Základní přehled firemní infrastruktury

Každá firma, která má zaměstnance, má “firemní infrastrukturu”. Firemní infrastruktura je široký pojem a znamená více věcí. Jednoduše shrnuto můžete si pod tím představit:

  • zajišťuje tok dat po firmě
  • distribuuje připojení k internetu, volání, tisk a podobně
  • odděluje & řídí tok dat, dle nastavených pravidel a VLAN
  • řeší bezpečnost dat uvnitř firmy i komunikaci vně firmy
  • umožňuje komunikace uživatelů (PC, mobil) s firemními systémy
  • a mnoho dalšího

Podíváme se na vzorový příklad kancelářské firmy, jakou má infrastrukturu, na její hardwarovou (HW) část od serverů po počítače. Berte níže zobrazené schéma jako vzor, každá firma bude mít jiné zapojení. Některé prvky mít nebude nebo naopak bude mít některá zařízení, která ve schématu nejsou. Cílem článku je jednoduše představit zapojení firemní infrastruktury a popsat jednotlivé prvky.

Firemní IT:

Vzorové schéma IT infrastruktury kancelářské firmy

it-infrastruktura

Switch, zařízení všechno propojí i oddělí

network switch and cables blue toned

LAN switch včetně zapojených ethernet kabelů

Většina z nás má switch doma, ani o tom neví. Jedná se o malý čtyřportový switch součástí routeru na ADSL nebo jiného připojení k internetu. Tento switch rozděluje jedno připojení k internetu mezi více počítačů a umožňuje počítačům v síti komunikovat mezi sebou. Podobně je tomu ve firmě, jen ve firmě je více lidí & počítačů a je potřeba více switchů respektive portů.

Existuje několik typů switchů – základní dělení je podle toho, zda jsou managovatelné nebo ne. Managovatelný switch je základem pro to, aby síť “oddělovala & řídila tok” pomocí VLAN. VLAN znamená virtuální síť v rámci jednoho switche. Jednotlivý provoz je oddělen značkou v packetu – když je např. síť pro uživatele, tiskárny a telefony, tak by bez VLAN muselo být použito více switchů.

Managovatelné switche lze dále rozdělit na L2 a L3. L3 jsou pokročilejší a umí pracovat
i s IP adresami a umí „routovat“. Hlavní argument pro použití L3 switche je inter vlan routing – routování mezi vnitřními sítěmi, kde je poměrně velký provoz a běžný router by to nezvládl. Jednotlivé sítě se tak ukončují právě na L3 switchi. L3 switch plně nenahrazuje router/firewall.

Základem jsou dva páteřní switche z důvodu vysoké dostupnosti, když jeden přestane fungovat, automaticky přebírá všechen provoz druhý páteřní switch. Tzv. „páteřní switche“, proto mají větší výkon, vše řídí, a proto jsou páteřní switche vždy L3 tedy “chytré” switche. Na obrázku vidíte, že na každém patře jsou ještě lokální switche, do kterých se zapojují počítače, tiskárny, telefony či access pointy (AP). Tyto access switche mohou napájet některá zařízení elektřinou (například IP telefony a zmíněné AP) a díky tomu ušetříte kabel a zjednodušíte zapojení. Tato technologie napájení se jmenuje PoE – Power Over Ethernet. Tyto switche jsou zapojeny do hlavních switchů a distribuují data podle předem nastavených pravidel. Pravidla, podle kterých se řídí datový provoz, se často nastavují na firewallu a hlavním “chytrém” L3 switchi.

UTM Firewall – zabezpečení firmy, řídící prvek a vstupní brána do internetu

Zabezpečení firemních dat – jednou z hlavních funkcí firewallu je zabezpečit firemní data. Dříve se pouze zakazoval/povoloval provoz na IP adresy a porty ven / dovnitř firmy. Dnes již kromě této základní funkce firewall obsahuje:

  • antivir, antispam, IPS (kontrola předem definovaných vzorků špatného chování)
  • kontrolují provoz aplikací a P2P sítí (omezit, povolit či zakázat) ,
  • Data Leak/Loss Prevention (DLP) je schopen rozeznat,zda někdo neposílá tajný firemní dokument přes internet (a firewall) ven z firmy. (Tato funkce zatím není na firewallech moc použitelná)
  • VPN koncentrátor je dnes nutnost, ten zařizuje připojení lidí z domova do firmy

Když toto všechno firewall umí, tak se mu říká UTM Firewall.

Vstupní brána do internetu – jednou z cest, kterou tečou data z/do firmy je internet. A právě tuto cestu je třeba hlídat, aby tudy neprošel dovnitř škodlivý kód (vir, malware, spyware atd.) a naopak, aby z firmy neunikala citlivá data. Výrobce firewallu poskytuje aktualizace či nové informace a záplaty téměř okamžitě, jak se objeví.

Router – odděluje a propojuje

router and switch with connected cables

Router a switch propojený kabely

Router česky “směrovač” je zařízení, které nejčastěji slouží k oddělení různých segmentů sítí. Například router od poskytovatele internetu odděluje vaši domácí síť od jeho sítě. Jinak řečeno, od poskytovatele internetu máte jednu veřejnou IP adresu (WAN port) pro připojení k internetu a právě tuto IP adresu si router označí. Počítačům ale v jeho interní síti přiřadí vlastní neveřejnou IP adresu (LAN porty), protože každý počítač musí mít na komunikaci přiřazenou IP adresu. Když počítač komunikuje přes router ven
do internetu, router změní jeho neveřejnou IP adresu za přidělenou veřejnou IP adresu od poskytovatele spojení a naopak. O automatické přidělení neveřejné IP adresy po připojení počítače do LAN se stará DHCP server, který je součást routeru.

Z hlediska zapojení routeru do WAN portu zapojíte kabel od poskytovatele a do LAN portu zapojíte páteřní switch. Přes switche připojíte všechna zařízení v lokální síti, včetně access pointů, které připojí počítače bezdrátově. Router pak umí propojit všechny počítače v lokální síti (LAN) mezi sebou, například pro sdílení dat, pro připojení sítové tiskárny, kdy se používá jedna tiskárna pro více počítačů.

Pobočková ústředna alias PBX

Pobočková ústředna “PBX” je zařízení, které spojuje všechny firemní telefony a přijímá, vytáčí volání z/do veřejné sítě. V dnešní době rozlišujeme dva typy ústředny z hlediska připojení:

  1. Analogová ústředna – připojí se pomocí ISDN2, ISDN 30 nebo HTS
  2. VoIP ústředna – připojí se pomocí SIP trunku (VoIP technologie). Zde se dá ještě rozlišit, zda si ústřednu pořídíte jako je na obrázku, nebo jestli si ji vezmete formou služby a ústřednu máte fyzicky u operátora a nemusíte se o nic starat.

Díky ústředně není třeba pro každý telefon na stole jednu telefonní linku od ISP, ale sdružíte všechny telefony do pobočkové ústředny a tu připojíte do telefonní sítě. Telefonům za pobočkovou ústřednou se také občas říká “klapky”. V neposlední řadě na pobočkové ústředně dokážete nastavit spoustu věcí, jako IVR, callcentrum, podmíněné přesměrování, a spoustu dalších funkcí. Zásadní funkcionalitou je také nahrávání hovorů.

Servery

servery v racku

Servery umístěné v racku

Servery jsou vlastně výkonné počítače, upravené, aby mohly být vloženy do „racku“ a nezabíraly tolik místa jako klasický stolní počítač “desktop”. Tyto servery (respektive racky) jsou uložené v serverovně (datacentru). Jelikož na těchto serverech často běží aplikace a programy náchylné na výpadek nebo prostě musí běžet nonstop, tak se serverovna musí pojistit proti kolísání napětí v síti a výpadkům energie. K tomu slouží UPS a generátor. Pokud máte v racku více serverů, které běží nonstop, tak ty navíc ještě generují teplo, a proto je třeba serverovnu dostatečně chladit. Detailně jsem popsal v článku jak funguje datacentrum.

Zálohování elektřiny na schématu je naddimenzované a spíše odpovídá datacentru než firemní serverovně – ve firemních serverovnách se většinou používají rack mount UPS (případně s battery packem) na dně každého racku s aktivní technologií.

SAN Storage – úložiště dat

Servery udávají výkon v GB RAM pro paměti a GHz pro procesory. Velikost disku (dat) se měří v MB (GB), ale rychlost čtení / zápisu dat na disk se měří v IOPSech – počet diskových operací čtení/zápis za vteřinu. V obou případech platí, čím více tím lépe 🙂

Přibližný počet IOPS dle typu disku

Typ diskuIOPS
SATA 3Gbit/s, 7.200 otáček~75 až 100 IOPS
SAS 10.000 otáček~140 IOPS
SAS 15.000 otáček~175 – 210 IOPS
SSD (SATA 3Gbit/s interface)~5.000 – 20.000 IOPS

zdroj: en.wikipedia.org/wiki/IOPS

SAN storage využívá tzv. RAIDu k ochraně dat pro případ, že by odešel jeden z pevných disků (HDD). Servery také mohou obsahovat pevné disky, pro menší množství dat a některé typy RAID to stačí. Od určité velikosti firmy budou využívat SAN storage, protože zde mohou být jak rychlé SSD disky, tak SAS disky vhodné pro běžný provoz, nebo mohou obsahovat i pomalé SATA disky či páskové knihovny vhodné pro archivaci. Charakteristikou SAN je především to, že je použita speciální vyhrazená síť často s vlastními protokoly (FC, FCoE, iSCSI) pro rychlou komunikaci server-storage.

Firemní bezdrátová síť je tvořena access pointy

Pro připojení do LAN se může použít Erthernet kabel, který byl dlouho jedinou možností, jak komunikovat ve firmě. Druhou možností připojení do LAN je využít bezdrátovou síť, zvanou Wi-Fi, která je tvořena access pointy “AP”. Access pointy jsou tak vlastně prodloužení LAN vzduchem, často jeden AP může vysílat více SSID = sítí/VLAN.

Technické parametry wi-fi, o kterých jste již asi slyšeli

Access pointům respektive Wi-Fi se budeme věnovat v samostatném článku, tak zde jen stručně naznačím některé pojmy, s kterými se setkáte u wi-fi:

  • 2.4GHz nebo 5GHz označuje pásmo, v jakém wi-fi funguje
  • SSID – název wi-fi sítě, který vidíte na mobilu či notebooku, když nastavujete nové připojení k wi-fi
  • WEP, WPA/WPA2 – šifrování a zabezpečení wi-fi
  • Kontroler pro AP – u větších firemních sítích je kontroler centrální jednotky, která řídí všechny acess pointy

Přehled výrobců aktivních prvků

Všechny zmíněné technologie jako switche, firewall, AP a další se často označují “aktivní prvky”. Pro přehled níže uvádím přehled známějších výrobců jednotlivých aktivních prvků, (výrobců jednotlivých zařízení je daleko více).

  • Switche – HP, Cisco
  • Routery – Cisco, Juniper
  • Firewally – Cisco ASA, Check Point, Fortigate, Dell Sonicwall
  • Servery – Dell, Lenovo, HP, Fujitsu
  • SAN Storage – Dell (EMC, EqualLogic), IBM, HP
  • AP – Cisco Aironet, Cisco Meraki, Aerohive, Ruckus, HP (Aruba)

Author: Radek

Fanoušek WordPressu, se zájmem o dění okolo internetu a přírody.

Share This Post On

Napsat komentář

Přihlašte se k odběru nových článků!

Přihlašte se o odběru a budete dostávat informace o nových článcích emailem.

Hotovo, děkuji za přihlášení.