„Zaufanie i innowacja” to niezmienne motto Rawlplug, firmy, która zapoczątkowała rewolucję w przemyśle budowlanym. Od kiedy w 1913 roku John Joseph Rawlings (współzałożyciel Rawlplug) wynalazł i opatentował pierwszy kołek rozporowy, historia produkcji mocowań pozostaje niezmiennie związana z Rawlplug. Dziś firma posiada 72 odziały na 3 kontynentach świata i staje przed nowymi wyzwaniami, takimi jak przebudowa sieci teleinformatycznej. Zaplanowanie i wdrożenie nowej infrastruktury WAN dla tak dużego środowiska, przy założeniu ciągłości działania kluczowych systemów, nie jest zadaniem prostym, wymaga dużej wiedzy, doświadczenia i przede wszystkim precyzyjnego planu. To niezwykle odpowiedzialne zadanie zostało powierzone inżynierom sieciowym SNP Poland (aktualnie All for one Poland).
Założenia projektu
Głównym założeniem projektu było zbudowanie nowego środowiska sieciowego, które podniesie bezpieczeństwo, niezawodność oraz skalowalność całej infrastruktury. Projekt zakładał kompletną modernizację centrali Rawlplug oraz wybranych oddziałów firmy. Zmiany miały obejmować modernizację routerów w centrali firmy, VPN Site-to-Site między oddziałami oraz rozwiązań Personal VPN.
Przystąpienie do realizacji tak złożonego projektu wymagało w pierwszym kroku wykonania audytu, który pozwolił nam na wskazanie kierunków i propozycji zmian. Po wykonaniu przeglądu istniejącej infrastruktury przystąpiliśmy do wykonania szczegółowego planu realizacji procesu wdrożenia. Przygotowany dokument zawierał propozycje zmian w infrastrukturze wraz ze scenariuszami migracji poszczególnych segmentów sieci do nowego środowiska sieciowego Rawlplug. Z uwagi na potrzebę zachowania ciągłości działania systemów, projekt przewidywał równoległe funkcjonowanie dwóch środowisk sieciowych Rawlplug (starego i nowego) tak, aby możliwa była płynna migracja poszczególnych segmentów sieci. Stan taki miał zostać utrzymany do czasu migracji wszystkich usług do nowej infrastruktury sieciowej. Po zaakceptowaniu planu wdrożenia przystąpiono do jego realizacji.
Nowoczesne podejście
Jednym z pierwszych kroków było zdobycie dla Rawlplug adresacji PI (Provider Independent) IPv4. Dzięki uzyskaniu własnego bloku IPv4 oraz numer AS firma Rawlplug stała się niezależna od adresacji dostawców usług internetowych. Własna przestrzeń adresowa IPv4 otworzyła przed Rawlplug zupełnie nowe możliwości w zakresie zwiększania niezawodności. SNP Poland (aktualnie All for One Poland) zaproponowało rewolucję istniejących połączeń WAN. Zaprojektowano i wdrożono nową topologię szkieletu sieci, gdzie punktem styku z operatorami stały się dwa routery brzegowe, na których zaterminowano po dwie sesje BGP (podstawową i zapasową) z dwoma różnymi operatorami telekomunikacyjnymi. Dzięki takiemu podejściu udało się uzyskać infrastrukturę odporną na pojedyncze punkty awarii, co bezpośrednio wpłynęło na podniesienie dostępności usług i systemów Rawlplug.
W kolejnym etapie przystąpiono do prac wdrożenia głównego firewalla w centrali Rawlplug. Nowym sercem sieci został klaster firewall składający się z dwóch jednostek Fortigate, podłączonych redundantnie do przełączników szkieletowych za pomocą agregacji portów 10G. Komunikacja z routerami brzegowymi została zrealizowana za pomocą dynamicznego protokołu routingu OSPF. Klaster Fortigate został zintegrowany z Active Directory, dzięki czemu możliwe było realizowanie dostępów administracyjnych w oparciu o bazę LDAP. Zgodnie z założeniami projektowymi wdrożono również mechanizm regulacji dostępu do systemów w oparciu o FSSO (Fortinet Single Sign-On). Wymagało to integracji klastra Fortigate z kontrolerami domeny, na których zainstalowano i skonfigurowano agenta oraz kolektory FSSO odpowiedzialne za utrzymanie spójnej bazy na temat zalogowanych użytkowników domenowych. Polityki bezpieczeństwa realizujące dostęp do systemów w oparciu o przynależność użytkowników do grup domenowych, to nie tylko znaczne podniesienie bezpieczeństwa, ale także duże ułatwienie w zakresie zarządzania uprawnieniami. W ramach wdrożenia przygotowano zestaw polityk w oparciu o FSSO, wskazując przy tym najlepsze praktyki stosowane przy realizacji kontroli dostępu do systemów.
Zdalny dostęp
Dostęp zdalny to jedna z funkcjonalności, która znacznie ułatwia funkcjonowanie każdej firmy. Osiągalność zasobów korporacyjnych z dowolnego miejsca na świecie po zestawieniu szyfrowanego połączenia to niezwykle wygodna i bezpieczna metoda pozwalająca na realizację zadań, kiedy pracownicy przebywają poza siedzibą firmy. SSLVPN to kolejna funkcjonalność Fortigate, jaka została wdrożona przez SNP Poland, w miejsce obecnych rozwiązań VPN w Rawlplug. Koncentrator SSLVPN skonfigurowany został w taki sposób, aby możliwe było nawiązywanie połączeń zarówno poprzez przeglądarkę internetową, jak i specjalnego klienta dostarczanego przez Fortinet. Konta SSLVPN zostały zintegrowane z domeną Rawlplug, tak więc zdalny dostęp do zasobów realizowany jest w oparciu o przynależność do odpowiednich grup domenowych. Dodatkowo w ramach wdrożenia uruchomiono także drugi portal SSLVPN dedykowany dla podwykonawców.
Reorganizacja oddziałów
Rawlplug to ogromna firma z licznymi oddziałami obecnymi na 3 kontynentach świata, których serce stanowi centrala umiejscowiona we Wrocławiu. To właśnie tutaj znajduje się większość systemów, do których musi być realizowany nieprzerwany dostęp. W ramach projektu przeprowadzano wdrożenie rozwiązań Fortinet dla wskazanych przez Rawlplug biur. Połączenia pomiędzy poszczególnymi oddziałami a centralą zrealizowane zostały przy wykorzystaniu połączeń VPN Site-to-Site. Warto zaznaczyć, że oddziały, które posiadają redundantne łącze internetowe zostały połączone z centralą za pomocą dwóch tuneli VPN, a na każdym z połączeń tunelowych uruchomiony został dynamiczny protokół routingu OSPF, który w przypadku awarii łącza podstawowego powoduje automatyczne przełączenie ruchu na tunel zapasowy.
Efektywne wykorzystanie zasobów to jedna z podstawowych zasad biznesu, dlatego biura Rawlplug, które posiadają redundancję łączy internetowych, mogą korzystać z wdrożonego przez SNP (aktualnie All for One Poland) mechanizmu SD-WAN. Funkcjonalność ta przy wykonaniu odpowiedniej konfiguracji umożliwia balansowanie ruchu pomiędzy operatorami, a w połączeniu z wdrożonymi mechanizmami QoS pozwala efektywnie wykorzystać dostępne zasoby.
Najwyższe standardy rozwiązań sieciowych
W dynamicznie rozwijającej się firmie, takiej jak nasza, bardzo ważne jest zapewnienie elastyczności i jednocześnie bezpieczeństwa dostępu do danych.
Standaryzacja i łatwość zarządzania wieloma miejscami dostępu są dla nas kluczowe. Dlatego zdecydowaliśmy się na gruntowną modernizację infrastruktury w centrali i w wybranych oddziałach. Postawiliśmy na standard rynkowy odchodząc od własnych, trudnych do utrzymania rozwiązań.
Projekt okazał się naprawdę wymagający. Skomplikowana struktura sieciowa, najnowsze rozwiązania, dbałość o najwyższe standardy bezpieczeństwa, a wszystko to przy ciągłej dostępności systemów. W efekcie uzyskaliśmy wydajny proces migracji oddziałów do nowej sieci, wysoką dostępność w centrali, prostą konfigurację oraz pełny monitoring z przejrzystym logowaniem zdarzeń. Osobiście, w pracy z SNP przy tym projekcie cenię nie tylko fachowość ale również bardzo dobrą dokumentację, warsztaty oraz wsparcie dla naszych administratorów.
Wybraliśmy SNP Poland (aktualnie All for One Poland) ze względu na wcześniejsze doświadczenie w takich projektach i duży zespół specjalistów dający spore poczucie komfortu w tak wymagającym projekcie. Zaproponowane nam rozwiązania spełniają najwyższe standardy, a obecnie nasza infrastruktura sieciowa pozwala na dalszy rozwój.
Rafał Kłysiewicz, Dyrektor IT, Rawlplug
WLAN
Stosowanie WLAN to jedna z najbardziej wygodnych i najprostszych metod dostępu do zasobów sieciowych. Wykorzystanie WiFi w sieci korporacyjnej jest dość powszechne. Niemniej jednak, przy ich konfiguracji należy pamiętać o zastosowaniu odpowiednich metod zabezpieczających dostęp przed niepowołanymi osobami. Dla oddziałów Rawlplug korzystających z modeli FortiWiFi przygotowano konfigurację korporacyjnej sieci WiFi z autoryzacją opartą o serwer Radius, natomiast dla gości uruchomiono odrębne SSID z odseparowaną od reszty infrastruktury podsiecią.
Zarządzanie i Monitoring
Jednym z najpoważniejszych wyzwań, jakie stoi przed osobami administrującymi dużym i złożonym środowiskiem sieciowym, jest jego zarządzanie i monitoring. Zadanie to jest jednak dużo prostsze, kiedy środowisko jest spójne i posiada scentralizowany panel administracyjny. FortiManager i FortiAnalyzer to kolejne produkty z rodziny Fortinet wdrożone w Rawlplug. Jedna konsola administracyjna, rewizja zmian, centralne zarządzanie konfiguracją grupy urządzeń to tylko niektóre z funkcji FortiManager’a, jakie zostały zaimplementowane przez SNP Poland. Dopełnieniem centralizacji jest FortiAnalyzer, który stanowi centralny punkt archiwizacji logów i statystyk, ułatwiając analizę i diagnostykę sieci za pomocą jednego panelu administracyjnego.
Szkolenia i dokumentacja powykonawcza
Wdrożenie zrealizowane przez SNP Poland (aktualnie All for One Poland) obejmowało bardzo szeroki zakres zagadnień sieciowych, dlatego podczas każdego etapu przeprowadzane były szkolenia pozwalające administratorom Rawlplug zrozumieć zasadę działania zastosowanych mechanizmów, tak aby możliwe było samodzielnie kontynuowanie zarządzania siecią. Po każdym zakończonym etapie przeprowadzano testy weryfikacji zaimplementowanych mechanizmów wraz z objaśnieniem zasad ich działania. Dodatkowo na zakończenie projektu SNP Poland zorganizowało warsztaty systematyzujące wiedzę, jaka powinna zostać nabyta w trakcie wdrożenia oraz przekazało obszerną dokumentacja powykonawczą.
Rawlplug – czołowy producent zamocowań w Europie, którego rozwiązania znajdują zastosowanie w budownictwie, energetyce, motoryzacji, przemyśle maszynowym i elektromaszynowym, przemyśle wydobywczym, stoczniowym, drogowym oraz drzewnym. Grupa Rawlplug składa się z 17 spółek działających na 3 kontynentach. Portfolio Grupy obejmuje najwyższej jakości mechaniczne elementy złączne, wyroby gwintowane, kotwy wklejane, wiertła oraz narzędzia i elektronarzędzia.