CBS провела аудит сетевой и серверной инфраструктуры для Росэксимбанка

  • 03.02.2015
  • 1177

Ситуация

Компания CBS выиграла тендер на проведение аудита IT-инфраструктуры центрального офиса Росэксимбанка, дочерней структуры Внешэкономбанка (ВЭБ). Необходимость провести аудит возникла у заказчика в связи с предстоящим переездом в другой офис. Представители Росэксимбанка хотели получить независимую экспертную оценку состояния корпоративной сети кредитного учреждения с целью оптимизации и последующей модернизации ее работы.

Задача

Инженерам CBS необходимо было оценить правильность топологии и настройки внутренней сети банка, а также проанализировать работу системы хранения данных, почтового и DNS серверов.

Результаты аудита

На момент начала проекта корпоративная сеть заказчика была построена с использованием оборудования Cisco и HP. Ядро сети состояло из двух коммутаторов третьего уровня Cisco 6500, которые являлись шлюзами по умолчанию для всех внутренних сетей компании и осуществляли маршрутизацию трафика между ними. Для подключения к сети интернет и локальной сети ВЭБ использовались маршрутизаторы Cisco 2600, 2800 и 2900. Функции межсетевого экрана и VPN-шлюза выполняло устройство StoneGate. Для фильтрации электронной почты был настроен email-шлюз Cisco IronPort, расположенный в демилитаризованной зоне. На уровне доступа использовались коммутаторы Cisco 2960, к которым подключалось конечное оборудование, в том числе блейд-серверы на базе HP c7000 и система хранения данных. Для гарантии отказоустойчивости каждый коммутатор доступа был подключен к обоим коммутаторам ядра двумя физическими каналами.

Для балансировки нагрузки между коммутаторами ядра сети применялся протокол Cisco GLBP (Gateway Load Balancing Protocol), распределявший трафик от коммутаторов доступа между двумя коммутаторами ядра. В то же время, в сети действовал протокол Spanning Tree, устранявший петли в топологии путем блокировки избыточных соединений. Его настройки блокировали каналы между коммутаторами уровня доступа и вторым коммутатором ядра, в результате чего поток данных, который, согласно протоколу GLBP, должен был передаваться непосредственно на второй коммутатор ядра, сначала проходил через первый коммутатор ядра, что снижало эффективность балансировки нагрузки. Помимо этого, действовавшие настройки Spanning Tree в определенных ситуациях могут приводить к перестройке схем прохождения трафика и возникновению неоптимальных маршрутов, что негативно отразится на производительности сети в целом.

Кроме того, на сетевом оборудовании отсутствовали стандартизированные настройки, что, в некоторых случаях, может привести к снижению безопасности. И наконец, в результате аудита были обнаружены участки сети, где требуется повысить уровень отказоустойчивости: в частности, на узле подключения к локальной сети ВЭБ и узле доступа в интернет.

Рекомендации

Инженеры компании CBS детально изучили топологию сети заказчика, конфигурацию оборудования, телеметрические данные, работу серверного оборудования и программного обеспечения. Результатом проделанной работы стал подробный отчет о текущем состоянии архитектуры и рекомендации по повышению ее эффективности.

В частности, было рекомендовано:

  1. Изменить настройки протокола Spanning Tree для эффективной балансировки нагрузки между коммутаторами ядра. Использовать более современную версию протокола Spanning Tree, что позволит сократить время сходимости сети и гарантировать ее стабильную и производительную работу.
  2. Стандартизировать настройки безопасности на всех сетевых устройствах для унификации их работы.
  3. Повысить отказоустойчивость связи с ВЭБ путем модернизации оборудования, используемого для доступа в интернет, и подключения дополнительного интернет-провайдера.

Кроме того, в соответствии с требованиями банка, инженерами CBS были предложены решения по модернизации серверной и клиентской инфраструктуры, которые позволят оптимизировать ее работу с точки зрения высокой доступности и повысить масштабируемость:

  1. Внедрить систему виртуализации на базе VMware vSphere или MS Hyper-V, чтобы задействовать неиспользовавшиеся серверные ресурсы, освободить часть физических серверов и обеспечить высокую доступность всех сервисов организации (почтовый сервер, АБС, SQL серверы, файловый сервер) за счет построения кластера виртуальных машин.
  2. Использовать более гибкую схему организации почтовой системы. Необходимо обновить Exchange Server до последней версии и развернуть его в конфигурации высокой доступности на четырех виртуальных машинах, на двух из которых будут установлены службы Mailbox, а на двух других – службы Client Access и Hub Transport.
  3. Использовать MS System Center Configuration Manager для обеспечения централизованного управления сетью и сокращения времени обслуживания парка ПК.
  4. Использовать существующую систему хранения данных в качестве хранилища кластера виртуальных машин, добавив в нее полки расширения и быстрые диски, что позволит значительно повысить производительность дисковой подсистемы всех виртуальных серверов банка.

Итоги проекта

В результате проведенного аудита заказчик получил исчерпывающую информацию о текущем состоянии сетевой и серверной инфраструктуры, а также рекомендации о способах оптимизации ее работы и последующей модернизации.

Оказанные услуги: ИТ-консалтинг, серверные и инфраструктурные решения