ВЯЧЕСЛАВ КАЛОШИН
Планируем переезд сети
Переезд – это не только головная боль, но и два-три вусмерть уставших сисадмина...
Создание сети сродни волшебству. В самом начале на взгляд непосвященного у вас будет лишь куча коробок с запакованными железками. Затем эти железки будут расставляться, включаться, вы будете с таинственным видом всматриваться в мигающие огоньки и священнодействовать, производя непонятные пассы руками и произнося магические заклинания. И потом симпатичные секретарши будут шептаться между собой, вспоминая, что делал этот приличный с виду человек у них под столом…
Мне недавно повезло: довелось поучаствовать в создании сети с нуля на два офиса для фирмы в 300 человек. После привлечения всех необходимых доказательств о невозможности переезда «просто так», был дан карт-бланш на производимые работы и покупку необходимого оборудования. В этой статье я хочу поделиться тем, как происходил весь процесс. Я намеренно опущу название фирмы, подвергшейся моему «консультантству», не буду рекламировать фирму-поставщика СКС и телефонной станции. В общем, кто знает, тот догадается. А кто не знает, тому ничего не поможет…
Этап первый. И что мы будем с этим делать?
На тот момент вся фирма ютилась в небольших комнатах рядом с арендуемым складом. Было тесно, душно и неудобно перед клиентами. Наконец размер финансовых запасов совпал с амбициями директора по размещению и был назначен переезд. Переезд работников предполагался в строящийся бизнес-центр. Одновременно на окраине города снималось просторное помещение под склад. Переезд должен осуществиться с минимальными потерями во времени. Таковы простые условия, поставленные нам директором.
С трудом утихомирив радость местного сисадмина по поводу переезда («Наконец-то я выкину эти каджуны!» – кто знает, тот понимает, для остальных поясню: речь идет о Lucent Cajun), я усадил его и спросил о том, что будет переезжать и куда. Если на вопрос про список техники, которая подвергнется переезду, он ответил довольно бодро, то на вопрос про место переезда он не смог ничего внятно сказать. Пришлось сесть и накидать небольшой план по работам, которые необходимо выполнить до изучения прайсов. План получился примерно таким:
- Из чего состоит компьютерная и телефонная сеть фирмы сейчас?
- Что поедет в бизнес-центр, а что – на склад?
- Как будет сделана сеть в бизнес-центре и как – на складе?
- Как центр и склад будут связаны между собой?
- Как будет происходить процесс переезда?
Вроде бы план небольшой, а разобраться по пунктам оказалось довольно тяжело.
Этап второй. «Я знаю, здесь будет город-сад»
Первая проблема, которая возникла перед нами – это утвержденный план размещения, в котором никак не просматривалось «уголка сисадмина». Проблема решилась простым походом к директору, выдиранием плана из его рук и отметкой на этом плане желаемого места размещения. Попутно скорректировали схему электропитания и кондиционирования для этого помещения. После тщательного разъяснения важности и нужности всех изменений директор схватил трубку и, используя местные идиоматические выражения, утвердил все изменения. Кто сказал, что сисадминов не любят? Вы просто не умеете их готовить!
Вторая проблема – кто все это будет делать? На фирме 300 сотрудников, их обслуживают 2 человека. Бизнес-центр предоставляет только помещение и вход электричества, Интернета и телефонов. Развести сеть на 300 человек за требуемое время мы не успевали, поэтому решили воспользоваться услугами одной из компаний-системных интеграторов. На пару устроили «кастинг» фирмам. Приезжали менеджеры в дорогих пиджаках и предлагали сделать так, что все будет просто красиво. К счастью, у меня уже есть опыт подобного общения, поэтому менеджерам после красивых речей и заверений вручался этажный план здания с указанием отделов, серверной и точек подключения сотрудников, и они разворачивались с напутствием через недельку подготовить план сети и спецификацию оборудования с ценами.
Видимо, их всех выращивают в одном инкубаторе, потому что планы различались в таких незначительных деталях, что даже неинтересно было сравнивать. Не подумайте, что я хвастаюсь, но базируясь на тех данных, которые мы им выдали, я нарисовал чуть более симпатичную схему сети. Выбрали трех наиболее приглянувшихся поставщиков, попросили скорректировать схему сети так, как надо нам (к примеру, я выделил бухгалтерию и начальство с замами в отдельные сетки и увеличил число розеток из расчета 3 розетки на 2 человека) и предоставить окончательные предложения с графиком и спецификациями. Тут один из поставщиков хмыкая, начал рассказывать о том, что «это неправильно, так не делают и вообще, как-то неинтересно», за что с удивлением был послан ни с чем. Два других с радостью вгрызлись зубами в предложенное. Наконец необходимые экскурсии в проходящий отделку бизнес-центр и на склад, крики «Вы нас разорите!» и прочее полагающееся были пройдены. (Запомните: если вы согласитесь с ценами сразу же, вы кровно обидите другую сторону. Вас будут считать за ламера и все остальное пойдет под этим знаком. Доставьте удовольствие людям, сторгуйте хотя бы 5%. В общем, как на восточном базаре.) Итак, у нас на руках были два проекта будущей сети, которые мы вручили директору. Там пошли уже другие переговоры, не касающиеся нас. В общем, через неделю в бизнес-центре появились ребята в синих спецовках и начали «согласно вновь утвержденному плану» делать СКС.
Этап третий. «Кто куда, а мы к зайцам»
Этап этот оказался самым сложным и нудным. Нудным – из-за того, что пришлось обойти весь офис и выяснить, кто куда ходит, у кого какой внутренний номер телефона и так далее. А сложным – из-за того, что требовалось определить будущую политику безопасности и адресный план сети.
Было решено следующее: берется подсеть в диапазоне 10. и разбивается на 5 диапазонов. Первый диапазон – шеф и его замы. Могут видеть всех, заходить на любые ресурсы сети, кроме управления сетевым оборудованием. Во время работы в Интернете доступ к внутренним ресурсам заблокирован. Второй диапазон – сисадмины и программисты. Разрешен доступ до всего сетевого оборудования, в Интернет и к другим подсетям. Третий диапазон – бухгалтерия. Разрешен доступ только к бухгалтерскому серверу. Четвертый диапазон – секретарши, менеджеры и прочий офисный люд. Доступ в Интернет – только http через прокси, вырезающий баннеры и прочую мерзость. Пятый диапазон – интернетчики. Здесь сидят рекламщики и прочие люди, которым Интернет необходим для работы, сюда же попадают боссы, когда захотят воспользоваться Интернетом. А также заведен отдельный компьютер из бухгалтерии – бухгалтеры тоже люди и лишать их доступа к anekdot.ru плохо. Доступа из этой подсети в другие подсети нет. Все сервера, кроме бухгалтерского, располагаются в админской подсети.
Все адреса выдаются DHCP-сервером согласно МАС-адресам сетевых карт компьютеров. В VIP-зонах МАС- и IP-адреса прикреплены к портам соответствующего коммутатора. Доступ с этих портов другим адресам запрещен средствами ОС коммутатора. В других зонах неизвестным МАС-адресам выдаются IP-адреса из зоны, которая заблокирована на роутерах. Таким образом, друг менеджера (партнер или еще кто), который принес свой ноутбук и включился в сеть, с очень большой вероятностью не сможет без помощи администратора воспользоваться ресурсами сети.
Смену VIP-клиентам адреса при выходе в Интернет cделали просто. Им на десктоп ложится иконка, кликнув по которой, они поднимают VPN-соединение с «интернетовской» подсетью. Одновременно по факту поднятия VPN-соединения на коммутаторе поднимаются дополнительные правила, которые разрешают машине из VIP-зоны обмениваться пакетами только с VPN-сервером. На VPN-сервере стоят дополнительные правила, которые блокируют любые пакеты на опасные порты вроде 139-го и пакеты, используемые наиболее популярными атаками. В общем, дешево и сердито. Боссы пользуются Интернетом, а подростки, обчитавшиеся «Хакера», «пощупать» или достать их не смогут.
Разрисовали на этажном плане ареалы подсетей, распределили VLAN по портам коммутаторов, мысленно все проверили несколько раз и повесили получившийся плакат на стенку для консультаций.
Теперь пора обратить свои взгляды к телефонии. В старом здании была станция, которая могла обслужить 100 внутренних номеров и расширяться дальше не умела. А директору хотелось поставить каждому сотруднику по телефонному аппарату. Значит надо рисовать схему распределения телефонных номеров. Задача осложнялась тем, что не хотелось лишать сотрудников привычных им двухзначных телефонных номеров.
Была устроена консультация с инженером фирмы, поставляющей АТС. И был создан новый телефонный план: двузначные номера и их привязка к сотрудникам остаются теми же. Новые четырехзначные номера формируются следующим образом: первая цифра номера обозначает принадлежность сотрудника к подразделению фирмы. Следующие три цифры обозначают «порядковый номер» сотрудника.
Например: Алексей Алексеевич имеет внутренний номер 34 и работает в бухгалтерии. После переезда на новое место ему можно будет позвонить, просто набрав 34 и подождав пару секунд. Однако у него появится и другой номер: 2034. При переходе, скажем, в юридический отдел, у него сменится номер на 1034. В итоге любому по номеру будет понятно, где работает человек и исчезает путаница с номерами при переводах.
После некоторого размышления была рождена идея чуть подправить адресацию сети: привели IP-адрес сети к номеру телефона человека. К примеру, адрес 10.5.20.34 стал обозначать того же Алексея Алексеевича, находящегося в Интернете и имеющего телефон 2034. А 10.2.20.34 – его же, только занимающегося юридическими делами на благо фирмы. Как оказалось впоследствии, это очень удобно при разборке всяких сетевых конфликтов.
С удаленным складом решили очень просто: местная фирмочка бросила туда выделенку. Мы поставили там младшую модель cisco в качестве роутера и брандмауэра. Зарубили на ней вообще все. Рядом взгромоздили VoIP-шлюз на 4 аналоговых порта. Через cisco подняли VPN в общую сеть. На стороне бизнес-центра стоял такой же VoIP-шлюз, только с портами, приспособленными для включения в АТС. Устанавливать плату VoIP прямо в АТС было не выгодно – слишком дорого. Все. Склад получил сеть и телефоны, включенные в общую сеть компании.
Этап четвертый. «Ох, рано встает охрана …»
Самый скучный. Программирование новой АТС и коммутаторов, проверка разводки (ползание под фальшпотолками и под новыми столами), накладка схемы сети на реальную разводку и корректировка всего этого дела. Затем проход еще раз по всей сети и очередная корректировка. Проверка электропитания и кондиционирования (путем включения в будущей серверной тепловой пушки) и так далее и тому подобное.
По окончании этого этапа получилось следующее:
Около каждого телефонного стола мы имели сиротливо ожидающую своего включения телефонную и компьютерную розетки. Каждая розетка была промаркирована. Маркировка совпадала с указанной на плане разводки. Одновременно была составлена таблица кроссировки и схематическая схема сети с указанием IP-адресов и отделов.
Вздохнув, мы начали следующий этап.
Этап пятый. «Мы едем, едем в далекие края …»
Так как переезд сродни пожару, то решили запастись огнетушителями заранее. Расписали последовательность действий на уровне:
- Выключить сервер.
- Выключить блок бесперебойного питания.
- Собрать все шнуры в пакет.
- Завязать пакет и пометить цифрой «1».
- Аккуратно вынуть сервер и поставить тут (схематичное изображение соседней комнаты).
- Наклеить на сервере и UPS цифры «1».
….
Наклейки изготовляли очень просто: печатали цифры на бумаге, вырезали и приклеивали под скотч. Такой расписанный по пунктам план очень помог при неразберихе, неизбежно возникающей при переезде. Когда ответственный за перевозку звонил и спрашивал: «А чего куда везти?» просто говорилось: «Идешь к нам, берешь листок и начинаешь танцевать с 8-го пункта».
Теперь пользователи. На мгновение представьте себе 300 человек, которые обустраиваются, распаковываются и делают прочие необходимые телодвижения… Против них всего 3 человека. Страшно? Нам тоже было страшно. Поэтому составили маленькую инструкцию в духе: «Поздравляем, вы переехали на новое место работы. Пожалуйста, занимайте указанные вам на плане столы. Пожалуйста, не передвигайте мебель. Если вам не нравится ваше место, мы поможем изменить его, но только после окончания переезда…». В общем, памятка молодому бойцу, расписывающая схему номеров, порядок включения и так далее. В конце добавили пару угроз от имени директора, размножили все это и положили каждому на стол.
Вздохнули и дали отмашку на переезд. В воскресенье перевезли серверы и настроили их. В понедельник вся фирма пришла в офис и начала собираться. Нам в помощь были выданы наиболее подкованные пользователи, которые следили за аккуратностью разборки машин и правильную упаковку их принадлежностей по пакетам.
Вначале наша диспозиция была следующей: все трое находились на старом месте. Затем с первой партией cотруд-ников двое уехали в новый офис и распаковывались, а оставшийся «подчищал хвосты». Было тяжело, но вовремя расписанные планы помогли выдержать этот сумасшедший день.
Как ни странно, но наиболее часто задаваемый вопрос: «А когда все заработает?» мы намеренно не включили в памятку. Ибо было дико приятно отвечать: «А все уже работает». И в самом деле, телефоны были теми же, программы показывали все то же самое, что и должны были показывать, в общем, люди включались в работу «с колес».
Этап шестой. Последний
Он двигался параллельно: происходили разборки с дамами, которые по своей извечной женской натуре начали переставлять мебель и столы. Надо было зафиксировать все перемещения, сделать изменения на схемах, в некоторых случаях изготовить новые патч-корды и так далее и тому подобное. Второй поток заключался в просмотре оставляемой территории. Было захвачено то, что забыли в суматохе. То, что решили оставить (провода, обзываемые сетью и коммутаторы от Lucent, старая АТС), отдали на растерзание в дирекцию. Если я не ошибаюсь, все это оптом купила фирма, которая въехала туда после нас. Неизвестный администратор, я очень тебе сочувствую…
Ну и короткое резюме: системные администраторы получили по премии и повышению зарплаты за прекрасно проведенный переезд. Плюс в их распоряжении оказалась правильно сделанная и полностью документированная сеть. Они счастливы. А я… Я получил дополнительный опыт. Мне пока хватает.