Как сделать корпоративную сеть

Добавил пользователь Дмитрий К.
Обновлено: 05.10.2024

Теперь определимся, что мы хотим сделать.

объединить все компьютеры в локальную сеть (LAN);
организовать печать со всех рабочих мест на сетевой принтер;
подключить и настроить Интернет - канал;
организовать доступ в Интернет со всех компьютеров локальной сети.;
защитить локальную сеть от внешних вторжений;
установить и настроить сетевые сервисы: WEB-сервер, почтовый сервер, файловый, FTP, прокси и т.д.;
организовать удаленный модемный доступ к офисной сети из дома с возможностью использования офисного интернет-канала

Теперь приступим к проектированию структуры сети.

Поставленую задачу построения простой локальной сети мы будем решать на базе стека (набора) протоколов TCP/IP.

Сначала выберем диапазон IP адресов для нашей локальной сети. Остановимся на зарезервированных для использования в частных сетях адресах: 192.168.0.0-192.168.255.255. Для нашей локальной сети используем адресацию 192.168.20.0/24, где "/24" - сокращенная форма записи маски подсети 255.255.255.0. В каждой такой сети (класса "С") может использоваться до 254 уникальных хостов, чего нам вполне достаточно. Постоянный ip адрес (195.34.10.134) в сети интернет нам по условию задачи предоставлен провайдером.

В простом случае наша сеть может иметь следующую топологию:

Как видно из рисунка 1, большая часть сетевых сервисов размещена на одном компьютере, который через один сетевой интерфейс подключен к сети интернет, через другой - к локальной сети офиса, а через модемное соединение - к домашнему компьютеру. Каждому сетевому интерфейсу этого компьютера соответствует свой ip адрес: 195.34.10.134 - в сети интернет, 192.168.20.1 - в локальной сети, 192.168.40.1 - при удаленном соединении. Таким образом этот компьютер выполняет роль и маршрутизатора и файерволла и серверов: web, почтового, базы данных и пр. (Маршрутизатор - в нашем случае играет роль шлюза в Интернет. Вы можете спросить: нафиг он нужен, чем занимается? Отвечу как чайник: маршрутзатор занимается маршрутизацией. пакетов между подсетями, но в нашем случае он будет просто "раздавать" Интернет всем компьютерам в нашей локальной сети). Но такая структура имеет недостатки: во-первых, опасно "класть все яйца в одну корзину" (такая сеть весьма уязвима для атак и не очень надежна - проигравший теряет все), во-вторых, в ней не оптимально распределяется нагрузка, а в-третьих, ее неудобно администрировать - любой сбой или неисправность основного сервера практически полностью парализует работу всей локальной сети. Несмотря на недостаки этого варианта, мы в дальнейшем в основном будем использовать именно его, т.к. мы здесь рассматриваем самые простые и дешевые решения для маленьких контор и дома. Следующие две схемы приведены лишь для ознакомления, и в них можно не вникать.

Теперь немного изменим топологию сети, чтобы устранить часть недостатков (см. рис.2).

Здесь маршрутизатор выполняет только роль шлюза в интернет и файерволла, а сетевые сервисы размещены внутри локальной сети, в идеале - каждый на отдельном компьютере. Теперь выход из строя одного сервера не парализует другие. Но в этой сетевой топологии тоже имеется недостаток: рабочие станции и серверы находятся в одном и том же сегменте сети, что потенциально снижает ее надежность и производительность.

Поэтому, может быть, будет лучше интернет-серверы выделить в отдельный сегмент (см. рис.3).

В этом случае локальная сеть находится в одном сегменте сети, а интернет-серверы - в другом.

Могут быть и другие топологии локальной сети, все зависит от конкретных целей и условий, но для упрощения задачи мы остановимся на первой сетевой топологии (Рис.1), несмотря на ее недостатки, т.к. для экспериментов - это не принципиально.

Теперь пришло время подумать на каком оборудовании и программном обеспечении (ПО) следует реализовать нашу простую локальную сеть. Конкретные реализации будут описаны в следующих статьях, здесь же затронем общие вопросы.

Прошло то время, когда руководство компаний могло не задумываться о легальности устанавливаемых программ. Сейчас нарушения в области авторских прав относятся к тяжким преступлениям, поэтому от греха подальше (с целью минимизации рисков) будем рассматривать только лицензионное программное обеспечение. Оптимизация затрат при переходе на лицензионные программы для маленьких организаций будут рассмотренны в отдельной статье 146УК (шутка :)))).

В качестве шлюза в Интернет можно использовать:

компьютер с Windows (дорогое решение);
компьютер с FreeBSD/Linux;
аппаратный роутер (самое простое и дешевое решение - от 50$).

От некоторых крутых гуру, работающих в крупных организациях, скорее всего услышите рекомендацию на сервер поставить MS Windows 2003 Server, на него поставить ISA (для организации Интернет доступа), почтовый сервер MS Exchange, на клиентские компьютеры поставить Windows XP Pro и завести их в домен, а 1С использовать в терминальном режиме.

В принципе это функционально оптимальный вариант. для крупных организаций, но мы то не монстры, мы - маленькая конторка на 3-10 ПК. Посчитайте по прайс-листу партнеров Microsoft во сколько тысяч (десятков тысяч) долларов вам обойдется такое решение. Поэтому в следующих статьях будут рассматриваться в основном дешевые варианты, где на сервере (шлюзе) будут использоваться бесплатные FreeBSD или Linux, а на клиентских машинах Windows XP HomeEdition (или Professional). а то и Linux Ubuntu.

КОММЕНТАРИИ К СТАТЬЕ:

Статья изложена доступным для восприятия языком.
Спасибо автору за лаконичность изложения!
Поэтому перехожу к чтению следующей.

Для организации корпоративных сетей в компаниях, имеющих удаленные подразделения либо удаленных сотрудников, IT-специалисты все чаще применяют технологию VPN. Этот метод создания сетевой связи поверх других сетей отличается доступной стоимостью и относительной простой технической реализацией. Именно простота и доступность привлекают владельцев бизнеса, предприятий и других организаций — развернуть VPN можно силами сотрудников, не привлекая специалистов на аутсорсе.

Что такое корпоративная локальная сеть

Компьютерная сеть компании, которая служит для выполнения рабочих задач (обмен файлами, подключение к принтерам и другому сетевому оборудованию и так далее), является корпоративной локальной сетью. Она обеспечивает надежную связь между всеми компьютерами организации, которые могут находиться в одном здании, либо располагаться на значительном удалении друг от друга, если компания работает в удаленном режиме.

Но у технологии LAN есть существенный минус: по этому стандарту нельзя построить сеть с участием удаленных компьютеров. Для решения задачи придется подключать систему к кабельному или Wi-Fi интернет-соединению, что снижает уровень безопасности при передаче данных. К тому же, оборудование для построения LAN стоит дорого.

Технология VPN (Virtual Private Network) применяется для построения виртуальных защищенных сетей, которые существуют над сетями. Стоимость организации корпоративной сети предприятия по стандарту VPN почти в три раза ниже, чем LAN. При этом удаленность подключаемых компьютеров друг от друга и их количество не играют роли: стандарт VPN позволяет включить в работу столько техники, сколько потребуется.

Основные преимущества и недостатки VPN

Если сотрудники организации часто отправляются в командировки или работают на дому, сеть VPN является оптимальным вариантом организации внутрикорпоративного взаимодействия. Преимущества VPN-сервисов:

Шифрование обеспечивает безопасную передачу информации через интернет в обход основных угроз.
При использовании технологии VPN переписка пользователей становится недоступной для хакеров.

Качественные программные продукты для организации VPN-каналов предлагают, по сути, две компании: OpenVPN и WireGuard.

OpenVPN — мультиплатформенный, с гибкими настройками, бесплатный VPN-сервер с открытым исходным кодом. В определенном смысле стал стандартом для организации доступа к внутренним корпоративным сетям. OpenVPN позволяет:

Проводить сертификатную аутентификацию пользователей.
Создавать приватные point-to-point ключи.
Использовать подключаемые модули обеспечивающие проверку логина/пароля во внешних системах, такие как PAM.
Определять статическую маршрутизацию от клиентов к серверу и от сервера к клиентам.

WireGuard — продукт, разработанный канадским специалистом по информационной безопасности Джейсоном Доненфелдом. Это простое в использовании и высокопроизводительное VPN-решение с проработанной спецификацией, в котором применяется современная криптография типа Noise protocol framework, Curve25519, ChaCha20, Poly1305, BLAKE2, SipHash24, HKDF.

Конечно, у VPN есть и недостатки:

Скорость передачи данных может быть недостаточно высокой для обмена большими объемами информации.
Существует много протоколов шифрования, и сложно определить, какой из них подходит оптимально для обеспечения безопасности вашей корпоративной сети. Обратитесь к опыту похожих компаний, в том числе конкурентов. Внимательно ознакомьтесь с открытыми кейсами. Обратитесь к специалистам, которые сориентируют вас на рынке.
Организации, которые занимаются внедрение таких сетей стараются экономить деньги пользователей, но надежные сервисы VPN никогда не бывают бесплатными или совсем дешевыми. Будьте начеку, если видите цену существенно ниже рынка.

Архитектура корпоративных сетей: варианты построения VPN

Привычные варианты топологии для корпоративных сетей типа LAN — звезда (наиболее популярный вариант), шина и кольцо. Для технологии VPN тоже есть свои варианты архитектуры построения сети:

Особенности обеспечения безопасности

Создание безопасной среды на основе VPN происходит тремя способами: шифрование данных, подтверждение подлинности данных и использование аутентификации пользователей для контроля доступа к информации в сети. Наиболее известные протоколы — AES (AES128 и AES256), DES и Triple DES.

Для обеспечения повышенного уровня безопасности применяют протоколы, которые формируют туннель для обмена данными между начальным и конечным пользователями, и обеспечивают надежное шифрование пересылаемой информации внутри тоннеля.

Подтверждение подлинности требуется для того, чтобы убедиться в целостности и неизменности данных с момента отправки до момента получения конечным пользователем. Целостность файлов проверяют с помощью специальных алгоритмов. Для контроля доступа применяются стандартные процедуры авторизации через пароль и логин, а также более сложные варианты, например, сертификаты подлинности.

Если вы приняли решение об использовании технологии VPN для построения корпоративной сети, действуйте следующим образом:

Составьте базовый список требований к системе: количество машин, объемы трафика между ними, тип передаваемых данных, желаемая скорость соединения и т. д.
Оформите техническое задание на основе этих требований.
Возьмите в штат толкового системного администратора — его квалификации должно хватить для решения этой задачи.
Установите VPN и обязательно проверьте сеть на прочность. Здесь можно прибегнуть к помощи ваши сотрудников или найти исследователя со стороны (к примеру, на Хабре). Пусть они попробуют перехватить данные из вашей сети.

Установите VPN и обязательно проверьте сеть на прочность. Здесь можно прибегнуть к помощи ваши сотрудников или найти исследователя со стороны (к примеру, на Хабре). Пусть они попробуют перехватить данные из вашей сети.

Корпоративная сеть — кровеносная система компании. В ней циркулируют документы, информация о контрагентах, договоры, личные дела сотрудников и много других данных, потеря или кража которых может обернуться самыми серьезными финансовыми и репутационными потерями. Одно неосторожное подключение к публичному вайфаю иногда заканчивается многомиллионными убытками — помните об этом, когда будете решать достаточна ли защита вашей корпоративной сети.

Если Вы столкнулись с необходимостью создания домашней локальной сети или сети для малого офиса, но не обладаете для этого достаточными навыками и знаниями, тогда этот материал для Вас. Вам нужно будет проделать всего 5 шагов, после которых Вы научитесь настраивать локальную сеть для дома и малого офиса.

Данный материал составлен в виде пошаговой инструкции с иллюстрациями. Всё, что от Вас требуется, это следовать данной инструкции.

Мы рассмотрим 5 шагов, по построению локальной сети в офисе или дома.

Шаг 1. Cетевое оборудование необходимое для построения локальной сети.

Для построения локальной сети между компьютерами нам необходимо иметь:

Коммутатор (switch) или маршрутизатор (router);
Кабель витая пара (патч корд);
Наличие сетевой платы на каждом компьютере (сейчас каждый компьютер оснащён встроенной сетевой платой);

Коммутатор (switch) D-Link DES-1008A


Вид спереди	Вид сзади

Кабель витая пара

Сетевая плата (справа на рисунке изображена встроенная сетевая плата)

Теперь осталось все компьютеры соединить с коммутатором или маршрутизатором с помощью кабеля витая пара.

Подключаем один конец кабеля (витая пара) в сетевую плату компьютера, а другой в коммутатор (switch) или маршрутизатор (router).

И так со всеми компьютерами, которые будут подключены в локальную сеть.

Схема подключения компьютеров в локальной сети

Шаг 2. Настройка IP-адреса, Имени компьютера и Рабочей группы

Заходим в меню Пуск > Панель управления > Сетевые подключения, щёлкаем правой кнопкой мыши по значку Подключение по локальной сети, затем жмём Свойства. В списке компонентов выделяем Протокол Интернета (TCP/IP) и ниже нажимаем на кнопку Свойства.

В окне Свойства: Протокол Интернета (TCP/IP) ставим галочку Использовать следующий IP-адрес и прописываем следующие данные:

IP-адрес: 192.168.1.2
Маска подсети: 255.255.255.0

IP-адреса 192.168.1.1 и 192.168.0.1 желательно не использовать, так как используется сетевыми устройствами

Для тех, кто использует в построении локальной сети маршрутизатор (роутер) для выхода в интернет, нужно указать "Основной шлюз" и "Адреса DNS-серверов" (обычно это IP-адрес самого маршрутизатора). Для обеспечения работы интернета.
Кто использует маршрутизатор (роутер) с включенным DHCP-сервером, могут не прописывать IP-адреса, нужно поставить галочку "Получать IP-адрес автоматически". IP-адреса будут назначаться DHCP-сервером.

После того, как ввели "IP-адрес" и "Маску подсети", жмём на кнопку ОК, затем Закрыть.

ПРИМЕЧАНИЕ: IP-адрес каждого компьютера, должен быть отличный от другого компьютера! Если у первого компьютера IP-адрес 192.168.1.2, то у второго должен быть 192.168.1.3 и т.д., но не более 254.

Имя компьютера и Рабочая группа

Теперь нам нужно указать Имя компьютера и Рабочую группу. Для этого в Панели управления дважды щёлкаем на значке Система, переходим во вкладку Имя компьютера и нажимаем на кнопку Изменить.

В строке Имя компьютера при необходимости изменить имя компьютера. У каждого компьютера в локальной сети, должно быть уникальное имя, т.е. не должно повторяться. В моём случае, имя первого компьютера comp-1, следующий компьютер будет comp-2, comp-3, comp-4 и т.д. Так же нужно указать Рабочую группу, в моём случае HOME.

У всех компьютеров в вашей локальной сети должна быть, одинаковая Рабочая группа!

После того, как Вы указали имя компьютера и рабочую группу жмём ОК. Вам будет предложено перезагрузить компьютер, чтобы внесённые изменения вступили в силу. Соглашаемся и перезагружаем компьютер. Эту процедуру нужно проделать со всеми компьютерами в локальной сети.

Параметры локальной сети компьютеров, должны выглядеть так:

Первый компьютер	Второй компьютер	Третий компьютер

IP-адрес: 192.168.1.2 Маска подсети: 255.255.255.0 Имя компьютера: comp-1 Рабочая группа: HOME	IP-адрес: 192.168.1.3 Маска подсети: 255.255.255.0 Имя компьютера: comp-2 Рабочая группа: HOME	IP-адрес: 192.168.1.4 Маска подсети: 255.255.255.0 Имя компьютера: comp-3 Рабочая группа: HOME

Теперь Вы можете просмотреть компьютеры в вашей локальной сети. Для этого, дважды нажмите на значок Сетевое окружение на Рабочем столе, затем слева в панели навигации нажимаем Отобразить компьютеры рабочей группы. Справа отобразятся компьютеры локальной сети, входящие в вашу рабочую группу.

Шаг 3. Настройка прав доступа и безопасность

Компьютеры в локальной сети видны, но вот доступа к ним пока ещё нет. Если дважды щелкнуть на любом из компьютеров в локальной сети, откроется окошко Подключение к comp-n (n - номер компьютера) с предложением ввести имя пользователя и пароль.

Это из-за того, что на компьютерах отключена учётная запись Гость и не настроены права доступа. Осталось настроить права доступа и включить гостевую учётную запись.

Осталось настроить права доступа к компьютеру из локальной сети.

Заходим Пуск > Панель управления > Администрирование > Локальная политика безопасности. В левом меню открываем Локальные политики > Назначение прав пользователя

Затем в правом окне, дважды щёлкаем по политике Отказ в доступе к компьютеру из сети и удаляем учётную запись Гость. Вот и всё. Если теперь открыть Сетевое окружение и дважды щёлкнуть на любом компьютере, Вы сможете просмотреть общие ресурсы этого компьютера.

Шаг 4. Настройка общего доступа к папкам и файлам

Наша локальная сеть работает, осталось открыть общий доступ к нужным файлам и папкам, для общего пользования из локальной сети.

Для этого щёлкаем правой кнопкой по нужной папке (в моём случае папка Договора) и выбираем Общий доступ и безопасность

Далее переходим во вкладку Доступ и ставим галочку Открыть общий доступ к этой папке и Разрешить изменение файлов по сети, если это требуется.

Таким образом, вы можете предоставить общий доступ к папкам на любом компьютере.

Шаг 5. Общий доступ к локальному принтеру

Мы подошли к последнему шагу. Осталось предоставить Общий доступ для принтера, подключенного к одному из компьютеров (в моём случае comp-1).

Общий доступ к принтеру даст Вам возможность, печатать со всех компьютеров в локальной сети на один принтер.

Для того, чтобы открыть Общий доступ к локальному принтеру, заходим в меню Пуск - Панель управления - Принтеры и Факсы, щёлкаем правой кнопкой на нашем принтере, из контекстного меню выбираем Общий доступ.

В открывшемся окне, ставим галочку Общий доступ к данному принтеру и жмём ОК. Так же можете ввести сетевое имя принтера, либо оставить по умолчанию.

Теперь этот принтер можно подключить к любому компьютеру в локальной сети. Что мы и сделаем.

Заходим в Сетевое окружение, дважды жмём на компьютере к которому подключён принтер (в моём случае comp-1), затем правой кнопкой на принтере и выбираем Подключить.

В следующем окне, где нас предупреждают о том, что будут автоматически установлены драйвера на наш компьютер жмём Да.

То же самое нужно проделать со всеми компьютерами в локальной сети, к которым необходимо подключить принтер.

Наш принтер готов к работе и Вы можете печатать из локальной сети.

На этом базовая настройка локальной сети закончена. Теперь Вы можете обмениваться файлами в локальной сети, пользоваться одним общим принтером.

Многие начинающие предприниматели задаются вопросом, нужна ли локальная сеть малому бизнесу? Оправдывает ли трата средств на покупку компьютерного оборудования, заработную плату персоналу и оплату лицензионного программного обеспечения? Одна из первоочередных задач, стоящих перед руководителем, заключается в постановке целей. Важно понимать, что нужды малого и среднего бизнеса кардинально отличаются от потребностей корпорации. Обычно то, что необходимо крупной компании, не уместно в среднем и малом бизнесе. Если рассматривать ООО, в которой всего один сотрудник – генеральный директор, то потребность в локальной сети фактически сразу отпадает.

Бухгалтерский учет, как правило, ведет нанятый бухгалтер со своим компьютером и программным обеспечением. У такого директора вовсе может не быть компьютера, не говоря уже о специальном софте. Компьютерная сеть – это не только оборудование, но и программное обеспечение, штатные сотрудники, занимающиеся эксплуатацией данной сети. Вопрос касательно организации компьютерной сети возникает преимущественно по причине дороговизны оборудования и программного обеспечения. Есть ли способы снизить расходы и избавиться от нежелательных трат, но при этом организовать надежную и эффективную инфраструктуру?

Зачем нужна локальная сеть малому бизнесу

Компьютеры стали неотъемлемой частью жизни человека. Сегодня они нужны и для ведения какой-либо деятельности. Локальная сеть фактически означает соединение всех устройств, находящихся в офисе, в единое целое. Несомненным преимуществом сети считается значительная экономия времени. Локальная сеть необходима каждой небольшой компании. На практике доказано, что она не только снижает временные затраты, но и существенно облегчает труд штатных сотрудников, помогает руководителям контролировать рабочий процесс, соответственно, быть в курсе всех проблем и успехов компании.

За счет сети IT-специалист сможет установить на всех устройствах систему мониторинга сотрудников. Руководителю, заинтересованному в эффективной и продуктивной работе персонала, просто необходимы средства, с помощью которых можно отслеживать уровень концентрации работников на своих должностных обязанностях.

Что понадобится для создания такой сети

Создать, а после поддерживать работоспособное состояние сети можно, подойдя к комплексному решению трех основных проблем – покупка подходящего, полностью исправного оборудования, качественного лицензированного программного обеспечения, поиск квалифицированного и подготовленного персонала. Нельзя компенсировать недостатки в квалификации и подготовки персонала качественным оборудованием и наоборот. Необходимо только улучшать инфраструктуру, не точечно, а комплексно. Но для начала, естественно, её необходимо создать.

Все начинается с проектировки локальной сети, а именно создания структурной схемы. В схеме нужно указать все сетевые устройства, необходимые для построения ЛВС. Обычно это вычислительные машины, серверы, маршрутизаторы, коммутаторы, периферийные устройства и прочее. После чего составляют проект локальной сети. Один из важных и ответственных этапов, от которого зависит последующая стабильность и надежность всей инфраструктуры предприятия. Ошибки в проектировании могут стоить слишком дорого, поэтому за помощью организации ЛВС зачастую обращаются к профессионалам.

Проектирование стоит начинать с выбора помещения под нужды серверной комнаты. Необходимо указать сетевые розетки, расположение компьютеров, принтеров, роутеров и другого оборудования. Розетку следует нумеровать двумя цифрами через точку:

первая цифра – номер кабинет;
вторая цифра – номер розетки.

После чего высчитывают длину необходимого кабеля в соответствии с расстоянием между каждой розеткой и серверной комнатой. Сильно упрощает процесс прокладывания кабеля и дальнейшую жизнь в целом специальный кабельный журнал. Начав его заполнение еще на этапе планирования, в будущем не возникнет проблем с поиском и устранением места обрыва кабеля или организацией быстрого переезда. Под рукой должны быть необходимые инструменты и средства монтажа: отвертки, кусачки, изоляционная лента, нож и прочее.

Настройка компьютерной сети/инфраструктуры

Что касается программной части, то можно использовать как операционные системы с открытым, так и закрытым кодом. Многие фирмы остановили свой выбор на Linux. Эту систему можно установить и на сервер, и на компьютер, она расходует значительно меньше ресурсов, легка в обслуживании и обновлении, к ней с завидной регулярностью пишется программное обеспечение передовыми разработчиками. После того, как кабели и машины с необходимым ПО установлены, потребуется настройка, которая включает:

установку параметров интернет-подключения;
настройку параметров маршрутизатора;
создание беспроводного информационного пространства с учетом мер предосторожности (имя пользователя, пароль, тип шифрования);
настройка DHCP.

На чем не стоит экономить – средствах защиты (антивирус) и основных приложениях, на которых фактически построена работа компании, к примеру, это может быть 1C: Бухгалтерия. Не рекомендуем устанавливать программы неизвестного происхождения, не имеющие лицензию. В противном случае это не только создаст угрозу вирусного заражения, взлома и кражи важной информации, удаления данных и всего программного обеспечения, но и может стать причиной возникновения проблем с законодательством. Системные администраторы должны хорошо ориентироваться в принципе организации, работы и поддержки инфраструктуры. Хотя с этой целью организации-заказчики сегодня все чаще пользуются IT-аутсорсингом.

Читайте также: