от масштаба сети. Для обеспечения целостности и конфиденциальности данных организации, а также для защиты от несанкционированного доступа в беспроводную сеть необходимо применять современные средства безопасности.

На данный момент к ним относятся архитектура аутентификации IEEE 802.1x, протоколы аутентификации EAP (например, LEAP и EAP-FAST) и усовершенствования технологии шифрования WEP под названием TKIP (Temporal Key Integrity Protocol).

Сеть удаленного подразделения по структуре напоминает сеть малого предприятия, рассмотренную в предыдущем разделе, хотя в нее внесены изменения, учитывающие специфику случая. Так, в данном случае в дизайне сети отсутствует демилитаризованная зона, а модуль доступа в Интернет заменен на модуль беспроводной связи между зданиями. Соображения, изложенные в предыдущем разделе применительно к магистрали сети, подходят и для магистрали сети удаленного подразделения настоящего раздела. Модуль беспроводного доступа рассмотрен в настоящем разделе.

Вариант дизайна сети среднего размера

Рис.2 Вариант дизайна сети среднего размера

Из соображений масштабируемости и управляемости аутентификация беспроводных пользователей по протоколу 802.1x в случае средней сети производится централизованным сервером контроля доступа. Для обеспечения отказоустойчивости такие серверы могут резервироваться, а между ними может быть настроена репликация базы данных пользователей.

Централизованная аутентификация относится и к беспроводным абонентам удаленного подразделения. Для обеспечения доступа этих абонентов в сеть даже в случае нарушения связи с сервером контроля доступа может применяться локальная аутентификация на точках радиодоступа удаленного подразделения.

Очень часто в корпоративной среде пользователям требуется связь с централизованными сетевыми ресурсами, но не требуется связь между собой. В таких случаях с целью нейтрализации атак типа “злоупотребление доверием” взаимодействие пользователей между собой блокируется путем применения техники частных виртуальных сетей на коммутаторе доступа.

Поддержка точками радиодоступа приоритезации трафика позволяет применять беспроводную инфраструктуру и для качественной поддержки чувствительных к задержкам приложений, например IP-телефонии, ERP-приложений и т.д.

В сети организации могут присутствовать устройства, нуждающиеся в беспроводной связи, но не имеющие беспроводных интерфейсов, например сетевые принтеры или любые другие устройства с портами Ethernet. Такие устройства, обозначенные на рис. 7 мобильной рабочей группой, можно подключить к беспроводной сети с помощью радиомоста для рабочих групп.

В модуль беспроводного доступа средней сети также могут входить коммутаторы доступа (Уровня 2 или Уровня 3), обеспечивающие подключение точек радиодоступа к проводной сети. Для удобства и гибкости инсталляции коммутаторы доступа могут обладать функциональностью Power over Ethernet (PoE). В этом случае отпадает необходимость использования адаптеров питания для точек радиодоступа и, возможно, других устройств, например IP-телефонов, видеокамер и других устройств.

Модуль беспроводной связи между зданиями

Модуль обеспечивает связь между сетями главного офиса и удаленного подразделения и включает в себя радиомост. Радиомост устанавливается в каждом из объединяемых зданий. Перед установкой радиомостов производится обследование объекта (site survey), учитывающее особенности данной конкретной инсталляции. С учетом требований к производительности, дальности действия и покрываемой территории определяется оборудование, необходимое для инсталляции. Для обеспечения отказоустойчивости или балансировки нагрузки возможна установка двух пар радиомостов, работающих на неперекрывающихся частотных каналах.

При наличии нескольких удаленных подразделений можно подключить их сети с помощью радиомостов к главному (root) мосту, установленному в центральном офисе. В этом случае реализуется топология “точка-многоточка”.

Поддержка приоритезации трафика позволяет обмениваться с удаленными подразделениями чувствительным к задержкам трафиком, например трафиком системы IP-телефонии. В результате отпадает необходимость обеспечения удаленных подразделений отдельным подключением к телефонной сети общего пользования (ТфОП) и появляется возможность использования подключения к ТфОП главного офиса.

Для обеспечения целостности и конфиденциальности передаваемых данных можно использовать средства усиления шифрования TKIP (Temporal Key Integrity Protocol), а радиомосты удаленных подразделений и центрального офиса подвергать взаимной аутентификации по протоколу EAP.

Магистраль сети

Магистраль сети обеспечивает обмен трафиком между подключаемыми к ней модулями (рис. 2). В случае средней сети магистраль может быть объединена с уровнем распределения и состоять из пары коммутаторов Уровня 3 для обеспечения отказоустойчивости и балансировки нагрузки, хотя возможен и более развитый дизайн. Более того, в процессе развития бизнеса организации и, соответственно, ее сети переход к классическому многоуровнему дизайну, при котором в сети выделяются отдельные уровни доступа/распределения/магистрали, неизбежен. Это связано с тем, что только при таком подходе возможно рациональное использование функциональных возможностей оборудования в соответствующих точках сети и, следовательно, минимизация общей стоимости владения сетью.

Серверный модуль

Модуль содержит централизованные внутренние серверы организации, с которыми работают пользователи как главного офиса, так и удаленных подразделений. Для обеспечения повышенной безопасности ресурсов серверного модуля помимо хостовых средств защиты могут применяться и сетевые средства, например сетевая система обнаружения вторжений.

Модуль доступа в Интернет

Основная задача модуля заключается в подключении сети организации к Интернет. В случае средней сети модуль может быть образован маршрутизатором для связи с поставщиком услуг Интернет и межсетевым экраном для защиты периметра сети организации. Из соображений отказоустойчивости маршрутизатор и межсетевой экран могут резервироваться.

Применение маршрутизаторов и межсетевых экранов как отдельных устройств обеспечивают более высокую масштабируемость, поскольку в общем случае система доступа в Интернет может включать в себя дополнительные подсистемы (например, демилитаризованную зону, модули удаленного доступа и электронной коммерции). Кроме того, такой подход обеспечивает более эффективное использование возможностей этих устройств и эшелонированный подход к защите периметра сети.

Подключение к Интернет может быть как проводным, так и беспроводным. Беспроводной доступ в Интернет можно обеспечить с помощью радиомоста, взаимодействующего с радиомостом поставщика услуг Интернет.

Модуль также может обеспечивать подключение к Интернет демилитаризованной зоны при ее наличии в сети организации. Демилитаризованная зона содержит серверы с общедоступной информацией об организации. Например, в ней могут размещаться общедоступные серверы HTTP и FTP, а также серверы DNS и SMTP. Демилитаризованная зона создается из соображений безопасности как обособленный от внутренней сети сегмент, подключаемый к отдельному интерфейсу межсетевого экрана. Для обеспечения повышенной безопасности ресурсов демилитаризованной зоны помимо хостовых средств защиты могут применяться и сетевые средства, например сетевая система обнаружения вторжений.

Есть вопросы?

Обращайтесь в "АйТиМаксима", чтобы узнать подробности и получить именно то, что вам требуется.

Чтобы связаться с нашими менеджерами, Вы можете:
сделать заказ, задать любой вопрос
позвонить по телефону (495) 234-3212 (многоканальный)