"Co decyduje o sukcesie wdrożenia komunikacji IP w firmie"?
Pisze o tym Roman Sadowski - specjalista ds. komunikacji marketingowej firmy Alcatel Polska
Temat telefonii IP, VoIP oraz innych usług multimedialnych realizowanych w sieciach IP praktycznie nie schodzi z łam gazet, i to nie tylko technicznych, ale także prasy codziennej. Czemu zawdzięczamy popularność tej technologii? Po prostu perspektywa komunikacji praktycznie z całym światem, za znacznie niższe niż obecnie stawki, a dla wielu osób korzystających ze stałych łączy wręcz za darmo, jest niezmiernie kusząca. Jednak o ile dla użytkowników indywidualnych cena i dostęp do podstawowych usług są podstawowym czynnikiem, jakim kierują się przy wyborze oferty danego operatora czy sięgając po darmowe aplikacje typu Skype, o tyle w przypadku firm zespół kryteriów jest znacznie szerszy. Dla przedsiębiorstw równie ważne jest to czy połączenia są bezpieczne, jaka jest dostępność całego systemu, jaką jakość rozmów oferuje, a wreszcie czy można na jego bazie wdrożyć nowe usługi i aplikacje łączące w sobie rozbieżne do tej pory światy - tradycyjnej telefonii i IP. Dla firm właśnie powstających lub takich, które zmieniają obecnie swoje siedziby - dochodzi jeszcze jedna zaleta. Wystarczy położyć jedno okablowanie strukturalne, które posłuży do transmisji wszystkich danych. Jeśli jeszcze zastosujemy technologię
Power over Ethernet, to kwestia zasilania wielu urządzeń końcowych, także staje się znacznie prostsza. Do tego dochodzi czynnik związany z ograniczeniem kosztów personelu i szkoleń - jedna osoba może zarządzać całością. Potencjalne zyski dla firm są olbrzymie i analitycy rynku obecnie nie podejmują rozważań czy komunikacja IP wyprze dotychczasowe rozwiązania, ale w jakim tempie ten proces będzie przebiegał.
Dlaczego zatem w Polsce stosunkowo niewiele firm podjęło decyzję o zastosowaniu komunikacji IP? Jedną z podstawowych przyczyn jest fakt, iż przerzucenie na sieć firmową nowych zadań związanych z transmisją głosu oznacza jednocześnie, że wymagania dotyczące jej niezawodności, odporności na ataki sieciowe czy wreszcie obsługę niezbędnych przepływności muszą być znacznie podwyższone. W większości przypadków prowadzi to do częściowej lub wręcz całkowitej wymiany wielu urządzeń w sieci. W raporcie opublikowanym na początku bieżącego roku, Gartner Group szacuje, że jedynie w przypadku sieci zbudowanych w ciągu ostatniego roku - zmiany niezbędne do efektywnego wdrożenia komunikacji IP są nieznaczne i obejmują od 0-5% pracujących w sieci elementów. Przy urządzeniach starszych zainstalowanych rok lub dwa lata temu, odsetek ten zawiera się w przedziale od 10 do 15%, a przy starszych niż 5 lat - skacze do poziomu 80-100%. Zdaniem ekspertów, w każdym z tych przypadków niezbędna jest rekonfiguracja całej sieci i wyposażenie jej w sprawne mechanizmy analizy i zarządzania ruchem oraz zapewnienie odpowiedniego QoS. Eliminacja, a przynajmniej maksymalne ograniczenie, wszystkich możliwych przyczyn niedostępności sieci staje się kluczowe dla bezproblemowego uruchomienia usług VoIP. Niespełnienie tego postulatu, rychło doprowadzi do sytuacji, w której ziścić się może się najczarniejszy scenariusz. Firma zostanie odcięta dosłownie od świata zewnętrznego. Nie będzie dostępu do Internetu, do poczty elektronicznej, do baz danych, aplikacji odpowiedzialnych za obsługę klientów, finansów i logistyki. Wreszcie nikt nie będzie mógł zadzwonić do oraz z firmy. Kompletny paraliż. Powstałe straty bezpośrednie będące wynikiem awarii sieci, mogą być jedynie wierzchołkiem góry lodowej wszystkich szkód - np. obniżenia reputacji firmy i świadczonych przez nią usług.
Gdzie najczęściej upatruje się potencjalnych źródeł największych zagrożeń dla sieci? Jak je wyeliminować? Znalezienie prostej odpowiedzi nie jest proste, bo zazwyczaj z sytuacją kryzysową mamy do czynienia, gdy jednocześnie wystąpi kilku negatywnych czynników. Pierwsza grupa zagrożeń leży w samych urządzeniach zainstalowanych w sieci.
Każdy z elementów sieci - ruterów, przełączników, serwerów itd. musi cechować się jak najwyższym poziomem dostępności - zbliżonym do niezawodności obecnie eksploatowanej sieci telefonicznej. Przykładowo - tradycyjna sieć komutacyjna wykorzystywana do realizacji usług telefonicznych charakteryzuje się dostępnością 99,999% - co oznacza, że tylko przez 0,001% czasu eksploatacji usługa może nie być dostępna - na skutek awarii bądź konserwacji systemu. W skali roku to dosłownie kilka minut. Jak to osiągnąć w przypadku sieci firmowej? Podejście jest dwutorowe - poprzez zapewnienie niezawodności poszczególnych elementów tworzących sieć oraz na poziomie samej sieci i przez zagwarantowanie bezproblemowego przepływu danych. W przypadku pojedynczych urządzeń podstawowe działania obejmują:
" Eliminację takich punktów w systemie, których uszkodzenie może zagrozić działaniu całego systemu - w urządzeniu muszą istnieć alternatywne ścieżki obiegu danych.
" Stosując architekturę nieblokującą - wewnętrzna architektura urządzenia powinna mieć większą wydajność niż teoretyczna wydajność interfejsów łączących je z resztą sieci, tak aby przy maksymalnym obciążeniu, przetwarzanie/transmisja wewnątrz urządzenia nie stała się "wąskim gardłem".
" Stosując nadmiarowe/rezerwowe podzespoły dla tych o kluczowym znaczeniu, które w przypadku wystąpienia awarii przejmą automatycznie funkcje uszkodzonych elementów.
" Możliwość konserwacji/wymiany uszkodzonych części w trakcie pracy urządzenia (ang. hot-swappable).
" Stabilne źródło zasilania oraz jego rezerwowe źródło.
Zapewne dla niektórych osób, może być to zaskoczeniem, ale w ankiecie niedawno przeprowadzonej wśród firm potencjalnie zainteresowanych komunikacją VoIP, kilkanaście procent respondentów wskazało na obawę niedostępności tej usługi, z powodu przerwy w zasilaniu!
Suma niezawodności poszczególnych urządzeń wcale nie musi jednak oznaczać osiągnięcia podobnego poziomu dla całości systemu. Konieczne staje się stosowanie dodatkowego oprogramowania, które mogłoby w sposób ciągły monitorować ruch w sieci, ułatwiać zarządzanie i konfigurowanie poszczególnych urządzeń, zapobiegając sytuacjom kryzysowym. W przypadku wystąpienia awarii jego rolą (oraz innych mechanizmów takich jak np. wykorzystanie odpowiednich protokołów sieciowych) jest przywrócenie połączeń w jak najkrótszym czasie. Jest z tym związane m.in. problem automatycznego rekonfigurowania sieci w sytuacji kiedy dany element sieciowy przejął na siebie zadania innego, czasowo niedostępnego. Ręczna interwencja administratora przy bardziej złożonych konfiguracjach, jest zbyt czasochłonna.
Kolejnym niezmiernie istotnym czynnikiem jest rozbudowane bezpieczeństwo. Pojęcie bezpieczeństwa jest bardzo rozległe i obejmuje całość zagadnień związanych z prewencją i radzeniem sobie ze skutkami ataków wirusów, hakerów, oraz innych zagrożeń z sieci, w tym i błędnych działań własnych pracowników. Określaniem reguł kto i w jakim zakresie i do jakich danych może mieć dostęp i następnie egzekwowaniem tych praw. Do tej pory większość systemów realizujących tego rodzaju zadania miało jedną wspólną cechę. Były to wąskowyspecjalizowane rozwiązania, mogące wykryć zagrożenie, w pewnym stopniu przeciwdziałać mu - ale skuteczne zadziałanie wszystkich elementów - jako jednej całości bez udziału administratora nie było możliwe.
Ten stan rzeczy zmieniło dopiero wprowadzenie modelu zabezpieczeń, w którym do zagadnienia interakcji między siecią a funkcjami ochrony przyjęto perspektywę przełącznika sieci lokalnej - elementu przez który odbywa się ruch w całej sieci, a jako warstwę do jej realizacji wykorzystano system zarządzania. Wprowadzono do niego również szereg nowatorskich rozwiązań, których celem jest automatyczne dostosowanie zainstalowanego na nich oprogramowania i ustawień z przyjętymi regułami oraz wykorzystanie wydzielonych sieci VLAN do automatycznej kwarantanny podejrzanych bądź zainfekowanych terminali. Użytkownik ma przy tym pełną swobodę w wyborze poszczególnych elementów systemu - mogą to być np. już u niego zainstalowane systemy zapobiegania i wykrywania włamaniom (IDS/IPS), firewalle czy programy antywirusowe.
Jaka jest różnica jakościowa między tymi dwoma podejściami ilustruje np. taka sytuacja. Jeśli komputer użytkownika znajdujący się w sieci został zainfekowany wirusem i rozpoczął rozsyłanie zarażonych wiadomości emailem, sondując sieć w poszukiwaniu potencjalnych ofiar, sieć może powstrzymać takie skanowanie i zablokować wirusa wykrywając podejrzany ruch za pomocą zapory ogniowej lub systemu IDS/IPS. Zapora może powstrzymać przed skanowaniem innych części sieci, ale nie powstrzyma komputera, który sonduje i infekuje inne komputery w tym samym obszarze sieci. Z kolei system IDS/IPS jedynie zaalarmuje administratora, który może następnie wyłączyć port dostępu. Żadna z tych warstw zabezpieczeń nie jest w stanie wyeliminować wirusa ani zaktualizować oprogramowania na zainfekowanym komputerze. Przy nowym rozwiązaniu komputer użytkownika po uwierzytelnieniu - przechodzi automatycznie test zgodności z regułami bezpieczeństwa sieci określonymi przez menedżera ds. bezpieczeństwa sieci. Musi mieć włączone wymagane funkcje antywirusowe, funkcje zapory ogniowej i ochrony przed włamaniami, dysponować odpowiednimi wersjami tych funkcji oraz stosować najnowsze pliki bibliotek lub reguł. Nie ma zatem niebezpieczeństwa, że użytkownik zapomniał sam zaktualizować oprogramowanie, albo że nie zostało to dopilnowane z jakiś powodów przez personel IT. Fakt uwierzytelnienia nie oznacza jeszcze, że komputer został dołączony do sieci w której pracują inni użytkownicy. Znajduje się w wydzielonej sieci VLAN - w kwarantannie, gdzie nie ma dostępu do istotnych zasobów informatycznych firmy. Tam w zdalnie jest na nim instalowane oprogramowanie spełniające wyznaczone reguły. Jeśli proces się zakończy sukcesem, host trafia z powrotem do sieci VLAN z pełnią praw dostępu określoną dla danego użytkownika. Podobna procedura obowiązuje, gdy któryś z elementów systemu stwierdzi stan zagrożenia infekcją. W odpowiedzi na tego rodzaju sygnał, dany terminal przełączany jest z powrotem do strefy kwarantanny.
Po uporaniu się ze zmniejszeniem zagrożeń sieciowych, przyszedł czas na zajęcie się kwestią zwiększenia wydajności sieci. Co prawda do transmisji samego głosu, wymagane pasmo nie jest wcale takie duże (kilkanaście kbit/s), to jednak mając na uwadze coraz popularniejszą wideotelefonię czy wideokonferencje, lub inne usługi multimedialne, należy uwzględnić w swoich planach rozwojowych przejście na nowe interfejsy gigabitowe (1 Gbit/s lub nawet 10 Gbit/s). To jednak może być kosztowne, a nadmiar przepływności wcale nie musi być od razu w firmie "skonsumowany". Co zatem robić. Kupić prostsze urządzenia i starać się później rozbudowywać o kolejno dokupowane karty interfejsów? Wymienić je na zupełnie nowe, kiedy zajdzie taka potrzeba? Oczywiście każda z tych propozycji ma swoich zwolenników, wady i zalety. Ostatnio doszła jednak, całkiem nowa możliwość. Zakup w pełni wyposażonych urządzeń z wyłączonymi na poziomie oprogramowania pewnymi funkcjami. Firma może kupić takie urządzenie po znacznie niższej cenie niż jego odpowiedniki o identycznej architekturze, konstrukcji i zestawie interfejsów i w momencie kiedy uzna, że dotąd zablokowane funkcje są jej potrzebne, dokupuje licencję, otrzymuje specjalny kod, którym je aktywuje. Koszty są ponoszone w momencie, kiedy inwestycja jest faktycznie niezbędna, proces jest praktycznie natychmiastowy, nie ma problemów związanych z integracją nowego sprzętu, rekonfiguracja sieci jest znacznie uproszczona a personel nie musi przechodzić nowych szkoleń.
Przedstawione powyżej problemy i sposoby ich rozwiązywania są oczywiście jedynie zarysowane. W rzeczywistości, przed podjęciem decyzji o migracji w kierunku komunikacji IP, powinien być przeprowadzony audyt sieci, szczegółowa analiza połączona z oceną finansową całej inwestycji i czasu jej zwrotu. Bez uwzględnienia tych elementów, przejście do komunikacji IP może stać się bardzo dotkliwą porażką.
Dołącz do dyskusji: "Co decyduje o sukcesie wdrożenia komunikacji IP w firmie"?