Cílem mé práce je konkrétní popis využitých informačních a komunikačních technologií ve společnosti Cognor Stahlhandel Czech republic, s. r. o.

Transkript

1 Úvod Cílem mé práce je konkrétní popis využitých informačních a komunikačních technologií ve společnosti Cognor Stahlhandel Czech republic, s. r. o. ICT ve firmě slouží k pokrytí potřeb podniku s ohledem na počet zaměstnanců, obchodní zaměření a datovou dostupnost. Pokračoval jsem popisem operačních systémů, serverové a doménové struktury v Cognor Stahlhandel včetně zálohování dat. V další části práce jsem se zaměřil na konkrétní popis síťové struktury podniku (využitého HW, rozvodů, propojení obou poboček - VPN, internetové připojení, směrování, adresace, sledování provozu, nastavení Firewallu, atd.) a telekomunikační struktury v tomto podniku. V závěru mé práce se zaměřuji na konkrétní popis IS Microsoft Navision (možnost využití, verze, moduly). U každé využité technologie či služby jsem nejdříve uvedl obecný popis a následně konkrétní využití v Cognor Stahlhandel včetně popisu konkrétních potřeb. 1

2 1. Popis společnosti Cognor Stahlhandel Společnost COGNOR Stahlhandel Czech Republic s.r.o. je součástí mezinárodní skupiny Cognor Stahlhandel působící na trhu v oblasti prodeje hutního materiálu s hlavním sídlem v rakouském Linzi. Síť poboček je ve státech: Chorvatsko, Srbsko, Rumunsko, Maďarsko, Polsko, Slovensko. Vedle prodeje se zabývá také dělením materiálu (pálení plechů, řezání nosníků, vrtání, aj.). COGNOR Stahlhandel Czech Rep. má sídlo v Pardubicích a pobočku ve Vyškově. Ve společnosti momentálně pracuje 95 zaměstnanců. Podle vzoru celé skupiny využívá česká pobočka liniovou organizační strukturu (viz. Obr. 1) Ve vedení je jednatel společnosti, který má pod sebou vedoucí nákupu a prodeje, dva vedoucí provozu (pobočka Pardubice a Vyškov) dále pak finančního ředitele a IT ředitele. Pod oba vedoucí provozu spadá vždy jeden předák skladu a dále 52 skladníků na obou pobočkách. Co se týče finanční kanceláře tu vede ředitel, který má pod sebou 7 zaměstnanců. Vedoucí nákupu a prodeje vede oddělení nákupu o 6-ti nákupčích, dále pak 2 fakturantky a 11 regionálních mobilních prodejců. Každý prodejce má svého spolupracovníka, který mu zajišťuje podporu (tvorbu nabídek, zjišťování aktuálního množství zboží na skladě, atd. ) Ve firmě je také zaměstnán logistik a 5 technologů. Obr. 1 liniová organizační struktura společnosti 2

3 2. Komunikace a potřeby v Cognor Stahlhandel Příklady potřeb v podniku a jejich uspokojení Oddělení Příklad potřeby Příklad Prostředku prodej tvorba nabídky aplikační server (IS) nákup komunikace s dodavatelem mobilní telefon finanční kancelář tisk daňových dokladů síťová tiskárna logistika plánování tras lokální aplikace mapy sklad a výroba evidence přijatého materiálu aplikační server (IS) fakturace evidence došlé pošty lokální applikace MS Excell technologie přenos výkresu do NC optický spoj s NC IT ukládání záloh diskové pole management odeslání výsledků prodejnosti poštovní server Obr. 2 nákres vzájemné komunikace 3

4 2.1 Nároky na dostupnost dat Dobře dostupná firemní data jsou nedílnou součástí správného chodu společnosti, obzvlášť v odvětví obchodu hraje čas na nalezení potřebných dat velmi důležitou (ne-li nejdůležitější) roli. Např. Pokud prodejce objíždí region a nabízí své zboží, velice často potřebuje zjistit aktuální stav skladu, vytvořit objednávku, přečíst si firemní poštu, atd., aby mohl operativně reagovat na potřeby našich zákazníků. Veškerá firemní data, ať už informace uložené v databázi IS nebo veškeré firemní soubory typu např. Word, Excell, Access, aj. jsou bezpečně uchovávány a zálohovány na serverech, umístěných především v serverové místnosti (house) v Pardubicích ale i v housu ve Vyškově. Z tohoto důvodu je nezbytné, aby měli naši zaměstnanci a vedení společnosti co nejjednodušší, spolehlivý a jak jsem již zmiňoval rychlý přístup k těmto datům. Všichni zaměstnanci, kteří často cestují, jsou vybaveni přenosnými notebooky se silnými lithiovými bateriemi, dále pak mobilním datovým CDMA modemovým vytáčeným připojením (technologie CDMA podrobně popsána v samostatné kapitole na str. 36) a také přenosnými tiskárnami se záložními bateriemi. Pomocí této mobilní conectivity se připojují zkrz zabezpečený VPN tunel (vysvětlení viz. kapitola VPN na str. 29) na terminálový server (role terminálového serveru podrobně popsána dále), kde mají možnost přihlásit se do IS společnosti, přístup ke všem firemním datům, popř. přístup do firemní elektr. pošty. Notebook CDMA modem Internet VPN Cognor Terminal server IS, firemní pošta, firemní data, atd. Obr. 3 připojení uživatelů zvenčí do společnosti 4

5 3. Operační systémy Operační systém (OS) je definován jako základní programové vybavení počítače, které umožňuje uživateli ovládání počítače. Každý OS obsahuje jádro a další podpůrné programy (systémové nástroje). Operační systémy můžeme rozdělit podle několika kriterií, např. podle využití stanicové (Mac OS), serverové (Windows Server 2003), v mobilních telefonech a smartphonech (Symbian). Dále je můžeme rozdělit na OS s otevřeným zdrojovým kódem open source (Linux) a s uzavřeným zdrojovým kódem (MS Windows). Další možností je např. rozdělení na příkazové OS (MS DOS) a OS s grafickým rozhraním (Windows XP). v příloze č. 1. Historie a postupný vývoj především platformy Windows je podrobněji popsána 3.1 Současné klientské OS Windows Windows XP Na trh byl uveden v roce 2001 a dodnes je považován za jeden z velmi povedených operačních systémů z dílny Microsoftu. Z počátku byl systém koncipován pro domácí použití, ale Microsoft vydal také verzi Proffesional pro firemní využití a spolupráci s Windows Server Byly vyvinuty verze jak pro 32 bitovou architekturu tak i pro 64 bitovou (vydána až v roce Po vydání Windows XP Microsoft vytvořil aktualizační balíčky, které opravili nedostatky a chyby tohoto systému, a to Service Pack 1 rok 2002 (podpora USB 2, jazyku Java, podpora SATA disků větších než 137 GB) dále to byl Service Pack 2 rok 2004 (podpora šifrování WPA u Wi-Fi, podpora bluetooth, aj.) a Service Pack 3 rok Prodej tohoto systému byl však ukončen v roce 2008, vydávání důležitých bezpečnostních balíčků bylo však prodlouženo do roku 2014, poté bude ukončena veškerá podpora pro tento produkt. 1 1 Zpracováno dle: Windows XP Wikipedia, dostupné na WWW: 5

6 Windows Vista Vydány byly v roce Možnost využití a je obdobné jako Windows XP (domácnosti, firmy), také verze jsou obdobné jak pro 32 tak pro 64 bitovou architekturu. Vydány byly zatím dva aktualizační balíčky a to Service Pack 1 (vylepšení spolehlivosti, výkonu a bezpečnosti systému) a Service Pack 2 (vylepšena kompatibilita programů, vylepšená podpora nového HW, vylepšená možnost vyhledávání). Oproti Windows XP byla výrazně upravena grafická podoba OS. 2 Windows 7 Na trh byl tento systém uveden koncem roku Oproti Windows Vista přinášejí modernizaci v oblasti kompatibility s novým HW a novými aplikacemi. Windows 7 jsou oproti Vista stabilnější a pracují rychleji. Výraznou novinkou je podpora multi-dotykových (více prstů najednou) ovládacích prvků. Další novinkou je podpora vícejádrových procesorů a nebo rozpoznávání řeči a rukopisu. Upravena byla i grafická podoba OS Současné serverové OS Windows Windows Server 2003 Tato verze serverového OS je plnohodnotným nástupcem verze Win. Server 2000 rozšířená o novinky v oblasti rychlosti, stability, bezpečnosti. Inovací prošla také podpora malých a velkých sítí, práce s internetovým prostředím a podpora aplikací. Win. Server 2003 nabízí svým uživatelům síťovou strukturu, která dovoluje bezproblémové připojení ke všem běžně používaným serverům (např. poštovní, databázový, souborový, aj.) Novinkou v tomto produktu je podpora bezdrátových sítí a jejich protokolů 802.1x pro dynamická hesla a certifikáty. 4 2 Zpracováno dle: Windows Vista Wikipedia, dostupné na 3 Zpracováno dle: Windows 7 Wikipedia, dostupné na 4 Zpracováno dle: Bohdan Cafourek a Dalibor Kačmář, Microsoft Windows Server 2003, Vydavatelsví a nakladatelství Computer Press 2003, ISBN

7 Podpora jednotlivého přihlášení v Active Directory zvyšuje bezpečnost, neoprávněný přístup je pak řešen pomocí ověřování protokolu Kerberos a PKI. Vylepšena byla také podpora VPN. Další novinkou byla integrace webového serveru IIS 6.0 jakožto služby, který je bezpečnější a spolehlivější, nabízí izolaci aplikací a výrazně zvýšený výkon, dokonce existuje samostatná edice určená pouze pro práci webového serveru. 5 Windows Server 2008 Na trh byl uveden v roce 2008 a vyvíjen byl na stejném zdrojovém kódu jako Windows Vista. Microsoft vydal verzi jak pro 32 bitovou tak i pro 64 bitovou architekturu. Oproti Win. Server 2003 podporuje protokol IPv6, zlepšena byla také rychlost a bezpečnost. Výraznou novinkou je instalace Server Core, jedná se o ořezanou verzi (chybí Internet Explorer, NET framework 3.0 a další prvky) Inovací prošli také role Active Directory a Terminal Services. 3.3 Role u Windows Server Terminálový server Role umožňuje uživatelům přistupovat k jakémukoliv serveru s OS Windows Server 2003 a využívat aplikací, centrálně nainstalovaných na tento server, dále mohou pracovat a ukládat soubory, mohou také využívat síťových prostředků (síťové disky, tiskárny, aj.) jako by byli lokálně nastaveny na jejich počítačích. Výhodou je snížení nákladů na nákup stolních počítačů, údržbu a správu. 7 5 Zpracováno dle: Bohdan Cafourek a Dalibor Kačmář, Microsoft Windows Server 2003, Vydavatelsví a nakladatelství Computer Press 2003, ISBN Zpracováno dle: Windows Server 2008 Wikipedia, dostupné na WWW: 7 Zpracováno dle: Přehled systému Windows Server 2003, Standard Edition, [online], dostupný na WWW: 7

8 Souborový server Tato součást umožňuje administrátorovi spravovat zabezpečení přístupu k jednotlivým souborům a sdílet tak soubory cílové uživatelské skupině. Součástí zabezpečení souborů je také funkce EFS (Encrypting File System), která šifruje jednotlivé soubory podle veřejného klíče a potlačuje tak možnosti útoku nebo krádeži klíčových dat. Důležitým prvkem této role je podpora systému souborů DFS (Distributed File System). Jedná se o schéma vytváření názvů pro sdílené soubory ve Windows. Díky tomu může jediná sdílená složka obsahovat soubory a adresáře na dalších jiných serverech. Role dokáže sledovat využité místo na disku a upozorňovat jednotlivé uživatele na nedostatek místa na disku, popř. jej automaticky omezovat. Tiskový server Role je určena ke správě síťových tiskáren, konfiguraci a distribuci jednotlivých tiskáren uživatelům v síti. Podporuje několik tisíc tiskáren od různých výrobců. Umožňuje také instalaci a zvýšenou úroveň řízení ovladačů tiskáren. Zajišťuje také vyšší spolehlivost a stabilitu tiskových zařízení. Užitečnou součástí je možnost správy tiskáren přes webový prohlížeč (obnova, odstranění tiskové úlohy, zobrazení stavu tiskárny, aj.) Pokud to dovoluje zabezpečení přístupu k tiskárnám, server dokáže distribuovat jednotlivé ovladače na lokální počítače. Poštovní server (POP3, SMTP) Role poštovního serveru obsahuje protokoly pro stahování elektronické pošty POP 3 a protokol pro odesílání a přenost elektronické pošty SMTP. Oba protokoly umožňují uživateli připojení k poštovnímu serveru a stahovat elektronickou poštu do lokální stanice. K přístupu a přenosu ů je zapotřebí instalovat lokálního poštovního klienta např. Microsoft Outlook. 8 8 Zpracováno dle: Přehled systému Windows Server 2003[online], Standard Edition, dostupný na WWW: 8

9 Vzdálený přístup/server VPN Role popsána v kapitole VPN, na str. 29. Server WINS WINS překládá adresy IP na názvy klientských stanic rozhraní NetBIOS a opačně, umožňuje tako uživatelům hledat stanice pomocí jména, uživatel tak nemusí vyhledávat stanice pomocí IP adresy. Tato technologie se využívá především u stanic s nižšími verzemi OS Windows. Řadič domény (Active Directory) Role umožňuje správu uživatelských účtů v doméně. Ukládá informace o těchto účtech (hesla, uživ. Jména, informace o umístění daného uživatele, aj.) Dále zde probíhá ověření uživatele při přihlášení do domény. Umožňuje také správu počítačů přihlášených do domény. Spolu se službou Group Policy Management tvoří velice efektivní zabezpečovací prvek v prostředí domény. Server DNS Tato součást zastává podobnou roli jako server WINS. Překládá doménové nazvy na adresy IP a naopak. Umožňuje uživateli při přístupu např. na internetovou doménu zadat pouze název domény (např. namísto toho aby zadával do adresního řádku IP adresu serveru. DNS však překládá doménové nazvy i v rámci lokální sítě. V prostředí lokální domény jsou vždy servery dva, primární a sekundární. V primárním serveru vznikají DNS záznamy jednotlivých stanic vč. IP adres, sekundární slouží jako záloha a zároveň ulehčuje práci primárnímu serveru, vytížení se tak rozkládá na oba servery. 9 9 Zpracováno dle: Přehled systému Windows Server 2003[online], Standard Edition, dostupný na WWW: 9

10 Server DHCP Server DHCP slouží k přidělování IP adres a dalších parametrů protokolu TCP/IP. V této roli lze nastavit adresní rozsah, který pak následně jednotlivým stanicím v síti přidělován. Kromě IP adresy přiděluje DHCP server také IP adresu masky sítě, výchozí brány a serverů DNS. IP adresu server přiděluje na určitý čas, po uplynutí této lhůty stanice opět zažádá o přidělení nové IP adresy, pokud není původní adresa obsazena, dostane ji zpět, pokud ano server přidělí adresu novou Zpracováno dle: Přehled systému Windows Server 2003[online], Standard Edition, dostupný na WWW: 10

11 4. Serverová struktura Cognor Stahlhandel Jak již bylo zmíněno, společnost Cognor Stahlhandel vlastní dvě pobočky, jedna leží v Pardubicích, druhá ve Vyškově. Pardubice Hlavní klimatizovaná serverová místnost (cca 15 m 2 ) se nachází v Pardubicích, zde jsou umístěny 3 rackové skříně (viz. Obr č. 3) a záložní zdroj UPS. V první jsou umístěny panely s čísly jednotlivých datových přípojek, switche, převodníky (optika-ethernet, AD-DA). V druhém z racků je v horní části umístěn hlavní router, call manager a HW-firewall, v prostřední části se nachází monitor, klávesnice a switch, který slouží na přepínání mezi servery. Ve spodní části jsou umístěny nerackové servery (Navision server a server kde běží docházkový systém). V posledním racku jsou umístěny rackové servery novějšího typu (doménový řadič, terminálový server, file server, aplikační server na kterém běží kamerový systém) a dva nerackové servery (webserver, print server). Krom serverové místnosti je v prostorách skladu, který se nachází odděleně od administrativní budovy umístěna nehořlavá racková skříň, kde jsou umístěny zálohovací servery (2 ks). Obr. 4 rackové skříně v serverové místnosti Pardubice 11

12 Vyškov V lokalitě Vyškov je rozměrově menší serverová místnost (8 m 2 ), kde jsou opět umístěny dvě menší rackové skříně. První je osazena několika switchi, panelem s jednotlivými datovými přípojkami, hlavním routerem a call managerem. V druhém racku je umístěn druhý doménový řadič, záložní zdroj ups a police s monitorem a klávesnicí. Obr. 5 Serverová struktura Cognor Stahlhandel 12

13 5. Doménová struktura Cognor Stahlhandel Společnost využívá stromovou doménovou strukturu, kterou zajišťují dva doménové řadiče běžící na OS Windows Server Z důvodu replikování a zajištění správného chodu doménové služby Active Directory je jeden fyzicky umístěn v serverové místnosti v Pardubicích a druhý ve Vyškově. Doména provozovaná na těchto serverech má název cognor.local a je rozdělena na interní uživatele, kde jsou skupiny Management (vedení společnosti) IT Department (IT oddělení) External users (externí uživatelé) a Universal (neobsazená skupina) dále jsou uživatelé rozdělení dle lokalit (Pardubice, Vyškov) kde jsou jako podskupiny obsaženy jednotlivá funkční oddělení (fin. kancelář, prodejna, mobilní prodejci, oddělení nákupu, oddělení technologie a sklad). Oba tyto servery také zajišťují přidělování IP adres v daných lokalitách prostřednictvím role DHCP server. Obr. 6 Doménová struktura domény cognor.local 5.1 Doménová politika (GPM) Jedná se o nástroj, pomocí kterého se definují a nastavují jednotlivá pravidla konfigurace systému Windows (především stanice) a který je úzce spjat s jednotlivými objekty v doméně (Group Policy Objects - GPO), v našem případě konkrétně jednotlivá funkční oddělení v Active Directory (AD). Z obecného hlediska lze říci, že se v dnešní době hojně využívá tato 13

14 součást systémů Windows a to jak u stanicových, tak u serverových OS. U win. serveru 2003 i 2008 k tomuto slouží Group Policy Management Console GPMC, kde se jednotlivé politiky definují a aplikují se následně na konkrétní funkční skupiny v AD. V této konzoli má správce možnost nejen konfigurace, ale také zobrazení celkového přehledu nastavení dané politiky. Politiky se mohou dle potřeby vypínat, zapínat, upravovat nebo aplikovat na další GPO. Řešení v Cognor Stahlhandel Z důvodu zabezpečení využívají některé skupiny rozdílných doménových politik (Group Policy Management), a to především externí uživatelé. Do této skupiny spadají firemní uživatelé z pobočky v Rakousku ale také externí společnosti zajišťující řešení výpadků (databáze skladového systému, databáze docházkového systému, aj.) Tito uživatelé využívají připojení na terminálový server, kde je politika nastavena tak, že se jim po přihlášení do domény zobrazí pouze potřebné okno, popř. se spustí program, který potřebují využít (IS Navision, Oracle database management, atd.) Tato politika ovšem zakazuje jakoukoliv jinou manipulaci se systémem a ostatním dostupným softwarem (zakázaná plocha, menu start, síťové disky, připojení k internetu, aj.) Vždy záleží, o jakého uživatele se jedná a co daný uživatel konkrétně potřebuje provést. Podobná politika je také použita pro oddělení sklad, uživatelé mají z důvodu bezpečnosti zakázaný přístup k internetu, plocha obsahuje pouze ikonu pro spuštění skladového a informačního systému a ikonu pro poštovního klienta. Obr. 7 ukázka z GPMC 14

15 6. Zálohování dat Proces zálohování firemních dat je nezbytný pro správný chod firmy především z důvodu zabezpečení ztráty nebo poškození firemních dat. Firma se tím jistí, pokud dojde k výpadku nebo poškození datového úložiště, správce má možnost obnovit data ze záloh a tím zajistit další bezproblémový chod společnosti. Zálohování může být provedeno již před spuštěním samotného systému, databáze aj. prostřednictvím diskových polí RAID, které se používá právě kvůli možnému poškození pevných disků. V tomto případě jsou data ukládána a replikována na vice disků současně (záleží na použitém RAIDu 0,1,5,6, atd.) a v případě poruchy jednoho z disků, správce pouze vymění poškozený disk za nový, jenž přidá zpět do pole, kde následně začne rekonstrukce pole, při které jsou dopočítány chybějící data a zapsány na nový pevný disk. RAID 0 jedná se pouze o spojení jednotlivých členů v celek, kde jsou data ukládány buď lineárně, nebo prokládaně (striping), nicméně nedochází k žádné ochraně dat, výpadek disku znamená ztrátu dat 11 ( Obr. 8 RAID 0 RAID 1 jedná se o tzv. zrcadlení (mirroring) disků, kde se data současně ukládají na dva disky, tzn. jeden disk je přesnou kopií toho druhého, velice efektivní způsob zálohování, nicméně nutnost dvojnásobné velikosti diskového prostoru Disková pole RAID, dostupný na WWW: 12 Zpracováno dle: Disková pole RAID, dostupný na WWW: 15

16 ( Obr. 9 RAID 1 RAID 5 základem je využití 3 diskových členů, přičemž kapacitu jednoho členu zabírají samoopravné kódy (parita), které jsou rozprostřeny na všechny 3 členy střídavě, data jsou do pole opět ukládána střídavě (pomalejší zápis nutnost výpočtu samoopravného kódu); při výpadku jednoho disku se dopočítají na základě samoopravných kódů chybějící data 13 ( Obr. 10 RAID 5 RAID 6 je to obdoba diskového pole RAID 5 s tím, že využívá dvě rozdílné sady na sobě nezávislých samoopravných kódů (zabírají velikost dvou členů), které jsou opět rozprostřeny na všechny členy střídavě vč. ukládaných dat; je odolný proti výpadku dvou disků 14 ( Obr. 11 RAID 6 13 Disková pole RAID, dostupný na WWW: 14 Zpracováno dle: Disková pole RAID, dostupný na WWW: 16

17 Ve firmách se používá většinou kombinace diskového pole RAID a pravidelné softwarové zálohování. Ve většině případů se jedná o zautomatizovaný proces zálohovacího programu (např. Windows NT Backup, Symantec Backup Exec, aj.), kde je nastavena pravidelná perioda zálohování a ukládání těchto záloh na jiné úložiště, než kde jsou data původně fyzicky ukládána. 6.1 Zálohování v Cognor Stahlhandel Veškeré servery, ať už s OS Windows Server 2003 nebo 2008 využívají diskového pole RAID 1. Jelikož dochází k občasnému výpadku či poškození jednoho z disků je tato volba optimální z hlediska zachování běžného provozu ve společnosti. Co se týče zálohování softwarem, společnost má nakoupeny dvě licence Symantec Backup Exec System Recovery 2010 Server Edition. (info. zde), které jsou využity především na zálohy souborového serveru a doménového řadiče. Zálohy terminálového a aplikačního jsou zajištěny pomocí NT Backup nebo Symantec Backup Exec System. Krom toho se ještě na každém serveru zálohují registry, systémové soubory a nastavení, tzv. System state, opět pomocí NT Backup nebo Symantec Backup Exec System. Dále se zálohují databáze a to IS Navision pomocí naprogramovaného souboru batch (.bat), databáze evidence dělení skladových zásob Irkuma, pomocí speciálního zálohovacího softwaru přímo od výrobce (Vítkovice ITS, a. s.) a také databáze docházkového systému opět pomocí speciálního programu od výrobce (ESKON, a.s.) Veškeré zálohy jsou pak ukládány na dvojici zálohovacích serverů o celkové kapacitě 1,5 TB umístěné mimo administrativní budovu ve skladových prostorách, v nehořlavé uzavřené rackové skříni, která obsahuje protiprachové filtry a externí ventilátory a je napojená na zabezpečovací systém EZS. 17

18 6.2 Zálohovací harmonogram Domain Controler System state je zálohován každý den, dále je pak zálohována celá systémová partition a to 3x týdně. Na této partition je provozována administrační konzole antivirového programu a jsou zde ukládána veškerá nastavení tohoto softwaru. Zálohy jsou vytvářeny systémem Symantec Backup Exec System Recovery 2010 Server Edition. File Server Jelikož na tomto serveru není nijak složité systémové nastavení, je system state zálohován 1x týdně. Dále je zde vyčleněna partition s názvem společný, která obsahuje jednotlivé podadresáře pro obě lokality (Vyškov, Pardubice) přístup a zabezpečení je řízen dle požadavků jednotlivých funkčních oddělení a vedení, kde jsou ukládány veškeré firemní dokumenty (především typu Word, Excell, PDF, aj.) Ukládají se zde např. reporty pro interní i externí potřebu, evidence došlé a odchozí pošty, účetní podklady, oskenované atesty, aj. Ta je z důvodu vysoké důležitosti zálohována denně. Další partition s názvem home obsahuje adresáře jednotlivých uživatelů tyto adresáře se nazývají vždy podle příjmení uživatele (např. svoboda). Přístup do své složky má vždy pouze daný uživatel a samozřejmě administrátor. Slouží přímo pro jejich potřebu (především pro zálohu firemních dat uložených na lokálních PC a noteboocích, archivy a osobní mailové složky -.pst, aj.) Zaměstnanci mají výslovný zákaz ukládat na souborový server jakékoliv soukromé data. Jelikož partiton slouží zaměstnancům pro zálohu dat a také z důvodu velké kapacity (400 GB) není ji možné z důvodu omezené kapacity na backup serverech zálohovat ještě zvlášť. Poslední partition je vyčleněna správci sítě, kde má uloženu svou dokumentaci (návody, postupy) dále instalační soubory, aj. Celý server je zálohován opět pomocí Symantec Backup Exec System Recovery 2010 Server Edition. 18

19 Navision Server Opět zde není nijak složité systémové nastavení, proto se system state zálohuje 1x týdně pomocí NT Backup. Důležitým prvkem je však informační systém Microsoft Business Solution Navision ver A. V IS jsou veškeré informace týkající se financí, evidence majetku, skladového hospodářství, personalistiky, reportingu, aj. Tyto informace se ukládají do databáze, která je prakticky páteří celé společnosti. Zálohování databáze se provádí pomocí naprogramovaného dávkového souboru batch (.bat), který zkopíruje každý den celou databázi na zálohovací server. Terminal Server Na serveru je provozována evidence dělení skladových zásob Irkuma, běžící na databázi Oracle databáze je zálohována každý den prostřednictvím vlastní aplikace, která je spouštěna jako naplánovaná úloha. Dalším důležitým prvkem pro zálohování jsou jednotlivé uživatelské profily, které jsou opět zálohovány každý den prostřednictvím NT Backup. System state je zálohován 2x v týdnu rovněž aplikací NT Backup. Aplication Server Server slouží k provozu kamerového systému ve skladových prostorách. Systém slouží pouze pro online dohledování, nikoliv zálohování záznamu. Z tohoto důvodu stačí zálohovat pouze system state a to 1x týdně pomocí NT Backup. Docházkový Server Na serveru je spuštěn docházkový systém BIS od společnosti ESKON (informace zde) Veškerá data jsou zapisována do databáze MYSQL, která je následně denně zálohována externím produktem rovněž od společnosti ESKON (součástí celého docházkového systému BIS). Záloha system state se provádí 1x týdně Print Server Na serveru jsou nainstalovány jednotlivé síťové tiskárny pro celou firmu. Důležitou součástí je však software pro programování NC stojů s názvem SAPS ProW od společnosti 19

20 Antalsoftware (info. zde), kde jsou do souborů ukládány veškeré pálící plány a další agenda týkající se dělení materiálu. Soubory jsou zálohovány 2x týdně, system state také 2x týdně. Harmonogram zálohování jednotlivých serverů Server Po Út St Čt Pá So Ne Domain Controler File Server Navision Server Terminal Server Aplication Server Docházkový Server Print Server, Pálení Legenda System state Soubory Databáze 20

21 7. Síťová struktura v Cognor Stahlhandel 7.1 Rozvody strukturované kabeláže V obou pobočkách jsou rozvody metalické strukturované kabeláže uloženy v souběhu s rozvody silnoproudého napájení ve společných rozvodných trasách. Většinová část tras je vedena v podhledech budovy, zbývající v kovových (ve stolech), nebo plastových (serverovna) rozvodových lištách umístěných pod omítkou. Vzájemné oddělení a stínění strukturované kabeláže od silových kabelů je provedeno vloženými plechovými přepážkami vedoucí ve všech trasách po celé jejich délce. Pro rozvody byly použity 8 žilové kabely UTP na jedné straně svedené do patch panelu (viz. obr. č. ) umístěnými v serverových místnostech (Pardubice, Vyškov) a na druhé straně napojeny do ethernetových dvouzásuvek vždy označenými číslem zásuvky a písmenem port (A nebo B). 7.2 Rozvody silnoproudého napájení Silnoproudé vedení v Pardubicích je rozděleno na dvě větve, zálohovanou a nezálohovanou. Obě větve jsou napojeny na přepěťovou ochranu 2. stupně včetně všech kovových rozvodných tras (stínící žlaby). Zálohovaná větev je napojena na záložní zdroj UPS Victron D5-11 o výkonu 4 kw (2,9 kva) při stávající kapacitě baterií (80 %) je schopen při výpadku dodávky el. energie utáhnout celou společnost po dobu minut (záleží kolik zaměstnanců se v daném momentu vyskytuje ve firmě a má zapnutý PC, tiskárnu nebo jiné zařízení. Nezálohovaná větev je vždy svedena do zásuvek s bílým krytem, zálohovaná do zásuvek s hnědým krytem. Ve Vyškově je vedení centrálně nezálohované, jelikož zde nejsou umístěny životně důležité prvky jako např. server s IS aj. Větev a všechny neživé části jsou napojeny na přepěťovou ochranu 2. stupně. V serverové místnosti jsou umístěny dva záložní zdroje APC Smart-UPS Rack-mount 1500I o celkovém výkonu 2 kw, které zálohují především replikovaný doménový řadič, který zároveň slouží jako DHCP server, dále pak dva obyčejné 21

22 switche, dva POE switche, které slouží k napájení IP telefonů, hlavní směrovač, call manager a AD/DA, Optika/Ethernet převodníky. Při výpadku dokáží oba zdroje napájet zařízení po dobu 8-10 minut. 7.3 Datová Síťová struktura Obecný úvod do problematiky sítí Sítě můžeme rozdělit podle více hledisek, např. podle rozsahu dané sítě (LAN, MAN, WAN) podle použité topologie (hvězdicová, sběrnicová, kruhová) popř. použité technologie (optická multimode, singlemode; metalická Ethernet; bezdrátová - WiFi) aj. V mém případě se zaměřuji na popis hvězdicové sítě LAN s využitím optické a metalické technologie. LAN několik vzájemně komunikujících zařízení (PC, servery, aktivní síťové prvky, mobilní zařízení, aj.) propojených datovým komunikačním médiem (kabel, bezdrátový spoj, aj.) na rozloze cca do 1000m 2 Hvězdicová topologie prostředí, ve kterém je několik počítačů připojeno k centrálnímu síťovému prvku rozbočovači (např. HUB); počítač vyšle signál, který se zkrz rozbočovač šíří do všech ostatních počítačů v prostředí a zajišťuje tak vzájemnou komunikaci; pokud však rozbočovač vypoví svou činnost, odřízne tak všechny počítače v síti a zamezí jim v komunikaci HUB Obr. 12 Hvězdicová topologie 22

23 Aktivní síťové prvky HUB (rozbočovač) zařízení, které je osazeno několika zásuvkami porty, do kterých je napojeno x počítačů, síťových tiskáren, a jiných zařízení; v síti se chová jako opakovač signálu, který přijde na jeden port, odešle ho na všechny zbývající porty, tzn. že všechny počítače v síti přijímají stejný signál, který jeden odešle SWITCH (přepínač) opět obsahuje několik portů, dokáže však již adresovat signál odeslaný z jednoho PC konkrétnímu PC tzv. přepínáním na principu fyzických adres síťových karet MAC adres (každá síťová karta má svou unikátní fyz. adresu) ROUTER (směrovač) prvek, bez kterého se dnes již neobejde větší síťové prostředí slouží především k propojení dvou a více sítí, pracuje na síťové vrstvě OSI modelu, dokáže směrovat datové provozy na základě síťových adres IP, umožňuje široké možnosti nastavení směrování, překládání, zabezpečení v síti. Optická vlákna a technologie přenosu Přenosu dat v optických vláknech se využívá především tam, kde je nutno překonat delší vzdálenosti (více než 100m) a kde nestačí již využití metalických kabelů z hlediska útlumu přenášeného signálu. Technologie spočívá v průchodu světelného paprsku (paprsků) jádrem opt. kabelu, kde na jedné straně je tzv. generátor světelného záření (LED dioda, laserová dioda) a na druhé straně el. prvek absorbující světelné záření (fotodioda). Paprsky se odráží pod určitým mezním úhlem od vnější stěny jádra opt. kabelu a postupují dál směrem ke konci kabelu. Optický kabel se skládá ze tří vrstev, jádro tvoří skleněná vlákna, další vrstva je ochraná a zpevňující jádro a třetí je vnější ochranná vrstva, která chrání vnitřní vrstvy od nepříznivých okolních vlivů, např. vlhkost, prach, světlo, aj. Poslední vrstva je obvykle tvořena akrylátem. Kabely se dělí na mnohovidová jádrem prochází více paprsků zároveň, které je levnější, ale dá se použít na kratší vzdálenosti (do 1000m) a jednovidová jádrem prochází pouze jeden paprsek, které je dražší, ale dá se použít až do vzdálenosti 8 10 km. 23

24 Obr. 13 průchod parsku(ů) opt. kabelem Přenos signálu po metalickém kabelu - Ethernet UTP, STP - (kroucená dvojlinka) Dnes nejrozšířenější medium pro přenos dat. Konkrétně se jedná o přenos elektromagnetického signálu po vedení s vodivých materiálů (nejčastěji měď) přenášející informace (bity 1 a 0). Kabel obsahuje 4 páry vodičů, vzájemně zkroucených z důvodu snížení rušení a vyzařování signálu do okolí. K zakončení se používají konektory RJ-45. Tato technologie lze za optimálních podmínek použít do vzdálenosti 100 m, dále již dochází k útlumu signálu a ztrátě přenášených dat. Je možné použít tzv. opakovač signálu repeater, který na konci přenosového media signál zopakuje a přenese ho na další síťový segment. Kabeláž se dělí na UTP - Unshielded Twisted Pair neboli nestíněná kroucená dvojlinka a STP - Shielded Twisted Pair stíněná kroucená dvojlinka. Kabel obsahuje 4 páry vodičů. K zakončení se používají konektory RJ-45. Obr. 14 průběh signálu v UTP kabelu 24

25 Koaxiální kabel Dnes již málo využívané médium v oblasti sítí a přenosu dat. Kabel se skládá ze 4 částí, vodivé jádro, nevodivá vrstva dielektrikum, stínící plášť a zevní ochranná vrstva. Dříve se např. používal v tzv. sběrnicové topologii na vzdálenost max. 185 metrů. Jednotlivé PC se sériově spojily koaxiálním kabelem, z něhož ke každému PC vedle odbočka osazená BNC konektorem, který se zapojil přímo do síťové karty počítače. Při rozpojení došlo k celkovému kolapsu sítě. 7.4 Konkrétní řešení dat. rozvodů Cognor Stahlhandel LAN Pardubice V rámci místní sítě je využito rozvodů strukt. kabeláže, jednotlivé zásuvky jsou z patch panelu fyzicky zapojeny do rackových switchů (viz. obr. č. 3 str. 6) opět pomocí 8mi žilových UTP kabelů osazených koncovkami RJ-45. Společnost využívá switche od společnosti CISCO a to: Cisco 2900 XL, 24 portů 2ks (techn. specifikace zde) Cisco Catalyst 2950, 24 portů 2 ks (techn. specifikace zde) Cisco Catalyst 2960, 24 portů 2 ks IP telefonie (tech. specifikace zde) Cisco Catalyst 2970, 24 portů 1 ks (techn. specifikace zde) V rámci skladových prostor, kde bylo nutno překonat relativně velké vzdálenosti od serverové místnosti (100 a více metrů) jsou použity optické rozvody tak, aby byla zachována kvalita signálu a ucházející přenosová rychlost (10 Mbit/s jednotky Gbit/s). K těmto rozvodům jsou připojeny pilovrtací a pálicí stroje a 3 počítače. Optické rozvody jsou svedeny v ochraných tvrdých lištách do serverovny a osazeny do převodníků optika/ethernet a následně zapojeny do switchů. V případě Pardubic se jedná o 6 párů optické kabeláže. Dalším síťovým prvkem využitým v rámci LAN je bezdrátový přístupový bod Cisco Aironet 1130AG (techn. specifikace zde), který zajišťuje pohodlné a stabilní připojení do místní sítě. Přístupový bod je napájený přímo z datové sítě (power over ethernet zkr. POE) 25

26 pomocí injektoru umístěného v serverové místnosti. Bohužel v rámci skladových prostor, kde je stále umístěno mnoho kovových prvků signál slábne a tudíž není možno ho v těchto prostorách stabilně využít. LAN Vyškov Struktura sítě LAN na této pobočce je prakticky obdobná jako v Pardubicích, s tím rozdílem, že je zde využito méně switchů. S ohledem na počet zaměstnanců zatím není důvod využívat dalších. V serverové místnosti jsou umístěny tyto typy přepínačů: Cisco Catalyst 2950, 24 portů 2 ks (techn. specifikace zde) Cisco Catalyst 2960, 24 portů 2 ks IP telefonie (tech. specifikace zde) K připojení strojů na příčné a podélně dělení plechů, pilu a vrtacího centra je opět využito optických mnohovidových rozvodů, jelikož se zde opět potýkáme s přenosem dat na velkou vzdálenost. Stejným způsobem jsou připojeny i počítače sloužící ke skladové agendě. Rozvody jsou uloženy v pevných nárazu odolných kanálech tak, aby nedošlo k jejich poškození, nebo přerušení. V serverové místnosti umístěné v administrativní budově, která přímo sousedí se skladovou jsou optické rozvody napojeny opět na převodníky optika/ethernet a následně připojeny přes switch do sítě LAN. Pro bezdrátový přístup jsou v této lokalitě použity dva přístupové body Cisco Aironet 1130AG napájení přímo z datové sítě (POE). Jeden je umístěn uvnitř administrativní budovy, kterou spolehlivě pokrývá a jeden je umístěný uvnitř skladové haly, kde slouží pro připojení dvou PC sloužící pro skladovou agendu, snížili se tak náklady na zavedení optických rozvodů, jelikož zde to okolní podmínky dovolují. 26

27 7.5 IP adresace Cognor Stahlhandel IP adresa 32 bitové číslo rozdělené po 8mi bitech, např které zřetelně identifikuje síťový prvek (síťová karta v PC, router, switch, atd.), dnes se používá IP ver. 4, ale do budoucna se z důvodu postupného docházení rozsahu počítá se zavedením IP ver. 6, která je 128 bitová; podle počtu sítí a uzlů (stanic) v nich se dělí na třídu A ( ) možno využít pro 128 sítí a stanic v každé síti, třídu B ( ) možno využít pro sítí a stanic v každé síti a třídu C ( ), kterou je možno využít pro sítí a 256 stanic v každé síti. Ve společnosti Cognor je využita z důvodu nižšího počtu sítí (2) a nižšího počtu stanic (okolo 100) IPv4 třída C. V pardubické lokalitě byl zvolen rozsah /24 (síťová maska ). Potřebu přidělování IP adres pro klientské stanice zajišťuje role DHCP běžící na primárním doménovém řadiči. Ve Vyškově je použit rozsah /24 (síťová maska ). Příděl IP adres klientským stanicím opět zajišťuje DHCP server, který běží na záložním doménovém řadiči. Do budoucna se z důvodu centralizace s ostatními evropskými pobočkami počítá s přeadresací místních sítí v obou lokalitách a to s rozsahy /24 pro Pardubice a /24 pro Vyškov. 27

28 Tabulka přidělovaných rozsahů Rozsah Druh zařízení Přidělení/nastavení aktivní síťové prvky pevně nastaveno síťové tiskárny rezervace dle MAC na DHCP NC, výrobní a dělicí stroje, převodníky pevně nastaveno servery pevně nastaveno klientské stanice DHCP firewall (výchozí brána) pevně nastaveno aktivní síťové prvky pevně nastaveno síťové tiskárny rezervace dle MAC na DHCP NC, výrobní a dělicí stroje, převodníky pevně nastaveno servery pevně nastaveno klientské stanice DHCP směrovač (výchozí brána) pevně nastaveno Legenda Pardubice Vyškov 7.6 Internetové připojení v Cognor Stahlhandel Společnost při výběru chtěla zvolit takovou variantu, aby co nejspolehlivěji pokryla potřeby jednotlivých uživatelů. Kladla důraz především na stabilitu a spolehlivost connectivity, dále to byla nutnost vzájemného propojení obou poboček rychlým datovým spojem, jelikož celá vyškovská pobočka je nucena přistupovat k firemní síti do Pardubic, kde jsou umístěny všechny důležité servery, a to především IS, souborový server, docházkový, atd. (viz serverová struktura obr. 5 na str. 12) Dalším důležitým faktorem byla také cena a spolehlivé dohledování obou spojů, jak směrem do internetu tak obousměrného provozu mezi pobočkami. Z několika nabídek se rozhodla pro řešení, které dokázalo pokrýt tyto potřeby za nejlepší cenu na trhu a v rámci nabídky bylo navrženo komplexní řešení datového, hlasového a mobilního spojení. Řešení obsahuje připojení k internetu, propojení Vyškova s Pardubicemi vč. VPN propoje, IP telefonii (pevné linky), mobilní část (hovorné v rámci mobilní sítě a CDMA spojení a také službu pro monitoring firemních automobilů. 28

29 Specifikace poskytovaného připojení a použitý HW Pardubice jako hlavní centrála Cognor pro Českou republiku využívá synchronní spojení o celkové přenosové rychlosti 8Mbit/s. Spojení je fyzicky rozděleno na 4 okruhy o přenosové rychlosti 2 Mbit/s na jeden okruh, které jsou zakončeny koncovkami RJ-11 a fyzicky napojeny do DSL routeru, který je ve vlastnictví poskytovatele. Jedná se o router Cisco 2811 (techn. parametry zde) který kromě směrování dokáže zastávat funkci firewallu (v Cognoru nevyužito) a také dokáže mezi dvěma koncovými směrovači navázat VPN tunel. Další částí je vzájemné obousměrné spojení mezi pobočkami. Opět se jedná o synchronní spoj o celkové přenosové rychlosti 8Mbit/s. Na spoji je z důvodu zabezpečení datového toku provozován šifrovaný neautentizovaný VPN tunel, do kterého je směrován veškerý datový traffic (provoz) z Vyškova do Pardubic a naopak. Vyškovská pobočka využívá tohoto tunelu i pro přístup do internetu, jelikož z hlediska minimalizování nákladů na sledování provozu zde není umístěn firewall. Dohledováno je 24 hodin denně, kde ve smlouvě je ošetřeno i odstranění výpadku připojení a to do doby max. 4 hodin. 7.7 VPN (Virtual Private Network) Jedná se autentizované a šifrované spojení mezi dvěma a více síťovými segmenty, které dokáže zabezpečit datový tok a zamezit tak v důsledku ztrátě dat, výpadku prodeje nebo výroby nebo zneužití dat jinou osobou. Pro spojení se využívá veřejně přístupné sítě, nejvíce využívaný je internet. Připojení je možné vytvořit mezi jednotlivými LAN sítěmi (tzv. site to site VPN) nebo způsobem uživatel LAN. VPN pracuje s několika vrstvami OSI modelu a to s linkovou (např. frame relay), síťovou (např. IP sec), transportní a aplikační (např. protokol SSL) V rámci site to site VPN se většinou využívá autentizace dvou a více LAN sítí, spoj je vytvořen mezi dvěma koncovými zařízeními v každé síti (routery, firewally), kde je autentizace na pevno nastavená (uživatel se nemusí přihlašovat do VPN, pakety jsou šifrovány a jsou automaticky nasměrovány do VPN tunelu. 29

30 Způsob uživatel LAN funguje na autentizovaném přístupu do privátní sítě VPN. Na koncovém zařízení (router, firewall) se spustí VPN server, kterému je přidělena veřejná IP adresa. Uživatel si nejdříve ve svém operačním systému vytvoří VPN připojení, kam zadá IP adresu VPN serveru. Poté se k němu připojí, kde jej server dále vyzve k zadání přihlašovacích údajů (uživatelské jméno, heslo, popř. doména). Po připojení do takovéto VPN sítě se klientské PC chová jako by bylo fyzicky připojeno do místní sítě LAN. VPN v Cognor Stahlhandel V rámci propojení obou poboček, byl na spoji spuštěn site to site VPN tunel, který uspokojuje potřebu na zabezpečení datového toku mezi pobočkami, před únikem a ztrátou přenášených dat. Provozován je mezi dvěma DSL routery Cisco 2811 (techn. parametry zde), v rámci konfigurace je zde provozován protokol IP Sec, který je dodnes považován za nejbezpečnější protokol v rámci provozu VPN. Protokol zajišťuje bezpečné šifrování jednotlivých paketů, včetně hlavičky. Při pohybu paketu směrem z Pardubic do Vyškova a obráceně, router, který je umístěn v logické topologii (viz. nákres logické topologie obr. č.12) až za DSL routerem směruje veškerý datový tok z místní sítě LAN právě na DSL router, který ho zašifruje a odešle VPN tunelem do požadované lokality, kde je na druhé straně rozšifrován a předán cílové stanici. Další VPN site to site tunel je vytvořen mezi HW firewallem umístěným v Pardubicích a v rakouském Linzi. Jelikož se rakouská strana občas potřebuje připojit do českého IS, je to opět z důvodu zabezpečení přenosu. Pro přístup zvenčí je na HW firewallu spuštěný tzv. VPN server, který autentizuje jednotlivé uživatele při přístupu (internet) do místní sítě LAN. Každý uživatel má na svém notebooku vytvořeno VPN připojení, pomocí kterého se nejdříve autentizuje a přihlásí do privátní sítě a následně pomocí aplikace vzdálená plocha se připojí k terminálovému serveru a příhlásí se do domény. V okamžiku kdy je uživatel ověřen do VPN tunelu, jeho stanice se chová jako by byla v místní síti LAN. 30

31 7.8 Nastavení směrování v Cognor Stahlhandel Směrování datového provozu z místní sítě v Pardubicích zajišťuje HW firewall, který funguje zároveň i jako směrovač. Veškerý provoz z LAN /24 do internetu je nejdříve směrován na výchozí bránu s IP což je adresa portu firewallu, který je fyzicky spojen s místní sítí. Dále je zde nastaveno obousměrné směrování z firewallu port s IP (rozsah Telefonica O2) na DSL router s IP Provoz směrem do site to site VPN do Vyškova a zpět jde opět nejdříve na výchozí bránu (firewall) a následně je směrován zkrz propoj (firewall) a (router, call manager) do VPN tunelu na DSL router s IP IP Dále je zde vytvořen fyzický propoj mezi DSL routerem a směrovačem s IP , který zároveň slouží jako call manager (není ve vlastnictví společnosti), tento propoj slouží pouze pro servisní zásahy ze strany poskytovatele IP telefonie a z důvodu zabezpečení je to ošetřeno dodatkem ke smlouvě o poskytování služeb. Z internetu směrem do firmy jsou na firewallu nastaveny statické a dynamické překlady síťových adres NAT. Z důvodu provozování internetového obchodu, je zde statický překlad 1:1 z veřejné IP na interní IP , což je adresa webserveru. Pro využívání terminálového serveru je zde nastaven statický překlad 1:1 z veřejné IP adresy na interní IP term. serveru Pro klientské stanice uvnitř sítě je zde nastaven dynamický překlad 1:N z veřejné IP na /24, /24, /24, /24. Na Vyškovské straně veškerý datový provoz z místní sítě směruje router (call manager) s interní IP Dále jde datový tok přes rozhraní s venkovní IP (call manager) na rozhraní DSL routeru s IP zkrz site to site VPN. Směrem do internetu jde datový tok zkrz VPN tunel na HW firewall v Pardubicích a až poté do veřejné sítě. 31

32 IP Configuration COGNOR Stahlhandel, Czech Rep. Pardubice and Vyškov Linz COGNOR LAN s.89 O2ISP Internet O2ISP.161 Phion COGNOR VPN Static NAT 1:1 servers: > > Dynamic NAT 1:N for client (using ) networks: / / / /24 KK VPN Vyškov WAN /29 WAN / Phion Pardubice Phone lines 3xx KKGW.90 ISDN xx KKGW.1 P2P / VOICE /24 (dgw.1) DATA NEW: /24 (dgw.1) DATA OLD: (dgw.254) ISDN [1-9]x VOICE /24 (dgw.1) DATA NEW: /24 (dgw.1) DATA OLD: /24 (dgw.254) Phone lines 1xx PSTN Obr. 15 směrování provozu v COGNOR Stahlhandel Česká Republika 7.9 Firewall Každá firemní síť se v dnešní době neobejde bez zabezpečeného přístupu do internetu, tak i z internetu. Firewall je tzv. ochranná zeď před útoky zvenčí (viry, hackeři, spam, aj.) ale dokáže také zastat funkci kontrolora (sledování přístupu k internetu uvnitř firemní sítě, měření objemu stažených dat, IP filtering, MAC filtering, aj.). Může to být buďto softwarový (např. ISA server) a následně nainstalovaný na bráně do internetu (např. proxy server) nebo hardwarový. Firewall je možný nakonfigurovat dle jednotlivých potřeb firmy, která jej chce implementovat, např. kvůli sledování provozu, webmonitoringu, spam filteru, provozu VPN, antiviru, atd. od toho se také odvíjí cena jednotlivých řešení. 32

33 Firewall v Cognor Stahlhandel Společnost potřebuje zabezpečit firemní síť před hackerskými útoky zvenčí a snížit tak riziko ztráty nebo úniku firemních dat, která by znamenala omezení nebo odstavení prodeje a dělení materiálu a společnost by tak přicházela denně o příjmy v řádu stovek tisíc korun denně. Dále potřebuje sledovat provoz a kontrolovat čas strávený opravami zvenčí směrem do firemní sítě (údržba databází, řešení výpadků IS, poplachy EZS, atd.) V neposlední řadě potřebuje mít kontrolu nad stahováním dat z firemní sítě a přístupem na internet. Z tohoto důvodu se již v minulosti rakouské vedení rozhodlo implementovat do každé pobočky, které má v Evropě hardwarový firewall a to tak aby k nim měli vzdálený přístup a mohli jednoduše sledovat provoz a ochranu na jednotlivých pobočkách. Zvolili řešení od společnosti PHION a to model netfence Sintegra S (tech. specifikace zde) Řešení pro Českou pobočku je navrženo tak, že v Pardubicích je umístěn tento firewall kam je směrován veškerý datový provoz. Datový traffic z Vyškova do internetu jde také zkrz firewall. Jedním z nastavení je povolení pouze důležitých portů zvenčí a to např. č. 80 HTTP protokol, 3389 RDP protokol, 20 a 21 FTP protokol, aj. Tímto se zajistilo a výrazně eliminovalo riziko napadení zkrz nevyužitý, nebo firmou nepoužívaný port. Na firewallu jsou také nastaveny překlady síťových adres zvenčí (viz. směrování). Další důležitou součástí je spuštění VPN serveru, kam se každý uživatel zvenčí (internet) musí nejdříve připojit a autentizovat a až poté může pracovat s daty uvnitř firemní sítě. Velmi důležitým prvkem, který umožňuje tento typ firewallu, je možnost sledování aktuálního i historického datového provozu zvenčí (čas připojení, protokoly, IP filtering, aj.) a tvorby reportů. Je to především kvůli monitoringu připojení externích společností, které řeší výpadky, údržbu různých částí IT (databáze, EZS, údržba antiviru, aj.). Tímto opatřením se firma jistí před neoprávněným vyfakturováním zásahu (např. délka zásahu) a nepřichází tak zbytečně o finanční prostředky. 33

34 Firewall slouží také jako URL filter, kam správce zadává slova, nebo celé doménové adresy a zakazuje tak přístup na tyto domény (např. erotické stránky, facebook, aj.), toto opatření slouží k tomu, aby se každý zaměstnanec věnoval své práci a netrávil čas v pracovní době prohlížením internetových stránek, které nesouvisí s jeho pracovní náplní. V neposlední řadě pak funguje pro měření nastahovaných dat z vnitřních IP adres (stahování hudby, filmů, atd.) 7.10 Dohledování ICT v Cognor Stahlhandel Primární dohled si řeší společnost v rámci vlastních zdrojů, v rámci úspor finančních prostředků zaplacených externím firmám, jedná se o desetitisíce měsíčně. IT administrátor drží pohotovost na telefonu 24 hodin denně, zároveň zastává i funkci uživatelské podpory v podniku. V případě výpadku nejdříve prověří jednotlivé části systému, pokud je schopen v rámci svých schopností vyřešit výpadek sám, odstraní jej v nejkratším možném čase. V případě, že se výpadek netýká služeb dodávaných Telefonicou O2 a není schopen jej sám odstranit, kontaktuje technickou podporu jednotlivých produktů dodaných společnosti externími firmami, jako např. docházkový systém, Oracle databáze apod. a opět se snaží poruchu odstranit v nejkratším možném termínu. Toto je ošetřeno vnitropodnikovou směrnicí. Pokud však dojde k výpadku např. internetového připojení, VPN, IP telefonie, atd. a opět není schopen jej sám odstranit, poruchu hlásí na dohledové centrum Telefonica O2, kde jsou dle vzájemné smlouvy povinni odstranit výpadek nejpozději do 4 hodin od nahlášení. 34

35 8. Telekomunikace 8.1 IP telefonie Někdy také označována jako VoIP (voice over internet protokol). Jedná se o technologii digitalizace hlasu a přenosu hlasového signálu v rámci veřejné datové sítě (internet, intranet). Čistý hlasový signál je však náročný na kapacitu přenosového media, z tohoto důvodu je nutné hlas komprimovat a snížit tak objem přenášených dat. Komprimace probíhá pomocí kompresních a dekompresních algoritmů - kodeků, tudíž není nutné provozovat IP telefonii na nijak rychlém datovém spoji, k přenosu zkomprimovaného hlasového signálu stačí stabilní připojení o přenos. rychlosti 100 kbit/s, nejčastěji ADSL, s bezdrátovou sítí může být někdy problém se ztrátovostí paketů. V současné době hojného využívání internetového připojení spousta společností využívá tuto technologii, je to především z důvodu úspor nákladů na volaní mezi pobočkami i do zahraničí (zdarma), rychlé konfigurace a možnost využití mnoha nadstandardních funkcí, jako možnost zasílání textových zpráv v rámci pevné sítě, telefonní seznam přímo v telefonu, snadné přesměrování hovoru, telekonference, atd. IP telefonie v Cognor Stahlhandel K nahrazení staré analogové ústředny IP telefoníí mělo vedení společnosti několik pádných důvodů. Hlavním kriteriem byly úspory nákladů na volání v rámci českých poboček, které měsíčně činilo přes Kč. V budoucnu je plánováno napojení do MPLS sítě, která je vybudována v několika evropských pobočkách celého koncernu Cognor a zajistí se tak bezplatné volání v rámci zahraničních poboček. Dále to byla složitá konfigurace staré ústředny a její časté výpadky. Po srovnání několika nabídek vedení společnosti rozhodlo využít řešení vč. dodávky internetového připojení (viz. kapitola Specifikace poskytovaného připojení a použitý HW str. 33) Hlavní součástí IP telefonie jsou dvě digitální ústředny call managery umístěné v rackových skříních v obou lokalitách. Call manager spravuje a přepíná hovory v prostředí datové sítě, spravují se zde informace o jednotlivých linkách (přidělování linek, správa IP 35

36 telefonů, správa distribučních telefonních seznamů, aj.) Významnou výhodou je jednoduchost konfigurace těchto ústředen, firma tak ušetří čas a finanční prostředky vynaložené na správu a opravy analogové ústředny. Call manager je v každé lokalitě napojen na ISDN modem, který zajišťuje distribuci hlasového signálu a je branou do veřejného telefonního vedení. V obou lokalitách jsou využity call managery od firmy CISCO (tech. specifikace zde). Jako koncová telefonní zařízení využivá společnost IP telefony také od společnosti CISCO, a to model 7911 (tech. specifikace zde). Telefony jsou fyzicky připojeny přes strukturovanou kabeláž do POE switchů, které je zároveň napájí. Podporují funkce jako registr zmeškaných, odchozích a příchozích hovorů, dále možnost zasílání textových zpráv, uspořádání telekonference, atd. Právě možnost svolání telekonferencí využívá hojně vedení naší společnosti, většinou se jí účastní rakouské vedení, popř. další členové managementu evropských poboček. Společnost tak ušetří prostředky vynaložené na cestování, ubytování, atd. Na jednu pobočku je to cca Kč měsíčně. Součástí přechodu na IP telefonii bylo nutné integrovat do celého systému také analogové faxy. Pro správnou komunikaci s ústřednou bylo potřeba využít analogově/digitálních převodníků, které převádějí příchozí nebo odchozí zprávy a zajišťují tak správnou funkčnost faxů. 8.2 Technologie CDMA Zkratka CDMA znamená Code Division Multiple Access (kódové dělení přenosových kanálů), v praxi umožňuje komunikaci více uživatelů v oblasti jednoho frekvenčního pásma. Tato technologie pracuje na frekvenci 450 Mhz, a lze ji využít jak pro hlasový tak i datový přenos. Pro připojení do datové sítě CDMA je potřeba tzv. CDMA modemu, jelikož se jedná o vytáčené připojení. V České republice má vybudovanou CDMA síť pouze telefonica O2, která ji ostatním operátorům pronajímá, síť nese název T!P. Hlavní výhodou této technologie je potřeba poměrně malého počtu základnových stanic, je to dáno především nízkou přenosovou frekvencí daného pásma Jak funguje CDMA [online], dostupný na WWW: 36

37 8.3 Mobilní telefony Co se týče vybavení v oblasti mobilních telekomunikací, každý zaměstnanec je vybaven mobilním telefonem, který má možnost připojení do datové mobilní sítě místního operátora pro případ rychlého a nepřetržitého přístupu do firemní pošty prostřednictvím poštovního klienta (nejčastěji Mail for Exchange od společnosti Nokia). Vedení společnosti má tzv. smart phony, taktéž připojeny do datové mobilní sítě, které umožňují opět připojení do fir. pošty ale také přímé připojení na terminálový server a následné spolehlivé dosažení požadovaných firemních dat. 37

38 9. Navision V této době řada velkých společností vyžaduje nasazení komplexního informačního systému, který centralizuje veškeré jejich požadavky na řízení chodu společnosti do jednoho řešení. Postupným vývojem se jím stal i IS Navision. Nejdříve se jednalo o čistě účetní systém, ze kterého se postupem času stal informační systém zajišťující řízení financí, nákupních a prodejních aktivit, skladového hospodářství, lidských zdrojů aj. V případě, že se společnost rozhodne pro implementaci Navisionu, distribuční a vývojové firmy jsou schopny ušít tento systém přesně na míru požadavkům zadavatele. Jedná se o velmi pružný IS, jehož cílem je zjednodušit chod celé společnosti a ušetřit ji jak finanční prostředky, tak i lidské zdroje a tím výrazně snížit celkové provozní náklady, dále pak pomoci při rozhodování tvorbou přehledných výstupů (analýzy, reporting). Momentálně je veškerý vývoj, prodej, implementace, techn. podpora v režii společnosti Microsoft, která tento systém v minulosti odkoupila. 9.1 Historie a verze Systém byl vyvinut v roce 1983 v Dánsku jako účetní systém, zaměřený na malé podniky a domácí kanceláře. Na trh byl uveden roku 1984 pod názvem PC Plus a to nejdříve v Dánsku a později i v Norsku. V roce 1987 byla založena tvůrci programu společnost Navision a jejich produkt přejmenovali na Navigator, později však začal každý používat spíš název Navision. Zlomové období byl rok 1990, kdy společnost představila Navision verze 3.0 a expandovala s ním nejdříve na evropský trh Německo, Španělsko, Velká Británie. Později v roce 1992 se díky podepsání smlouvy se společností Peachetee Sofware dostali s distribucí i na americký trh. Z důvodu modifikace systému pro potřeby trhu v USA (lepší možnost tisku, změna terminologie) dále pak kompatibilita s obchodními pravidly v USA byl započat v roce 1993 vývoj nové generace Navisionu založené na 32-bitové platformě Microsoft Windows Navision s History, dostupný na WWW: 38

39 Rok 1995 přinesl produkt navržený pro verzi Windows 95 a Windows NT a nesl původní název AVISTA Software, ale z důvodu lepšího rozpoznání byl záhy přejmenován na Navision Financials. Vývoj IS stále pokračoval, postupně byly přidány moduly Contact management, Výroba a v roce 1999 byl přidán modul Distribuce. Velmi úspěšným obdobím byl však rok 2000, kdy Navision Financials získalo ocenění Microsoft Windows 2000 Professional Certification a Microsoft Windows 2000 Server Certification. Společnost se poté rozhodla pro fůzi s dlouholetým konkurentem dánskou společností Damgaard Software. Tímto vznikla v roce 2001 nová řada produktů a dočkali se dalších vylepšení a změn názvů z Navision Financials vznikl Navision Attain a z Demgaard Axapta vznikl Navision Axapta. Nejdůležitější moment však nastal v roce 2002, kdy bylo celé řešení Navision odkoupeno společností Microsoft za částku 1,4 miliardy dolarů. 17 Po přechodu celé společnosti pod Microsoft, vzniklo oddělení Microsoft Business Solutions, které pokračovalo ve vývoji a úpravách verze 3.0, kde se v průběhu roku 2003 dostalo vydání Navision verze 3.70 (používaná v Cognor Stahlhandel). Nástupcem této verze byla v roce 2005 verze 4.0, která obsahovala propracovanější modul Výroba a byl přidán modul CRM (Customer Relationship Management). V této době byla celá řada produktů Navision přejmenována na Microsoft Dynamics, konkrétně Navisionu se dostalo označení NAV. Další vydanou verzí byla verze 5.0, která měla obsahovat inovaci uživatelského rozhraní, ale nestalo se tomu tak, naproti tomu obsahovala celou řadu vylepšených aplikačních součástí. Posledními doposud vydanými verzemi jsou Dynamics NAV 2009 SP1 (2009) a Dynamics NAV 2009 R2 (2010) Navision s History, dostupný na WWW: 18 Zpracováno dle: Erik P. Ernst, The history of Dynamics NAV / Navision, dostupný na WWW: 39

40 9.2 Moduly Navision je velmi flexibilní IS, který se dokáže přizpůsobit každému podniku, ať už výrobnímu, nebo obchodnímu, nebo poskytujícímu služby. Skládá se z jednotlivých modulů, které se kombinují podle konkrétních požadavků zadavatele. Firmy, které se zabývají prodejem tohoto IS jsou zároveň oprávněny a schopny nastavit a doprogramovat moduly, reporty aj. přesně podle potřeb firmy, která se rozhodla jej implementovat. Finance Tento modul je jedním ze základních pilířů celého Navisionu. Pomocí tohoto modulu má firma možnost efektivně spravovat své finanční prostředky a jejich toky. Konkrétně obsahuje správu pokladny a bankovních kont a to i v EUR. Obsahuje funkce pro účtování a to např. účetní osnovu, pokladní, finanční a periodické deníky. Dají se zde také tvořit rozpočty na jednotlivé komodity, střediska aj. Velmi důležitou součástí je reporting, což znamená tvorbu sestav poskládaných z aktuálních, či historických dat sloužící pro analýzy a rozhodování, např. sestava pro výkaz DPH, obratovka, pokladní deník, aj. Dlouhodobý majetek Modul zastává funkci správce majetku. Uživatel má možnost pohodlné evidence dlouhodobého a drobného dlouhodobého majetku. Modul nabízí několik možností nastavení odpisování a sestavu pro simulaci budoucích odpisů. Reporting opět nabízí možnost tvorby detailních analýz DM. Prodej a pohledávky V této části systému má uživatel možnost registraci a správu databáze zákazníků. Dále je zde možnost tvorby nabídek a objednávek, vystavování vydaných faktur, dobropisů a evidence přijatých záloh za zboží. Důležitou funkcí tohoto modulu je také evidence a fakturace dopravy zboží zákazníkům. Součástí modulu je opět možnost tvorby sestav, např. Přehled denních prodejů po skupinách zboží, výkaz prodeje jednotlivým zákazníkům za určité období, přehled pohledávek, aj. 40

41 Správce vztahů Modul pokrývá potřebu evidence jednotlivých prodejců, popř. prodejních týmů. Funkce úkoly eviduje naplánované ale i již absolvované obchodní schůzky a služební cesty prodejců ve vztahu k jednotlivým zákazníkům. Dále je zde evidence schválených dodavatelů externích služeb (např. dodavatelé SW a HW, opravy strojů, firem poskytujících právní servis, aj.) Opět je zde možnost tvorby sestav a analýz (zde záleží na potřebách dodavatele, většinou se generování sestav programuje přímo na míru) Nákup a závazky Součást nákup a závazky tvoří především evidence a správa jednotlivých dodavatelů materiálu (zboží), dále umožňuje archivovat a evidovat vystavené a rozepsané poptávky po materiálu a zároveň i objednávky. Funkce faktury eviduje přijaté a zatím neuhrazené faktury za materiál. Funkce dobropisy a zálohy shromažďuje a uchovává zaplacené zálohy za materiál a přijaté dobropisy. Součástí reportingu jsou sestavy závazků, přehledů splatnosti faktur, přehled dodavatelů (tzv. hitparáda dodavatelů), aj. Zásoby Tento modul zajišťuje potřebu evidence zboží, popř. atestů ke zboží, zbožových norem, atd. Důležitou funkcí jsou deníky fyzických inventur, které evidují skutečné stavy rozdíly zásob zjištěné při inventurách. Opět obsahuje funkci pro tvorbu sestav a to např. obrátka zásob za určité období, dělení zboží na strojích, atd. Správce skladu Zde je možno evidovat spravovat příjmy a výdeje materiálu (zboží) ze skladu, dále je zde evidence transferů mezi jednotlivými sklady, evidence zaskladnění a vyskladnění většího množství materiálu. Je zde samozřejmě funkce pro tvorbu reportů, např. sestava výdejů za určité období. 41

42 Novější verze Dynamics NAV mohou obsahovat i další moduly jako např. CRM marketing & prodej, CRM servis, projekty, výroby, aj. (více informací zde) 9.3 Doplňky a rozšíření Navisionu Commerce Portal Commerce Portal je elektronický obchod, který umožňuje obchodování přes Internet, samoobslužné služby a jiné formy spolupráce mezi firmou a všemi partnery z jejího dodavatelsko-odběratelského řetězce. Commerce Portal umožňuje partnerům zákazníkům, dodavatelům a ostatním, aby se sami obsloužili přímo ze svého web portálu, a to kdykoli a z libovolného místa. Prostřednictvím řady funkcí v Navision tak mohou udržovat a požadovat data a doklady (v závislosti na své vlastní konkrétní roli a definovaném oprávnění). Pomocí Commerce Portal může společnost prostřednictvím Internetu napojit zákazníky a dodavatele na svůj systém správy obchodních informací. Na potřeby partnerů reaguje pomocí webového přístupu k informacím v reálném čase a možností samoobslužné spolupráce s Navisionem. Informace jsou vždy aktuální a přesné a samoobslužné rysy odpovídají jednotlivým obchodním potřebám uživatelů. User Portal User Portal usnadňuje uživatelům přístup k datům v Navisionu bez ohledu na to, kde pracují. Vzdáleným uživatelům, například cestujícím obchodním zástupcům, poskytuje okamžitý přístup ke stránkám jejich osobních aktivit. User Portal přenáší všechny nezbytné informace, které uživatelé potřebují, na jejich vlastní stránku aktivit a umožňuje tak větší produktivitu. Uživatelé potřebují pouze přístup k prohlížeči (Microsoft Internet Explorer 5.0 nebo novější verze). Pomocí User Portal získají uživatelé přístup ke všem informacím, které jsou důležité pro jejich role v organizaci. Mohou vyhledávat příslušné informace vztahující se k roli z různých zdrojů. Když například obchodní zástupce potřebuje informace o kontech a prodejních transakcích zákazníka, získá k příslušným aktuálním informacích jednoduchý přístup z Navision Tištěný manuál dodaný při implementaci společností CESA, a. s. 42

43 User Portal umožňuje uživatelům, aby si osobní domovskou stránku přizpůsobili vlastním potřebám. Mohou si vybrat z web částí, které jsou k dispozici, jako jsou například burzovní ukazatele, aktuální obchodní zprávy a web části Navision. Pro web části Navision lze také vytvořit osobní nastavení, takže uživatel si může zobrazit například standardní sestavu Zboží - 10 nejlepších i sestavu Mé zboží - 10 nejlepších přizpůsobenou osobnímu nastavení Navision v Cognor Stahlhandel V období zaměstnanci a vedení společnosti využívalo informačního systému SAP a to k řízení a plánování procesů probíhajících uvnitř společnosti (obchod, evidence zásob, výstupy a analýzy, atd.) V této době však využívalo služeb externího dodavatele a společnost musela neustále vynakládat velké finanční prostředky na údržbu, správu a úpravy systému, v té době se tato částka pohybovala okolo 3 mil. Kč. ročně (pořizovací cena 4 mil. Kč) Tento IS však neobsahoval komplexní řešení, chyběl zde modul skladového hospodářství, mzdového účetnictví a fakturace. Dalším důvodem bylo zcentralizování informačních systémů ve všech evropských pobočkách, především kvůli orientaci a srozumitelným výstupům pro hlavní vedení v Rakousku, proto vedení rozhodlo implementovat ve všech zemích IS Navision. V roce 2005 proběhla na české pobočce implementace Microsoft Business Solutions Navision verze 3.70 A, která obsahovala již výše zmíněné moduly chybějíci v SAPu. Pořizovací cena byla včetně implantačních prací (programování, analýzy, atd.), roční údržby a správy a 170 ks uživatelských licencí 11 mil. Kč. V rámci implementace byla také migrace dat z databáze SAPu do nového IS Navision. Po roční údržbě externí firmou si společnost zaměstnala dva správce IS a to finančního analytika, který vymýšlel a navrhoval jednotlivá řešení a programátora, který se stará o naprogramování a správný chod celého IS. V současnosti zde působí již pouze programátor. Tímto společnost výrazně ušetřila prostředky vynaložené na správu, které platila dodavatelské firmě. Dnes se roční náklady na provoz IS pohybují na 1/3 z let , tzn. cca 1 mil Kč ročně (mzdy, programátorská licence, aj.) 20 Tištěný manuál dodaný při implementaci společností CESA, a. s. 43

44 Systém je provozován na serveru s OS Windows server 2000, samotná databáze IS je nativní SQL databáze o aktuální velikosti 15 GB, velikost narůstá cca o 1 2 GB ročně. Server je umístěn v Pardubické lokalitě a zálohován je denně (viz. kapitola zálohování, str. 23) K samotnému připojení do systému je nutné mít nainstalovanou klientskou aplikaci, která je součástí licence celého systému. Systém ověřuje uživatele dvěma způsoby a to buď pomocí tzv. ověření windows (doménový účet v active directory viz. kapitola Doménová struktura, str. 18), které využívá většina zaměstnanců ve společnosti, nebo pomocí přihlášení do databáze, kde se v systému nastavují uživatelské účty a hesla tento způsob je využit především u zaměstnanců skladu. Po ověření uživatele se zobrazí hlavní menu systému. Obr. 16 hlavní menu Navision ver A V systému jsou zavedeny různé uživatelské úrovně a jim přidělena patřičná práva, jako např. uživatel skladník, fakturace, účetní, mobilní prodejce, nákupčí, vedoucí nákupu nebo tzv. univerzální uživatel s názvem všichni (většinou nově příchozí zaměstnanec). U uživatele všichni jsou práva ořezány a takovýto uživatel má dočasně přístup pouze do testovací databáze, kde si může zkoušet některé (záleží na pracovní náplni zaměstnance) funkce systému bez narušení chodu ostré verze. 44