BDG-V-28-7-MCH/2007 Załącznik nr do SIWZ SZCZEGÓŁOWY OPIS PRZEDMIOTU ZAMÓWIENIA Przedmiotem zamówienia jest przebudowa sieci lokalnej Ministerstwa Rozwoju Regionalnego, w tym sprzedaŝ i dostarczenie sprzętu oraz oprogramowania. SPIS TREŚCI. Wstęp...2 2. Opis stanu obecnego infrastruktury sieciowej...2. Projekt rozbudowy sieci lokalnej MRR...20 4. Wymagania techniczne dla rozbudowy sieci MRR...25 5. Lista zadań do realizacji...2 6. Załączniki...5
. Wstęp Celem niniejszego zamówienia jest przebudowa sieci MRR w celu podniesienia poziomu bezpieczeństwa oraz niezawodności działania sieci MRR. Niniejszy dokument (projekt) przedstawia fizyczne rozmieszczenie oraz logiczne połączenia urządzeń we wszystkich lokalizacjach MRR. Uwzględnia równieŝ moŝliwość ich integracji w przyszłości wraz z propozycjami technik zabezpieczeń (podział na sieci VLAN, autoryzacja stacji, network admission control, mechanizmy firewall zaadoptowane w IOS). Projekt obejmuje modernizację konfiguracji sieci polegającą na rekonfiguracji fizycznych połączeń, instalacji dodatkowych przełączników, rekonfiguracji przełączników oraz instalacji wymaganego oprogramowania. W zakres postępowania nie wchodzi rozbudowa okablowania sieciowego - wszystkie przewidziane w projekcie połączenia moŝna zrealizować na bazie istniejącego juŝ okablowania. 2. Opis stanu obecnego infrastruktury sieciowej Lokalizacje MRR posiada okablowanie oraz urządzenia sieciowe w budynkach zlokalizowanych przy ulicach: Wspólna Chałubińskiego Pl. Trzech KrzyŜy śurawia Wszystkie urządzenia sieciowe są połączone przy wykorzystaniu linków światłowodowych. Z uwagi na powyŝsze lokalizacje Wspólna, śurawia i Plac Trzech KrzyŜy z logicznego punktu widzenia moŝna traktować jako jedną sieć LAN. Lokalizacja Chałubińskiego jest połączona z lokalizacją Wspólna 2Mb/s kanałem VPN zestawionym przez sieć internet. 2
Schemat połączeń Schemat połączeń urządzeń w budynku przy ul. Wspólnej Ministerstwo Gospodarki Plac Trzech KrzyŜy Serwerownia pokój 48 58 5050 2 2007 092 0052A NO42
Schemat połączeń w budynku przy ul. Chałubińskiego W lokalizacji Pl. Trzech KrzyŜy oraz śurawia pracownicy MRR podłączeni są do urządzeń Ministerstwa Gospodarki. W lokalizacjach tych istnieje okablowanie światłowodowe pozwalające na dołoŝenie nowych switchy przez MRR i połączenie ich z pozostałą częścią projektowanej sieci MRR. 4
Rozmieszczenie urządzeń Rozmieszczenie sprzętu sieciowego MRR w budynku przy ul. Wspólnej Piętro Pomieszczenie Typ Piwnica N042 Cisco Catalyst 550 Parter 0052 Cisco Catalyst 560 I 092 Cisco Catalyst 560 II 2007 Cisco Catalyst 2950 II 2007 Cisco Catalyst 2950 II 2007 Cisco Catalyst 550 II 2007 Cisco Catalyst 4506 II 2 Cisco Catalyst 4506 V 58 Cisco Catalyst 550 V 58 Cisco Catalyst 550 V 58 Cisco Catalyst 550 V 58 Cisco Catalyst 500 XL V 5050 Cisco Catalyst 500 XL V 5050 Cisco Catalyst 550 V 5050 Cisco Catalyst 550 V 5050 Cisco Catalyst 550 Rozmieszczenie sprzętu sieciowego MRR w budynku przy ul. Chałubińskiego Piętro Pomieszczenie Typ XXV 2520 Cisco Catalyst 560 XXV 2520 Cisco Catalyst 560 XXV 2506 Cisco Catalyst 560 XXV 2506 Cisco Catalyst 560 XXV Serwerownia 25 piętro Cisco Catalyst 560 XXIV 2409 Cisco Catalyst 560 XVIII 826 Cisco Catalyst 560 XVIII Cisco Catalyst 560 Dodatkowy, niepodłączony obecnie sprzęt sieciowy będący własnością MRR, który naleŝy wykorzystać podczas realizacji zamówienia LP Typ Ilość Cisco Catalyst 4506 2 Cisco Catalyst 560 G 4 Cisco Catalyst 560 6 5
Konfiguracja sprzętowa Konfiguracja dla urządzeń sieciowych jest ujednolicona. W przypadku przełączników dostępowych zapewnia podstawową funkcjonalność. Tzn. istnieją trzy VLAN-y w całej sieci: VLAN do administracji urządzeniami VLAN 6- segment uŝytkowników sieci VLAN dla urządzeń kontroli dostępu. Konfiguracja przełączników 4506 Przełącznik WS-C4506Catalyst 4500 Chassis (6-Slot),fan, no p/s szt. PWR-C45-00ACV=Catalyst 4500 00W AC Power Supply (Data and PoE) 2 szt. CAB-75ACEAC POWER CORD (EUROPE) 2 szt. WS-X456=Catalyst 4500 Supervisor V (2 GE),Console(RJ-45)(Spare) szt. S45ES-2225SG=Cisco CAT4500 IOS ENTERPRISE SERVICES W/O CRYPTO szt. MEM-C4K-FLD64M=Cat 4500 IOS-based Supervisor, Compact Flash, 64MB Spare szt. WS-X4448-GB-RJ45=Catalyst 4500 48-Port 0/00/000 Module (RJ45) szt. WS-X4448-GB-SFP=Catalyst 4500 48-Port 000Base-X (SFPs Optional) szt. WS-X448-GB=Catalyst 4500 GE Module,Server Switching 8-Ports (GBIC ) szt. CON-SNT-VPKG2Virtual Packaged SMARTnet 8x5xNBD -- Category 2 szt. Przełącznik 2 Catalyst 4500 Chassis (6-Slot),fan, no p/s - szt. PWR-C45-00ACV= Catalyst 4500 00W AC Power Supply (Data and PoE) 2 szt. CAB-75ACE AC POWER CORD (EUROPE) 2 szt. WS-X456=Catalyst 4500 Supervisor V (2 GE),Console(RJ-45)(Spare) szt. S45ES-2225SG=Cisco CAT4500 IOS ENTERPRISE SERVICES W/O CRYPTO szt. MEM-C4K-FLD64M=Cat 4500 IOS-based Supervisor, Compact Flash, 64MB Spare szt. WS-X4448-GB-RJ45=Catalyst 4500 48-Port 0/00/000 Module (RJ45) szt. WS-X4448-GB-SFP=Catalyst 4500 48-Port 000Base-X (SFPs Optional) szt. WS-X448-GB=Catalyst 4500 GE Module,Server Switching 8-Ports (GBIC ) szt. CON-SNT-VPKG2 Virtual Packaged SMARTnet 8x5xNBD -- Category 2 szt. 6
Przełącznik Catalyst 4500 Chassis (6-Slot),fan, no p/s - szt. PWR-C45-00ACV= Catalyst 4500 00W AC Power Supply (Data and PoE) 2 szt. CAB-75ACE AC POWER CORD (EUROPE) 2 szt. Supervisor engine IV WS - X455. karta WS - X448 GB karta WS - X4548 - GB - RJ45 Wersje oprogramowania Na urządzeniach są zainstalowane następujące wersje oprogramowania: 2.(22)EA4a 2.0(5.)WC() 2.(22)EAa 2.()EA 2.(9)EW 2.2(25)SG Konfiguracja urządzeń dostępowych Przykładowa konfiguracja dla C550 version 2. no service pad service timestamps debug uptime service timestamps log uptime no service password-encryption hostname WCK58D enable secret 5 *** enable password *** ip subnet-zero spanning-tree mode pvst spanning-tree extend system-id 7
interface FastEthernet0/ interface FastEthernet0/2 interface FastEthernet0/ interface FastEthernet0/4 interface FastEthernet0/5 interface FastEthernet0/6 interface FastEthernet0/7 interface FastEthernet0/8 interface FastEthernet0/9 interface FastEthernet0/0 interface FastEthernet0/ 8
interface FastEthernet0/2 interface FastEthernet0/ interface FastEthernet0/4 interface FastEthernet0/5 interface FastEthernet0/6 interface FastEthernet0/7 interface FastEthernet0/8 interface FastEthernet0/9 interface FastEthernet0/20 interface FastEthernet0/2 interface FastEthernet0/22 9
interface FastEthernet0/2 interface FastEthernet0/24 interface FastEthernet0/25 interface FastEthernet0/26 interface FastEthernet0/27 interface FastEthernet0/28 interface FastEthernet0/29 interface FastEthernet0/0 interface FastEthernet0/ interface FastEthernet0/2 interface FastEthernet0/ 0
interface FastEthernet0/4 interface FastEthernet0/5 interface FastEthernet0/6 interface FastEthernet0/7 interface FastEthernet0/8 interface FastEthernet0/9 interface FastEthernet0/40 interface FastEthernet0/4 interface FastEthernet0/42 interface FastEthernet0/4 interface FastEthernet0/44
interface FastEthernet0/45 interface FastEthernet0/46 interface FastEthernet0/47 interface FastEthernet0/48 interface GigabitEthernet0/ switchport trunk encapsulation dotq interface GigabitEthernet0/2 switchport trunk encapsulation dotq interface Vlan ip address 72.6.00.0 255.255.255.0 ip classless ip http server line con 0 line vty 0 4 password XXXXXXXX login line vty 5 5 password XXXXXXXX login End 2
Przykładowa konfiguracja przełącznika modularnego serii 4500 version 2.2 no service pad service timestamps debug uptime service timestamps log uptime no service password-encryption service compress-config hostname WC4K2 boot-start-marker boot-end-marker logging buffered 2000 debugging enable secret 5 *** enable password *** no aaa new-model ip subnet-zero power redundancy-mode redundant no file verify auto spanning-tree mode pvst spanning-tree extend system-id vlan internal allocation policy ascending interface Port-channel2 switchport interface GigabitEthernet/ switchport trunk encapsulation dotq interface GigabitEthernet/2 switchport trunk encapsulation dotq
interface GigabitEthernet2/ switchport trunk encapsulation dotq switchport mode access interface GigabitEthernet2/2 switchport trunk encapsulation dotq switchport mode trunk interface GigabitEthernet2/ speed 000 interface GigabitEthernet2/4 speed 000 interface GigabitEthernet2/5 speed 000 interface GigabitEthernet2/6 speed 000 interface GigabitEthernet2/7 speed 000 interface GigabitEthernet2/8 speed 000 4
interface GigabitEthernet2/9 speed 000 interface GigabitEthernet2/0 speed 000 interface GigabitEthernet2/ speed 000 interface GigabitEthernet2/2 speed 000 interface GigabitEthernet2/ speed 000 interface GigabitEthernet2/4 speed 000 interface GigabitEthernet2/5 speed 000 5
interface GigabitEthernet2/6 speed 000 interface GigabitEthernet2/7 interface GigabitEthernet2/8 interface GigabitEthernet2/9 interface GigabitEthernet2/20 speed 00 interface GigabitEthernet2/2 speed 00 interface GigabitEthernet2/22 interface GigabitEthernet2/2 interface GigabitEthernet2/24 interface GigabitEthernet2/25 6
interface GigabitEthernet2/26 interface GigabitEthernet2/27 interface GigabitEthernet2/28 interface GigabitEthernet2/29 interface GigabitEthernet2/0 interface GigabitEthernet2/ switchport access vlan 44 speed 00 flowcontrol receive on interface GigabitEthernet2/2 interface GigabitEthernet2/ spanning-tree portfast interface GigabitEthernet2/4 interface GigabitEthernet2/5 7
interface GigabitEthernet2/6 interface GigabitEthernet2/7 interface GigabitEthernet2/8 speed 00 interface GigabitEthernet2/9 switchport mode access spanning-tree portfast interface GigabitEthernet2/40 interface GigabitEthernet2/4 interface GigabitEthernet2/42 interface GigabitEthernet2/4 interface GigabitEthernet2/44 interface GigabitEthernet2/45 speed 000 8
channel-group 2 mode on interface GigabitEthernet2/46 speed 000 channel-group 2 mode on interface GigabitEthernet2/47 switchport access vlan 56 interface GigabitEthernet2/48 switchport access vlan 56 interface Vlan ip address 72.6.00.0 255.255.255.0 ip http server line con 0 exec-timeout 0 0 stopbits line vty 0 4 password XXXXXXXX login line vty 5 5 password XXXXXXXX login end 9
. Projekt rozbudowy sieci lokalnej MRR Przebudowa sieci lokalnej MRR przy ul. Wspólnej wymaga wprowadzenia nowych standardów umoŝliwiając tym samym wprowadzenie nowych usług. Do podstawowych zadań związanych z przebudową naleŝy zaliczyć: Podniesienie poziomu stabilności i niezawodności sieci poprzez budowę dwóch niezaleŝnych ośrodków koncentracji łącz. Rdzeń oparty o dwa urządzenia umieszczone w dwóch węzłach pozwala na zapewnienie działania systemu nawet w przypadku awarii, która zatrzyma działanie jednego węzła. W celu zapewnienia dostępu do zasobów sieciowych konieczne jest podłączenie kluczowych serwerów w redundantny sposób do dwóch węzłów głównych. Zwiększenie bezpieczeństwa kontroli dostępu do sieci przez zastosowanie technologii Network Admission Control. WdroŜenie Cisco Access Control Servera zwiększy bezpieczeństwo kontroli dostępu do sieci oraz ułatwi administrację uprawnieniami poszczególnych grup uŝytkowników. Zwiększenie produktywności sieci przez system zarządzania zapewniający ciągły monitoring urządzeń. Zapewnienie łatwej rozbudowy systemu w przyszłości. UWAGA: Wszystkie prace realizowane w ramach projektu muszą być realizowane w sposób zapewniający bezprzerwową pracę pracowników MRR w standardowych godz. tzn. w dni powszednie w godz. 7.00-9.00. Prace wymagające przerw działaniu sieci LAN MRR muszą być kaŝdorazowo uzgadniane z administratorami sieci. Konfiguracja wszystkich urządzeń sieciowych powinna zapewnić moŝliwość bezproblemowego przeniesienia urządzeń sieciowych i ich uruchomienia (przy minimalnym nakładzie pracy administratora) w nowej lokalizacji (w ramach jednej sieci LAN), jeśli w przyszłości zaistnieje taka potrzeba na skutek zmian organizacyjnych MRR. 20
Topologia sieci lokalnej Sieć lokalna MRR zbudowana jest z urządzeń zainstalowanych w budynkach przy ul. Wspólnej, Chałubińskiego. Dodatkowo do urządzeń sieciowych Ministerstwa Gospodarki podłączeni są pracownicy MRR w zlokalizowani w budynkach przy Pl. Trzech KrzyŜy i ul. śurawiej. Cała sieć zbudowana jest na urządzeniach sieciowych firmy Cisco. Większość urządzeń ma zagwarantowane zasilanie. Połączenia międzywęzłowe zrealizowane są na światłowodach o przepustowości Gb/s. W ramach przebudowy sieci w lokalizacji przy ul. Wspólnej zostanie zaimplementowana redundantna architektura, eliminująca istnienie pojedynczego punktu awarii, który mógłby spowodować zablokowanie funkcjonowania systemu. Redundantna architektura realizowana jest dzięki połączeniu dwóch rdzeniowych urządzeń zainstalowanych na 2 piętrze (przełączniki serii Catalyst 4506) spiętych podwójnym trankiem pracującym w trybie FullDuplex. Taka konfiguracja zapewni przepustowość 4Gb/s pomiędzy głównymi węzłami sieci 207 oraz 2. Dodatkowo w węzłach 207 oraz 2 naleŝy uwzględnić dodatkowe przełączniki Catalyst 560G, w celu realizacji redundantnych połączeń serwerowych karty sieciowe serwerów, naleŝy połączyć w teaming i zakończyć na portach odpowiednio przełączników 4506 oraz 560G. W ten sposób w przypadku awarii jednego z przełączników rdzeniowych klienci nie tracą dostępu do zasobów sieci. Przełączniki zlokalizowane w pozostałych węzłach zostaną podłączone do dwóch przełączników szkieletowych, zapewniając alternatywne tory transmisyjne w przypadku uszkodzenia pojedynczych połączeń. W ramach eliminacji pętli w segmentach Ethernet, zostanie aktywowany protokół Spinning Tree w konfiguracji zapewniającej szybkie przełączanie na tory zapasowe. Docelowy schemat połączeń sieci przy ul. Wspólnej przedstawiono na rys.. Docelowo wszystkie urządzenia aktywne sieci MRR muszą być podłączone do urządzenia zasilaczy awaryjnych w celu zagwarantowania ciągłości zasilania całego systemu. Zamawiający dysponuje odpowiednią liczbą modułów GBIC do zrealizowania połączeń między urządzeniami sieciowymi wg przedstawionego projektu dostawa tych elementów nie wchodzi w zakres niniejszego postępowania. 2
M ODE DUPL X M ODE M ODE M ODE DUPL X DUPL X DUPL X X 2 4 5 6 7 8 9 0 X X X 2 4 5 6 7 8 9 0 2 4 5 6 7 8 9 0 2 4 5 6 7 8 9 0 SYS TEM S TAT UTIL DUPLE X S PEE D SYS TEM S TAT UTIL DUPLE X S PEE D SYS TEM S TAT UTIL DUPLE X S PEE D 2 4 5 6 7 8 9 2 0 2 2 2 2 24 25 2 6 2 7 2 8 29 0 2 4 5 6 7 8 9 4 0 4 4 4 4 4 5 4 6 47 4 8 5X 6X 7X 8X 2 2 2 2 4 5 6 7 8 9 2 0 2 2 2 2 24 25 2 6 2 7 2 8 29 0 2 4 5 6 7 8 9 4 0 4 4 4 4 4 5 4 6 47 4 8 5X 6X 7X 8X 2 4 5 6 7 8 9 2 0 2 2 2 2 24 25 2 6 2 7 2 8 29 0 2 4 5 6 7 8 9 4 0 4 4 4 4 4 5 4 6 47 4 8 5X 6X 7X 8X 2 4 5 6 7 8 9 2 0 2 2 2 2 24 25 2 6 2 7 2 8 29 0 2 4 5 6 7 8 9 4 0 4 4 4 4 4 5 4 6 47 4 8 5X 6X 7X 8X SYS TEM S TAT UTIL DUPLE X S PEE D 2 4 4 4 4 X X 4X 5 6 X 5 6 5 6 5 6 4X X X 4X X X X 4X 7 8 7 8 7 8 7 8 9 0 9 0 9 0 9 0 2 2 2 2 4 4 4 4 5 6 5 6 5 6 5 6 47X 48X 7 8 7 8 7 8 7 8 47X 48X 47X 48X 47X 48X 9 20 9 20 9 20 2 22 2 22 2 22 2 24 2 24 2 24 Catalyst 560 SERIES PoE-48 9 20 2 22 Catalyst 560 SERIES PoE-48 Catalyst 560 SERIES PoE-48 Catalyst 560 SERIES PoE-48 2 24 CATALYST 550 2 CATALYST 550 2 CATALYST 550 2 CATALYST 550 2 M ODE S YST S TAT DUP LX S PEE D P OE X 2 4 5 6 7 8 9 0 2 X X 4X 4 5 6 7 8 9 2 0 2 2 2 2 24 24X Catalyst 560 SE RIES PoE-24 2 SYS TEM S TAT UTIL DUPLE X S PEE D SYS TEM S TAT UTIL DUPLE X S PEE D SYS TEM S TAT UTIL DUPLE X S PEE D 2 2 2 4 4 4 5 6 5 6 5 6 7 8 7 8 7 8 9 M ODE 0 9 0 9 0 S YST S TAT DUP LX S PEE D P OE 2 2 2 4 4 4 5 6 5 6 5 6 7 8 7 8 7 8 9 20 9 20 9 20 2 22 2 22 2 22 2 24 2 24 2 24 X 2 4 5 6 7 8 9 0 2 X CATALYST 550 2 CATALYST 550 2 CATALYST 550 2 M ODE DUPL X X 2 4 5 6 7 8 9 0 X 4X 4 5 6 7 8 9 2 0 2 2 2 2 24 2 4 5 6 7 8 9 20 2 22 2 2 5 26 27 28 2 9 0 2 4 5 6 7 8 9 4 0 4 4 44 45 46 4 7 48 24X 5X 6X 7X 8X Catalyst 560 SE RIES PoE-24 2 X X 4X 47X 48X Catalyst 560 SERIES PoE-48 Rys. Schemat docelowych połączeń pomiędzy pomieszczeniami przy ul Wspólnej. V piętro x Catalyst 550 Pok. 58 x Catalyst 550 Pok. 5050 IV piętro III piętro Catalyst 4506 4x Catalyst 560G Pok. 2007 II piętro Catalyst 4506 Catalyst 560G Pok. 2 I piętro Catalyst 560 Pok. 092 Catalyst 560 Pok. 0052 parter Catalyst 550 Pok. N042 piwnica 000 Base-T 000 Base-SX Schemat sieci lokalizacja Wspólna 22
M ODE M ODE X 2 4 5 6 7 8 9 0 X 2 2 4 5 6 7 8 9 0 X 2 X 2 X 2 X X 2 X 4 X 4 5 6 7 8 9 2 0 2 22 2 24 X 2 X 4 X 4 5 6 7 8 9 2 0 2 22 2 24 X Catalyst 560 SERIES PoE-24 X 2 Catalyst 560 SERIES PoE-24 2 M ODE X 2 X 2 4 5 6 7 8 9 0 8 X M ODE X 2 X 2 4 5 6 7 8 9 0 2 4 5 6 7 8 9 20 2 22 2 24 25 26 27 28 29 0 2 4 5 6 7 8 9 40 4 4 44 45 46 4 7 48 M ODE 5X 7X X X 4 7 X 6X X 2 X 4 X 2 4 5 6 7 8 9 0 2 4 5 6 7 8 9 20 2 22 2 24 25 26 27 28 29 0 2 4 5 6 7 8 9 40 4 4 44 45 46 4 7 48 2 X 2 X 5X 7X X X 4 7 X 6X 8 X 4 8 X 4 X Catalyst 560 SERIES PoE-48 4 5 6 7 8 9 2 0 2 22 2 24 X 2 X X 2 X 4 X Catalyst 560 SERIES PoE-24 2 4 8 X Catalyst 560 SERIES PoE-48 M ODE M ODE X 2 X 2 4 5 6 7 8 9 0 X 2 4 5 6 7 8 9 0 2 X 4 X 2 X 2 X 4 5 6 7 8 9 20 2 22 2 24 X 2 X X 2 X 4 X M ODE 4 5 6 7 8 9 2 0 2 22 2 24 X Catalyst 560 SERIES PoE-24 2 X Catalyst 560 SERIES PoE-24 2 X 2 4 5 6 7 8 9 0 2 X 2 X X 2 X 4 X 4 5 6 7 8 9 2 0 2 22 2 24 X Catalyst 560 SERIES PoE-24 2 Lokalizacja Chałubińskiego Obecna konfiguracja sieci przy ul. Chałubińskiego przedstawiono na rys. 2. Switch Catalyst 560 Pok. 2520 (S) 0.6.00.90 Switch 2 Catalyst 560 Pok. 2520 (S) 0.6.00.9 Switch Catalyst 560 Pok. 2506 (N) 0.6.00.92 Switch 4 Catalyst 560 Pok. 2409 0.6.00.9 Switch 7 Catalyst 560 Serwerownia 25 0.6.00.96 Switch 8 Catalyst 560 Pok. 826 0.6.00.97 Switch 5 Catalyst 560 Pok. 2506 (N) 0.6.00.94 Switch 6 Catalyst 560 8 piętro 0.6.00.95 000 Base-SX Rys. 2 Aktualna konfiguracja połączeń sieci przy ul. Chałubińskiego. W ramach rozbudowy tej części sieci naleŝy wymienić przełącznik główny Catalyst 560 na przełącznik modularny Catalyst 4506. Nowy przełącznik zagreguje wszystkie połączenia międzywęzłowe. Dodatkowo zostaną doinstalowane nowe przełączniki zgodnie z rys.. 2
MO DE MODE X X 2 4 5 6 7 8 9 0 2 4 5 6 7 8 9 0 2 4 5 6 7 8 9 2 0 2 2 2 2 24 2 5 26 2 7 28 29 0 2 4 5 6 7 8 9 40 4 4 44 45 46 47 48 5X 6X 7X 8X 2 4 5 6 7 8 9 20 2 22 2 25 2 6 27 2 8 2 9 0 2 4 5 6 7 8 9 4 0 4 4 44 4 5 46 47 4 8 5X 6X 7X 8X X X 4X X X 4X 47X 48X 47X 48X Catalyst 560 SERIES PoE-48 Catalyst 560 SERIES PoE-48 MODE X 2 4 5 6 7 8 9 0 MO DE X 2 4 5 6 7 8 9 0 2 4 5 6 7 8 9 20 2 22 2 25 2 6 27 2 8 2 9 0 2 4 5 6 7 8 9 4 0 4 4 44 4 5 46 47 4 8 5X 6X 2 4 5 6 7 8 9 2 0 2 2 2 2 24 2 5 26 2 7 28 29 0 2 4 5 6 7 8 9 40 4 4 44 45 46 47 48 5X 6X 7X 8X 7X 8X X X 4X X X 4X 47X 48X Catalyst 560 SERIES PoE-48 47X 48X Catalyst 560 SERIES PoE-48 MO DE X 2 4 5 6 7 8 9 0 MODE 5X 6X 7X 8X X 2 4 5 6 7 8 9 0 2 4 5 6 7 8 9 2 0 2 2 2 2 24 2 5 26 2 7 28 29 0 2 4 5 6 7 8 9 40 4 4 44 45 46 47 48 2 4 5 6 7 8 9 20 2 22 2 25 2 6 27 2 8 2 9 0 2 4 5 6 7 8 9 4 0 4 4 44 4 5 46 47 4 8 X X 4X 5X 6X 7X 8X 47X 48X X X 4X Catalyst 560 SERIES PoE-48 MODE X 47X 48X Catalyst 560 SERIES PoE-48 2 4 5 6 7 8 9 0 2 4 5 6 7 8 9 2 0 2 2 2 2 24 2 5 26 2 7 28 29 0 2 4 5 6 7 8 9 40 4 4 44 45 46 47 48 5X 6X 7X 8X X X 4X 47X 48X Catalyst 560 SERIES PoE-48 MODE MODE X X 2 4 5 6 7 8 9 0 2 4 5 6 7 8 9 0 MODE MODE X X 2 4 5 6 7 8 9 0 2 4 5 6 7 8 9 0 2 4 5 6 7 8 9 2 0 2 2 2 2 24 2 5 26 2 7 28 29 0 2 4 5 6 7 8 9 40 4 4 44 45 46 47 48 5X 6X 5X 6X 7X 8X 2 4 5 6 7 8 9 2 0 2 2 2 2 24 2 5 26 2 7 28 29 0 2 4 5 6 7 8 9 40 4 4 44 45 46 47 48 7X 8X 5X 6X 7X 8X X X X 4X X 4X 2 4 5 6 7 8 9 2 0 2 2 2 2 24 2 5 26 2 7 28 29 0 2 4 5 6 7 8 9 40 4 4 44 45 46 47 48 2 4 5 6 7 8 9 2 0 2 2 2 2 24 2 5 26 2 7 28 29 0 2 4 5 6 7 8 9 40 4 4 44 45 46 47 48 5X 6X 7X 8X X X X 4X X 4X 47X 48X 47X 48X Catalyst 560 SERIES PoE-48 Catalyst 560 SERIES PoE-48 47X 48X 47X 48X Catalyst 560 SERIES PoE-48 Catalyst 560 SERIES PoE-48 Rys. Docelowa konfiguracja połączeń sieci przy ul. Chałubińskiego. 24
4. Wymagania techniczne dla rozbudowy sieci MRR Dodatkowe przełączniki sieciowe Zwiększenie ilości przełączników sieciowych związane jest z zapotrzebowaniem na większą ilość portów aktywnych dla nowych uŝytkowników sieci. W lokalizacji Wspólna, w węźle 2007, z racji wysycenia 00% ilości portów, naleŝy wymienić istniejące przełączniki dostępowe 2950 i 550 na nowe przełączniki 48-portowe z rodziny 560. Odzyskane przełączniki z serii 2950 i 550 zostaną potraktowane jako przełączniki zapasowe lub awaryjne. Dodatkowo w budynkach przy Pl. Trzech KrzyŜy i ul. śurawiej pracownicy MRR zostaną przełączeni z urządzeń sieciowych Ministerstwa Gospodarki do przełączników dostarczonych przez Wykonawcę (zał. 2 poz. 7-8). Wymagania techniczne dotyczące przełączników sieciowych Dla uzyskania odpowiedniej funkcjonalności sieci przyjęto następujące wymagania dotyczące urządzeń sieciowych: Jako przełączniki szkieletowe wybrano przełączniki modularne serii 4500 zapewniające wysoki poziom wydajności, redundancję zasilania, elastyczność rozbudowy. Jako przełączniki dostępowe stosuje się przełączniki wolnostojące lub umoŝliwiające pracę w konfiguracji stosu. Urządzenia i moduły pochodzą od jednego producenta dzięki temu zapewnione zostaną efektywne mechanizmy implementacji i administracji systemem. Urządzenia posiadają moŝliwość raportowania do systemów zarządzających z wykorzystaniem NetFlow. Urządzenia posiadają moŝliwość zdefiniowania co najmniej 024 sieci VLAN. Urządzenia obsługują sprzętowo IPv6. Urządzenia realizują routing (umoŝliwiają przełączanie w warstwie trzeciej). Urządzenia wspierają następujące mechanizmy związane z zapewnieniem bezpieczeństwa sieci: o Autoryzację uŝytkowników/portów przez 802.x 25
o MoŜliwość definiowania list dostępowych dla portów urządzenia, dla sieci VLAN wewnętrznych i zewnętrznych (przy routingu pomiędzy sieciami VLAN) o MoŜliwość autoryzacji prób logowania do urządzenia (dostęp administracyjny oraz 802.x) do serwerów RADIUS lub TACACS+ o Zarządzanie przez SSH o Porty dostępowe przełączników powinny umoŝliwiać pracę w trybie Spanning Tree Port Fast System zarządzania siecią W celu sprawnego zarządzania siecią komputerową MRR niezbędne jest dostarczenie przez Wykonawcę oraz wdroŝenie systemu umoŝliwiającego zdalny monitoring i konfigurację urządzeniami. NaleŜy dostarczyć i zainstalować oprogramowanie Cisco Works pakiet Cisco Works LAN Management Solution (ver.) lub równowaŝne. Implementacja systemu zarządzania oferowanego przez producenta urządzeń sieciowych zapewni pełną moŝliwość zdalnego monitoringu i konfiguracji wszystkich poŝądanych funkcjonalności z poziomu konsoli administratora. System zarządzania siecią musi spełniać następujące wymagania: Stanowi niezaleŝny, dedykowany pakiet dostarczany przez producenta dla zarządzania siecią LAN. Pracuje w trybie graficznym (przeglądarka WWW) pozwalając administratorowi na dostęp z dowolnego miejsca w sieci (po uzyskaniu odpowiednich uprawnień). UmoŜliwia zbieranie statystyk z wykorzystaniem SNMP, RMON. Posiada narzędzia automatycznej identyfikacji urządzeń instalowanych w sieci. Posiada narzędzia graficznej prezentacji urządzeń sieciowych wraz z dynamiczną prezentacją zmiany stanu urządzenia (stan portu, etc.). Posiada narzędzia pozwalające na graficzną prezentację topologii sieci, konfigurację i monitoring sieci VLAN, uzyskanie informacji o drodze połączenia uŝytkownika (user tracking). Posiada narzędzia umoŝliwiające zbieranie informacji o nieprawidłowych parametrach pracy zainstalowanego sprzętu: o Chassis - wykorzystanie matrycy (backplane) o Wentylatory - nieprawidłowa praca 26
o Pamięć - wykorzystanie buforów, ilość wolnej pamięci o Moduły sieciowe o Aktywacja do matrycy o Wolumen broadcastów o ObciąŜenie/wykorzystanie modułów o Ilość pakietów usuwanych z kolejek o Zasilacze odstępstwa napięcia poza dopuszczalną tolerancję o Procesory obciąŝenie o Temperatura odstępstwa poza dopuszczalną tolerancję Posiada narzędzie monitoringu RMON pozwalające na analizę parametrów urządzenia, łącza, portu urządzenia. Implementacja oprogramowania Cisco Works lub równowaŝnego wymaga równieŝ dostarczenia serwera posiadającego m.in.: jeden procesor dwurdzeniowy, 8GB pamięci RAM pracujący pod systemem operacyjnym MS Windows 200 Srv wersja EN. Bezpieczeństwo W celu zapewnienia bezpieczeństwa sieci wymagane jest dostarczenie i wdroŝenie systemu Cisco Access Control Server for Windows (ver. 4.) lub równowaŝnego. Cisco ACS lub równowaŝny naleŝy wykorzystać jako system pośredniczący w uwierzytelnianiu stacji logujących się do sieci. Wymagania na system Cisco ACS lub równowaŝny: Stanowi niezaleŝny dedykowany pakiet dostarczany przez producenta dla uwierzytelnienia i autoryzacji. Pracuje w trybie graficznym (przeglądarka WWW) pozwalając administratorowi na dostęp z dowolnego miejsca w sieci (po uzyskaniu odpowiednich uprawnień). Komunikuje się z urządzeniami sieciowymi z wykorzystaniem protokołów RADIUS lub TACACS+. UmoŜliwia autoryzację uŝytkowników w oparciu o hasła stałe i jednorazowe przy wykorzystaniu tokenów (przy współpracy z serwerem identyfikacyjnym). UmoŜliwia tworzenie grup uŝytkowników. UmoŜliwia autoryzację uŝytkowników z wykorzystaniem protokołu 802.x. Pozwala na konfigurację restrykcji czasowych dla dostępu uŝytkownika. Posiada narzędzia replikacji z systemami redundantnymi, powinien być zainstalowany w układzie redundantnym. 27
MODE S YST S TAT S PEE D X 2 4 5 6 7 8 9 0 2 4 5 6 7 8 9 20 2 22 2 24 25 26 27 28 29 0 2 4 5 6 7 8 9 40 4 4 44 45 46 47 48 5X 6X 7X 8X X X 4X 4 7X 4 8X Catalyst 560 SERIES PoE-48 System powinien zapewnić uwierzytelnienie stacji w procesie logowania do sieci, tzn. wszystkie stacje robocze powinny zostać przekonfigurowane zapewniając logowanie do przełączników w oparciu o standard 802.x. Przełącznik aktywuje port zapewniając podłączenie uŝytkownika do odpowiedniego VLAN u po uzyskaniu potwierdzenia z serwera ACS. Weryfikacja uŝytkowników będzie realizowana przez serwer ACS współpracujący z serwerem Active Directory MRR. Schemat architektury ACS a przedstawiono na rys. 4. Implementacja oprogramowania Cisco ACS lub równowaŝnego wymaga dostarczenia serwera posiadającego m.in.: procesor dwurdzeniowy, GB pamięci RAM pracującego pod systemem operacyjnym MS Windows 200 Srv wersja EN. Wymagania techniczne dotyczące list dostępowych i VLAN Wymagane jest, aby architektura sieci zapewniała mechanizm VLAN ów dynamicznych. Podczas procesu logowania, uŝytkownik będzie podłączany dynamicznie do odpowiedniego VLAN u (automatyczna konfiguracja portu dostępowego w przełączniku). Mechanizm działania przedstawia poniŝszy rysunek. Windows Acitve Directory Switch Cisco Catalyst Integracja z Active Directory Autoryzacja 802.x Autoryzacja RADIUS/TACACS Client Cisco ACS Rys. 4 Architektura serwera ACS W związku z przydzieleniem VLAN do odpowiednich zasobów wymagane jest, aby zdefiniować sieci VLAN dla wszystkich departamentów. Wymagane do zaimplementowania VLAN y przedstawiono w tabeli. 28
Tab. Sieci VLAN wymagane do zaimplementowania w ramach konfiguracji sieci MRR. LP VLAN Opis 2 VLAN zarządzający 2 VLAN SIMIK 4 VLAN Systemu Kontroli Dostępu 4 5 VLAN dla gości z poza Ministerstwa 5 6 VLAN zarządzający dla administratorów sieci 6 00 VLAN Biuro Administracyjno - Informatyczne 7 0 VLAN Biuro Dyrektora Generalnego 8 02 VLAN Biuro Prawne 9 0 VLAN Departament Ekonomiczno - Finansowy 0 04 VLAN Departament Instytucji Certyfikującej 05 VLAN Departament Informacji i Promocji 2 06 VLAN Departament Koordynacji Polityki Strukturalnej 07 VLAN Departament Koordynacji Programów Infrastrukturalnych 4 08 VLAN Departament Koordynacji Programów Regionalnych 5 09 VLAN Departament Programów Pomocowych i Pomocy Technicznej 6 0 VLAN Departament Koordynacji i Zarządzania Podstawami Wsparcia Wspólnoty 7 VLAN Departament WdraŜania Programów Rozwoju Regionalnego 8 2 VLAN Departament Unii Europejskiej i Współpracy Międzynarodowej 9 VLAN Departament Zarządzania Programem Wzrostu Konkurencyjności Przedsiębiorstw 20 4 VLAN Departament Współpracy Terytorialnej 2 5 VLAN Departament Zarządzania Europejskim Funduszem Społecznym 22 6 VLAN Departament Zarządzania Programem Transport 2 7 VLAN Gabinet Polityczny 24 8 VLAN Kierownictwo Ministerstwa 25 9 VLAN Stanowisko do Spraw Audytu Wewnętrznego 26 20 VLAN Stanowisko do Spraw Ochrony Informacji Niejawnych 27 2 VLAN Sekretariat Ministra 28 22 VLAN Stanowisko do Spaw Obronnych 29 2 VLAN Departament ds. Kobiet, Rodziny i Przeciwdziałania Dyskryminacji Wszystkie przełączniki pracujące w sieci MRR muszą zostać skonfigurowane w sposób zapewniający współpracę z dostarczonym serwerem Cisco ACS lub równowaŝnym, zapewniając dynamiczne przypisanie stacji do odpowiedniego VLAN u we wszystkich lokalizacjach sieci MRR. 29
Wymagania techniczne dotyczące konfiguracji NAC Implementacja NAC powinna w przyszłości zapewnić moŝliwość rozbudowy sieci o dodatkowe mechanizmy bezpieczeństwa np. powiązanie procesu dostępu do stacji roboczych oraz logowania za pomocą kart chipowych. W początkowej fazie wymagane jest, aby zostały zaimplementowane na przełącznikach szkieletowych i dostępowych następujące składniki: Standard 80.x (wymaga rekonfiguracji stacji uŝytkowników) Ochrona przed MAC flooding Ochrona przed IP spoofing Ochrona przed MAC spoofing Ochrona przed atakami MITM Wymagania dotyczące szkoleń z zakresu obsługi zarządzania siecią i oferowanymi technologiami W ramach realizowanej rekonfiguracji sieci naleŝy przeprowadzić przeszkolenie 4 administratorów MRR ze wszystkich zaimplementowanych funkcjonalności sieci. Szkolenie powinno trwać min. 5 dni i mieć charakter warsztatów. Wymaga się, aby trener posiadał tytuły: Cisco Certified System Instructor (CCSI) oraz Cisco Certified Network Professional (CCNP). Minimalny zakres szkolenia: Podstawy konfiguracji przełączników Cisco Konfiguracja routing Konfiguracja list dostępu Podstawy obsługi systemu Cisco Works Podstawy administracji systemem Cisco ACS Wymagania dotyczące audytu powykonawczego oraz dokumentacji powykonawczej Wykonawca sporządzi dokumentację powykonawczą zrealizowanego Projektu, zawierająca m.in. Dane zebrane przez stację zarządzającą, w tym: 0
Rozmieszczenie sprzętu Typ Rodzaj modułów (jeśli dotyczy) Wersje oprogramowania Numery seryjne Konfiguracje schematy rozmieszczenia urządzeń oraz połączeń pomiędzy urządzeniami. Dokumentacja zostanie przekazana MRR w wersji papierowej oraz wersji elektronicznej w ogólnie przyjętych standardach umoŝliwiających czytanie i edycję w aplikacjach Microsoft Word i Microsoft Visio.
5. Lista zadań do realizacji Uzgodnienia z administratorem dotyczące adresacji podsieci IP w poszczególnych VLAN ach. Dostawa pakietów serwisowych zgodnie z zał. 2 poz. -6. Upgrade oprogramowania we wszystkich przełącznikach do najnowszych dostępnych wersji firmware u. W ramach wdraŝania funkcjonalności logowania do sieci w oparciu o standard 802.x rekonfiguracja na stacjach roboczych metody uwierzytelniania IEEE 802.x. Zadania do realizacji w lokalizacji Wspólna o Rekonfiguracja fizycznych połączeń międzywęzłowych. o Rekonfiguracja wszystkich przełączników (Routing, Vlan-y, Spanning tree, 802.x). o Konfiguracja 2 przełączników szkieletowych Cisco Catalyst 4506. o Wymiana istniejących przełączników dostępowych Cisco Catalyst 550 oraz Cisco Catalyst 2950 w węźle 2007, na nowe przełączniki dostępowe Cisco Catalyst 560. 2
o Instalacja i konfiguracja 2 nowych przełączników Catalyst 560G w węźle 2 i 2007. o Rekonfiguracja kart sieciowych w systemach operacyjnych serwerów w węźle 2 i 2007 (uruchomienie teamingu) w celu realizacji redundantnych połączeń serwerowych. o Dostawa oprogramowania Cisco Works lub równowaŝnego ( zał. 2 poz. 9). o Dostawa serwera dedykowanego dla systemu Cisco Works lub równowaŝnego (zał. 2 poz. -2). o Instalacja oprogramowania Cisco Works lub równowaŝnego zakończona działającym systemem zarządzania komunikującym się ze wszystkimi przełącznikami zainstalowanymi w sieci MRR. (Mapa sieci musi przedstawiać wszystkie działające w systemie przełączniki, rekonfiguracja wszystkich przełączników zapewniająca wysyłanie alarmów do systemu Cisco Works lub równowaŝnego.) o Dostawa oprogramowania Cisco ACS lub równowaŝnego (zał. 2 poz. 0). o Dostawa serwera dedykowanego dla systemu Cisco ACS lub równowaŝnego (zał. 2 poz. -4). o Instalacja i konfiguracja systemu Cisco ACS lub równowaŝnego. o Integracja systemu dostarczonego Cisco ACS lub równowaŝnego z serwerem Active Directory oraz z klientami 802.x wszystkich przełączników sieci. W wyniku tej konfiguracji naleŝy doprowadzić do stanu automatycznego przyłączenia stacji roboczej do odpowiedniego VLAN u. Zadania do realizacji w lokalizacji Chałubińskiego o Instalacja i konfiguracja centralnego przełącznika Catalyst 4506. o Instalacja i konfiguracja dodatkowych przełączników. o Rekonfiguracja wszystkich przełączników umoŝliwiająca współpracę z dostarczonym systemem Cisco Works lub równowaŝnym zainstalowanym w lokalizacji Wspólna. o Rekonfiguracja wszystkich przełączników umoŝliwiająca współpracę z dostarczonym systemem Cisco ACS lub równowaŝnym zainstalowanym w lokalizacji Wspólna. Zadania do realizacji w lokalizacji Pl. Trzech KrzyŜy i śurawia o Instalacja przełączników MRR.
o Konfiguracja przełączników umoŝliwiająca współpracę z systemem Cisco Works lub równowaŝnym zainstalowanym w lokalizacji Wspólna. o Konfiguracja wszystkich przełączników umoŝliwiająca współpracę z dostarczonym systemem Cisco ACS lub równowaŝnym zainstalowanym w lokalizacji Wspólna. o Przełączenie pracowników podłączonych do sieci Ministerstwa Gospodarki do nowych przełączników MRR. Dostawa zasilaczy awaryjnych zgodnie z zał. 2 poz.7. Instalacja zasilaczy awaryjnych. Dostawa nowych przełączników dostępowych Cisco Catalyst 560G 48-port lub równowaŝnych zgodnie z zał. 2 poz. 7-8. Dostawa patchcordów światłowodowych zgodnie z zał. 2 poz.5,6. Testy funkcjonowania nowej infrastruktury. Szkolenia administratorów (warsztaty). Wykonanie audytu powykonawczego oraz dokumentacji powykonawczej. 4
6. Załączniki Nazwa Nr załącznika Wykorzystanie portów lokalizacja Wspólna Specyfikacja urządzeń oraz serwisów 2 5
Załącznik nr Wykorzystanie portów lokalizacja Wspólna LP Pomieszczenie Wykorzystanie portów 58 80% 2 5050 80% 2007 00% 4 2 80% 5 092 0% 6 0052A Wystarczająca ilość, bez planów rozbudowy 7 N042 Wystarczająca ilość, bez planów rozbudowy 6
Załącznik nr 2 Specyfikacja urządzeń oraz serwisów Lp. Symbol Nazwa Ilość PAKIETY SERWISOWE Serwis Catalyst 4506 CON-SNTE-VPKG2 Virtual Packaged SMARTnet 8x5x4 -- Category 2 lub równowaŝny 2 Serwis do Catalyst 560 - WS-C560-48TS-S 0/00 Base-TX 2 CON-SNTE-VPKG4 Virtual Packaged SMARTnet 8x5x4 -- Category 4 lub równowaŝny 6 Serwis do Catalyst 550 - WS-C550-48-SMI 0/00 Base-TX CON-SNTE-VPKG4 Virtual Packaged SMARTnet 8x5x4 -- Category 4 lub równowaŝny 6 Serwis do Catalyst 500XL - WS-C548-XL 0/00 Base-TX 4 CON-SNTE-VPKG4 Virtual Packaged SMARTnet 8x5x4 -- Category 4 lub równowaŝny 2 Serwis do Catalyst 2950XL - WS-C2950-48 5 CON-SNTE-VPKG4 Virtual Packaged SMARTnet 8x5x4 -- Category 4 lub równowaŝny 2 Serwis do Catalyst 560G WS-C560G-48TS-S 0/00/000 Base-TX 6 CON-SNTE-VPKG7 Virtual Packaged SMARTnet 8x5x4 -- Category 7 lub równowaŝny 4 PRZEŁĄCZNIK CISCO LUB RÓWNOWAśNY Catalyst 560 48 0/00/000T + 4 SFP Standard Image lub równowaŝny, 7 WS-C560G-48TS-S gwarancja rok Virtual Packaged SMARTnet 8x5x4 -- Category 7 lub równowaŝny pakiet 8 CON-SNTE-VPKG7 serwisowy do zaoferowanego w poz. 7 przełącznika EM CISCO WORKS LMS ORAZ ACS LUB RÓWNOWAśNE 7 7 9 CWLMS-.0-00-K9 CiscoWorks LAN Management Solution.0 Windows ONLY 00 Device Restricted lub równowaŝny 0 CSACS-4.-WIN-K9 CiscoSecure ACS 4. for Windows lub równowaŝny Serwer HP ProLiant BL460c 540 DC (P) (part number 46654-B2), 8 GB RAM, 28 MB Battery-Backed Cache Enabler, 2 dyski HP 72GB G SAS 0K SFF SP lub równowaŝny serwer blade połówkowy do obudowy HP c-class BladeSystem Gwarancja: lata,next Business Day On-site Service, 5-Day x 9-Hour Coverage 2 Windows Server Std 200 R2 w/sp2 Win2 English CD 5 Clt lub równowaŝny Serwer HP ProLiant BL460c 540 DC 2GB (P) (part number 46654-B2), 28 MB Battery-Backed Cache Enabler, 2 dyski HP 72GB G SAS 0K SFF SP lub równowaŝny serwer blade połówkowy do obudowy HP c-class BladeSystem Gwarancja: lata,next Business Day On-site Service, 5-Day x 9-Hour Coverage 4 Windows Server Std 200 R2 w/sp2 Win2 English CD 5 Clt lub równowaŝny KABLE ŚWIATŁOWODOWE 5 Patchcord światłowodowy LC/SC MM 50/25µm m 0 6 Patchcord światłowodowy LC/SC MM 50/25µm 2m 0 ZASILACZE AWARYJNE 7 SURT000RMXLI APC Smart-UPS RT 000 RM lub równowaŝny 7