|ГЛАВНАЯ|     |О ЖУРНАЛЕ|      |АРХИВ|      |ПОДПИСКА|     |РЕКЛАМНЫЙ ОТДЕЛ|    |КОНТАКТЫ|     |СОДЕРЖАНИЕ НОМЕРА|     |НОВОСТИ|      |ПРОЕЗД|       |КАРТА САЙТА|

№6(25)2005

 

Размер не имеет значения

Каждый из нас приблизительно знает, какие системы обеспечивают жизнедеятельность любой современной организации. Стационарная и мобильная телефонная связь, системы видеонаблюдения, телевидения, беспроводной связи, передачи данных, безопасности, Интернета, информационной поддержки. Для некоторых из этих систем необходима своя среда передачи, для некоторых - свой обслуживающий персонал, а для некоторых - даже отдельное структурное подразделение.Примером сложнейших процессов интеграции, комплексного подхода к решению проблем и, в какой-то мере, вызовом системной интеграции и стал проект мульти-сервисной сети, реализованный «S&T Софт-Троник» в «Институте Стратегических Оценок».В рамках реализации проекта были построены, внедрены и интегрированы следующие системы и подсистемы:

• структурированная кабельная система;
• интеллектуальная сетевая система;

• многофункциональная система цифровой телефонии;
• система беспроводной связи;
• система цифрового телевидения;
• система видеоконтроля;
• система гарантированного электропитания;
• система управления;
• система инфраструктурной информационной поддержки;

- подсистема авторизации;
- подсистема корпоративной почты;
- подсистема общего документооборота;
- подсистема мониторинга состояния программно-аппаратных средств;
- подсистема поддержки и сопровождения информационной инфраструктуры;
• система антивирусной защиты;
• система корпоративных Интернет-сервисов.
Рассмотрим данный проект более детально.

Структурированная кабельная система

Кабельная система была построена на базе компонентов R&M. Общее количество инсталлированных портов - около 300, для соединения удаленных площадок использовались одномодовые волоконно-оптические кабели.Интеллектуальная сетевая системаИнтеллектуальная сетевая система включает в себя коммутаторы, шлюзы и другое сетевое оборудование. Использовалась двухуровневая модель. В ядре сети были использованы два высокопроизводительных коммутатора Cisco Catalyst 6509, а по периметру - коммутаторы третьего уровня Catalyst 3560, которые с использованием технологии Ether-Channel (объединение портов в один логический) создавали высокоскоростные резервные пути к ядру.Сетевая и информационная инфраструктура мультисервисной сети «Института Стратегических Оценок» представлена на рисунке.

Казалось бы, система передачи данных организации некорпоративного уровня не требует такого высоконадежного оборудования, да еще с резервированием, но выбор топологии базировался на правиле: все новые подсистемы должны работать по существующей транспортной сети. Однако было принято решение, что именно IP-инфраструктура должна была стать основой для дальнейшего внедрения пользовательских приложений, обеспечивая поддержку таких жизненно важных для сети сервисов, как безопасность, сетевое управление и механизмы качества обслуживания (QoS).

Схема реализации универсальной мультисервисной сети

Многофункциональная система цифровой телефонии

Реализованная в проекте система телефонной связи, кроме традиционных для таких систем функций, обеспечивает построение современной многофункциональной системы цифровой телефонии на базе корпоративной IP-сети. При этом выполняется подключение системы корпоративной IP-телефонии к телефонной сети общего пользования и стыковка с существующими участками традиционной телефонной сети компании. Решение обеспечивает широкий круг современных сервисов для абонентов корпоративной сети IP-телефонии.

В качестве дополнительной возможности данное решение позволяет создать сеть видеотелефонии, которая может быть частью корпоративной IP-телефонной системы.

Для управления сетью IP-телефонии Cisco используется отказоустойчивый кластер серверов CiscoCallManager 4.0. Один такой сервер может поддерживать до 1000 IP-телефонов с реализацией возможности масштабирования. Система голосовой почты была построена на Cisco Unity 4.0 и интегрирована с компонентом информационной системы Microsoft Exchange 2003. Для стыковки с существующими системами телефонной сети общего пользования использован голосовой шлюз Cisco AS5350, подключенный к двум операторам связи для обеспечения отказоустойчивости.

Система беспроводной связи

На данном этапе развития бизнеса мобильность пользователей не дань моде, а насущная необходимость. В современных корпоративных сетях основная задача - обеспечение доступа ко всем службам сети с необходимым уровнем безопасности. Архитектура построения беспроводной сети (Structured Wireless - Aware Network - SWAN), предлагаемая компанией Cisco, позволяет предоставить мобильным пользователям уровень сервиса и безопасности, характерный для проводной сети. Беспроводная архитектура организации включила в себя следующие компоненты:

• точки доступа Cisco Aironet;

• систему управления CiscoWorks Wireless LAN Solution Engine (WLSE);

• систему аутентификации Cisco Secure Access Control Server (ACS);

систему бесшовного роуминга Wireless LAN Service Module (WLSM);

• инфраструктурные серверы Microsoft Windows Server 2003 с каталогом пользователей и Microsoft Certificate Authority для управления динамическими ключами;

• клиентские устройства.

Ключевым элементом архитектуры является служба беспроводного домена (Wireless Domain Services - WDS). В качестве WDS был использован модуль Wireless LAN Service Module (WLSM) для коммутатора Catalyst 6500 Series, обеспечивающий высокий уровень безопасности.

Ключевой возможностью применения WDS является реализация процедуры бесшовного роуминга (fast secure roaming). Применение WLSM позволило сократить задержки при переключении до 50 мс и менее. Такие задержки позволяют использовать беспроводную сеть для организации IP-телефонии. В сети были применены беспроводные IP-телефоны 7920 компании Cisco стандарта 802.11b и предусмотрена возможность использования телефонов моделей Nokia E60, E61, E70, где наряду с GSM реализована и поддержка Wi-Fi. Данные модели телефонов оптимизированы для работы с Cisco CallManager и поддерживают работу по протоколу SCCP.

Для построения корпоративной беспроводной локальной сети применены точки доступа серии Aironet 1100, позволяющие одновременно работать с клиентами в двух стандартах: 802.11b (11 Мбит/с) и 802.11g (54 Мбит/с). На беспроводной сети было организовано три VLAN для подключения к корпоративной сети, IP-телефонии и управлению. Использование VLAN-сегментации увеличивает управляемость беспроводной сети и ее безопасность. Поддерживая схемы установления приоритетов голосовому трафику для мобильных телефонов стандарта 802.11b, Aironet 1100 обеспечивает качественное решение VoIP.

Система цифрового телевидения организации

Единая мультисервисная сеть компании построена на основе интранет-сети. Это позволяет реализовать следующие преимущества:

• гибкость в выборе мест установки мониторов (для этого может быть использован любой порт универсальной интранет-сети);

• простое подключение рядом стоящих зданий комплекса;

• внедрение таких функций, как ТВ по запросу, централизованный цифровой видеомагнитофон, доступ в Интернет и интеграция с другими подсистемами комплекса.

Рассмотрим, как реализована последняя из указанных возможностей.

Система цифрового телевидения состоит из центральной части и абонентской. В центральную часть входят:

• спутниковые и вещательные приемные комплекты;

• цифровые демодуляторы-декодеры от компании Scopus Network;

• интеллектуальный IP-стриммер от компании Scopus Network;

• сервер управления, автоконфигурирования, клиентских устройств, поддержания портала - MiddleWare (украинская разработка);

• сервер вещания архивных записей и ТВ по запросу - IPTV от компании Cisco Systems.

В абонентскую часть входят:

• несколько десятков абонентских IP-декодеров компании Amino, цифро-аналоговых шлюзов и систем отображения (телевизионных приемников, плазменных панелей);

• программное обеспечение ПК на рабочих местах для работы с системой цифрового телевидения.

От спутниковых комплектов групповой сигнал ТВ с определенного спутника поступает на демодуляторы-дешифраторы, где выбирается требуемый пакет программ и выдается в виде MPEG-2 потоков. На интеллектуальном IP-стриммере пакеты программ обрабатываются и выдаются потоком широковещательного (multicast) трафика в универсальную транспортную сеть организации. Услуга цифрового магнитофона позволяет производить запись программ раздельно для каждого пользователя с возможностью просмотра всех записей.

Дополнительно к указанным возможностям реализованы:

• доступ в Интернет через подсистему цифрового телевидения;

• интеграция подсистемы цифрового телевидения и системы видеоконтроля - через WWW можно просмотреть состояние камер и других датчиков охраны;

• возможность интеграции игрового сервера при необходимости через систему цифрового телевидения - все изображения сцен игр будет передаваться в потоке MPEG 2;

• возможность интегрирования подсистемы в Active Directory;

• возможность интеграции с системой видеоконференцсвязи и видеоподдержки проведения мероприятий.

Система видеоконтроля

Система видеоконтроля организации также интегрирована в интранет-сеть. В состав системы входят статические и подвижные видеокамеры (как черно-белые, так и цветные), сервер захвата и контроля, система хранения.

Все внешние камеры - с принудительной подсветкой, подвижные и с высоким разрешением. Система цифровой записи обладает возможностью записи по движению (встроенный программный датчик движения).

В систему заложены дополнительные возможности отслеживания образов лиц, автомобильных номеров, а также полная интеграция с системой безопасности комплекса и системой цифрового телевидения.

Система видеоконтроля построена на базе видеокамер Panasonic и программно-аппаратном комплексе «Инспектор+».

Система гарантированного электропитания

Централизованная система гарантированного питания обеспечивает работу всех элементов ИТ-инфраструктуры, включая абонентские терминалы с дистанционным питанием (в первую очередь это касается критичных приложений телефонии, передачи данных, видеоконтроля и безопасности).

При отключении основных источников переменного тока система удерживает полную нагрузку по времени, в несколько раз превышающему максимально допустимое время отсутствия питания на внешних вводах (их несколько). Даже если это время превышено, система электропитания отключит автоматически все некритичные подсистемы (уведомив об этом всех пользователей) и оставит на продолжительный срок критичные.

Система построена на базе оборудования компании APC и полностью интегрирована в корпоративную ИТ-инфраструктуру организации.

Система управления

Любая система управления должна предоставить интегрированный инструмент управления для упрощения процедур конфигурации, администрирования, мониторинга и решения проблем. Она обеспечивает общее использование информации между компонентами системы, автоматизирует процессы обслуживания, отображает картину работоспособности сети, идентифицирует и локализирует проблемы, выполняет проактивный анализ.

Для обеспечения таких возможностей был использован продукт CiscoWorks Lan Management Soluti-on 2.5 для сети передачи данных и CiscoWorks IP Telephony Environment Monitor (ITEM) для IP-телефонии. В беспроводной инфраструктуре использовалось специализированное устройство WLSE - центральное хранилище результатов радиомониторинга с целью обнаружения помех и несанкционированных точек подключения. В этой системе вся собранная информация по управлению беспроводной сетью систематизируется и обрабатывается. Кроме широких возможностей управления и контроля параметров безопасности точек доступа WLSE позволяет заблокировать порты коммутаторов, к которым подключены несанкционированные точки доступа.

Система инфраструктурной информационной поддержки

Задачей внедрения системы инфраструктурной информационной поддержки является организация эффективного внутреннего корпоративного взаимодействия пользователей друг с другом, а также с внешними партнерами организации.

Второстепенными задачами считаются обеспечение технического персонала компании средствами и возможностями эффективного управления информационной инфраструктурой, ее сопровождения и модификации.

Корпоративная информационная инфраструктура организации должна, как минимум, предоставлять:

• корпоративную почтовую инфраструктуру;

• корпоративный интранет-портал;

• централизованное хранение файловых данных, а также данных формализованного и неформализованного типов;

• централизованные средства защиты информации и обеспечения бесперебойности организационных процессов;

• средства централизованного управления и мониторинга компонентов информационной инфраструктуры.

Как видно из этого списка, перечень задач достаточно широк, и выполнение их за счет «интересных» нетрадиционных решений может занять достаточно много времени, которое будет потрачено, в основном, на их интеграцию между собой.

Для выполнения поставленной задачи компания «S&T Софт-Троник» решила взять проверенный и отработанный комплекс инфраструктурных элементов, основанных на платформе Microsoft Windows Server System.

Основой настоящей инфраструктуры информационной поддержки организации являются Common Engineering Criteria, определяющие, в первую очередь, мировые стандарты и критерии к обеспечению безопасности процессов и правил интеграции различных информационных компонентов между собой.

В качестве операционной платформы для информационной инфраструктуры «S&T Софт-Троник» использовала решения компании HP и Microsoft, получившие статус промышленных стандартов в области построения офисных решений.

В качестве основных продуктов использовались Microsoft Windows Server 2003 и Microsoft Windows XP Professional.

Использование коммерческого лицензионного программного обеспечения позволило обеспечить предоставление гарантированной квалифицированной технической поддержки, которую достаточно легко найти на локальном рынке в любой момент времени.

Подсистема авторизации

Управление пользователями, их правами в рамках информационной инфраструктуры организации, а также объединение различных элементов в единую взаимосвязанную инфраструктуру стало возможным на базе корпоративного каталога Microsoft Active Directory.

В дальнейшем это позволило использовать встроенные возможности продуктов Microsoft Windows и Microsoft Office для организации идентификации пользователей в компонентах системы при помощи карточных сертификатов, а также для защиты документов, включая почтовые сообщения, путем шифрования ключом. Основой PKI-решения выступили возможности, заложенные в Microsoft Certificate Authority Server и Microsoft Active Directory.

Подсистема корпоративной почты

Корпоративная почтовая инфраструктура реализована на базе продукта Microsoft Exchange 2003 Server Enterprise Edition.

Почтовое клиентское место использует Microsoft Outlook из состава офисного пакета Microsoft Office 2003 редакции Standard или Professional.

Основное преимущество применения Microsoft Outlook 2003 в качестве клиентского почтового ПО состоит в предоставлении мобильным клиентам возможности удаленного доступа к содержимому своих почтовых ящиков. При возвращении в офис выполняется автоматическая синхронизация данных локального почтового ящика и содержимого на сервере.

Подсистема общего документооборота

Для построения базового офисного документооборота организации был использован Microsoft SharePoint Server 2003.

Настоящее решение позволяет:

• централизованно хранить документы различных форматов, напрямую доступных как из продуктов Microsoft Office, так и из Web-клиента;

• централизованно управлять доступом к содержимому корпоративного портала документов пользователям и группам пользователей;

• быстро находить документы и группировать их на основе шаблонов карточек и полнотекстового содержимого;

• сопровождать и хранить различных версии документов, измененные с течением времени, а также разрешать конфликтные ситуации одновременной правки документа различными пользователями;

• организовать workflow-прохождения и утверждения документов;

• предоставлять персональные области каждому сотруднику организации (или группам) сотрудников;

• модифицировать содержимое портала (библиотеки документов) без привлечения программистов.

Подсистема мониторинга состояния программно-аппаратных средств

Максимально быстрое реагирование административного состава организации на исключительные ситуации, возникающие в системной среде, определяет общую эффективность использования ИС. Для повышения времени реагирования и качества устранения исключительных ситуаций был внедрен программный комплекс Microsoft Operations Manager 2005. Комплекс обеспечил оперативное управление информационной инфраструктурой организации, выполняя всестороннее управление событиями, упреждающий мониторинг и выдачу оповещений, а также создание отчетов и анализ существующих тенденций.

Подсистема поддержки и сопровождения информационной инфраструктуры

Для выполнения задач инвентаризации содержимого инсталлированной базы программно-аппаратного обеспечения рабочих станций был использован Microsoft Systems Management Server 2003. Этот продукт позволяет проводить инвентаризацию программно-аппаратных ресурсов рабочих станций и серверов, консолидировать собранную информацию, предоставлять отчеты о текущих конфигурациях программного обеспечения, а также отображать изменения аппаратных конфигураций в течение определенного промежутка времени.

Система антивирусной защиты

Антивирусная защита информационной системы организации базируется на продуктах компании TrendMicro, специализирующейся на создании антивирусных продуктов с учетом специфики корпоративного применения. Система позволяет централизованно устанавливать антивирусных клиентов и отслеживать распространение штампов сигнатур вирусов, централизованно управлять правами пользователей на изменение параметров антивирусной защиты, а также создавать консолидированные отчеты о всех антивирусных инцидентах в информационной инфраструктуре.

Антивирусное решение состоит из следующих компонентов:

• OfficeScan Corporate Edition - защита рабочих станций;
• Portal Protect - защита содержимого Microsoft SharePoint Portal Server;
• ScanMail for Exchange - антивирусный контроль входящей и исходящей корпоративной почты, включая локальный контроль содержимого почтовых ящиков пользователей, а также блокировку нежелательного контента определенного типа;
• eManager for ScanMail for Exchange - защита от рассылок нежелательной почты (спама);
• ServerProtect - защита файловых серверов;
• InterScan WebSecurity Suite - шлюзовое антивирусное решение анализа проходящего трафика из Интернет (HTTP, FTP, SMTP) через Cisco Web Cache;
• InterScan MailSecurity Suite - шлюзовое антивирусное решение для анализа входящего почтового SMTP-трафика;
• TrendMicro Control Manager - централизованное управление всеми антивирусными компонентами из единого места (управление состоянием, составление консолидированного отчета, управление обновлениями и распространение антивирусных сигнатур).

Система корпоративных Интернет-сервисов

Система корпоративных Интернет-сервисов предоставляет внутрикорпоративным пользователям доступ к Интернет-услугам и информации, расположенной на серверах общего доступа. Сюда входит также электронная почта, внешний портал, услуги DNS, и т.д.

Всем известны проблемы, связанные с использованием ресурсов одного провайдера, предоставляющего услуги доступа к глобальной сети Интернет. В данном случае основная задача состояла в обеспечении 100% доступности ресурсов для пользователей независимо от состояния систем провайдера услуг.

В рамках проекта было принято решение о регистрации независимого блока IP-адресов и собственной автономной системы. Была разработана гибкая система политик протокола маршрутизации BGP. Решение о внедрении этой системы автоматически привело к разработке архитектуры безопасности организации. Была выбрана архитектура SAFE, которая с максимальной точностью имитирует функциональные потребности современных корпоративных сетей.

Этот подход нацелен не на механическую установку межсетевого экрана и системы обнаружения атак, а на анализ ожидаемых угроз и разработку методов борьбы с ними. Эта стратегия приводит к созданию многоуровневой системы защиты, при которой прорыв одного уровня не означает прорыва всей системы безопасности. SAFE основывается на продуктах компании Cisco и ее партнеров.

В состав системы входят следующие основные устройства:

• маршрутизатор BGP - служит для формирования гибкой политики маршрутизации и обеспечения отказоустойчивости внешних подключений. Был выбран производительный маршрутизатор Cisco Systems, модель 7206;
• межсетевой экран - защищает ресурсы на уровне сети и производит фильтрацию трафика. Использована модель Cisco Systems PIX 515E с отказоустойчивым дублированием;
• устройство IPS - поддерживает мониторинг ключевых сетевых сегментов модуля на уровнях 4-7 (Cisco Systems IPS 4215);
• сервер фильтрации URL - отфильтровывает несанкционированные запросы URL, исходящие от организации;
• сервер кэширования - кэширует наиболее часто востребованные Web-страницы; по статистике при использовании кэширования может быть сэкономлено около 30% внешнего трафика;
• сервер SMTP - служит мостом между Интернетом и серверами Интернет-почты, проверяя ее содержание;
• сервер DNS - служит внешним сервером DNS для организации, передает в Интернет запросы внутренних пользователей;
• сервер FTP/HTTP - предоставляет открытую информацию об организации.

Главное - не бояться трудностей

На протяжении последних лет мы много раз слышали о больших и даже грандиозных проектах в области системной интеграции. Но, к сожалению, большинство таких проектов - это огромное количество одинаковых по функциональным возможностям блоков, которые распределены в границах города, региона, страны. Некоторые из них иногда даже не требуют сложных, интеллектуальных настроек, а используют готовые системы установки, конфигурации и управления. На самом деле на нижних уровнях таких проектов возможно и лежат сложные технологии, использование которых может даже быть уникальным в нашей стране, но сложность развертывания определяется не сложностью проекта, а отсутствием опыта компании-интегратора и «боязнью новизны».

Проект построения универсальной мультисервисной сети «Института Стратегических Оценок», краткое описание которого мы предложили вашему вниманию, действительно является сложным технологическим и уникальным интеграционным решением. А также ярким подтверждением того, что в настоящей системной интеграции размер значения не имеет.

Подготовлено на базе материалов компании «S&T Софт-Троник», www.snt.ua, тел. (044) 238-63-88

№6(25)2005