בעיקרון, תשתית הרשת מורכבת מיישומי תוכנה ורכיבי חומרה שונים. ניתוב ומעבר הם פונקציות מפתח של כל רשת. כל מכשיר ושרת משתתפים מחוברים באמצעות כבל רשת משלו למתג כך שבקצה כל מכשיר ניתן להתחבר ישירות לכל מכשיר אחר. המרכיבים העיקריים של רשת הם כבלי רשת המחברים את כל השרתים, המחשבים, המדפסות, המתגים, הנתבים, נקודות הגישה וכו'.
יישומי תוכנה ושירותים
תשתית הרשת מחייבת התקנה של יישומי תוכנה או שירותים מתאימים במחשבים ולווסת את תעבורת הנתונים. ברוב המקרים, שירותי Domain Name System (DNS) גם כןהם Dynamic Host Configuration Exchange Protocol (DHCP) ו-Windows Services (WINS) שהם חלק מחבילת השירות הבסיסית. יישומים אלה חייבים להיות מוגדרים בהתאם וזמינים תמיד.
כדי לחבר מחשבים לאינטרנט, יש צורך במכשירים נוספים, רצוי בצורת שערי אבטחה (חומת אש). אם יש צורך בהתקני תקשורת אלחוטית, אזי נדרשות נקודות גישה אלחוטיות כממשקים מתאימים. אם המשתמש רוצה לקבל סקירה מהירה של כל המכשירים ברשת, הוא יכול לעשות זאת באמצעות סורקי IP מיוחדים.
משתמשים יכולים גם לקבל סקירה מקיפה של כל האובייקטים ברשת שלהם באמצעות שירות הספריות של Active Directory. זה המקום שבו הכל מאוחסן באובייקטים הקשורים לרשת כגון מדפסות, מודמים, משתמשים או קבוצות.
היקף מרחבי של רשתות
רשתות שונות לעתים קרובות בהיקף המרחבי. זה מכונה בדרך כלל LAN (Local Area Network) - זוהי רשת מקומית הכוללת מחשבים וציוד היקפי רבים בתוך בניין. עם זאת, בפועל קורה שרשת כזו יכולה לקבל מספר גדול למדי של משתמשים. ללא קשר לגודלה, רשת תמיד תיקרא רשת מקומית, גם אם היא ציבורית ופרטית כאחד. מצד שני, אם הרשת מכסה אזור גיאוגרפי גדול יחסית, היא נקראת רשת רחבה (WAN).
כדי להבטיח שהרשת תמיד זמינהבתשתית, ניתן להשתמש בספק כוח אל-פסק (UPS) כדי לספק עומסים חשמליים קריטיים במהלך הפסקת חשמל. מנקודת מבט טכנית, ניתן לבנות רשת מקומית בדרכים שונות לחלוטין. בהקשר הקלאסי, כבלים הם כיום כבלים מובנים.
פתרון ה-Ethernet הסטנדרטי הנפוץ ביותר. יחד עם זאת, השידור רצוי להתבצע באופן חשמלי באמצעות כבלים מעוותים מתאימים (כבל CAT 5 ומעלה), אך ניתן לבצע אותו גם באופן אופטי באמצעות כבל סיבים אופטיים וכבל סיבים (Polymer Optical Fibres, POF).
כיום, Ethernet משיג קצב נתונים של 100Gbps, התואם לתפוקת נתונים כוללת של לא יותר מ-12.5Gbps, סטנדרטים של 200Gbps ו-400Gbps. בהתאם למרחק לגשר ולמהירות הנדרשת, ניתן ליצור חיבורי אתרנט באמצעות כבלי נחושת (זוג מעוות מקטגוריה 3 לזוג מעוות מקטגוריה 8) או טראנקים אופטיים.
תהליך בניית תשתית IT
תהליך פריסת תשתית רשת מורכב מהשלבים הכלליים הבאים, הנקראים מחזור החיים של הפתרון:
- ניתוח של דרישות עסקיות וטכניות.
- עיצוב אדריכלות לוגי.
- עצב את ארכיטקטורת הפריסה.
- הזרקת פריסה.
- ניהול פריסה.
שלבי הפריסה אינםהם נוקשים ותהליך הפריסה הוא איטרטיבי. בשלב הדרישות, המשתמש מתחיל עם הדרישות העסקיות שזוהו בשלב הניתוח ומתרגם אותן למפרטים טכניים שניתן להשתמש בהם לעיצוב.
מפרטים מודדים את איכות תכונות השירות כגון ביצועים, זמינות, אבטחה ועוד. בעת ניתוח דרישות טכניות, ניתן גם לציין דרישות רמת שירות, שהן התנאי שבו יש לספק תמיכת לקוחות על מנת לפתור תקלות במערכת פרוסה העומדת בדרישות המערכת. במהלך שלב התכנון הלוגי, הלקוח קובע את השירותים הנדרשים ליישום הפרויקט.
לאחר שהשירותים מזוהים, הוא ממפה את הרכיבים השונים, ומספק שירותים אלה בתוך ארכיטקטורה לוגית. רשימת מדורים, עיצוב תשתית רשת:
- ארכיטקטורת פריסה.
- מפרט יישום.
- מפרט עיצוב מפורט.
- תוכנית התקנה.
- תוכניות נוספות.
תהליך פריסת רשת
כדי לתכנן פריסה, תחילה עליך לנתח את הדרישות העסקיות והטכניות של הלקוח. הם צריכים להכיל את הסעיפים הבאים:
- הגדר יעדי פריסה.
- הגדר יעדי פרויקט.
ניתוח דרישות צריך להוביל לקבוצה ברורה, תמציתית וניתנת להשוואה שליעדים שלפיהם ניתן למדוד את הצלחת הפרויקט.
הגשמת פרויקט ללא יעדים ברורים שהתקבלו על ידי בעלי העניין, הלקוח יסתיים עם מערכת חסרת יכולת או, במקרה הטוב, לא יציבה. חלק מהדרישות שיש לקחת בחשבון במהלך שלב תכנון תשתית הרשת כוללות:
- דרישות עסקיות.
- דרישות טכניות.
- דרישות פיננסיות.
- הסכמי רמת שירות (SLAs).
רכיבי שירות ורמות שירות
כאשר מתכננים מוצרים או שירותים מרובים, עליך להבין את ההרכב של כל אחד מהם. לשם כך, חלקו כל שירות לרכיבים שניתן לפרוס על מארחים שונים וברמה ספציפית של כל רכיב. למרות שניתן לפרוס את כל הרכיבים על מארח אחד, עדיף לעבור לארכיטקטורה מרובת שכבות.
ארכיטקטורה מרובדת, בין אם היא חד-שכבתית או דו-שכבתית, מספקת מספר יתרונות. הרכיבים שלו נמצאים במחשבי לקוח של משתמשי קצה. שכבת הגישה לרכיב מורכבת משירותי קצה משרת ההודעות (MMP ו-MTA):
- שרת יומן.
- שרת proxy להודעות מיידיות.
- שרת פורטל (SRA ו-Core).
- מנהל גישה לאימות וספרייה ארגונית המספקת ספר כתובות.
- Storage Area Network (SAN)ה"ענן" הוא האחסון הפיזי של נתונים.
קביעת עוצמת המשאב של הפרויקט
ניהול תשתית רשתהוא הבסיס של המערכת. הוא מהווה את השירותים היוצרים את הרכב העבודה של הרשת. פריסת הרשת ממטרות התכנון מבטיחה שללקוח תהיה ארכיטקטורה שיכולה להתרחב ולגדול. לשם כך, נוצרת מפה מלאה של הרשת הקיימת, המכסה את האזורים הבאים:
- קישורים פיזיים כגון אורך כבל, מחלקה וכו'.
- קווי תקשורת כגון אנלוגי, ISDN, VPN, T3 וכו' ורוחב פס זמין והשהייה בין אתרים.
- פרטי שרת כולל שמות מארחים, כתובות IP, שרת שמות דומיין (DNS) עבור חברות בדומיין.
- מיקום המכשירים ברשת, כולל רכזות, מתגים, מודמים, נתבים, גשרים, שרתי proxy.
- מספר משתמשים לכל אתר, כולל משתמשים בנייד.
לאחר השלמת המלאי, יש לבדוק מידע זה בשילוב עם יעדי הפרויקט כדי לקבוע אילו שינויים נדרשים לפריסה מוצלחת.
רכיבי תשתית רשת
נתבים מחברים רשתות תשתית, ומאפשרים למערכות לתקשר. עליך לוודא שלנתבים יש קיבולת פנויה לאחר הפריסה כדי להתמודד עם הצמיחה והשימוש החזויים. באופן דומה, מתגים מחברים מערכות בתוך רשת. נתבים או מתגים בעלי רוחב פס נוטים להסלים צווארי בקבוק, וכתוצאה מכך לעלייה משמעותית בזמן במהלךאילו לקוחות יכולים לשלוח הודעות לשרתים ברשתות שונות.
במקרים כאלה, חוסר מחשבה מראש או הוצאות לשדרוג הנתב או המתג עלולים לגרום להפחתה משמעותית בתפוקת הצוות. המרכיבים הנפוצים הבאים של תשתית הרשת של ארגון תורמים להצלחתו של פרויקט:
- נתבים ומתגים.
- חומת אש.
- מאזני עומסים.
- Storage Area Network (SAN) DNS.
מפרטי רשת
למען תפקוד אמין של הרשת, יש צורך להבטיח ריכוזיות של שרתים, שתיצור רוחב פס אמין יותר וגבוה יותר. בנוסף, עליך לענות על סדרת שאלות שיעזרו לך להבין את דרישות הרשת:
- האם שרת ה-DNS יכול להתמודד עם העומס הנוסף?
- מה לוח הזמנים של צוות התמיכה? תמיכה של 24 שעות, שבעה ימים (24 על 7) עשויה להיות זמינה רק באתרים מסוימים. ארכיטקטורה פשוטה יותר עם פחות שרתים תהיה קלה יותר לתחזוקה.
- האם יש מספיק קיבולת בצוותי התפעול והתמיכה הטכנית כדי להקל על תפעול תשתית הרשת?
- האם צוותי תפעול ותמיכה טכנית יכולים להתמודד עם עומס העבודה המוגבר במהלך שלב הפריסה?
- האם שירותי רשת צריכים להיות מיותרים?
- האם עלי להגביל את זמינות הנתונים במארחים ברמת הגישה?
- האם יש צורך לפשט את תצורת משתמש הקצה?
- האם זה מתוכנןצמצום תעבורת רשת
התשובות לשאלות אלו ניתנות על ידי ארכיטקטורה דו-שכבתית. על מנת להבטיח זאת ברמת התכנון, על הלקוח לקחת חלק בתכנון תשתית הרשת.
בחירת ציוד
ללקוח תמיד יש בחירה - מערכות חומרה גדולות או קטנות. מערכות חומרה קטנות יותר עולות בדרך כלל פחות. יתר על כן, ניתן לפרוס מערכות חומרה קטנות יותר במקומות רבים כדי לתמוך בסביבה עסקית מבוזרת ויכולות להיות פחות זמן השבתה לתחזוקת מערכת, שדרוגים והגירות, מכיוון שניתן להפנות את התעבורה לשרתים אחרים שעדיין מחוברים בזמן שאחרים נתמכים.
למערכות חומרה קטנות יותר יש קיבולת מוגבלת יותר, כך שדרושות יותר. עלויות הניהול, הניהול והתחזוקה עולות ככל שמספר המכשירים במערכת עולה. יתרה מכך, מערכות חומרה קטנות יותר דורשות תחזוקה רבה יותר של המערכת מכיוון שיש יותר לתחזק ופירושו פחות עלויות ניהול קבועות בשרת.
אם עלויות הניהול הן חודשיות, בין אם פנימיות או מ-ISP, העלויות יהיו נמוכות יותר כאשר יש פחות מערכות חומרה לניהול. פחות יכול להיות גם תחזוקה קלה יותר של המערכת, שדרוגים והגירות, מכיוון שפחות מערכות נדרשות לתחזוקה של מערכת. בהתאם לפריסה שלך, עליך לתכנן את הפעולות הבאות:
- עץפרטי ספריית LDAP.
- שרת ספריות (מנהל גישה).
- שרת הודעות.
בקרת גישה חומת אש
חומת אש ממוקמת בין נתבים ושרתי יישומים כדי לספק בקרת גישה. חומות אש שימשו במקור כדי להגן על רשת מהימנה (שלך) מפני רשת לא מהימנה (האינטרנט). תצורות נתב עשויות לחסום שירותים לא רצויים (כגון NFS, NIS וכו') ולהשתמש בסינון ברמת מנות כדי לחסום תעבורה ממארחים או רשתות לא מהימנות.
בנוסף, בעת התקנת השרת בסביבה חשופה לאינטרנט או לכל רשת לא אמינה, צמצם את התקנות התוכנה למספר המינימלי של חבילות הדרושות לתמיכה ביישומים מתארחים.
השגת הקטנה בשירותים, ספריות ויישומים עוזרת לשפר את האבטחה על ידי הפחתת מספר מערכות המשנה שיש לתחזק, תוך שימוש במנגנון גמיש וניתן להרחבה כדי לצמצם, להקשיח ולהגן על מערכות.
רשת פנימית
רשימה זו כוללת קטעי פיתוח, מעבדה ובדיקה. זה משתמש בחומת אש בין כל מקטע של הרשת הפנימית כדי לסנן תעבורה כדי לספק אבטחה נוספת בין מחלקות. אתה עשוי לשקול התקנת חומת אש פנימית, לאחר שקבעת בעבר את סוג התעבורה והשירותים הפנימיים ברשת המשמשים בכל אחד מהמקטעים הללו, כדילקבוע אם זה יהיה שימושי.
מכונות ברשתות פנימיות לא אמורות לתקשר ישירות עם מכונות באינטרנט. עדיף שמכונות אלו ימנעו מתקשורת DMZ ישירה. כתוצאה מכך, השירותים הנדרשים חייבים להימצא במארחים באינטראנט. המארח באינטראנט יכול בתורו לתקשר עם המארח ב-DMZ כדי להשלים שירות (כגון דוא ל יוצא או DNS).
מכונה הדורשת גישה לאינטרנט יכולה להעביר את בקשתה לשרת פרוקסי, אשר בתורו מבצע את הבקשה בשם המחשב. ממסר אינטרנט זה עוזר להגן על המחשב שלך מכל סכנה פוטנציאלית שהוא עלול להיתקל בו. מכיוון ששרת ה-proxy מתקשר ישירות עם מחשבים באינטרנט, הוא חייב להיות ב-DMZ.
עם זאת, זה נוגד את הרצון למנוע ממכונות פנימיות להתממשק למכונות DMZ. כדי לפתור בעיה זו בעקיפין, נעשה שימוש במערכת פרוקסי כפולה. שרת ה-proxy השני, הממוקם באינטראנט, מעביר בקשות חיבור ממכונות פנימיות לשרת ה-proxy ב-DMZ.
בניית מערכות אבטחה
אבטחת תשתית הרשת היא אחד השלבים החשובים ביותר בבנייה. היא חייבת לענות על צרכי הלקוח ולספק סביבת מסרים מאובטחת, תוך שאין לה כוח על המשתמשים. בנוסף, אסטרטגיית האבטחה צריכה להיות פשוטה למדי לניהול.
אסטרטגיית אבטחה מתוחכמת יכולה להוביל לבאגים שמונעים ממשתמשים לגשת לדואר שלהם, או שהם יכולים לאפשר למשתמשיםתוקפים לא מורשים לשנות או להשיג מידע שאינך רוצה גישה אליו.
חמשת השלבים לפיתוח אסטרטגיית אבטחה כוללים:
- קביעה מה צריך להגן. לדוגמה, רשימה זו עשויה לכלול חומרה, תוכנה, נתונים, אנשים, תיעוד, תשתית רשת או מוניטין של ארגון.
- קביעה מפני מי להגן. לדוגמה, ממשתמשים לא מורשים, שולחי דואר זבל או התקפות מניעת שירות.
- הערכה של איומים אפשריים על המערכת.
- ישם אמצעים שיגנו ביעילות על הנכסים.
- תקורה נוספת להגדרת חיבור SSL, שיכולה להפחית את העומס על פריסת הודעות.
מודרניזציה של רשת לעסקים קטנים
עסקים מסתמכים יותר ויותר על תשתית רשת וחומרה אמינה וגמישה כדי להבטיח הצלחה עסקית, ולכן יש לשדרג את תשתית הרשת. עם משאבים פיננסיים מוגבלים, נוף טכנולוגי משתנה במהירות ואיומי אבטחה הולכים וגדלים, ארגונים מתמצאים חייבים להסתמך על שותפים חוזה מהימנים כדי לתמוך במחזורי החיים של סביבת ה-IT הארגונית שלהם.
בין אם ארגון צריך תשתית חדשה או פשוט צריך לקחת פלטפורמה קיימת לשלב הבא, המודרניזציה מתחילה בפיתוח השכבה הפיזית, ארכיטקטורה ארגונית יעילה ויצירת תוכנית עבודה העונה על עסקים מטרות ופותר בעיות אבטחה מתעוררות, עםשכולם מתמודדים איתם בהגדרת אסטרטגיית שירות, עיצוב, מעבר ותפעול בסביבה מאורגנת.
פעילויות ניהול תשתית רשת ארגוניות כוללות:
- שירותי הערכת ענן.
- תכנון קיבולת וביצועים.
- קונסולידציה ווירטואליזציה של מרכזי נתונים.
- Hyper Converged Integrated Solutions.
- ניהול שרת ורשת. ניהול שירותי IT, תמיכה ותוכנה.
הדרישה להפוך תהליכים קריטיים לעסקים לבטוחים ויציבים יותר, בעוד המשאבים הפיננסיים והאנושיים הופכים מוגבלים יותר ויותר, מאלצת מחלקות IT רבות להתמודד עם אתגרים חדשים בתפעול תשתית הרשת.
יש למצוא פתרונות בזמן ואפקטיבי הן ברמת האנוש והן ברמת התשתית ולהקל על המשאבים הארגוניים והאנושיים של הבעלים עצמו תוך שיפור איכות השירות ושביעות רצון הלקוחות.
