Porady Techniczne

Z poradnika administratora

Z poradnika administratora

Ograniczenie dostepu do sieci

Pytanie:Podczas ostatniego audytu IT wykazano zbyt wiele możliwości otwartego dostępu do serwerów w naszej sieci. Pracujemy nad rozwiązaniem poruszonych przez audytora problemów. Według naszego stanu wiedzy, istnieją dwie szkoły pozwalające osiągnąć satysfakcjonujące rozwiązanie tej sytuacji - listy dostępu na routerze lub wewnętrzna zapora ogniowa. Czy tak jest rzeczywiście?

Odpowiedź: Oba wspomniane rozwiązania będą działać. Korzyścią związaną z zastosowaniem list dostępu jest możliwość wykonania zmian od ręki, bez konieczności ponoszenia jakichkolwiek dodatkowych kosztów, czy też dokonywania zmian w konfiguracji serwera. W tym procesie można wykorzystać podstawowe lub rozszerzone listy dostępu. Podstawowe listy będą prawdopodobnie w zupełności wystarczające do realizacji polityki bezpieczeństwa, ale mogą nie być wystarczająco skalowalne. Rozszerzone listy dostępu mają więcej parametrów, ale wymagają dłuższej konfiguracji, aby zabezpieczenia nie były zbyt szczelne lub - przeciwnie - nie pozostawiły zbyt wiele otwartych furtek. Kontrolowanie list dostępu będzie ponadto wymagało opisania głównych zasad działania listy kontrolnej związanych z zagadnieniami sieci. Robi się to głównie w celu zminimalizowania czasu potrzebnego na rozwiązywanie standardowych problemów z siecią.

Jeżeli zdecydujemy się wykorzystać listy dostępu, należy rozważyć, w którym miejscu sieci mają one działać. Można je umieścić na porcie VLAN, do którego przyłączona jest grupa serwerów, albo na indywidualnym porcie przyłączonym do serwera. Jeżeli używamy listy dostępu opartej na VLAN, będziemy musieli stworzyć dodatkową listę do zarządzania. Listy dostępu przypisane do każdego portu będą zdecydowanie krótsze, ale będzie ich więcej.

Inna opcja to zakup sprzętu komputerowego realizującego funkcje zapory ogniowej. Chociaż to może wymagać zmiany adresu IP na serwerach działających za zaporą, oznacza korzyści, nad którymi warto się zastanowić. Większość nowszych urządzeń oferuje system zapobiegania włamaniom (IPS) jako dodatek do kontroli uzyskiwanej za pomocą list dostępu. Dodatkowo otrzymujemy ochronę antywirusową, więc zysk wynikający z zakupu nowego urządzenia jest spory.

<hr>

Mała sieć w wielopiętrowym budynku

Pytanie: Muszę stworzyć sieć w małym przedsiębiorstwie z małym, 12-osobowym personelem rozmieszczonym w czterech pokojach w wielopiętrowym budynku. Pokoje 1 i 2 znajdują się na parterze, pokój 3 mieści się na pierwszym piętrze, natomiast 4 - na trzecim. Wszyscy pracownicy będą potrzebowali komputerów oraz dostępu do Internetu. Drukarki mogą być współdzielone. Zamierzam kupić 12 komputerów z bezprzewodowymi kartami, sieciową drukarkę dla każdego pokoju, a także główny serwer. Czytałem o koncentratorach i przełącznikach. Czy to może być dobry sposób na stworzenie sieci?

Odpowiedź: Jest kilka pytań, na które należy odpowiedzieć, zanim zaprojektuje się sieć dobrze obsługującą taką firmę. Nieważne, czy używamy koncentratorów, czy przełączników, nie powinno być problemu z przyłączeniem podanej liczby stacji roboczych/drukarek. Pierwszą rzeczą, którą należy wyjaśnić, jest odległość pomiędzy pokojami. Należy spojrzeć na to w dwojaki sposób - zmierzyć odległości w linii prostej pomiędzy skrajnymi stacjami oraz odległość tworzoną przez przebieg konwencyjnej sieci kablowej. Da to podstawy do wyliczania kosztów budowy sieci bezprzewodowej i sieci kablowej.

Z pewnością są w budynku miejsca, które nie pozwolą na uzyskanie dobrego sygnału sieci bezprzewodowej (zakładamy, że mowa o Wi-Fi). Można jednak przyjąć, że użyjemy kilku bezprzewodowych urządzeń pracujących w trybie mostu, ustanawiając połączenie pomiędzy różnymi grupami punktów dostępowych. Warto się zastanowić także nad położeniem sieci kablowej. Będzie to zdecydowanie łatwiejsze rozwiązanie, zwłaszcza gdy liczba punktów dostępowych okaże się dość duża i są przeszkody w postaci ścian wykonanych z nieznanych materiałów.

Jeśli zdecydujemy się na bezprzewodową wersję sieci, niezbędne będzie zapewnienie bezprzewodowych serwerów wydruku dla każdej drukarki. Można tego dokonać przez kablowe połączenie drukarki z punktem dostępowym lub przez dedykowany bezprzewodowy serwer wydruku. Warto także spojrzeć na metody szyfrowania używane do zabezpieczenia bezprzewodowo przesyłanych danych.

Jeżeli myślimy o serwerze, dobrym pomysłem będzie użycie systemu zapisującego wszystkie pliki w jednym miejscu. Takie rozwiązanie uprości również odzyskiwanie danych. Zdecydowanie łatwiej przywracać kopię z jednego systemu, niż wtedy gdy pliki są rozproszone w zbyt wielu miejscach.

Gdy będziemy decydowali o sieci bezprzewodowej, koniecznie należy sprawdzić, czy nie działają już w tym miejscu podobne rozwiązania. Niektóre bezprzewodowe telefony stacjonarne czy też systemy alarmowe mogą używać tej samej częstotliwości co nasza sieć Wi-Fi. Mogłoby to powodować zakłócenia, często objawiające się jako spowolnienie pracy lub okresowe przerwy w połączeniu.

<hr>

Przymiarki do VoIP

Pytanie: Moja firma przymierza się do migracji do rozwiązania VoIP w przyszłym roku. Chciałbym znać podstawy tej technologii zanim rozpocznie się wdrożenie. Czy bez kosztownych inwestycji mogę zdobyć doświadczenie w VoIP?

Porady Techniczne

W naszej przygodzie z open source VoIP możemy wykorzystać łatwą w instalacji dystrybucję o nazwie Trixbox.

Odpowiedź: Dobrym pomysłem na rozpoczęcie nauki jest darmowy projekt o nazwie Asterisk. Oprogramowanie pozwoli wypracować własną drogę w procesie budowy centrali VoIP PBX, obsługującej połączenia SCCP i SIP. Można wykorzystać łatwą w instalacji dystrybucję o nazwie Trixbox. Jest to płyta instalacyjna, zawierająca system Centos (system operacyjny binarnie kompatybilny z Red Hat Enterprise Server), Asterisk oraz kilka dodatkowych pakietów. Integrują one system CRM oraz IVR (Interactive Voice Response).

Asterisk może zostać uruchomiony na dość prostym sprzęcie. Potrzebna będzie jednak karta do przyłączenia linii telefonicznej. Ekonomiczną drogą do zdobycia tego sprzętu będzie zakup karty X100P (lub jej "klona"), którą można znaleźć na aukcjach internetowych za kwotę od 100 do 200 zł. Jest to idealny sprzęt do testów w środowisku nieprodukcyjnym. Do instalacji wielu linii telefonicznych można wykorzystać bardziej zaawansowane karty, takie jak Digium, obsługujące 4 i więcej linii. Istnieje także możliwość zakupienia karty obsługującej łącze T1. Gdy dowiemy się czegoś więcej o pracy Asterisk i VoIP, z pewnością znajdziemy także interesujących dostawców usług.

Do pełni szczęścia będziemy także potrzebowali telefonów do testu. Możemy wykorzystać jeden z wielu telefonów programowych, które są uruchamiane jako aplikacja na komputerze. Wykorzystując kartę dźwiękową komputera, pozwolą zminimalizować koszty rozwiązania. Można także zakupić telefony obsługujące protokół SIP i SCCP. Umożliwi to test infrastruktury na poziomie zbliżonym do docelowej sieci VoIP.

<hr>

Agregacja portów i łączy w przełączniku Cisco

Pytanie: Mamy od kilku dni zainstalowaną sieć SAN (Storage Area Network). Dostawca, który instalował sprzęt zapytał, czy skonfigurujemy przełącznik do agregacji łączy. Będziemy używali przełącznika Cisco 3560 Gigabit Ethernet. Jak najlepiej skonfigurować to połączenie?

Odpowiedź: Koniecznie należy dowiedzieć się, czy chodzi o agregację portów, czy o agregację łączy? Każda z tych czynności powinna zostać skonfigurowana niezależnie. Dla każdej grupy portów Ethernet powiązanych z poszczególnymi urządzeniami SAN, należy włączyć na przełączniku opcję channel-group 1 mode active. Po wprowadzeniu powyższej komendy port kanału przywiązany do interfejsu będzie automatycznie utworzony. Następnie należy powtórzyć komendę dla każdego interfejsu obsługiwanego przez tę samą grupę.

Gdy ustawiona zostanie agregacja łączy, możemy użyć komendy debug etherchannel, aby sprawdzić jak działa przełącznik z ustawioną agregacją. Upewnijmy się, że używamy komendy term mon, która pozwoli obserwować pojawiające się wiadomości na ekranie, gdy będziemy pracowali nad konfiguracją.

Gdy ustawimy porty w każdej grupie, należy dodatkowo skonfigurować na każdym interfejsie portu kanału komendę switchport mode access. Jeżeli umieścimy ruch SAN w specyficznej podsieci/VLAN, powinniśmy także wprowadzić komendę switchport access vlan dla każdego związanego portu kanału.

W tym samym momencie warto spojrzeć na komunikaty błędów pojawiające się na monitorze, które mówią o wyłączonych portach w ramach danej grupy. Jeżeli pojawią się takie wpisy, należy wydać komendę no shutdown. Konfiguracja kanału powinna wznowić działanie. Istnieje kilka komend, które można użyć do ogólnego rozwiązywania problemów. Warto wykonać komendę sh int stat i obejrzeć zarówno fizyczne porty Ethernet, jak i powiązane porty kanałów (np. po1, po2 itp.). Komenda sh etherchannel sum pokaże wszystkie szczegóły konfiguracji. Na stroniehttp://www.cisco.com można znaleźć dobrą dokumentację techniczną, która z pewnością dostarczy szczegółowych wyjaśnień.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200