Настройка сетевого оборудования

Правильная конфигурация LAN-систем (ЛВС) объединяет электронные устройства предприятия в защищенную инфраструктуру, повышает продуктивность сотрудников и функциональность корпоративной техники. Специалисты получают удаленный доступ к принтерам и сканерам, обмениваются данными по зашифрованным каналам, переносят вычисления в облачное хранилище.

Настройка сетевого оборудования начинается с выбора техники под индивидуальные задачи компании и затрагивает все уровни бизнеса − от физической топологии точек доступа до протоколов подключения. Рассказываем, как работает корпоративный LAN, и на что обратить внимание в процессе конфигурации.

Протоколы и сетевые устройства

Чтобы описать принцип работы стандарта LAN (Local Area Network), используют теоретическую модель OSI (Open Systems Interconnection model) и практическую модель TCP/IP.

Схема TCP/IP. Модель объединяет семь слоев OSI (слева) в четыре.

Она описывает семь уровней, работающих с собственным набором протоколов и оборудования.

Физический

Работает с электрическими сигналами. Передает «сырые» биты информации между компонентами локальной сети. На физическом уровне работает пассивное оборудование, которое не принимает решений, а передает данные по заданному алгоритму или физической связи. Этот слой включает:

• Кабели с коннекторами типа USB, RJ.
• Повторители. Усиливают электрический или оптический сигнал при передаче на большое удаление.

Канальный

Адресует данные между двумя компонентами локальной сети. Передают информацию в виде «фреймов», которые содержат байты информации с данными об адресах источника и отправителя, сервисные биты. Этот слой включает:

• Коммутаторы. Устройства, которые управляют сетевым трафиком, отвечают за масштабирование и виртуализацию, защищают сеть от атак на канальном уровне. Подробнее про них мы писали в статье «подключение и настройка коммутатора».
• Точки доступа. Станции Wi-Fi, которые передают данные по беспроводному радиочастотному каналу.

Сетевой

Транслирует логические IP-адреса в физические, выбирает оптимальный тракт передачи данных, выполняет сервисную работу. Этот слой включает:

• Маршрутизаторы. Связывают устройства внутри локальной сети с интернетом. В отличие от коммутаторов, которые отправляют данные на основе MAC-адресов, маршрутизаторы используют протокол IP.
• Межсетевые экраны (файрволы). Аппаратная система безопасности, которая мониторит и контролирует входящий и исходящий трафик на основе заранее определённых правил безопасности.

Уровни хоста

Включает четыре верхних слоя модели OSI:

1. Транспортный. Передает сегмент пакетов и датаграммы.
2. Сеансовый. Управляет сессиями передачи данных.
3. Слой представления. Передает данные между сетевыми сервисами и приложениями, шифрует и сжимает информацию.
4. Прикладной. Набор сетевых протоколов высокого уровня.

Модель TCP/IP объединяет последние три слоя в единую прикладную систему. Эти операции просчитывает программное обеспечение межсетевого экрана или хост-устройства (сервера). В отличие от модели OSI, которая сохраняет строгую иерархию, компоненты TCP/IP могут взаимодействовать друг с другом в обход промежуточных слоев.

Что следует учитывать при настройке сетевого оборудования

Конфигурацию LAN начинают с выбора техники. В отличие от бытовых сетей, которые построены вокруг роутера, ИТ-инфраструктура бизнеса включает большее количество компонентов как на программном, так и на аппаратном уровне. Главная задача этих систем — сделать соединение максимально стабильным и безопасным. Настройку выполняют в несколько этапов:

1. Выбор оборудования. В локальных сетях с большим количеством устройств кроме маршрутизаторов используют коммутаторы. При выборе оборудования учитывайте максимальную пропускную способность, количество памяти, скорость и тип портов.
2. Подключение и конфигурация. Перед началом настройки оборудование следует обновить. Производители выпускают новые версии прошивок, которые закрывают уязвимости безопасности. Компоненты сети на каждом уровне настраивают отдельно друг от друга, но основную роль играет маршрутизатор и коммутатор. Их конфигурируют локально через интерфейс RS-232 или удаленно, например, при помощи HTTPS или SSH. Чтобы объединить оборудование в единую систему управления, используют протокол SNMP, Cisco DNA Center или аналоги.
3. Пароль. Учетную запись администратора на каждом устройстве должен сопровождать защищенный пароль из 25+ букв, цифр и специальных символов в разном регистре. Пароль лучше создать при помощи генератора. Если прошивка устройства позволяет это сделать, следует сменить имя пользователя и отключить его отображение при входе в панель управления. Так у злоумышленника не получится подобрать данные для входа методом брутфорса.
4. Внедрение защищенных протоколов. Работать с оборудованием лучше через интерфейс командной строки, используя SSH-ключи. В отличие от традиционной связки из логина и пароля, этот метод аутентификации устойчив к хакингу. Приватный ключ хранится на устройстве пользователя, его можно отозвать в случае утраты. Если полностью отказаться от работы через веб-интерфейс не получится, используйте HTTPS вместо стандартного HTTP.
5. Внедрение систем мониторинга. Чтобы провести точный диагноз инцидентов в локальной сети, внедряют систему расширенного логирования с протоколами синхронизации (например, NTP), которые оснащают записи точной временной отметкой с поправкой на задержку приема и передачи пакета.
6. Внедрение VLAN. Функция виртуальной локальной сети сегментирует ЛВС предприятия на несколько «зон», изолированных друг от друга. Соединения проходят через порты в режиме Access, которые объединяют устройства внутри одной зоны и распределяют трафик между разными VLAN при помощи меток (тегов). Эта система повышает безопасность ЛВС: даже если одна подсеть будет скомпрометирована, другие ячейки не пострадают.

Одна из функций коммутатора: разделить LAN на две виртуальные «зоны». Источник: TP-link.

Заключительный этап настройки — обслуживание и мониторинг. Для этого используют SNMP и другие системы управления, которые дают системному администратору необходимые метрики для оценки состояния ЛВС, поиска неисправностей, исследования инцидентов.