Архитектура ЛВС
Наш проектный отдел разработал документацию рабочую архитектуры ЛВС
Архитектура построения ЛВС СБ
Предлагаемое решение по построению локальной сети, рассматриваемое в данном документе, основывается на требованиях к построению локальных вычислительных сетей с четким разграничением уровней иерархии, где каждому уровню иерархии соответствует свой набор оборудования, которые выполняет определенные для этого уровня функции. При построении ЛВС СБ используется многоуровневая модель, согласно которой можно выделить три функциональных уровня архитектуры:
- уровень ядра ЛВС, совмещенный с уровнем распределения
- уровень доступа ЛВС СБ
- уровень подключения серверов СБ.
Уровень ядра образован двумя модульными маршрутизирующими коммутаторами нового поколения Cisco Catalyst 4500X. Каждый коммутатор ядра обеспечивает пропускную способность 800 Гбит/с. Для межкоммутаторных соединений в шасси каждого коммутатора ядра устанавливаются два коммутационных модуля, каждый позволяет установить 16 модулей SFP+. Коммутатор ядра №1 располагается в центральном коммутационном, коммутатор ядра расположен в центральном коммутационном помещении в помещении ЦОД.
Коммутаторы ядра локальной сети СБ агрегируют каналы от коммутаторов уровня доступа ЛВС СБ и коммутаторов подключения серверов СБ. Коммутаторы уровня доступа подключаются к ядру с помощью двух оптических 10 Гб каналов на втором уровне OSI. В качестве коммутаторов уровня доступа используются стекируемые коммутаторы Cisco Catalyst 2960S-48FPD-L. Коммутаторы уровня подключения серверов СБ подключаются к ядру с помощью двух оптических 10 Гб каналов на втором уровне OSI. В качестве коммутаторов подключения серверов СБ используются стекируемые коммутаторы Cisco Catalyst 2960S-48FPD-L. Коммутаторы уровня доступа размещаются в этажных кроссовых и помещении ЦОД. Коммутаторы подключения серверов СБ размещаются в помещении ЦОД.
Коммутаторы уровня доступа СБ и коммутаторы подключения серверов СБ осуществляют подключение конечных сетевых устройств СБ и серверов СБ по интерфейсам 10/100/1000Base-T. Коммутаторы уровня доступа ЛВС СБ обеспечивают электропитание подключаемых сетевых устройств СБ через неэкранированную витую пару по технологии IEEE802.3at PoE+ мощностью до 740 Вт на коммутатор.
Разделение подсистем СБ производится с использованием виртуальных сетей VLAN. Разделение осуществляется по следующим признакам: функциональному, как принадлежность к системе безопасности и территориальному, как этаж, кроссовая подключения.
Сеть СБ физически изолирована от ЛВС офисных помещений и других телекоммуникационных систем передачи данных общего пользования. Активное и пассивное сетевое оборудование устанавливается в специально отведенных телекоммуникационных стойках СБ как в кроссовых, так и помещении ЦОД.
Схема построения локальной сети представлена в документе «Схема функциональной структуры.».
Расчет необходимого количества коммутаторов доступа
Пользователи размещаются на этажах ТГК. Общее количество пользователей более 2000 человек. Каждое автоматизированное рабочее место АРМ сотрудника оборудуется тремя портам СКС, активным сетевым подключением АСП из которых обладает только один порт. При расчете общего количества АСП на ЭКЦ помимо АСП АРМ учитываются АСП смежных систем. Согласно требованиям ТЗ, при расчете АСП закладывается 20% запас. Распределение АРМ, портов СКС АРМ, общего количества АСП по ЭКЦ и расчет необходимого количества линейных карт для коммутаторов доступа представлен в таблице 2.
* - согласно расчётам, в данный коммутатор следует установить 9 модулей, что невыполнимо, из-за отсутствия данного количества слотов свободно 8, устанавливать дополнительный коммутатор в данный ЭКЦ экономически не целесообразно, поэтому в данном коммутаторе устанавливается 8 модулей, что обеспечивает запас АСП в 15%, вместо 20%.
Согласно выполненным расчетам, количество линейных карт в коммутаторах доступа не превышает 8 штук. Помимо линейных карт подключения оконечных устройств в каждый коммутатор доступа устанавливаются два модуля управления, итого самые загруженные коммутаторы используют 10 слотов. В связи с этим в каждый ЭКЦ за исключением ЭКЦ устанавливается 10-слотовый коммутатор Cisco Catalyst 4510.
Расчет количества коммутаторов уровня доступа представлен в таблице 3.
Схема именования устройств
Именование устройств ЛВС осуществляется по схеме: TypeXX_Function_Room, где:
- Type это тип устройства, может принимать следующие значения:
- SW коммутатор серии Cisco Catalyst
- NX это коммутатор серии Cisco Nexus
- RT обозначение маршрутизатора
- FW обозначение межсетевого экрана
- XX это порядковый номер устройства в своей функциональной группе
- Function это функция, которую выполняет установленное оборудование. Может принимать следующие значения:
- COR-LAN коммутатор уровня ядра
- ACS-LAN коммутатор уровня доступа
- LAN это устройство
- COR-SRV коммутатор уровня ядра ЦОД
- ACS-SRV коммутатор уровня доступа ЦОД
- MGT-SRV коммутатор сети управления ЦОД
- SRV устройство ЦОД
- WAN устройство пограничного сегмента
- DMZ устройство DMZ-сегмента
- COR-SB коммутатор уровня ядра
- ACS-SB коммутатор уровня доступа
- SRV-SB коммутатор серверного сегмента сети
- SB устройство ЛВС
- Room размещение оборудования, принимает следующее значение
- Наименования оборудования ЛВС приведены в таблице.
Организационная структура виртуальных VLAN
Виртуальная ЛВС Virtual LAN, VLAN - это логическая группа пользователей сети и ресурсов, подключенных к административно-определенным портам на коммутаторе. VLAN позволяет создавать в пределах коммутатора меньшие широковещательные домены посредством назначения разных портов коммутатора разным подсетям, а также регулировать доступ между ними.
VLAN могут быть организованы, например, по структурному принципу, отражающему административную структуру организации, или по принципу объединения сетевых ресурсов, таких как принтеры, серверы и т.п.
Для определения количества VLAN, на которое следует разбить вычислительную сеть, необходимо знать следующие параметры:
- структура трафика
- используемые приложения
- общие признаки групп
- схема IP-адресации.
Поскольку трафик между разными VLAN должен маршрутизироваться, описанная схема позволяет регулировать доступ узлов одной VLAN в другие VLAN с помощью списков доступа, эффективно разграничивая доступ пользователей того или иного подразделения.
Если VLAN носит служебный характер и предназначен для взаимодействия между устройствами, именование VLAN осуществляется по схеме: PRF.DEV1.DEV2.NUM, где:
- PRF префикс, указывающий на тип сети, принимает значения:
- PTP префикс, указывающий, что VLAN имеет тип точка-точка point to point
- PTM префикс, указывающий, что VLAN имеет тип точка-точки point to multipoint
- DEV1 сокращенное наименование первого устройства
- DEV2 сокращенное наименование второго устройства
- NUM порядковый номер VLAN между устройствами, если таких VLAN несколько.
Если VLAN является виртуальной сетью доступа, именование VLAN осуществляется по схеме FUNCTION.NUM, где:
- FUNCTION указывает на функциональную принадлежность хостов VLAN, например, может принимать значения:
- USR корпоративные пользователи
- RST пользователи, не прошедшие аутентификацию
- GST устройства посетителей
- IPT устройства IP-телефонии СТС
- VKS устройства видеоконференцсвязи ВСК
- PRN устройства офисной печати СОП
- TVS устройства системы телевидения СТВ
- MMS устройства мультимедийных систем МС
- LAP точки доступа БЛВС
- SKS устройства мониторинга СКС
- SRV серверы
- WLAN.MGMT устройства управления беспроводной сетью БЛВС
- WLAN.CORP беспроводные устройства корпоративных пользователей
- WLAN.GUEST беспроводные устройства посетителей
- WLAN.VOIP беспроводные IP-телефоны СТС
- SB.MGMT сеть управления активным сетевым оборудованием ЛВС СБ
- SB.SOT устройства системы охранного телевидения СОТ
- SB.SKUD - устройства системы контроля и управления доступом СКУД
- SB.DC устройства системы безопасности ЦОД
- NUM указывает на IP-подсеть VLAN в виде трехзначного номера, равного третьему октету IP-подсети VLAN.
Некоторые VLAN не подпадают под приведенные схемы именования и именуются индивидуально.
Распределение IP-адресов
Распределение IP-адресов управления активным сетевым оборудованием
Для управления активным сетевым оборудованием выделен диапазон IP-адресов, за исключением некоторых устройств. IP-адреса управления активным сетевым оборудованием ЛВС представлены в таблице 40.
Распределение IP-адресов для соединительных участков сети типа точка-точка и точка-точки
Для участков составляющих архитектуру сети, содержащих не более 2 хостов, выделен диапазон IP-адресов для участков системы, содержащих не более 6 хостов, выделен диапазон IP-адресов; для участков, содержащих не более 14 хостов, выделен диапазон IP-адресов. Распределение этих диапазонов адресов представлено..
Настройка Virtual Switching System VSS на Cisco Catalyst 6509
Для объединения двух коммутаторов Catalyst 6509 в один виртуальный коммутатор ядра SW01, произведены следующие настройки:
- Шаг 2 Настройка VSL port channel и member ports
- Шаг 4 Подтверждение настройки VSS
После выполнения настроек, описанных выше, и перезагрузки обоих устройств, произойдет объединение двух коммутаторов в один виртуальный VSS. Для завершения настройки, потребуется ввести:
Настройка обнаружения состояния dual-active
В случае разрыва всех оптических VSL-связей между коммутаторами при базовой конфигурации VSS устройства не смогут определить, что конкретно произошло это обрыв оптики или выход из строя оппонента. Оба устройства будут вынуждены принять ведущую роль в режиме dual-active. Данный режим не позволит полноценно функционировать сети. Во избежание данной ситуации выполняется настройка обнаружения состояния dual-active. После включения dual-active detection опрос доступности устройств между коммутаторами помимо стандартного VSL-линка будет происходить через коммутаторы уровня доступа посредством протокола Enhanced PAgP.
Настройка агрегации каналов port-channel
С целью увеличения пропускной способности архитектуры и повышения отказоустойчивости межкоммутаторных соединений, межкоммутаторыные интерфейсы объединяются в группы виртуальных интерфейсов по протоколу Cisco PAgP.
Для настройки агрегации выполняются следующие команды:
- (config)#interface range <интерфейс_1>, <интерфейс_2>, <интерфейс_3>, <интерфейс_4>
- (config-if-range)#channel-group <номер группы> mode auto
На коммутаторе ядра агрегируются интерфейсы согласно таблице.
Использование протокола сетевого времени
Для того чтобы все устройства ЛВС были синхронизированы по времени, на устройствах настроен протокол сетевого времени NTP. В качестве NTP-сервера используется коммутатор уровня ядра SW01. Прочие сетевые устройства являются NTP-клиентами и будут получать время от коммутаторов уровня ядра. Сами коммутаторы уровня ядра являются NTP-клиентами публичных NTP-серверов.
Настройка временной зоны
Для корректного отображения и фиксации времени событий на сетевых устройствах настраивается локальная временная зона:
Подключение пользователей
Рабочие станции пользователей подключаются к интерфейсам коммутаторов уровня доступа Catalyst 4510 последовательно через персональные настольные IP-телефоны Cisco. Скорость подключения пользователей определяется максимальной скоростью передачи данных поддерживаемой коммутатором, интегрированном в IP-телефон. В зависимости от модели IP-телефона скорость подключения пользователя может составлять 100 или 1000 Мбит/с.
Для исключения задержек, возникающих при подключении компьютера к сети, на портах пользователей настраивается функция PortFast, которая отключает протокол определения кольцевых маршрутов SpanningTree.
Для обеспечения дополнительной безопасности на портах коммутаторов, при необходимости настраивается аутентификация с использованием протокола dot1x и функционалом присвоения VLAN. Для подключения пользователей с использованием dot1x, порты коммутаторов настраиваются следующим образом:
Подключение серверов
Серверы подключаются к коммутаторам уровня ЦОД по интерфейсам Gigabit Ethernet или используют встроенные Blade-коммутаторы. Для повышения отказоустойчивости сетевого подключения серверов по возможности один сетевой интерфейс сервера подключается к одному коммутатору, а второй интерфейс - к другому коммутатору. Такая схема подключения позволяет быстро переключаться на резервный канал в случае выхода из строя основного соединения.
В VLAN, предназначенных для подключения серверов используется протокол Rapid-per-VLAN-Spanning-Tree Rapid-PVST.
Организация маршрутизации
Выбор протокола динамической маршрутизации
В качестве протокола динамической маршрутизации выбран протокол OSPF. Данный протокол является открытым стандартом RFC 2328, поддерживается активными сетевыми устройствами ЛВС и имеет ряд преимуществ:
- высокая скорость сходимости по сравнению с дистанционно-векторными протоколами маршрутизации;
- поддержка сетевых масок переменной длины VLSM;
- оптимальное использование пропускной способности т.к. строится минимальный остовный граф по алгоритму Дейкстры.
Организация маршрутизации
Маршрутизация между IP-сетями в вычислительной системе реализована следующим образом:
- Маршрутизация между различными VLAN в пределах каждого из коммутаторов осуществляется на самих коммутаторах. Для этого настроены IP-адреса на интерфейсах interface VLAN коммутаторов.
- На рабочих станциях настроен шлюз по умолчанию маршрут на сеть 0.0.0.0 0.0.0.0 на IP-адрес соответствующего интерфейса VLAN.
- На серверах ЦОД настроен шлюз по умолчанию на HSRP-IP-адрес соответствующего интерфейса VLAN коммутатора уровня ядра ЦОД. На Blade-коммутаторах настроен маршрут по умолчанию на IP-HSRP-адрес подключенного к ним интерфейса VLAN.
- Чтобы автоматически распространялась маршрутная информация и осуществлялась маршрутизация трафика по каналам связи, в локальной вычислительной сети настроен протокол динамической маршрутизации OSPF. Коммутатор SW01_COR-LAN_8B-DC распространяет маршрут по умолчанию и маршрут на сети удаленных пользователей на остальное активное сетевое оборудование заказчика.
- Организация связи между ТГК и удаленных площадок
Архитектура маршрутизации между локальной вычислительной сетью и удалёнными площадками реализована на базе маршрутизирующих коммутаторов WS-C3560X, размещаемых на каждой удаленной площадке в количестве двух штук. Каждый коммутатор подключается через ВОЛС к коммутаторам ядра на скорости 10 Гбит/с. Между коммутатором ядра и коммутаторами, размещаемыми на удаленных площадках, настраивается протокол динамической маршрутизации OSPF. Схема подключения, настройки маршрутизации и адресации описаны в документации -КСПД Корпоративная сеть передачи данных.
Настройка механизмов обеспечения качества обслуживания
На коммутаторе Cisco Catalyst 6509 составляющем ядро сети, установлены модули обеспечивающие одну приоритетную и 7 взвешенных очередей. Модули WS-X6848-TX-2T имеют механизм очередизации, предусматривающий одну приоритетную и три взвешенных.
На коммутаторах включается работа механизмов QoS и настраивается соответствие меток DSCP и CoS:
На межкоммутаторных соединениях настраивается доверие значениям CoS и DSCP, веса очередей, приоритетная очередь и пороги для функции Weighted Random Early Detection, обеспечивающей необходимые пропорции между очередями при перегрузке интерфейса. Кроме этого настраивается соответствие между очередью и значением метки CoS. Настройки QoS на межкоммутаторных соединениях будут выглядеть следующим образом:
На коммутаторах доступа настраивается соответствие между CoS 5 и DSCP 46. Различные значения DSCP распределяются по очередям. Очередь №3 настраивается как приоритетная. Настройки выглядят следующим образом:
- На клиентских портах дополнительно настраивается доверие меткам CoS
- На соединениях с коммутаторами ядра дополнительно настраивается доверие меткам CoS и DSCP и пропорции между очередями
Обеспечение информационной безопасности
Фильтрация сетевых адресов
На пограничных маршрутизаторах, пограничных межсетевых экранах и коммутаторах настроена фильтрация пакетов с помощью списков доступа, позволяющая ограничивать доступ к ресурсам сети.
Списки доступа включают в себя следующие правила:
- Пользователям ЛВС, рабочим станции пользователей разрешен доступ ко всем ресурсам сети.
- Гостям разрешен доступ к системе печати и некоторым файловым серверам.
- Пользователям, не прошедшим аутентификацию, доступ к ресурсам ЛВС запрещён.
- Подсетям IP-телефонов доступ разрешен только к сервисам СТС.
- Между подсетями серверов разрешен весь трафик.
- Внутри сети полностью разрешен протокол ICMP.
- Из сети Интернет на устройства локальной сети запрещен весь ICMP-трафик, кроме ICMP Echo-reply и ICMP TTL-Exceeded.
- Весь трафик, который не разрешен, - запрещен.
Во время проведения пуско-наладочных работ на объекте автоматизации перечисленные правила могут изменяться и дополняться.
Настройки аутентификации портов
Для обеспечения дополнительной безопасности на коммутаторах доступа настраивается аутентификация с помощью MAC-адреса и протокола dot1x, а также функционал vlan assignment.
MAC-address-based аутентификация используется для клиентов сети, не поддерживающих dot1x. При этом в качестве имени пользователя и пароля по протоколу RADIUS передаётся MAC-адрес устройства. MAC-адресов устройств, поддерживающих dot1x, в базе данных быть не должно.
При подключении рабочей станции пользователя, поддерживающей dot1x, в порт коммутатора доступа MAC-аутентификация проходит неудачно и происходит следующая за ней по приоритету аутентификация dot1x. Пользователю выдаётся панель аутентификации. Получив фрейм аутентификации от рабочей станции, коммутатор передаёт его в формате протокола RADIUS на RADIUS-сервер. В случае успешной аутентификации RADIUS-сервер возвращает коммутатору соответствующий ответ и номер VLAN, в который необходимо поместить порт. В случае отказа в доступе коммутатор помещает порт во VLAN ограниченного доступа restricted.
В случае, если к порту подключена рабочая станция, не поддерживающая протокол, dot1x порт, не получивший фреймы EAPOL, помещается коммутатором в гостевой VLAN.
RADIUS-сервер, вместе с ответом о результате аутентификации должен возвращать следующие атрибуты:
- Tunnel-Type всегда равно VLAN;
- Tunnel-Medium-Type всегда равно 802;
- Tunnel-Private-Group-ID название или номер VLAN в зависимости от адреса коммутатора доступа, с которого пришёл запрос аутентификации.
Настройки RADIUS-сервера
На сервере контроля доступа Cisco Secure ACS настраиваются RADIUS-клиенты с параметрами, описание которых приведено в таблице 46.
Использование механизма аутентификации, авторизации и сбора статистики AAA на устройствах.
Для обеспечения контроля доступа к сетевым устройствам используется архитектурная модель Authentication, Authorization, Accounting AAA. При попытке подключения к сетевому устройству предлагается ввести свое имя и пароль. Контроль доступа обеспечивается сервером TACACS+.
В случае недоступности сервера доступа для аутентификации на сетевом устройстве в качестве резервной возможности используется локальная аутентификация. Для этого на каждом из сетевых устройств создана локальная база пользователей, имеющих право на доступ к конкретному сетевому устройству.
Настройка асинхронных портов
Время бездействия на асинхронных портах VTY установлено в значение 15 минут:
Активизирован контроль соединения TCP на входящих и исходящих сессиях:
Отключение ненужных сервисов
- На всех внешних интерфейсах маршрутизаторов отключен сервис CDP:
- На всех коммутаторах и маршрутизаторах отключен HTTP-сервис:
- На всех коммутаторах и маршрутизаторах отключен сервис Source Routing:
- На всех коммутаторах и маршрутизаторах отключен сервис ICMP Redirect:
- На всех коммутаторах и маршрутизаторах отключены сервисы TCP и UDP Small Services:
- На всех коммутаторах и маршрутизаторах отключен сервис Finger:
Шифрование паролей
Чтобы пароли не хранились в файле конфигурации коммутаторов и маршрутизаторов в открытом виде настроена функция шифрования паролей:
Защита от подмены DHCP-сервера
Чтобы противодействовать атакам с использованием протокола DHCP на коммутаторах уровня доступа настроена функция DHCP Snooping:
На портах коммутаторов, к которым подключены DHCP-серверы ЛВС и другие коммутаторы, настроено доверие DHCP-ответам серверов:
Для повышения отказоустойчивости работы функции DHCP Snooping и уменьшения заполнения локальных носителей коммутаторов настраивается сохранение базы данных на внешнем TFTP-сервере:
Настройка динамической ARP инспекции
Чтобы противодействовать атакам с использованием протокола ARP на коммутаторах уровня доступа настроена функция Dynamic ARP Inspection:
На портах коммутаторов, к которым подключены другие коммутаторы, настроено доверие ARP:
Настройка Traffic Storm Control
С целью отслеживания аномального увеличения трафика широковещательных пакетов на коммутаторах настроена функция Traffic Storm Control:
Подсистема централизованного администрирования, управления, мониторинга и анализа ЛВС
Для осуществления функций контроля, управления и мониторинга активного сетевого оборудования в качестве системы сетевого управления используется программный пакет CiscoPrime LAN Management Solution LMS компании Cisco Systems.
Сервер LMS подключается к коммутаторам подсистемы централизованного администрирования, управления, мониторинга и анализа.
CiscoPrime LMS обеспечивает полный набор функций управления и мониторинга сетевых устройств, в частности обнаружение и локализацию неисправностей оборудования в сети, получение статистической информации о функционировании всей сети или отдельных ее компонентов, а также производит необходимые изменения в конфигурации сети с единой консоли управления сетью. CiscoPrime LMS соответствует требованиям ЧТЗ, предъявляемым к подсистеме централизованного администрирования, управления, мониторинга и анализа ЛВС.
ПО CiscoPrime LMS выполняет следующие операции:
- автоматическое обнаружение коммутаторов и маршрутизаторов фирмы Cisco Systems и построение топологии сети;
- отображение реального графического представления коммутаторов и маршрутизаторов;
- резервное копирование и хранение конфигураций активного сетевого оборудования;
- сбор и отображение статистики на уровне порта, карты или шасси в графическом виде;
- оповещение по электронной почте ответственных сотрудников Заказчика о происходящих событиях в сети и на сетевых устройствах;
- фильтрация, агрегация и корреляция сообщений, приходящих от сетевых устройств;
- централизованное распространение ПО на активное сетевое оборудование;
- централизованное хранение базы данных о программном и аппаратном обеспечении всех активных сетевых устройств компании Cisco;
- определение различных ролей в системе управления;
- управление сетевыми устройствами по SMNP-протоколу;
- управление ПО CiscoPrime LMS осуществляется через web-интерфейс.
Для осуществления функций контроля, управления и мониторинга активного сетевого оборудования в качестве системы сетевого управления используется бесплатно распространяемое ПО производства компании Cisco Systems, Data Center Network Manager DCNM 5.2. Для работы некоторых функций DCNM, таких как администрирование Virtual Port Channel или Virtual Device Context для Nexus 7000, на сервер DCNM устанавливаются отдельно закупаемые лицензии. Сервер DCNM подключается к коммутаторам подсистемы централизованного администрирования, управления, мониторинга и анализа.
ПО Data Center Network Manager 5.2 выполняет следующие операции:
- централизованное управление и диагностика устройств ответственными сотрудниками Заказчика;
- осуществление фильтрации, агрегации и корреляции сообщений, приходящих от устройств;
- автоматическое построение схемы;
- централизованное распространения ПО на активное сетевое оборудование;
- централизованное формирование и хранение базы данных о программном и аппаратном обеспечении активных сетевых устройств;
- удаленное управление подсистемой централизованного администрирования, управления, мониторинга и анализа с использованием Web-интерфейса;
- определение различных ролей в системе управления;
- управление сетевыми устройствами по SNMP-протоколу;
Для организации внеполосного управления коммутаторами составляющими архитектуру ЦОД их управляющие интерфейсы подключаются к коммутаторам подсистемы управления Catalyst 2960G каналами Gigabit Ethernet по витой паре.
Организация службы сетевого управления SNMP
Для облегчения управления активным сетевым оборудованием со станции управления с установленным ПО CiscoWorks на устройствах ЛВС настроен протокол Simple Network Management Protocol SNMP. SNMP обеспечивает управление устройствами через иерархическую структуру баз данных устройств MIB. Для доступа к MIB на станции управления и сетевых устройствах поддерживающих SNMPv3 настроены учетные записи. Для доступа к MIB на устройствах поддерживающих SNMPv2c и станции управления настроены специальные ключевые слова community. Сложность учетных записей и ключевых слов community определяется соответствующей политикой информационной безопасности Заказчика.
Организация службы передачи системных сообщений SYSLOG
Для обеспечения сбора статистической информации о работе сетевых устройств на всех устройствах настроена функция регистрации событий, которая позволяет облегчить понимание процессов, происходящих в устройствах, а также выполнять их хронометраж. Настройка регистрации событий произведена таким образом, что устройство не только хранит события в своей оперативной памяти, но и отправляет их по протоколу SYSLOG на станцию управления. На станции управления осуществляется хранение событий, фильтрация, отображение и составление отчетов за определенные промежутки времени.
Состав и описание узлов
Конфигурации активного сетевого оборудования будут предоставлены Заказчику в электронном виде, в формате Microsoft Word 2003 после проведения приемочных испытаний системы.
Оборудование
Полный список оборудования и ПО, ЦОД и СБ приведен в спецификации оборудования изделий и материалов проекта.
Комплект ЗИП
В системе предусмотрен комплект ЗИП. Список оборудования и ПО комплекта ЗИП приведен в спецификации оборудования изделий и материалов проекта.
Условия транспортирования, хранения и эксплуатации оборудования
Условия транспортирования оборудования
При транспортировании оборудования категорически запрещается:
- транспортировать активное сетевое оборудование без упаковочной тары;
- допускать намокание упаковочной тары;
- допускать возникновение ударных перегрузок, приходящихся на корпус активного оборудования.
При транспортировании активного сетевого оборудования в холодное время года необходимо перед включением оборудования выдержать его в отапливаемом помещении в распакованном виде не менее двух часов.
Условия хранения оборудования
Хранение оборудования должно осуществляться в упаковочной таре в помещении при температуре от минус 25° С до плюс 70° С и относительной влажности от 10 до 85%.
Условия эксплуатации оборудования
Эксплуатируемое активное сетевое оборудование, в рамках архитектурной модели, должно устанавливаться в телекоммуникационные шкафы с естественной или принудительной системой вентиляции. Температура внутри шкафа должна поддерживаться в диапазоне температур от плюс 5° С до плюс 40° С при относительной влажности воздуха от 10 до 85 %.
При установке оборудования в телекоммуникационный шкаф необходимо обеспечить доступ к лицевой панели оборудования с целью контроля индикаторов состояния работы и возможности производства работ с панелью коммутации.
Гарантийное и сервисное обслуживание
Гарантийные обязательства
Срок гарантии на оборудование производства компании Cisco Systems составляет 1 год.
Сервисная поддержка в послегарантийный период
По желанию Заказчика, Исполнитель осуществляет послегарантийное обслуживание оборудования, а также его модернизацию по мере появления на рынке более новых моделей. Для осуществления послегарантийного обслуживания производителем выпускаются запчасти и комплектующие на протяжении пяти лет с момента прекращения серийного выпуска соответствующей модели.
Исполнитель в рамках сервисного обслуживания предоставляет Заказчику возможность оперативно получать полную информацию о новых продуктах, технологиях и решениях.
Заказчику предоставляются на выбор различные схемы обслуживания, от единовременных консультаций, ремонта или замены оборудования до полной круглосуточной поддержки с устранением неисправности оборудования в течение четырех часов.
Мероприятия по подготовке объекта автоматизации к вводу в действие
Подготовка персонала
ЛВС представляет собой подсистему с высоким уровнем сложности и с высокими требованиями к надежности функционирования, для обеспечения требуемой надежности необходимо, чтобы управление ее оборудованием осуществляли специалисты, обладающие знаниями и навыками в объеме, соответствующем содержанию сертифицированных курсов компании Cisco Systems. Рекомендуются следующие курсы:
- 642-902 ROUTE Implementing Cisco IP Routing это Внедрение IP-маршрутизации Cisco;
- 642-813 SWITCH Implementing Cisco IP Switched Networks т.е. Внедрение коммутируемых IP-сетей Cisco;
- 642-832 TSHOOT Troubleshooting and Maintaining Cisco IP Networks. Поиск и устранение неисправностей и поддержка IP-сетей Cisco;
- 642-637 SECURE Securing Networks with Cisco Routers and Switches. Обеспечение безопасности сетей с маршрутизаторами и коммутаторами Cisco;
- 642-618 FIREWALL Deploying Cisco ASA Firewall Solutions. Развертывание решения Cisco ASA Firewall;
- 642-874 ARCH Designing Cisco Network Service Architectures. Проектирование архитектуры сетевых сервисов Cisco.
- Минимальное количество сотрудников, необходимых для обслуживания и управления ЛВС, составляет два человека.
Подготовка помещений и организационные мероприятия
На этапе внедрения в срок до начала проведения пусконаладочных работ должна быть осуществлена подготовка помещений для размещения ЛВС.
Помещения считаются подготовленными для проведения работ при соблюдении следующих условий:
Общие требования:
- в помещении закончены строительные работы и вывезен строительный мусор;
- отсутствует громоздкая мебель и предметы, мешающие проведению работ.
Требования к микроклимату и шуму:
- рекомендуемая температура воздуха в помещениях 20°± 2°С, предельный диапазон от 5 до 40°С;
- относительная влажность воздуха от 20 до 75 % не более 75 % в холодный период, в теплый для 25 °С не более 65 %, для 24 °С и ниже не более 70 %;
- запыленность воздуха в серверной не должна превышать 0,75 мг/м3, с размерами частиц не более 3 мкм атм. пыль, сажа, дым, споры, асбест;
- допустимый уровень шума не более 65 дБ, допустимый уровень вибрации не должен превышать по амплитуде 0,1 мм и по частоте 25 Гц;
- поверхности стен и материалы напольного покрытия серверной не должны выделять и накапливать пыль, напольные покрытия должны иметь антистатические качества;
Требования по вентиляции и кондиционированию воздуха:
- помещения с одно- и двухсменным режимом работы оборудуются по обычным нормам или в сочетании со встроенными системами кондиционирования воздуха;
- в помещениях, изолированных от внешних стен здания и оборудованных автономной прецизионной системой кондиционирования, не должны находиться отопительные системы;
- в холодный период года существующая система кондиционирования не должна допускать выпадения конденсата на поверхностях помещений.
Подготовка объекта автоматизации
Перед началом работ офис Заказчика должен быть подготовлен к вводу ЛВС в действие:
- подготовлены помещения для размещения активного сетевого оборудования;
- организована необходимая канальная инфраструктура;
- все сотрудники, выполняющие эксплуатацию сети, обеспечены рабочими местами.
После выполнения подготовительных работ начинается монтаж и ввод в действие вычислительной архитектуры.
Перечень условных обозначений, терминов и сокращений
АРМ это |
Автоматизированное рабочее место |
БЛВС это |
Беспроводная локальная вычислительная сеть |
ГОСТ это |
Государственный стандарт |
ЗИП это |
Запасные инструменты и принадлежности |
ЛВС это |
Локальная вычислительная сеть |
МСЭ это |
Межсетевой экран |
НСД это |
Несанкционированный доступ |
ПО это |
Программное обеспечение |
ПО это |
Программное обеспечение |
СБ это |
Система безопасности |
ССЭ это |
Система сертификации электросвязи |
ТГК это |
Торгово-гостиничный комплекс |
ЛВС это |
Телекоммуникационная подсистема |
ЦОД это |
Центр обработки данных |
ЧТЗ это |
Документ Частное техническое задание |
AAA это |
Authentication, Authorization and Accounting, аутентификация, авторизации и учет |
CRTP это |
Compressed RTP, уплотненный транспортный протокол |
DMVPN это |
Dynamic Multipoint VPN, технология динамических многоточечных виртуальных частных сетей |
DMZ это |
Demilitarized Zone, демилитаризованная зона |
DoS это |
Denial of Service, отказ в обслуживании |
EIGRP это |
Enhanced Interior Gateway Routing Protocol, протокол маршрутизации |
ESP это |
Encapsulating Security Payload, протокол IPSec |
HSRP это |
Hot Standby Routing Protocol, протокол резервирования маршрутизатора |
IOS это |
Internetworking Operating System, операционная система межсетевого обмена |
IP это |
Internet Protocol, интернет-протокол |
IPS это |
Intrusion Prevention System, система предотвращения вторжений |
IPSec это |
IP Security, безопасный интернет-протокол |
ISAKMP это |
Internet Security Association and Key Management Protocol, протокол управления ключевой информацией |
IT-инфраструктура это |
Информационно-технологическая инфраструктура |
MD5 это |
Message Digest 5, хэш-алгоритм |
NTP это |
Network Time Protocol, протокол сетевого времени |
OSI это |
Open System Interconnection, модель взаимодействия открытых систем |
OSPF это |
Open Shortest Path First, открытый протокол поиска кратчайшего пути |
PKI это |
Public Key Infrastructure, инфраструктура открытых ключей |
PoE это |
Power over Ethernet, питание по Ethernet |
QoS это |
Quality of Service, качество обслуживания |
RSTP это |
Rapid STP, быстрый протокол связующего дерева |
RTP это |
Real Transport Protocol, транспортный протокол |
SHA1 это |
Secure Hash Alhorithm, хэш-алгоритм |
SNMP это |
Simple Network Management Protocol, простой протокол управления |
STA это |
Spanning Tree Algorithm, алгоритм связующего дерева |
STP это |
Spanning Tree Protocol, протокол связующего дерева |
STP это |
Spanning Tree Protocol |
VLAN это |
Virtual LAN, виртуальная ЛВС |
VoIP это |
Voice over IP, голос поверх интернет-протокола |
VPN это |
Virtual Private Network, виртуальная частная сеть |
VSS это |
Virtual Switching System, система объединения двух физических коммутаторов в один логический |
WAN это |
Wide Area Network, глобальная сеть |
WLAN это |
Wireless LAN |