Дела в сети
АрхивВ настоящее время локальную сеть в офисе вполне реально сделать буквально за один день. Но если вы собираетесь пользоваться этим помещением достаточно долгое время, лучше сделать локальную сеть так, чтобы ее не пришлось переделывать впоследствии.
Но если вы собираетесь пользоваться этим помещением достаточно долгое время, лучше сделать локальную сеть так, чтобы не переделывать ее впоследствии, когда любая остановка работы скажется на производственном процессе, и вам придется либо отрывать пользователей от работы, либо самому работать по ночам.
Что и куда ставить
Топология сети и места размещения оборудования имеют очень большое значение: от правильности выбора зависит, насколько много проблем вы создадите себе в будущем при расширении или модернизации сети. Рассматривать вариант сети на основе коаксиального кабеля мы не будем — эта технология годится сегодня разве что в качестве временной или для двухточечного соединения удаленных устройств, обеспечивая дальность подключения до 300 метров. Надеюсь, не надо объяснять, что подавляющее большинство стационарных офисных сетей сегодня создаются на основе стандарта 100Base-T — звездообразная топология, кабель «витая пара». Несмотря на то, что сети 100Base-T допускают применение топологии, значительно отличающейся от классической «звезды», превращаясь в подобие «дерева», я бы настоятельно рекомендовал не создавать без крайней необходимости лишних «узлов» в сети, а собирать все кабели от рабочих станций, серверов и прочих устройств в одну физическую точку. Во-первых, это удобно с точки зрения монтажа сетевого оборудования, которое может быть собрано в стойку или объединено в единую конструкцию. Во-вторых, даже если имеющееся коммутационное оборудование и не позволит вам сделать именно чистую «звезду», такое размещение позволит в дальнейшем легко изменять топологию простым переключением кабелей и заменой коммутирующих устройств на более мощные. Кроме того, собранные в одно место активные или пассивные сетевые устройства значительно упрощают процесс диагностики неисправностей и настройки сети.
В случае использования пассивного сетевого оборудования — хабов — порядок коммутации их в стек и подключения к ним компьютеров особого значения не имеет — логически сеть все равно будет представлять собой единый сегмент со всеми вытекающими последствиями в виде коллизий и невозможности практического объединения более, чем нескольких десятков компьютеров вследствие тех же коллизий. Для разбиения сети на сегменты требуется применение активных устройств — коммутаторов. При сегодняшних ценах на оборудование разница между пассивным и активным оборудованием не столь существенна, чтобы экономить на разовых затратах при создании сети. Если применяется смешанная топология (как активное, так и пассивное оборудование), то коммутаторы лучше располагать в «центре» структуры, так, чтобы они разделяли на сегменты большие участки сети. Следует отметить, что, например, два восьмипортовых коммутатора — не замена одному шестнадцатипортовому, лучше сразу ориентироваться на многопортовые устройства, исходя из потребностей в количестве рабочих мест с запасом на будущее. Это не касается модульных коммутаторов, имеющих собственную скоростную шину для соединения нескольких устройств в стек. Такие устройства могут легко объединяться, наращивая емкость сети без потери ее пропускной способности.
Тянем-потянем
Прежде чем разбрасывать провода под столами, подумайте, не следует ли сразу сделать нормальную закрытую разводку, чтобы избежать ежедневных сюрпризов в виде очередного оборванного шваброй уборщицы сетевого кабеля. Учитывая, что большинство современных офисных помещений строятся по одинаковым принципам, можно предложить довольно универсальные варианты такой разводки. При наличии в помещении фальшпола или подвесного потолка, кабели можно проложить за ними, подводя к рабочему месту с помощью пластиковых коробов. Если ни под полом, ни над потолком разводку сделать нельзя, то наиболее практичным решением будет разводка кабелей в пластиковых коробах — монтаж провода внутри стен и офисных перегородок чаще всего затруднен. Обычно достаточно проложить короб подходящего сечения по периметру помещения на уровне нескольких сантиметров от пола.
Разумеется, можно воткнуть провод, выходящий из короба, непосредственно в компьютер, но розетка RJ-45 — не такое уж дорогое изделие, чтобы воздержаться от идеи сделать все красиво. Розетки устанавливаются на стене возле предполагаемых рабочих мест, подвод кабеля к ним от основного канала по периметру помещения выполняется с помощью короба меньшего сечения, а компьютер подключается к розетке с помощью стандартного гибкого отрезка кабеля с двумя вилками RJ-45. Короба и розетки локальной сети можно, кроме того, одновременно задействовать и под офисную телефонную разводку — пара контактов, используемая для телефонной линии, не задействована в сетях 100Base-T, значит, можно использовать и соответствующую пару проводов, если в вашем кабеле этих пар не две, а четыре. С другой стороны, там, где предполагается разместить центр коммутации сети, кабели также не следует подводить напрямую к коммутационным устройствам. Значительно практичнее установить одну или несколько так называемых патч-панелей — соединенных в блок розеток RJ-45, а дальнейшее подключение к коммутаторам или концентраторам выполнить теми же гибкими отрезками кабеля.
Несмотря на то, что обычно не рекомендуют совмещать прокладку электрической сети и сети передачи данных в одном кабельном канале, на практике это вполне допустимо и обычно не вызывает никаких проблем. Если в помещении нет нормальной электрической разводки, имеет смысл объединить в одном коробе сразу все, что нужно, позаботившись лишь о достаточном сечении этого короба.
Выход в мир
Сегодня офисная локальная сеть, неподключенная к Интернету, выглядит анахронизмом, поэтому рассмотрим и эту задачу. Подключение может производиться разными способами, выбор зависит от имеющихся на месте технических возможностей.
Наиболее простой вариант — dial-up-подключение, которое можно сделать общим для всех компьютеров сети с подключением по запросу любого из клиентов. В данном случае практически неважно, к какому из компьютеров подключен модем: нагрузка, создаваемая сервисом удаленного доступа довольно мала, и главное — чтобы этот компьютер был постоянно включен. Разумеется, такой вариант годится лишь для работы с клиентскими приложениями, а разместить в локальной сети собственный веб-сайт или почтовый сервер невозможно. Кроме того, даже если вас устраивает скорость соединения, надежность коммутируемого доступа оставляет желать лучшего.
Выделенная телефонная линия с аналоговыми модемами разных типов — более прогрессивный и удобный способ, такое подключение избавит клиентов от необходимости дожидаться, пока будет установлено соединение.
Еще более прогрессивные решения — цифровые выделенные линии разных типов: ISDN, xDSL... Для вариантов с выделенной линией уже можно разместить в сети серверные ресурсы, однако, учитывая, что оплата за такие соединения пропорциональна объему переданных данных, следует хотя бы ориентировочно оценить возможную загрузку канала трафиком между Интернетом и вашими серверными ресурсами. В большинстве случаев аренда того же веб-сервера у провайдера оказывается более выгодной, нежели установка его у себя в сети. Для почтового же сервера разницы в трафике нет, и его предпочтительнее разместить на собственных ресурсах — в целях упрощения настройки и обслуживания.
При возможности выбора провайдера и тарифного плана нужно более-менее точно представлять себе, каков будет ваш трафик в обоих направлениях. Дело в том, что у разных провайдеров действуют разные системы оплаты: по суммарному трафику, по максимальному, без оплаты за исходящий трафик.
Оборудование для подключения обычно предоставляется провайдером, поэтому заботиться о настройке и совместимости с линией не требуется — провайдер предоставляет вам Ethernet-порт с IP-адресом, входящим в некоторый диапазон реальных адресов. Обычно абоненту предоставляется зона из четырех адресов, среди которых два не могут быть использованы, один занят собственно устройством подключения, и таким образом, остается только один, который должен быть назначен какому-либо из портов вашего компьютера. Если вам надо подключить к Интернету не один компьютер, а несколько или всю локальную сеть, то придется побеспокоиться либо о получении отдельного диапазона реальных адресов у провайдера, либо об использовании технологии трансляции адресов. Последний вариант применим в том случае, если компьютеры вашей сети работают в качестве клиентов интернет-приложений, а серверные приложения установлены лишь на компьютере, имеющем порт с реальным адресом. Средства трансляции адресов позволяют устанавливать, к примеру, веб-сервер и на компьютер, не имеющий реального IP-адреса, но для двух и более серверов одного типа этот вариант не годится.
А нужны ли провода?
В случаях, когда прокладка кабельной сети в помещении затруднена, сеть разворачивается временно или требуется мобильность пользователей, можно рассмотреть вариант организации беспроводной сети. Подобные сети обычно строятся с использованием одной или нескольких точек доступа (беспроводных коммутаторов), которые подключаются к имеющейся кабельной сети, однако беспроводные адаптеры могут работать и без точки доступа, обеспечивая связь между собой. В зависимости от размеров помещения и дальности действия беспроводных адаптеров выбирается необходимое количество точек доступа, при этом пользователь может перемещаться из зоны действия одной точки в зону действия другой без потери связи. Количество пользователей, работающих с одной точкой доступа, не влияет на скорость соединения, при нехватке же емкости достаточно установить второе такое устройство.
Наиболее применяемым и доступным на сегодня можно считать стандарт IEEE 802.11b. Оборудование такого типа позволяет передавать данные на скорости до 11 Мбит/с и работает на частоте 2.4 ГГц. IEEE 802.11b совместим с более ранним стандартом IEEE 802.11, работающим на скорости до 2 Мбит/с. Появившиеся в последнее время устройства стандарта IEEE 802.11a позволяют передавать данные со скоростью до 54 Мбит/с и используют диапазон частот 5 ГГц. Скорость передачи данных во всех стандартах зависит от выделенной полосы частот (региональные ограничения) и расстояния между устройствами (падает по мере увеличения расстояния), однако для любых условий скорость адаптеров IEEE 802.11a превышает скорость более старых версий. Не забывайте, что данные в беспроводных сетях передаются по эфиру, и, если вы заинтересованы в обеспечении надежной защиты передаваемой информации, выбирайте последний вариант: устройства IEEE 802.11a поддерживают шифрование по стандарту WEP.
Наилучшим вариантом для современной офисной сети мне представляется комбинированный: стационарные компьютеры объединяются проводной сетью, кроме того, в офисе устанавливается точка беспроводного доступа, к которой могут подключаться мобильные пользователи.
Защищайтесь, сударь!
Вне зависимости от организации локальной сети, если она имеет выход в Интернет, необходимо позаботиться о безопасности. Первое и самое главное — выход в Интернет должны иметь только те протоколы и сервисы, для которых это реально необходимо. Не следует разрешать использование, например, NetBIOS поверх TCP/IP для интернет-соединения, даже в случае, когда вы хотите иметь возможность подключаться к вашей сети «снаружи». Для этого существуют другие средства, например, виртуальные частные сети (VPN), обеспечивающие необходимый уровень безопасности. Для больших сетей, подключенных к Интернету по скоростному каналу, имеет смысл рассмотреть вариант применения аппаратного файрволла, для прочих — программного, установленного на компьютере, имеющем порт для выхода «наружу», — кроме функций собственно защиты файрволл позволит при необходимости ограничивать доступ для отдельных клиентов, интернет-приложений или типов данных, не использующихся в производственном процессе (как то: скачивание из Сети музыки или фильмов).
Для случаев беспроводной сети или при наличии беспроводных точек доступа следует помнить, что подключение зачастую возможно и за пределами офиса/здания, поэтому клиенты должны обязательно проходить процедуру авторизации.
Искусство политики
Кроме аппаратных вопросов организации сети имеет смысл сразу подумать и о сетевой политике. Здесь появляется множество организационных вопросов, таких как:
можно ли пользоваться рабочими станциями без регистрации пользователя на сервере;
можно ли работать во внеурочное время;
допускается ли работа пользователей за чужими компьютерами;
как организован доступ к совместным ресурсам и какие ограничения на их использование должны быть у различных категорий пользователей;
могут ли пользователи самостоятельно изменять конфигурацию системы и программного обеспечения на рабочих станциях и в каких пределах;
и так далее.
В зависимости от ответов локальная сеть может быть настроена так, чтобы соответствовать всем этим условиям, однако, такое соответствие потребует в некоторых случаях дополнительных ресурсов, которые полезно предусмотреть заранее. Например, выполнение требования о необходимости регистрации пользователей сервером (контроллером домена) значительно снижает риск неконтролируемой деятельности пользователей в сети (к примеру, использование интернет-трафика), однако требует бесперебойности работы сервера. В таких случаях следует предусматривать резервирование в виде запасного контроллера домена, функции которого может выполнять один из клиентских компьютеров.
Чрезвычайно полезна установка средств мониторинга сетевого трафика. Она может помочь как для оценки «узких мест» самой сети, так и в целях контроля за расходованием интернет-трафика или обнаружения попыток вторжения злоумышленников.
Не следует устанавливать на серверах все доступные службы, установите лишь то, что вам реально требуется, чтобы не получить в результате загружающуюся в течение получаса операционную систему, занятую, к примеру, попытками распространения политики безопасности на рабочие станции, не рассчитанными на получение этой информации от сервера.
В качестве заключения
Применение в офисе таких операционных систем, как Windows 2000 или Windows XP, позволяет создать работоспособную сеть без обращения к сторонним специалистам по сетевым технологиям, однако, я бы рекомендовал все же обратиться к профессионалам. Дело в том, что локальная сеть офиса — многокомпонентная система, и для оценки всех возможных на текущий момент и в недалеком будущем потребностей и проблем нужен опытный глаз. Ведь кроме собственно соединения компьютеров и заведения на сервере общедоступных ресурсов со временем появится необходимость в таких задачах как централизованная антивирусная проверка и резервное копирование, разграничение доступа к информации и обеспечение необходимого уровня защиты, настройка программ для совместной сетевой работы и так далее. А ошибки и недоделки, оставленные на этапе создания и первоначального конфигурирования сети могут в дальнейшем вылиться в значительные проблемы по причине того, что придется вмешиваться в работу уже действующей системы.
