В рубрику "Комплексные решения. Интегрированные системы" | К списку рубрик | К списку авторов | К списку публикаций
Предприятия активно используют ИТ-ресурсы в своей повседневной деятельности, поэтому на продуктивность работы негативно влияет любой из следующих факторов:
Высокая производительность и хорошие показатели доступности сетевой инфраструктуры и ресурсов перестают быть роскошью. На многих предприятиях наличие нескольких независимых друг от друга сетей приводит к увеличению сложности и стоимости управления ими.
Использование нескольких сетей в компании расширяет возможности для вторжения злоумышленников, что ставит под угрозу корпоративные данные. Помимо того что управление разнородными, разрозненными системами отнимает много времени и средств, также усложняются и удорожаются мероприятия по обеспечению требований регулирующих инстанций в отношении конфиденциальности данных, доступа к ним, архивирования и сохранения целостности. Вот почему предприятиям вне зависимости от отрасли экономики важно изучить возможности консолидации сетей.
Обеспечение защиты сети не ограничивается лишь настройкой межсетевого экрана. В стратегически важных сетях следует надлежащим образом обеспечить безопасность всего периметра сети.
Общеизвестно, что большинство угроз безопасности происходит в результате внутренних нарушений, поэтому все очевиднее становится необходимость осуществления контроля доступа на каждом LAN-порту.
Технология тройной аутентификации предусматривает процедуру аутентификации любого устройства, пытающегося получить доступ к сети, с помощью протокола IEEE 802.1x, посредством Web-аутентификации или через проверку MAC-адреса для таких устройств, как, например, старые принтеры. После аутентификации и идентификации устройства каким-либо из этих методов LAN-порт, к которому подключается устройство, будет автоматически ассоциирован с той VLAN, к которой администратор сети посчитает правильным подсоединить данное устройство.
В консолидированном сетевом окружении преимущества тройной аутентификации не ограничиваются лишь защитой от неавторизованного доступа. Если рассматривать эту технологию в качестве механизма для централизованного выделения каждому устройству своей VLAN-сети, процедура настройки устройства и подключения к сети становится намного проще. При этом уменьшается вероятность ошибок, ведь оборудование необязательно подключать к какому-то определенному, выделенному для данного конкретного устройства порту. Благодаря этому камера видеонаблюдения будет всегда привязана к виртуальной сети видеонаблюдения, а любое другое устройство – к какому бы порту оно ни подключалось – не будет.
Для обеспечения непрерывности работы важно, чтобы консолидированная сеть была защищена и от других угроз, которые могут исходить от любого LAN-порта, – предумышленно или просто по ошибке. Например, пользователи могут соединить кабелем два порта, и если коммутатор доступа не способен оперативно выявлять наличие петель и отключать "замкнутые" порты, это приведет к перегрузке коммутатора и всей сети.
Еще одна угроза возникает при подключении к сетевому порту небольшого домашнего маршрутизатора или другого оборудования с установленным DHCP-сервером, отвечающим пакетом с IP-адресом на любой DHCP-запрос, исходящий от другого устройства, подключенного к этой же сети. Если консолидированная сеть не способна самостоятельно предотвратить присвоение IP-адреса по протоколу DCHP, исходящее снаружи сети, то существует вероятность того, что каждое новое подключаемое устройство будет получать IP-адрес, не соответствующий имеющемуся плану адресации, и не сможет корректно работать в сети.
Консолидированная сеть должна быть надежной и устойчивой, обеспечивая работу критически важных сервисов даже при неполадках. Однако механизм обеспечения отказоустойчивости должен быть простым, иначе устранение сетевых неполадок может стать длительным и сложным процессом. Для обеспечения отказоустойчивости возможно использование как взаимодействия между протоколами второго и третьего уровней, так и только протоколов второго уровня, с применением двух простых для понимания технологий: агрегирование каналов (Link Aggregation, LAG) и VCStack.
Взаимодействие LAG и VCStack отличается простотой и предсказуемостью, обеспечивая больше преимуществ, чем может предложить подход с использованием протоколов третьего уровня. Суть технологии LAG заключается в объединении одного или нескольких физических каналов в один виртуальный канал, пропускная способность которого складывается из пропускной способности всех объединяемых каналов. Такой подход позволяет системному администратору в любое время увеличить доступную пропускную способность путем добавления дополнительных физических соединений.
Зачастую для увеличения надежности используются резервные, дублирующие компоненты. Такой подход имеет ряд недостатков, поскольку большую часть времени дублирующее оборудование работает в "горячем" резерве, постоянно потребляя электроэнергию и выделяя тепло, при этом вообще не участвуя в работе сети. Но хуже то, что ресурсы, работающие в режиме "горячего" резервирования, могут иметь скрытую неисправность, которая способна проявиться и негативным образом сказаться на работе сети в самый неподходящий момент, когда отказывает основное оборудование.
В архитектуре с использованием конфигурации Active/Active все физические каналы и все устройства постоянно задействованы и активно участвуют в обеспечении высокой сетевой производительности.
В то же время, поскольку в сети отсутствует оборудование, работающее в режиме "горячего" резервирования, все неисправности или ошибки быстро выявляются. Кроме того, энергопотребление консолидированной сети с конфигурацией оборудования Active/Active при сопоставимом уровне производительности ниже, чем в сети, где оборудование просто продублировано.
Эффективная ИТ-инфраструктура не ограничивается одной лишь сетью, а предусматривает интеграцию с серверами и рабочими станциями, предоставляя преимущества всем участникам консолидированной ИТ-инфраструктуры. В основе этого решения – высокопроизводительные мультипортовые сетевые адаптеры, которые поддерживают технологию LAG и аппаратную обработку IP-пакетов.
Поддержка агрегирования каналов на аппаратном уровне позволяет расширить отказоустойчивую архитектуру, используя эти адаптеры не только в серверах, но и на рабочих станциях, обеспечивая при этом не просто высокую доступность сети, а действительно отказоустойчивый доступ к приложениям и сервисам. Более того, способность таких сетевых карт обрабатывать IP-пакеты на аппаратном уровне позволяет снизить нагрузку на процессоры серверного и клиентского оборудования, высвободив ресурсы для выполнения прикладных задач.
Управление консолидированной сетью можно осуществлять из одной точки входа, что упрощает для администраторов задачу мониторинга и анализа работы виртуальных сетей, оборудования, кабелей, а также позволяет легко отслеживать нагрузку и доступность коммуникационных каналов.
Консолидированная сеть ускоряет и упрощает процесс интеграции в случае слияния или поглощения компаний. Например, при слиянии одного банка с другим можно объединить управление сетями, в то же время предоставлять надлежащие права доступа для филиальных подразделений и головного офиса и при этом по-прежнему контролировать безопасность и работу ИТ-сервисов в масштабах всей инфраструктуры. Все это достигается за счет использования стандартного протокола QinQ (IEEE802.1ad), который позволяет развертывать и управлять работой нескольких VLAN-сетей внутри другой VLAN-сети. Благодаря этому администраторы могут объединить две сети без необходимости перенастройки адресации VLAN или конфигурации IP-адресов во избежание конфликтов.
При консолидации сетей нагрузка распределяется по всей сети, что уменьшает задержки и минимизирует время простоя. Динамическое выделение и балансировка вычислительной мощности в сети позволяет превратить ИТ-инфраструктуру в более отзывчивую и масштабируемую систему. Благодаря этому обеспечивается непрерывный доступ к файлам и приложениям, что помогает ИТ-подразделениям предоставлять сервисы, полностью удовлетворяющие потребностям бизнеса.
Такая задача может быть решена за счет управления параметрами качества обслуживания для VLAN и соответственно гарантированного выделения необходимых сетевых ресурсов для критически важных сервисов.
В любой компании одним из самых прибыльных активов являются данные. При эффективной консолидации сетей, поскольку все аспекты безопасности управляются централизованно, гарантируется соблюдение всех корпоративных процедур, что сокращает количество ошибок и обеспечивает постоянно высокий уровень безопасности за счет возможностей тройной аутентификации.
Консолидируя различные виды трафика в единой, высокопроизводительной сети общего назначения, ИТ-менеджер получает возможность упростить сетевую инфраструктуру, что, в свою очередь, позволяет снизить как энергопотребление, так и требования к охлаждению.
Полностью завершив консолидацию сети, компании получают возможность увеличить загруженность серверов, выигрывают от роста управляемости, повышения надежности, обеспечения дополнительной безопасности и сокращения расходов.
Опубликовано: Журнал "Системы безопасности" #6, 2011
Посещений: 9307
Автор
| |||
В рубрику "Комплексные решения. Интегрированные системы" | К списку рубрик | К списку авторов | К списку публикаций