В жизни каждой крупной организации наступает время, когда офис становится маловат. И не всегда можно сказать с уверенностью, что заканчивается раньше – свободное место для рассадки новых сотрудников или ИТ-инфраструктура. Пожалуй, в моей организации обе причины были актуальны.
Постановка задачи
В любом случае предпосылки не так важны. Главное, что в жизни ИТ-руководителя наступает день, когда его вызывает к себе генеральный директор и ставит задачу: подготовить в новом офисе инфраструктуру для переезда. Эта задача – момент истины для ИТ-подразделения. Ему предоставляется беспрецедентная возможность проявить себя во всей красе – построить свою инфраструктуру, продумать все – от организации серверной до расстановки принтеров. Именно поэтому к задаче стоит подходить всесторонне и очень основательно.
Ожидания руководства можно описать тремя основными тезисами: надежно, безопасно, недорого.
В терминах ИТ-подразделения это означает: "выход из строя оборудования незаметен для пользователей", "полный контроль над доступом в сеть организации", "уложиться в бюджет". Для самого ИТ-подразделения важна управляемость сети и легкость ее поддержки.
Эти критерии, безусловно, можно применить к каждому компоненту офисной инфраструктуры, но особое внимание в современном офисе отводится беспроводным технологиям. Поэтому оставим за скобками проектирование серверной, километры кабелей для обеспечения опорной сетевой инфраструктуры… Сосредоточимся на том, как обеспечить качество и безопасность беспроводной связи хотя бы на уровне проводного подключения. Обо всем по порядку. Декомпозируя основные требования до уровня задач ИТ-подразделения, мы пришли к необходимости решения следующих отдельных задач.
- Доступ в сеть разделить на два класса. "Гостевой" доступ в сеть с возможностью выхода только в Интернет и "полный" доступ в локальную сеть организации с возможностью использования всех внутренних ресурсов.
- Доступ в беспроводную сеть осуществлять только после авторизации. Никаких открытых сетей.
- Полный доступ в сеть разрешать только для известных MAC-адресов.
- Сделать так, чтобы каждый пользователь авторизовался персональным логином из единого каталога пользователей организации. Мы используем OpenLDAP в реализации под Linux. В целом не важно, что за каталог используется. Главное, чтобы не пришлось менять пароли в сети из-за ушедшего сотрудника.
- Минимизировать возможность перехвата и расшифровки паролей пользователей при аутентификации в беспроводной сети.
- Предусмотреть возможность ограничения доступа к некоторым внутренним ресурсам для отдельных сотрудников или целых отделов.
- Надежность можно обеспечить брендовым оборудованием с замечательной гарантией, но наш предыдущий опыт показывает, что даже брендовое оборудование ломается так же, как и бюджетное. Тогда зачем платить больше? Мы пошли по пути экономии бюджета и избыточного резервирования.
Выбор решения
Итак, когда сформулированы задачи, можно приступать к поиску решения.
Для начала разберемся с логической организацией сети.
- Со стандартами все просто – у нас в офисе используются современные компьютеры и ноутбуки, поэтому мы не обременены необходимостью поддерживать устаревшие технологии. Для себя мы выбрали стандарт сети 802.11n, шифрование wpa2 enterprise. Для авторизации пользователей решили использовать radius-сервер (сборка на linux), для исключения перехватывания и расшифровки пароля пользователя при подключении к сети – предъявлять дополнительный сертификат безопасности на всех устройствах, которые его поддерживают.
- Для гостей сделали специальную учетную запись, пароль к которой секретарь может выдать посетителю нашего офиса. Для этой учетной записи выдаются IP-адреса из специальной сети без доступа в локальную сеть.
- Для учета доступа в сеть все MAC-адреса всех устройств сотрудников решили заносить в единый каталог пользователей. Туда же писать IP-адреса, которые эти устройства будут получать. Такой учет касается всех проводных и беспроводных интерфейсов всех устройств.
- Для управления доступа к различным ресурсам сети, решили выдавать IP-адреса для сотрудников каждого отдела из своей определенной подсети. Даже если в отделе всего один сотрудник – для него своя сеть. Такой подход позволяет сохранить управляемость сети, несмотря на любые кадровые изменения в компании.
Таким образом, дополнительная логика обработки запросов от всех "непереписанных" устройств строится по остаточному принципу и получается крайне простой. Если устройства нет в списке – оно может подключиться к сети и получить IP-адрес из отдельного диапазона, который имеет роутинг только в Интернете. Значит, ни одно устройство не подключится в сеть без учета в ИТ-подразделении.
Когда логическая организация сети была утверждена, мы пришли к осознанию того, что у нас нет никаких специальных функциональных требований для аппаратного обеспечения. Наша сеть может работать на любом оборудовании любого вендора, при условии, что прошивка оборудования поддерживает wpa2 enterprise и работу с radius-сервером. Офис у нас немаленький – 2500 кв.м на одном этаже крупного бизнес-центра. На эти площади нам потребовалось девять точек доступа.
Для всестороннего изучения вопроса мы рассмотрели несколько аппаратных решений по централизованному управлению точками доступа. У Motorola, Cisco и Netgear есть интересные решения, но стоимость их решений с централизованным управлением была в два-три раза больше, чем стоимость девяти "самых простых" точек доступа, которые можно купить в любом магазине. Поскольку практически никаких требований к оборудованию нам выдвигать не пришлось, мы решили строить свою сеть на бюджетных точках доступа Wi-Fi.
Единственное ограничение, которое мы получили, выбрав разрозненные точки вместо централизованной системы, – отсутствие полноценного Wi-Fi-роуминга. Да, при перемещении по нашему офису устройства самостоятельно переподключаются к ближайшим точкам доступа, но это сопряжено с кратковременной потерей связи на какие-то доли секунды. Посовещавшись со своими бизнес-заказчиками, мы пришли к выводу, что в нашем случае это ограничение некритично и у нас нет задач, для решения которых необходим Wi-Fi-роуминг с непрерывающейся связью.
Пара слов о проводах
Несмотря на все прелести работы в сети по беспроводному подключению, прокладка витой пары в современном крупном офисе неизбежна. Как минимум это прокладка опорной сети до свитчей и точек доступа. Но на практике еще мало кто готов перейти на полностью беспроводное подключение в офисе. Чаще всего это связано с недостаточной скоростью и стабильностью подключения. В нашей компании выбрали путь обеспечения максимальной надежности. С одной стороны, у нас заложено около 15 км кабеля UTP с таким расчетом, чтобы в каждом помещении всех сотрудников можно было подключить по проводному подключению. С другой стороны, логическая структура сети построена так, что масштабирование беспроводных решений не представляет никаких трудностей.
Именно такой двойной запас прочности позволяет гарантировать большую отказоустойчивость офисной сети.
В итоге
Когда долгие дни предварительной подготовки и тестирования выбранных решений были позади, настал час истины для проверки выбранных решений в боевых условиях. Благодаря предварительной информационной подготовке сотрудники компании сами посильно участвовали в переписи оборудования, чем значительно снизили трудозатраты ИТ-департамента. Многие устройства были учтены заранее. Сотрудники просто подключились патч-кордами или вводили свои логин и пароль для доступа к Wi-Fi и начинали работать уже в обновленной сети. Многие начали работать в сети быстрее, чем им привезли мебель.
О приятном и неожиданном
В завершение хочу поделиться парой нестандартных решений, которые мы реализовали у себя благодаря полному покрытию офиса надежным и безопасным Wi-Fi.
1. В качестве телефонной станции мы используем свою программную АТС. Для этого решения было много предпосылок – оставим их за рамками этой статьи. Конечное преимущество для всех обладателей смартфонов на базе iOS и Android – таких большинство в современной ИТ-компании – заключается в возможности использовать подключение к корпоративной АТС прямо с телефона. А это входящие и исходящие звонки по коротким офисным номерам прямо с мобильного, возможность совершать звонки через офисную АТС.
2. Второе неожиданное применение беспроводной сети в смартфонах было придумано для удобства сотрудников. Доступ во многие кабинеты у нас ограничен по RFID-меткам. Для открытия замка необходимо либо приложить метку к считывателю, либо нажать на кнопку пульта ДУ. К сожалению, дистанционное открытие замка через сеть не предусмотрено в ПО, которое использует наш бизнес-центр. Но ведь метку можно забыть на столе, да и пульты не станешь же выдавать каждому сотруднику. Решение пришло очень ИТ-шное. Мы подключили дистанционный пульт управления замком к USB-реле, написали простейшую программу, управляющую этим реле, и сделали на базе этого решения Web-сервис, доступный только сотрудникам своего отдела во внутренней сети. Теперь для открытия двери в офисе достаточно открыть закладку в смартфоне или вызвать команду на рабочем компьютере. А благодаря тому, что каждый отдел имеет собственный внутренний диапазон IP-адресов, сотрудники других отделов не смогут воспользоваться не своим Web-сервисом.