Yrityksen verkon suunnittelu

Transkriptio

1 Yrityksen verkon suunnittelu Korkean luotettavuustason yritys Samuli Torikka, G9010, IIT13S1 Eerik Kuoppala, G9024, IIT13S1 Joulukuu 2015 Tietoverkkotekniikan koulutusohjelma Tekniikan ja liikenteen ala

2 Sisällysluettelo 1 Johdanto Yritys Esittely Verkon vaatimukset Verkkolaitteet Pääkonttori Suuri toimipiste Pieni toimipiste Yrityksen toimipisteiden lähiverkko(lan) Topologiat Pääkonttori Suuri toimipiste Pieni toimipiste Jakamo IP-osoitteet Infra Yrityksen palvelut WLC Yleistä Tietoturva Windows Active Directory Voice over IP VPN Client-Server Julkiset palvelut Sisäiset palvelut WAN... 22

3 5.1 Teknologiavaihtoehdot BGP Carrier Ethernet MPLS VPLS Toteutus Toimipisteiden väliset yhteydet Julkiset IP:t ja DNS Palveluiden saatavuus Sisäisesti Ulkoiset Redundattisuus Turvallisuustarkastelu Laiteluettelo Kustannustarkastelu Yhteenveto Lähteet Kuvio 1 Pääkonttorin fyysinen topologia... 5 Kuvio 2 Pääkonttorin looginen topologia... 6 Kuvio 3 Suuren toimipisteen fyysinen topologia... 7 Kuvio 4 Suuren toimipisteen looginen topologia... 8 Kuvio 5 Pienen toimipisteen fyysinen topologia... 9 Kuvio 6 Pienen toimipisteen looginen topologia Kuvio 7 Jakamo Kuvio 8 WLC-WAN prosessi Kuvio 9 Windows AD:n rakenne... 19

4 Kuvio 10 Koko verkko Kuvio 11 JKL reitit Kuvio 12 Yksittäisen toimipisteen yhteys Taulukko 1 IP-osoitteet Taulukko 2 Toimipisteiden IP-osoiteavaruudet Taulukko 3 Laiteluettelo Taulukko 4 Kustannustarkastelu Lyhenteet AD AD DS BD BGP CE DHCP DNS EGP FD GLBP IGP IP LAN Active Directory, Aktiivihakemisto Active Directory Domain Services Building Distribution, talojakamo Border Gateway Protocol Customer Edge, asiakkaan päätyreititin Dynamic Host Control Protocol Domain Name Server, nimipalvelu Exterior Gateway Protocol Floor Distribution, kerrosjakamo Gateway Load Balancing Protocol Interior Gateway Protocol Internet Protocol Local Area Network, lähiverkko

5 MAC MAN MPLS NAT NTP OSPF PE PBX RSTP TO VLAN VPLS VPN WAN WLAN WLC WWW Media Access Control, fyysinen osoite Metropolitan Area Network Multiprotocol Label Switching Network Address Translation, osoitteenmuunnos Network Time Protocol, aikaprotokolla Open Shortest Path First Provider Edge, palveluntarjoajan päätyreititin Private Branch exchange Rapid Spanning Tree Protocol Työpisterasiat Virtual Local Area Network Virtual Private LAN Service Virtual Private Network Wide Area Network, laajaverkko Wireless Local Area Network Wireless LAN Controller, tukiasemien kontrolleri World Wide Web

6 1 1 Johdanto Tehtävänä oli annettu harjoitustyön aiheita joista valitaan yksi valmis aihe tai keksittiin oma. Harjoitustyöhön suunniteltiin kuvitteellinen yritys, sen päätoimipisteen lähiverkko ja liitynnät operaattoriin sekä muihin toimipisteisiin. Harjoitustyö kattaa kolmen kurssin (Laajakaistatekniikka, Verkkoprotokollat ja WAN-tekniikka) harjoitustyön. Työ dokumentoitiin. 2 Yritys 2.1 Esittely Kyseisessä työssä yrityksenä on Pankki, joka toimii Suomessa. Yrityksellä on 10 suurempaa toimipistettä jakautuneina isoimpiin kaupunkeihin sekä 5 pienempää toimipistettä pienemmillä paikkakunnilla. Pääkonttori sijaitsee Helsingissä. Turulla, Tampereella, Jyväskylällä, Porilla, Oululla, Joensuulla, Kuopiolla, Rovaniemellä, Vaasalla ja Espoolla ovat suuret toimipisteet. Kun taas Hämeenlinnalla, Mikkelillä, Kuusamolla, Kemillä ja Sodankylällä ovat pienet toimipisteet. Pankki on kilpailuttanut operaattoreita ja päätynyt valitsemaan yhteytensä yhdeltä suurelta toimivalta operaattorilta saatuaan sieltä parhaimman tarjouksen. 2.2 Verkon vaatimukset Yrityksen ollessa pankki, verkkoon sisältyy myös erilaisia pankkipalveluita. Ne ovat yhteiskunnan toiminnan kannalta kriittisiä ja niiden toimivuuden edellytetään olevan korkeaa luokkaa. Siksi verkko vaatii korkeaa vikasietoisuutta ja redundanttisuutta. Pankki tarjoaa sisäisinä palveluinaan Voice over IP:n (VoIP), keskitetyn käyttäjä- ja laitehallinnan sekä jokaiselle toimipisteelle langattoman verkkoyhteydet. Jokainen työntekijä käyttää tietokonettaan pankin omassa langattomassa verkossa. Tämä

7 2 edellyttää pankilta hyvää WLAN (Wireless Local Area Network) -kuuluvuutta ja - kontrolleria. 2.3 Verkkolaitteet Pääkonttori Pääkonttori on suurin ja tärkein koko verkossa koska se sisältää yrityksen palvelimet ja palvelut. Jotta ne toimisivat tarpeeksi nopeasti ja luotettavasti, vaaditaan reitittimeltä hyvä tiedonsiirtonopeus. Reitittimenä toimii Cisco ASR 1006 Router, jonka kapasiteetti on Gbps. Se on yhteensopiva monen tarvittavan protokollan kanssa, esim. VPN (Virtual Private Network), QoS, Netflow. Pääkonttorin laajentuessa ei tarvitse ostaa enää uusia reitittimiä koska reititin on hyvin laajennettavissa. Kun kaksi näitä reititintä laitetaan GLBP:n (Gateway Load Balancing Protocol) kanssa Customer Edgeksi (CE), voidaan molempia käyttää yhtäaikaa kuormantasauksessa ja reduntattisuuden pitämisessä. Ciscolla on valmis malli nimellä ASR G-SHA/K9, joka sisältää seuraavat ominaisuudet: Cisco ASR 1006 Router Security HA Bundle with two 10 Gbps ASR1000-ESP10 Embedded Services Processors, two ASR1000-RP1 Route Processors, one ASR1000-SIP10 Carrier Card, SASR1R1-AESK9-21SR consolidated software package, FLASR1-IPSEC-RTU (IPsec VPN), FLASR1-FW-RTU (Firewall), FLASR1-FPI-RTU (NBAR+FPM) feature licenses. Reitittimeen menee kiinni useampi kytkin jotka ovat kiinni päätelaitteissa kuten tietokoneet, palvelimet, Wireless LAN Controller (WLC) ja WLAN-tukiasemat. Kaksi Cisco ME-3400E-24TS-M ovat tarpeeksi tehokkaita nopeudeltaan ja yhteensopivuuksillaan. Niihin laitetaan RJ45-kaapeleilla kiinni palvelimiin, tietokoneisiin ja WLC:hin. Cisco SF300-24PP käytetään WLAN-tukiasemien yhdistämiseen joita ohjataan WLC:n kautta. Nämä kytkimet ovat tarpeeksi hyviä niiden tukiasemien kytkemiseen.

8 3 Koska palveluihimme kuuluvat langattomat verkkoyhteydet toimipisteisiin, tarvitaan WLC ohjaamaan pääkonttorin, suurimpien ja pienempien toimipisteiden WLAN:a. Cisco 5508 Wireless Controller tukee 500 tukiasemaa ja 7000 käyttäjää yhtäaikaa. Se käyttää n ja ac standardeja mitkä ovat tällä hetkellä parhaat mahdolliset ja käytetyimmät. Muut WLC:t olivat liian ylikanttiin tuettujen tukiasemien ja käyttäjien takia. WLAN-tukiasemina käytetään Cisco Aironet 2600 Series jotka käyttävät MIMO 3x4- teknologiaa ja tukee n standardia. Maksimissaan voidaan käyttää 450Mbps nopeuksia Suuri toimipiste Suuret toimipisteet eivät tarvitse yhtä hyvää reititintä kuin pääkonttori. Cisco 2911 Integrated Services Router on sopiva hoitamaan suuret toimipisteet. Toinen samanlainen GLBP:n kanssa saadaan myös kuormantasausta ja reduntattisuutta. Käytämme myös täällä Cisco 300 Series Managed Switches kytkimiä. Koska palvelimet sijaitsevat pääkonttorissa niin näitä käytetään yhdistämään reitittimiin ja tietokoneisiin sekä WLAN-tukiasemiin. WLAN-tukiasemina käytetään myös Cisco Aironet 2600 Series samoista syistä kuin mainittiin pääkonttorilla Pieni toimipiste Pienille toimipisteille riittää Cisco 800 Series Routers koska se sisältää kaiken tarvitseman kuten tuen MPLS:lle (Multiprotocol Label Switching), VPN:lle, jne. Reduntattisuutta saataisiin 3G- tai 4G-yhteydellä, mutta pienillä toimipisteillä ei välttämättä ole aluetta niiden tukemiseen, joten kaksi reititintä GLBP:llä riittää. 4G-yhteyttä voidaan pitää hätäratkaisuna jos langallinen WAN-linkki katkeaa.

9 4 Pienillä toimipisteillä käytetään myös Cisco 300 Series Managed Switches kytkimiä. Jos suurille toimipisteille riittää ne, riittää ne myös tänne. Tehotkin on pieniin toimipisteisiin tarkoitettu. WLAN-tukiasemina myös Cisco Aironet 2600 Series. 3 Yrityksen toimipisteiden lähiverkko(lan) 3.1 Topologiat Pääkonttori Pääkonttorin laitteet ovat sijoitettu verkkoon kuvion 1 tavalla. Internettiin menee kaksi Gigabit Ethernet reittiä Cisco ASR 1006 reitittimiltä eli jos toinen laite hajoaa tai linkki katkeaa niin yhteys pysyy silti ylhäällä. Molempiin reitittimiin on kytketty Cisco ME- 3400E-24TS-M kytkimet kahdella kuparikaapelilla. Link Aggregationin avulla voidaan luoda yksi virtuaalinen linkki usealla fyysisellä linkillä. Tämä luo redundanttisuutta ja lisää myös nopeutta. Tämä on tärkeää pääkonttorin osalta koska molemmat kaksi serveriä sijaitsevat näiden kytkimien takana, myös kahdella kuparikaapelilla yhdistettynä. Toiseen kytkimeen on liitetty myös osa tietokoneista ja Cisco 5508 Wireless Controller. Cisco SF300-24PP kytkin on yhdistetty molempiin Ciscon 3400E kytkimiin ja käyttävät Rapid Spanning Tree Protocollaa (RSTP). RSTP:lla eliminoidaan muun muassa broadcast stormeja jotka voivat ruuhkauttaa koko verkon. Cisco Aironet 2600 tukiasemat ovat kiinni SF300-24PP kytkimessä. Loput tietokoneet, yksi serveri ja Cisco 5508 Wireless Controlleri ovat kiinni samassa Ciscon 3400E kytkimessä.

10 5 Kuvio 1 Pääkonttorin fyysinen topologia Kuviossa 2 on pääkonttorin looginen topologia IP (Internet Protocol) -osoitteineen. Cisco ASR 1006 reitittimet omistavat oman oletusyhdyskäytävän mutta GLBP:n avulla liikennettä voidaan ohjata molemmista yhtäaikaa. GLBP:lla on virtuaalinen oletusyhdyskäytävä joka annetaan jokaiselle päätelaitteelle. Tämä virtuaalinen oletusyhdyskäytävä sisältää kaikki reitittimet jotka ovat liitetty siihen. Tämä mahdollistaa redundattisuuden Internettiin molemmilta reitittimiltä ja tukee kuormantasausta. Pääkonttori käyttää /24 verkkoa. Reitittimille on asetettu staattiset IPosoitteet mutta GLBP:aan käytetään virtuaali IP-osoitetta Wireless Controllereilla on staattiset IP-osoitteet ja Servereillä ovat staattiset IP-osoitteet ja välillä. Tukiasemat saavat DHCP:ltä (Dynamic Host Control Protocol) IP-osoitteet ja välistä. Jos tarvii tukiasema vaihtaa, laitetaan se vain paikalleen kuuntelemaan äsköistä IPosoitepoolia liittyäkseen verkkoon. Työntekijöiden tietokoneilla ovat omat DHCP-poolit jotka antavat omat IP-osoitteet ja väliltä. Adminien

11 työasemilla ovat ja väliltä. Asiakkaan liittyessä WLAN:iin tulee IP-osoite DHCP:ltä ja väliltä. 6 Kuvio 2 Pääkonttorin looginen topologia Suuri toimipiste Suurien toimipisteiden laitteet ovat sijoitettu kuvion 3 tavalla. Kuten pääkonttorissa, molemmilla reitittimillä on yhteys toimipaikan LANista (Local Area Network) pois. Yhteys ohjataan pääkonttorin kautta Internettiin. Molemmat reitittimet ovat kiinni Ciscon SF300-24PP kytkimiin kahdella linkillä Link Aggregationia varten. Oulussa sijaitsee serveri Windows Active Directorya varten. Tukiasemat ja tietokoneet ovat kiinni kytkimissä myös.

12 7 Kuvio 3 Suuren toimipisteen fyysinen topologia Kuvio 4 havainnollista loogisen topologian ja IP-osoitteiden paikat. Suurella toimipaikalla on myös GLBP käytössä ja virtuaalinen IP-osoite Reitittimillä on IPosoitteina ja Servereille on varattu laajennusta varten muutama osoite välillä. Tukiasemia on vähemmän pääkonttoriin verrattuna. Tukiasemien osoitteet ovat DHCP:ltä Työntekijöiden tietokoneilla on osoitteet Admineilla on WLANin käyttäjät ovat osoitteissa

13 8 Kuvio 4 Suuren toimipisteen looginen topologia Pieni toimipiste Kuvio 5 havainnollistaa pienen toimipisteen fyysisen topologian. Pienet toimipisteet eivät sisällä Link Aggregationia mutta niillä on pari Cisco 800 Series reititintä redundanttisuutta varten. Reititin ohjaa ulkopuolelle lähtevän liikenteen myös pääkonttorin kautta Internettiin. Reitittimistä menee Ciscon SF300-24PP kytkimiin ja niistä tukiasemiin sekä tietokoneisiin.

14 9 Kuvio 5 Pienen toimipisteen fyysinen topologia Kuviossa 6 on pienen toimipisteen looginen topologia IP-osoitteineen. Kuten pääkonttorissa ja suurissa toimipisteissä, GLBP on ja virtuaalinen IP-osoite on käytössä. Reitittimillä on IP-osoitteet ja Tukiasemilla on IPosoitteet DHCP:ltä poolista Työntekijöiden tietokoneilla on Adminin työasemalla on osoitteet WLANin asiakkailla on myös osoitteet.

15 10 Kuvio 6 Pienen toimipisteen looginen topologia Jokaisella suurella ja pienellä toimipisteellä ovat IP-osoiteavaruudessa samanlaiset loppunumerot eli host bitit mutta toiseksi viimeinen numero on erilainen että ei tule päällekkäisyyksiä. Esimerkiksi suurilla toimipaikoilla Tampereella ja Turulla eivät ole samat IP-osoiteavaruudet / Jakamo Pääkonttorin ja muiden toimipisteiden jakamot ovat kuvion 7 mukaiset. Jokaisella on building distribution (BD) eli talojakamo, floor distribution (FD) eli kerrosjakamo ja työpisterasiat (TO). Talojakamo ja kerrosjakamo ovat fyysisesti vierekkäin koska laitteita on vähän. Kerrosjakamosta menee piuhat laitteille työpisterasioiden kautta. Toimipisteet ovat vain yksikerroksisia joten yksi kerrosjakamo riittää.

16 11 Kuvio 7 Jakamo 3.2 IP-osoitteet Yrityksen toimipisteiden IP-osoiteavaruudet ovat luokkaa /24. Pääkonttorilla Helsingissä on IP-osoiteavaruus /24 kuten kuviossa 2 tuli ilmi. Taulukossa 1 on eritelty jokainen toimipiste ja esitelty niiden VLANit sekä niiden IP-osoiteavaruudet. Esimerkkinä on laitettu jokaista toimipistettä kohden yksi kaupunki. Taulukko 1 IP-osoitteet Toimipiste Kaupunki VLAN IP-osoiteavaruus Pääkonttori Helsinki /24 Pääkonttori Helsinki 10 Servers /29 Pääkonttori Helsinki 11 AP /27 Pääkonttori Helsinki 12 Admin /28 Pääkonttori Helsinki 13 PC /26 Pääkonttori Helsinki 14 WLC /30

17 12 Pääkonttori Helsinki WLAN-asiakkaat /26 Suuri Tampere /24 Suuri Tampere 20 Servers /29 Suuri Tampere 21 AP /27 Suuri Tampere 22 Admin /29 Suuri Tampere 23 PC /26 Suuri Tampere WLAN-asiakkaat /26 Pieni Hämeenlinna Koko verkko /24 Pieni Hämeenlinna 31 AP /28 Pieni Hämeenlinna 32 Admin /30 Pieni Hämeenlinna 33 PC /27 Pieni Hämeenlinna WLAN-asiakkaat /26 Taulukossa 2 sen sijaan on jokaisen kaupungin toimpisteen IP-osoiteavaruudet. Jokaisella toimipisteellä ovat erilaiset VLAN-numerot ja IP-osoiteavaruudet että ei tulisi päällekkäisyyksiä. Host bitit säilyvät samanlaisina jotta monitorointi olisi helpompaa. Esimerkiksi Turun suurella toimipisteellä on seuraavaksi VLAN numerot

18 13 Taulukko 2 Toimipisteiden IP-osoiteavaruudet Kaupunki IP-osoiteavaruus Helsinki (pääkonttori) /24 Tampere (suuri toimipiste) /24 Hämeenlinna (pieni toimipiste) /24 Turku (suuri toimipiste) /24 Jyväskylä (suuri toimipiste) /24 Pori (suuri toimipiste) /24 Oulu (suuri toimipiste) /24 Joensuu (suuri toimipiste) /24 Kuopio (suuri toimipiste) /24 Rovaniemi (suuri toimipiste) /24 Vaasa (suuri toimipiste) /24 Espoo (suuri toimipiste) /24 Mikkeli (pieni toimipiste) /24 Kuusamo (pieni toimipiste) /24

19 14 Kemi (pieni toimipiste) /24 Sodankylä (pieni toimipiste) / Infra Sisäverkon infralla tarkoitetaan yrityksen toimipisteen lähiverkkoa ja sen palveluita. Sisäverkon toimintaan tarvitaan peruspalveluita kuten Domain Name Systemiä (DNS), Dynamic Host Control Protocollia ynnä muita protokollia ja palveluita. DNS:n avulla voimme IP-osoitteet muuttaa nimiksi ja toisinpäin. Sen avulla ei tarvitse muistaa kaikkia IP-osoitteita ulkoa. DNS-nimen voi antaa päätelaitteille kuten tietokoneille ja servereille. Toimipisteen päätelaitteilla on omat nimensä kaupunkien mukaan esimerkiksi Helsingin tietokoneella on DNS-nimenä pc1.hki.pankki.fi. PC1 viittaa tiettyyn tietokoneeseen, hki tarkoittaa toimipistettä eli Helsinkiä, pankki on yrityksen verkkosivun domainnimi ja fi on Suomessa käytössä oleva verkko-osoitteen pääte. DNSpalvelu on ostettu operaattorilta jonka kautta nimikyselyt kulkevat Internetin suuntaan. DHCP jakaa IP-osoitteita päätelaitteille. Näin koneille ei tarvitse asettaa käsin osoitteita verkkoon päästääkseen. DHCP:llä voidaan jakaa myös oletusyhdyskäytävän ja nimipalvelimet. Eri Virtual Local Area Networkeille (VLAN) voidaan tehdä omat DHCPpoolit. Näillä pooleilla ovat omat jaettavat IP-osoitteensa WLAN-tukiasemille, IT-tuen koneille ja muille tietokoneille. Topologia kuvioissa 2,4 ja 6 on esitetty sisäverkon IPosoitteet ja VLANit. VLAN:illa hallinta onnistuu helpommin ja liikenne kulkee paremmin. Broadcast liikenne pienenee koska liikenne kohdistuu vain tiettyyn VLANiin. Vieraan koneen kytkemistä verkkoon ei sallita koska se ei kuulu mihinkään VLANiin. (Advantages of Virtual Local Area Network, 2013)

20 15 Network Time Protocollia (NTP) käytetään hakemaan kellonaika ja päiväys Internetin kautta aikapalvelimelta. Yrityksessä pääkonttori hakee ajan operaattorin kautta ja tämän ajan hakevat suuret ja pienet toimipisteet. Jos nimipalvelu ei ole saatavilla, haetaan aika toiselta aikapalvelimelta. 4 Yrityksen palvelut 4.1 WLC Yleistä Jokaisessa yrityksen toimipisteessä on langattomia tukiasema tietty määrä. Yhteensä koko yrityksessä tukiasemien määrä on merkittävä. Olisi liian suuri työ erikseen aina konfiguroida jokainen tukiasema toimintakuntoon. Tukiasemien kontrollerilla(wlc) tämä hoituu keskitetysti ja helposti. Myös vikaantuneen tukiaseman vaihtaminen on helpompaa. Kontrolleri siis ohjaa tukiasemia. Sen avulla hoituu oikea konfigurointi, tukiasemien toiminnollisuuden tarkkailu, vianhallinta ja liikenteen seuranta. Kuviosta 8 näkyy uuden langattoman tukiaseman liittymisen eri vaiheet verkkoon. (Keskitetty verkonhallinta Cisco WLAN-kontrollerilla ja WCS:llä. Opinnäytetyö. 2011)

21 Kontrolleri DHCPpavelin DHCPpalvelin WLC Langaton Tukiasema 5. WLAN AP Kuvio 8 WLC-WAN prosessi 1. Tukiasema tekee DHCP kyselyn. 2. DHCP-palvelin myöntää tukiasemalle osoitteen. 1 ja 2 kohdat siis kuvastavat normaalia DHCP:n toimintaa lyhyemmin. 3. Saatuaan IP-osoitteen tukiasema lähettää LWAPP discovery request -viestin etsiäkseen kontrollereita. 4. Kun kontrolleri saa kohdassa 3. lähetetyn viestin, se vastaa tukiasemalle LWAPP discovery response -viestillä. 5. Tukiasema valitsee kohdassa 4. saaduista viesteistä kontrollerin johon se koittaa liittyä. 6. Tukiasema lähettää valitsemisen jälkeen LWAPP join request -viestin kontrollerille ja jää odottamaan LWAPP join response -viestiä.

22 17 7. Kontrolleri vahvistaa tukiaseman oikeellisuuden ja lähettää LWAPP join response -viestin tukiasemalle. 8. Saatuaan LWAPP join response -viestin tukiasema voi vielä erikseen vahvistaa kontrollerin oikeellisuuden. Nyt tukiasema on rekisteröitynyt kontrollerille ja voi alkaa liikennöidä verkossa. (Lightweight AP (LAP) Registration to a Wireless LAN Controller (WLC). 2015) Tukiaseman liittymisprosessi kontrollerin kanssa sisältää molemmin autentikointia ja salausta. Näin turvataan liittymisprosessi ja kontrollerin käyttämät hallintaviestit tukiasemalle. Tukiasema- ja kontrolleritoteutuksessa kriittisimpiä komponentteja ovat itse tukiasemakontrollerit. Jos kontrolleri tippuu pois pelistä, esimerkiksi laiterikon sattuessa, loppuu myös tukiasemien toiminta. Tämän takia kontrolleri on kahdennettu toisella samanlaisella kontrollerilla. Näin laiterikon sattuessa varalla oleva kontrolleri ottaa niin sanotusti ohjat käsiin. Suurin osa työntekijöiden työasemista toimipisteillä on liittynyt langattomaan verkkoon. Tämä ei varsinaisesti vaikuta kaistantarpeeseen verrattuna jos käytössä olisi kiinteät verkkoyhteydet työasemille. Tärkeimpänä asiana voidaan pitää tukiasemien kannalta niiden alueen kuuluvuutta. Jokaisella työntekijällä täytyy kuitenkin olla hyvä pääsy verkkoon. Tämä on toteutettu riittävällä määrällä tukiasemia suhteessa toimipisteen kokoon ja työntekijöihin. Tukiasemien asettelussa on otettu myös redundanttisuus huomioon. Tarkoittaen sitä, että jos yksi tukiasema toimipisteellä hajoaa, eivät työntekijät jää ilman verkkoa. Tukiaseman hajotessa, työasemat voivat yhdistää toiseen tukiasemaan joka on riittävän kantaman päässä Tietoturva Langattoman verkon tietoturva on hoidettu korkealla tasolla. Langattomissa tukiasemissa käytetään WPA2-PSK salausta ja käytössä on 25-merkkinen salausavain.

23 18 Salausavain sisältää sekaisin pieniä ja isoja kirjaimia sekä numeroita eikä ole varsinainen sana. WPS on pois käytöstä. Lisäksi on käytössä niin sanottu whitelist, jossa on toimiston työasemien MAC (Media Access Control) -osoitteet ja kaikkien muiden MAC-osoitteiden liikennöinti on estetty. Verkossa on tämän lisäksi myös vielä 802.1X autentikaatio ja RADIUS todennusprotokolla. 4.2 Windows Active Directory Active Directory (AD) -palvelinroolin tehtävänä on hallita ja tarjota tietokanta, josta löytyy tiedot verkossa olevista peruskäyttäjistä ja tietokoneista, palveluista kuten DHCP ja muista verkon käytössä olevista resursseista, kuten esimerkiksi tulostin- ja tiedostopalvelut. Active Directory Domain Services (AD DS) on Microsoftin kehittämä palvelu. Sillä voidaan luoda helposti hallittavissa ja skaalattavissa oleva, sekä turvallinen rakenne käyttäjien- ja resurssienhallintaan. (What Are Domains and Forests?, 2014) Kuviossa 9 molemmilla Helsingin pääkonttorilla ja Oulun toimipisteellä ovat kaksi palvelinta, toisin sanoen AD:n ohjainpalvelinta mitkä pyörivät Windows Serverillä. Helsinki toimii juuridomainina ja Oulu lapsidomainina. Helsingin ohjainpalvelimet ovat AD verkon juuri ja Oulun taas AD verkon lapsi. Muilla toimipisteillä ei ole ohjainpalvelinta vaan ne käyttävät lähimpänä olevaa ohjainpalvelinta Helsingistä tai Oulusta.

24 19 Kuvio 9 Windows AD:n rakenne Ohjainpalvelin sisältää muun muassa yrityksen käyttäjät, tietokoneet IP-osoitteineen, DNS-tiedot, levyjaot, ryhmäkäytänteet, ym. Käyttäjiä käytetään yrityksen verkoissa koneelle kirjautumiseen. Organisaatioyksiköillä erotellaan yrityksen adminit ja työntekijät. Niiden avulla saadaan nopeasti eri ryhmille tarvittavat ominaisuudet ja oikeudet. Yrityksellä on siis organisaatioyksiköt admins ja workers. Jokaisella työntekijällä ja adminilla ovat omat henkilökohtaiset tunnukset. Tietokoneista pidetään tietokantaa muun muassa mahdollisiin hallintatarkoituksiin kuten DNS-nimen antamiseen. Levyjaoilla voidaan luoda yrityksen eri ryhmille omat levyt joihin he pääsevät käsiksi. Ryhmäkäytänteillä voidaan Windows Policy asetuksia suorittaa tietyille ryhmille, tässä tapauksessa organisaatioyksiköille. Helsingin ja Oulun tietokannat ovat linkitettynä toisiinsa jolloin esimerkiksi Helsingissä luodut käyttäjätunnukset löytyvät

25 myös Oulusta. Linkitykset tehdään ohjainpalvelimilla ja tietokantojen replikointi voidaan konfiguroida. 20 Helsingin ohjainpalvelimella on määritetty DNS-palvelimet menemään suoraan Internetin suuntaan. Oululla nimikyselyt kohdistetaan ensin Helsingiin ja sitten Internettiin jos Helsinki ei tiedä kyselyyn vastausta. Jokaisen toimipisteen käyttäjätunnukset luodaan Helsingin ohjainpalvelimella ja replikoidaan Ouluun. Normaaleilla työntekijöillä ovat hyvin tavalliset käyttäjäoikeudet ja ylläpitäjillä korkeammat oikeudet ylläpitämiseen. DHCP:tä käytetään jakamaan osoitteet tietokoneille ja WLAN-tukiasemille. 4.3 Voice over IP Voice over Internet Protocollilla (VoIP) siirretään ääntä IP-verkon kautta mikä mahdollistaa puheluiden soiton verkon välityksellä. Jos puhelu päätyy tavalliseen puhelinverkkoon, se ohjataan Internetin kautta läheisimmälle puhelinkeskukselle ja muutetaan paikallispuheluksi (VoIP, 2015). VoIP:n käyttämiseen vaaditaan Internetyhteys ja päälaite, joka voi olla IP-puhelin tai tietokoneella oleva puheohjelma esimerkiksi Skype. VoIP:in hyötynä on kaistan saatavuus ja halvempi hinta. Kuukausittainen hinta halpenee kun ei käytetä vanhaa Private branch exchange (PBX) - puhelinjärjestelmää. Koska VoIP käyttää kuparikaapelia datan kuljetukseen, ei tarvita ylimääräistä kaapelointia normaaleille puhelimille. Yritykselle ostetaan Skype for Business jotka pyörivät työntekijöiden työasemilla. Palvelua käytettäessä voidaan suorittaa myös videopuheluita korkealla laadulla. Näin ei tarvita ostaa IP-puhelimia joille määritettäisiin omat IP-osoitteet. Yritykseen ostetaan vielä sankakuulokkeet Skypen käyttöä varten. Ylläpito voi näin keskittyä enemmän muuhun kuin puhelinongelmiin.

26 VPN Jokaisella työntekijällä on mahdollisuus ottaa etäyhteys pankin verkkoon esimerkiksi kotona työkoneella. Yhteys luodaan yrityksen VPN-serverille, joka tunnistaa käyttäjän ja myöntää pääsyn verkkoon antamalla tarvittavat tiedot kuten IP-osoitteen. Liikenne salataan käyttämällä IPSec:iä. Käyttäjän tunnistautuminen palvelimelle suoritetaan käyttäjän omilla henkilökohtaisilla tunnuksilla, jotka ovat samat kuin Active Directoryssä. 4.5 Client-Server Client-Server sovelluksiin ja palveluihin kuuluvat muun muassa WWW (World Wide Web) -sivut, intra-sekä extranet, sähköposti ja tietokannat. WWW-sivuista on myös erikseen sisäiset ja julkiset versiot. Julkiset WWW-sivut ja extranet kulkevat käsi kädessä, kuten myös sisäiset WWW-sivut ja intranet Julkiset palvelut Asiakkaille tarjottavat WWW-palvelut sisältävät yleistä tietoa yrityksestä, verkkopankin ja kaikkien toimipisteiden yhteystiedot. Lisäksi on uutisia ja tiedotteita pankin toimintaan ja tapahtumiin liittyen. Palveluita tarjotaan yrityksille sekä henkilöasiakkaille Sisäiset palvelut Työntekijöille tarjottavia sisäisiä palveluita on erikseen vielä intranet ja sähköposti sekä riippuen työntekijän toimenkuvasta, myös tietokannat. Intranetissä työntekijät voivat lukea pankin sisäisistä asioista, joista ei tiedoteta julkisesti. Näitä ovat esimerkiksi erilaiset toimintasuunnitelmat ja aikomukset, tarkemmat vikakuvaukset ja paremmat tiedot tulevaisuuden suunnitelmista. Jokaisella työntekijällä on oma henkilökohtainen työsähköposti, jota käytetään sähköpostilla asioimiseen työaikana. Sähköpostisovelluksena toimii Microsoftin Outlook. Sähköposti on myös yrityksen yksi tärkeimmistä sisäisitä tiedotusvälineistä intranetin lisäksi. Sähköpostilla saadaan

27 22 tilanteessa tarvittava tieto kaikille sitä tarvitseville henkilöille. Tämä onnistuu ennalta luotujen jakelulistojen avulla. 5 WAN 5.1 Teknologiavaihtoehdot Operaattori tarjoaa 3 erilaista ratkaisumahdollisuutta yrityksen verkon toteutukseen. Seuraavissa kappaleissa on kerrottu ratkaisumahdollisuudet BGP BGP eli Border Gateway Protocol on tällä hetkellä ainut käytössä oleva EGP (Exterior Gateway Protocol). BGP:ssä käytetään hyväksi autonomisia alueita ja niiden välillä vaihdetaan reittitietoja. Reititys myös autonomisten alueiden sisällä on tuettu ja BGP tukee myös luokatonta reititystä. Yrityksellämme on maassa yhteensä 16 toimipistettä ja ne täytyy pystyä yhdistämään yhdeksi isoksi kokonaisuudeksi, esimerkiksi VPLS:llä (Virtual Private LAN Service). BGP:tä voi käyttää siinä tapauksessa signalointiprotokollana VPLS:lle. BGP:ssä käytössä on autonomiset alueet. Yrityksen verkkoa ei kuitenkaan kannata sisällyttää yhteen suureen autonomiseen alueeseen. BGP konfederaation avulla toimipisteet voisi jakaa useampaan pienempään autonomiseen alueeseen. Näin voitaisiin luoda oma ibgp-verkko, joka on täysin kytketty. Esimerkiksi Tampereen, Helsingin ja Turun toimipisteet voivat kuulua samaan autonomiseen alueeseen. Kuopion toimipisteen liikenne kulkee Tampereen kautta ja vastaavasti Oulun toimipisteen liikenne Kuopion kautta ja siitä eteenpäin. Näin kaikki liikenne saadaan terminoitua Helsinkiin pääkonttorille. BGP toteutus kuitenkin kuormittaa turhaan nieluliittymän reititintä, koska kaiken liikenteen ei välttämättä tarvitse kulkea sen kautta. Esimerkiksi IP-puhelut konttoreiden välillä voitaisiin välittää suoraan eikä kierrättää sitä nieluliittymän kautta.

28 23 (Operaattoritasoisen reitityksen ja VPLS:n toteutus Spidernetiin ) Carrier Ethernet Carrier Ethernet tarjoaa fyysisesti eri paikoissa sijaitsevien toimipisteiden liittämisen toisiinsa. Verkkojen liittäminen hoidetaan virtuaaliyhteyksillä. Ethernetillä saavutettavia hyötyjä ovat muun muassa skaalautuvuus, edullisempi kuin MPLS, tarjoaa pienempää viivettä ja parempaa suoritustehoa. Myös verkon ylläpito on helppoa, koska organisaatio saa infrastruktuurin joka pohjautuu kokonaan Ethernettiin. Ethernet tukee niin 10 GbE kuin jopa 100 GbE linkkinopeuksia. Ethernetin parhaita puolia ovat siis korkea nopea ja pieni viive päästä päähän yhteyksissä. Ethernettiä käyttöönotettaessa on otettava huomioon suorituskyvylliset vaatimukset, viiveet, luotettavuus, tekninen tuki sekä turvallisuus sekä kuinka tärkeänä pidetään ylläpidon helppoutta kokonaan Ethernettiin pohjautuvassa verkossa. (MPLS vs. Ethernet: Which WAN connectivity option is best? 2012.) MPLS MPLS eli Multiprotocol Label Switching avulla saadaa tehostettua runkoverkkojen reititystä. MPLS:n ideana on, että paketit niin sanotusti leimataan. Näin jokaisella hypyllä ei tarvitse tehdä reititystä ja paketit voidaan silti välittää eteenpäin oikeaan kohteeseen. IGP-reititysprotokollaa (Interior Gateway Procol) tarvitaan MPLS:n taustalle ja paketin poistuessa MPLS-verkosta, tutkitaan IP-otsikkotiedot. IGP-protokollaksi käy hyvin esimerkiksi OSPF tai IS-IS. MPLS:n etuja ovat muun muassa monesta moneen yhteys ja hyvät quality of service mukautuvuudet. MPLS sopii yritysverkkoon sen sisältämän Traffic-Engineering sovelluksen ansiosta. Sen avulla voidaan hallita miten ja kuinka liikenne reititetään verkossa. Näin voidaan hallita kapasiteettia, priorisoida palveluita ja estää törmäyksiä. Traffic-Engineering käyttää IGP:tä, mutta tuo siihen lisää rajoja. Esimerkiksi etsitään lyhin polku, jolla on myös

29 24 tarvittava kapasiteetti. Syy tähän on yksinkertainen. On järkevämpi ottaa vähemmän tukkoinen polku vaikka viive saattaisikin olla isompi. (MPLS vs. Ethernet: Which WAN connectivity option is best? sekä Operaattoritasoisen reitityksen ja VPLS:n toteutus Spidernetiin ja MPLS for Dummies.) VPLS VPLS yhdistää eri MAN (Metropolitan Area Network) -verkon alueilla sijaitsevat asiakkaan toimipisteiden lähiverkot. Asiakkaan verkot yhdistetään operaattorin runkoverkon yli niin, että lähiverkot näyttäytyvät asiakkaalle vain yhtenä lähiverkkona. Tekniikan avulla saadaan hyödynnettyä Ethernetin tehokkuutta IP ja leimakytkentäisen verkon ylitse. Ratkaisu on myös tietoturvallinen toteuttaa yleisen käytössä olevan verkon päällä. VPLS:n avulla nopeutetaan pakettien välitystä, sillä on tarpeen tehdä osoitetarkastelua vain L2-tasolle asti. Toimipisteiden väliset yhteydet vaativat toimiakseen virtuaalilinkkejä. Niillä mahdollistetaan Ethernetin PDU:den kuljettaminen verkossa. (Operaattoritasoisen reitityksen ja VPLS:n toteutus Spidernetiin sekä VPLS ) 5.2 Toteutus Yrityksen verkon vaatimuksena on helppo ylläpito, hyvä vastine rahalle, tukee hyvin VPN:ää ja on tietoturvallinen ratkaisu. Näitä parhaiten tarpeitamme vastaa vaihtoehdoista MPLS-VPLS ratkaisu. MPLS VPLS yhdistelmällä jokainen toimipiste toimisi operaattorin runkoverkon yli suoraan yhteydessä toisiinsa. Yrityksellämme on sisäisinä palveluinaan käytössä VOIP, keskitetty käyttäjä-ja laitehallinta sekä toimipisteillä sijaitsevat langattomat verkkoyhteydet. Tällä ratkaisulla saadaan edellä mainitut palvelut parhaiten sisällytettyä yrityksen verkkoon ja järjestelmään.

30 25 Liittyminen operaattorin verkkoon hoidetaan toimipisteestä riippuen joko Ethernetillä tai VDSL:llä. Toimipisteittemme reitittimillä on hoidettu reititys, mutta siitä eteenpäin toteutus kuuluu operaattorille eikä yritys vastaa siitä. Operaattori kuitenkin toteuttaa yrityksen vaatimuksia vastaan verkon runkoverkkonsa osalta Toimipisteiden väliset yhteydet Toimipisteet liitetään toisiinsa aiemmin mainitun MPLS-VPLS tekniikan avulla. Asiakkaan reitittimillä hoidetaan reititystä OSPF-protokollan avulla, mutta operaattori vastaa loppujenlopuksi toimipisteiden välisistä yhteyksistä. Kuviosta 10 selviää koko yrityksen verkon rakenne Suomen laajuisesti. Jokainen toimipiste on tässä kuvattuna rakennuksena. Helsingissä on päätoimipiste, josta löytyvät myös palomuurit. Isommat ovat suurempia rakennuksia kuvassa ja pienemmät viisi ovat pienempiä toimipisteitä. KMI SKL ROI OLU PRI VSA KSO KAJ KPO TKU TRE JKL FW1 HKI HML /30 MKL JNS Internet FW2 Kuvio 10 Koko verkko

31 26 Liikenne kulkee verkon sisällä siis operaattorin MPLS verkossa. Asiakas ei puutu siis varsinaiseen reititykseen toimipisteiden välillä lainkaan, vaan operaattori hoitaa tämän. Kuviosta 10 selviää myös toimipisteiden linkkiväleillä käytettävät IP-osoitteistukset asiakkaan PE-laitteiden WAN-rajapinnassa. Operaattorilta on toteutuksessa myös vaadittu, että verkon tulee olla redundanttinen. Tämä tarkoittaa sitä, että jos esimerkiksi TRE-HML väli menee poikki, kulkee liikenne kuitenkin vaihtoehtoista reittiä pitkin. Kuviossa 11 on esitetty yksi esimerkki reittivaatimuksesta, mitä operaattorilta on vaadittu. Kuvio 11 JKL reitit Kuviossa on siis kyseessä liikennereitti Jyväskylän toimipisteeltä Helsingin pääkonttorille. Oletuksena liikenne kulkee Tampereen ja Hämeenlinnan kautta. Liikenteelle on kuitenkin määritelty toimivuuden takaamiseksi 4 varareittiä. Jos esimerkiksi TRE-HMLlinkkiväli menee poikki, siirtyy Jyväskylästä tuleva liikenne liikennöimään Tampereen ja

32 27 Turun kautta Helsinkiin. Jos taas esimerkiksi JKL-TRE-linkkiväli menee alas, koittaa liikenne ensin siirtyä Joensuun ja Mikkelin kautta Helsinkiin. Viimeisimpänä vaihtoehtona liikenteelle on kulkea Vaasan, Porin ja Turun kautta Helsinkiin. Yksittäisten toimipisteiden välinen yhteys selviää kuviosta 12. Asiakkaan oman verkon reunalaite eli CE-laite on yhdistetty operaattorin PE (Provider Edge) -laitteeseen, joka on taas operaattorin runkoverkon reunalaite. Siitä laitteesta yhteys jatkuu operaattorin runkoverkkoa pitkin aina niin sanotusti toiseen päähän operaattorin toiselle PE-laitteelle ja siitä asiakkaan CE-laitteeseen. MPLS-VPLS CE PE PE CE Kuvio 12 Yksittäisen toimipisteen yhteys Julkiset IP:t ja DNS Operaattori tarjoaa yritykselle 10 julkista IP:tä. Reitittimille asetetaan sekä normaali NAT (Network Address Translation) että Dynaaminen NAT. NAT:ia käytetään suorissa osoitevastaavuuksissa sisäverkossa. Tätä vaativat muun muassa palvelimet, jotta niihin saadaan otettua VPN yhteys ulkoverkosta. Lisäksi yrityksen verkkosivut tarvitsevat suoran IP-vastaavuuden, jotta ulkoverkosta on mahdollista päästä siihen. Normaali internetliikenne käyttää Dynaamista NAT:ia. Dynaamista NAT:ia varten on operaattorilta saatu tarpeeksi julkisia IP-osoitteita, jotta ne eivät lopu kesken Internetyhteyksien lukumäärän ollessa korkealla. Palvelimille asetetut suorat IP-vastaavuudet eivät riitä, niille tarvitaan lisäksi myös DNSnimet. Pankki on itse ostanut omat domainit, joita yhtä käyttää julkisella verkkosivustolla ja toista VPN-osoitteen vastaavuutena. Nimipalvelu on ostettu operaattorilta, joka mainostaa omilla DNS-palvelimillaan yrityksen nimipalveluita eteenpäin.

33 28 6 Palveluiden saatavuus 6.1 Sisäisesti Sisäisten palveluiden saatavuudella tarkoitetaan yrityksen omassa verkossa olevia palveluita. Langattomien verkkoyhteyksien saatavuus on rajoitettu. Langattomaan verkkoon voi muodostaa yhteyden arkisin aikavälillä kello Langatonta verkkoa on turha pitää yöaikaan päällä, koska toimipisteet ovat suljettuina ja pääkonttorin hallintakoneet ovat kiinteässä verkossa. Muut palvelut ovat kuitenkin aina saatavilla. Tämä koskee Intranettiä ja sähköpostia. Niiden tulee olla aina saatavilla, koska on mahdollista ottaa ulkoverkosta VPN-yhteys ja käydä esimerkiksi lukemassa työsähköpostia. 6.2 Ulkoiset Ulkoisilla palveluilla tarkoitetaan palvelimia. Näitä palvelimia ovat VPN (viitateen kappaleeseen 4.4) ja WWW-palvelin. Näiden tulee olla aina saatavilla. Työntekijät voivat ottaa VPN-palvelimeen etäyhteyden ja näin päästä tarvittaessa yrityksen verkkoon. WWW-palvelimet koskevat kaikkia, jotka ovat pankin asiakkaita tai haluavat muuten tietoja pankista tai käyttää sen palveluja. Näiden palveluiden saatavuus tulee olla aina saatavilla vuorokauden ja vuodenajasta riippumatta. 6.3 Redundattisuus Tämä kappale voidaan laskea myös luotettavuustarkasteluksi. Redundattisuus tarkoittaa sitä että jonkin asian hajotessa on aina toinen samanlainen asia varalla välittömästi tai jatkuvasti. Sen voi ajatella myös backup:na eli varmuuskopiona. Jokaisella toimipisteellä on kaksi reititintä konfiguroituna GLBP:lla, joka hoitaa kuormantasausta. Sen avulla molemmat reitittimet ovat yhteydessä muihin toimipisteisiin ja Internettiin. Jos toinen

34 29 reititin hajoaa, toinen voi jatkaa reitittämistä. Tämän aikana viallinen reititin voidaan vaihtaa tai korjata. Jos linkki kytkimestä reitittimeen katkeaa, kytkimet voivat ohjata liikenteen vielä toiseen reitittimeen. Toimipisteillä olevat palvelimet on kahdennettu. Pääkonttorissa palvelimet sijaitsevat toisistaan erossa eri kytkimien takana. Jos toinen palvelin kaatuu, toinen voi jatkaa vielä palvelua. Wireless Controllerit ja osa tietokoneista ovat myös eri kytkimien takana. Ainakin osa työntekijöistä voivat jatkaa töitä jos toinen kytkin ei toimi. Pääkonttorilla ja suurilla toimipisteillä palvelimien ja kytkimien linkit ovat kahdella kaapelilla kiinni mikä lisää myös linkin nopeutta. Jos toinen kaapeli hajoaa, toinen voi vielä jatkaa palvelun ylläpitämistä. Sama pätee myös kytkimien väleihin mitkä ovat Etherchannelilla. 7 Turvallisuustarkastelu Yrityksen tietoverkon suunnittelussa on myös panostettu sen turvallisuuteen. Langattoman verkkoyhteydet käyttävät 25-merkkistä WPA2-PSK suojausta ja RADIUStodentamista. Suojausavain vaihdetaan kuukausittain. Tällä tavoin pyritään estämään luvaton langattoman verkon käyttö. Yrityksen tietokoneet aukeavat käyttäjälle vain omilla henkilökohtaisilla tunnuksilla, jotka löytyvät AD-palvelimelta. Näin estetään myös työasemien luvaton käyttö. VPN-yhteyttä ulkoverkosta otettaessa tarvitaan lisäksi omat henkilökohtaiset tunnukset. Palomuureilla estetään yrityksen verkkoon pyrkivä luvaton liikenne ja saadaan tarvittaessa myös rajattua lisää liikenteen pääsyä verkkoon tai ulos verkosta. Pankin kiinteistöjen valvonta on hoidettu valvontakameroilla sekä kulunvalvonnalla. Kulkulupaa tarvitaan henkilökunnan tiloissa kulkemiseen, sillä osasta ovia ei pääse kuin kulkuluvan avulla.

35 30 8 Laiteluettelo Taulukko 3 Laiteluettelo Pääkonttori 10x Suuri toimipiste 5x Pieni toimipiste 2x Cisco ASR 1006 reititin 2x Cisco 2911 Integrated Services reititin 2x Cisco 800 Series reititin 2x Cisco ME-3400E-24TS-M kytkin 2x Cisco SF300-24PP kytkin 2x Cisco SF300-24PP kytkin 1x Cisco SF300-24PP kytkin 10x Cisco Aironet 2600 Series 5x Cisco Aironet 2600 Series 2x Cisco 5508 Wireless Controller 20x Tietokone 13x Tietokone 15x Cisco Aironet 2600 Series 2x Serverit (OULU) 28x Tietokone 2x Serverit Taulukossa 3 on laiteluettelo pääkonttorista, suuresta ja pienestä toimipisteestä. Suuria toimipisteitä on kymmenen ja pieniä toimipisteitä viisi. Laitteita lisätään tarpeen tullen.

36 31 9 Kustannustarkastelu Cisco ei julkaise laitteidensa hintoja sivustollaan. Ciscolle pitäisi tehdä tarjouspyyntö jotta voidaan kustannuksia tarkastella. Muita sivuja tarkastellen saadaan jotain hintoja kustannustarkasteluun. Taulukossa 4 on lista laitteista ja löydetyistä hinnoista. Taulukko 4 Kustannustarkastelu Laite Hinta ($/kpl) Cisco ASR G-SHA/K Cisco 2911 Intergrated Services 2700 Cisco 800 Series 750 Cisco ME-3400E-24TS-M 2400 Cisco SF300-24PP 725 Cisco 5508 Wireless Controller 6600 Cisco Aironet 2600 Series Yhteenveto Pankille sopi mielestämme parhaiten VoIP, Windows AD ja WLAN/WLC ja ne olivat myös kiinnostavimmat aiheet mistä kirjoittaa. Tuntui järkevimmiltä palveluilta asettaa pankille.

37 32 Lähiverkon laitteiden valinta oli vaikeaa koska ei käytännössä tiedä mitä laitteita yritys oikeasti tarvitsee. Ei tiedetä paljonko liikennettä kulkee, onko valittu liian tehokkaat tai hitaat laitteet. Varsinkin pääkonttorin reitittimet speksit ei kertonu yhtään mitään. WAN-osuudessa tiedon etsimisessä kului aikaa. Ei tiedä toimiiko kirjoitettu asia käytännössä. WAN-ratkaisu tuntui hyvältä koska ei tarvitse asentaa jokaiselle toimipisteelle omaa palomuuria. Riittää että ne löytyvät yrityksen verkon ja Internetin välissä. Ratkaisu on käytännöllinen moneen toimipisteeseen yrityksessä ja tukee sen palveluita. Muut asiat olivat ennestään tuttuja ja mielestämme onnistuimme niissä. Kokonaisuudessaan hyvä oppimisprosessi jossa piti ottaa monta seikkaa huomioon. Ohjeet olisivat voineet olla selkeämmät. Lähteet Advantages of Virtual Local Area Network OmniSecu. Viitattu Graste,V Keskitetty verkonhallinta Cisco WLAN-kontrollerilla ja WCS:llä. Opinnäytetyö. Mikkelin ammattikorkeakoulu, tietotekniikka. Viitattu Lightweight AP (LAP) Registration to a Wireless LAN Controller (WLC) cisco.com. Viitattu MPLS vs. Ethernet: Which WAN connectivity option is best? SearchenterpriseWAN. Viitattu

38 33 Richard A Steenbergen. MPLS for Dummies. Diaesitys. Viitattu Vatanen, M Operaattoritasoisen reitityksen ja VPLS:n toteutus Spidernetiin. Opinnäytetyö. Jyväskylän ammattikorkeakoulu, tietotekniikka. Viitattu v1.01.pdf?sequence=1 VoIP Wikipedia. Viitattu VPLS Wikipedia. Viitattu What Are Domains and Forests? Microsoft Technet. Viitattu