TK SYSTEM ul. Władysława Łokietka 8, 25-627 Kielce tel. 041 346 05 60, fax 041 346 05 66 Nr projektu Data Faza Egz. Nr 1 marzec 2009 projekt wykonawczy 1 PROJEKT SIECI INFORMATYCZNEJ CZĘŚĆ B URZĄDZENIA AKTYWNE SIECI Targi Kielce 25-672 Kielce, ul. Zakładowa 1 Inwestor: Projektant: TARGI KIELCE Sp. z o.o. ul. Zakładowa 1, 25-672 Kielce TK SYSTEM ul. Władysława Łokietka 8 25-627 Kielce Zespół projektowy: Imię i nazwisko data podpis Główny Projektant Projektował Sprawdził Waldemar Janur Stanisław Janur Krzysztof Szymkiewicz
SPIS TREŚCI 1. CZĘŚĆ OGÓLNA 2 1.1 INWESTOR 2 1.2 PODSTAWA OPRACOWANIA 2 1.3 ZAKRES OPRACOWANIA 2 2. OPIS TECHNICZNY 3 2.1 STAN ISTNIEJĄCY 4 2.2 STAN PROJEKTOWANY 5 3. URZĄDZENIA AKTYWNE SIECI 6 3.1 WARSTWA RDZENIA 7 3.2 WARSTWA DYSTRYBUCJI I WARSTWA DOSTĘPOWA 8 3.3 OPIS FUNKCJONALNY SWITCH`y 5500G: 9 3.4 OPIS FUNKCJONALNY SWITCH`y 42 10 PWR: 12 3.5 OPIS SWITCH`a BEZPRZEWODOWEGO WX1200 14 3.6 OPIS PUNKTU DOSTĘPOWEGO AP 3150: 15 3.7 OPROGRAMOWANIE ZARZĄDZAJĄCE 16 3.8 SYSTEM BEZPIECZEŃSTWA TIPPING POINT IPS 16 3.10 ROUTER UTM X.506 19 4. UWAGI! 21
1. CZĘŚĆ OGÓLNA 1.1 INWESTOR TARGI KIELCE Sp. z o.o. ul. Zakładowa 1 25-672 Kielce 1.2 PODSTAWA OPRACOWANIA Podstawą formalno-prawna niniejszego opracowania jest umową zawartą w dniu 24 lutego 2009r, pomiędzy Targami Kielce Sp. z o.o., a firmą TK_SYSTEM z siedzibą w Kielcach, ul. Władysława Łokietka 8, oraz wytyczne Inwestora. konsultacje z administratorem. wizja lokalna. 1.3 ZAKRES OPRACOWANIA Przedstawiony projekt techniczny przedstawia koncepcję implementacji nowej infrastruktury sieciowej dla Targów Kielce Sp. z o.o. Przedstawiona koncepcja została oparta o urządzenia sieciowe firmy 3COM - znanego producenta sprzętu sieciowego, dostarczającego wszystkie wymagane w tym projekcie urządzenia aktywne. Producent ten jest proponowany ze względu na bardzo dobre dotychczasowe doświadczenia z uŝytkowanym sprzętem oraz dobry stosunek ceny do oferowanych funkcjonalności. Przedstawiona architektura została stworzona w oparciu o obowiązujące zasady projektowania tego rodzaju sieci z podziałem na trzy warstwy, dostępową, dystrybucyjną oraz rdzeniową. Taki projekt zapewnia wysoki poziom odporności na awarię, dzięki czemu jest zapewnione nieprzerwane działanie wszystkich waŝnych elementów sieciowych. Dodatkowo w celu zabezpieczenia krytycznych zasobów sieciowych przed atakami, zaproponowano wysoko wydajne urządzenia klasy Intrusion Prevention Systems jak równieŝ urządzenia Unified Threat Management chroniące sieć firmową przed zagroŝeniami z Internetu. 2
2. OPIS TECHNICZNY 1Gb/s Farma Serwerów 1Gb/s WX 1200 Jeden swich 3300 jako zapas w razie awarii Internet UTM X.506 20 Mb/s 100Mb/s 10Gb/s 7906E Switch & Router 7906E Switch & Router IPS 1Gb/s links 3 x AP 3150 144 portów PoE Budynek administracyjny 1Gb/s 1Gb/s 1Gb/s 1Gb/s 1Gb/s 1Gb/s 1Gb/s 1Gb/s 3 x 5500G 48 Ports PWR Stack IPS 2 x 5500G 24 Ports Stack 2 x 5500G 24 Ports Stack 2 x 5500G 24 Ports Stack 2 x 5500G 24 Ports Stack 1Gb/s 1Gb/s 1Gb/s 1Gb/s 2 x 5500G 24 Ports Stack 2 x 5500G 24 Ports Stack 1Gb/s links 1Gb/s links 1Gb/s links 1Gb/s links 1Gb/s links 1Gb/s links 2 x 4210 52 Ports 1 x 3300 24 Ports 128 portów 2 x 4210 52 Ports 1 x 3300 24 Ports 128 portów 2 x 4210 52 Ports 1 x 3300 24 Ports 128 portów 2 x 4210 52 Ports 1 x 3300 24 Ports 128 portów 2 x 4210 52 Ports 104 porty 1 x 4210 52 Ports 2 x 3300 24 Ports 100 portów HALA A HALA B HALA C HALA D HALA E HALA F Proponowany schemat sieci dla Targów Kielce przedstawia urządzenia sieciowe realizujące zakładane w projekcie funkcje z podziałem na hale wystawowe i część biurową wraz z dostępem bezprzewodowym. Rdzeń sieci stanowią przełączniki modularne 3COM 7906E mogące pomieścić 2 karty przełączające pakiety oraz 6 kart liniowych. W warstwie dystrybucyjnej zaproponowano przełączniki 3COM 5500G, po dwa przełączniki na kaŝdą z hal oraz 3 przełączniki na budynek administracyjny. W kaŝdej z lokalizacji przełączniki 5500G będą skonfigurowane jako stos z wykorzystaniem technologii XRN (expandable Resilient Networking), umoŝliwiającej połączenie do 8 przełączników stackowalnych w jeden logiczny przełącznik. Technologia ta umoŝliwia traktowanie takiego stosu jako jednego urządzenia w warstwie 2 i 3 modelu ISO/OSI. Dzięki takiej konfiguracji uzyskujemy pełną redundancję w warstwie dystrybucyjnej oraz rdzeniowej. Awaria któregokolwiek z przełączników w warstwie dystrybucyjnej lub rdzeniowej nie spowoduje problemu w korzystaniu uŝytkowników z zasobów sieciowych. W warstwie dostępowej zaproponowano wykorzystanie posiadanych przez Targi Kielce przełączników serii 3300 oraz doposaŝenie hal w 3
przełączniki 3COM 4210. W przypadku awarii przełącznika dostępowego dostęp do zasobów sieciowych utracą uŝytkownicy jedynie tego jednego przełącznika. Na poziomie warstwy dostępowej dopuszcza się pojedynczy punkt awarii ze względu na utratę tylko niewielkiej ilości uŝytkowników całej sieci, jak równieŝ specyfikę stacji roboczych i ich podłączenia do sieci Ethernet. Dostępność serwerów sieciowych jest krytyczna dla działania firmy, w związku z tym kaŝdy serwer będzie podłączony dwoma interfejsami do dwóch przełączników rdzeniowych, w ten sposób awaria jednego z połączeń nie spowoduje niedostępności do zasobów. Serwery dodatkowo będą zabezpieczone równieŝ przez wysoko wydane systemy ochrony przed atakami Intrusion Prevention Systems w postaci urządzeń firmy 3COM Tipping Point 1200E. W budynku administracyjnym zainstalowany zostanie równieŝ system dostępu bezprzewodowego oparty o punkty dostępowe firmy 3COM model 3150 oraz kontroler bezprzewodowy centralnie sterujący pracą punktów dostępowych 3COM WX 1200. UmoŜliwiający konfigurowanie i monitorowanie centralne całej infrastruktury sieci bezprzewodowej. Dostęp do Internetu zostanie zabezpieczony urządzeniem Unified Threat Management firmy 3Com X.506, zapewniającym kompleksową ochronę sieci firmowej od strony Internetu. Dodatkowo urządzenie to będzie równieŝ monitorowało i chroniło wydzieloną logicznie sieć w halach wystawowych przeznaczoną dla klientów firmy Targi Kielce Sp. z o.o. 2.1 STAN ISTNIEJĄCY W serwerowni znajdują się dwie szafy 19 w których umieszczone są tablice przyłączeniowe okablowania strukturalnego, światłowodowego oraz następujące urządzenia aktywne: 1 x Router Cisco 2811 1 x Switch Cisco 2960 1 x Switch 3COM 3C16988A 1 x Switch 3COM 3C16987A 1 x Switch 3COM 3C16986A 1 x Switch 3COM 3C16985B 1 x Switch 3COM 3C16950 1 x Switch HP Procurve 2650 1 x Converter MC102XL 4
W budynku administracyjnym na parterze w szafce wiszącej 19 znajdują się tablice przyłączeniowe okablowania strukturalnego, światłowodowego oraz urządzenia aktywne: 1 x Switch 3COM 3C16471 1 x Switch 3COM 3C17206 1 x Converter EM4000 W halach wystawowych poza elementami okablowania strukturalnego i światłowodowego znajdują się następujące urządzenia aktywne: Hala C Hala D Hala F Hala G 1 x Switch 3COM 3C16950 1 x Switch HP Procurve 2650 1 x Converter MC102XL 1 x Switch HP Procurve 2650 1 x Switch HP Procurve 6108 4 x Switch HP Procurve 2650 1 x Converter EM4000 1 x Switch 3COM 3C16987A 1 x Switch 3COM 3C16406 1 x Switch 3COM 3C16475BS 2.2 STAN PROJEKTOWANY Wychodząc na przeciw oczekiwaniom przyszłego uŝytkownika została zaprojektowana sieć mogąca zapewnić szybkość transmisji danych zgodnych ze standardem 1000 Base-T. Infrastruktura urządzeń aktywnych została oparta o urządzenia firmy 3 COM. Ta część opracowania obejmuje serwerownie zlokalizowaną w budynku administracyjnym, określoną jak Główny Punkt Dystrybucji (GPD), składający się z dwóch szaf 19 o wysokości 42U. W kaŝdej szafie 19 na najniŝszym poziomie (ze względu na cięŝar) ulokowany będzie jeden switch 7906 i pozostałe urządzenia zgodnie z rys. 1. 5
W projektowanej szafie 19, 42U (PD1) na parterze budynku administracyjnego zainstalowany będzie jeden 26 portowy switch 4210 PWR, obsługujący sale konferencyjne i centrum prasowe oraz 3 punkty dostępowe (2 w salach konferencyjnych i 1 w centrum prasowym). Współpraca między GPD i PD1, będzie realizowana przez istniejący kabel światłowodowy (linki od switchy 7906 z GPD do switcha 4210 w PD1). W szafie w PD1 będą wyprowadzone na tablicy światłowodowej wyposaŝonej w adaptery typu SC - kable światłowodowe z hal wystawowych. Istniejący kabel światłowodowy zapewniać będzie równieŝ redundantne linki od switch`y 7906 w GPD do urządzeń aktywnych zlokalizowanych na terenie hal wystawowych, poprzez połączenia (na tablicach światłowodowych) w szafie w PD1. 3. URZĄDZENIA AKTYWNE SIECI Urządzenia aktywne muszą zapewnić szerokopasmową transmisję danych w zakresie obsługi budynku administracyjnego jak i hal wystawowych jako dwie niezaleŝne sieci, ze wspólnym dostępem do szerokopasmowego -20Mb/s Internetu, wspólnie administrowane. Urządzenia powinny być zainstalowane w klimatyzowanych szafach 19 w serwerowni budynku administracyjnego. Ze względu na wydajność i funkcjonalność sieciowych urządzeń aktywnych dzielimy je na trzy podstawowe grupy: 1. Przełączniki pracujące w warstwie rdzeniowej, 2. Przełączniki pracujące w warstwie dystrybucji, 3. Przełączniki pracujące w warstwie dostępowe. W koncepcji załoŝono implementację wszystkich trzech warstw. Rozwiązanie, które zostało zaprojektowane oparte będzie na nowej sieci okablowania strukturalnego z wykorzystaniem aktualnie posiadanych struktur kablowych między budynkiem administracyjnym a halami wystawowymi jako (szkieletowe), wykonane w technologii światłowodowej. W obrębie hal wystawowych proponuje się zastosowanie dostępu radiowego (Access Point) oraz wymianę istniejących urządzeń aktywnych. Konsekwentnie w punktach dystrybucyjnych ulokowanych w obrębie budynku administracyjnego i halach wystawowych projekt przewiduje konfiguracje sieciową w oparciu o sprzęt aktywny firmy 3COM, dzięki czemu uproszczone i bardziej efektywne będzie zarządzanie całą siecią. 6
3.1 WARSTWA RDZENIA W warstwie rdzeniowej zostały zastosowane dwa modularne przełączniki 7906E firmy 3 COM, w układzie redundantnym (kaŝdy wyposaŝony w 6 slotów na moduły), połączone z siecią WAN / INTERNET, które pozwolą na: - rozbudowę do minimum 16 portów 10GE lub 288 portów GE; - maksymalną niezawodność, w tym moŝliwość instalacji redundantnych zasilaczy oraz matryc przełączających. - backplane o wydajności minimum 1,6Tb/s - w trakcie pracy urządzenia wyposaŝone w dwie matryce obydwie aktywne, zapewnią load sharing - prędkość matrycy przełączającej nie mniejszą niŝ 384 Gbps oraz 768 Gbps dla dwóch matryc dzielących obciąŝenie. - obsługę sieci VLAN IEEE 802.1Q i protocol-based VLAN IEEE 802.1v do 4096 sieci VLAN. - moŝliwość dynamicznego przypisania uŝytkownika do sieci VLAN zgodnie z informacją zwracaną przez serwer uwierzytelniający po jego uwierzytelnieniu. - obsługę protokołu GVRP. - tworzenie połączeń link aggregation, w tym połączeń link aggregation accross modules zgodnie ze standardem IEEE 802.3ad (min. 128 grup po 8 portów). - kontrolę sztormów broadcast. - obsługę protokołów RSTP (802.1w) i MSTP (802.1s). - BPDU Protection. - obsługę ramek jumbo do 9kB - Super VLAN aggregation (RFC 3069). - Q-in-Q Tagging (VLAN VPN). - obsługę Resilient Ring Protection Protocol (RRPP). - obsługę następujących protokołów routingu RIP v1 i v2, OSPF v1 i v2, 8 ścieŝek ECMP. - obsługę protokołu VRRP (Virtual Router Redundancy Protocol). - obsługę protokołów IGMP v1, v2 i v3, PIM-DM, PIM-SM, oraz MSDP (Multicast Source Discovery Protocol). - QoS 8 kolejek sprzętowych dla kaŝdego portu, moŝliwość wykorzystanie mechanizmów kolejkowania typu Strict Priority (SP), Weighted Round Robin (WRR), SP+WRR. - zarządzanie pasmem Traffic Shaping. - wsparcie dla list kontroli dostępu (ACL). - obsługę standardu IEEE 802.1x. 7
- wykorzystanie lokalnej bazy uŝytkowników, jak i serwerów RADIUS. - uwierzytelnianie TACACS+ (Terminal Access Controller Access Control System Plus). - zarządzanie poprzez port konsoli, SNMP v.1, 2 i 3, Telnet, SSH v.2, z moŝliwością zdalnego zarządzania poprzez modem dial-up. - obsługę 4 grup RMON. - funkcję mirroringu portów: 1 to 1, n:1, n:4. - Syslog. - NTP. - moŝliwość przechowywania wielu wersji oprogramowania na przełączniku. - moŝliwość przechowywania wielu plików konfiguracyjnych na przełączniku, - moŝliwość uploadu i downloadu pliku konfiguracyjnego w postaci tekstowej do stacji roboczej. Implementowana konfiguracja rdzenia sieci pozwala na stworzenie struktury redundantnej, mało wraŝliwej na uszkodzenia hardware'owe. 3.2 WARSTWA DYSTRYBUCJI I WARSTWA DOSTĘPOWA W warstwie dystrybucji i w warstwie dostępowej, jak juŝ wcześniej wspomniano, konsekwentnie zastosowano przełączniki firmy 3COM, klasy 5500G 24 i 48 portowe z funkcją PoE, umoŝliwiając zasilanie poprzez sieć innych urządzeń, oraz przełączniki 4210 równieŝ wyposaŝone w funkcję PoE. Proponuje się jednolite skalowalne rozwiązanie dla podłączenia hal wystawowych z urządzeniami rdzenia. Graficznie zostało ono przedstawione na rysunku nr 1. 8
3.3 OPIS FUNKCJONALNY SWITCH`Y 5500G: - 48 portów Gigabit Ethernet 10/100/1000BaseT, 4 porty Gigabit Ethernet SFP porty SFP są portami współdzielonymi z portami 10/100/1000BaseT, - mają moŝliwość rozbudowy przełącznika o dodatkowe min. 8 portów Gigabit Ethernet SFP lub 2-porty 10Gigabit Ethernet (w zaleŝności od potrzeb), - mają moŝliwość zasilania zarówno prądem zmiennym 230V, jak i prądem stałym 48V (z wykorzystaniem dostępnych na rynku systemów zasilania prądem stałym). Przy wykorzystaniu obydwu źródeł zasilania zasilacze powinny pracować w trybie redundantnym, - posiadają wymienny zasilacz, - mają moŝliwość rozbudowy w celu obsługi standardu IEEE 802.3af Power over Ethernet na portach miedzianych 10/100/1000BaseT, - dostępne wersje 24 i 48 portowe z portami miedzianymi 10/100/1000BaseT ( zwykłymi, jak i Power over Ethernet), które moŝna zestakować w stosy o wysokości min. 8 jednostek - zapewniają moŝliwość pracy z pełną szybkością wszystkich portów (równieŝ po instalacji modułu uplink), - posiadają przepustowość magistrali stakującej min. 96Gb/s, - moŝliwość przełączania w warstwie 2 i 3 modelu OSI, - tablice adresów MAC o wielkości min. 16 000 pozycji, - obsługę rozproszonych połączeń link aggregation w ramach stosu (min. 32 grupy, do 8 portów GE lub 4 portów 10GE w ramach pojedynczego grupy) zgodnie ze standardem IEEE 802.3ad, obsługa protokołu LACP, - obsługę ramek Jumbo, - IEEE 802.1AB Link Layer Discovery Protocol (LLDP) (New V3.3.0p01), - obsługę sieci IEEE 802.1Q VLAN min. 4094 sieci VLAN, - IEEE 802.1v protocol-based VLAN, - obsługę tagowania sieci VLAN Q-in-Q podwójne tagowanie sieci VLAN, - funkcję protected ports porty chronione w ramach sieci VLAN nie mogą komunikować się z innymi portami chronionymi w ramach tego samego VLAN u, a tylko z portami publicznymi, 9
- elastyczność w konfiguracji sieci VLAN kaŝdy port powinien posiadać moŝliwość przypisania do wielu sieci VLAN taggowanych, jak i do wielu sieci VLAN nie-taggowanych, - moŝliwość automatycznej separacji ruchu VoIP w wydzielonym VLAN ie, - IGMP Snooping v. 1/2/3, - IEEE 802.1w Rapid Spanning Tree Protocol, - IEEE 802.1s Multiple Spanning Tree Protocol, - funkcję Root Guard umoŝliwiająca ochronę sieci przed wprowadzeniem do sieci urządzenia, które moŝe przejąć rolę przełącznika Root dla protokołu Spanning Tree, - BPDU Guard funkcja umoŝliwiająca wyłączenie portów Fast Start w momencie odebrania na tym porcie ramek BDPU w celu zapobieŝenia pętlom, - Loopback detection, - Routing IP statyczny i dynamiczny (RIP 1/2, OSPF, BGP-4); min. 64 interfejsy IP, - obsługę redundancji routingu VRRP, - wszystkie przełączniki w ramach stosu współdzielą tablicę routingu oraz aktywnie uczestniczą w procesie trasowania, tak jakby stanowiły jedno urządzenie, - Redundancje routingu dla urządzeń pracujących w stosie bez konieczności konfiguracji dodatkowych protokołów, - DHCP Relay, - DHCP Server, - DHCP Tracker oraz DHCP Snooping, - ARP Inspection, Source IP Guard, - Routing mulicastów: PIM-DM i PIM-SM, - obsługę list ACL na bazie informacji z warstw 2/3/4 modelu OSI min. 100 reguł ACL na kaŝdym porcie. Listy ACL są obsługiwane sprzętowo, bez pogarszania wydajności urządzenia, - posiadają moŝliwość realizacji tzw. czasowych list ACL (list reguł dostępu, działających w określonych odcinkach czasu), - obsługę standardu 802.1p min. 8 kolejek na porcie, obsługę kolejek zgodnie z następującymi algorytmami: Strict Priority; Weighted Round Robin; Weighted Fair Queuing; WRR + SP, WFQ+SP, - mają moŝliwość ograniczania pasma na porcie (globalnie) oraz moŝliwość ograniczenia pasma dla ruchu określonego listą ACL z dokładnością do 64 kb/s, 10
- mają moŝliwość zmiany wartości pola DSCP i/lub wartości priorytetu 802.1p, - mają funkcję mirroringu portów: 1 to 1 Port mirroring, Many to 1 port mirroring, VLAN mirroring, zdalny mirroring (RSPAN), - mają funkcje logowania do sieci ( Network Login ) zgodna ze standardem IEEE 802.1x: o moŝliwość przydziału stacji do wskazanej sieci wirtualnej podczas logowania IEEE 802.1x o moŝliwość ustawienia QoS dla stacji podczas logowania IEEE 802.1x o moŝliwość uwierzytelniania wielu uŝytkowników na jednym porcie o moŝliwość obsługi wielu domen, z których kaŝda moŝe być przypisana do własnego serwera RADIUS - moŝliwość centralnej autoryzacji stacji końcowej na podstawie MAC funkcja dla stacji, które nie mają klienta IEEE 802.1x: moŝliwość przydziału stacji do wskazanej sieci wirtualnej po autoryzacji MAC moŝliwość ustawienia QoS dla stacji po autoryzacji MAC moŝliwość stworzenia lokalnej bazy uŝytkowników dla autoryzacji IEEE 802.1x oraz MAC - Network Login TACACS+ RFC 1492 / HWTACACS (New V3.3.0p01) - RADIUS Accounting, - MoŜliwość centralnego uwierzytelniania administratorów na serwerze RADIUS, - 4 poziomy uprawnień dostępu do przełącznika, moŝliwość zmiany przypisania komendy do określonego poziomu uprawnień, - zarządzanie poprzez port konsoli, SNMP v.1, 2c i 3, Telnet, SSH v.2, przeglądarkę internetową, - Syslog, - NTP, - moŝliwość przechowywania wielu wersji oprogramowania na przełączniku - moŝliwość przechowywania wielu plików konfiguracyjnych na przełączniku, moŝliwość uploadu i downloadu pliku konfiguracyjnego w postaci tekstowej do stacji roboczej. 11
3.4 OPIS FUNKCJONALNY SWITCH`Y 42 10 PWR: - Typ i liczba portów: 4210 9-portów PoE min. 8 portów 10/100, min. 1 port Gigabit Ethernet 1000Base-T combo z SFP, min. 4 porty 10/100 muszą być portami PoE z moŝliwością dostarczenia pełnej mocy 15,4W na kaŝdym z portów, 4210 18-portów PoE min. 16 portów 10/100, min. 2 porty Gigabit Ethernet 1000Base-T combo z SFP, min. 8 portów 10/100 muszą być portami PoE z moŝliwością dostarczenia pełnej mocy 15,4W na kaŝdym z portów, 4210 26-portów PoE min. 24 porty PoE 10/100 z moŝliwością dostarczenia pełnej mocy 15,4W na kaŝdym z portów, min. 2 porty Gigabit Ethernet 1000Base-T combo z SFP, - porty SFP umoŝliwiają instalację modułów Gigabit Ethernet (min. 1000Base-SX, 1000Base-LX i 1000Base-LH), jak równieŝ FastEthernet (min. 100Base-FX, 100Base-LX10 i 100Base-BX10-D/U), - zasilacz wbudowany (230V), - przełączniki mają moŝliwość łączenia w klastry celem umoŝliwienia zarządzania grupą urządzeń poprzez jeden adres IP. Dodatkowo jeśli w sieci są inne urządzenia 3Com serii 4200G, 4500, 4500G, 5500, 5500G, - min. 30 urządzeń w ramach grupy zarządzanej przez jeden IP, - przełączniki mają moŝliwość pracy z pełną szybkością wszystkich portów, - posiadają moŝliwość przełączania w warstwie 2 modelu OSI, - tablicę adresów MAC o wielkości min. 8 000 pozycji - zapewniają obsługę połączeń link aggregation (do 8 portów FE lub 2 portów GE w ramach pojedynczego trunku) zgodnie ze standardem IEEE 802.3ad, obsługa protokołu LACP: a. 2 trunki dla modeli 9 i 18-portowych b. 3 trunki dla modeli 26-portowych - zapewniają obsługę sieci IEEE 802.1Q VLAN min. 250 sieci VLAN - mają funkcję protected ports porty chronione w ramach sieci VLAN nie mogą komunikować się z innymi portami chronionymi w ramach tego samego VLAN u, a tylko z portami publicznymi, - zapewniają elastyczność w konfiguracji sieci VLAN kaŝdy port ma moŝliwość przypisania do wielu sieci VLAN taggowanych, jak i do wielu sieci VLAN nie-taggowanych, - IGMP Snooping v. 1/2/3, - IEEE 802.1w Rapid Spanning Tree Protocol, 12
- IEEE 802.1s Multiple Spanning Tree Protocol, - mają funkcję Root Guard umoŝliwiającą ochronę sieci przed wprowadzeniem do sieci urządzenia, które moŝe przejąć rolę przełącznika Root dla protokołu Spanning Tree, - BPDU Guard funkcja umoŝliwiająca wyłączenie portów Fast Start w momencie odebrania na tym porcie ramek BDPU w celu zapobieŝenia pętlom, - Loopback detection, - zapewniają obsługę standardu 802.1p min. 4 kolejki na porcie, obsługę kolejek zgodnie z następującymi algorytmami: Weighted Round Robin (WRR); High Priority + WRR, - mają moŝliwość ograniczania pasma na porcie (na wejściu i wyjściu) z dokładnością do 64 kb/s. - mają funkcję mirroringu portów: 1 to 1 Port mirroring, Many to 1 port mirroring, - zapewniają obsługę funkcji logowania do sieci ( Network Login ) zgodnie ze standardem IEEE 802.1x: - moŝliwość przydziału stacji do wskazanej sieci wirtualnej podczas logowania IEEE 802.1x, - moŝliwość uwierzytelniania wielu uŝytkowników na jednym porcie, - moŝliwość obsługi wielu domen, z których kaŝda moŝe być przypisana do własnego serwera RADIUS, - mają moŝliwość centralnej autoryzacji stacji końcowej na podstawie MAC funkcja dla stacji, które nie mają klienta IEEE 802.1x: - moŝliwość przydziału stacji do wskazanej sieci wirtualnej po autoryzacji MAC, - moŝliwość uwierzytelniania wielu stacji na jednym porcie - mają funkcjonalność Guest VLAN, - RADIUS Accounting, - mają moŝliwość centralnego uwierzytelniania administratorów na serwerze RADIUS. - mają 4 poziomy uprawnień dostępu do przełącznika, moŝliwość zmiany przypisania komendy do określonego poziomu uprawnień, - pozwalają na zarządzanie poprzez port konsoli, SNMP v.1, 2c i 3, Telnet, SSH, przeglądarkę internetową, - mają moŝliwość przypisania do przełącznika adresu IPv6 (IPv6 Management) - Syslog, - NTP, 13
- mają moŝliwość przechowywania wielu plików konfiguracyjnych na przełączniku, moŝliwość uploadu i downloadu pliku konfiguracyjnego w postaci tekstowej do stacji roboczej. 3.5 OPIS SWITCH`A BEZPRZEWODOWEGO WX1200 - moŝliwość skonfigurowania 48 punktów dostępowych oraz obsługa min. 12 aktywnych punktów dostępowych, które mogą być podłączane zarówno bezpośrednio, jak i pośrednio (punkty wyniesione). Punkty wyniesione muszą pracować zarówno, gdy będą umieszczone w tej samej podsieci IP co przełącznik, jak i w innej. - Min. 6 portów 10/100BaseT Power over Ethernet umoŝliwiające bezpośrednie podłączenie punktów dostępowych. - min. 2 porty 10/100BaseT umoŝliwiające dołączenie przełącznika do sieci LAN. - całkowita wydajność min. 200Mb/s. - moŝliwość roamingu uŝytkowników pomiędzy punktami dostępowymi - obsługę standardów IEEE 802.1Q, 802.1D Spanning Tree, 802.3ad Link Aggregation. - zarządzanie poprzez Telnet, SSH v2, SNMP. - Syslog. - moŝliwość utworzenia i jednoczesnej obsługi sieci SSID z róŝnymi poziomami zabezpieczeń. - moŝliwość uwierzytelniania uŝytkowników poprzez 802.1X - wsparcie dla WPA, WPA2 (AES-128), WEP, SSL i TSL z kluczem RSA 2048 bitów - zgodność ze standardem IEEE 802.11i. - obsługę następujących standardów RFC: RFC 2246 - Transport Layer Security (TLS) RFC 2284 - EAP RFC 2315 - PKCS #7: Cryptographic Message Syntax Version 1.5 RFC 2548 - Microsoft RADIUS VSAs RFC 2716 - PPP EAP-TLS Authentication Protocol RFC 2759 - Microsoft PPP CHAP Extensions, Version 2 RFC 2865 - RADIUS Authentication RFC 2866 - RADIUS Accounting RFC 2869 - RADIUS Extensions RFC 2986 - PKCS #10: Certification Request Syntax Specification Version 1.7 RFC 3580 - IEEE 802.1X RADIUS Guidelines - moŝliwość obsługi punktów dostępowych umoŝliwiających tworzenie konfiguracji typu bridge i mesh. 14
- w ramach architektury mesh wsparcie dla 3 linków i 6 punktów dostępowych - w ramach architektury bridge wsparcie dla 2 linków - ilość wykorzystanych punktów dostępowych przy uŝyciu funkcjonalności Multihop 1 - moŝliwość obsługi punktów dostępowych umoŝliwiających przełączanie lokalne na punkcie dostępowym bez konieczności tunelowania ruchu do przełącznika - ilość moŝliwych do połączenia kontrolerów w domenie sieciowej 500 - ilość moŝliwych do połączenia kontrolerów w domenie mobilnej 64 - Vlans Roaming per kontroler 128 skonfigurowanych Vlan ów - Instancji Spanning Trees 64 (STP/PVST+) - ilość wpisów w listach dostępu ACL dla całego przełącznika 700 - ilość wpisów w pojedynczej liście dostępu ACL 267 - aktywnych sesji uwierzytelnienia, autoryzacji i accountingu AAA 300 - ilość uŝytkowników skonfigurowanych lokalnie na kontrolerze bez zewnętrznego systemu AAA 250 uŝytkowników 3.6 OPIS PUNKTU DOSTĘPOWEGO AP 3150: - punkt dostępowy musi współpracować z Wireless LAN Contoler - posiada dwie wewnętrzne dwusystemowe anteny dookólne o zysku 2dBi - bezprzewodowy punkt dostępowy pracujący zgodnie ze standardamiieee 802.11b, IEEE 802.11g, IEEE 802.11a - zasięg nadawania i odbioru dla IEEE 802.11a do 50m - zasięg nadawania i odbioru dla IEEE 802.11b/g do 100m - punkt dostępowy nie moŝe posiadać konfiguracji zawierającej informacje uwierzytelniające uŝytkowników, cała logika powinna być realizowana na Wirelss LAN Controlerze - posiada moŝliwość instalacji anteny zewnętrznej - 1x Port Ethernet 10/100BASE-TX do sieci lokalnej - zasilanie koncentratora bezprzewodowego poprzez skrętkę zgodne ze standardem PoE IEEE 802.3af - urządzenie musi wspierać następujące mechanizmy szyfrowania i uwierzytelnienia klientów bezprzewodowych: o WEP 40-/64- i 104-/128-bit o TKIP WPA i WPA2 (IEEE 802.11i/RSN) 64- and 128-bit AES encryption 15
- punkt dostępowy we współpracy z Wireless LAN Controlerem musi zapewniać wsparcie dla zewnętrznego systemu uwierzytelnienia i accountingu RADIUS 3.7 OPROGRAMOWANIE ZARZĄDZAJĄCE Oprogramowanie zarządzające 3COM NETWORK DIRECTOR musi wspierać istniejącą infrastrukturę opartą na urządzeniach 3COM oraz: - umoŝliwiać grupowe zarządzania kopią zapasową i przywracaniem tej kopii oraz konfiguracją urządzeń sieciowych, - dawać moŝliwość centralnego zarządzania uaktualnieniami oprogramowania dla urządzeń 3COM, - umoŝliwiać centralne zarządzanie kontrolą dostępu do sieci w oparciu o Radius Authenticated Device Access (RADA) i 802.1x, - umoŝliwiać wyszukiwanie i usuwanie ze środowiska sieciowego maszyn na podstawie MAC adresu, adresu IP lub identyfikatora uŝytkownika 802.1x, - dawać moŝliwość automatycznego usuwania wykrytych zainfekowanych stacji roboczych po zidentyfikowaniu ich przez urządzenie klasy IPS, - pozwalać na monitorowanie wydajności sieci. UmoŜliwiając diagnozowanie i monitorowanie środowiska sieciowego, - pozwalać na wykrywanie i tworzenie mapy topologii sieci, - umoŝliwiać tworzenie raportów dotyczących spisu urządzeń, problemów w konfiguracji, sugestie optymalizacji oraz historii urządzeń. 3.8 SYSTEM BEZPIECZEŃSTWA TIPPING POINT IPS - system IPS pracuje w trybie in-line (wszystkie pakiety, które mają być poddane inspekcji muszą przechodzić przez system), - system IPS jest całkowicie przezroczysty dla transmitowanych ramek i protokołów. Niedopuszczalne jest stosowanie mechanizmów wymagających uczenia się MAC adresów lub adresów IP, które mają zapewnić prawidłową transmisję danych (np. ARP proxy), - system IPS musi zapewniać obsługę łączy z włączonym tagowaniem ramek IEEE 802.1Q, - system pozwala na obsługę 2 segmentów Gigabit Ethernet - dla 200 Mb/s, - ma moŝliwość wyboru standardu obsługiwanego na poszczególnych 16
segmentach 1000BASE-T, 1000BASE-SX, 1000BASE-LX, 1000BASE-LH, poprzez wymianę interfejsów fizycznych w standardzie SFP (system 200 Mb/s obsługuje tylko standard 10/100/1000BASE-T), - system zapewnia przepustowość do 200 Mb/s, - system nie wprowadza opóźnień w transmisji pakietów większych niŝ 150 µs, - system jest w stanie obsłuŝyć 2 mln. Zestawionych sesji, - system jest w stanie obsłuŝyć 250 tys. sesji zestawianych na sekundę dla 200 Mb/s, - system podejmuje decyzję w czasie rzeczywistym bez buforowania transmitowanych ramek dotyczy to w szczególności pakietów fragmentowanych, - system posiada system wewnętrznej kontroli pracy urządzenia zapewniający wyłączenie IPS w przypadku wewnętrznej awarii. Sposób wyłączenia, blokowanie wszystkich pakietów lub przepuszczanie wszystkich pakietów musi być definiowany przez administratora dla kaŝdego segmentu oddzielnie, - system posiada wbudowaną redundancję zasilania min. 2 zasilacze wewnątrz obudowy systemu IPS z moŝliwością ich wymiany w czasie pracy, - istnieje moŝliwość zbudowania systemu odpornego na awarie poprzez zastosowanie dwóch urządzeń mogących pracować w trybie active-active (obydwa urządzenia biorą udział w przeglądaniu pakietów) lub activestandby, - System IPS nie przekracza wysokości 2U, - System IPS jest zarządzany w trybie out-of-band poprzez dedykowany port Ethernet 10/100BASE-T, - system posiada wbudowany wyświetlacz pokazujący aktualny stan działania urządzenia, który pozwoli skontrolować działanie systemu IPS bez konieczności korzystania z komputera, - System IPS zapewnia ochronę przed następującymi zagroŝeniami: Worm, Virus, Trojan, P2P, Phising, Walk-in-worm, Backdoor, Spyware, DoS i DDoS itp., - system zapewnia informowanie o zagroŝeniach poprzez wysłanie e-maila, trap SNMP, przesłanie informacji do serwera Syslog, uruchomienie skryptu uŝytkownika, - System IPS ma moŝliwość automatycznej konfiguracji pobierania zestawu sygnatur na najnowsze zagroŝenia. 17
W przypadku wykrycia zagroŝenia istnieje moŝliwość: zablokowania pakietów (Block), przepuszczenia pakietów (Permit), zapisania pakietu wyzwalającego filtr (Copy), skierowania ruchu do dedykowanej kolejki z moŝliwością ograniczenia przepustowości (Rate Limit), wysłania informacji do logu, wysłania e-maila, zablokowania całego ruchu od adresu IP będącego źródłem ataku (Quarantine). Zestawy sygnatur są tworzone przez producenta systemu IPS najrzadziej raz w tygodniu i uwzględniają najnowsze wykryte zagroŝenia. Zestawy sygnatur są pobierane z serwera w sposób uniemoŝliwiający ich modyfikację przez osoby postronne oraz przeprowadzenie ataku DoS/DDoS na serwer udostępniający dane zastosowanie rozproszonego systemu dystrybucji np. poprzez sieć serwerów Akamai. Aktualizacja sygnatur nie wpływa na działanie systemu IPS niedopuszczalne jest przerwanie przetwarzania pakietów przez system. Sygnatury identyfikujące bezsporne zagroŝenia muszą być włączone w tryb blokowania pakietów. Istnieje moŝliwość definiowania wyjątków dla sygnatur z określeniem adresów IP źródła i przeznaczenia. Jest równieŝ moŝliwość definiowania zakresów adresów IP źródła i przeznaczenia, dla których system ma przeprowadzać wyszukiwanie zagroŝeń - pakiety z niezdefiniowanej puli adresów nie będą przez system przeglądane. System IPS posiada moŝliwość zachowania aktualnej konfiguracji w pamięci urządzenia i późniejszego jej odtworzenia. Istnieć moŝliwość przesłania zachowanej konfiguracji poza systemem IPS. System IPS moŝe być zarządzany poprzez lokalną konsolę (RS-232), przeglądarkę www (HTTPs), Telnet oraz SSH. System IPS jest zarządzany przez dedykowaną platformę zarządzania. 3.9 SYSTEM ZARZĄDZANIA SONDAMI IPS System zarządzania sondami IPS ma moŝliwość zarządzania wieloma systemami IPS, ma wbudowaną redundancję zasilania. Posiada teŝ moŝliwość uruchomienia systemu zarządzania w trybie zapewniającym pełną odporność na awarię. System zarządzania pozwala na monitorowanie stanu pracy wszystkich zainstalowanych sond IPS oraz gromadzenie logów ze wszystkich obsługiwanych sond IPS. Zaawansowany system przeszukiwania logów pozwala na przeprowadzanie analizy i daje moŝliwość tworzenia raportów i umieszczania ich na stronie www, przesyłania e-mailem w róŝnych formach 18
(plik pdf, plik html, embedded html), umieszczania na serwerach pracujących pod kontrolą systemu współdzielenia plików SMB lub NFS. System zarządzania daje moŝliwość automatycznej generacji raportów za wybrany okres (np. godzina, dzień, tydzień itp.)co pozwala na tworzenie wielu polityk bezpieczeństwa zawierających róŝne zestawy sygnatur i przydzielania ich do segmentów zdefiniowanych na róŝnych urządzeniach. 3.10 ROUTER UTM X.506 Zintegrowany system zabezpieczeń obejmujący min. firewall, bramę VPN, system IPS, Router oraz system filtracji treści (Content Filtering). - liczba i typ portów min.6 portów Fast Ethernet 10/100 - port konsoli - Routing IP statyczny i dynamiczny (min. RIP 1/2 oraz OSPFv2) - Multicast routing (min. PIM-DM) - IGMP v1 i v2 - liczba obsługiwanych sesji o min. 120.000 - przepustowość o min. 60Mb/s (IPS), 100Mb/s (Firewall), 90 Mb/s (VPN, 3DES) - wymagania odnośnie systemu IPS: o rekomendowane ustawienia dla filtrów o automatyczna aktualizacja baz sygnatur (nie rzadziej niŝ raz w tygodniu) o filtry zero-day o moŝliwość kwarantanny dla uŝytkowników naruszających ustalone polityki bezpieczeństwa o min. 3000 filtrów o moŝliwość blokowania aplikacji p2p, IM, streaming media o moŝliwość ograniczania pasma dla aplikacji p2p, IM, streaming media (L4-L7 rate limiting) o zestawy sygnatur muszą być pobierane z serwera w sposób uniemoŝliwiający ich modyfikację przez osoby postronne oraz przeprowadzenie ataku DoS/DDoS na serwer udostępniający dane zastosowanie rozproszonego systemu dystrybucji np. poprzez sieć serwerów Akamai - wymagania odnośnie modułu firewall o Firewall Stateful Packet Inspection, SIP/H323 Aplication Layer Gateway 19