Administrator sieci jest odpowiedzialny, m.in. za planowanie i wdrażanie sieci. W tym artykule omawiamy, jakie działania należy podjąć na tych etapach, żeby ułatwić sobie codzienne czynności administracyjne.
Planowanie i projektowanie
Planowanie sieci jest jednym z najważniejszych kroków. Przed rozpoczęciem projektowania sieci musisz określić, jakie są potrzeby Twojej firmy. Pomoże Ci to przejść ten proces i zaprojektować sieć zgodną z wymaganiami.
Przystępując do projektowania sieci, należy wziąć pod uwagę:
- Zabezpieczenia. Jakiego rodzaju dane będą przechowywane na serwerach i które stacje robocze będą potrzebowały bezpiecznych połączeń z serwerami, żeby zapobiec dostępowi niepowołanych osób? Rozważ także stworzenie reguł dostępu, które ograniczą dostęp do poufnych obszarów.
- Podział na podsieci. Należy ograniczać liczbę stacji roboczych w jednym segmencie sieci (dobrą wartością jest 50), aby zapewnić odpowiednią przepustowość i zmniejszyć domenę rozgłaszania, która może stwarzać problemy, szczególnie w mocno obciążonych sieciach. Poszczególnym podsieciom nadaj odpowiednie uprawnienia, np. dostęp do serwerów.
- VLAN. Można również rozważyć wykorzystanie podziału na VLAN’y, które mogą działać całkiem dobrze, w zależności od Twoich potrzeb.
- Firewall. Jeśli sieć będzie miała dostęp do Internetu lub jakikolwiek rodzaj zdalnego dostępu do innych sieci, zdecydowanie zalecamy wdrożenie zapory sieciowej lub innego rozwiązania do filtrowania pakietów, które zapobiegnie nieautoryzowanemu dostępowi do stacji roboczych, serwerów i usług.
- Łączność. Nie używaj w sieci koncentratorów (hubów). Przełączniki są najbardziej efektywnymi urządzeniami komunikacyjnymi z punktu widzenia łączności sieciowej. Planując podłączenie komputerów i serwerów do przełącznika, nie zapomnij, aby zapewnić zapas przepustowości. Projektanci sieci i administratorzy regularnie stają przed problemem braku wolnych portów, ponieważ wcześniej nie pomyśleli, że sieć może się rozrastać.
- Jeśli się nie zepsuło, nie dotykaj tego!
- Jeśli masz wątpliwości – zrestartuj.
- Nigdy nie zmieniaj niczego w godzinach popołudniowych.
- Przenigdy nie zmieniaj niczego w piątek.
- Działaj tak, żeby zawsze można było cofnąć to, co masz zamiar robić.
- Jeśli czegoś nie rozumiesz, nie eksperymentuj z tym w środowisku produkcyjnym.
- Aplikacje i system operacyjny instaluj na oddzielnych dyskach.
- Projekt nie jest wykonany, dopóki nie zostanie przetestowany przed administratora i użytkowników.
- Projekt nie jest wykonany, dopóki nie jest udokumentowany.
- Realizacja każdego projektu trwa 2 razy dłużej, niż zakładał plan.
- Zawsze, gdy to możliwe, używaj domyślnych ustawień.
- Nie wdrażaj nowego oprogramowania bez szkolenia użytkowników końcowych. Nową aplikację uruchom zaraz po szkoleniu.
- Jeśli ciągle zmagasz się z problemami, znajdź ich źródło.
- Z góry unikaj złych decyzji.
- Zawsze pamiętaj o tworzeniu kopii zapasowych.
Topologia sieci
Topologia to termin, który odnosi się do kształtu sieci i układu okablowania. Tworzy ją układ stacji roboczych, zwanych także węzłami, podłączonych do sieci LAN. Na schemacie linie łączące węzły reprezentują kable, a symbole krzyżujących się strzałek oznaczają połączenia kabli.
Teoretycznie, każdy rodzaj kabla można połączyć ze sobą i stworzyć nieskończoną różnorodność układów sieciowych. W praktyce niektóre implementacje topologii stały się bardziej popularne, podczas gdy inne nie sprawdziły się.
Najpopularniejsza jest topologia gwiazdy. Każde stanowisko pracy jest połączone punkt-do-punktu z centralną lokalizacją, nazywaną także węzłem dystrybucyjnym. Najczęściej jest to przełącznik Ethernet, czasem spotyka się jeszcze koncentratory (huby), ale nie powinny się ich stosować.
Topologia gwiazdy ma kilka zalet. Charakteryzuje się najmniejszą awaryjnością w porównaniu z innymi topologiami, np. pierścieniem czy magistralą (przerwanie kabla łączącego stację roboczą z przełącznikiem nie odcina od sieci pozostałych urządzeń, jak w przypadku magistrali). Według zaleceń długość kabla łączącego stację z przełącznikiem nie powinna przekraczać 100 m. W praktyce, jeśli to konieczne, można stosować kable dłuższe nawet o kilkadziesiąt metrów i połączenie będzie działać, z reguły na sprzęcie dobrej jakości.
W przypadku budowy większych sieci stosuje się topologię drzewiastą, zwaną także rozszerzoną gwiazdą (stosowana w sieciach w całości opartych na skrętce). Budowa sieci jest podobna do topologii gwiazdy, z tą różnicą, że na jej zakończeniach zamiast stacji roboczych mogą być przyłączone kolejne przełączniki lub koncentratory.
Fizyczny i logiczny układ sieci
Fizyczny układ sieci pokazuje fizyczne lokalizacje urządzeń i połączenia między nimi. Na takim diagramie stanowiska pracy są zwykle reprezentowane przez małe ikony komputerów, a serwery w postaci obudowy typu tower, a przełączniki są wyświetlane jako małe, prostokątne skrzynki z portami RJ-45 z przodu.
Układ logiczny przedstawia wszystkie logiczne aspekty sieci. Obejmuje sieci logiczne (podział sieci na segmenty, tzw. podsieci), adresy IP przypisane komputerom i urządzeniom sieciowym, tablice routingu i szereg innych informacji. W logicznym schemacie sieci z reguły pomija się fizyczne połączenia (okablowanie) i interfejsy sieciowe.
Do czego mogą przydać się ten schematy? To proste – dla bezpieczeństwa, rozwiązywania problemów i lepszego zarządzania. Gdy pojawia się problem, np. połączenie nie działa, patrząc na fizyczny układ, administrator jest w stanie szybko określić, gdzie leży problem, co ułatwi jego rozwiązanie.
Mając schemat logiczny i fizyczny, można zidentyfikować możliwe problemy związane z bezpieczeństwem. Kiedy nieautoryzowany użytkownik będzie próbował uzyskać dostęp do poufnych danych, w większości przypadków będzie próbował stworzyć mapę sieci, żeby zrozumieć, gdzie są zainstalowane zabezpieczenia, np. firewall, i do których obszaru sieci da się uzyskać dostęp. Z tego powodu dostęp do schematów sieci powinny mieć tylko uprawnione osoby, odpowiedzialne za utrzymanie sieci. Gdyby wpadły w ręce niepowołanych osób, mogłyby okazać się bardzo pomocne w przeprowadzeniu włamania.
Dokumentacja i audyt sieci
Pierwszym krokiem w kierunku zarządzania siecią jest stworzenie jej dokumentacji. Dobra dokumentacja skróci czas wykonywania różnych czynności administracyjnych, jak aktualizacje, rozwiązywanie problemów użytkowników czy przywracanie po awarii. Udokumentowania wymagają cztery obszary: oprogramowanie, sprzęt, diagram sieci oraz nazwy użytkowników (ID) i adresy IP. W większej firmie warto oddelegować do tego zadania wybranego pracownika działu IT.
Poniższa list wymienia, co jest potrzebne do stworzenia solidnej dokumentacji sieci:
- Plan budynku lub piętra.
- Schemat fizyczny sieci.
- Schemat logiczny sieci.
- Informacja o sprzęcie powinna zawierać nazwę producenta, numery seryjne, numery portów, jak i numery MAC kart sieciowych.
- Informacje o konfiguracjach, protokołach i serwerach DNS.
- Kopie plików konfiguracyjnych.
- Dane kontaktowe z dostawcami sprzętu i oprogramowania.
- Badania i rejestruje wszystkie firmy kontakt i dostawcą informacji.
- Wyrobów i utrzymanie kart dziennika urządzenie dla wszystkich stosowanych urządzeń sieciowych.
- Opracuj schemat metkowania kabli i pilnuj jego przestrzegania. Nie twórz schematu w oparciu o nazwy użytkowników.
- Spisz zasady korzystania z sieci i komputerów.
- Spisz zasady bezpieczeństwa sieci i komputerów.
- Stwórz plan przywracania po awarii.
Diagram sieci
Tworzenie dokumentacji sieci nie należy do fascynujących zajęć. Wymaga stworzenia diagrów za pomocą takich narzędzi, jak Visio czy LanFlow, które umożliwiają zilutrowania, jak serwery, routery i przełączniki są ze sobą połączone, zarówno fizycznie, jak i logicznie.
Jednak starannie przygotowana dokumentacja może okazać się bardzo przydatna. Dodatkowo, pozwoli śledzić, co administratorzy zmieniali w sieci i z jakich powodów. Znacznie ułatwi zarządzanie siecią i rozwiązywanie problemów.
Prosty przykład: sieć działa szybko i bez problemów, jednak zamiast odłączyć właściwy kabel, administrator przez pomyłkę odłącza kabel od ważnego serwera. Wprawdzie audyt bezpieczeństwa wymaga, żeby dokumentować fizyczną lokalizację kabli odpowiedzialny za kluczowe połączenia, ale posiadane w firmie dokumentacja jest już nieaktualna.
Audyt sieci
Audytowanie sieci jest czasochłonne, a administratorom z reguły na wszystko brakuje czasu. Jest jednak prawdopodobne, że ktoś już skanuje Twoją sieć w poszukiwaniu słabych punktów. Może to być nawet któryś z pracowników firmy, co potwierdzają statystyki FBI – 60% komputerowych przestępstw ma swoje źródła wewnątrz firm. Dlatego pamiętaj, że najlepszą obroną jest atak i nigdy nie zabezpieczysz dobrze sieci, nie znając jej słabych punktów.
Przed rozpoczęciem audytu usług sieciowych trzeba przeprowadzić inwentaryzację sieci. Spis musi zawierać informacje identyfikujące urządzenia sieciowe, jak adres IP, adresy MAC interfejsów sieciowych, konfiguracja DNS. Większość z tych informacji z reguły jest dostępna, ale np. adresy MAC rzadko są rejestrowane.
Nawet jeśli administrator uważa, że ma potrzebne informacje, dobrym pomysłem jest ich zweryfikowanie, co można potraktować jako pierwszy krok audytu. To pozwoli stworzyć kompletny obraz środowiska i wykryć niezgodności. Jeśli firma dysponuje środkami finansowymi, przeprowadzenie właściwego audytu warto zlecić specjalistycznie firmie zewnętrznej.