PROJEKT SIECI KAMPUSOWEJ DLA WYŻSZEJ UCZELNI
Transkrypt
PROJEKT SIECI KAMPUSOWEJ DLA WYŻSZEJ UCZELNI
Projektowanie S ieci Komputerowych PROJEKT SIECI KAMPUSOWEJ DLA WYŻSZEJ UCZELNI Autorzy: Miron Kobelski (59803) i Stanisław Szczepanowski (62492) Data oddania projektu: ............................................................ Data zaliczenia: ......................................................................... OCENA: .................................................................................... [podpis oceniającego] I. Cele, wymagania i założ enia projektu (1) C el i zakre s pr oj e ktu Na terenie uczelni znajduje się dziesięć budynków tworzących pięć instytutów: • budynki E1 i E2 oraz części budynków E3 i E4 tworzą instytut informatyki (II); • budynek E5 oraz część budynku E4 – instytut telekomunikacji (IT); • budynek E8 oraz część budynku E3 – instytut automatyki (IA); • budynki E6 i E7 – instytut matematyki (IM); • budynki E9 i E10 – instytut fizyki (IF). Oba budynki instytutu fizyki (E9 i E10) oddzielone są od pozostałych budynków uczelni drogą, pod którą znajduje się gotowy trakt kablowy. Dodatkowo uczelnia posiada dwie filie – oznaczone jako F1 i F2 – znajdujące się w innych miastach. Budynek fizyki (IF – E9) ma zostać podłączony do sieci miejskiej MAN z wykorzystaniem mostu bezprzewodowego. Poglądowy plan uczelni przedstawia rysunek nr 1. Wszystkie budynki wchodzące w skład kampusu charakteryzują się podobnym układem pomieszczeń; w ramach każdego budynku znajduje się: • 20 pomieszczeń pracowniczych – 5 komputery w każdym pomieszczeniu; • 10 laboratoriów – 20 komputerów w każdym; • 1 serwer instytutowy (SI) – na każdy instytut w danym budynku; • 1 serwer studencki (SK) – na każdy instytut w danym budynku. Na parterze każdego budynku kampusu oraz w całym budynku E1 należy zapewnić bezprzewodowy dostęp do sieci lokalnej. Należy zaprojektować sieć komputerową obejmującą cały teren uczelni, zapewniającą komunikację zarówno w ramach poszczególnych budynków, pomiędzy nimi (w tym również do filii), jak i dostęp do sieci miejskiej MAN. Telefonia VoIP System telefoniczny kampusu zostanie zrealizowany w oparciu o telefonię internetową (Voice over Internet Protocol). Wszyscy pracownicy uczelni (przebywający na kampusie oraz w filiach) posiadają własny numer telefonu, a system umożliwia swobodną realizację połączeń zarówno wewnątrz sieci uczelnianej, jak i na numery zewnętrzne, przy jednoczesnej minimalizacji kosztów takich rozmów. Przyjęto przy tym następujące założenia: ● ● ● ● ● jedna rozmowa telefoniczna wymaga pasma o szerokości 64kbit/s; ogólna liczba abonentów - 12 budynków * 20 pomieszczeń * 5 pracowników = 1200; jeden użytkownik wykonuje w ciągu godziny jedną rozmowę o czasie trwania 3 minuty; zgodnie z zasadą Pareta – 80% połączeń realizowanych jest w obrębie kampusu, pozostałe 20% wychodzi na zewnątrz (ok. 240 rozmów na godzinę). Przy założeniu, że abonent nie czeka na połączenie dłużej niż 3 sekundy, można obliczyć wymaganą liczbę kanałów z wykorzystaniem dystrybucji Erlanga. W tym celu wykorzystano specjalistyczne darmowe oprogramowanie: Daje to wymaganą przepustowość 23 (trunks required) * 64Kbit/s = 1 152 Kb/s po wykonaniu podobnych obliczeń dla rozmów realizowanych wewnątrz kampusu, uzyskamy minimalną liczbę kanałów równą 71 (co daje 4 544 Kbit/s). Przy założeniu, że nie wszystkie takie rozmowy są prowadzone na tym samym obszarze sieci, daje to bezpieczny margines bezpieczeństwa. Sieć bezprzewodowa w budynkach kampusu Na parterze każdego budynku dostępna jest dla pracowników oraz studentów sieć bezprzewodowa w standardzie 802.11g. Dostęp do niej jest ograniczony za pomocą mechanizmów autoryzacji i szyfrowania, które konfigurowane są centralnie (WPA). Jednocześnie z sieci bezprzewodowej na jeden punkt dostępowy może przypadać od 15-20 użytkowników. Dodatkowe założenia Projekt i wykonanie sieci kampusowej powinny zapewniać powszechność dostępu oraz ciągłość usług, bezpieczeństwo, skalowalność, odporność na awarie oraz decentralizację administracji. Zarządzanie segmentami sieci należącymi do poszczególnych instytutów, których budynki tworzą kampus, powinno być oddelegowane do nich samych. W ten sposób możliwe będzie lepsze dopasowanie konfiguracji sieci wydziałowych do rzeczywistych potrzeb. Dodatkowo pozwoli to odciążyć główne centrum zarządzania siecią, którego praca będzie mogła skupić się na zapewnieniu funkcjonowania sieci szkieletowej oraz łączy zewnętrznych. Plan budynków kampusu Przyjęto założenie, że wszystkie 10 budynków kampusu są identyczne, a w szczególności: ● każdy budynek ma parter i piętro; ● na parterze znajdują się sale laboratoryjne, a na piętrze pomieszczenia pracowników; ● na ilustracjach pominięto klatki schodowe oraz inne, mniej ważne w projekcie ● ● ● ● pomieszczenia; każdy budynek ma szerokość 28 metrów i długość 40 metrów; sala laboratoryjna ma wymiary 8 na 12 metrów; jest ich 10; pokój dla pracowników ma wymiary 8 na 6 metrów; w jednej sali laboratoryjnej i jednym pokoju pracowniczym będzie znajdować się punkt dostępowy. Poniżej przedstawiono rzut obu pięter pojedynczego budynku w kampusie. Ilustracja 1: Plan pięter każdego z budynków (2) Zało ż e nia d ot y c z ą c e prze p u st o w o ś ci s i e ci Podstawowym założeniem w budowanej sieci jest doprowadzenie łącz o szybkości 100 Mb/s do biurek każdego z komputerów stacjonarnych, zarówno pracowniczych jak i laboratoryjnych, należących do uczelni. Taka szybkość jest odpowiednia zarówno do pracy biurowej sekretariatów poszczególnych instytutów, dla potrzeb pracowników akademickich, jak również dla potrzeb studentów pracujących przy komputerach w czasie zajęć. Chcąc umożliwić korzystanie wielu użytkownikom z zasobów serwerów, zakłada się, że każdy z tych komputerów zostanie podłączony do sieci szkieletowej łączem 1Gb/s. Zastosowanie szerszego pasma ma na celu nie tylko usprawnienie równoczesnego dostępu pracowników i studentów do pojedynczego serwera, jak również wymianę danych pomiędzy serwerami różnych instytutów, np. w celach naukowych. Kolejnym założeniem jest przepustowość sieci szkieletowej, która ma wynosić 1Gb/s. Prędkość ta wynika z założenia umożliwienia połączenia pomiędzy serwerami z ich maksymalnymi prędkościami, przy najniższym możliwym koszcie wykonania takiej sieci. Planuje się, aby radiowe połączenie do sieci miejskiej MAN miało przepustowość 144 Mb/s w łączu dół oraz 144 Mb/s w łączu w górę. Prędkość ta ma zapewnić dostęp do sieci Internet każdemu użytkownikowi łączącego się z terenu uczelni. Zakładana symetryczność przepustowości w obu kierunkach ma pozwolić na zdalne łączenie się z serwerami uczelnianymi i korzystanie z ich zasobów, dlatego ani ruch do ani z kampusu nie powinien być jawnie ograniczony. To łącze zostanie zbudowane w oparciu o technologię LMDS, czyli Local Multipoint Distribution Service. Należy zagwarantować również, aby antena operatora sieci MAN znajdowała się najdalej 2,4 km (około 1,5 mili) od anteny znajdującej się na budynku E9, w celu zapewnienia wysokiej jakości połączenia radiowego nawet przy złej pogodzie. Na potrzeby projektu wykorzystano sprzęt firmy Alvarion, lecz w rzeczywistości sprzęt będzie zależeć od dostawcy internetowego. Zakłada się również, że sieć bezprzewodowa, udostępniana na parterze każdego budynku oraz w całym budynku E1 będzie oferować maksymalną szybkość łącza na poziomie 54 Mb/s (standard 802.11g). Powyższe założenie wynika z powszechności stosowania takiej przepustowości w bezprzewodowych sieciach LAN. Powszechność ta objawia się głównie w stosowanych kartach bezprzewodowych umieszczanych w komputerach przenośnych. Oba budynki filii F1 i F2 planuje się połączyć z kampusem łączami dzierżawionymi o symetrycznej prędkości 100Mb/s każde (technologia Fast Ehternet). Planuje się umożliwienie szybkiego połączenia tych budynków z siecią kampusową, do celów biurowych, administracyjnych, edukacyjnych i naukowych, przy zminimalizowaniu comiesięcznego kosztu dzierżawy łącz. II. Projekt logiczny sieci (3) K o n c e p cja roz wią zania i pr o p o n o wa n e te c h n ol o gie Część pierwsza niniejszego projektu zebrała wymagania nakładane na sieć kampusową. Ich spełnienie wymaga zastosowania odpowiednich technologii w poszczególnych warstwach sieci. Poniżej zostaną one zebrane i pogrupowane wg warstw modelu OSI. War stwa fizyczna Łącza zewnętrzne do sieci miejskiej zrealizowane zostaną zgodnie z założeniami, to znaczy bezprzewodowo, z wykorzystaniem technologii LMDS. Szkielet sieci zostanie wykonane w technologii światłowodowej. Kable z redundantnymi włóknami wielomodowymi zapewnią skalowalność i pole manewru w przypadku awarii pojedynczych włókien (koszt dodania pojedynczego włókna jest znikomy w porównaniu do kosztu prowadzenia nowego kabla). Urządzenia sieciowe realizujące transmisje wielomodową są tańsze od urządzeń jednomodowych, których przewaga w postaci dłuższych odległości transmisji jest nieistotna, z uwagi na rozmiary kampusu. Warstwa dostępowa zrealizowana zostanie z wykorzystaniem kabli miedzianych kategorii 6. Z uwagi na rozmiar budynków oraz założenia na temat przepustowości dostępnej dla końcowych użytkowników jest to rozwiązanie wystarczające. Sieć bezprzewodowa zrealizowana zostanie w technologii 802.11g. War stwa łą cza danych Na całym kampusie wykorzystane zostanie sprawdzony standard Ethernet. Powszechne wykorzystanie zgodnych z nim zaawansowanych przełączników pozwoli zapewnić realizacje wszystkich założeń projektowych. Najważniejsze z zalet Ethernetu z punktu widzenia niniejszego projektu to mikrosegmentacja z wykorzystaniem przełączników (efektywne wykorzystanie dostępnego pasma), Spanning Tree Protocol (który wykorzystany zostanie w celu zapewnienia redundancji) oraz łatwość tworzenia sieci wirtualnych VLAN pozwalających na zwiększenie bezpieczeństwa, odseparowanie ruchu sieciowego poszczególnych wydziałów oraz skalowalność sieci. W przypadku łączy zewnętrznych do sieci miejskiej oraz dzierżawionych łącz do obu filii zostanie wykorzystany alternatywny protokół warstwy trzeciej, w zależności od możliwości zewnętrznego operatora telekomunikacyjnego. War stwa sieci Wykorzystany zostanie protokół IPv4 jako obecnie dominujący standard internetowy. Urządzenia warstwy trzeciej zostaną jednak dobrane również pod kątem ich zgodności z wersją 6 tego protokołu, tak aby w przyszłości ułatwić przejście na nową wersję protokołu. Poza routerami, w kluczowych miejscach sieci wykorzystane zostaną firewalle, które pozwolą zapewnić wymagany poziom bezpieczeństwa. Telefonia IP Rozwiązanie VoIP, podobnie jak cała sieć, zrealizowane zostanie w oparciu o produkty firmy 3Com wspierające protokół SIP. Każdy pracownik uczelni będzie miał do dyspozycji własny telefon VoIP, natomiast funkcje realizacji połączeń oraz zarządzania ruchem VoIP zrealizowane zostaną z wykorzystaniem dedykowanego serwera 3Com® V7000 Platform Series. Ruch VoIP realizowany będzie ze względów bezpieczeństwa i wydajności w osobnych VLANach, co pozwoli również na zastosowanie na switchach i routerach priorytetowego kolejkowania wrażliwych na opóźnienia pakietów VoIP. Wszystkie zastosowane urządzenia wspierają telefonie IP. Projekt logiczny sieci Zaproponowane rozwiązanie opiera się na fizycznej topologii gwiazdy, której ramiona stanowią poszczególne instytuty. W celu zapewnienia redundancji wszystkie budynki połączone są dodatkową pętlą. W każdym budynku kampusu znajduje się switch szkieletowy, jednak routery instytutowe znajdują się tylko w głównym budynku danego instytutu. Dzięki zastosowaniu w każdym z węzłów tak powstałej sieci przełączników ethernetowych obsługujących protokół STP, możliwe jest uzyskanie bardzo dużej odporności na awarię. Każdemu instytutowi przypisany jest na przełącznikach szkieletowych indywidualny numer VLANu. Pozwala to podnieść poziom bezpieczeństwa sieci dzięki odseparowaniu ruchu, a w przypadku instytutów, które fizycznie rozlokowane są w kilku budynkach, pozwala przezroczyście połączyć poszczególne części sieci instytutowej. Jak wspomniano, sieć szkieletowa wykonana jest w technologii 1Gb Ethernet. Zdecydowano się na zastosowanie potrójnego połączenia 1Gb Ethernet pomiędzy głównym routerem szkieletowym a głównym switchem szkieletowym. Pozwoliło to uniknąć wąskiego gardła na tym odcinku, ponieważ w danym momencie router musi być w stanie obsłużyć wiele jednoczesnych połączeń pomiędzy instytutami, które w ogólności mogą być realizowane na switchu z prędkością 1Gb/s. Schemat logiczny sieci instytutowej widoczny jest na kolejnym diagramie. W przypadku instytutów zajmujących więcej niż jeden budynek, zastosowanie VLANów umożliwi przezroczyste dla użytkowników końcowych spięcie fizycznie rozdzielnych sieci. Dostęp do sieci dla użytkowników końcowych realizowany jest za pomocą prostych 24 portowych switchy zarządzalnych, z których ruch jest w dalszej kolejności agregowany na głównym switchu instytutowym. Sieć bezprzewodowa zrealizowana zostanie z wykorzystaniem zarządzalnych AP oraz platformy umożliwiającej sprawne zarządzanie całością sieci Wifi oraz jej bezpieczeństwem. Routing w sieci realizowany będzie dynamicznie. W związku z dużym poziomem redundancji zapewnionym w warstwie drugiej (STP), jako protokół routingu dynamicznego wybrano RIPv2. Jest to rozwiązanie proste i sprawdzone, które dobrze sprawdzi sie w szybkiej homogenicznej sieci ethernetowej. (4) Plan adre s a cji si e ci i w y m a gan e pr ot o k oł y Plan adre s acji sieci W warstwie sieciowej wykorzystany zostanie protokół IP w wersji 4. Każdy komputer kampusu uzyska publiczny adres IP, co pozwoli na większą elastyczność przy korzystaniu z usług Internetu. W przypadku podsieci, które będą wymagały wyższego poziomu bezpieczeństwa zastosowany zostanie mechanizm Network Address Translation w celu ukrycia prawdziwych adresów i utrudnienia potencjalnego ataku. W celu dokładnego oszacowania zapotrzebowania każdej z jednostek uczelni na adresy IP oraz zminimalizowania strat adresów, dostępną pulę podzielono na podsieci /32 i przypisano je konkretnym jednostkom wraz z ich przeznaczeniem. Pulę adresów przyznanych każdemu instytutowi obliczono na podstawie liczby adresów niezbędnych w jednym budynku kampusu oraz liczby budynków zajmowanych przez dany instytut. Administracja każdej z sieci instytutowych leży w kompetencjach danego instytutu, jednak w planie adresacji zawarto zalecaną adresację wewnętrzna. Na tej podstawie wystąpiono do organizacji IANA o pulę adresów o odpowiednim rozmiarze. IANA postanowiła przyznać uczelni następujące adresy: 150.254.0.0 – 150.254.42.255. Zakłada się, że pojedynczy adres IP nie będzie przypisany na stałe do gniazda sieciowego ale do pracownika. Poniżej zamieszczono plan adresacji VLANów w sieci kampusowej. Jednostka organizacyjna pula VLANów Centrum Zarządzania Siecią 100-199 Instytut informatyki 200-299 Instytut matematyki 300-399 Instytut Fizyki 400-499 Instytut Automatyki 500-599 Instytut Telekomunikacji 600-699 Filia 1 nd. (FR) Filia 2 nd. (FR) Poniżej przedstawiono plan przydziału adresów dla poszczególnych instytucji w kampusie. Adres IP 150.254.0.0/32 150.254.0.1 150.254.0.2 150.254.0.3 150.254.0.4 150.254.0.5 150.254.0.6 150.254.0.7 150.254.0.8 150.254.0.32/32 150.254.0.64/32 150.254.0.96/32 150.254.0.128/32 150.254.0.160/32 150.254.0.192/32 150.254.0.224/32 Opis Podsieć routerów szkieletowych (główny + instytutowe) Główny router sieci kampusowej Instytut Informatyki Instytut Matematyki Instytut Fizyki Instytut Automatyki Instytut Telekomunikacji Filia 1 Filia 2 Serwery kampusowe Podsieć stacji zarządzania Podsieć VoIP, adresacja analogicznie jak w podsieci 0.0 Poniżej zamieszczono tablicę routingu na głównym routerze szkieletowym. Routing realizowany będzie dynamicznie poprzez protokół RIP2. Poniższa tabela ma jedynie za zadanie umożliwić szybkie sprawdzenie poprawności tabeli dynamicznej Miejsce docelowe 192.254.0.0/21 192.254.8.0/24 192.168.9.0/24 192.168.10.0/23 192.168.12.0/23 192.168.14.0/24 192.168.15.0/24 192.168.16.0/22 192.168.20.0/24 192.168.21.0/24 192.168.22.0/22 192.168.24.0/22 192.168.26.0/24 192.168.27.0/24 192.168.28.0/22 192.168.32.0/24 192.168.33.0/24 192.168.34.0/23 192.168.36.0/23 192.168.39.0/24 192.168.40.0/23 192.168.42.0/23 Brama 150.254.0.2 150.254.0.2 150.254.0.2 150.254.0.3 150.254.0.3 150.254.0.3 150.254.0.4 150.254.0.4 150.254.0.4 150.254.0.5 150.254.0.5 150.254.0.5 150.254.0.5 150.254.0.6 150.254.0.6 150.254.0.6 150.254.0.7 150.254.0.7 150.254.0.7 150.254.0.8 150.254.0.8 150.254.0.8 Tablice routingu dla pozostałych ruterów w sieci będą posiadały jeden dodatkowy wpis, przekierowujący ruch do głównego rutera kampusu o adresie 150.254.0.1. (5) R oz mi e sz c z e nie s er w er ó w s i e ci o w y c h Podczas rozmieszczania serwerów oparto się na treści zadania, że każdy z instytutów będzie stanowić na tyle odrębną jednostkę, że będzie posiadać swój własny uniwersalny serwer. Uniwersalność tego urządzenia ma polegać na tym, aby serwer ten świadczył usługi: • DHCP (hynamic host configuration protocol); • DNS (domain name system); • www instytutu; • prywatnych kont jego użytkowników (pracowników i studentów); • inne, dodane w przyszłości. Zakłada się zatem lokalność odwołań do takich serwerów, np. podczas zajęć studenckich lub podczas pracy naukowców i sekretariatu instytutu. Przyjęto także, że cała uczelnia (kampus) będzie dysponować jeszcze jednym takim serwerem świadczącym usługi: • DNS dla całej uczelni; • monitorowania sieci i zbierania statystyk; • www (strona główna uczelni); • proxy dla całego kampusu. Ma to na celu ograniczenie ruchu wewnątrz sieci kampusowej. Rozmieszczenie opisanych powyżej na mapie kampusu serwerów przedstawia poniższy rysunek. Ilustracja 2: Rozmieszczenie serwerów w kampusie (6) Plan b ezpie c z e ń st wa si e ci • • • • Stworzone i wdrożone zostaną odpowiednie polityki bezpieczeństwa, które w jasny i jednoznaczny sposób określą wymagania nakładane na poszczególne aspekty związane z bezpieczeństwem, takie jak: uprawnienia i kompetencje administratorów, zarządzanie konfiguracją, fizyczny dostęp do urządzeń, polityka haseł dostępowych, sposób monitorowania bezpieczeństwa, metody egzekwowania polityki bezpieczeństwa, itd. Wszystkie pomieszczenia, w których znajdują się urządzenia sieciowe będą fizycznie zamknięte i zabezpieczone alarmem. Dostęp do pomieszczeń będą miały tylko uprawione osoby. Wszelkie zmiany w sieci będą na bieżąco dokumentowane i zarządzane, co oznacza konieczność przechowywania wszystkich historycznych kopii plików konfiguracyjnych elementy infrastruktury sieciowej będą w miarę możliwości redundantne, tak aby w razie awarii sieć przełączyła się na urządzenia działające samoistnie. Jeśli będzie to niemożliwe z • • • • • przyczyn technicznych (np. przerwanie traktu światłowodowego) lub finansowych, krytyczne elementy (np. moduły routerów/przełączników) będą trzymane w zapasie, tak aby możliwe było ich natychmiastowe zastąpienie firewall zostanie zrealizowany na poziomie sieci instytutowych. Cały ruch wewnętrzny i zewnętrzny będzie filtrowany na poziomie VLANów wg. Lokalnych potrzeb i polityk bezpieczeństwa. Dostęp do sieci bezprzewodowej instytutów możliwy będzie jedynie dla uprawnionych osób posiadających odpowiedni certyfikat wydany przez Centrum Zarządzania Siecią (CZS) kampusową lub poszczególne instytuty. Ruch w tych sieciach będzie szyfrowany. na potrzeby każdego instytutu zostanie przeznaczona pewna pula sieci VLAN, w celu odseparowania ruchu wrażliwych sieci (np. podsieci pracowników uczelni od sieci laboratoryjnych) wszystkie urządzenia aktywne sieci będą zarządzalne, a na przełącznikach dostępowych realizowany będzie mechanizm port security, który uniemożliwi podłączanie do sieci nieznanych urządzeń; planuje się dopuszczać następujący ruch na interfejsach głównego rutera kampusowego: protokoły pop3, smtp, http, ssh oraz port 8080. (7) Plan zarzą dzania s i e ci ą Zarządzanie siecią szkieletową kampusu będzie leżało w zakresie kompetencji administratorów Centrum Zarządzania Siecią (CZS). CZS będzie wyposażone w oprogramowanie do monitorowania poprawnej pracy sieci w celu szybkiego diagnozowania problemów i przewidywania sytuacji awaryjnych jeszcze zanim one wystąpią. W tym celu wszystkie urządzenia sieciowe będą monitorowane z wykorzystaniem wydzielonych VLANów administracyjnych. Jako platforma monitoringu zostanie wykorzystane oprogramowanie HP OpenView. W poszczególnych instytutach za prawidłowe funkcjonowanie sieci będą odpowiedzialni administratorzy instytutowi. W zakresie ich obowiązków będzie leżało monitorowanie oraz zapewnianie poprawnego działania sieci instytutowej. W przypadku problemów leżących na granicy ich kompetencji powinni kontaktować się z administratorami CSK w celu możliwie szybkiego rozwiązania problemu. III. Projekt fizyczny sieci (8) Do b ór s przętu Urządzenie Product # 3Com® 3C13880 Router 6080 Zastosowanie Liczba Uwagi Główny router sieci kampusowej 1 Dodatkowo: • 3Com Router Processing Unit (Product #: 3C13804) • 2 karty 3Com® Router 1-Port 10/100/1000 MIM • 5 kart 3Com® Router 1-Port Gigabit Ethernet Fiber FIC (Product #: 3C13879) • 3Com® Router 6000 Power Supply (Product #: 3C13801 ) 3Com® router 6040 3C13840 Główny router instytutowy 5 Dodatkowo: • 3Com Router Processing Unit (Product #: 3C13804) • 3 karta 3Com® Router 1-Port 10/100/1000 MIM • 1 karta 3Com® Router 1-Port Gigabit Ethernet Fiber FIC • 3Com® Router 6000 Power Supply (Product #: 3C13801 ) 3Com® Switch 7758 3C16896 Główny switch szkieletowy 1 Dodatkowo: • 3Com® Switch 7750 96 Gbps Switch Fabric (Product #: 3C16886) • 3Com® Switch 7750/7700 20-port 1000BASE-X Module (Product #: 3C16862A ) • 3Com® switch 5500 3CR1725091 Główny switch budynkowy 10 3Com® SuperStack ® 3 Switch 3870, 24Port 3CR1745091 Switch dostępowy 150 Telefony VoIP 1000 Access point 30 3Com® 3101 3C10401A Basic Phone 3Com® AP 2750 3CRWX27 5075A Alvarion Terminal Station Base Unit 500506 Urządzenie dostępowe (ALV-WK- do połączenia TS26-28AC- radiowego LMDS 2ETH) 1 8 transceiverów Sfp - 3Com® 1000BASE-SX SFP Transceiver (3CSFP91) Dodatkowo: • 3 * 3Com® 1000BASE-SX SFP Transceiver (Product #: 3CSFP91) Dodatkowo: • Antena TS-RFU 28GHz Band D firmy Alvarion 300551 (ALV-WKTS-RFU-28D-VH-2F) 3COM router 6080 Slots: eight slots for optional FICs (Flexible Interface Cards); two power supply slots, 1 fan slot • Routing functionality and ports: provided by the 3Com Router Processing Unit (required, ordered separately): • WAN Interfaces: Frame Relay, ISDN PRI, X.25, E1/E3, T1/T3, V.24, V.35, X.21, HDLC/SDLC, leased line, synchronous, asynchronous, ATM, ADSL Routing: IP, IPX, RIP v1 and v2, OSPF, BGP-4, MPLS, IS-IS, multicast routing Security: VPN (L2TP, GRE, IPSec), MPLS VPN, stateful firewall, ACLs, NAT, RADIUS, PAP/CHAP, encryption (DES, 3DES, AES) Convergence: QoS, Multicast (IGMP, PIM-SM, PIM-DM), IEEE 802.1q VLAN, InterVLAN Routing, multilinks Resilience: hot-swappable modules, redundant power, dual software images, VRRP (Virtual Router Redundancy Protocol), Backup Center (Configuration / Port), Dial Control Center, multilink Ports: 2 x 10/100BASE-TX (RJ-45); one each console and AUX serial • • • • • 3COM router 6040 • Slots: four slots for optional FICs (Flexible Interface Cards); two power supply slots, 1 fan slot • Routing functionality and ports: provided by the 3Com Router Processing Unit (required, ordered separately): • WAN Interfaces: Frame Relay, ISDN PRI, X.25, E1/E3, T1/T3, V.24, V.35, X.21, HDLC/SDLC, leased line, synchronous, asynchronous, ATM, ADSL Routing: IP, IPX, RIP v1 and v2, OSPF, BGP-4, MPLS, IS-IS, multicast routing Security: VPN (L2TP, GRE, IPSec), MPLS VPN, stateful firewall, ACLs, NAT, RADIUS, PAP/CHAP, encryption (DES, 3DES, AES) Convergence: QoS, Multicast (IGMP, PIM-SM, PIM-DM), IEEE 802.1q VLAN, InterVLAN Routing, multilinks Resilience: hot-swappable modules, redundant power, dual software images, VRRP (Virtual Router Redundancy Protocol), Backup Center (Configuration / Port), Dial Control Center, multilink Ports: 2 x 10/100BASE-TX (RJ-45); one each console and AUX serial • Dimensions: • Height: 130.5 mm (5.1 in) • • • • • • • • • Width: 436.2 mm (17.2 in) Depth: 420.0 mm (16.5 in) Weight: 17.5 kg (38.6 lb) Input voltage: 100 to 240 VAC, 240W 3Com® Switch 7758 • • • • • • • Module slots: one switch fabric, six payload Ports: Up to 288 Fast Ethernet, 292 Gigabit Ethernet, or six 10-Gigabit Ethernet Media interfaces: (available on switching modules and/or switch fabric) 1000BASE-X (via SFPs or GBICs), 1000BASE-T (RJ-45), 10/100BASE-TX (RJ-45), 10/100/1000BASE-T (RJ-45), 100BASE-FX (MT-RJ), 10GBASE-X (via XENPAKs) Power over Ethernet: Switch backplane is PoE-ready Device management: 3Com Enterprise Management Suite or 3Com Network Director (purchased separately) is recommended. For smaller networks, graphical management of the device can be done with 3Com Network Supervisor. Management via CLI, Telnet, console port, modem dial-up and SNMP is standard with the device. Dimensions: Height: 48.6 cm (19.1 in); width: 43.6 cm (17.2 in); depth: 48.0 cm (18.9 in) Max. power consumption: 550 Watts 3 Com® switch 5500 ● Ports: 24 auto-negotiating 10BASE-T/100BASE-TX/1000BASE-T ports, 4 of which are dual-personality operating as 10/100/1000 or Gigabit SFP; RPS power port (-48 VDC); RJ45 console port; 2 dedicated stacking ports; 1 optional module slot ● Performance: 184.0 Gbps switching capacity, 136.9 Mpps forwarding rate, maximum (with 2-port 10-Gigabit module); 107.1 Mpps forwarding rate, maximum (with no optional modules) ● Stacking: Up to 8 switch units, 448 Gigabit ports, with 16 10-Gigabit ports; 3Com XRN® Stacking linked in active/active load-sharing configuration via built-in dedicated 48 Gbps stacking ports (96 Gbps full duplex) ● Layer 2: IEEE 802.Q VLANs, 802.3ad LACP, 802.3x full-duplex flow control, 802.1D STP, 802.1w RSTP, Fast Start with BDPU protection, IGMP v1/v2 multicast filtering ● Layer 3: Hardware-based routing, ECMP, ARP, virtual interfaces, static/dynamic routing, RIPv1/v2, OSPF, ASIC Layer 3 forwarding, PIM-DM, PIM-SM, IGMP v1/v2 snooping, DHCP Relay ● Resiliency: IEEE 802.3ad LACP, hot-swappable switch units, DC RPS provides N+1 power redundancy, seamless failover between AC and DC modes ● Convergence: Weighted Round Robin/Fair/Strict Priority Queuing, IEEE 802.1p Class of Service/Quality of Service (CoS/QoS), IPv6 classification, prioritization and filtering, ingress/egress rate limiting, webcache-based bandwidth management ● Security: RADIUS; PAP/CHAP/EAPoL (EAP over LAN) authentication; session accounting; SSHv1.5; Access Control Lists; packet filtering; SNMP v3 encryption, IEEE 802.1X Network Login; authentication, VLAN autoinitiation and QoS profiling; multilevel access privileges; administrative password recovery; management activity logs ● Operating system: 3Com Operating System; shared with 3Com Switch 8800, 7700 and Router 6000 ● 3Com management: 3Com Network Supervisor, 3Com Network Director, 3Com Enterprise Management Suite ● Other management: Web-based GUI, SNMP, telnet, CLI, RMON-1 (statistics, history, alarms, events), SMON, multiple software images, bank swap statistics gathering and reporting, remote polling/ping (unicast mode only), software backup/restore, Xmodem, FTP, TFTP, telnet, IP address allocation via manual/DHCP/BOOTP ● Network debugging tools: DHCP tracker, UDP helper, traceroute, 1-1 traffic mirroring (standalone unit only) ● Built-In power supply: 50/60 Hz AC; 90-240 VAC input; supports multiple power modes: AC-only, AC and DC, DC-only ● DC Redundant Power Supply (RPS): Available standards-based DC RPS designed by Eaton Powerware Corporation, leading provider of ● IEEE standards: IEEE 802.1D (STP), 802.1p (CoS), 802.1Q (VLANs), 802.1w (RSTP), 802.1X (Security), 802.3 (Ethernet), 802.3ad (Link Aggregation), 802.3ab (1000BASE-T), 802.3ae (10G Ethernet), 802.3i (10BASE-T), 802.3u (Fast Ethernet), 802.3x (Flow Control), 802.3z (Gigabit Ethernet) ● Standard: EN 60068 (IEC 68) ● Emissions: CISPR 22 Class A, FCC Part 15 Class A, EN 55022 1998 Class A, ICES-003 Class A, VCCI Class A, EN 61000-3-2 2000, 61000-3-3 ● Immunity: EN 55024 ● Safety agency certifications: UL 60950, IEC 60950-1, EN 60950-1, CAN/CSA-C22.2 No. 60950 ● Dimensions: Height: 43.6 mm (1.7 in or 1U); width: 440 mm (17.3 in), 450 mm (17.7 in) 3Com® SuperStack® 3 Switch 3870, 24-Port ● Total ports: 24 autosensing 10BASE-T/100BASE-TX/1000BASE-T ports (four of which are dual-purposed with the SFP slots); 4 SFP slots accommodating 1000BASE-SX, 1000BASELX and 1000BASE-LH SPFs (SFPs sold separately); console port; 2 stacking ports; 10Gigabit expansion slot ● Media interfaces: RJ-45 (switch device), LC (optional SFP), 10GBASE-X (via Xenpaks) ● Ethernet switching features: Full-rate nonblocking switching on all 1000 Mbps Ethernet ports; flow control; IEEE 802.1Q VLAN support; IEEE 802.1p traffic prioritization; IEEE 802.3ad Link Aggregation Control Protocol (10/100/1000 ports only); IEEE 802.1w Rapid Spanning Tree Protocol; IEEE 802.1X network login ● Ethernet Routing Features: Hardware-based routing; Static routes: 10; Dynamic / static ARP (Address Resolution Protocol) entries: 2,000 / 16 IP routing IP interfaces: 32; RIP (Routing Information Protocol), v1 and v2: 2K via default route plus 16 hardware based routes; Multicast Routing IGMP v1 and v2 snooping ● Ethernet switching performance: Wirespeed, forwarding rates up to 80 million pps; switching capacity of 108 Gbps ● Management: Web interface management, command line interface management, SNMP, 3Com Network Supervisor ● Height: 4.4 cm (1.7 in), or 1U ● Width: 44 cm (17.3 in) ● Depth: 41.5 cm (16.4 in) 3Com® Wireless LAN Managed Access Point 2750 • • • • • • • • • • Total Ports: One 10BASE-T/100BASE-TX integrated 802.3af-compatible PoE port with auto-negotiation Media Interfaces: RJ-45, 802.11a, 802.11b, 802.11g, DB-9 Frequency Band: 802.11a: 5 GHz , 802.11b/g: 2.4 GHz Operating Channels: Channel availability depends on local country regulations. Wireless LAN system administrator must choose correct country of operation. Channels are then automatically configured to comply with specified country's regulations Operating Range: 802.11a: up to 50 meters (164 feet) transmit and receive; 802.11b/g: up to 100 meters (328 feet) transmit and receive Power Consumption: 6W maximum (PoE port or external power adapter) Security: 40/64 and 104/128-bit WEP encryption, TKIP WPA and WPA2 (802.11i/RSN) 64/128-bit AES encryption; multiple broadcast SSID support at the MAP; IEEE 802.1X network login; IEEE 802.11i or 802.1X RADIUS authentication; ACL and VLAN support at the WLAN switch LEDs: Power, 10/100 Mbps Link status, 802.11a, 11b, or 11g Activity Dimensions and Weight: Height: 16.6 cm (6.5 in) Width: 8.3 cm (3.25 in) Depth: 3.2 cm (1.25 in) Weight: 200g (7.0 oz) Management: Central management with Web browser via local console or remotely over SSL or HTTPS; command line interface via local console or remotely over SSH v2 or Telnet; 3Com® Wireless Switch Manager Alvarion Terminal Station – Base Unit • liczba portów: 2 x Ethernet (10/100 BaseT) • zakres częstotliwości: 10.5, 26, 28GHz • zasilanie 220V • 33 cm dish • 28x20x10 cm including antenna • IP, Leased Line, TDM Voice (9) Pr o p o n o wa na fizy czna to p ol o gia si e ci W celu zrealizowania założeń projektu przyjęto następujące media transmisyjne w segmentach budowanej sieci: ● ● ● ● całość okablowania i złącz zostanie wykonana zgodnie z normą EIA/TIA 568a kategorii 6; okablowanie poziome zostanie zrealizowane za pomocą skrętki czteroparowej nieekranowanej; nie ma potrzeby stosowania kabla ekranowanego; planuje się nabyć dla punktów dostępowych anteny o zasięgu dookólnym 15,5m; w celu maksymalnego wykorzystania pasma radiowego zastosowanych bezprzewodowych punktów dostępowych, planuje się umieszczenie trzech takich urządzeń w jednym budynku. Każdy z nich będzie pracować na jednym kanale, to znaczy przypisane im zostaną kanały numer 1, 6 i 11; Poniższy rysunek przedstawia plan rozmieszczenia punktów dostępowych dla parteru każdego z budynków kampusu. Ilustracja 3: Plan pokrycia anten punktów dostępowych dla parteru każdego z budynków kampusu (10) Pr oj e kt o k a bl o wa nia strukturaln e g o Bazując na treści zadania, na schemacie logicznym oraz założeniach projektu stworzono plan połączeń pomiędzy budynkami, w którym w szczególności: ● podłączenie kampusu do internetu oraz główny serwer uczelni znajduje się w budynku E9 (IF), skąd prowadzona jest większość włókien; ● każdy instytut ma jeden wyróżniony budynek, w którym znajduje się jego serwer; inne budynki, które zajmuje ten sam instytut zostaną podłączone do serwera instytutowego osobnymi włóknami; ● Plan połączeń między budynkami wraz z odległościami wygląda następująco: Ilustracja 4: Trakty światłowodowe na terenie kampusu W celu zapewnienia odpowiedniego poziomu redundancji, wykonany został dodatkowy przecisk pod jezdnią znajdującą się na kampusie, oznaczony czerwonym odcinkiem na powyższej ilustracji. Projekt okablowania strukturalnego każdego z budynków sprowadza się do zaprezentowania traktów kablowych dla obu pięter jednego budynku. Przedstawia to poniższa ilustracja. Ilustracja 5: Rzuty parteru i piętra budynków w kampusie Na powyższej ilustracji przedstawiono wymiary budynku, układ pomieszczeń, numerację pomieszczeń, na czerwono planowane trakty kablowe, umiejscowienie głównego punktu dostępowego (MDF) na parterze oraz pośredniego punktu dostępowego na piętrze, jak również położenie przełączników używanych do grupowania komputerów w budynku. Poniższy rysunek przedstawia przypisanie pokoju do przełącznika (kolor pokoju odpowiada kolorowi przypisanego do niego przełącznika). Numeracja gniazd w pokoju odbywa się zgodnie z kierunkiem ruchu wskazówek zegara, rozpoczynając od lewego dolnego narożnika każdego z pomieszczeń, patrząc na to pomieszczenie z góry. Poniższy rysunek ilustruje to na przykładzie sali laboratoryjnej oraz pomieszczenia dla pracowników z i bez punktu dystrybucyjnego. Ilustracja 6: Plan numeracji gniazd w sali laboratoryjnej Ilustracja 7: Plan numeracji gniazd w pomieszczeniach dla pracowników Na poniższym rysunku przedstawiono trakty kablowe w okablowaniu pionowym. Ilustracja 8: Trakty kablowe w okablowaniu pionowym Punkty dy strybucyjne Najważniejszy z punktu widzenia poprawnego funkcjonowania całej sieci punkt dystrybucyjny umieszczony został w budynku IF, na dachu którego zestawiony został most bezprzewodowy do sieci MAN. Każdy z instytutów posiada co najmniej jeden punkt dystrybucyjny MDF oraz kilkanaście punktów IDF. Punkty MDF w głównym budynku danego instytutu składają się z routera 3Com 6040 oraz switch 3Com 5500. Jeżeli instytut rozlokowany jest w kilku budynkach, w każdym z pozostałych jest jeden współdzielony z innym instytutem MDF składający się wyłącznie ze switch 3Com 5500. Małe punkty IDF znajdują się w każdej sali wykładowej oraz w co czwartym pomieszczeniu pracowniczym. Dokładny typ i koszt szaf przedstawiony został w kosztorysie. IV. Dodatki (11) Harm o n o gra m i k o s zt or y s Harmonogram prac Tydzień Wykonywane prace 1 ● ● ● 2 ● ● ● ● ● 3 ● ● 4 5 Instalacja okablowania szkieletowego światłowodowego (ułożenie kabli w istniejących traktach kablowych oraz wykonanie przebicia pod jezdnia) – firma zewnętrzna zestawienie mostu radiowego do sieci MAN oraz skonfigurowanie głównego routera i switcha w Instytucie Fizyki – zespół zarządzania siecią kampusową instalacja okablowania strukturalnego w budynkach – firmy zewnętrzne dalszy ciąg instalacji okablowania szkieletowego testy okablowania szkieletowego – zespół zarządzania siecią komputerową konfiguracja urządzeń szkieletowych znajdujących się w poszczególnych budynkach – zespół zarządzania siecią komputerową testy okablowania strukturalnego w budynkach – administratorzy instytutowi instalacja i konfiguracja urządzeń sieciowych znajdujących się w poszczególnych budynkach – administratorzy instytutowi instalacja i konfiguracja urządzeń sieciowych znajdujących się w poszczególnych budynkach – administratorzy instytutowi testy całej sieci – administratorzy instytotowi oraz zespół zarządzania siecią kampusową ● Instalacja i konfiguracja serwerów sieciowych instytutach, testy – administratorzy instytutowi podpięcie do sieci stacji roboczych użytkowników ● Testy i monitorowania pracy sieci pod obciążeniem ● w poszczególnych Ko sztory s elementów aktywnych Ceny urządzeń aktywnych określone zostały z wykorzystaniem dostępnych w internecie serwisów porównujących ceny. Urządzenie 3Com® Router 6080 3Com® Router Processing Unit 3Com® Router 1-Port 10/100/1000 MIM 3Com® Router 1-Port Gigabit Ethernet Fiber FIC 3Com® Router 6000 Pow er Supply 3Com® Router 4-Port Channelized E1/PRI FIC 3Com® router 6040 3Com® Switch 7758 3Com® Switch 7750 96 Gbps Switch Fabric 3Com® Switch 7750/7700 20-port 1000BASE-X Module 3Com® 1000BASE-SX SFP Transceiver 3Com® switch 5500 3Com® SuperStack® 3 Sw itch 3870, 24-Port 3Com® 3101 Basic Phone 3Com® AP 2750 Alvarion TS-RFU 28GHz Band D Antenna 300551 Alvarion Terminal Station Base Unit Product # 3C13880 3C13804 3C13774 Liczba 1 2 3 3C13879 3C13801 4 2 2700,00 400,00 10800,00 800,00 3C13866 1 1 1 1 2000,00 2000,00 8000,00 5000,00 2000,00 2000,00 8000,00 5000,00 1 6 10 150 1000 30 4000,00 200,00 4500,00 3500,00 120,00 200,00 4000,00 1200,00 45000,00 525000,00 120000,00 6000,00 1 3400,00 3400,00 1 2400,00 Suma: 3C13840 3C16896 3C16886 3C16862A 3CSFP91 3CR17250-91 3CR17450-91 3C10401A 3CRWX275075A ALV-WK-TS-RFU28D-VH-2F ALV-WK-TS26-28AC2ETH Cena jedn. Cena [USD] 3100,00 3100,00 2300,00 4600,00 2200,00 6600,00 2400,00 749900,00 Ko sztory s dzierż awy łą cz Korzystając z oferty Poznańskiego Centrum Superkomputerowo-Sieciowego oraz oferty firmy Crowley, sporządzono poniższe zestawienie kosztów instalacji i dzierżawy łącz. Łącze LMDS Fast Ethernet (światłowód) Prędkość 144 Mbps 100 Mbps Liczba Dostawca Cena instalacji Abonament (bez VAT) 1 Crowley (crowley.pl) ok. 4500 zł 2 Poznańskie Centrum SuperkomputerowoSieciowe Negozjowany (1Mbps kosztuje 1000 zł.) ok. 4700 zł Cena negocjowana Ko sztory s elementów pa sywnych Przy wyliczaniu długości potrzebnych kabli przyjęto nadmiary: ● 25 cm dla każdego gniazda; ● 10% dla całości okablowania wewnątrz budynków; ● 10 metrów dla każdego połączenia światłowodowego. (12) M et o d y ka te st o wa Gruntowne przetestowanie nowozainstalowanej sieci jest niezwykle ważne. Testy muszą zostać wykonane po każdym znaczącym etapie projektowym, jako podstawa do odebrania wykonanych robót. W celu solidnego i pełnego przetestowania działania całej sieci niezbędne jest zaplanowanie i systematyczna realizacja testów poszczególnych elementów składowych sieci. Poprawność działania sieci musi zostać sprawdzona w 4 pierwszych warstwach modelu OSI: ● warstwa fizyczna: ○ sprawdzenie zgodności wykonania z projektem okablowania (z wykorzystaniem dokumentacji projektowej) ○ zbadanie jakości instalacji okablowania w traktach kablowych ○ pomiar wszystkich znaczących i zdefiniowanych w standardach parametrów kabli światłowodowych oraz miedzianych oraz analiza uzyskanych wyników pod kątem zgodności ze standardami (wykorzystanie odpowiednich urządzeń pomiarowych) ○ sprawdzenie jakości dokumentacji wykonawczej ● warstwa łącza danych ○ sprawdzenie wzajemnych połączeń pomiędzy urządzeniami pod kątem zgodności z projektem – zgodność z dokumentacją ○ sprawdzenie poprawności działania protokołu STP ○ sprawdzenie działania sieci pod obciążeniem – monitoring pod kątem problemów ze zbyt dużą liczbą kolizji, błędnymi ramkami, nieprawidłową segmentacją i podziałem na domeny rozgłoszeniowe ● warstwa sieciowa/warstwa transportowa ○ sprawdzenie zgodności adresacji z dokumentacją ○ sprawdzenie protokołu i tabel routingu ○ sprawdzenie osiągalności poszczególnych maszyn ○ sprawdzenie konfiguracji VLANów ○ sprawdzenie poprawności reguł firewalli