Przykład projektu Zintegrowanej Sieci Teleinformatycznej
Projektowana sieć powinna charakteryzować się bezpieczeństwem i niezawodnością. Uszkodzenia i awarie mogą bowiem spowodować zmniejszenie wydajności pracy i narażenie firmy na straty. W celu zapewnienia niezawodności stosuje się najczęściej redundancję elementów sieci. Ważne jest dobranie odpowiedniego poziomu redundancji do wymagań i rodzaju działalności firmy. Redundancja średniego poziomu jest realizowana przez nadmiarowość w najważniejszym sprzęcie, redundancję połączeń jak i redundancję programową. Redundancja sprzętowa w sieci polega na zainstalowaniu nadmiarowych elementów zabezpieczających najważniejsze funkcje sieci, czyli serwery, koncentratory, routery, zasilacze oraz zewnętrzne nośniki informacji.
Ponadto sieć powinna mieć zabezpieczenie zasilania sprzętu. Istnieje kilka możliwości wprowadzenia tego typu zabezpieczenia, m.in.: zasilanie rozproszone (wiele zasilaczy UPS zasilających poszczególne urządzenia systemu), zasilanie strefowe (zasilacz UPS zabezpiecza grupę urządzeń) i zasilanie centralne (UPS zasila wszystkie urządzenia pracujące w ramach systemu teleinformatycznego).
Plan parteru budynku firmy
Plan piętra budynku firmy
Topologia sieci Założona sieć będzie zbudowana w topologii gwiazdy. Topologia ta jest elastyczna, o czym świadczy łatwość dodawania nowych stacji roboczych i modyfikowania układu kabli. Główną zaletą jest fakt, iż awaria jednego łącza nie powoduje unieruchomienia całej sieci. Ułatwia to także kontrolę i likwidację problemów. Do zalet możemy także zaliczyć centralne sterowanie i programową diagnostykę sieci, łatwość monitoringu, konserwacji, wykrywania i lokalizacji kolizji. Proste i szybkie oprogramowanie użytkowe sieci ułatwia rekonfigurację.
Wadami tej topologii jest stosunkowo wysoki koszt spowodowany dużą ilością kabla potrzebnego do połączenia każdego z węzłów i ograniczenie odległości komputerów czy też innych urządzeń sieciowych od przełącznika (maksymalnie 100m). W przypadku awarii urządzenia znajdującego się w węźle centralnym, który obsługuje ruch w sieci, cała sieć przestaje działać.
Schemat ogólnej struktury sieci
Wykorzystywane technologie W sieci Gigabit Ethernet stosowana jest topologia fizyczna typu gwiazda. Specyfikacja IEEE 802.3ab 1000Base-T, przeznaczona do uzyskiwania gigabitowej przepływności, definiuje medium jako skrętkę miedzianą nieekranowaną (UTP) lub ekranowaną (STP) co najmniej kategorii 5e, zakończoną złączem RJ-45. Okablowanie musi być prowadzone tak, aby nie przekraczać odległości 100m między dwoma urządzeniami sieciowymi. Ograniczenie to jest spowodowane przez minimalną długość ramki, szybkość propagacji sygnałów w medium oraz opóźnienia wnoszone przez urządzenia sieciowe. Gigabitowy Ethernet korzysta z wszystkich czterech par przewodów, a każda z nich działa z użyteczną szybkością 250Mb/s.
VoIP jest technologią służącą do przesyłania głosu poprzez łącze internetowe lub dedykowane sieci wykorzystujące protokół IP. Głos zostaje zamieniony na cyfrową postać, skompresowany i podzielony na pakiety, które są przesyłane za pomocą sieci wraz z innymi danymi. Sieć IP może być dowolną siecią z komutacją pakietów - ATM, Frame Relay, Internet. Jedynymi wymogami są stały dostęp do Internetu o przepustowości min. 128kbps do użytkownika (pobieranie) i 64 kbps od użytkownika (wysyłanie) oraz specjalistyczne urządzenie wraz z oprogramowaniem. Protokoły sygnalizacyjne tworzą połączenia, ustalają położenie użytkownika, zarządzają zgłoszeniami, i rozłączają rozmowy.
Zapewnienie dodatkowego bezpieczeństwa wymaga wprowadzenia VPN. Wirtualne Sieci Prywatne korzystają z publicznej infrastruktury telekomunikacyjnej. Zapewnienie dostępu pracownikom do firmowych serwerów bez względu na miejsce pracy (sieci dostępowe) i łączenie nowych, odległych oddziałów firmy (intranet) jest możliwe dzięki stosowaniu protokołów tunelowania, szyfrowania i procedur bezpieczeństwa. Tunelowanie jest procesem szyfrowania pakietów z danymi, tak by uczynić je niemożliwymi do przeczytania.
Korzystając z VPN można przesyłać dane, głos, a także wideo. Dzięki pewności bezpieczeństwa wirtualne sieci prywatne wykorzystywane są do świadczenia usług o ograniczonym dostępie np. transakcji bankowych, a także zapewniają ograniczony dostęp do sieci firmowej zaufanym partnerom biznesowym – ekstranet. Rozwiązania VPN znajdują szerokie zastosowanie w sieciach WiFi, a także przy zabezpieczaniu transmisji VoIP.
Technologia PoE umożliwia zasilanie urządzeń sieciowych za pośrednictwem tego samego kabla, w którym są przesyłane dane. Ułatwia to instalowanie telefonów IP i punktów dostępu bezprzewodowych sieci LAN. Eliminuje konieczność oddzielnego łączenia urządzeń z siecią dostarczającą zasilanie i siecią LAN, co zmniejsza koszty wdrożenia. Ponadto takie rozwiązanie umożliwia instalację tylko jednego zasilacza UPS, który chroni wszystkie urządzenia sieciowe zasilane przez PoE.
Standard 802.3af, opracowany przez IEEE, precyzuje dostarczanie energii do urządzenia sieciowego przez okablowanie Ethernet. Przewiduje, iż urządzenie sieciowe jest zasilane przez okablowanie UTP (kat. 3, 5, 5e lub 6) napięciem zmiennym 48 V. Natężenie prądu zasilającego każdy węzeł nie przekracza 400 mA. Zdefiniowane zostały także trzy poziomy mocy: 4, 7 i 15,4 W. Każde urządzenie zasilające musi zawierać układ zabezpieczający, który nie pozwoli, aby napięcie było dostarczone do urządzenia niezgodnego ze standardem
Okablowanie strukturalne Większość zagadnień związanych z okablowaniem strukturalnym określa norma EN 50173. Ogólne zalecenia mówią, iż okablowanie poziome powinno biec nieprzerwanie od punktu dystrybucyjnego do punktu abonenckiego. Na każde 1000m2 piętra powinien przypadać jeden punkt rozdzielczy, a na każde 10m2 powierzchni biurowej należy przewidzieć jeden punkt abonencki (2x RJ45). W ramach jednego połączenia nie można używać kabli miedzianych o różnych impedancjach ani kabli światłowodowych o różnych średnicach rdzenia. Wszystkie elementy okablowania powinny być czytelnie oznaczone unikalnym numerem, a ich dokumentacja powinna być przechowywana i aktualizowana przez administratora sieci.
Podczas układania okablowania strukturalnego należy zwrócić uwagę na staranność ułożenia instalacji. Dla standardowego kabla UTP kategorii 5e minimalny promień gięcia nie powinien być mniejszy niż 25 mm. Kluczowym miejscem, w którym minimalny promień gięcia kabla może być niedotrzymany jest zazwyczaj punkt dystrybucyjny. Przykładowe prawidłowe prowadzenie kabla w korytach metalowych przedstawiono na rysunku obok:
W projekcie warto uwzględnić dedykowaną instalację elektryczną wykonaną w układzie TN-S. Jej zadaniem będzie zasilanie urządzeń pracujących w sieci teleinformatycznej. Centralnym punktem takiej instalacji jest rozdzielnia główna RG, będąca jednocześnie punktem rozgałęzienia przewodu PEN na PE i N. Kolejne elementy to tablice elektryczne (TGE) i kondygnacyjne tablice elektryczne (TE/RK). W pomieszczeniach MDF i IDF przewiduje się umiejscowienie TE/RK, które obsługiwać będą instalację elektryczną w rejonie okablowania strukturalnego. Dedykowana instalacja elektryczna będzie pokrywać się z siecią komputerową. Dzięki temu obwody elektryczne nie będą dłuższe niż 90m, a spadki napięć między TE/RK a gniazdami nie przekroczą 2%.
Połączenie ograniczników przepięć w sieci TN-S W tablicach rozdzielczych zainstalowane zostaną wyłączniki różnicowo-prądowe, które stanowią system ochrony przed porażeniami elektrycznymi. Połączenie ograniczników przepięć w sieci TN-S
Z uwagi na występujące w budynku drogie urządzenia elektroniczne oraz możliwość niezadziałania zabezpieczeń różnicowoprądowych zastosowano ochronę przeciwprzepięciową w postaci odgromników w rozdzielnicy i na tablicach rozdzielczych. Zestaw odgromników klasy B+C należy zabudować w rozdzielnicy głównej. Ich zadaniem jest ochrona przed bezpośrednim oddziaływaniem prądu piorunowego, przepięciami atmosferycznymi indukowanymi oraz przepięciami łączeniowymi wszelkiego rodzaju.
Ograniczniki klasy B powinny ograniczać napięcia udarowe do poziomu 4 kV, a klasy C do 2,5 kV. Przewody łączeniowe zestawu B+C w instalacji elektrycznej do szyny wyrównawczej powinny być jak najkrótsze. Kolejnym stopniem ochrony dla urządzeń elektronicznych będą indywidualne, znajdujące się blisko chronionego urządzenia, ograniczniki przepięć klasy D (wytrzymałość udarowa 1,5kV). Stosowane są one do ochrony urządzeń kosztownych i szczególnie wrażliwych na przepięcia. Montowane są bezpośrednio przy urządzeniu (w gniazdku, w puszce) i chronią tylko to urządzenie.
Schemat logiczny projektowanej sieci
Plan parteru - schemat okablowania:
Plan piętra - schemat okablowania:
Legenda - przewiert w stropie - moduł z podwójnym gniazdem sieciowym - zejście z sufitu do podłogi - okablowanie pod sufitem w korycie metalowym - okablowanie w korytkach PCV
Szafa dystrybucyjna na parterze
Szafa dystrybucyjna na piętrze
Konfiguracja sieci Komputerom w sieci lokalnej zostaną przypisane adres IP z prywatnej puli 192.168.1.0/24, ponieważ nie istnieje taka konieczność, aby komputery były widziane z zewnątrz, z sieci Internet. Dla podanej puli adresowej przyjęto maskę 255.255.255.0, co daje nam możliwość zaadresowania 254 komputerów, odliczając jeden adres na bramkę. Komputery będą adresowane zgodnie z zasadą, że numer komputera jest ostatnim oktetem w adresie IP, np. komputer o oznaczeniu 2PC29 będzie miał adres 192.168.1.29/255.255.255.0. Adresy IP przydzielane komputerom przenośnym będą przydzielane dynamicznie z prywatnej puli adresów o zakresie 192.168.1.80 – 192.168.1.99.
Konfiguracja sieci Aby była możliwość wykonywania wydruków na drukarkach sieciowych, one również muszą posiadać przypisany adres IP. Dostęp z zewnątrz do drukarek jest nie pożądany, więc zostaną im przypisane adresy z puli prywatnej, tej samej co komputerom. Adresy IP będą przydzielone na zasadzie, iż numer drukarki będzie ostatnią cyfrą w trzecim oktecie adresu 192.168.1.10x, np. dla drukarki PRN1 adres będzie postaci 192.168.1.101. Adresy IP urządzeń dostępowych będą przydzielane zgodnie z zasadą, że numer urządzenia będzie ostatnią cyfrą w trzecim oktecie adresu 192.168.1.20x, np. dla urządzenia dostępowego AP2 adres IP będzie miał postać 192.168.1.202. Adresy będą przypisane ręcznie, na stałe.
Konfiguracja sieci Ponieważ w sieci zostały użyte zarządzalne przełączniki, które mogą być konfigurowane poprzez przeglądarke WWW, zachodzi konieczność przypisania im adresów IP. Adresy te przydzialane będą z puli prywatnej zgodnie z zasadą, że numer przełącznika jest ostatnią cyfra w trzecim oktecie adresu 192.168.1.22x, np. dla przełącznika SW1 adres będzie miał postać 192.168.1.221. Adresy będą przypisane ręcznie, na stałe. W związku z tym, że serwer S1 pracujący jako serwer plików, nie potrzebuje mieć dostępu do sieci Internet, ani z sieci Internet, będzie miał również przypisany adres IP z prywatnej puli adresowej 192.168.1.0/24. Adres będzie przypisany ręcznie, na stałe, w postaci 192.168.1.253.
Konfiguracja sieci Serwer S2 będzie pełnił rolę bramki do sieci Internet dla komputerów wewnątrz sieci, w związku z tym musi mieć przypisany adres IP z prywatnej adresowej 192.168.1.0/24 oraz z puli adresowej przydzielonej przez GTS ( 157.28.126.0/255.255.255.224). Adres IP z puli prywatnej będzie postaci 192.168.1.254. Adres ten zostanie ustawiony w konfiguracji serwera DHCP jako adres bramy oraz adres serwera DNS dla komputerów w sieci lokalnej. Aby serwer S2 miał możliwość komunikacji z siecią Internet przypiszemy mu adres IP 157.28.126.2/255.255.255.224 na interfejsie od strony routera, a routerowi adres IP 157.28.126.1/255.255.255.224.
Konfiguracja sieci Ponieważ na serwerze S2 będą uruchomione jeszcze takie usługi jak serwer poczty, www, ftp oraz DNS, przypiszemy jeszcze po jednym adresie IP dla każdej z tych usług oddzielnie: • 157.28.126.3/255.255.255.224 – serwer poczty, • 157.28.126.4/255.255.255.224 – serwer www, • 157.28.126.5/255.255.255.224 – serwer ftp • 157.28.126.6/255.255.255.224 – serwer DNS. Reszta adresów IP z puli przyznanej przez GTS, zostanie aktualnie nie wykorzystywana. Adresy te prawdopodobnie znajdą zastosowanie w przyszłości.
Na serwerze będą oferowane takie usługi jak poczta, serwerwowanie stron www, baza danych POSTGRESQL, serwowanie plików poprzez ftp. Na serwer poczty składa się: Postfix Mail Server z obsługą TLS oraz SSL jako serwer SMTP, Cyrus SASL jako program uwierzytelniający podczas wysyłania, tpop3d z obsługą TLS oraz SSL jako serwer POP3 oraz baza danych zawierająca informacje o założonych kontach umożliwiający dodawanie kolejnych kont poprzez interfejs WWW. Serwowanie stron www realizowane będzie za pomocą oprogramowania Apache HTTP Server 2.0 z obsługą SSL. Dostęp do plików poprzez protokół FTP umożliwiać będzie oprogramowanie ProFTPD Server z bazą użytkowników trzymana w bazie danych POSTGRESQL.
Aby umożliwić dostęp komputerom do sieci Internet, serwer S2 będzie miał uruchomioną usługę NAT oraz serwer DNS, który będzie buforował domeny oraz przypisane im adresy IP. Dostępu do sieci firmowej będzie strzegł firewall na serwerze S2 wpuszczający do sieci lokalnej tylko te połączenia, które zostały zapoczątkowane przez komputer w sieci lokalnej. Firewall będzie bronił również dostępu do serwera S2, pozwalając na dostęp jedynie do portów usług www, smtp, pop3, ftp, postgresql, ssh.
KOSZTORYS Sprzęt sieciowy oraz serwery:
Sprzęt biurowy oraz komputery:
Okablowanie strukturalne:
Końcowy koszt inwestycji: Koszt dostępu do sieci Internet w ciągu 3 lat: