Архитектура ЛВС

Архитектура ЛВС

Наш проектный отдел разработал документацию рабочую архитектуры ЛВС

Архитектура построения ЛВС СБ

Предлагаемое решение по построению ЛВС СБ, рассматриваемое в данном документе, основывается на требованиях к построению локальных вычислительных сетей с четким разграничением уровней иерархии, где каждому уровню иерархии соответствует свой набор оборудования, которые выполняет определенные для этого уровня функции. При построении ЛВС СБ используется многоуровневая модель, согласно которой можно выделить три функциональных уровня:

- уровень ядра ЛВС СБ, совмещенный с уровнем распределения;

- уровень доступа ЛВС СБ;

- уровень подключения серверов СБ.

Уровень ядра ЛВС СБ образован двумя модульными маршрутизирующими коммутаторами нового поколения Cisco Catalyst 4500X. Каждый коммутатор ядра обеспечивает пропускную способность 800 Гбит/с. Для межкоммутаторных соединений в шасси каждого коммутатора ядра ЛВС СБ устанавливаются два коммутационных модуля, каждый позволяет установить 16 модулей SFP+. Коммутатор ядра №1 располагается в центральном коммутационном, коммутатор ядра расположен в центральном коммутационном помещении в помещении ЦОД.

Коммутаторы ядра ЛВС СБ агрегируют каналы от коммутаторов уровня доступа ЛВС СБ и коммутаторов подключения серверов СБ. Коммутаторы уровня доступа подключаются к ядру с помощью двух оптических 10 Гб каналов на втором уровне OSI. В качестве коммутаторов уровня доступа ЛВС СБ используются стекируемые коммутаторы Cisco Catalyst 2960S-48FPD-L. Коммутаторы уровня подключения серверов СБ подключаются к ядру с помощью двух оптических 10 Гб каналов на втором уровне OSI. В качестве коммутаторов подключения серверов СБ используются стекируемые коммутаторы Cisco Catalyst 2960S-48FPD-L. Коммутаторы уровня доступа ЛВС СБ размещаются в этажных кроссовых и помещении ЦОД. Коммутаторы подключения серверов СБ размещаются в помещении ЦОД.

Коммутаторы уровня доступа ЛВС СБ и коммутаторы подключения серверов СБ осуществляют подключение конечных сетевых устройств СБ и серверов СБ по интерфейсам (10/100/1000Base-T). Коммутаторы уровня доступа ЛВС СБ обеспечивают электропитание подключаемых сетевых устройств СБ через неэкранированную витую пару по технологии IEEE802.3at (PoE+) мощностью до 740 Вт на коммутатор.

Разделение подсистем СБ производится с использованием виртуальных сетей VLAN. Разделение осуществляется по следующим признакам: функциональному (принадлежность к системе безопасности) и территориальному (этаж, кроссовая подключения).

ЛВС СБ физически изолирована от ЛВС офисных помещений и других телекоммуникационных систем передачи данных общего пользования. Активное и пассивное сетевое оборудование ЛВС СБ устанавливается в специально отведенных телекоммуникационных стойках СБ как в кроссовых, так и помещении ЦОД.

Схема построения ЛВС СБ представлена в документе ЛВС.С2.5 «Схема функциональной структуры. ЛВС СБ».

Расчет необходимого количества коммутаторов доступа ЛВС

Пользователи ЛВС размещаются на этажах ТГК. Общее количество пользователей более 2000 человек. Каждое автоматизированное рабочее место (АРМ) сотрудника оборудуется тремя портам СКС, активным сетевым подключением (АСП) из которых обладает только один порт. При расчете общего количества АСП на ЭКЦ помимо АСП АРМ учитываются АСП смежных систем. Согласно требованиям ТЗ, при расчете АСП закладывается 20% запас. Распределение АРМ, портов СКС АРМ, общего количества АСП по ЭКЦ и расчет необходимого количества линейных карт для коммутаторов доступа представлен в таблице 2.

* - согласно расчётам, в данный коммутатор следует установить 9 модулей, что невыполнимо, из-за отсутствия данного количества слотов (свободно 8), устанавливать дополнительный коммутатор в данный ЭКЦ экономически не целесообразно, поэтому в данном коммутаторе устанавливается 8 модулей, что обеспечивает запас АСП в 15%, вместо 20%.

Согласно выполненным расчетам, количество линейных карт в коммутаторах доступа не превышает 8 штук. Помимо линейных карт подключения оконечных устройств в каждый коммутатор доступа устанавливаются два модуля управления, итого самые загруженные коммутаторы используют 10 слотов. В связи с этим в каждый ЭКЦ (за исключением ЭКЦ устанавливается 10-слотовый коммутатор – Cisco Catalyst 4510.

Расчет необходимого количества коммутаторов доступа ЛВС СБ

Расчет количества коммутаторов уровня доступа ЛВС СБ представлен в таблице 3.

Схема именования устройств ЛВС, ЛВС ЦОД и ЛВС СБ

Именование устройств ЛВС осуществляется по схеме: TypeXX_Function_Room, где:

1) Type – тип устройства, может принимать следующие значения:

а) SW – коммутатор серии Cisco Catalyst;

б) NX – коммутатор серии Cisco Nexus;

в) RT – маршрутизатор;

г) FW – межсетевой экран;

2) XX – порядковый номер устройства в своей функциональной группе;

3) Function – функция, которую выполняет установленное оборудование. Может принимать следующие значения:

а) COR-LAN – коммутатор уровня ядра ЛВС;

б) ACS-LAN – коммутатор уровня доступа ЛВС;

в) LAN – устройство ЛВС;

г) COR-SRV – коммутатор уровня ядра ЛВС ЦОД;

д) ACS-SRV – коммутатор уровня доступа ЛВС ЦОД;

е) MGT-SRV – коммутатор сети управления ЛВС ЦОД;

ж) SRV – устройство ЛВС ЦОД;

з) WAN – устройство пограничного сегмента;

и) DMZ – устройство DMZ-сегмента;

к) COR-SB – коммутатор уровня ядра ЛВС СБ;

л) ACS-SB – коммутатор уровня доступа ЛВС СБ;

м) SRV-SB – коммутатор серверного сегмента ЛВС СБ;

н) SB – устройство ЛВС СБ;

4) Room – размещение оборудования, принимает следующее значение:

Наименования оборудования ЛВС приведены в таблице.

Организационная структура виртуальных ЛВС (VLAN)

Виртуальная ЛВС (Virtual LAN, VLAN) - это логическая группа пользователей сети и ресурсов, подключенных к административно-определенным портам на коммутаторе. VLAN позволяет создавать в пределах коммутатора меньшие широковещательные домены посредством назначения разных портов коммутатора разным подсетям, а также регулировать доступ между ними.

VLAN могут быть организованы, например, по структурному принципу, отражающему административную структуру организации, или по принципу объединения сетевых ресурсов, таких как принтеры, серверы и т.п.

Для определения количества VLAN, на которое следует разбить ЛВС, необходимо знать следующие параметры:

- структура трафика;

- используемые приложения;

- общие признаки групп;

- схема IP-адресации.

Поскольку трафик между разными VLAN должен маршрутизироваться, описанная схема позволяет регулировать доступ узлов одной VLAN в другие VLAN с помощью списков доступа, эффективно разграничивая доступ пользователей того или иного подразделения.

Если VLAN носит служебный характер и предназначен для взаимодействия между устройствами, именование VLAN осуществляется по схеме: PRF.DEV1.DEV2.NUM, где:

1) PRF – префикс, указывающий на тип сети, принимает значения:

а) PTP – префикс, указывающий, что VLAN имеет тип «точка-точка» (point to point);

б) PTM – префикс, указывающий, что VLAN имеет тип «точка-точки» (point to multipoint);

2) DEV1 – сокращенное наименование первого устройства;

3) DEV2 – сокращенное наименование второго устройства;

4) NUM – порядковый номер VLAN между устройствами, если таких VLAN несколько.

Если VLAN является виртуальной сетью доступа, именование VLAN осуществляется по схеме FUNCTION.NUM, где:

1) FUNCTION – указывает на функциональную принадлежность хостов VLAN, например, может принимать значения:

а) USR – корпоративные пользователи;

б) RST – пользователи, не прошедшие аутентификацию;

в) GST – устройства посетителей;

г) IPT – устройства IP-телефонии (СТС);

д) VKS – устройства видеоконференцсвязи (ВСК);

е) PRN – устройства офисной печати (СОП);

ж) TVS – устройства системы телевидения (СТВ);

з) MMS – устройства мультимедийных систем (МС);

и) LAP – точки доступа (БЛВС);

к) SKS – устройства мониторинга СКС;

л) SRV – серверы;

м) WLAN.MGMT – устройства управления беспроводной сетью (БЛВС);

н) WLAN.CORP – беспроводные устройства корпоративных пользователей;

о) WLAN.GUEST – беспроводные устройства посетителей;

п) WLAN.VOIP – беспроводные IP-телефоны (СТС);

р) SB.MGMT – сеть управления активным сетевым оборудованием ЛВС СБ;

с) SB.SOT – устройства системы охранного телевидения (СОТ);

т) SB.SKUD - устройства системы контроля и управления доступом (СКУД);

у) SB.DC – устройства системы безопасности ЦОД;

и т.д.

2) NUM указывает на IP-подсеть VLAN в виде трехзначного номера, равного третьему октету IP-подсети VLAN.

Некоторые VLAN не подпадают под приведенные схемы именования и именуются индивидуально.

Распределение IP-адресов

Распределение IP-адресов управления активным сетевым оборудованием

Для управления активным сетевым оборудованием выделен диапазон IP-адресов (за исключением некоторых устройств). IP-адреса управления активным сетевым оборудованием ЛВС представлены в таблице 40.

Распределение IP-адресов для соединительных участков ЛВС типа «точка-точка» и «точка-точки»

Для участков ЛВС, содержащих не более 2 хостов, выделен диапазон IP-адресов для участков ЛВС, содержащих не более 6 хостов, выделен диапазон IP-адресов; для участков ЛВС, содержащих не более 14 хостов, выделен диапазон IP-адресов. Распределение этих диапазонов адресов представлено..

Настройка Virtual Switching System (VSS) на Cisco Catalyst 6509

Для объединения двух коммутаторов Catalyst 6509 в один виртуальный коммутатор ядра SW01, произведены следующие настройки:

 

Шаг 2 – Настройка VSL port channel и member ports

Шаг 4 – Подтверждение настройки VSS

После выполнения настроек, описанных выше, и перезагрузки обоих устройств, произойдет объединение двух коммутаторов в один виртуальный (VSS). Для завершения настройки, потребуется ввести:

Настройка обнаружения состояния dual-active

В случае разрыва всех оптических VSL-связей между коммутаторами при базовой конфигурации VSS устройства не смогут определить, что конкретно произошло – обрыв оптики или выход из строя оппонента. Оба устройства будут вынуждены принять ведущую роль (режим dual-active). Данный режим не позволит полноценно функционировать ЛВС. Во избежание данной ситуации выполняется настройка обнаружения состояния «dual-active». После включения «dual-active detection» опрос доступности устройств между коммутаторами помимо стандартного VSL-линка будет происходить через коммутаторы уровня доступа посредством протокола Enhanced PAgP.

Настройка агрегации каналов (port-channel)

С целью увеличения пропускной способности и повышения отказоустойчивости межкоммутаторных соединений, межкоммутаторыные интерфейсы объединяются в группы виртуальных интерфейсов по протоколу Cisco PAgP.

Для настройки агрегации выполняются следующие команды:

(config)#interface range <интерфейс_1>, <интерфейс_2>, <интерфейс_3>, <интерфейс_4>

(config-if-range)#channel-group <номер группы> mode auto

На коммутаторе ядра агрегируются интерфейсы согласно таблице.

Использование протокола сетевого времени

Для того чтобы все устройства ЛВС были синхронизированы по времени, на устройствах настроен протокол сетевого времени NTP. В качестве NTP-сервера используется коммутатор уровня ядра SW01. Прочие сетевые устройства являются NTP-клиентами и будут получать время от коммутаторов уровня ядра. Сами коммутаторы уровня ядра являются NTP-клиентами публичных NTP-серверов.

Настройка временной зоны

Для корректного отображения и фиксации времени событий на сетевых устройствах настраивается локальная временная зона:

Подключение пользователей

Рабочие станции пользователей подключаются к интерфейсам коммутаторов уровня доступа Catalyst 4510 последовательно через персональные настольные IP-телефоны Cisco. Скорость подключения пользователей к ЛВС определяется максимальной скоростью передачи данных поддерживаемой коммутатором, интегрированном в IP-телефон. В зависимости от модели IP-телефона скорость подключения пользователя может составлять 100 или 1000 Мбит/с.

Для исключения задержек, возникающих при подключении компьютера к сети, на портах пользователей настраивается функция PortFast, которая отключает протокол определения кольцевых маршрутов SpanningTree.

Для обеспечения дополнительной безопасности на портах коммутаторов, при необходимости настраивается аутентификация с использованием протокола dot1x и функционалом присвоения VLAN. Для подключения пользователей с использованием dot1x, порты коммутаторов настраиваются следующим образом:

Подключение серверов

Серверы подключаются к коммутаторам уровня ЦОД по интерфейсам Gigabit Ethernet или используют встроенные Blade-коммутаторы. Для повышения отказоустойчивости сетевого подключения серверов по возможности один сетевой интерфейс сервера подключается к одному коммутатору, а второй интерфейс - к другому коммутатору. Такая схема подключения позволяет быстро переключаться на резервный канал в случае выхода из строя основного соединения.

В VLAN, предназначенных для подключения серверов используется протокол Rapid-per-VLAN-Spanning-Tree (Rapid-PVST).

Организация маршрутизации

Выбор протокола динамической маршрутизации

В качестве протокола динамической маршрутизации выбран протокол OSPF. Данный протокол является открытым стандартом (RFC 2328), поддерживается активными сетевыми устройствами ЛВС и имеет ряд преимуществ:

- высокая скорость сходимости по сравнению с дистанционно-векторными протоколами маршрутизации;

- поддержка сетевых масок переменной длины (VLSM);

- оптимальное использование пропускной способности (т.к. строится минимальный остовный граф по алгоритму Дейкстры).

Организация маршрутизации в ЛВС

Маршрутизация между IP-сетями в ЛВС реализована следующим образом:

1) Маршрутизация между различными VLAN в пределах каждого из коммутаторов осуществляется на самих коммутаторах. Для этого настроены IP-адреса на интерфейсах (interface VLAN) коммутаторов.

2) На рабочих станциях настроен шлюз по умолчанию (маршрут на сеть 0.0.0.0 0.0.0.0) на IP-адрес соответствующего интерфейса VLAN.

3) На серверах ЛВС ЦОД настроен шлюз по умолчанию на HSRP-IP-адрес соответствующего интерфейса VLAN коммутатора уровня ядра ЦОД. На Blade-коммутаторах настроен маршрут по умолчанию на IP-HSRP-адрес подключенного к ним интерфейса VLAN.

4) Чтобы автоматически распространялась маршрутная информация и осуществлялась маршрутизация трафика по каналам связи, в ЛВС настроен протокол динамической маршрутизации OSPF. Коммутатор SW01_COR-LAN_8B-DC распространяет маршрут по умолчанию и маршрут на сети удаленных пользователей на остальное активное сетевое оборудование ЛВС Заказчика.

Организация связи между ЛВС ТГК и ЛВС удаленных площадок

Маршрутизация между ЛВС и удалёнными площадками реализована на базе маршрутизирующих коммутаторов WS-C3560X, размещаемых на каждой удаленной площадке в количестве двух штук. Каждый коммутатор подключается через ВОЛС к коммутаторам ядра на скорости 10 Гбит/с. Между коммутатором ядра и коммутаторами, размещаемыми на удаленных площадках, настраивается протокол динамической маршрутизации OSPF. Схема подключения, настройки маршрутизации и адресации описаны в документации -ИОС-СС-ИТ-КСПД «Корпоративная сеть передачи данных».

Настройка механизмов обеспечения качества обслуживания

На коммутаторе Cisco Catalyst 6509 составляющем ядро сети, установлены модули обеспечивающие одну приоритетную и 7 взвешенных очередей. Модули WS-X6848-TX-2T имеют механизм очередизации, предусматривающий одну приоритетную и три взвешенных.

На коммутаторах включается работа механизмов QoS и настраивается соответствие меток DSCP и CoS:

На межкоммутаторных соединениях настраивается доверие значениям CoS и DSCP, веса очередей, приоритетная очередь и пороги для функции Weighted Random Early Detection, обеспечивающей необходимые пропорции между очередями при перегрузке интерфейса. Кроме этого настраивается соответствие между очередью и значением метки CoS. Настройки QoS на межкоммутаторных соединениях будут выглядеть следующим образом:

На коммутаторах доступа настраивается соответствие между CoS 5 и DSCP 46. Различные значения DSCP распределяются по очередям. Очередь №3 настраивается как приоритетная. Настройки выглядят следующим образом:

На клиентских портах дополнительно настраивается доверие меткам CoS:

На соединениях с коммутаторами ядра дополнительно настраивается доверие меткам CoS и DSCP и пропорции между очередями:

Обеспечение информационной безопасности

Фильтрация сетевых адресов

На пограничных маршрутизаторах, пограничных межсетевых экранах и коммутаторах ЛВС настроена фильтрация пакетов с помощью списков доступа, позволяющая ограничивать доступ к ресурсам сети.

Списки доступа включают в себя следующие правила:

1) Пользователям ЛВС (рабочие станции пользователей ЛВС) разрешен доступ ко всем ресурсам ЛВС.

2) Гостям ЛВС разрешен доступ к системе печати и некоторым файловым серверам.

3) Пользователям, не прошедшим аутентификацию, доступ к ресурсам ЛВС запрещён.

4) Подсетям IP-телефонов доступ разрешен только к сервисам СТС.

5) Между подсетями серверов разрешен весь трафик.

6) Внутри ЛВС полностью разрешен протокол ICMP.

7) Из сети Интернет на устройства ЛВС запрещен весь ICMP-трафик, кроме ICMP Echo-reply и ICMP TTL-Exceeded.

8) Весь трафик, который не разрешен, - запрещен.

Во время проведения пуско-наладочных работ на объекте автоматизации перечисленные правила могут изменяться и дополняться.

Настройки аутентификации портов

Для обеспечения дополнительной безопасности на коммутаторах доступа настраивается аутентификация с помощью MAC-адреса и протокола dot1x, а также функционал vlan assignment.

MAC-address-based аутентификация используется для клиентов сети, не поддерживающих dot1x. При этом в качестве имени пользователя и пароля по протоколу RADIUS передаётся MAC-адрес устройства. MAC-адресов устройств, поддерживающих dot1x, в базе данных быть не должно.

При подключении рабочей станции пользователя, поддерживающей dot1x, в порт коммутатора доступа MAC-аутентификация проходит неудачно и происходит следующая за ней по приоритету аутентификация dot1x. Пользователю выдаётся панель аутентификации. Получив фрейм аутентификации от рабочей станции, коммутатор передаёт его в формате протокола RADIUS на RADIUS-сервер. В случае успешной аутентификации RADIUS-сервер возвращает коммутатору соответствующий ответ и номер VLAN, в который необходимо поместить порт. В случае отказа в доступе коммутатор помещает порт во VLAN ограниченного доступа (restricted).

В случае, если к порту подключена рабочая станция, не поддерживающая протокол, dot1x порт, не получивший фреймы EAPOL, помещается коммутатором в гостевой VLAN.

 

RADIUS-сервер, вместе с ответом о результате аутентификации должен возвращать следующие атрибуты:

- [64] Tunnel-Type – всегда равно «VLAN»;

- [65] Tunnel-Medium-Type – всегда равно «802»;

- [81] Tunnel-Private-Group-ID – название или номер VLAN в зависимости от адреса коммутатора доступа, с которого пришёл запрос аутентификации.

Настройки RADIUS-сервера

На сервере контроля доступа Cisco Secure ACS настраиваются RADIUS-клиенты с параметрами, описание которых приведено в таблице 46.

Использование механизма аутентификации, авторизации и сбора статистики (AAA) на устройствах ЛВС

Для обеспечения контроля доступа к сетевым устройствам используется модель Authentication, Authorization, Accounting (AAA). При попытке подключения к сетевому устройству предлагается ввести свое имя и пароль. Контроль доступа обеспечивается сервером TACACS+.

В случае недоступности сервера доступа для аутентификации на сетевом устройстве в качестве резервной возможности используется локальная аутентификация. Для этого на каждом из сетевых устройств создана локальная база пользователей, имеющих право на доступ к конкретному сетевому устройству.

Настройка асинхронных портов

Время бездействия на асинхронных портах (VTY) установлено в значение «15 минут»:

Активизирован контроль соединения TCP на входящих и исходящих сессиях:

Отключение ненужных сервисов

На всех внешних интерфейсах маршрутизаторов отключен сервис CDP:

На всех коммутаторах и маршрутизаторах отключен HTTP-сервис:

На всех коммутаторах и маршрутизаторах отключен сервис Source Routing:

На всех коммутаторах и маршрутизаторах отключен сервис ICMP Redirect:

На всех коммутаторах и маршрутизаторах отключены сервисы TCP и UDP Small Services:

На всех коммутаторах и маршрутизаторах отключен сервис Finger:

Шифрование паролей

Чтобы пароли не хранились в файле конфигурации коммутаторов и маршрутизаторов в открытом виде настроена функция шифрования паролей:

Защита от подмены DHCP-сервера

Чтобы противодействовать атакам с использованием протокола DHCP на коммутаторах уровня доступа настроена функция DHCP Snooping:

На портах коммутаторов, к которым подключены DHCP-серверы ЛВС и другие коммутаторы, настроено доверие DHCP-ответам серверов:

Для повышения отказоустойчивости работы функции DHCP Snooping и уменьшения заполнения локальных носителей коммутаторов настраивается сохранение базы данных на внешнем TFTP-сервере:

Настройка динамической ARP инспекции

Чтобы противодействовать атакам с использованием протокола ARP на коммутаторах уровня доступа настроена функция Dynamic ARP Inspection:

На портах коммутаторов, к которым подключены другие коммутаторы ЛВС, настроено доверие ARP:

Настройка Traffic Storm Control

С целью отслеживания аномального увеличения трафика широковещательных пакетов на коммутаторах ЛВС настроена функция Traffic Storm Control:

Подсистема централизованного администрирования, управления, мониторинга и анализа ЛВС

Для осуществления функций контроля, управления и мониторинга активного сетевого оборудования в качестве системы сетевого управления используется программный пакет CiscoPrime LAN Management Solution (LMS) компании Cisco Systems.

Сервер LMS подключается к коммутаторам подсистемы централизованного администрирования, управления, мониторинга и анализа.

CiscoPrime LMS обеспечивает полный набор функций управления и мониторинга сетевых устройств, в частности обнаружение и локализацию неисправностей оборудования в сети, получение статистической информации о функционировании всей сети или отдельных ее компонентов, а также производит необходимые изменения в конфигурации сети с единой консоли управления сетью. CiscoPrime LMS соответствует требованиям ЧТЗ, предъявляемым к подсистеме централизованного администрирования, управления, мониторинга и анализа ЛВС.

ПО CiscoPrime LMS выполняет следующие операции:

- автоматическое обнаружение коммутаторов и маршрутизаторов фирмы Cisco Systems и построение топологии сети;

- отображение реального графического представления коммутаторов и маршрутизаторов;

- резервное копирование и хранение конфигураций активного сетевого оборудования;

- сбор и отображение статистики на уровне порта, карты или шасси в графическом виде;

- оповещение по электронной почте ответственных сотрудников Заказчика о происходящих событиях в сети и на сетевых устройствах;

- фильтрация, агрегация и корреляция сообщений, приходящих от сетевых устройств;

- централизованное распространение ПО на активное сетевое оборудование;

- централизованное хранение базы данных о программном и аппаратном обеспечении всех активных сетевых устройств компании Cisco;

- определение различных ролей в системе управления;

- управление сетевыми устройствами по SMNP-протоколу;

- управление ПО CiscoPrime LMS осуществляется через web-интерфейс.

Для осуществления функций контроля, управления и мониторинга активного сетевого оборудования ЛВС ЦОД в качестве системы сетевого управления используется бесплатно распространяемое ПО производства компании Cisco Systems, Data Center Network Manager (DCNM) 5.2. Для работы некоторых функций DCNM, таких как администрирование Virtual Port Channel или Virtual Device Context для Nexus 7000, на сервер DCNM устанавливаются отдельно закупаемые лицензии. Сервер DCNM подключается к коммутаторам подсистемы централизованного администрирования, управления, мониторинга и анализа.

ПО Data Center Network Manager 5.2 выполняет следующие операции:

- централизованное управление и диагностика устройств ЛВС ЦОД ответственными сотрудниками Заказчика;

- осуществление фильтрации, агрегации и корреляции сообщений, приходящих от устройств ЛВС ЦОД;

- автоматическое построение схемы ЛВС ЦОД;

- централизованное распространения ПО на активное сетевое оборудование ЛВС ЦОД;

- централизованное формирование и хранение базы данных о программном и аппаратном обеспечении активных сетевых устройств ЛВС ЦОД;

- удаленное управление подсистемой централизованного администрирования, управления, мониторинга и анализа ЛВС ЦОД с использованием Web-интерфейса;

- определение различных ролей в системе управления;

- управление сетевыми устройствами ЛВС ЦОД по SNMP-протоколу;

Для организации внеполосного управления коммутаторами ЛВС ЦОД их управляющие интерфейсы подключаются к коммутаторам подсистемы управления Catalyst 2960G каналами Gigabit Ethernet по витой паре.

Организация службы сетевого управления (SNMP)

Для облегчения управления активным сетевым оборудованием со станции управления с установленным ПО CiscoWorks на устройствах ЛВС настроен протокол Simple Network Management Protocol (SNMP). SNMP обеспечивает управление устройствами через иерархическую структуру баз данных устройств MIB. Для доступа к MIB на станции управления и сетевых устройствах поддерживающих SNMPv3 настроены учетные записи. Для доступа к MIB на устройствах поддерживающих SNMPv2c и станции управления настроены специальные ключевые слова – community. Сложность учетных записей и ключевых слов community определяется соответствующей политикой информационной безопасности Заказчика.

Организация службы передачи системных сообщений (SYSLOG)

Для обеспечения сбора статистической информации о работе сетевых устройств на всех устройствах настроена функция регистрации событий, которая позволяет облегчить понимание процессов, происходящих в устройствах, а также выполнять их хронометраж. Настройка регистрации событий произведена таким образом, что устройство не только хранит события в своей оперативной памяти, но и отправляет их по протоколу SYSLOG на станцию управления. На станции управления осуществляется хранение событий, фильтрация, отображение и составление отчетов за определенные промежутки времени.

Состав и описание узлов

Конфигурации активного сетевого оборудования будут предоставлены Заказчику в электронном виде (в формате Microsoft Word 2003) после проведения приемочных испытаний системы.

Оборудование ЛВС, ЛВС ЦОД, ЛВС СБ

Полный список оборудования и ПО ЛВС, ЛВС ЦОД и ЛВС СБ приведен в спецификации оборудования изделий и материалов проекта.

Комплект ЗИП

В системе предусмотрен комплект ЗИП. Список оборудования и ПО комплекта ЗИП ЛВС, ЛВС ЦОД и ЛВС СБ приведен в спецификации оборудования изделий и материалов проекта.

Условия транспортирования, хранения и эксплуатации оборудования

Условия транспортирования оборудования

При транспортировании оборудования категорически запрещается:

- транспортировать активное сетевое оборудование без упаковочной тары;

- допускать намокание упаковочной тары;

- допускать возникновение ударных перегрузок, приходящихся на корпус активного оборудования.

При транспортировании активного сетевого оборудования в холодное время года необходимо перед включением оборудования выдержать его в отапливаемом помещении в распакованном виде не менее двух часов.

Условия хранения оборудования

Хранение оборудования должно осуществляться в упаковочной таре в помещении при температуре от минус 25° С до плюс 70° С и относительной влажности (10 – 85)%.

Условия эксплуатации оборудования

Эксплуатируемое активное сетевое оборудование должно устанавливаться в телекоммуникационные шкафы с естественной или принудительной системой вентиляции. Температура внутри шкафа должна поддерживаться в диапазоне температур от плюс 5° С до плюс 40° С при относительной влажности воздуха (10 – 85) %.

При установке оборудования в телекоммуникационный шкаф необходимо обеспечить доступ к лицевой панели оборудования с целью контроля индикаторов состояния работы и возможности производства работ с панелью коммутации.

Гарантийное и сервисное обслуживание

Гарантийные обязательства

Срок гарантии на оборудование производства компании Cisco Systems составляет 1 год.

Сервисная поддержка в послегарантийный период

По желанию Заказчика, Исполнитель осуществляет послегарантийное обслуживание оборудования, а также его модернизацию по мере появления на рынке более новых моделей. Для осуществления послегарантийного обслуживания производителем выпускаются запчасти и комплектующие на протяжении пяти лет с момента прекращения серийного выпуска соответствующей модели.

Исполнитель в рамках сервисного обслуживания предоставляет Заказчику возможность оперативно получать полную информацию о новых продуктах, технологиях и решениях.

Заказчику предоставляются на выбор различные схемы обслуживания, от единовременных консультаций, ремонта или замены оборудования до полной круглосуточной поддержки с устранением неисправности оборудования в течение четырех часов.

Мероприятия по подготовке объекта автоматизации к вводу в действие

Подготовка персонала

ЛВС представляет собой подсистему с высоким уровнем сложности и с высокими требованиями к надежности функционирования, для обеспечения требуемой надежности ЛВС необходимо, чтобы управление ее оборудованием осуществляли специалисты, обладающие знаниями и навыками в объеме, соответствующем содержанию сертифицированных курсов компании Cisco Systems. Рекомендуются следующие курсы:

- 642-902 ROUTE (Implementing Cisco IP RoutingВнедрение IP-маршрутизации Cisco);

- 642-813 SWITCH (Implementing Cisco IP Switched NetworksВнедрение коммутируемых IP-сетей Cisco);

- 642-832 TSHOOT (Troubleshooting and Maintaining Cisco IP Networks Поиск и устранение неисправностей и поддержка IP-сетей Cisco);

- 642-637 SECURE (Securing Networks with Cisco Routers and SwitchesОбеспечение безопасности сетей с маршрутизаторами и коммутаторами Cisco);

- 642-618 FIREWALL (Deploying Cisco ASA Firewall SolutionsРазвертывание решения Cisco ASA Firewall);

- 642-874 ARCH (Designing Cisco Network Service ArchitecturesПроектирование архитектуры сетевых сервисов Cisco).

Минимальное количество сотрудников, необходимых для обслуживания и управления ЛВС, составляет два человека.

Подготовка помещений и организационные мероприятия

На этапе внедрения в срок до начала проведения пусконаладочных работ должна быть осуществлена подготовка помещений для размещения ЛВС.

Помещения считаются подготовленными для проведения работ при соблюдении следующих условий:

1) Общие требования:

а) в помещении закончены строительные работы и вывезен строительный мусор;

б) отсутствует громоздкая мебель и предметы, мешающие проведению работ.

2) Требования к микроклимату и шуму:

а) рекомендуемая температура воздуха в помещениях – (20°± 2)°С, предельный диапазон – (5 – 40)°С;

б) относительная влажность воздуха – (20 – 75) % (не более 75 % в холодный период, в теплый для 25 °С – не более 65 %, для 24 °С и ниже – не более 70 %);

в) запыленность воздуха в серверной не должна превышать – 0,75 мг/м3, с размерами частиц не более 3 мкм (атм. пыль, сажа, дым, споры, асбест);

г) допустимый уровень шума не более 65 дБ, допустимый уровень вибрации не должен превышать по амплитуде 0,1 мм и по частоте 25 Гц;

д) поверхности стен и материалы напольного покрытия серверной не должны выделять и накапливать пыль, напольные покрытия должны иметь антистатические качества;

3) Требования по вентиляции и кондиционированию воздуха:

а) помещения с одно- и двухсменным режимом работы оборудуются по обычным нормам или в сочетании со встроенными системами кондиционирования воздуха;

б) в помещениях, изолированных от внешних стен здания и оборудованных автономной прецизионной системой кондиционирования, не должны находиться отопительные системы;

в) в холодный период года существующая система кондиционирования не должна допускать выпадения конденсата на поверхностях помещений.

1.1.1 Подготовка объекта автоматизации

Перед началом работ офис Заказчика должен быть подготовлен к вводу ЛВС в действие:

- подготовлены помещения для размещения активного сетевого оборудования;

- организована необходимая канальная инфраструктура;

- все сотрудники, выполняющие эксплуатацию ЛВС, обеспечены рабочими местами.

После выполнения подготовительных работ начинается монтаж и ввод в действие ЛВС.

Перечень условных обозначений, терминов и сокращений

АРМ

-

Автоматизированное рабочее место

БЛВС

-

Беспроводная локальная вычислительная сеть

ГОСТ

-

Государственный стандарт

ЗИП

-

Запасные инструменты и принадлежности

ЛВС

-

Локальная вычислительная сеть

МСЭ

-

Межсетевой экран

НСД

-

Несанкционированный доступ

ПО

-

Программное обеспечение

ПО

-

Программное обеспечение

СБ

-

Система безопасности

ССЭ

-

Система сертификации электросвязи

ТГК

-

Торгово-гостиничный комплекс

ЛВС

-

Телекоммуникационная подсистема

ЦОД

-

Центр обработки данных

ЧТЗ

-

Документ «Частное техническое задание»

AAA

-

Authentication, Authorization and Accounting, аутентификация, авторизации и учет

CRTP

-

Compressed RTP, уплотненный транспортный протокол

DMVPN

-

Dynamic Multipoint VPN, технология динамических многоточечных виртуальных частных сетей

DMZ

-

Demilitarized Zone, демилитаризованная зона

DoS

-

Denial of Service, отказ в обслуживании

EIGRP

-

Enhanced Interior Gateway Routing Protocol, протокол маршрутизации

ESP

-

Encapsulating Security Payload, протокол IPSec

HSRP

-

Hot Standby Routing Protocol, протокол резервирования маршрутизатора

IOS

-

Internetworking Operating System, операционная система межсетевого обмена

IP

-

Internet Protocol, интернет-протокол

IPS

-

Intrusion Prevention System, система предотвращения вторжений

IPSec

-

IP Security, безопасный интернет-протокол

ISAKMP

-

Internet Security Association and Key Management Protocol, протокол управления ключевой информацией

IT-инфраструктура

-

Информационно-технологическая инфраструктура

MD5

-

Message Digest 5, хэш-алгоритм

NTP

-

Network Time Protocol, протокол сетевого времени

OSI

-

Open System Interconnection, модель взаимодействия открытых систем

OSPF

-

Open Shortest Path First, открытый протокол поиска кратчайшего пути

PKI

-

Public Key Infrastructure, инфраструктура открытых ключей

PoE

-

Power over Ethernet, питание по Ethernet

QoS

-

Quality of Service, качество обслуживания

RSTP

-

Rapid STP, быстрый протокол связующего дерева

RTP

-

Real Transport Protocol, транспортный протокол

SHA1

-

Secure Hash Alhorithm, хэш-алгоритм

SNMP

-

Simple Network Management Protocol, простой протокол управления

STA

-

Spanning Tree Algorithm, алгоритм связующего дерева

STP

-

Spanning Tree Protocol, протокол связующего дерева

STP

-

Spanning Tree Protocol

VLAN

-

Virtual LAN, виртуальная ЛВС

VoIP

-

Voice over IP, голос поверх интернет-протокола

VPN

-

Virtual Private Network, виртуальная частная сеть

VSS

-

Virtual Switching System, система объединения двух физических коммутаторов в один логический

WAN

-

Wide Area Network, глобальная сеть

WLAN

-

Wireless LAN