Виртуальные сети как средство решения организационных проблем.
Это происходит вовсе не потому, что нас интересуют преимущественно отечественные корпоративные заказчики, а в силу определенной закрытости офисов инофирм. Они далеко не всегда уполномочены раскрывать детали своей внутренней работы (к числу которых относится и описание информационной системы), а согласование подобных вопросов с головным офисом может длиться бесконечно. Поэтому, как только предоставляется реальная возможность описать подобный проект, мы стараемся ее использовать. С одной стороны, представительства иностранных компаний работают в тех же самых российских условиях (и нередко с достаточно ограниченным бюджетом), что уравнивает их с отечественными компаниями. С другой стороны, при решении технических задач они опираются преимущественно на корпоративные стандарты и чисто западный подход. Такое сочетание часто дает интересные результаты.
НА ВСЕХ ФРОНТАХ
Концерн DaimlerChrysler, наверно, известен нашим читателям, прежде всего, как производитель легковых автомобилей таких марок, как Jeep, Mercedes, Chrysler и др. Однако деятельность международного промышленного гиганта не ограничивается только этим направлением. Помимо престижных легковых автомобилей концерн производит «дальнобойные» грузовики и автобусы, активно работает в аэрокосмической области, а также имеет крупное подразделение, занимающееся вопросами информатизации и телекоммуникаций (причем не только для «внутреннего употребления»). Каждое направление деятельности концерна представлено крупной компанией, или даже несколькими. Все компании в силу разнообразия их деятельности работают независимо друг от друга.
DaimlerChrysler, что естественно для любой крупной корпорации, стремится развивать все свои направления деятельности в как можно большем количестве стран, в том числе и в России. Естественно, удельный вес российского рынка в общем бизнесе концерна (что характерно для подавляющего большинства иностранных компаний), по понятным причинам, не столь заметен на общемировом фоне. В соответствующей пропорции, в зависимости от масштаба бизнеса, и представлены в России различные компании, входящие в концерн. В этой ситуации решение штаб-квартиры концерна о размещении российских представительств всех входящих в него компаний (за исключением Mercedes-Benz) в одном здании представляется вполне естественным. Такой централизованный подход во всех отношениях эффективнее содержания нескольких отдельных офисов. Новое здание было в целом построено к началу этого года, и в настоящее время в нем размещаются представительства 14 компаний. При этом каждый офис фактически арендует требуемые ему площади у «большого» DaimlerChrysler в зависимости от своих потребностей и возможностей, а они, в свою очередь, определяются тем, насколько успешно идут дела. Подобный подход позволяет не тратить на содержание офисов больше необходимого, а также гибко их расширять и/или сокращать, в зависимости от ситуации.
Принцип аренды было решено распространить и на информационные и телекоммуникационные ресурсы, причем их также с самого начала предполагалось сделать централизованными, включая администрирование и техническую поддержку. Такое решение снимало необходимость включения в штат каждого представительства специалистов по ИС, а также позволяло планировать построение корпоративной системы московского представительства DaimlerChrysler исходя из общих соображений, а не из потребностей каждого офиса в отдельности.
Тендер на реализацию проекта выиграла компания Debis Systems (уже упоминавшееся интеграторское подразделение концерна), в качестве исполнителей она привлекла московскую компанию RPI (при наличии квалифицированных специалистов на месте разумнее обращаться к их услугам, чем командировать сотрудников из-за границы). Компании выполняли собственно сетевую часть проекта, кабельная система была проложена уже на этапе строительства здания. Поскольку здание строила компания из Германии, кабельная система была спроектирована подрядчиком заранее и реализована в рамках капитального строительства (что отвечает новым мировым тенденциям). Интеграторы принимали в построении СКС лишь косвенное участие, определив ряд требований к системе, исходя из нужд разрабатываемого ими проекта.
НИКАКОЙ КОММУНАЛКИ
Как уже отмечалось, основным принципом при проектировании сети здания было обеспечение возможности аренды централизованных ресурсов различными офисами с учетом того, что, несмотря на принадлежность всех арендаторов офисов в здании к одному концерну, друг от друга компании независимы. Соответственно, их интересы в целом также независимы и, в принципе, могут иногда вступать в некоторые противоречия — обычная ситуация для крупного холдинга. Впрочем, даже при отсутствии внутренней конкуренции информация, что называется, для служебного пользования, должна оставаться недоступной для посторонних. Поэтому интеграторам предстояло обеспечить закрытость информационных ресурсов различных подразделений друг от друга, с одной стороны, и их совместный доступ к централизованным ресурсам — с другой. В этой ситуации самым эффективным решением стало использование технологии виртуальных сетей, позволяющей обеспечить функционирование в рамках одной локальной сети нескольких изолированных друг от друга сетей подразделений.
В сети представительства DaimlerChrysler организованы виртуальные локальные сети (Virtual LAN, VLAN) на базе МАС-адресов рабочих мест. (Принцип их работы был описан в предыдущей публикации в данной рубрике.) Такой подход предусматривает наличие в сети таблицы соответствия МАС-адресов конечного оборудования различным VLAN и, как мы уже писали, заметно упрощает администрирование сети. Вне зависимости от того, к какой (работающей) информационной розетке она подключается, рабочая станция автоматически получает доступ именно к тем сетевым ресурсам, к которым она имеет право обращаться. Заметим, что, поскольку каждое отдельно взятое представительство в зависимости от потребностей и возможностей может сокращаться и расширяться (причем не обязательно в пределах одного этажа или секции), организация VLAN заметно упрощает процесс адаптации сети к новой ситуации. Кроме того, порой различным офисам приходится работать над совместными проектами (все-таки они входят в один концерн). В этом случае VLAN позволяют оперативно организовывать для отдельных сотрудников представительств доступ к «чужим» ресурсам и, соответственно, запрещать, когда необходимость в нем отпадает. Помимо VLAN подразделений в сети есть и VLAN по умолчанию, куда входят все станции с незарегистрированными МАС-адресами. С этих рабочих мест возможен доступ только к центральным ресурсам, серверы же рабочих групп будут для них невидимы. Кстати, несмотря на то, что на изображенной на Рисунке 1 схеме за каждым сервером рабочих групп условно закреплен один этаж, реально благодаря VLAN такого жесткого поэтажного разделения нет.
Поскольку Debis предстояло не только спроектировать сеть, но и выступить в роли локального сервис-провайдера, особое внимание было уделено надежности сети. Если компании еще могут более-менее мириться с какими-либо сбоями в своей собственной сети или, по крайней мере, сдержанно на них реагировать, то в условиях внутреннего хозрасчета они не замедлят предъявить свои претензии, в том числе и материальные.
Во-первых, все центральные устройства в сети зарезервированы — два магистральных коммутатора Cisco Catalyst 5509 дублируют друг друга. При этом дублирование организовано исходя из принципа разумной достаточности. В силу осевой симметрии здания каждый магистральный коммутатор обслуживает свое крыло и соединяется со «своими» этажными коммутаторами Catalyst 2924 по объединенным каналам Fast EtherChannel на 200 Мбит/c, резервные же каналы к «чужим» этажным коммутаторам имеют пропускную способность 100 Мбит/с (на схеме они не отражены). Завершая тему каналов, отметим, что магистральные коммутаторы связывает объединенный канал на 2 Гбит/с.
Во-вторых, в ядре системы применено отказоустойчивое решение. Центральные информационные ресурсы размещаются на кластере из двух серверов Compaq ProLiant под управлением Windows NT 4.0 Enterprise Edition. Центральная серверная комната защищается от перебоев в электропитании с помощью ИБП APC Symmetra. Хранящиеся на сервере данные регулярно копируются на ленты DLT при помощи ПО BackupExec.
Кластер обслуживает все централизованные приложения, в том числе сервер базы данных (Microsoft SQL Server) и почтовый сервер (Lotus Domino), а также обеспечивает доступ к общим файлам. Помимо этого, на кластере работает сервер Microsoft SMS. В центральной серверной комнате находится также UNIX-сервер на базе Compaq ProLiant с ОС FreeBSD. Как можно догадаться, основной задачей этого сервера является обслуживание сервисов, связанных с работой в Internet. Защита от несанкционированного проникновения в сеть извне обеспечивается межсетевым экраном Check Point Firewall-1, а также выделением «интернетовского» сегмента локальной сети в отдельную VLAN.
Выход в Internet организован по двум каналам — через корпоративную сеть концерна и через локального провайдера. Выход в глобальные сети обеспечивается Debis, поскольку компания работает и как сервис-провайдер, в частности обслуживает корпоративную сеть концерна. Доступ к корпоративной сети осуществляется через мультисервисный маршрутизатор Cisco 3810 по каналу на 256 Кбит/c. Благодаря конвергенции трафика этот канал обеспечивает взаимодействие как информационных, так и телефонных систем в корпоративной сети и московском представительстве.
Телефонная сеть представительства базируется на УАТС Siemens Hicom (корпоративный стандарт). При этом мониторинг УАТС и ее администрирование осуществляются из головного офиса концерна. Стоит отметить, что в представительстве широко используется DECT: по сути, все телефонные аппараты в сети, за исключением некоторого количества системных аппаратов, — беспроводные. Учитывая, что вопросы администрирования телефонной системы решаются преимущественно удаленно, использование беспроводных аппаратов упрощает процесс переезда сотрудников в пределах офиса, так как абоненты не привязаны к конкретным розеткам. Таким образом, с точки зрения как информационной системы, так и телефонной сети переезды сотрудников внутри здания на новое место происходят совершенно прозрачно. Иными словами, получив однажды «прописку» в корпоративной системе, сотрудник не должен будет в ней больше перерегистрироваться. А учитывая, что ресурсы в данном случае «чужие», т. е. арендуются у сторонней организации, это выгодно вдвойне, так как позволяет свести взаимодействие пользователей и технических специалистов к минимуму (оно ограничивается преимущественно обсуждением предоставляемых сервисов).
ЗАКЛЮЧЕНИЕ
Поскольку отбор материала для конкретного выпуска рубрики в немалой степени зависит от открытости информации и возможности оперативно решать организационные вопросы, мы не всегда вольны в выборе технической стороны проекта. Поэтому мы в силу обстоятельств второй раз подряд обращаемся к тематике виртуальных сетей (и схожей технологии реализации VLAN), но, заметим, в совершенно других условиях. Как видим, виртуальные сети могут эффективно применяться и в условиях не очень крупных, даже по российским меркам (350 рабочих мест), офисов.
Кроме того, внимания заслуживает и концепция покупки/продажи информационных услуг. Такой подход упорядочивает взаимоотношения отдела ИС и обслуживаемых им многочисленных подразделений, а также упрощает оценку реальной потребности в информационных и телекоммуникационных ресурсах и контроль их использования. Не стоит, однако, забывать, что подобный подход будет эффективен только при наличии соответствующих технических решений, как, например, в рассмотренном случае, когда поддержка системы обеспечивается минимальными силами, поскольку многие рутинные задачи решаются «сами собой».
Александр Авдуевский — обозреватель LAN. C ним можно связаться по адресу: shura@lanmag.ru.
В двух словах: DAIMLERCHRYSLER
Представительство DaimlerChrysler
Москва, Большая Ордынка, д. 40, стр. 2
Факты. Представительство концерна DaimlerChrysler объединяет в своем здании офисы нескольких входящих в него компаний. Офисы функционируют независимо друг от друга, арендуя у концерна все необходимые ресурсы здания. Принцип аренды был распространен и на информационные и телекоммуникационные ресурсы представительства.
Задача. Перед ответственным за построение и эксплуатацию корпоративной системы подразделением встала задача выбора такого решения, чтобы принцип аренды централизованных ресурсов не вступал в противоречие с обеспечением должной защиты информационных подсистем офисов, а также надежности системы в целом. Кроме того, процедуру адаптации сети в соответствии с потребностями нескольких компаний и изменяющимися условиями аренды ими помещений желательно было сделать максимально простой.
Решение. Реализация в сети механизма VLAN на базе МАС-адресов позволила добиться как изоляции друг от друга информационных ресурсов различных офисов, так и необходимой гибкости сети при перемещении рабочих мест. Резервирование основных сетевых ресурсов и использование кластерных технологий позволили обеспечить необходимые при коммерческом предоставлении услуг гарантии бесперебойной работы системы. Внедрение в телефонную систему технологии DECT упростило задачу ее администрирования и свело к минимуму необходимость внесения изменений в ее конфигурацию при перемещении рабочих мест.
Выводы. Как можно видеть, технологии VLAN находят применение и в характерных для российского рынка сетях среднего масштаба. Кроме того, освобождение пользователей от жесткой привязки к портам (розеткам) благодаря применению комбинации соответствующих технических средств, в данном случае — VLAN и DECT, наглядно демонстрирует возможность значительного повышения адаптируемости корпоративной среды к организационным переменам и, в результате, существенной разгрузки технических служб.