biuro projektowe network
Transkrypt
biuro projektowe network
____________________________________________________________________________ BIURO PROJEKTOWE NETWORK 62-800 Kalisz, ul. Piskorzewie 6 Zleceniodawca: Inwestor: Firma Handlowa SATURNET Sp. z o.o. Firma Handlowa SATURNET Sp. z o.o. PROJEKT SIECI KOMPUTEROWEJ DLA FIRMY HANDLOWEJ SATURNET SPÓŁKA Z OGRANICZONĄ ODPOWIEDZIALNOŚCIĄ Zespół projektowy pod nadzorem mgr Roberta Stasika w składzie: Bartczak Tomasz Bembel Artur Bierła Katarzyna Chaczyński Dawid Cichowicz Przemysław Gibas Łukasz Gomułka Artur Kliber Karol Korn Ryszard Małyjasiak Mateusz Nagórny Bartłomiej Przybył Elżbieta Tanaś Małgorzata Wrzesińska Anna Kalisz, czerwiec 2005 strona 1/1 ____________________________________________________________________________ 1 UMOWA O WYKONANIE PROJEKTU NR 1/2005 ..............................................8 2 AUDYT ................................................................................................................11 2.1 AKTUALNA STRUKTURA PERSONELU FIRMY I STANY OSOBOWE PRZEDSTAWIA SIĘ NASTĘPUJĄCO: ..........................................................................................................11 2.2 OPIS STANU POCZĄTKOWEGO ZASOBÓW TECHNICZNYCH W FIRMIE SATURNET ORAZ WSTĘPNY OPIS DZIAŁAŃ JAKIE ZOSTANĄ WYKONANE: ............................................12 2.3 3 4 HARMONOGRAM .............................................................................................14 OKABLOWANIE STRUKTURALNE...................................................................15 3.1 TOPOLOGIA SIECI ............................................................................................16 3.2 TECHNIKA ŚWIATŁOWODU ................................................................................17 3.3 OKABLOWANIE POZIOME ..................................................................................18 3.4 OKABLOWANIE PIONOWE .................................................................................20 3.5 NUMERACJA GNIAZDEK ....................................................................................23 3.6 ELEMENTY PASYWNE ......................................................................................24 3.7 TESTOWANIE OKABLOWANIA POZIOMEGO I PIONOWEGO ......................................25 OSPRZĘT AKTYWNY ........................................................................................28 4.1 SCHEMAT LOGICZNY STREFY DMZ I MDF.........................................................28 4.2 STREFA DMZ .................................................................................................29 4.2.1 5 SIEĆ WLAN ........................................................................................................37 5.1 PROPONOWANE ROZWIĄZANIA PROJEKTOWE .....................................................39 5.1.1 6 Dostęp do Internetu...............................................................................29 Dlaczego zdecydowano o wyborze sieci bezprzewodowej? .................39 5.2 STRUKTURA SIECI BEZPRZEWODOWEJ ..............................................................40 5.3 OPIS SYSTEMU TSUNAMI MP.11A. .....................................................................41 5.4 ZABEZPIECZENIE ODGROMOWE URZĄDZEŃ RADIOWYCH......................................43 5.5 BEZPIECZEŃSTWO SIECI RADIOWEJ...................................................................44 5.6 POMIARY POWYKONAWCZE LINKÓW RADIOWYCH................................................45 SERWERY ..........................................................................................................46 strona 2/2 ____________________________________________________________________________ 6.1 UZASADNIENIE WYBORU ..................................................................................47 6.2 ZDALNE ZARZĄDZANIE .....................................................................................48 6.3 OPROGAMOWANIE PRODUCENTA ......................................................................48 6.4 SYSTEM RAID................................................................................................49 7 OPROGRAMOWANIE SERWERÓW .................................................................49 7.1 SYSTEMY OPERACYJNE ...................................................................................49 7.2 SERWER WWW : APACHE ..............................................................................50 7.3 SERWER FTP : PROFTP ..................................................................................55 7.4 SERWER POCZTOWY : QMAIL ...........................................................................57 7.5 SERWER PROXY WWW : SQUID ........................................................................60 8 DOMENA INTERNETOWA.................................................................................62 8.1 SERWERY DNS ..............................................................................................63 8.2 CHARAKTERYSTYCZNE DOMENY DLA POSZCZEGÓLNYCH KRAJÓW........................63 9 PUNKT DOSTĘPOWY (HOTSPOT) ...................................................................64 9.1 ZADANIA I PRZEZNACZENIE URZĄDZENIA HOTSPOT ...........................................64 9.2 DANE TECHNICZNE ..........................................................................................65 9.3 KONFIGURACJA PUNKTU DOSTĘPOWEGO, PARAMETRY DOSTĘPOWE I BEZPIECZEŃSTWO SIECI. ............................................................................................67 9.3.1 Parametry dostępowe: ..........................................................................67 9.3.2 Zasady Dostępu do sieci przez AP: ......................................................68 9.4 CHARAKTERYSTYKA PROTOKOŁU RADIUS .......................................................70 9.5 FUNKCJONOWANIE PROTOKOŁU RADIUS .........................................................70 9.6 QOS (ANG. QUALITY OF SERVICE) ...................................................................71 9.7 ZASILANIE AP.................................................................................................72 10 POLITYKA BEZPIECZEŃSTWA.....................................................................73 10.1 DEFINICJA POLITYKI BEZPIECZEŃSTWA ..............................................................73 10.2 UWARUNKOWANIA PRAWNE .............................................................................73 10.3 ZAŁOŻENIA .....................................................................................................73 10.4 ANALIZA RYZYKA NA PODSTAWIE ARCHITEKTURY SIECI .......................................74 10.5 METODY ZABEZPIECZENIA SIECI .......................................................................78 10.6 STRATEGIE OCHRONY .....................................................................................79 strona 3/3 ____________________________________________________________________________ 10.6.1 Zapewnianie bezpieczeństwa dzięki wielowarstwowemu mechanizmowi ochrony 79 10.6.2 Różnicowanie typów mechanizmów ochrony ........................................80 10.6.3 Wydzielanie i monitorowanie punktów wymiany informacji systemu z otoczeniem ..........................................................................................................80 10.6.4 Automatyczne blokowanie się systemu w przypadku wykrycia włamania 80 10.6.5 Hierarchizacja uprawnień użytkowników systemu.................................81 10.6.6 Świadome kreowanie i eksponowanie "słabych punktów" ....................81 10.6.7 Określenie sposobu zaradzania systemem informatycznym.................81 10.6.8 Instrukcja postępowania w sytuacji naruszenia ochrony danych osobowych ..........................................................................................................84 11 PODŁOGI PODNIESIONE MODUŁOWE DLA POMIESZCZENIA MDF ........86 12 KLIMATYZACJA .............................................................................................91 12.1 UZASADNIENIE INSTALACJI KLIMATYZACJI – PODSTAWOWE PARAMETRY ...............91 12.1.1 Klimatyzacja precyzyjna ........................................................................93 12.1.2 Montaż klimatyzacji ...............................................................................93 13 OCHRONA FIZYCZNA....................................................................................94 13.1 14 SYSTEM AKARD ............................................................................................94 OCHRONA PRZECIWPOŻAROWA................................................................95 14.1 SPOSOBY ALARMOWANIA PSP ORAZ DYŻURNEGO ADMINISTRATORA I ELEKTRYKA 97 14.2 AEROZOLOWE GENERATORY GAŚNICZE...........................................................100 14.2.1 PRZEZNACZENIE I ZASTOSOWANIA ..............................................100 14.2.2 Elementy składowe. ............................................................................100 14.2.3 Własności fizyko-chemiczne. ..............................................................100 14.2.4 Toksyczność. ......................................................................................101 14.2.5 Możliwe zagrożenia.............................................................................101 14.2.6 Pierwsza Pomoc. ................................................................................101 14.2.7 Obsługa i przechowywanie..................................................................101 14.2.8 Osobiste zabezpieczenie przed czynnikami zewnętrznymi. ................102 14.2.9 Stabilność i reaktywność. ....................................................................102 14.2.10 Informacje ekologiczne. ...................................................................102 strona 4/4 ____________________________________________________________________________ 14.2.11 14.3 15 Wykaz certyfikatów polskich ............................................................102 DOBÓR ŚRODKA GAŚNICZEGO I STAŁEGO URZĄDZENIA GAŚNICZEGO .................102 SPECYFIKACJA PROPONOWANYCH ROZWIĄZAŃ TECHNICZNYCH....109 15.1 SPRZĘT I URZĄDZENIA DO BUDOWY SIECI WLAN .............................................109 15.1.1 STACJA BAZOWA TSUNAMI MP.11A BSU-R ZŁ. N ZEWN..............109 15.1.2 SATELITA TSUNAMI MP.11A SU-R Z ANTENĄ 23DBI ZEWN..........110 15.1.3 ANTENA MARS 5 GHZ 15DBI/120....................................................112 15.1.4 E1192 - PRZEWÓD KONCENTRYCZNY 50 OM H 1000 PE .............112 15.1.5 E84717 - WTYK N NA PRZEWÓD H-500/1000 KLAMPOWANY .......114 15.1.6 E9150 - Maszt antenowy aluminiowy wieża L-3300............................115 15.1.7 E9151 - Podstawa masztu wieża L-3300 ............................................117 15.1.8 E9152 - Głowica masztu wieża L-3300 ...............................................117 15.2 SERWERY ....................................................................................................118 15.2.1 Serwer SQL.........................................................................................118 15.2.2 Serwer e-mail ......................................................................................119 15.2.3 Serwer WWW, FTP.............................................................................120 15.3 ZESTAWY KOMPUTEROWE .............................................................................120 15.3.1 Zestaw 0..............................................................................................120 15.3.2 Zestaw 0a............................................................................................122 15.3.3 Zestaw 1..............................................................................................122 15.3.4 Zestaw 2..............................................................................................126 15.3.5 Zestaw 3..............................................................................................133 15.4 UPS’Y BIUROWE ...........................................................................................140 15.5 DRUKARKI ....................................................................................................142 15.5.1 HP LaserJet 2430t ..............................................................................142 15.5.2 HP LaserJet 1012 ...............................................................................144 15.5.3 OKI ML 3390 .......................................................................................145 15.5.4 HP DeskJet 6840 ................................................................................146 15.6 KARTA SIECIOWA ŚWIATŁOWODOWA ...............................................................148 15.7 RODZAJE PŁYT PODŁOGOWYCH ......................................................................150 15.8 CENTRALA MONITOROWANIA RC-4000...........................................................151 16 16.1 OPIS KONFIGURACJI SPRZĘTU ................................................................153 KONFIGURACJA SIECI RADIOWEJ.....................................................................153 strona 5/5 ____________________________________________________________________________ 16.2 KONFIGURACJA KOMPUTERA KLIENTA Z WINDOWS XP .....................................159 16.2.1 Konfiguracja Windows XP SP2 bez WPA ...........................................159 16.2.2 Konfiguracja Windows XP SP2 z WPA ...............................................160 17 ZALECENIA DOTYCZĄCE MONTAŻU I EKSPLOATACJI..........................161 17.1 OGÓLNE ZALECENIA DOTYCZĄCE KONSERWACJI PODŁOGI TECHNICZNEJ ............161 17.2 ZALECANE CZYNNOŚCI ZWIĄZANE Z MONTAŻEM I INSTALACJĄ URZĄDZENIA TSUNAMI 163 17.2.1 MONTAŻ .............................................................................................163 17.2.2 PODŁĄCZANIE KABLI DO 5054-R.....................................................165 17.2.3 POŁĄCZENIE SERIAL........................................................................166 17.2.4 PODŁĄCZENIE ANTENY ZEWNĘTRZNEJ........................................167 17.2.5 USTAWIENIE ANTENY ......................................................................167 17.2.6 INSTALACJA DOKUMENTACJI I OPROGRAMOWANIA...................168 17.2.7 DOSTĘP PRZEZ PRZEGLĄDARKĘ (WEB INTERFACE) ..................168 17.2.8 DOSTĘP PRZEZ LISTĘ KOMEND (COMMAND LINE INTERFACE).168 17.3 SPOSOBY MONTAŻU PODŁOGI PODNIESIONEJ...................................................169 17.4 ZALECENIA I PODSTAWA PRAWNA DOTYCZĄCE STOSOWANIA STAŁYCH ŚRODKÓW GAŚNICZYCH ...........................................................................................................172 18 KOSZTORYS ................................................................................................173 19 DOKUMENTY DODATKOWE .......................................................................173 19.1 REGULAMIN KORZYSTANIA Z DOSTĘPU DO SIECI PRZEZ PUNKT DOSTĘPOWY FIRMY SATURNET.............................................................................................................173 19.2 DOKUMENTY DOTYCZĄCE POSTĘPOWANIA OCHRONY FIZYCZNEJ .......................175 19.3 ZAKRES OBOWIĄZKÓW PRACOWNIKA OCHRONY ...............................................175 19.4 TOK POSTĘPOWANIA PRACOWNIKÓW OCHRONY PRZY PRZYJMOWANIU - ZDAWANIU SŁUŻBY NA OBIEKCIE (POSTERUNKU) .........................................................................177 19.5 INSTRUKCJA WSPÓŁDZIAŁANIA PRACOWNIKÓW OCHRONY Z POLICJĄ I STRAŻĄ POŻARNĄ ................................................................................................................181 19.6 UMOWY .......................................................................................................183 20 LEKSYKON...................................................................................................184 21 SPIS RYSUNKÓW ........................................................................................186 strona 6/6 ____________________________________________________________________________ 22 SPIS TABEL..................................................................................................186 23 SPIS ZAŁĄCZNIKÓW ...................................................................................187 strona 7/7 ____________________________________________________________________________ 1 Umowa o wykonanie projektu nr 1/2005 Zawarta w dniu 19 marca 2005 r. W Kaliszu pomiędzy: Firmą Handlową SATURNET Spółka z o.o. z siedzibą w Kaliszu przy ul. Nowy Świat 54, reprezentowaną przez: 1. Jana Kowalskiego – prezesa zarządu, 2. Krzysztofa Nowaka – członka zarządu, zwaną dalej Zleceniodawcą, a Biurem Projektowym NETWORK z siedzibą w Kaliszu przy ul. Piskorzewie 6 reprezentowanym przez: 1. Jacka Kowala zwanym dalej Zleceniobiorcą, o treści: §1 1. Zleceniodawca powierza, a zleceniobiorca zobowiązuje się do: • • przygotowania projektu sieci komputerowej w Firmie SATURNET Spółka z o.o. wykonanie sieci komputerowej w Firmie SATURNET Spółka z o.o. zgodnie z opracowanym i zatwierdzonym projektem 2. Sieć komputerowa, o której mowa w ust. 1 obejmuje trzy budynki: • • • Biurowiec 1; ul. Nowy Świat 54 Biurowiec 2; ul. Poznańska 24 Magazyn; ul. Ostrowska 5 §2 Zleceniobiorca zobowiązany jest w szczególności do: 1) analizy stanu faktycznego istniejącej sieci; 2) opracowania projektu modernizacji istniejącej sieci komputerowej; 3) opracowania projektu nowej sieci komputerowej z uwzględnieniem wymogów zleceniobiorcy; 4) wykonania modernizacji istniejącej sieci komputerowej w biurowcu 1; 5) wykonania nowej sieci komputerowej w biurowcu 2; 6) wykonania nowej sieci komputerowej w magazynie; strona 8/8 ____________________________________________________________________________ §3 Zleceniodawca zobowiązuje się do udostępnienia Zleceniobiorcy wszelkich dokumentów i informacji, niezbędnych do należytego wykonania niniejszej umowy. §4 Wykonawca ma prawo powierzyć wykonanie dzieła innej osobie. W takim przypadku jest on odpowiedzialny za jej działania jak za własne. §5 Termin wykonania kompletnego projektu strony ustalają na dzień 18 czerwca 2005 r. Termin wykonania sieci komputerowej strony ustalają na dzień 17 lipca 2005 r. §6 Odbiór nastąpi na podstawie protokołu przekazania spisanego w obecności przedstawicieli Zleceniodawcy i Zleceniobiorcy. §7 1. Zleceniobiorca udziela gwarancji na wykonane dzieło na okres 24 miesięcy od daty odbioru. 2. W okresie gwarancji Zleceniobiorca zobowiązuje się do usunięcia wad na koszt własny w terminie 14 dni od dnia powiadomienia o ich ujawnieniu. §8 1. W razie zwłoki w wykonaniu dzieła Zleceniodawcy przysługuje kara umowna w wysokości 0,05 % wartości dzieła za każdy dzień zwłoki. 2. W razie wystąpienia zwłoki w wykonaniu dzieła, Zleceniodawca może wyznaczyć Zleceniobiorcy dodatkowy termin wykonania dzieła z zachowaniem prawa do kary umownej, strona 9/9 ____________________________________________________________________________ §9 Tytułem wynagrodzenia Zleceniodawca zapłaci Zleceniobiorcy kwotę 30 000 złotych netto (słownie: trzydzieści tysięcy złotych) za wykonanie projektu sieci komputerowej. Zapłata wynagrodzenia nastąpi na podstawie faktury VAT wystawionej przez Zleceniobiorcę na jego rachunek bankowy Pekao o/Kalisz 45 2586 2368 1452 5698 2589 3654, w terminie 14 dni od dnia otrzymania faktury przez Zleceniodawcę. Za dzień zapłaty uważany będzie dzień obciążenia Zleceniodawcy. §10 W sprawach nie uregulowanych niniejszą umową zastosowanie mają przepisy Kodeksu Cywilnego. §11 Zmiana niniejszej umowy wymaga formy pisemnej pod rygorem nieważności. § 12 Umowę sporządzono w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze stron. ........................................ .......................................... Podpis Zleceniodawcy Podpis zleceniobiorcy strona 10/10 ____________________________________________________________________________ 2 Audyt Firma SATURNET jest firmą handlową, zajmującą się sprzedażą akcesoriów i podzespołów komputerowych. Ponieważ w jej skład wchodzi również agencja reklamowa, firma świadczy również usługi w zakresie opracowań projektów reklamowych. 2.1 Aktualna struktura personelu firmy i stany osobowe przedstawia się następująco: Prezes Dyrektor ds. ekonomicznych Dyrektor ds. handlowych Kierownik agencji reklamowej Dział ekonomiczny Dział sprzedaży Graficy Dział kadrowy Dział zaopatrzenia Projektanci Public Relation Dział reklamacji Dział obsługi firmy Obsługa magazynu Specjalista ds. BHP Serwis Dział informatyczny Dział marketingu Dział księgowości Radca prawny Biuro obsługi zarządu strona 11/11 ____________________________________________________________________________ Prezes 1 Dyrektor ds. ekonomicznych 1 Dział ekonomiczny 5 Dział kadrowy 4 PR 2 Dział marketingu 3 Dział księgowości 11 Dyrektor ds. handlowych 1 Dział sprzedaży 15 Dział zaopatrzenia 15 Dział reklamacji 3 Obsługa magazynu 15 Serwis 8 Kierownik agencji reklamowej 1 Graficy 5 Projektanci 2 Dział informatyczny 3 Radca prawny 1 Biuro obsługi zarządu 3 Specjalista ds. BHP 1 2.2 Opis stanu początkowego zasobów technicznych w firmie SATURNET oraz wstępny opis działań jakie zostaną wykonane: Firma posiada jeden budynek magazynowy (MAGAZYN usytuowany przy ulicy Ostrowskiej 5), jeden używany budynek biurowy (BUDYNEK1 usytuowany przy ulicy Nowy Świat 54) oraz nowo wybudowany drugi budynek biurowy (aktualnie niewykorzystywany BUDYNEK2 usytuowany przy ulicy Poznańskiej 26); odległość strona 12/12 ____________________________________________________________________________ między budynkami wynosi 3km, aktualne połączenie komputerowe między magazynem i biurowcem BUDYNEK1 realizowane jest po kablu BNC. W we wszystkich budynkach istnieje nowoczesna sieć energetyczna z separowanymi tablicami i gniazdkami dedykowanymi wyłącznie dla komputerów z zabezpieczeniami przeciwprzepięciowymi i filtrami. W używanym budynku BUDYNEK1 istnieje sieć komputerowa z wyjściem Internetowym oferowanym przez firmę Netia SA „Net24 Premium” o prędkości 640kb/s. Używane są komputery oparte na procesorze AMD Duron 800MHz (załącznik nr - Zestaw 0 specyfikacji). Komputery mają licencje stanowiskowe na system operacyjny Windows 98SE, pakiet Office oraz oprogramowanie używane w księgowości. Budynek wyposażony jest również w działającą sieć telefoniczną opartą o automatyczną centralę telefoniczną (cztery linie wyjściowe z automatycznym przejściem, realizacja połączeń wewnętrznych). Według założeń projektowych istniejąca sieć w tym budynku zostanie całkowicie zastąpiona nową siecią z okablowaniem wykonanym w pełni w technologii światłowodowej. Zostaną postawione trzy serwery – jeden MDF i dwa IDF – po jednym na każdej używanej kondygnacji oraz punkt dostępowy sieci bezprzewodowej. Używane stacje komputerowe działu ekonomicznego zostaną zmodernizowane poprzez zwiększenie pamięci operacyjnej o 256MB oraz instalację nowgo systemu operacyjnego Windows XP Proffesional. Komputery agencji reklamowej, działu informatycznego oraz zarządu zostaną wymienione na nowe (załącznik nr - Zestaw 1 specyfikacji dedykowany dla grafików oraz załącznik nr - Zestaw 2 dla informatyków i zarządu). Istniejące łącze internetowe zostanie przeznaczone do wykorzystania jako Backup. W magazynie znajduje się pięć bezdyskowych stacji terminalowych (załącznik nr - Zestaw 0a specyfikacji) oraz jedna linia telefoniczna. W tym budynku cała infrastruktura informatyczna zostanie wymieniona. Zostanie postawiony serwer oraz sześć stacji roboczych dla obsługi magazynu i osiem stacji dla serwisu (wszystkie stacje – załącznik nr - Zestaw 3 specyfikacji). Okablowanie oparte na światłowodach. Zewnętrzne połączenie z głównym serwerem firmowym w budynku BUDYNEK1 poprzez łącze radiowe. strona 13/13 ____________________________________________________________________________ Nowo wybudowany BUDYNEK 2 nie ma ustalonej struktury poza ww. siecią energetyczną. Postawiony zostanie serwer oraz trzydzieści cztery stacje komputerowe (załącznik nr - Zestaw 3 specyfikacji). Podobnie jak w pozostałych budynkach okablowanie oparte o światłowody oraz połączenie radiowe z głównym serwerem firmy. 2.3 Harmonogram Nr Nazwiska grupy Członków 1 Bartczak Data 19.03.05 09.04.05 23.04.05 07.05.05 Zadanie 1. 21.05.05 04.06.05 Zadanie1.2 Tomasz 1 Tanaś Zadanie 1.3 Małgorzata 2 Bembel Artur 2 Chaczyński Zadanie 2. Dawid 3 Małyjasiak Zadanie 3. Mateusz 3 Nagórny Zadanie 3. Zadanie 3.1 Bartłomiej 4 Wrzesińska Zadanie 4. Anna 4 Kliber Karol 5 Bierła Katarzyna 5 Korn Ryszard 6 Cichowicz Zadanie 5. Zadanie 6.1 Zadanie 6.2 Przemysław 6 Gibas Łukasz Zadanie 1. – Wymiarowanie budynków Zadanie 1.2 – Wybór serwerów, zestawów komputerowych, drukarek i UPS’ów Zadanie 1.3 – Rejestracja domeny firmy Zadanie 2. – Wybór i projekt użycia sprzętu pasywnego Zadanie 3. - Wybór i projekt użycia sprzętu aktywnego. Projekt logiczny sieci. Projekt VLM. Zadanie 3.1 – Wybór oprogramowania dedykowanego dla serwerów Zadanie 4. – Wybór i ustawienie HotSpot’a strona 14/14 ____________________________________________________________________________ Zadanie 5. – projekt ochrony p-poż i fizycznej security w firmie Zadanie 6.1 – projekt połączenia bezprzewodowego i połączenia internetowego Zadanie 6.2 – projekt polityki bezpieczeństwa 3 Okablowanie strukturalne Okablowanie strukturalne jest to kompletny system okablowania wewnątrz budynku, przeznaczony do transmisji głosu (telefonia) i danych (komputery), stanowi także węzeł połączeniowy do komunikacji zewnętrznej wraz z łączami publicznej sieci telefonicznej PSTN, także z siecią pakietową PSDN. Koncepcja okablowania strukturalnego uwzględnia niezbędną infrastrukturę telekomunikacyjną dla tych potrzeb składających się z: • Okablowanie pionowe (wewnątrz budynku EN 50173) - kable miedziane lub/i światłowody ułożone zazwyczaj w głównych pionach (kanałach) telekomunikacyjnych budynków, realizujące połączenia pomiędzy punktami rozdzielczymi systemu; • Punkty rozdzielcze - miejsca będące węzłami sieci w topologii gwiazdy, służące do konfiguracji połączeń. Punkt zbiegania się okablowania poziomego, pionowego i systemowego. Zazwyczaj gromadzą sprzęt aktywny zarządzający siecią (koncentratory, przełączniki itp.). Najczęściej jest to szafa 19-calowa o wysokości 42U, 24U, 14U; • Okablowanie poziome (EN 50173) - część okablowania pomiędzy punktem rozdzielczym, a gniazdem użytkownika; • Gniazda abonenckie - punkt przyłączenia użytkownika do sieci strukturalnej oraz koniec okablowania poziomego od strony użytkownika. Zazwyczaj są to dwa gniazda Euromod M1 1 x Duplex S.C umieszczone w puszce lub korycie kablowym; • Połączenia systemowe oraz terminalowe - połączenia pomiędzy systemami komputerowymi a systemem okablowania strukturalnego; • Połączenia telekomunikacyjne okablowaniem pionowym kampusowym. Połączenie budynków - międzybudynkowym budynków odbyło się często lub za nazywane okablowaniem pomocą bezprzewodowej. strona 15/15 sieci ____________________________________________________________________________ Norma EN 50173 normuje większość zagadnień związanych z okablowaniem strukturalnym, poniżej zostaną wymienione najważniejsze: • Okablowanie poziome powinno biec nieprzerwanie od punktu dystrybucyjnego do punktu abonenckiego, norma dopuszcza jednak umieszczenie jednego punktu ( tzw. Punktu Konsolidacyjnego z ang. Transition Point), w którym okablowanie poziome jest nieciągłe, ale w którym wszystkie pary są połączone mechanicznie 1:1. Punkt ten nie może być wykorzystywany do administrowania sieci (nie można dokonywać połączeń krosujących). • Istnieją ogólne zalecenia, które mówią, że na każde 10m2 powierzchni biurowej należy przewidzieć jeden punkt abonencki, na każde 1000m2 powierzchni biurowej powinien przypadać jeden piętrowy punkt rozdzielczy. Jeden punkt rozdzielczy powinien być przewidziany na każdym piętrze. Jeżeli na danym piętrze jest małe nasycenie punktami abonenckimi, może ono być obsłużone z innego piętrowego punktu rozdzielczego (np. położonego piętro niżej). • • Wszystkie użyte kable powinny być zaterminowane. Sieć okablowania strukturalnego jest systemem pasywnym i jako taka nie wymaga potwierdzenia kompatybilności magnetycznej EMC (wg. EN 50173). • W obrębie sieci powinno się używać kabli o jednakowej impedancji nominalnej (np. 100Ω) oraz światłowodów o jednakowych parametrach włókna (jednakowej średnicy). • Dla sieci klasy D maksymalna długość, na której może nastąpić rozplot par przy złączu wynosi 13mm. • Wszystkie elementy okablowania powinny być czytelnie oznaczone unikalnym numerem, po wykonaniu instalacji należ wykonać dokumentację sieci, która powinna być przechowywana i aktualizowana przez administratora sieci. • 3.1 Należy stosować wtyki i gniazda niekluczowane. Topologia sieci Sieć strukturalna, jaka została wykonana w budynku opiera się na topologii gwiazdy rozszerzonej. strona 16/16 ____________________________________________________________________________ Rysunek 1. Topologia sieci Topologia gwiazdy rozszerzonej polega na tym że od głównego punktu dystrybucyjny MDF który znajduje się na II piętrze jest rozprowadzany sygnał poprzez okablowanie pionowe do pośrednich punktów IDF które znajdują się na I piętrze, parterze. Przy każdym punkcie dostępowym zamocowana jest skrzynka zapasu kabla która mieści 30 m nadmiaru kabla. Drugi budynek i magazyn są połączone drogą radiową. Od punktów dystrybucyjnych do stanowisk abonenckich kabel jest rozprowadzany poprzez okablowanie poziome. Ilość gniazdek na poszczególnych piętrach: • Budynek I (załącznik nr 6) − Parter 12 − I piętro 40 3.2 − II piętro 48 • Budynek II (załącznik nr 7) • Magazyn (załącznik nr 8 ) − Parter 64 − Parter 26 Technika światłowodu Zasada działania światłowodu polega na użyciu dwóch materiałów przewodzących światło o różnych współczynnikach załamania. Współczynnik załamania w rdzeniu strona 17/17 ____________________________________________________________________________ jest nieco wyższy niż w płaszczu. Promień świetlny przemieszcza się cały czas w rdzeniu ponieważ następuje całkowite wewnętrzne odbicie: promienie odbija się od płaszczyzny przejścia rdzenia do płaszcza. Wokół płaszcza znajduje się izolacja ochronna. Rysunek 2. 3.3 Schemat działania światłowodu Okablowanie poziome Do okablowania poziomego został użyty światłowód 4-żyłowy (załącznik nr 11) 62,5/125 w luźnej tubie 0,9 mm. Kabel jest przeznaczony do instalacji okablowania strukturalnego, w których włókna zakańczane są pigtail’ami (załącznik nr 12). Według normy ISO/IEC 11801 włókna G50/125 spełniają wymagania OM2, natomiast włókna G62,5/125 spełniają wymagania OM1. Światłowód wielomodowy (4żyłowy) 62,5/125 został połączony spawem mechanicznym z pigtai’lem. Na każdym panelu światłowodowym umocowana jest uniwersalna kaseta światłowodowa, która chroni i zapewnia uporządkowanie pigtail’i i spawów mechanicznych. Światłowód z obu stron zakończony jest pigtail’em . strona 18/18 ____________________________________________________________________________ Rysunek 3. Spawy mechaniczne Uzyskanie jak najmniejszych strat (od 0,5 do 3 dB) wymaga precyzyjnej obróbki mechanicznej elementów złączki, prawidłowego osiowania włókna i czystości łączonych powierzchni. Kable prowadzone są na zgięciu pod kątem 90o i ukryte w korytkach które zapewniają ochronę jak i wpływają na estetykę pomieszczeń. Rozmiary użytych korytek: Korytko 14x14 (biały) Korytko 20x14 (biały) Korytko 20x18 (biały) Korytko 35x14 (biały) Korytko 35x18 (biały) Korytko 40x25 (biały) Schemat przebiegu światłowodu (załącznik nr 6) (załącznik nr 7) (załącznik nr 8) strona 19/19 ____________________________________________________________________________ 3.4 Okablowanie pionowe Do okablowania pionowego podobnie jak w okablowaniu poziomym został użyty ten sam kable światłowodowy 4-żyłowy 62,5/125 w luźnej tubie 0,9 mm. Tabela 1. Odległości transmisji wg IEEE 802.3z. Jednostka 1000Base-SX Rodzaj Długość Średnica Szerokość Odległość medium fali włókna pasma maksymalna - nm µm Mhz*km m dB 400 500 3,37 500 550 (1 3,56 160 220 (2 2,38 200 275 (3 2,60 50 400, 500 550 2,35 62,5 500 550 2,35 9 - 5000 4,57 światłowód wielomodowy światłowód 1000Base-LX wielomodowy światłowód jednomodowy 50 850 62,5 1300 1310 Tłumienie Przykładowy schemat okablowania pionowego: Rysunek 4. Schemat okablowania pionowego strona 20/20 ____________________________________________________________________________ Maksymalna długość trasy kabli pionowych zależy od rodzaju kabla. Tabela 2. Maksymalne długości Nośnik Długość 100Ω UTP 800 m 150Ω STP 700 m światłowód MM 62.5/125 µm 2000 m Do przejścia pomiędzy piętrami stosuje się rękaw bądź szyb stosowany jest w prowadzeniu kabli między piętrami. MOD-TAP zaleca rękawy o średnicy co najmniej 10 cm - mogą one wystawać na długość w zakresie od 2.5 cm do 10 cm powyżej płaszczyzny podłogi. Natomiast minimalny wymiar szybu (prostokątny otwór) powinien wynosić 15 cm x 22.5 cm. Rękaw Rysunek 5. Szyb Rękaw i szyb do przejścia pomiędzy piętrami strona 21/21 ____________________________________________________________________________ Tabela 3. Minimalne liczby i wymiary rękawów i szybów w zależności od powierzchni piętra, obsługiwanego przez dane okablowanie: Wymagania dla rękawów Powierzchnia piętra (m2) Liczba rękawów do 4,500 2 4,500 do 9,000 3 9,000 do 28,000 4 28,000 do 45,000 5 Wymagania dla szybów Powierzchnia piętra Rozmiar otworu (cm) obsługiwanego przez przejście (m2) do 23,000 15 x 23 23,000 do 50,000 15 x 46 50,000 do 90,000 23 x 51 90,000 do 130,000 30 x 51 130,000 do 185,000 38 x 61 Pionowe kable muszą być mocowane na trasie swego przebiegu, jeżeli ich trasa obejmuje więcej niż dwa piętra lub gdy kable są wyjątkowo ciężkie (np. wieloparowe kable miedziane). Jedna metoda mocowania kabla, to zastosowanie specjalnej żyły podtrzymującej, ułożonej po całej trasie kabla między najwyższym piętrem i piwnicą. Kabel należy połączyć z tą żyłą podtrzymującą co 90 cm, przy czym na jedno piętro powinny przypadać minimum trzy punkty wiązania. Kabel jest najczęściej przytwierdzony stalowym uchwytem. Aby zlikwidować naprężenia na najwyższym odcinku kabla, należy przytwierdzić kabel uchwytem Kellum (pleciony kołnierz) lub podobnym. Uchwyt Kellum musi obejmować minimum 30 cm długości kabla tuż poniżej najwyżej położonego zgięcia. W niektórych sytuacjach montażowych żyła podtrzymująca nie jest konieczna, ale zawsze należy mocować pionowe przebiegi kabla. Można to zrealizować w następujący sposób: strona 22/22 ____________________________________________________________________________ 1. Umieścić obręcz kołnierzową dookoła kabla w miejscu, gdzie przechodzi on w dół przez szyb lub rękaw 2. Ułożyć obręcz kołnierzową na krawędzi otworu w taki sposób, aby obręcz podtrzymywała ciężar kabla na tym piętrze 3. Przywiązać kable na trasie pomiędzy podtrzymującymi obręczami do innych elementów podtrzymujących na każdym piętrze. Obręcz kołnierzowa Rysunek 6. Obręcz kołnierza Jeżeli nie wykona się właściwej konstrukcji do podtrzymywania kabla pionowego na długości trasy jego przebiegu, to może nastąpić uszkodzenie wewnętrznych elementów kabla (włókien światłowodowych, przewodników miedzianych). Mocne zaciśnięcie kabla światłowodowego (uchwytem, krawatką) powoduje duże tłumienie lub trwałe uszkodzenie włókien. 3.5 Numeracja gniazdek Numeracja gniazdek (załącznik nr 10) została naniesiona na plany i wygląda następująco: 102 • • • • • 1 2 08 pierwsza cyfra to nr budynku druga cyfra to nr piętra w tym przypadku jest to parter trzecia cyfra to nr pokoju czwarta cyfra to nr panelu piąta cyfra to nr gniazda w panelu strona 23/23 ____________________________________________________________________________ • szósta cyfra to nr gniazdka W celu zwiększenia porządku żyły światłowodu czerwony i zielony są przyporządkowane parzystym nr gniazdka, a niebieski i żółty przyporządkowany nieparzystym nr gniazdka. Ta sama zasada tyczy się panelu światłowodowego. Kable zostały ponumerowane zgodnie z przyjętymi ustaleniami. 3.6 Elementy pasywne • MDF – znajduje się na drugim piętrze w pierwszym budynku. Główny punkt dystrybucyjny, zorganizowany w szafie serwerowej (załącznik nr 13) MODBOX III, 19 o pojemności 42U o wymiarach 800x1000 i 42U 800x800. Szafy, wyposażone zostały w odpowiedni osprzęt elektryczny oraz wentylatory z filtrem, wydmuchujące powietrze na zewnątrz, co pozwoli poprzez stworzenie podciśnienia, na lepszą ochronę zainstalowanego w nich sprzętu przed zanieczyszczeniami mechanicznymi. Szafy stoją na cokole (załącznik nr 14), który zapewnia lepszą wentylacje jak i wprowadzenie kabli od dołu. Dwa ups’y pozwalają na jedną godzinę pracy podczas pełnego obciążenia serwerów. Trzeci ups zapewni zasilanie części sprzętu aktywnego. Każdy panel światłowodowy połączony jest ze switch’em kablem krosowym mt-rj (załącznik nr 15) • W skład MDF wchodzą: − panele światłowodowe 12 (załącznik nr 16) (5 szt.) − panele światłowodowe 6 (załącznik nr 17) (1 szt.) − switch (6 szt.) − UPS (załącznik nr 18)(3 szt.) − Serwery (3 szt.) − Listwy zasilające (załącznik nr 19) (7 szt.) − VPN (1 szt.) − Firewall (2 szt.) − Ruter wewnętrzny (1 szt.) − Hot Spot (1 szt.) − Ruter NAT (szt.) strona 24/24 ____________________________________________________________________________ − Ruter NAT zapasowy (1 szt.) − Panel 19' z wieszakami (załącznik nr 20) (5 szt.) − accesspoint • IDF – znajdują się: − budynek I – parter (14U) i pierwsze piętro (24U) − budynek II (42U) − magazyn 24U • W skład IDF’ów wchodzą: − panele światłowodowe 12 (12 szt.) − panele światłowodowe 6 (3 szt.) − switch (10 szt.) − VNP (2 szt.) − Listwy zasilające (8 szt.) − Panel 19' z wieszakami (12 szt.) − Accesspoint (2 szt.) Szczegółowy plan rozmieszczenia urządzeń w szafach został przedstawiony w (załącznik nr 9) 3.7 Testowanie okablowania poziomego i pionowego Do testowania został użyty miernik tłumienia optycznego FLT4. Do sprawdzenia torów światłowodowych w systemie okablowania strukturalnego wymagane są następujące parametry: • • Długość; Tłumienie; Pomiar parametrów tych musi być zrealizowany w dwóch oknach transmisyjnych i w obu kierunkach dla każdego włókna światłowodowego. Dla światłowodów wielomodowych są to okna 850 i 1300 nm, a dla światłowodów strona 25/25 ____________________________________________________________________________ jednomodowych – 1310 i 1550 nm. Odpowiednie wielkości parametrów, które muszą być spełnione aby można było transmitować dane z szybkością gigabitową w okablowaniu strukturalnym podane są w tabeli: Tabela 4. Odległości transmisji wg IEEE 802.3z. Jednostka 1000Base-SX Rodzaj Długość Średnica Szerokość Odległość medium fali włókna pasma maksymalna - nm µm Mhz*km m DB 400 500 3,37 500 550 (1 3,56 160 220 (2 2,38 200 275 (3 2,60 50 400, 500 550 2,35 62,5 500 550 2,35 9 - 5000 4,57 światłowód wielomodowy światłowód 1000Base-LX wielomodowy światłowód jednomodowy 50 850 62,5 1300 1310 Tłumienie Oprócz wymagań jakie narzuca protokół Ethernet 1000Base-x na okablowanie strukturalne, istnieją ścisłe zalecenia odnośnie długości poszczególnych segmentów okablowania strukturalnego, określone w normie europejskiej EN 50173: • całkowita długość okablowania poziomego niezależnie od zastosowanego medium transmisyjnego nie może przekroczyć 90 metrów, a sumaryczna długość kabla krosowego, kabla stacyjnego oraz kabla przyłączeniowego do sprzętu aktywnego nie może przekroczyć 10m; • długość okablowania pionowego budynku nie powinna przekraczać 500 metrów, a okablowania pionowego międzybudynkowego 1500 metrów, co w sumie daje 2000 metrów. Odległość tą można zwiększyć do 3000 metrów, w przypadku gdy zostanie zastosowany światłowód jednomodowy. strona 26/26 ____________________________________________________________________________ Norma EN 50173 zaleca również, jakiego typu media transmisyjne powinno się stosować w poszczególnych segmentach systemu okablowania: Tabela 5. Zalecane media w poszczególnych segmentach sieci Segment Medium Przewidywane użytkowania Skrętka Głos i dane Światłowód Dane Okablowanie pionowe Skrętka Głos i wolne aplikacje danych Budynku Światłowód Szybkie aplikacje danych Okablowanie pionowe Światłowód Zalecane Międzybudynkowe Skrętka W wyjątkowych wypadkach Okablowania poziome Tabela 6. Zalecane typy kabla w poszczególnych segmentach sieci. Segment Kable zalecane Kable dopuszczalne czteroparowa skrętka 100 Ω Okablowanie poziome światłowód Ω wielomodowy światłowód 62,5/125 światłowód skrętka 120 Ω lub STP 150 wielomodowy 50/125 wielomodowy 62,5/125 Okablowanie pionowe czteroparowa skrętka 100 Ω światłowód jednomodowy skrętka 120 Ω lub STP 150 Ω Projektując system okablowania strukturalnego należy wziąć pod uwagę zarówno zalecenia norm, jak i wymagania jakie są narzucane przez konkretne protokoły transmisyjny, które są często bardziej rygorystyczne w szczegółach niż normy ogólne. Szczegółowych informacji na udzielają producenci systemów okablowania strukturalnego oraz producenci sprzętu aktywnego. Testowanie zostało przeprowadzone pomiędzy MDF i IDF jak i poszczególnymi stanowiskami abonenckimi. Zarówno w okablowaniu pionowym jak i poziomym tłumienie zmieściło się w normach. strona 27/27 ____________________________________________________________________________ 4 Osprzęt aktywny Sieć komputerowa w firmie Saturnet została podzielona na dwie części. Pierwszą z nich jest strefa przeznaczona na usługi dostępne z Internetu (Strefą DMZ) Jest to odrębny obszar sieci przedsiębiorstwa dostępny z Internetu, a oddzielony od pozostałej części intranet-u za pomocą firewalli. DMZ zawiera zasoby sieci, które są udostępniane zwykłym użytkownikom z zewnątrz – serwery WWW, FTP, SMTP, itd. Odseparowanie DMZ od sieci wewnętrznej zwiększa bezpieczeństwo systemu. Drugą częścią sieci jest sieć prywatna do której nie ma możliwości dostania się z Internetu. W sieć tą są podłączeni użytkownicy przedsiębiorstwa oraz jest uruchomiony serwer dla usług wewnętrznych niedostępnych z sieci Internet. 4.1 Schemat logiczny strefy DMZ i MDF Załącznik nr 1 strona 28/28 ____________________________________________________________________________ 4.2 Strefa DMZ Strefa DMZ jest połączona na przełączniku niezarządzalnym firmy 3Com 3C16470 (załącznik nr 21), który należy do podstawowych przełączników tej firmy . Firma 3Com należy do głównych producentów aktywnych urządzeń sieciowych na świecie i dzięki zastosowaniu najlepszych materiałów w swych urządzeniach udziela na nie dożywotniej gwarancji. 4.2.1 Dostęp do Internetu Na wejściu do strefy DMZ z internetu zastosowano ruter firmy BINTEC (załącznik nr 1), który umożliwia podłączenie równoczesne dwóch łączy internetowych. Dzięki takiemu zastosowaniu nie musimy się martwić gdy na głównym łączu internetowym w firmie nastąpi awaria gdyż ruter zacznie korzystać z łącza zapasowego. Konfiguracja adresów IP dla rutera: Adres IP połączeniowy (WAN1): 80.11.0.2/30 Adres IP połączeniowy(WAN2): 213.24.250.2/30 Adres IP (LAN): 80.11.0.1/29 Serwery DNS: 80.50.50.50 80.50.50.150 Ruter BINTEC (załącznik nr 22) ma także skonfigurowany firewall. Firewall służy podniesieniu bezpieczeństwa i ochronie zasobów sieciowych wydzielonej sieci podlegającej ochronie. Pośredniczy w komunikacji hostów należących do chronionej sieci z Internetem. strona 29/29 ____________________________________________________________________________ Polityka dla łańcucha input jest ustawiona na zabroń. Pozostałe porty są przepuszczane wg poniższej tabelki: Tabela 7. Adresy portów obsługiwanych usług Lp Adres IP publiczny Nazwa Port usługi 1 80.10.0.1 http 80 2 80.10.0.2 ftp 21 Ssh 22 Smtp 25 WWW 80 Pop3 110 https 443 Dns 53 Proxy 3128 http 80 3 4 80.10.0.3 213.24.250.23 Konfiguracja serwerów, ruterów w strefie DMZ Aby serwer znajdujące się w strefie DMZ mogły prawidłowo się komunikować z siecią Internet muszą mieć odpowiednio skonfigurowane karty sieciowe wraz z protokołem TCP/IP Konfiguracja karty sieciowej dla serwera sat01.saturnet.pl: Adres IP: 80.10.0.2/29 Brama: 80.10.0.1 Serwery DNS: 80.10.0.2 80.10.0.3 Konfiguracja karty sieciowej dla serwera sat02.saturnet.pl: Adres IP: 80.10.0.3/29 Brama: 80.10.0.1 Serwery DNS: 80.10.0.2 80.10.0.3 strona 30/30 ____________________________________________________________________________ Konfiguracja sieci wewnętrznej . Szkielet sieci wewnętrznej jest oparty na switchu firmy 3 Com SuperStack 3 Switch 4400 (3C17222), (załącznik nr 23), który jest uniwersalnym rozwiązaniem dla połączeń światłowodowych. Dzięki jego stosunkowo niskiej cenie w porównaniu do możliwości, niskiej awaryjności oraz dożywotniej gwarancji którą firma 3Com zapewnia przez 5 lat od zakończenia produkcji w/w produktu, switch ten jest idealnym rozwiązaniem dla naszej firmy. Jako dodatkowy atut można wymienić także możliwość łączenia do 8 tego samego typu (seria 4400) w stack. Moduł stack umożliwia pełną integrację switch-y umieszczonych w obrębie jednego punktu. SuperStack 3 Switch 4400 (3C17222) ma możliwość instalacji dodatkowych modułów w postaci kart umieszczonych w tylniej części przełącznika. Do podłączenia urządzeń które posiadają wyjście RJ45 zastosowaliśmy Mediakonwentery FX RJ45-MTRJ firmy D-Link DMC-300M. (załącznik nr 24) Konfiguracja MDF Tabela 8. Konfiguracja urządzeń sieciowych Lp Urządzenie Ilość 1 3Com SuperStack 3 Switch 4400 3 Uwagi załącznik nr 23 (3C17222) 2 3Com SuperStack 3 Switch 4400 2 Załącznik nr 26 Extender Kit (3C17228) 3 3Com SuperStack 3 Switch 4400 3 1000Base-SX Module Załącznik nr 28 MT-RJ (3C17221) 4 D-Link Mediakonwenter FX RJ45- 2 załącznik nr 24 MTRJ Przełączniki te są w pełni zarządzany dzięki czemu mamy możliwość w pełni kontrolowania ruchu który się odbywa w naszej sieci. Przełączniki te mają także możliwość skonfigurowania wirtualnych sieci prywatnych (VLAN). strona 31/31 ____________________________________________________________________________ Konfiguracja VLAN W celu zabezpieczenia naszej sieci przed nadmiernym ruchem postanowiliśmy podzielić naszą sieć na sieci wirtualne. (załącznik nr 45) Sieć wirtualna (ang. Virtual Local Area Network, VLAN) jest siecią komputerową wydzieloną logicznie w ramach innej, większej sieci fizycznej. Do tworzenia VLAN-ów wykorzystuje się konfigurowalne lub zarządzalne przełączniki, umożliwiające podział jednego fizycznego urządzenia na większą liczbę urządzeń logicznych, poprzez separację ruchu pomiędzy określonymi grupami portów. Komunikacja między VLANami jest możliwa tylko wtedy, gdy w VLAN-ach tych partycypuje port należący do routera. W przełącznikach konfigurowalnych zwykle spotyka się tylko najprostszą formę VLAN-ów, wykorzystującą separację grup portów. W przełącznikach zarządzalnych zgodnych z IEEE 802.1q możliwe jest znacznikowanie ramek (tagowanie) poprzez doklejenie do nich informacji o VLAN-ie, do którego należą. Dzięki temu możliwe jest transmitowanie ramek należących do wielu różnych VLANów poprzez jedno fizyczne połączenie. W przypadku urządzeń zgodnych z ISL ramki są kapsułkowane w całości. Konfiguracja sieci VLAN Tabela 9. Sieci wirtualne Lp Nazwa VLAN Dział Tryb dostępu 1 VLAN1 Księgowość Wszyscy do wszystkich 2 VLAN2 Zarząd Wszyscy do wszystkich 3 VLAN3 Dział IT Wszyscy do wszystkich 4 VLAN4 Dział handlowy Wszyscy do wszystkich 5 VLAN5 Serwer Wszyscy do jednego sat03.saturnet.pl 6 VLAN6 Internet Wszyscy do jednego 7 VLAN7 Magazyn / serwis Wszyscy do wszystkich 8 VLAN8 Kadry Wszyscy do wszystkich 9 VLAN9 Marketing Wszyscy do wszystkich 10 VLAN10 Agencja reklamowa Wszyscy do wszystkich strona 32/32 ____________________________________________________________________________ Dostęp do Internetu Za oddzielenie sieci prywatnej od strefy DMZ odpowiada ruter BINTEC 20810 (załącznik nr 25) Ruter ten zawiera w sobie również system firewall który separuje sieć prywatną od strefy DMZ. Polityka łańcucha INPUT ustawiona jest na zabroń. Konfiguracja dla rutera wewnętrznego: Adres IP (WAN): 80.10.0.4/29 Adres IP (LAN): 192.168.1.1 Brama: 80.10.0.1 Serwery DNS: 80.10.0.2 80.10.0.3 Połączenie VPN W celu zapewnienia bezpieczeństwa podczas komunikacji między budynkami zastosowano szyfrowanie łącza za pomocą Rutera z wbudowanym VPN-em firmy BINTEC 20810 (załącznik nr 25). Dzięki takiemu rozwiązaniu mamy pewność iż nasze połączenie bezprzewodowe jest zabezpieczone przed niepowołanym dostępem. Konfiguracja dla VPN MDF: Adres IP: 192.168.1.3 Adres IP (VPN): 192.168.10.1 Brama: 192.168.1.1 Serwery DNS: 80.10.0.2 80.10.0.3 Szyfrowanie IPsec 256 bit Konfiguracja dla serwera sat03.saturnet.pl Adres IP: 192.168.1.10/24 Brama: 192.168.1.1 Serwery DNS: 80.10.0.2 80.10.0.3 strona 33/33 ____________________________________________________________________________ Konfiguracja IDF (I piętro budynek 1) • Schemat logiczny sieci – I piętro (załącznik nr 3) Tabela 10. Konfiguracja urządzeń sieciowych Lp Urządzenie Ilość 1 3Com SuperStack 3 Switch 4400 2 Uwagi załącznik nr 23 (3C17222) 2 3Com SuperStack 3 Switch 4400 1 Załącznik nr 26 Starter Kit (3C17227) 3 3Com SuperStack 3 Switch 4400 1 1000Base-SX Module Załącznik nr 28 MT-RJ (3C17221) Konfiguracja IDF (parter budynek 1) • Schemat logiczny sieci – parter (załącznik nr 2) Tabela 11. Konfiguracja urządzeń sieciowych Lp Urządzenie Ilość 1 3Com SuperStack 3 Switch 4400 1 Uwagi załącznik nr 23 (3C17222) 2 3Com SuperStack 3 Switch 4400 1 1000Base-SX Module Załącznik nr 28 MT-RJ (3C17221) strona 34/34 ____________________________________________________________________________ Konfiguracja IDF (Budynek 2) • Schemat logiczny sieci – budynek 2 (załącznik nr 4) Tabela 12. Konfiguracja urządzeń sieciowych IDF Budynek 2 Lp Urządzenie Ilość 1 3Com SuperStack 3 Switch 4400 1 Uwagi załącznik nr 23 (3C17222) 2 3Com SuperStack 3 Switch 4400 1 Załącznik nr 26 Starter Kit (3C17227) 3 D-Link Mediakonwenter FX RJ45- 2 załącznik nr 24 MTRJ Konfiguracja dla VPN: Adres IP: 192.168.2.1 Adres IP (VPN): 192.168.10.10 Brama: 192.168.1.1 Serwery DNS: 80.10.0.2 80.10.0.3 Szyfrowanie IPsec 256 bit Konfiguracja Ruter firewall do sieci HotSpot Do zabezpiecznia sieci wewnętrznej przed niepowołanym dostępem z sieci Hot Spot zastosowano ruter BINTEC 20810 (załącznik nr 25) Konfiguracja dla rutera: Adres IP (WAN): 192.168.2.2 Adres IP (LAN): 192.168.11.1 Brama: 192.168.1.1 Serwery DNS: 80.10.0.2 80.10.0.3 strona 35/35 ____________________________________________________________________________ Tabela 13. Konfiguracja Firewall-a. Domyślna polityka dla łańcucha INPUT i FORWARD jest ustawiona na zabroń. Sieć (adres) Port Łańcuch działanie 192.168.2.0 80 INPUT 0.0.0.0 80 Forward Pozwól 0.0.0.0 25 Forward Pozwól 0.0.0.0 110 Forward Pozwól 0.0.0.0 443 Forward Pozwól 0.0.0.0 147 Forward Pozwól Pozwól Konfiguracja IDF (Budynek 3) • Schemat logiczny sieci – budynek 3 (załącznik nr 5) Tabela 14. Konfiguracja urządzeń sieciowych Lp Urządzenie Ilość 1 3Com SuperStack 3 Switch 4400 2 Uwagi załącznik nr 23 (3C17222) 3 3Com SuperStack 3 Switch 4400 1 Załącznik nr 26 Starter Kit (3C17227) 4 D-Link Mediakonwenter FX RJ45- 1 załącznik nr 24 MTRJ Konfiguracja dla VPN: Adres IP: 192.168.3.1 Adres IP (VPN): 192.168.10.11 Brama: 192.168.1.1 Serwery DNS: 80.10.0.2 80.10.0.3 Szyfrowanie IPsec 256 bit strona 36/36 ____________________________________________________________________________ 5 Sieć WLAN Założenia 1) Założeniem niniejszej części projektu jest połączenie w sieć trzech obiektów budowlanych należących do firmy SATURNET. 2) Budynki zlokalizowane są w centralnej części miasta Kalisza a) Budynek1 – Biurowiec: ul. Nowy Świat 54 b) Budynek2 – Biurowiec: ul. Poznańska 26 c) Budynek3 – Magazyn: ul. Ostrowska 5 3) Budynki 2 i 3 ze stacjami abonenckimi usytuowane są w promieniu 3km od głównego punktu dystrybucyjnego (Budynek1). 4) W celach projektu jest uzyskanie najwyższego bezpieczeństwa sieć WLAN Poniższy rysunek obrazuje schemat połączenia budynków oraz ich lokalizację Rysunek 7. Schemat połączenia budynków i ich lokalizacja strona 37/37 ____________________________________________________________________________ strona 38/38 ____________________________________________________________________________ 5.1 Proponowane rozwiązania projektowe Uwzględniając potrzeby firmy zleceniodawcy i zakres świadczonych przez nią usług obiekty budowlane firmy połączono siecią bezprzewodową pracującą w paśmie 5GHz. • Głównym dostawcą Internetu wybrano Telekomunikację Polską SA, która oferuje dostęp do sieci szkieletowej POLPAK łączem symetrycznym Frame Relay/ATM o przepustowości do 2 Mbit/s min. CIR 64 kbit/s • Jako zapasowy dostęp do Internetu (backup) wykorzystano dotychczasowe łącze internetowe providera Netia SA „Net24 Premium” 640kb/s 5.1.1 Dlaczego zdecydowano o wyborze sieci bezprzewodowej? Głównym powodem wyboru budowy sieci bezprzewodowej jest lokalizacja budynków firmy SATURNET w centralnej części miasta Kalisza. Łączenie ich światłowodem wymagałoby ogromnych nakładów lub ponoszenia wysokich comiesięcznych opłat związanych z dzierżawą infrastruktury telekomunikacyjnej u innych operatorów. Ze względu na ograniczenie tych kosztów idealnym rozwiązaniem jest posiadanie własnych łączy radiowych, które dziś nie wymagają żadnych dodatkowych zezwoleń na posiadanie takich instalacji. Dzięki temu sieci będą stanowiły jednolitą całość, a połączenia wewnątrz sieciowe nie będą wymagały żadnych comiesięcznych opłat. Zalety: • pasmo 5GHz nie jest tak zakłócane jak 2,4GHz. Ponadto w paśmie 5GHz dostępna jest większa ilość niezależnych kanałów; • • połączenie odległych budynków bez użycia kabla; możliwość tworzenia stacji bazowych w miejscach gdzie nie ma możliwości doprowadzenia stałego łącza do Internetu; • połączenie wszystkich stacji w jedną strukturę pozwala wykorzystać jedno łącze do Internetu o dużej przepustowości. Koszt dzierżawy jednego, dużego łącza jest dużo mniejszy niż kilku małych łącz; • ułatwienie administracji strukturą przez jej scentralizowanie; strona 39/39 ____________________________________________________________________________ 5.2 Struktura sieci bezprzewodowej Do stworzenia struktury sieci bezprzewodowej postanowiono wykorzystać urządzenia firmy Proxim – Tsunami MP.11a z następujących powodów: • • duża rzeczywista przepustowość (na poziomie 22 Mbps FullDuplex); bogate możliwości konfiguracji zwiększające wydajność, bezpieczeństwo i niezawodność; • • praca na częstotliwościach 5.25-5.35, 5.47-5.725 oraz 5.725-5.850 GHz, protokół WORP - zoptymalizowany pod kątem zastosowań zewnętrznych, dużo efektywniejszy niż 802.11a Strukturę sieci przedstawiono na poniższym rysunku: Rysunek 8. Struktura sieci WLAN strona 40/40 ____________________________________________________________________________ Jak wynika z powyższego schematu urządzenie BSU (5054-BSUR-EU) jest głównym punktem dostępowym sieci WLAN. Do BSU dołączono antenę sektorową kryjącą swoim zasięgiem wymagany obszar. Kąt promieniowania w płaszczyźnie poziomej anteny BSU wnosi 120 stopni, a zysk energetyczny 15dBi. Pozwoliło to na dołączenie do szkieletu sieci stacji abonenckich SU (5054-SUR-EU). Stacje SU posiadają zintegrowaną antenę panelową 23dBi. Sieć posiada łącze do Internetu (symetryczne łącze FrameRelay/ATM o przepustowości 2Mb/s, CIR 64 kbit/s). Punkt przyłączeniowy POP łącza internetowego znajduje się w (MDF) Głównym Punkcie Dystrybucyjnym sieci. 5.3 Opis systemu tsunami mp.11a. Tsunami MP11.a jest systemem punkt - wielopunkt przeznaczony do budowy rozległych sieci bezprzewodowych WWAN (Wireless Wide Area Networks) w paśmie wolnym od opłat licencyjnych: 5,47 - 5,725GHz. Umożliwia w prosty sposób rozszerzenie sieci lokalnej, tworzyć sieć radiową o zasięgu nawet do 12km w promieniu od stacji bazowej. Przeznaczony jest dla wielu zastosowań takich jak transmisja danych, szerokopasmowy dostęp do Internetu czy monitoring wizyjny. Pozwala również na szybkie i ekonomiczne tworzenie połączeń między sieciami korporacyjnymi. Tsunami MP11.a posiada Certyfikat Zgodności wydany przez Laboratorium Badań Radiokomunikacyjnych Instytutu Łączności w Polsce oraz Europejski Certyfikat Zgodności wydany przez ETSI. System Tsunami MP11.a składa się ze Stacji Bazowej (BSU) oraz Stacji Klienckich SU i RSU. Stacja kliencka RSU może obsługiwać maksymalnie 8 stacji użytkowników, natomiast stacja SU nie ma ograniczeń w ilości obsługiwanych użytkowników. Najbardziej wyróżniającą Tsunami MP11.a cechą jest jego protokół WORP (Wireless Outdoor Router Protocol): jest on opracowany przez Proxima i nie jest kompatybilny z protokołami Wi-Fi. Protokół WORP znacznie odróżnia się od protokołów 802.11 stosowanych w sieciach WLAN; jest znacznie bardziej wydajny, umożliwia sterowanie przepustowością na każdym interfejsie radiowym, oraz strona 41/41 ____________________________________________________________________________ eliminuje problem ukrytych stacji. Stacja bazowa (BSU) kolejno odpytuje wszystkie swoje Stacje Klienckie o żądania dostępu do medium, dzięki czemu nie występuje zjawisko rywalizacji o medium znane z protokołu 802.11. Polling (kolejne odpytywanie stacji klienckich) zapewnia stały dostęp do medium każdej ze stacji, która w określonym czasie prześle do bazy swoje zbuforowane pakiety. Oprócz mechanizmu pollingu w Tsunami stosowane są technologie fragmentacji oraz „superpakietowania" ramek, polegające na analizowaniu ruchu przechodzącego przez interfejs radiowy i takiego dzielenia oraz łączenia ramek, aby zawsze była przesyłana pełna ramka WORP. W najnowszej wersji oprogramowania system Tsunami MP11.a zyskał funkcję dynamicznego wyboru szybkości transmisji danych - DDRS. Funkcja ta umożliwia automatyczny wybór prędkości transmisji w trakcie pracy systemu, dzięki czemu Administrator nie musi dobierać jej manualnie. Każdej stacji klienckiej SU może zostać przypisana własna prędkość. System umożliwia również stacjom klienckim SU przełączanie się (roaming) pomiędzy stacjami bazowymi. W przypadku awarii stacji bazowej stacje klienckie mogą zostać przełączone do innej stacji bazowej. Stacje Tsunami mogą pracować również jako routery z funkcją translacji adresów NAT. Mogą również pełnić funkcję serwerów DHCP. Dzięki temu poprzez pojedynczą stację RSU można łatwo przyłączyć sieć lokalną w małej firmie do szkieletu Tsunami. Uruchomienie systemu w terenie jest dużo łatwiejsze dzięki narzędziu "Antenna Alignment". Wyświetla ono dane o poziomie sygnału (z szybkością odświeżania poniżej 1sec.) na ekranie laptopa podłączonego do stacji poprzez Telnet lub połączenie terminalowe RS-232. Narzędzie to ułatwi inżynierom instalującym urządzenia optymalne ustawienie anten w terenie. Tsunami MP11.a może pracować w dwóch trybach. W pierwszym z nich, system jest niewidoczny dla użytkowników sieci i pełni funkcję klasycznego mostu radiowego między poszczególnymi segmentami sieciami. W drugim trybie Tsunami MP.11a pełni strona 42/42 ____________________________________________________________________________ rolę bezprzewodowego routera. W obydwu trybach możliwe jest sterowanie przepływnością na każdym z interfejsów radiowych. Z najnowszą wersją oprogramowania Tsunami MP11.a może obsługiwać transmisją danych pomiędzy 250 stacjami klienckimi SU/RSU. Umożliwia również blokowanie komunikacji pomiędzy poszczególnymi stacjami klienckimi, przez co użytkownicy stacji klienckich Tsunami nie mogą komunikować się bezpośrednio ze sobą. Możliwe jest stworzenie do 16 grup stacji klienckich, wewnątrz których możliwa jest komunikacja między stacjami (otoczenie sieciowe), przy czym jedna stacja może należeć do wielu grup. Jest to funkcjonalność z zasady działania podobna do VLAN, dla którego to protokołu sieć Tsunami jest przeźroczysta. Stosowanie tych mechanizmów zwiększa poziom bezpieczeństwa przesyłanych informacji oraz zapewnia utrzymanie wysokiej przepustowości. 5.4 Zabezpieczenie odgromowe urządzeń radiowych Wszystkie budynki na których zamontowano urządzenie radiowe posiadają instalację piorunochronną. strona 43/43 ____________________________________________________________________________ Dodatkowo w celu ochrony anten przed bezpośrednim wyładowaniem piorunowym wykorzystano zwód pionowy z przewodem w izolacji wysokonapięciowej. Zastosowano przewody HVI (High Voltage Insulated) produkowane przez firmę DEHN. Przewody te posiadają izolację wysokonapięciową pokrytą warstwą półprzewodzącą i można je stosować w przypadku konieczności układania przewodów odgromowych obok uziemionych, przewodzących instalacji lub urządzeń. Tabela 15. Podstawowe parametry przewodu HVI [10] 5.5 Parametr Równoważny odstęp bezpieczny Wartość 0,75 m – powietrze, Średnica zewnętrzna Minimalny promień gięcia Temperatura montażu przewodu Maksymalne naciski Wewnętrzny przewód Zewnętrzne pokrycie 1,5 m – dielektryk stały 20,0/23,0 mm 200 mm >0°C 950 N 19 mm2Cu Czarny lub szare PCV Bezpieczeństwo sieci radiowej W celu uzyskania najwyższego bezpieczeństwa sieci WLAN zastosowano zabezpieczenia konfiguracyjne, programowe i sprzętowe. • w celu zabezpieczenia sieci WLAN zastosowano urządzenia VPN • włączono obsługa tuneli VPN dla każdego interfejsu z wykorzystaniem IPSec w celu zabezpieczenia sieci wewnętrznych • włączono szyfrowanie dla wszystkich Access Pointów • użyto szyfru AES (Advanced Encryption Standard) do zabezpieczenia sieci strona 44/44 ____________________________________________________________________________ • szyfrowanie AES odbywa się z wykorzystaniem cyfrowych certyfikatów (PKI X.509), IKE z automatyczną i manualną wymianą kluczy • użyto kluczy 128-bitowych i haseł na wszystkie interfejsy • zmieniono wszystkie domyślne hasła • nazwę sieci zmieniono na przypadkowy ciąg znaków i traktuje się je jako hasło dzięki czemu podsłuchiwacz nie powiąże od razu nazwy sieci z nazwą firmy • 5.6 sieć posiada zabezpieczenie typu firewall Pomiary powykonawcze linków radiowych Przeprowadzono test, którego celem była ocena jakości połączeń bezprzewodowych w paśmie 5 GHz uzyskiwanych z wykorzystaniem najnowszych anten 5GHz produkcji firmy PROXIM. Lokalizacja punktu pomiarowego "A". Kalisz Ul. Nowy Świat 54 Zestawienie • Proxim Tsunami MP11a BSU Urządzenie Proxim Tsunami MP11a BSU zostało podłączone do anteny kierunkowej MARS 15 dBi/120 • MARS 15dBi/5GHz • 10 metrów kabla pracującej w paśmie 5GHz przy użyciu 10-cio metrowego kabla H-1000. Antena została zamocowana na wysokości ok. 15m. H-1000 • wysokość montażu anteny: 15 metrów od poziomu gruntu strona 45/45 ____________________________________________________________________________ Lokalizacja punktu pomiarowego "B" Kalisz Ul. Poznańska 26 Zestawienie • MP11a RSU ( w odległości 3000 metrów w lini prostej od punktu • "A") Proxim Tsunami Antena 23dBi/5GHz Urządzenie Proxim Tsunami MP11a RSU podłączone dwu-metrowym kablem H-1000 do anteny PANEL 23dBi Lokalizacja punktu pomiarowego "C" Kalisz Ul. Ostrowska 5 Zestawienie • MP11a RSU (w odległości 3000 metrów w lini prostej od punktu • "A") Proxim Tsunami Antena 23dBi/5GHz Urządzenie Proxim Tsunami MP11a RSU podłączone dwu-metrowym kablem H-1000 do anteny PANEL 23dBi 6 Serwery W firmie SATURNET zainstalowano 3 serwery: • serwer WWW i FTP, na którym znajdują się strony WWW firmy oraz udostępniania plików, tak aby dostęp do nich posiadali także użytkownicy znajdujący się poza siedzibą firmy; • • serwer E-MAIL zapewniający usługę poczty elektronicznej; na serwerze DATABASE umieszczone zostały bazy danych firmy SATURNET. Przewidziany został znaczny ruch w strefie DMZ, dlatego na serwery WWW oraz MAIL FTP wybrano szybkie i wydajne stacje serwerowe firmy Sun Microsystems z serii SUN Fire, które dostosowane zostały do potrzeb firmy Jednostki te oferują bardzo długi czas bezawaryjnej pracy, zaspokajające obecne potrzeby firmy SATURNET. Dodatkowym atutem decydującym o wyborze powyższych modeli serwerów jest możliwość ich znacznej rozbudowy i tym samym możliwość dostosowania do przyszłych potrzeb i wymagań firmy. Serwery te mogą pracować na wielu platformach systemowych obsługujących serwery. strona 46/46 ____________________________________________________________________________ 6.1 Uzasadnienie wyboru Do głównych zalet serwerów firmy Sun Microsystems niewątpliwie można zaliczyć to, iż jest wykonany w architekturze 64 bitowej, co bezpośrednio skutkuje nie tylko większą wydajnością lecz również rozszerzoną adresacją. Bowiem w trybie 32 bitowym system dla jednej aplikacji mógł zaadresować maksymalnie 4 GB pamięci, architektura 64 bitowa uwalnia nas od tych ograniczeń. Dodatkową zaletą nowej architektury jest natywna obsługa aplikacji 32 bitowych. W przeciwieństwie do innych procesorów, które tryb 32 bitowy tylko emulują, procesory AMD Opteron mają możliwość pełnego, sprzętowego przełączania się pomiędzy pracą w trybie 32 i 64 bitowym. Dzięki tym funkcjom są one wydajniejsze od innych procesorów takich jak np.: Itanium firmy Intel zarówno w trybie 32 jak i 64 bitowym. Ponadto procesory AMD Opteron w połączeniu z architekturą HyperTransport pozwalają na uzyskanie wydajności porównywalnej lub nawet wyższej, niż zapewniają najnowsze procesory Intel Xeon w trybie 32 bitowym. Wewnątrz serwera Sun Fire V20, oprócz maksymalnie dwóch procesorów Opteron, z których każdy wyposażony jest w 1 MB pamięci podręcznej cache L2 możemy zainstalować dwa napędy dyskowe 36 lub 73 GB Ultra320 SCSI z modułem obsługującym RAID1 oraz 16 GB pamięci RAM typu DDR1/333 ECC. Moduły dyskowe pracują w trybie hot-swap i są dostępne od przodu natomiast pamięć RAM obsługuje technologię ChipKill tzn. umożliwia ciągłą pracę serwera nawet w przypadku pojedynczej awarii układu scalonego wchodzącego w skład modułów pamięci. Podobnie jak w procesorach SPARC, procesory Opteron posiadają zintegrowane moduły obsługi pamięci, dlatego każdy procesor zarządza czterema modułami pamięci. Niewątpliwą zaletą tych serwerów jest wydajność, procesor strona 47/47 ____________________________________________________________________________ komunikuje się z zarządzaną przez siebie pamięcią z przepustowością 5,33 GB/sec, co daje zagregowaną przepustowość układów pamięci na poziomie przeszło 10 GB/s. Pozostałe szyny komunikacyjne również oferują imponującą przepustowość. Zarówno komunikacja procesor-procesor jak i procesor - układ I/O odbywa się dzięki wykorzystaniu technologii HyperTransport z prędkością 3,2 GB/s 6.2 Zdalne zarządzanie Zdalne zarządzanie serwerami w/w firmy odbywa się z wykorzystaniem linii komend jak i standardów SNMP i IPMI v. 1.5 poprzez niezależny moduł zarządzający wyposażony w procesor systemowy. Dostęp do procesora systemowego umożliwiają dwa porty - port szeregowy i dedykowany port sieciowy. Takie rozwiązanie umożliwia łączenie ze sobą serwerów firmy Sun Microsystems i eliminuje konieczność stosowania dodatkowego przełącznika sieciowego lub wydzielania dedykowanej sieci VLAN do zarządzania. Stan poszczególnych elementów opisywanego serwera można każdorazowo monitorować przy pomocy wyświetlacza LCD umieszczonego na panelu frontowym. Serwer posiada wszystkie niezbędne interfejsy w tym złącze HD-15 do obsługi monitora, porty PS/2 dla klawiatury i myszy oraz port USB. Komunikacja sieciowa jest realizowana za pomocą dwóch wbudowanych miedzianych interfejsów sieciowych w standardzie 10/100/1000. Ten niewielkich rozmiarów serwery posiadają również zupełnie wystarczające możliwości rozbudowy w postaci dwóch szybkich złączy PCI-X odpowiednio 133 MHz i 66 MHz i są standardowo wyposażone w napęd FDD i CD-ROM z opcją wymiany CD-ROM na DVD-ROM. 6.3 Oprogamowanie producenta Naprawdę udana architektura serwerów Sun Microsystems powoduje, iż warto się zastanowić nad oprogramowaniem, które może być na nim uruchamiane. W tej dziedzinie jest również o krok do przodu przed konkurencją oferując całe spektrum rozwiązań internetowych i intranetowych na platformę x86 w postaci pakietu Sun Java Enterprise System. W oparciu o serwery typu Sun Fire oraz oprogramowanie Sun Java Enterprise System możemy stworzyć wysokowydajny i optymalny kosztowo system pocztowy, kalendarz korporacyjny, zdalny szyfrowany dostęp do zasobów sieci korporacyjnej czy też usługi katalogowe. Dodatkowo serwer może być wykorzystywany jako firewall i to bez żadnych dodatkowych opłat przy wykorzystaniu darmowego oprogramowania Sun Screen, które jest dostarczane razem z systemem strona 48/48 ____________________________________________________________________________ Solaris. Nowe serwery Sun Fire są odpowiedzią firmy Sun Microsystems na stale rosnące potrzeby Klientów w obszarze rozwiązań oferujących doskonały stosunek wydajności do ceny. Duża moc obliczeniowa zamknięta w obudowie 1U jest pomysłem producenta na realizację wizji nisko budżetowego przetwarzania informacji tzw. Low Cost Computing. Wybór właściwego sprzętu i oprogramowania w połączeniu z profesjonalnym wsparciem jest gwarancją powodzenia inwestycji informatycznych dowolnej skali. 6.4 System RAID W skrócie mówiąc system RAID to kontroler urządzenia pozwalający na scalenie parzystej liczby dysków twardych w jedną całość. Dzięki temu otrzymujemy do dyspozycji "napęd", którego pojemność jest sumą rozmiarów urządzeń składowych. Macierz RAID podwaja również prędkość zapisu i odczytu informacji. Ta cecha czyni RAID wydajniejszym od interfejsu IDE. Systemy operacyjne takie jak np.: Windows czy Unix współdziałają w takim przypadku nie z jednym dyskiem, ale z zespołem dysków stanowiących dla niego jedną całość. Głównym celem stosowania systemów RAID w procesach informatycznych jest zwiększenie rzeczywistego transferu danych oraz zapewnienie bezpieczeństwa danym, które wykorzystuje się w danej chwili. RAID chroni użytkownika również przed przerwami w działaniu serwera, zabezpiecza znajdujące się na dyskach dane w wypadku uszkodzeń jednego z dysków, ale nie chroni danych przed zmazaniem przez użytkownika, kradzieżą, pożarem itp. Aby system ten był w pełni bezpieczny i funkcjonalny, należy zadbać o backup danych. 7 Oprogramowanie serwerów 7.1 Systemy operacyjne Systemy operacyjne jakie zostały przeznaczone dla serwerów w strefie DMZ to dostarczany wraz z serwerami SunFire systemy Solaris, będące komercyjną wersją systemu Unix. Poza oprogramowaniem Sun Java™ Enterprise System, firma Sun zintegrowała w systemie operacyjnym Solaris 9 kluczowe aplikacje korporacyjne i popularne aplikacje Open Source, m.in. Sun Java™ System Directory Server, Sun Java System Application Server, Solaris Volume Manager, SunScreen™ Firewall, strona 49/49 ____________________________________________________________________________ UFS, Solaris 9 Resource Manager, IPQoS, SAMBA i oprogramowanie serwerów WWW. Sun Java™ Enterprise System – opis pakietu (załącznik 29) Sun Java™ Enterprise System – instalacja I konfiguracja (załącznik 30) Sun Java System Application Server – podręcznik administratora (załącznik 31) Systemem operacyjnym przeznaczonym do pracy na serwerze plików został system Windows Server 2003. Ponieważ było zakładane iż w firmie Saturnet pracują wykwalifikowani informatycy konfiguracja tego serwera została zostawiona bez dokładnego opisu 7.2 Serwer WWW : Apache Apache jest darmowym serwerem www ( protokołu http ) o jakości komercyjnej. Rozwijany jest przez społeczność internetowa w jednym z projektów Apache Software Foundation. Jest to bardzo zaawansowany serwer z bardzo wieloma modułami czyli z duża funkcjonalnością i bardzo dużymi możliwościami konfiguracyjnymi. Apache jest najczęściej używanym serwerem WWW, a w związku z tym bardzo łatwo można uzyskać wsparcie techniczne. Konfiguracja Głównym plikiem konfiguracyjnym jest /etc/httpd/httpd.conf/10_httpd.conf. Plik konfiguracyjny podzielony jest na dwie sekcje: • Global Environment Zdefiniowane są w niej takie rzeczy jak parametry dotyczące obsługi klientów łączących się z serwerem, numeru portu na którym ma on nasłuchiwać nadchodzących połączeń, ilości procesów uruchamianych przez demona oraz wątków. Również tutaj znajdują się dyrektywy ładujące moduły skompilowane jako DSO (Dynamic Shared Object). • 'Main' server configuration Jak sama nazwa wskazuje, jest to główna sekcja pliku konfiguracyjnego. Zaraz pod definicją grupy oraz użytkownika, na których będzie pracował demon znajduje się poniższa opcja. strona 50/50 ____________________________________________________________________________ ServerAdmin [email protected] Jest to adres e-mail administratora Poniżej znajduje się opcja ServerName. ServerName sturnet.pl:80 Dosłownie jest to nazwa tego serwera. A dokładniej nazwa domenowa skonfigurowana na serwerze nazw opiekującym się domeną. Następną opcją jest DocumentRoot. Określa ona domyślny katalog w którym będzie przechowywana strona internetowa. Wpisując nazwę lub adres IP określony przez ServerName właśnie z tego katalogu zostaną pobrane i wczytane przez przeglądarkę pliki strony. DocumentRoot "/home/services/httpd/html" Domyślnie wszystkie żądania są tutaj skierowane. Następna opcja to UserDir. Definiuje ona nazwę katalogu przechowującego strony użytkowników. UserDir public_html Zgodnie z obecnym standardem tworzenia stron internetowych, domyślnym plikiem który jest automatycznie wczytywany po wpisaniu w przeglądarce adresu jest index, który w zależności od konstrukcji strony może mieć różne rozszerzenia. A więc skąd Apache wie, co ma zostać wczytane jako pierwsze? Do tego właśnie służy pakiet apache-mod_dir. Jego plikiem konfiguracyjnym jest /etc/httpd/httpd.conf/59_mod_dir.conf Poprzez dyrektywę DirectoryIndex określa się czego i w jakiej kolejności ma szukać przeglądarka. DirectoryIndex index.html index.html.var index.htm index.shtml \ index.cgi index.php Virtual Hosts - wiele nazw na jednym serwerze strona 51/51 ____________________________________________________________________________ Mechanizm hostów wirtualnych musi się opierać o serwer DNS dlatego, że nazwy które zostaną użyte muszą istnieć w internecie. Należy zacząć od instalacji pakietu apache-mod_vhost_alias. Po jego zainstalowaniu utworzy się plik: /etc/httpd/httpd.conf/20_mod_vhost_alias.conf. Edytując plik /etc/httpd/httpd.conf/10_httpd.conf w sekcji 'Main' server configuration tuż pod ServerName dodaje się opcję jak w poniższym przykładzie. NameVirtualHost 123.45.67.8:80 Oczywiście możemy użyć zapisu w formie domenowej analogicznie do ServerName. Po przeładowaniu serwera DNS, nowy wpis powinien już być widoczny przez większość serwerów nazw. Autoryzacja Apache udostępnia również mechanizm autoryzacji. Często używany jest aby wyodrębnić z serwisu pewną część przeznaczoną dla upoważnionych użytkowników. Uprawnienia działają na poziomie katalogów. Nie można w ten sposób chronić poszczególnych plików. Jeżeli potrzeba chronić jedynie jeden lub kilka plików, należy stworzyć w obrębie strony katalog o dowolnej nazwie i umieść je w nim. Przed przystąpieniem do konfiguracji należy zainstalować pakiet o nazwie apache-mod_auth. Zawiera on polecenie htpasswd, które służy do wygenerowania pliku z nazwą użytkownika oraz hasłem, które go identyfikuje. Konwencję nazewnictwa należy zastosować zgodnie z ogólnie przyjętą polityką bezpieczeństwa . /etc/httpd/httpd.conf/10_httpd.conf. # # The following lines prevent .htaccess and .htpasswd files from being # viewed by Web clients. # <Files ~ "^\.ht"> Order allow,deny Deny from all </Files> strona 52/52 ____________________________________________________________________________ Musimy określić katalog przechowywania dla tych plików. Oczywiście powinien on być osiągalny z poziomu użytkownika http na którym pracuje apache. Możemy je trzymać w /home/services/httpd. Przystępujemy do generowania. # htpasswd -c /home/services/httpd/.htdostep jan New password: Re-type new password: Adding password for user jan Nazwa użytkownika jest przechowywana w formie jawnej, natomiast hasło zostało zaszyfrowane. # cat /home/services/httpd/.htdostep jan:SAEWgAGl6fzFY Należy ustawić odpowiednie prawa dostępu do tego pliku. # chmod 600 /home/services/httpd/.htdostep # chown http.http /home/services/httpd/.htdostep W ten oto sposób dajemy możliwość zapisu i odczytu użytkownikowi http do .htdostep. Pozostaje nam jeszcze zdefiniowanie który katalog będziemy chronić. Należy w tym celu wyedytować główny plik konfiguracyjny apache: /etc/httpd/httpd.conf/10_httpd.conf Powinniśmy zdefiniować katalog, który będziemy chronić. Robimy to sposobem przedstawionym poniżej <Directory "/home/users/jan/public_html/private"> Options Indexes FollowSymLinks Multiviews AuthType Basic AuthName "Witaj Janie, zaloguj sie." AuthUserFile /home/services/httpd/.htdostep Require valid-user </Directory> Aby ten wpis mógł zadziałać powinien być umieszczony w obrębie sekcji 'Main' server configuration. Po zakończeniu edycji należy zrestartować demona poleceniem # /etc/rc.d/init.d/httpd restart strona 53/53 ____________________________________________________________________________ Obsługa skryptów PHP Ze względu na dużą funkcjonalność język PHP stał się już w zasadzie pewnym standardem w tworzeniu interaktywnych stron internetowych. Współczesne serwisy wykorzystują m. in. bazy danych, dlatego zostanie również opisane jak taką obsługę zapewnić. Przeglądając listę dostępnych do zainstalowania pakietów z php na pierwszy rzut oka widać nacisk twórców dystrybucji jaki został nałożony na modularność. Daje to niesamowitą wolność w wyborze tego co jest dokładnie potrzebne. Obsługa różnego typu systemów bazodanowych rozbita jest na osobne pakiety zawierające definicje funkcji PHP które ją zapewniają. Poniżej w tabeli znajduje się lista która to odzwierciedla. Nazwa pakietu php-dba php-dbase php-filepro phpinterbase php-mssql Baza Danych Moduł dla PHP dodający obsługę dla baz danych opartych na plikach (DBA). Moduł PHP ze wsparciem dla DBase. Moduł PHP dodający możliwość dostępu (tylko do odczytu) do baz danych filePro. Moduł PHP umożliwiający dostęp do baz danych InterBase i Firebird. Moduł PHP dodający obsługę baz danych MS SQL poprzez bibliotekę FreeTDS. php-mysql Moduł PHP umożliwiający dostęp do bazy danych MySQL. php-odbc Moduł PHP ze wsparciem dla ODBC. php-pgsql Moduł PHP umożliwiający dostęp do bazy danych PostgreSQL. php-sybase Moduł PHP dodający obsługę baz danych Sybase oraz MS SQL poprzez bibliotekę SYBDB. php-sybase- Moduł PHP dodający obsługę baz danych Sybase oraz MS SQL strona 54/54 ____________________________________________________________________________ Nazwa Baza Danych pakietu ct poprzez CT-lib. Aby skorzystać z któregokolwiek modułu należy go zainstalować. Przeprowadzając instalację w trybie wsadowym należy pamiętać o zrestartowaniu usługi apache. Warto jeszcze wspomnieć o narzędziach wspomagających zarządzanie bazami danych. Do obsługi bazy MySQL służy pakiet phpMyAdmin natomiast do PostgreSQL zainstaluj phpPgAdmin. 7.3 Serwer Ftp : Proftp Dużą zaletą ProFTPD jest jego prostota. Plik konfiguracyjny demona do złudzenia przypomina ten od Apache. Jego zrozumienie nie powinno sprawiać trudności. Przed przystąpieniem do instalacji należy zdecydować w jakim trybie ma pracować usługa. Jako demon, czy ma być uruchamiana poprzez inetd. Tryb inet polega na tym, że proces proftpd zostanie uruchomiony dopiero po odebraniu przez inetd żądania o tę usługę. Natomiast w trybie daemon ProFTPD jest uruchomiony cały czas i pracuje niezależnie od inetd. Dystrybucja udostępnia obie te możliwości. Pakiet proftpd-inetd zapewnia uruchamianie poprzez inetd, natomiast po zainstalowaniu usługi z pakietu proftpd-standalone uruchamiana ona będzie w trybie daemon. Instalacja i konfiguracja W pliku ftpusers znajduje się lista użytkowników, którym odebrana została możliwość logowania się do serwera ftp. Poszczególne pozycje z tej listy zakończone są znakiem nowej linii, tak więc każda pozycja jest rozmieszczona jedna pod drugą. Natomiast plik proftpd.conf zawiera właściwą konfigurację usługi. ServerName "ProFTPD" ServerIdent off ServerType standalone DeferWelcome off strona 55/55 ____________________________________________________________________________ DefaultServer on DefaultRoot ~ ServerName określa nazwę serwera wyświetlaną łączącym się z nim użytkownikom. ServerIdent pozwala na wyświetlenie wiadomości powitalnej podczas połączenia, np. zawartości pliku .message. Domyślnie wyłączona. ServerType ustawia tryb pracy demona ProFTPD DeferWelcome Nie pokazuje wiadomości powitalnej dopóki użytkownik się nie zautoryzuje. DefaultServer Określamy konfigurację jako domyślną DefaultRoot Wyznaczamy nadrzędny dla każdego użytkownika katalog spoza którego nie będzie mógł wyjść. W listingu powyżej będzie to katalog domowy. Poniżej znajduje się szereg zakomentowanych opcji pozwalających na konfigurację połączeń bezpieczną metodą przy użyciu SSL. Port 21 Umask User 022 ftp Group ftp AuthPAMAuthoritative on Port Definiujemy tutaj port na którym serwer będzie oczekiwał nadchodzących połączeń Umask Tryb umask 022 jest typowym standardem dla ogolnie dostępnych plików i katalogów User Konto użytkownika na którego uprawnieniach pracuje usługa Group Grupa do której należy konto użytkownika usługi AuthPAMAuthoritative Dajemy możliwość autoryzacji użytkowników poprzez moduł PAM jeśli jest to możliwe. <Directory /> AllowOverwrite on </Directory> strona 56/56 ____________________________________________________________________________ Zezwalamy na nadpisywanie plików w obrębie katalogu do którego użytkownik się zaloguje. Poniżej w pliku znajduje się przykładowa konfiguracja dla użytkownika anonimowego. Sekcja ~ftp></Anonymous>. mieści Poniższy się wewnątrz wykaz omawia znacznika najczęściej <Anonymous wykorzystywane dyrektywy w tej sekcji. User ftp Group ftp AnonRequirePassword off RequireValidShell off User - konto użytkownika którego prawa będzie uzyskiwała osoba logująca się do serwera Group - grupa do której należy powyższe konto. AnonRequirePassword - w powyższym przykładzie wyłączona. Umożliwia użytkownikom anonimowym logowanie się bez hasła. RequireValidShell - opcja ta powoduje, że ProFTPD nie sprawdza czy dany użytkownik, który się loguje posiada przypisaną w /etc/shells powłokę. UserAlias anonymous ftp MaxClients 10 DisplayLogin welcome.msg DisplayFirstChdir .message AllowStoreRestart on UserAlias - przyporządkowuje nazwę użytkownika do systemowego konta. W przykładzie anonymous został przypisany kontu ftp. MaxClients - ilość jednoczesnych połączeń anonimowych które będą realizowane przez serwer. DisplayLogin - określamy plik którego zawartość będzie wyświetlana po starcie. DisplayFirstChdir - plik którego zawartość będzie wyświetlana po pierwszym wejściu do katalogu. AllowStoreRestart - pozwala klientom wznawiać upload. 7.4 Serwer pocztowy : Qmail Bezpieczeństwo strona 57/57 ____________________________________________________________________________ qmail został zaprojektowany z myślą o bezpieczeństwie. Historia Sendmail'a pełna jest poważnych problemów związanych z bezpieczeństwem. Gdy Sendmail był tworzony, sieć była znacznie przyjaźniejszym miejscem. Wszyscy znali się zatem nie było potrzeby projektowania i pisania kodu z myślą o bezpieczeństwie. Dzisiejszy internet nie jest już tak przyjaznym miejscem dla serwerów. Prędkość działania qmail dostarcza pocztę równolegle. Domyślnie potrafi obsługiwać do 20 dostarczeń na raz. Wiarygodność qmail akceptując wiadomość gwarantuje, że nie zostanie ona utracona. Ponadto używa on nowego formatu skrzynki pocztowej, który pracuje poprawnie nawet z NFS bez lockowania plików. Prostota qmail jest mniejszy niż inne MTA o porównywalnych cechach. Konfiguracja Pliki konfiguracyjne Wszystkie pliki konfiguracyjne qmaila, za wyjątkiem plików .qmail z ~alias, znajdują się w /var/qmail/control. Plik badmailfrom bouncefrom bouncehost Wartość domyślna brak MAILERDAEMON me concurrencyincoming brak concurrencylocal 10 Używany przez Znaczenie qmail-smtpd qmail-send qmail-send Adres From na "czarnej" liście nazwa nadawcy wiadomości niedostarczonej nazwa hosta który odrzucił wiadomość /service/qmail- max liczba smtpd/run równocześnie połączeń SMTP qmail-send max liczba nadchodzących dostarczanych strona 58/58 ____________________________________________________________________________ równocześnie listów lokalnie max concurrencyremote 20 qmail-send liczba dostarczanych równocześnie listów na zewnątrz defaultdelivery brak /var/qmail/rc domyślny plik .qmail defaultdomain me qmail-inject domyślna nazwa domeny defaulthost me qmail-inject domyślna nazwa hosta databytes 0 qmail-smtpd doublebouncehost me qmail-send doublebounceto postmaster qmail-send envnoathost me qmail-send helohost me qmail-remote idhost me qmail-inject localiphost me qmail-smtpd locals me qmail-send me FQDN system of różne morercpthosts brak qmail-smtpd percenthack brak qmail-send plusdomain me qmail-inject max liczba bajtów w liście (0 brak limitu) nazwa hosta wysyłającego podwójny bounce użytkownik do którego wysyłane są podwójne bounce domyślna domena dla adresów bez "@" nazwa hosta pokazywana przez komendę HELO nazwa hosta dla Message-ID nazwa podstawiana za lokalny adres IP domeny do których dostarczamy pocztę lokalnie domyślna dla wielu plików konfiguracyjnych baza danych pomocniczych rcpthosts domeny używające relayowania w postaci "%" domena podstawiana zamiast "+" strona 59/59 ____________________________________________________________________________ qmqpservers brak qmail-qmqpc adresy IP serwerów QMQP ilość queuelifetime 604800 qmail-send sekund przez które wiadomość może przebywać w kolejce rcpthosts brak qmail-smtpd smtpgreeting me qmail-smtpd domeny dla których akceptujemy pocztę lokalnie komunikat powitalny SMTP routing dla niektórych domen smtproutes brak qmail-remote zdefiniowany "ręcznie" przez administratora timeoutconnect 60 qmail-remote timeoutremote 1200 qmail-remote timeoutsmtpd 1200 qmail-smtpd virtualdomains brak qmail-send 7.5 jak długo w sekundach czekać na połączenie SMTP jak długo w sekundach czekać na zewnętrzny serwer jak długo czekać przy odbieraniu poczty wirtualne domeny i użytkownicy Serwer Proxy www : Squid Jedną z najważniejszych usług Internetu, która często jest bezpośrednio kojarzona z Internetem, jest sieć WWW, dostarczana przez protokół HTTP. Znaczna ilość sieciowego ruchu transmitowana jest właśnie przez ten protokół. HTTP zawiera jednak mechanizmy, które pozwalają na unikanie wielokrotnej transmisji tego samego materiału przez sieć, mianowicie zgłaszanie czasu modyfikacji, czasu ważności oraz identyfikatora treści. Mechanizmy te są wykorzystywane przez przeglądarki internetowe do tworzenia lokalnego cache. Jednak lokalne cache dotyczy tylko jednego użytkownika na jednym komputerze, nie może więc zapobiec wielokrotnego sprowadzania tych samych danych poprzez jedno łącze internetowe przez wielu strona 60/60 ____________________________________________________________________________ użytkowników, na przykład w sieci lokalnej. Potrzebny jest więc centralny serwer cache, który będzie zapisywał lokalne kopie stron dla większej ilości użytkowników. Serwerem tego typu jest Squid. Konfiguracja Serwer Squid jest bardzo dobrze konfigurowywalny. Najważniejsze opcje konfiguracyjne to: • http_port numer - ustawia numer portu, na którym nasłuchuje squid, domyślnie 3128. • cache_mem rozmiar - ustawia rozmiar pamięci używany dla potrzeb cache, domyślnie 8 MB • cache_replacement_policy typ, memory_replacement_policy typ - definiuje kolejność, w jakiej obiekty będą usuwane z cache, odpowiednio dyskowego i pamięciowego. Możliwe typy to: • lru - usuwanie obiektu o najdawniejszym dostępie, jak w starych wersjach Squida. • • heap LRU - algorytm LRU używający sterty. heap LFUDA - zostawia w cache popularne obiekty niezależnie od ich rozmiaru. • • heap GDSF - zatrzymuje w cache niewielkie popularne obiekty. Preferuję dla cache dyskowej (przy odpowiednim rozmiarze) LFUDA, natomiast dla cache pamięciowej - GDSF. • cache_dir typ katalog rozmiar L1 L2 [dodatkowe...] - definiuje katalog cache Squida. Domyślne ustawienia są całkiem w porządku, można jednak zmienić typ np. na aufs, używający wątki w celu uniknięcia blokowania. Należy z całą pewnością zmienić rozmiar cache - 100 MB to bardzo niewiele. Dla średniego rozmiaru sieci jakieś 2 GB powinny być wystarczające. Konfiguracja uprawnień dostępu Serwer proxy powinien mieć dokładnie skonfigurowane prawa dostępu, aby mogły korzystać z niego wyłącznie powołane osoby. Squid posiada zaawansowany system kontroli praw dostępu, który pozwala skonfigurować nie tylko kto może korzystać z serwera, ale też w jaki sposób serwer może być używany. strona 61/61 ____________________________________________________________________________ Transparent proxy Kiedy uruchamia się proxy na zasięg średniej bądź dużej sieci, czasem nie ma możliwości, aby skontrolować ustawienia użytkowników, a proxy poprawiłoby przepustowość łącza. W takim przypadku możliwe jest wymuszenie proxy za pomocą mechanizmu transparent proxy. Polega on na tym, żeby pakiety TCP wysyłane na port 80 były przekierowywane do serwera Squid. Protokół używany do połączeń z serwerami WWW jest jednak nieco inny od używanego do komunikacji z proxy, dlatego niezbędna jest prosta zmiana w konfiguracji. Należy mianowicie ustawić: httpd_accel_host virtual httpd_accel_port 80 httpd_accel_with_proxy on httpd_accel_single_host off httpd_accel_uses_host_header on Przekierowanie portu należy skonfigurować na maszynie będącej routerem do Internetu. Jeśli jest nią ta sama maszyna, na której pracuje Squid, a wyposażona jest w jądro 2.4.x, sprawę załatwi następująca komenda iptables: # eth0 zamienić na swój interfejs sieciowy, na którym są podpięci userzy # 3128 to port, na którym pracuje squid iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT \ --to-port 3128 Jeśli serwer proxy znajduje się na innej maszynie, niż router, na komputerze z jądrem 2.4.x pomoże polecenie: # eth0 zamienić na swój interfejs sieciowy, na którym są podpięci userzy # 192.168.0.2:3128 to adres i port, na którym znajduje się squid iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT \ --to 192.168.0.2:3128 8 Domena internetowa Domena internetowa to łatwy do zapamiętania adres danej strony WWW np. www.saturnet.pl, pod którą można umieścić serwis WWW, założyć konta e-mail itp. strona 62/62 ____________________________________________________________________________ Domena dla firmy "saturnet" została zarejestrowana w serwisie nazwa.pl, pod adresem www.saturnet.pl. Domena została wykupiona, aby można było łatwo znaleźć w internecie firmę "Saturnet". Nie wykupiliśmy miejsca na serwerze, ponieważ wszystko będzie na serwerach firmowych w siedzibie "Saturnet". 8.1 Serwery DNS Podstawowy serwer DNS (Primary Domain Server)IP: 194.204.152.34 Podstawowy serwer DNS jest głównym serwerem odpowiedzialnym za utrzymanie domeny i zarządzanie w niej nazwami, zawiera on podstawowe informacje o danej domenie. Zapasowy serwer DNS (Secondary Domain Server)IP: 194.204.159.1 Serwer zapasowy pobiera dane z serwera podstawowego i sprawdza czy posiadana przez niego kopia danych domeny jest aktualna. Jeżeli potrzeba, uaktualnienia on wpisy z serwera podstawowego. Główną rolą zapasowego serwera DNS (Secondary DNS) jest przyśpieszanie odpowiedzi na zapytania oraz zabezpieczanie przed utratą danych. Zapasowy serwer DNS podczas awarii podstawowego DNS-a odpowiada na zapytania, tak jak serwer podstawowy. Ze względu na bezpieczeństwo i zapewnienie ciągłości świadczenia usługi DNS dla określonej domeny, zalecane jest umieszczanie serwera/serwerów zapasowych w różnych sieciach, a także w fizycznie odległych od siebie miejscach. Np. w zaprzyjaźnionej pracowni komputerowej w innej szkole lub innym mieście. 8.2 USA Charakterystyczne domeny dla poszczególnych krajów .arpa historyczna część ARPANET .edu domena edukacyjna – sieci akademickie .com domena komercyjna .gov domena rządowa .mil domena wojskowa strona 63/63 ____________________________________________________________________________ Europa Inne kraje .org organizacje (tzw. non-profit) .net specjalne organizacje sieci Internet .pl Polska .de Niemcy .fi Finlandia .nl Holandia .se Szwecja .uk Zjednoczone Królestwo .es Hiszpania .at Austria .fr Francja .au Australia .va Watykan .za Republika Południowej Afryki .su Rosja (i kraje byłego ZSRR) Rejestracja domeny (załącznik nr 32) 9 9.1 Punkt dostępowy (HotSpot) Zadania i przeznaczenie urządzenia HotSpot HotSpot jest zespołem urządzeń, które służą większemu gronu publicznych odbiorców (klientom firmy lub partnerom biznesowym) nieograniczonemu dostępowi do sieci Internet, jest w pełni mobilny i w 100% bezprzewodowy. Transmisja danych odbywa się na uwolnionej (niewymagającej koncesji) częstotliwości 2,4 GHz lub wyższych pasmach 5 GHz. Dostęp jest możliwy w zasięgu około 100 m od punktu dostępowego umieszczonego w budynku głównej siedziby firmy. Warunkiem koniecznym do korzystania z bezprzewodowego Internetu jest posiadanie terminala (laptopa, PDA) z kartą WLAN zgodną ze standardem 802.11g (2,4 GHZ) lub 802.11a (5 GHz) strona 64/64 ____________________________________________________________________________ 9.2 • Dane techniczne Punkt dostępowy 802.11a/b/g jest przeznaczony do profesjonalnych rozwiązań. Umożliwia jednoczesną pracę we wszystkich wymienionych standardach z mocą do 100 mW. Wyposażony jest w złącza do anten zewnętrznych dla pasm 2,4 i 5 GHz. • WAP-4000 wspiera Radius, 802.1x oraz WPA, ma możliwość zarządzania przez SSL. Umożliwia łączenie punktów dostępowych co zwiększa zakres jego zastosowań. Posiada bogate możliwości konfiguracji filtrowania pakietów. Cały szereg zastosowanych funkcji zwiększa niezawodność urządzenia i tworzonej za jego pomocą sieci. • Wsparcie QoS (Quality of Service) pozwalające na podwyższenie jakości obsługi aplikacji głosowych i multimedialnych, wymagających niewielkiego opóźnieniai odpowiedniej przepustowości. Wsparcie to realizowane jest w warstwie 2 (łącza danych) poprzez wykorzystanie tzw. „pola priorytetu” w celu przydzielania ramek „downstream” (z AP do klienta) do jednej z 4 kategorii WMM: Background, Best Effort, Video oraz Voice. Do wykorzystywania funkcjonalności WMM niezbędna jest jednak jego obsługa również poprzez urządzenie klienckie. • Rozszerzona obsługa RADIUS umożliwiająca efektywne zarządzanie sesjami użytkowników, np. w sieciach HotSpot. W porównaniu do poprzednich modeli rozpoznają znacznie większy zbiór autentykacji i billingu. strona 65/65 ____________________________________________________________________________ Rysunek 9. WAP 4000 Bezpieczeństwo, wsparcie specyfikacji WPA2 (Wi-Fi Protected Acces 2) opartej na standardzie IEEE 802.11i z wykorzystaniem technologii wzajemnej autentykacji i szyfrowania danych (portokoły CCMP oraz AES). Obsługa standardów wzajemnej autentykacji WPA, TKIP, 802.1X (PEAP, TTLS, TLS, SIM), dynamiczne, zmienne klucze szyfrujące zmieniane per użytkownik/sesja/czas, programowe aktualizacje do nowych standardów (AES, 802.11i). • Wykrywanie „obcych” AP i klientów bezprzewodowych i raportowania ich Administratorowi. Wykrywane są również punkty dostępowe nie rozgłaszające swojego SSID • Wireless Distribution System (WDS) - tryb mostu bezprzewodowego działającego jednocześnie z trybem AP. • Obsługa do 16 sieci VLAN - do 16-tu na każdy standard radiowy. Użytkownicy mogą byćkierowani do odpowiednich VLAN na podstawie informacji z autentykującego sesje serwera RADIUS. strona 66/66 ____________________________________________________________________________ • Obsługa Grup Roboczych - odrębne ustawienia bezpieczeństwa dla kazdej grupy. • Pre-autentykacja - raz zautoryzowany klient jest autentykowany na wszystkich punktach dostępowych w sieci (dotyczy wszystkich kart bezprzewodowych obsługujących standard WPA2). • Blokowanie komunikacji "intra-cell" - blokowanie bezpośredniej komunikacji między klientami AP, możliwość ustawienia przekazywania wszystkich pakietów na definiowany MAC. • Obsługa dwóch obrazów firmware - podczas uaktualniania firmware jego stara wersja jest zatrzymywania w pamięci AP do czasu poprawnego uruchomienia nowej wersji. • Bezpieczeństwo zarządzania - SSL (https), obsługa SSH autentykowanie Administratorów w serwerze RADIUS, CLI Batch File z poleceniami wsadowymi. • Wireless System Shutdown (WSS) - zdalne wyłączanie modułu radiowego z pozostawieniem aktywnych połączeń WDS. • Standard 802.11d - AP wysyła klientom bezprzewodowym ustawienia lokalne: kod kraju, dozwoloną listę kanałów, dozwolony poziom mocy emitowanej co pozwala urządzeniom klienckim automatycznie dostosować się do regulacji prawnych. • • • Automatyczna selekcja kanału radiowego w trybie 802.11a, konfigurowanie wysokości mocy nadawania przez użytkownika. Power-over-Ethernet wg standardu IEEE 802.3af. Szczegółowe dane techniczne I konfiguracja w załączonej instrukcji obsługi 9.3 Konfiguracja punktu dostępowego, parametry dostępowe i bezpieczeństwo sieci. 9.3.1 Parametry dostępowe: • Nazwa sieci (SSID): SATURNET strona 67/67 ____________________________________________________________________________ • • • • • Adres IP: przydzielany automatycznie (DHCP) Standard: 802.11g Szyfrowanie: WPA Channel: 11 Czas włączenia : godz. 7.00 do 18.00 (ręcznie przez pracownika recepcji) 9.3.2 Zasady Dostępu do sieci przez AP: Pracownicy firmy: dostęp do zasobów sieci firmowej, WWW oraz poczty elektronicznej Klienci: do zasobów sieci WWW. Klienci: do innych usług po zarejestrowaniu się. W celu utrzymania odpowiedniego poziomu bezpieczeństwa sieci dostęp klientów do innych dodatkowych usług wprowadzono dostęp autoryzowany. Osoba chcąca skorzystać z np.: poczty elektronicznej czy FTP za pomocą punktu dostępowego musi zarejestrować się w recepcji firmy. Do rejestracji wymagany jest dowód osobisty, klient podaje cel uzyskania dostępu i potwierdza własnoręcznym podpisem na formularzu, że zapoznał się z regulaminem korzystania z dostępu do sieci, po czym otrzymuje login i hasło dostępowe. Rejestracja przeprowadzana jest jednorazowo dla każdego klienta. Identyfikacja WPA - punkt dostępowy zleca identyfikację serwerowi RADIUS, który sprawdza uwierzytelnienia użytkownika porównując je z informacjami zapisanymi w swojej bazie danych, następnie udziela lub odmawia odpowiednio dostępu do sieci i wysyła do wszystkich stacji klucz grupowy by mogły one rozpocząć szyfrowanie oraz proces wysyłania i odbioru danych. Użytkownik określa czas, po którym następuje wysłanie nowego grupowego klucza do wszystkich klientów (ang. Re-Key Interval). Proces odnawiania wartości klucza TKIP (Temporal Key Integrity Protocol) jest częścią mechanizmu WPA zwiększającego bezpieczeństwo, mechanizm ten odpowiada automatycznym i periodycznym zmianom klucza WEP dla wszystkich punktów dostępu i stacji w sieci WLAN. strona 68/68 ____________________________________________________________________________ Rysunek 10. Identyfikacja WPA w trybie "korporacyjnym". Konfiguracja WPA w trybie "korporacyjnym" wymaga podania adresu IP serwera RADIUS, jego numer portu (domyślnie 1812) oraz klucz serwera i interwału czasowego do jego odnawiania. Podstawową zaletą RADIUS-a jest to, że służy on nie tylko do uwierzytelniania osób i komputerów, ale również np. samych punktów dostępowych. W ten sposób użytkownik ma pewność, że zalogował się do właściwej sieci - zdarzają się bowiem przypadki podstawienia fałszywych sieci w celu wydobycia ważnych danych z komputera użytkownika - a administrator może wyeliminować "nielegalne" punkty dostępowe, uruchamiane dla wygody przez pracowników firmy. Sam serwer RADIUS to zaś po prostu wydzielony komputer z odpowiednim oprogramowaniem, który stanowi centralny punkt zarządzania wszystkimi hasłami i zasobami sieci. Aby wymusić identyfikację z poziomu użytkownika, WPA wykorzystuje protokół PEAP, który z kolei opiera się na standardzie 802.1x kontroli dostępu do sieci bazującego na porcie. PEAP(Protected EAP), przewidziano stosowanie certyfikatów tylko przez serwery. Standard 802.1X umożliwia bezpieczne uwierzytelnianie haseł użytkowników oraz przesyłanie kluczy, dzięki czemu można bezpiecznie zalogować się do sieci, nie obawiając się o to, że ktoś przechwyci nasze hasło lub klucz. strona 69/69 ____________________________________________________________________________ 9.4 Charakterystyka protokołu RADIUS Remote Authentication Dial-In User (RADIUS) jest pracującym w architekturze klient/serwer rozproszonym systemem autentykacji. W systemie tym klient skonfigurowany jest na serwerze dostępowym lub routerze, a serwerem jest zdalny wielodostępny host z uruchomionym dedykowanym oprogramowaniem RADIUS. Przechowuje on bazę danych o uprawnionych do korzystania z zasobów sieci użytkownikach i ich prawach. Poprawnie skonfigurowany serwer dostępowy odwołuje się do jego wiedzy w celu dokonania autentykacji, autoryzacji i raportowania działań użytkownika w systemie. RADIUS jest protokołem w pełni otwartym. Specyfikacja protokołu jest publicznie dostępna w formie dokumentu RFC, a oprogramowanie protokołu jest rozpowszechniane bez pobierania żadnych opłat w formie kodu żródłowego. Kod ten może podlegać modyfikacjom w celu dostosowania do wszystkich aktualnie wykorzystywanych systemów bezpieczeństwa. Na routerach i serwerze dostępowym SATURNET protokół RADIUS jest implementowany w ramach modelu AAA. Konfiguracja bezpieczeństwa w systemie AAA przewiduje możliwość współistnienia protokołu RADIUS z innymi protokołami podobnego przeznaczenia takimi jak: TACACS+, Kerberos oraz autentykacją na podstawie lokalnych baz użytkowników na serwerze dostępowym. 9.5 Funkcjonowanie protokołu RADIUS W odpowiedzi na próbę zalogowania się użytkownika do sieci serwer dostępowy generuje zapytanie o dane użytkownika, w tym jego identyfikator i hasło. Po wprowadzeniu tych danych z poziomu terminala użytkownika, jego identyfikator wraz z zakodowanym hasłem zostają wysłane do serwera RADIUS-a. Rolę serwera autentykacji spełnia host, pracujący pod kontrolą systemu operacyjnego Linux z uruchomionym dedykowanym oprogramowaniem serwera RADIUS. Po sprawdzeniu danych użytkownika skutkiem ich skonfrontowania z zawartością własnych baz danych serwer RADIUS może odpowiedzieć jednym z następujących komunikatów: • ACCEPT - oznacza sukces autentykacji, strona 70/70 ____________________________________________________________________________ • REJECT - użytkownik nie został poprawnie zautentykowany, dostęp do zasobów sieci jest zabroniony, • CHALLENGE - prośba o wprowadzenie dodatkowych danych uwierzytelniających. Po przejściu z sukcesem etapu autentykacji, serwer RADIUS sprawdza w bazach autoryzacji, jakie usługi sa dostępne dla danego użytkownika (np. telnet, rlogin, połączenia terminalowe LAT, oprogramowanie protokołów SLIP czy PPP, możliwość wywołania interpretera EXEC). Serwer RADIUS na etapie autoryzacji sprawdza też czy działania danego użytkownika w sieci nie powinny podlegać restrykcjom wynikłym z list dostępu. 9.6 QoS (ang. Quality of Service) AP 4000 Wireless Access Point wspomaga QoS (ang. Quality of Service) - po polsku: jakość obsługi/przekazu. Są to wymagania nałożone na połączenie komunikacyjne realizowane przez naszą sieć komputerową. Aby zapewnić QoS, stosowane są następujące mechanizmy: • • • kształtowanie i ograniczanie przepustowości, zapewnienie sprawiedliwego dostępu do zasobów nadawanie odpowiednich priorytetów poszczególnym pakietom wędrującym przez sieć, • • • zarządzanie opóźnieniami w przesyłaniu danych zarządzanie buforowaniem nadmiarowych pakietów: DRR, WFQ, WRR określenie charakterystyki gubienia pakietów, unikanie przeciążeń: Conncetion Admission Control (CAC), Usage Parameter Control (UPC) Wykorzystanym standardem QoS będzie Diff-Serv definiuje on sposób, w jaki bajt typu usług ToS (Type of Services) IPv4 lub IPv6 Traffic Class jest stosowany do specyfikowania warunku QoS. Diff-Serv odpowiada obecnemu użyciu bitów IP Predominance w obszarze ToS. Protokół ten został przewidziany do przekazywania dla QoS ogólnych kategorii ruchu lub grup ruchu. W modelu Diff-Serv zastosowanie QoS na poziomie urządzenia sieciowego implikuje cztery etapy. Pakiety na stosownych etapach są: strona 71/71 ____________________________________________________________________________ • klasyfikowane według informacji przenoszonej przez nagłówek warstwy czwartej; • • cechowane w celu oznaczenia klasyfikacji; sortowane w sposób selektywny, głównie po to, aby uniknąć przeciążeń; Klasyfikowanie i cechowanie oznacza kreowanie list kontroli dostępu. Kontrola i sortowanie są wykonywane za pośrednictwem algorytmu RED (Random Early Detection) lub zrównoważonego RED o nazwie WRED (Weighted Random Early Detection). Trasowanie jest przeprowadzane dzięki licznym algorytmom, takim jak na przykład zrównoważony mechanizm zarządzania kolejkami (WFQ), zarządzanie kolejkami oparte na kategorii lub klasie i inne. Do administratora sieciowego należy konfigurowanie takich algorytmów, jak: kształtowanie ruchu (Traffic Shoping) i Policing. 9.7 Zasilanie AP AP 4000 Wireless Access Point jest zgodny ze specyfikacją 802.3af, co pozwala na zasilanie naszego AP przez okablowanie UTP (skrętka nieekranowana) napięciem zmiennym 48 V. Można wykorzystać okablowanie kategorii 3, 5, 5e lub 6. Natężenie prądu zasilającego jest ograniczone do 350 mA, a ciągła moc dostarczana do urzadzenia (wliczając w to straty powstałe podczas przesyłania napięcia) nie może przekraczać 12,95 W. Napięcie zasilające jest przesyłane parą przewodów wchodzących w skład okablowania LAN. Specyfikacja 802.3af przewiduje, że urządzenie zasilające musi zawierać układ niepozwalający, aby napięcie było dostarczone do urządzenia niezgodnego z tą specyfikacją. Wykorzystujemy typ źródła zasilania end-span (to przełącznik Ethernet zawierający moduł pracujący zgodnie z technologią Power over Ethernet) jest to przełączniki nowej generacji, który dostarcza dane i napięcie zasilające przez te same pary okablowania (to jest przez pary transmisyjne 1/2 i 3/6). strona 72/72 ____________________________________________________________________________ 10 Polityka bezpieczeństwa 10.1 Definicja polityki bezpieczeństwa Definicja polityki bezpieczeństwa (ang. Security policy) jest zbiorem spójnych, precyzyjnych i zgodnych z obowiązującym prawem przepisów, reguł i procedur, według których dana organizacja buduje, zarządza oraz udostępnia zasoby, systemy informacyjne i informatyczne oraz określa, w jaki sposób te zasoby maja być chronione. Polityka bezpieczeństwa zapewnia: • Spójność z wyznaczonymi celami przedsiębiorstwa, oraz pełną integrację z podstawowymi procesami biznesowymi zdefiniowanymi w przedsiębiorstwie, • Skuteczniejsze działanie w odniesieniu do zagrożeń poufności, integralności i dostępności danych, • Realizację celów przedsiębiorstwa w taki sposób, aby podnieść jakość i wiarygodność wobec klientów przedsiębiorstwa, • Ochronę informacji tworzonej, przetwarzanej i przechowywanej i przesyłanej nie tylko za pomocą systemów komputerowych, ale również w innych obszarach jej przetwarzania i przechowywania. 10.2 Uwarunkowania prawne Polityka bezpieczeństwa została oparta o: • • Ustawę dotyczącą ochrony danych osobowych dz. U. Nr 101 poz. 926 z 2002r. Polskie normy pn-iso/iec 17799, pn-i-13335-1 określające systemy zarządzania bezpieczeństwem informacji oraz pojęcia i modele bezpieczeństwa systemów informatycznych 10.3 Założenia Założeniem niniejszej polityki bezpieczeństwa jest zapewnienie ochrony całemu systemowi informatycznemu, a także wszystkich jego elementów, czyli baz danych, w strona 73/73 ____________________________________________________________________________ których przetwarzane są informacje odnośnie danych osobowych. Celem jest również zapewnienie technicznych i organizacyjnych uwarunkowań prowadzących do właściwego zarządzania systemem informatycznym 10.4 Analiza ryzyka na podstawie architektury sieci Sieć tworzy: Router NAT – router z wbudowanym firewallem; posiada dwa interfejsy dostępu do Internetu (2 x WAN, główne łącze do Internetu POLPAK i zapasowe NETIA); router posiada NAT Firewall – ściana ogniowa mająca za zadanie filtrować za pomocą zaawansowanych filtrów ruch głównie przychodzący ograniczając go do wybranych usług (poczta, WWW, ftp, email, DNS)…. Demilitarized Zone (DMZ) - strefa zdemilitaryzowana bądź ograniczonego zaufania, którą definiuje się na zaporze sieciowej. Jest to podsieć, która wydziela serwery dostępne na zewnątrz (np. serwery internetowe) od sieci wewnętrznej "zaufanej". W wypadku włamania na taki serwer, intruz nie będzie miał możliwości dostania się do sieci "zaufanej". Hosty bastionowe usług internetowych: W celu utrzymania złożonych wartości rang ryzyka zastosowano podział usług serwerowych na trzech hostach. Host poczty – biorąc pod uwagę istotną wartość poczty dla organizacji każda inna usługa podnosiłaby prawdopodobieństwo udanego ataku. Host zdalnego dostępu – świadczy mało bezpieczne usługi dostępowe dla zdalnego klienta. Pozwala on na wymianę danych ze zdalnym klientem będąc zapasem dla serwera pocztowego. Usługi uruchomione na hoscie to: WWW, FTP, SSH, strona 74/74 ____________________________________________________________________________ Host RADIUS, PROXY i DNS – serwer obsługujący usługi zdalnego uwierzytelniania użytkowników RADIUS i przekazywania oraz pośredniczenia usług PROXY. Użycie pośrednika wprowadza w sieci element zabezpieczający, ponieważ jego praca realizowana jest w warstwie aplikacyjnej modeli ISO/OSI, i jako taka może analizować logiczną zawartość pakietów, a nie jedynie ich formalną zgodność ze standardem. HotSpot – otwarty i dostępny publicznie punkt dostępu umożliwiający dostęp do Internetu (klientom firmy lub partnerom biznesowym) za pomocą sieci bezprzewodowej. HotSpot spełnia normy bezpieczeństwa: - Posiada wsparcie specyfikacji WPA2 (Wi-Fi Protected Access 2) opartej na standardzie IEEE 802.11i z wykorzystaniem technologii wzajemnej autentykacji i szyfrowania danych (protokoły CCMP oraz AES). - Obsługę standardów wzajemnej autentykacji WPA, TKIP, 802.1X (PEAP, TTLS, TLS, SIM), dynamiczne, zmienne klucze szyfrujące zmieniane per użytkownik/sesja/czas, programowe aktualizacje do nowych standardów (AES, 802.11i). - Wykrywanie "obcych" AP i klientów bezprzewodowych i raportowania ich Administratorowi. Wykrywane są również punkty dostępowe nierozgłaszające swojego SSID. - Obsługę do 16 sieci VLAN - do 16-tu na każdy standard radiowy. Użytkownicy mogą być kierowani do odpowiednich VLAN na podstawie informacji z autentykującego sesje serwera RADIUS. Host monitor – pozwala na monitorowanie sieci pod kątem naruszeń bezpieczeństwa. Taki host znajduje się w strefie DMZ jest to tak zwany host pułapka, każda próba dostępu jest alarmem gdyż nie posiada on żadnych usług dla klientów, z drugiej strony host monitor podsłuchuje ruch w sieci poszukując sygnatur ataku. Host tego typu może być systemem linuxowym z zainstalowanych oprogramowaniem IDS oraz oprogramowaniem do mierzenia obciążenia sieci. Router wewnętrznej i firewall – ostatnia linia obrony, ma za zadanie blokować otwarte połączenia z zewnątrz do wewnątrz sieci oraz filtrować ruch wypływający na poziomie portów. Stanowi drugą i główną linię obrony. Obsługuje on system Proxy dla klientów strona 75/75 ____________________________________________________________________________ sieci wewnętrznej, mechanizm NAT, stanowy filtr pakietów oraz system IDS. System ma za zdanie zabronić przejścia połączeń z sieci zewnętrznej i udostępniać Internet hostom wewnętrznym. Komputer ma wyłączone trasowanie, więc blokuje dostęp do Internetu z pominięciem systemu Proxy. Proxy jest chroniony dodatkowo filtrem pakietów, który logicznie jest przed systemem Proxy nie pozwalając na nieuprawnione jego wykorzystanie oraz blokując dostęp do hosta. Firewall posiada procesor antywirusowy i system detekcji włamań. System IDS – pozwala na monitorowanie sieci pod kątem naruszeń bezpieczeństwa VPN – Prywatna sieć wirtualna ochroni dane w sieci przed dostępem osób nieuprawnionych. WLAN W komunikacji bezprzewodowej transmisja danych jest wykonywana za pośrednictwem fal radiowych, a nie kabli, co wiąże się z potrzebą wprowadzenia środków bezpieczeństwa zapewniających poufność przesyłanych danych. Istnieją trzy metody zapewniania integralności i bezpieczeństwa sieci przez rozwiązania bezprzewodowe: Adresowanie MAC Szyfrowanie Zabezpieczenie sieci przez VPN Najlepszym zabezpieczeniem sieci bezprzewodowej jest zadbanie o bezpieczeństwo już na samym wejściu do firmowej sieci. Technologia wirtualnej sieci prywatnej (Virtual Private Network — VPN) pozwala określać użytkowników spoza systemu, którzy mogą uzyskiwać dostęp do systemu. Sieć VPN jest po prostu bramą autoryzującą użytkowników spoza sieci (czyli osoby niepracujące w budynku lub łączące się z domu), przez którą trzeba przejść, zanim będzie można uzyskać dostęp do dowolnej części sieci — przewodowej lub nie. Przed uzyskaniem dostępu do sieci bezprzewodowej, należy zalogować się do sieci VPN i podać wymagane dane uwierzytelniające. strona 76/76 ____________________________________________________________________________ Sieć VPN należy postrzegać nie jako barierę wejścia do sieci bezprzewodowej, lecz raczej jako składnik wspólny dla wszystkich sieci, do których można uzyskiwać dostęp z zewnątrz. Zabezpieczenia sieci VPN w połączeniu z adresowaniem MAC oraz protokołem bezprzewodowej sieci lokalnej zapewniają wysoką ochronę sieci bezprzewodowej. Urządzenia WLAN z rodziny Tsunami MP.11a to urządzenia przeznaczone do montażu zewnętrznego pozwalające na bezprzewodowe połączenie odległych od siebie budynków. Składają się z punktu dostępowego i stacji abonenckich. Urządzenia te spełniają wszystkie normy bezpieczeństwa m.in. włączono obsługa tuneli VPN dla każdego interfejsu z wykorzystaniem IPSec w celu zabezpieczenia sieci wewnętrznych; włączono szyfrowanie dla wszystkich Access Pointów; użyto szyfru AES; szyfrowanie AES odbywa się z wykorzystaniem cyfrowych certyfikatów (PKI X.509), IKE z automatyczną i manualną wymianą kluczy itd. Dla analizowanej sieci przyjęto następujące progi rang: • Krańcowe elementy podsystemu ochrony Rk <200, • Hosty bastionowe realizujące funkcje ochronne Rp < 400 • Hosty bastionowe usługowe Rp < 2000 • Całość podsystemu Ro < 1000 Najsłabszym punktem systemu w kontekście bezpieczeństwa są host bastionowe serwujące usługi dla użytkownika zewnętrznego. Przejęcie nad nimi kontroli pozwoli intruzowi na zdobycie przyczółka w DMZ, który może w efekcie doprowadzić do przełamania obrony. Dlatego też hosty bastionowe powinny być szczególnie uważnie konfigurowane, zaopatrzone w najnowsze łaty oprogramowania oraz monitorowane na bieżąco. Przedstawiona architektura spełnia wymogi: strona 77/77 ____________________________________________________________________________ • Minimalne przywileje – użytkownik jest ograniczony do drastycznych norm strzeżonych przez filtry i może używać jedynie określonych protokołów. • Głęboka obrona – wiele mechanizmów obrony umiejscowionych w dwóch newralgicznych liniach obrony. • Wąskie przejście – router wewnętrzny oraz host Proxy są wąskim przejściem sprawującym kontrolę nad całym ruchem do i z sieci wewnętrznej. • Najsłabszy punkt – został wyszczególniony i podano zasady, jakie muszą być spełnione w celu minimalizacji zagrożenia. • Bezpieczeństwo w razie awarii – awaria któregoś z routerów NAT spowoduje przełączenia na zapasowy router NAT i umożliwi dostęp do Internetu. Awaria routera wewnętrznego spowoduje odcięcie sieci. • Zróżnicowana obrona – rozwiązanie wykorzystujące technologie, które są dystrybuowane przez różnych producentów, wiec zasada ta została zachowana. 10.5 • Metody zabezpieczenia sieci Logi systemowe - są używane do sporządzania statystyk, wykrywania prób penetracji (włamań) oraz ich sposobu, wykrywania błędów i nieprawidłowości. Niekiedy logi dotyczące pracy jednego systemu zapisywane są na innym, specjalnie do tego przeznaczonym systemie ze względów bezpieczeństwa. • Uwierzytelnianie - jest procesem polegającym na sprawdzeniu, czy przedstawiająca się osoba, komputer, urządzenie lub usługa jest tą, za którą się podaje. Najczęściej proces uwierzytelniania w odbywa się przy pomocy nazwy logowania (loginu) i hasła. • Nat - (ang. Network address translation) - technika translacji adresów sieciowych. • Filtry pakietów - systemy odpowiedzialne za filtrowanie pakietów określające na podstawie charakterystyki pakietu czy jest on bezpieczny. • • • Hosty bastionowe – systemy komputerowe pracujące w sieci ochrony Systemy proxy – ogół systemów pośredniczenia i przekazywania usług Systemy ids - (intruder detection system - system wykrywania włamań) - jeden ze sposobów zabezpieczania sieci, którego zadaniem jest nielegalnej strona 78/78 ____________________________________________________________________________ działalności na podstawie szeroko rozumianej analizy pracy chronionego systemu. • VPN - (ang. Virtual Private Network, Wirtualna Sieć Prywatna) szyfrowane kanały łączące sieci prywatne przez internet • Odpowiednia architektura systemów zabezpieczeń – logiczne umiejscowienie elementów systemu ochrony 10.6 Strategie ochrony 10.6.1 Zapewnianie bezpieczeństwa dzięki wielowarstwowemu mechanizmowi ochrony Strategia ta obejmuje kilka warstw ochrony informacji. Pierwszą linię obrony stanowi ograniczanie fizycznego dostępu do systemu komputerowego. Realizowana jest przez zamykanie komputerów w pomieszczeniach, do których dostęp odbywa się przy uwierzytelnieniu, np. za pomocą karty magnetycznej lub wstukania kodu dostępu na klawiaturze przy drzwiach. Kolejną warstwą ochrony jest procedura uwierzytelniania użytkownika rozpoczynającego pracę w systemie. Procedura ta ma na celu ochronę przed nielegalnym dostępem do systemu. Wykorzystywanym narzędziem są tutaj hasła. Aby procedura ta zapewniała odpowiednio wysoki poziom bezpieczeństwa, hasło powinno być kontrolowane na etapie tworzenia. Istnieje szereg narzędzi, zarówno dostarczanych z systemami operacyjnymi, jak i dodatkowych, służących do kontroli zawiłości haseł (np. Npasswd, passwd+, goodpw, crack). Niektóre z tych narzędzi tworzą słowniki najpopularniejszych wyrażeń, (wśród których są nazwy użytkowników systemu) i stosując pewien zbiór reguł próbują wygenerować niebezpieczne hasła, które później nie są dopuszczane do użytkowania. Inną warstwą ochrony są metody wykorzystujące inteligentne karty. Karty takie mogą mieć różnorakie formy, często przypominają karty telefoniczne, a nawet kalkulatory osobiste. Aby karta rozpoczęła działanie, konieczne jest podanie przez użytkownika osobistego numeru identyfikacyjnego pin (ang. Personal identification number). Tyle ile jest rodzajów inteligentnych kart tyle jest sposobów ich działania. Jednym z najpopularniejszych jest protokół typu wezwanie-odpowiedź, metoda oparta na tzw. strona 79/79 ____________________________________________________________________________ Kryptograficznym protokole uwierzytelniania ze współdzielonym kluczem. System generuje pewną losową liczbę i podaje ją użytkownikowi. Ten wprowadza ją do karty, która szyfruje liczbę. Rezultat szyfrowania zwracany jest do systemu. System sprawdza, czy liczba została zaszyfrowana poprawnie. Inna metoda wykorzystuje protokół lamporta. Polega ona na tym, że liczba, którą należy podać systemowi, generowana jest przez kartę po wprowadzeniu numeru identyfikacyjnego. Karta musi być uprzednio zainicjowana w systemie, z którym będzie współdziałać. 10.6.2 Różnicowanie typów mechanizmów ochrony Różnicowanie typów mechanizmów ochrony jest niejako dodatkiem do koncepcji wielowarstwowego mechanizmu ochrony. Przy zabezpieczeniach jednego rodzaju poznanie słabego punktu danego typu zabezpieczenia umożliwia swobodną ingerencję wewnątrz systemu. Stosowanie produktów zabezpieczających, np. Pochodzących od różnych dostawców znacznie zmniejsza prawdopodobieństwo utraty bezpieczeństwa całego systemu, gdy zawiedzie jego jedno ogniwo, zwłaszcza w sytuacji, gdy metoda ta połączona jest z wielowarstwowym mechanizmem ochrony. Należy mieć na uwadze, że administrowanie takim zróżnicowanym systemem bezpieczeństwa może być znacznie bardziej złożone, niż administrowanie systemem jednolitym. 10.6.3 Wydzielanie i monitorowanie punktów wymiany informacji systemu z otoczeniem Przykładem realizacji tej strategii jest architektura firewall, w której wszelka wymiana informacji pomiędzy systemem informatycznym organizacji, a siecią globalną odbywa się przez wydzielony fragment systemu. Może nim być komputer łączący sieć organizacji z siecią globalną czy podsieć spełniająca taką funkcję pod kontrolą odpowiedniego oprogramowania. Oprogramowanie takie ma za zadanie monitorować przesyłane informacje i sygnalizować wszelkie nieprawidłowości, bądź fakty mogące zagrozić bezpieczeństwu systemu organizacji. 10.6.4 Automatyczne blokowanie się systemu w przypadku wykrycia włamania strona 80/80 ____________________________________________________________________________ W strategii tej w przypadku wykrycia zagrożenia system sam blokuje w mniejszym lub większym stopniu swoje działanie uniemożliwiając intruzowi wyrządzanie większych szkód. Oczywiście ograniczona zostaje (bądź blokowana) możliwość pracy legalnych użytkowników. Jednocześnie system zapisuje wykaz swojego stanu w momencie wykrycia zagrożenia, co później ułatwia likwidację ewentualnych szkód lub lokalizację wyłomu w systemie bezpieczeństwa. 10.6.5 Hierarchizacja uprawnień użytkowników systemu Do systemu wprowadza się hierarchie użytkowników w związku z uprawnieniami, jakie posiadają. Użytkownicy pełniący funkcje administracyjne mają większe prawa, niż użytkownicy tych funkcji niepełniący. Administratorzy poszczególnych podsystemów (np. Podsystemu drukowania, czy podsystemu poczty elektronicznej) posiadają mniejsze prawa, niż administratorzy główni, dzięki temu w przypadku ataku na system narażony jest tylko fragment systemu. 10.6.6 Świadome kreowanie i eksponowanie "słabych punktów" Strategia ta polega na zastosowaniu pewnego triku polegającego na świadomym wyborze i eksponowaniu fragmentów systemu, które w opinii włamywacza mają uchodzić za "słaby punkt". Odwrócona zostaje wówczas uwaga intruza od pozostałych, ważniejszych części systemu. Należy oczywiście zadbać, aby poziom ochrony w tych "słabych punktach" był dostatecznie wysoki dla uniemożliwienia przeprowadzenia udanego ataku. 10.6.7 Określenie sposobu zaradzania systemem informatycznym 10.6.7.1 Określenie sposobu przydzielania haseł dla użytkowników i częstotliwości ich zmiany oraz wskazanie osoby odpowiedzialnej za tą czynność. • • • Hasło nie powinno zawierać mniej niż 6 znaków, Hasło nie może być takie samo jak identyfikator Hasło użytkownika powinno być zmieniane, co najmniej raz na miesiąc strona 81/81 ____________________________________________________________________________ • Identyfikator użytkownika nie powinien być zmieniany, a po wyrejestrowaniu użytkownika z systemu informatycznego nie powinien być przydzielany innej osobie. • Identyfikator osoby, która utraciła uprawnienia do dostępu do danych osobowych, należy niezwłocznie wyrejestrować z systemu • Hasło przy wpisywaniu nie może być wyświetlane na ekranie za gospodarkę hasłami • Za gospodarkę hasłami odpowiedzialny jest administrator bezpieczeństwa informacji 10.6.7.2 • Procedury rozpoczęcia i zakończenia pracy Administrator bezpieczeństwa informacji danych w porozumieniu z kierownikiem ustala czas pracy użytkowników systemu • Administrator bezpieczeństwa informacji, lub osoba przez niego upoważniona, nadzoruje rozpoczęcie i zakończenie pracy systemu informatycznego 10.6.7.3 • Metody i częstotliwość tworzenia kopii awaryjnych Za sporządzanie i bezpieczeństwo kopii odpowiedzialny jest administrator bezpieczeństwa informacji, lub osoba przez niego upoważniona • • Kopii należy dokonywać poprzez przegrywanie (backup) całej bazy danych W każdej chwili powinno być dostępnych jednocześnie pięć kopi z ostatniego dnia tygodnia miesiąca i roku • • Powinno używać się różnych typów nośników danych Kopie należy przechowywać w rożnych odpowiednio od siebie oddalonych pomieszczeniach • • Dokładnie opisywać składowane dane Kopie okresowo sprawdzać pod kątem ich dalszej przydatności do odtworzenia danych w przypadku awarii systemu • Regularnie konserwować urządzenia do składowania 10.6.7.4 Metody sprawdzania obecności wirusów komputerowych oraz metody ich usuwania • Za ochronę antywirusową odpowiedzialny jest administrator bezpieczeństwa informacji strona 82/82 ____________________________________________________________________________ • Sprawdzanie dostępnymi programami antywirusowymi odbywać się powinno przynajmniej raz w miesiącu • • • Zalecane jest wykorzystanie programów pracujących w tle Przy kontroli szczególną uwagę należy zwrócić na makra Każdą przesyłkę otrzymaną za pomocą transmisji danych (e-mail, ftp) należy sprawdzić programem antywirusowym • Korzystanie z zewnętrznych nośników informacji (dyskietek, dysków wymiennych, płyt cd, internetu, poczty elektronicznej) może mieć miejsce wyłącznie po uzyskaniu zgody administratora bezpieczeństwa informacji • W przypadku wykrycia wirusa choćby na jednym komputerze, należy sprawdzić wszystkie stacje robocze 10.6.7.5 Sposób dokonywania przeglądów i konserwacji systemu i zbioru danych osobowych • Przeglądu i konserwacji dokonuje administrator bezpieczeństwa informacji, lub osoba przez niego upoważniona, przynajmniej dwa razy w roku • Zasilacz ups powinien zapewnić automatyczne zakończenie pracy i wyłączenie serwerów przy zaniku lub nadmiernym wahaniu napięcia – min. Czas podtrzymania pracy wynosi 5 min • Wszelkich nieprawidłowościach, bezpieczeństwa danych awariach, osobowych, próbie użytkownik lub naruszeniu powinien niezwłocznie powiadomić administratora bezpieczeństwa informacji 10.6.7.6 Sposób postępowania w zakresie komunikacji w sieci komputerowej System informatyczny służący do przetwarzania danych osobowych chroni się przed zagrożeniami pochodzącymi z sieci publicznej poprzez wdrożenie fizycznych, lub logicznych zabezpieczeń, chroniących przez nieuprawnionym dostępem • Przy przydzielaniu uprawnień obowiązuje zasada „wszystko, co nie jest dozwolone, jest zabronione” • Administrator bezpieczeństwa informacji z administratorem danych określa zasoby dostępne dla każdego użytkownika • Użytkownicy powinni być przydzielani do odpowiedniej grupy roboczej, automatycznie w procesie logowania strona 83/83 ____________________________________________________________________________ • Dostęp do serwerowi ma tylko administrator bezpieczeństwa informacji i pracownicy przez niego upoważnieni • • Dostęp do konsoli serwera winien być zabezpieczony hasłem Administrator bezpieczeństwa informacji winien monitorować pracę w sieci za pomocą dostępnego oprogramowania narzędziowego i plików .log • W pomieszczeniu, gdzie ustawiony jest serwer powinien pracować tylko administrator bezpieczeństwa informacji, lub osoby przez niego upoważnione • Nie wolno instalować w sieci własnego oprogramowania bez zgody administratora bezpieczeństwa informacji • „zwykli” użytkownicy nie powinni mieć dostępu do zasobów systemowych serwera, katalogów roboczych, danych i wolumenów z poziomu systemu operacyjnego • • Dostęp do archiwalnych plików pocztowych należy zabezpieczyć hasłem W celu zwiększenia bezpieczeństwa transmisji danych osobowych należy stosować kryptografie • Komunikacja w sieci lokalnej musi umożliwiać identyfikację pracujących użytkowników 10.6.8 Instrukcja postępowania w sytuacji naruszenia ochrony danych osobowych Za naruszenie ochrony danych osobowych uznaje się przypadki, gdy stwierdzono naruszenie zabezpieczenia systemu informatycznego, lub stan urządzenia, zawartość zbioru danych osobowych, ujawnione metody pracy, sposób działania programu lub jakość komunikacji w sieci telekomunikacyjnej mogą wskazywać na naruszenie zabezpieczeń tych danych. Każdy pracownik , który stwierdzi lub podejrzewa naruszenie ochrony danych osobowych w systemie informatycznym zobowiązany jest do niezwłocznego poinformowania o tym administratora tego systemu informatycznego, lokalnego administratora danych osobowych lub w przypadku ich nieobecności administratora bezpieczeństwa informacji przedsiębiorstwa. Administrator bazy danych osobowych, strona 84/84 ____________________________________________________________________________ który stwierdził lub uzyskał informację wskazującą na naruszenie ochrony tej bazy danych zobowiązany jest do niezwłocznego: • Zapisania wszelkich informacji i okoliczności związanych z danym zdarzeniem, a w szczególności dokładnego czasu uzyskania informacji o naruszeniu ochrony danych osobowych lub samodzielnym wykryciu tego faktu • Jeżeli zasoby systemu na to pozwalają, wygenerowania i wydrukowania wszystkich dokumentów i raportów, które mogą pomóc w ustaleniu wszelkich okoliczności zdarzenia, opatrzenia ich datą i podpisania • Przystąpienia do zidentyfikowania rodzaju zaistniałego zdarzenia, w tym do określenia skali zniszczeń, metody dostępu osoby niepowołanej do danych itp. • Podjęcia odpowiednich kroków w celu powstrzymania lub ograniczenia dostępu osoby niepowołanej, zminimalizowania szkód i zabezpieczenia przed usunięciem śladów naruszenia ochrony danych, w tym m.in. - fizycznego odłączenia urządzeń i segmentów sieci, które mogły umożliwić dostęp do bazy danych osobie niepowołanej, - wylogowania użytkownika podejrzanego o naruszenie ochrony danych, - zmianę hasła na konto administratora i użytkownika, poprzez którego uzyskano nielegalny dostęp w celu uniknięcia ponownej próby uzyskania takiego dostępu. • Szczegółowej analizy stanu systemu informatycznego w celu potwierdzenia lub wykluczenia faktu naruszenia ochrony danych osobowych, • Przywrócenia normalnego działania systemu, przy czym, jeżeli nastąpiło uszkodzenie bazy danych, odtworzenia jej z ostatniej kopii awaryjnej z zachowaniem wszelkich środków ostrożności mających na celu uniknięcie ponownego uzyskania strona 85/85 ____________________________________________________________________________ • Dostępu przez osobę nieupoważnioną, tą samą drogą. Po przywróceniu normalnego stanu bazy danych osobowych należy przeprowadzić szczegółową analizę w celu określenia przyczyn naruszenia ochrony danych osobowych lub podejrzenia takiego naruszenia, oraz przedsięwziąć kroki mające na celu wyeliminowanie podobnych zdarzeń w przyszłości. - jeżeli przyczyną zdarzenia był błąd użytkownika systemu informatycznego, należy przeprowadzić szkolenie wszystkich osób biorących udział w przetwarzaniu danych. - jeżeli przyczyną zdarzenia była infekcja wirusem należy ustalić źródło jego pochodzenia i wykonać zabezpieczenia antywirusowe i organizacyjne wykluczające powtórzenie się podobnego zdarzenia w przyszłości. - jeżeli przyczyną zdarzenia było zaniedbanie ze strony użytkownika systemu należy wyciągnąć konsekwencje dyscyplinarne wynikające z kodeksu pracy oraz ustawy o ochronie danych osobowych. Administrator bazy danych osobowych, w której nastąpiło naruszenie ochrony danych osobowych, w porozumieniu z właściwym lokalnym administratorem danych osobowych przygotowuje szczegółowy raport o przyczynach, przebiegu i wnioskach ze zdarzenia i w terminie 14 dni od daty jego zaistnienia przekazuje lokalnemu administratorowi danych oraz administratorowi bezpieczeństwa informacji przedsiębiorstwa. Administrator bezpieczeństwa informacji przeprowadza analizę raportów pochodzących od wydziałowych administratorów bezpieczeństwa informacji i uwzględnia je w opracowywaniu corocznego raportu dla administratora danych przedsiębiorstwa. 11 Podłogi podniesione modułowe dla pomieszczenia MDF strona 86/86 ____________________________________________________________________________ Podłogi podniesione modułowe stosuje się wszędzie tam, gdzie zachodzi potrzeba okablowania pomieszczeń i stanowisk pracy - w szczególności, gdy wymagany jest bezpośredni dostęp do przestrzeni podpodłogowej na całej powierzchni. Podłoga składa się z płyt 60x60 cm, opartych na słupkach - bezpośrednio w narożnikach albo za pośrednictwem rusztu. W obu przypadkach słupki są na trwałe przymocowane do stropu w rozstawie modułowym 60 x 60 cm. Przestrzeń podpodłogowa (o wysokości od kilku cm 12 cm bez rusztu. służy do prowadzenia różnego rodzaju instalacji : elektrycznych, telefonicznych, komputerowych, telewizji przemysłowej, alarmowej, gaśniczej itp. Płyty mogą posiadać otwory, w których montuje się kasety do mocowania różnego rodzaju gniazd, np. elektrycznych, telefonicznych, komputerowych. Elementy systemu 1. Płyta modułowa 60x60 cm 2. Dowolne wykończenie powierzchni podłogi np wykładzina PCW 3. Puszka instalacyjna na gniazdka elektryczne, telefoniczne, komputerowe strona 87/87 ____________________________________________________________________________ 4. Strop betonowy oczyszczony i zagruntowany 5. Słupek podporowy regulowany ze stali galwanizowanej Zalety podłogi podniesionej modułowej: - bezpośredni dostęp do każdego miejsca pod podłogą ; - wolna przestrzeń pod całą powierzchnią podłogi do prowadzenia różnego rodzaju instalacji; - możliwość umieszczania kaset podłogowych z różnymi gniazdami instalacyjnymi praktycznie w dowolnym miejscu podłogi; - łatwa zmiana położenia lub montaż dodatkowej kaset podłogowej w trakcie eksploatacji; - możliwość wymiany każdej płyty podłogowej z osobna; - suchy montaż gotowych elementów podłogi; -możliwość pełnego obciążania podłogi już po 24 h od montażu; -możliwość wykończenia górnej powierzchni podłogi dowolnym, ogólnie stosowanym na posadzki materiałem (wykładziny dywanowe, PCV, linoleum, kamień naturalny i sztuczny, parkiet, szkło); Podłogi podniesione wykonane z płyt mineralnych (paroll 90, paroll 90b) oraz z płyt wiórowych paroll 140 b wraz z wykładziną antystatyczną mogą być stosowane w pomieszczeniach objętych wymaganiami ochrony przed elektrycznością statyczną , ochrony przeciwpożarowej i przeciwzakłóceniowej m.in. na stanowiskach montażu i obsługi elektronicznej aparatury kontrolno-pomiarowej, aparatury diagnostycznej, urządzeń telekomunikacyjnych i komputerowych, w tym w strefach zagrożenia wybuchem Z0, Z1, Z2 i Z10. strona 88/88 ____________________________________________________________________________ Schematy podłogi podniesionej w pomieszczeniu MDF Rysunek 11. Podłoga podniesiona pomieszczenia MDF strona 89/89 ____________________________________________________________________________ Rysunek 12. Podłoga techniczna – rozmieszczenie modułów paroll 90 płyt gipsowo-włóknowych Wysokość podłogi od o poziomu posadzki 120 mm do poziomu podłogi technicznej , kanał rewizyjny wzmocniony profilami z kątownika aluminiowego , dwa moduły podłogowe wentylowane, powierzchnia przekroju otworów : 107 cm2. Wydajność : 150 - 180 m3/h , których zadaniem jest wyrównanie ciśnień przy podaniu środka gaśniczego. W podstawie szaf 6 otworów na wprowadzenie przewodów światłowodowych , oraz w celu szybszego wypełnienia wnętrz szaf środkiem gaśniczym. strona 90/90 ____________________________________________________________________________ Rysunek 13. Podstawy szafy serwerów 12 Klimatyzacja 12.1 Uzasadnienie instalacji klimatyzacji – podstawowe parametry Urządzenia komputerowe wymagają stałości w danym zakresie i danym czasie oraz nieprzekraczania zadanych wartości. Na długotrwałość i bezawaryjność pracy sprzętu komputerowego oraz sieciowego ma znaczny wpływ mikroklimat panujący w pomieszczeniu roboczym serwerowi MDF. Klimatyzacja, to kształtowanie mikroklimatu pomieszczenia. Na mikroklimat składają się takie parametry powietrza jak: • • • • ciśnienie, temperatura, wilgotność, czystość, Klimatyzacja ma znacznie szersze zadanie, powinna utrzymać powietrze w pomieszczeniach w takim stanie, aby jego czystość, temperatura, wilgotność strona 91/91 ____________________________________________________________________________ pozostały w określonych granicach. Dla sprzętu komputerowego zalecane jest odpowiedni mikroklimat: temperatura 20-26C, wilgotność powietrza 45-65%, lekki ruch powietrza, prędkość ruchu nie powinna przekraczać 0,1 do 0,15 m/s, ograniczenie dostępu kurzu i pyłów oraz ich usuwanie przez filtrację. Idealny w naszym klimacie i naszych realiach ekonomicznych klimatyzator powinien być wyposażony w: 1. Pełen zakres regulacji temperatury w pomieszczeniu np. w granicach 18-30 st. C. z możliwością regulacji 1 st. C. 2. Pompę ciepła typu powietrze-powietrze działającą do -20 st. C na zewnątrz. 3. Konstrukcję typu split, tzn. typu dzielonego, możliwie prostą do montażu i uruchomienia 4. Doskonałej jakości kompresor z płynną regulacją wydajności w całym zakresie. 5. Mikrokomputer automatycznie kontrolujący wszystkie parametry pracy i stanu urządzenia tzn. temperaturę w pomieszczeniu, temperaturę i stan obu części splitu, stan filtrów itp. 6. Filtry powietrza recyrkulowanego w pomieszczeniu, najlepiej elektrostatyczne lub dobre jakościowo mechaniczne z kontrolą stanu zabrudzenia filtra do wielokrotnego użycia. 7. Zdalne sterowanie pilotem na podczerwień umożliwiające wybór funkcji: • • grzanie, chłodzenie, suszenie lub wentylacja pełnej mocy najlepiej wyłączając się po określonym czasie, aby przejść do stanu będącego w pamięci • programowalny w czasie rzeczywistym automatyczny start - stop do pracy w cyklu dobowym • • sterowanie kierunkiem wydmuchu powietrza ręczne i automatyczne sterowanie intensywnością wydmuchu ręczne i automatyczne oraz wachlowanie • sterowanie wydajnością klimatyzacji i związanym z tym poborem energii ręczne i automatyczne • opcję cichej pracy strona 92/92 ____________________________________________________________________________ 12.1.1 Klimatyzacja precyzyjna Pomieszczenia cyfrowych central telefonicznych telefonii przewodowej, Data Center telefonii komórkowej, serwerownie komputerowe, pomieszczenia systemów zasilających i UPS oraz pomieszczenia obsługi, a także drukarnie, wyposażane są w nowoczesny, wymagający odpowiednich warunków sprzęt elektroniczny. Poszczególni producenci sprzętu elektronicznego starają się instalować urządzenia energooszczędne (o małych stratach energii - ciepła), możliwie niewrażliwe na warunki otoczenia, jednak praktyka wykazuje, że właściwe stałe warunki pracy zdecydowanie przedłużają ich żywotność i podnoszą niezawodność. Dlatego zasadne jest stosowanie urządzeń klimatyzacyjnych w pomieszczeniu serwerowi. 12.1.2 Montaż klimatyzacji Urządzenia klimatyzacyjne należy zamontować na ścianie zewnętrznej na wysokości przestrzeni miedzystropowej 1 i 2 pietra budynku (klimatyzator część zewnętrzna), natomiast klimatyzator wewnętrzny na środku ściany na wysokości 2 m od posadzki ( powyżej górnej krawędzi szaf serwerów). Odległość między częścią zewnętrzną klimatyzatora a klimatyzatorem wewnętrznym nie może przekroczyć 5 m . Rysunek 14. Obieg powietrza w pomieszczeniu klimatyzowanym Parametry techniczne klimatyzatora (załącznik nr 34) Obliczenie zapotrzebowania chłodu dla pomieszczenia serwerowni MDF (załącznik nr 35 ) strona 93/93 ____________________________________________________________________________ Instrukcja obsługi ( załącznik nr 36 ) Oferta realizacji ( załącznik nr 37 ) 13 Ochrona fizyczna Jak powszechnie wiadomo, zapewnienie skutecznego i adekwatnego poziomu bezpieczeństwa w każdym prawie obiekcie, a w szczególności w pomieszczeniach serwerowni MDF, oparte jest na odpowiednio wyważonym, opartym na analizie potrzeb połączeniu prawidłowo dobranych środków technicznych oraz profesjonalnej ochrony fizycznej. Oba te elementy uzupełniają się, a ich wzajemne proporcje i zakres stosowania są zawsze ściśle powiązane z konkretną sytuacją i charakterem danego obiektu. Przewiduje się usytuowanie całodobowego 1-osobowego posterunku stałego w budynku głównym (portierni) na terenie nieruchomości. Pracownicy ochrony powinni być zaopatrzeni w przenośne środki łączności. Istnieje możliwość wykorzystania pomieszczeń nieruchomości i mediów komunalnych do celów socjalnych w stopniu i zakresie niezbędnym do wykonywania obowiązków ochrony. Do zadań ochrony należeć będzie ochrona obiektów i mienia przed dewastacją, zniszczeniem, kradzieżą, penetracją osób trzecich oraz codzienne sprawdzanie stanu technicznego budynków i instalacji pod względem uszkodzeń i natychmiastowe zgłaszanie wszelkich usterek i awarii. 13.1 System AKARD Zadaniem systemu jest udostępnianie pomieszczeń i stref wyłącznie osobom uprawnionym. strona 94/94 ____________________________________________________________________________ Uprawnienia określają godziny i dni, w których jest możliwy dostęp do określonych pomieszczeń dla posiadaczy karty. Zapisane są one na kartach oraz w terminalach. Autoryzacja odbywa się poprzez identyfikację w terminalu karty elektronicznej. Karta może być dodatkowo zabezpieczona PIN kodem, mieć określoną datę ważności lub krotność użyć. Poprawna autoryzacja kończy się odblokowaniem rygla elektromagnetycznego zamka drzwi, zwolnieniem ramienia kołowrotu lub aktywowaniem innego urządzenia. System rejestruje i ewidencjonuje wszystkie próby autoryzacji, to znaczy te, które: − Zakończyły się sukcesem, − Nie zakończyły się sukcesem z powodu próby autoryzacji obcą kartą, − Nie zakończyły się sukcesem ze względu na brak uprawnień na karcie działającej w systemie, Wszystkie zaewidencjonowane próby autoryzacji zapisywane są w systemowej bazie danych i archiwizowane. W razie potrzeby dane te mogą być podstawą do tworzenia raportów i zestawień dotyczących osób, pomieszczeń czy podziałów czasowych. 14 Ochrona przeciwpożarowa Cele polityki przeciwpożarowej. Celem zainstalowania ochrony przeciwpożarowej jest stworzenie odpowiednio zaprojektowanych barier dla rozprzestrzeniania się pożaru. Ochrona przeciwpożarowa to głównie środki wstrzymujące przesuwanie się ognia oraz system blokady połączeń pożarowych między piętrami. W każdym systemie należy przewidzieć zainstalowanie takiej ochrony przeciwpożarowej według ściśle określonych procedur i z wykorzystaniem właściwych materiałów dla wykonania odpowiedniej izolacji wyznaczonych obszarów. strona 95/95 ____________________________________________________________________________ Istotną rolą systemu ppoż. jest wczesne wykrycie zarzewia pożaru i usunięcie przyczyn mogących przyczynić się do jego rozwoju, wczesne powiadomienie Straży Pożarnej oraz służb technicznych obiektu. Systemy sygnalizacji pożarowej i alarmowej Systemem alarmowym jest kombinacja kilku urządzeń: centrali alarmowej, czujek oraz sygnalizatorów. Systemy sygnalizacji pożarowej umożliwiają automatyczne wykrywanie pożaru, określanie miejsca, w którym pożar powstał oraz włączenie urządzeń powiadamiających o niebezpieczeństwie lub automatycznie gaszących pożar, natomiast systemy alarmowe automatycznie informują o intruzach na chronionym terenie lub obiekcie. Systemy takie są adresowalne, wykorzystują technikę mikroprocesorową, co umożliwia elastyczne kształtowanie konfiguracji instalacji alarmowej w zależności od wielkości zabezpieczanego obiektu. Centralki Centralka odbiera sygnały przychodzące od ostrzegaczy (czujek i ręcznych przycisków) oraz podejmuje decyzje o włączeniu sygnału alarmowego i uruchomieniu urządzeń wykonawczych. Sygnały przychodzące od czujek są przez centralkę odpowiednio weryfikowane w celu uniknięcia fałszywych alarmów. Niezależnie od tego dla każdej strefy lub grupy stref, istnieje możliwość wyboru (zaprogramowania) jednego z siedmiu wariantów alarmowania, najbardziej przydatnego w danym obiekcie. Centralka zawiera również układy zasilające cały system w energię elektryczną oraz układy kontrolujące sprawność dołączonej instalacji. Istnieją dwa podstawowe tryby pracy central i czujek alarmowych: -Linie alarmowe - włączone w stan dozoru na czas, kiedy w pomieszczeniu nikt nie przebywa. To rozwiązanie jest wykorzystywane do podłączenia czujek ruchu pasywnej podczerwieni, -Linie całodobowe - czynne przez cały czas, zapewniają ochronę również wtedy, gdy przebywamy w pomieszczeniu. Przykładem wykorzystania takich linii mogą być czujki pożarowe czy też czujki inercyjne, ochraniające drzwi i okna. Czujki pożarowe − czujki pożarowe umożliwiają wykrywanie dymu − czujki jonizacyjne − czujki optyczne − czujki izotopowe strona 96/96 ____________________________________________________________________________ − czujki temperatury-różnicowe Czujki te skonstruowane są w taki sposób, że reagują na szybki przyrost i przekroczenie określonego progu temperatury. Alarmują o zaistniałym niebezpieczeństwie - sygnałem dźwiękowym lub przekazują wiadomość do centralki znajdującej się na portierni. Metody mechaniczne świetnie zabezpieczają przed pożarem, ale często są niepraktyczne bądź niewłaściwe. Zazwyczaj stosuje się metody nie mechaniczne, takie jak: • • • • • • uszczelniacze mieszanki cementowe powłoki przeciwpożarowe pianki poduszki ogniowe kit. Każda z tych nie mechanicznych metod ma swoje zalety, zależnie od warunków instalacji. MOD-TAP zaleca zastosowanie materiału, który można w każdej chwili usunąć przy prowadzeniu dodatkowego kabla przez otwór, są to: kit, poduszki oraz pewne rodzaje okręcanych powłok przeciwogniowych. Zawsze należy zainstalować materiały przeciwpożarowe zgodnie z instrukcją podaną przez producenta. 14.1 Sposoby alarmowania PSP oraz dyżurnego administratora i elektryka 1. powiadamianie PSP oraz służb technicznych drogą telefoniczną przez pracownika agencji ochrony (zawarty w zakresie obowiązków ) 2. Automatyczne powiadamianie adminstratora i elektryka dyżurnego o zadziałaniu stałej instalacji gaśniczej przez dialer telefoniczny: DIAL1602M Dialer dwukomunikatowy z pamiecią zdarzeń. DIAL1602M można skonfigurować jako dialer z jednym komunikatem alarmowym i dziesięcioma alarmowymi numerami telefonicznymi lub z dwoma komunikatami i strona 97/97 ____________________________________________________________________________ pięcioma numerami alarmowymi przypadającymi na każdy z komunikatów. Drugie rozwiązanie umożliwia rozróżnienie typu alarmu (np. włamanie i pożar) i podjęcie odpowiedniej do typu zagrożenia akcji powiadamiania. DIAL1602M można również wykorzystać jako dwustrefową centralę alarmową, gdyż posiada wyjście sygnalizujące alarm, wejście do podłączenia szyfratora oraz pełny zakres programowania zwłok na wejście i wyjście z obiektu, czasy alarmu itp. Alarmowy Automat telefoniczny DIAL1602M Specyfikacja tech (załącznik nr 38) Alarmowy Automat telefoniczny DIAL1602 dane techniczne ( załącznik nr 39 ) 3. System bezpośredniego powiadamiania Straży Pożarnej, zlecana jako usługa dla firmy FLORTECH. strona 98/98 ____________________________________________________________________________ Rysunek 15. Uproszczony schemat rozmieszczenia sprzętu alarmowania i centrali ppoż strona 99/99 ____________________________________________________________________________ 14.2 Aerozolowe generatory gaśnicze 14.2.1 PRZEZNACZENIE I ZASTOSOWANIA Aerozolowe Generatory Gaśnicze są przeznaczone do gaszenia ognia pożarów grupy A*, B, C oraz zabezpieczenia od wybuchów mieszanek gazów i pyłów z powietrzem. A* - Grupa pożarowa typu A - pożary powierzchniowe. Generatory FirePro nie są odpowiednie do gaszenia zarzewi ognia, ponieważ zdolność pochłaniania przez składniki aerozolu gaśniczego jest małą. Zdolność gaszenia płomieni i tłumienia pożarów powstrzymując jego rozwój występuje tak długo, jak długo utrzymuje się odpowiednia koncentracja środka gaśniczego w pomieszczeniu mogąca zdusić pożar. Aerozolowe Generatory Gaśnicze zapewniają wydajny i efektywny środek tłumienia ognia palących się gazów, płynów i substancji stałych, szczególnie tych, które są pochodnymi węglowodorów (gaz ziemny, benzyny, smary itp.) oraz pożarów sprzętu elektrycznego o napięciu roboczym do 24 kV. 14.2.2 Elementy składowe. 1. Obiekt modułowy składający się z obudowy stalowej i elementów z prasowanej tektury i plastiku. Urządzenie zapłonowe - które może być wyzwalane: • • • ręcznie elektrycznie: impulsem elektrycznym, automatycznie : przewód termiczny (thermocord). 2. Mieszanka gasząca - związek chemiczny zawierający składniki nietoksyczne 3. Przestrzeń w której zachodzi reakcja zmieniająca SBK w aerozol. Skład chemiczny: • • • 14.2.3 azotan potasowy i inne sole potasu żelazo, magnez żywice polimerowe Własności fizyko-chemiczne. 1. Wygląd: strona 100/100 ____________________________________________________________________________ • w postaci metalowych pojemników z elementami z prasowanej tektury i plastiku, • • kolor: różne, najczęściej czerwony, zapach - nie posiada. 2. Zmiana stanu: • • • • • 14.2.4 temperatura wrzenia: ciało stałe temperatura topnienia - nie posiada rozpuszczalność w wodzie: nie rozpuszczalny reakcyjność w wodzie: nie reakcyjny temperatura samozapłonu: > 300 st.C Toksyczność. 1. Biorąc pod uwagę maksymalną koncentrację potrzebną do całkowitego ugaszenia pożaru, generowane drobiny mogą być uważane za niegroźne dla ludzi i środowiska 2. Dodatkowe informacje Aerozolowe Generatory Gaśnicze po uruchomieniu wytwarzają aerozol gaśniczy, który w wyniku reakcji z rodnikami płomienia powoduje wzrost wartości pH (w wyniku procesu hydrolitycznego związków potasu) w zakresie od 7,5 do 8,6. Ten nieznaczny wzrost zasadowości nie powoduje podrażnień skóry. 14.2.5 Możliwe zagrożenia. Aerozolowe Generatory Gaśnicze nie stwarzają zagrożenia wybuchem. Należy zachować bezpieczną odległość od generatora w trakcie jego uruchomienia, ze względu na obecność gorącego aerozolu w pobliżu wylotu. 14.2.6 Pierwsza Pomoc. Informacje ogólne : skontaktuj się natychmiast z lekarzem w przypadku wystąpienia symptomów, które są wynikiem wdychania gazów spalania i zapylenia powietrza. Zagrożenie takie może wystąpić przy schorzeniach dróg oddechowych, alergiach itp. 14.2.7 Obsługa i przechowywanie. strona 101/101 ____________________________________________________________________________ 1. Środki ostrożności przy obsłudze - wykorzystuj instalacje gaśnicze zgodnie z Instrukcją użytkowania. Nie trzymaj generatora w ręku przy aktywacji. 2. Warunki składowania - przechowuj pojemniki zimny i czysty, zabezpieczony przed nagrzaniem. 14.2.8 Osobiste zabezpieczenie przed czynnikami zewnętrznymi. 1. Ochrona dróg oddechowych - nie wymagana 2. Ochrona rąk - nie wymagana 3. Ochrona oczu - nie wymagana 4. Ochrona ciała - nie wymagana 14.2.9 Stabilność i reaktywność. Unikanie zagrożeń: W przypadku wystąpienia ognia w czasie uruchomienia generatora może wystąpić zagrożenie nieznacznym wybuchem; w aerozolach nie występuje zagrożenie ciałami stałymi. 14.2.10 Informacje ekologiczne. Z ekologicznego punktu widzenia nie uszkodzone generatory gaśnicze nie stanowią żadnego zagrożenia. 14.2.11 Wykaz certyfikatów polskich 1. Atest Państwowego Zakładu Higieny nr PZH/HT-0571/99. 2. Certyfikat Zgodności Centrum Naukowo-Badawczego Ochrony Przeciwpożarowej Nr 306/2000 wraz z załącznikiem do Certyfikatu 14.3 Dobór środka gaśniczego i stałego urządzenia gaśniczego W związku z koniecznością ochrony cennego sprzętu informatycznego i osprzętu sieciowego na wypadek pożaru w pomieszczeniu MDF , zachodzi konieczność zastosowania stałego urządzenie gaśnicze TA-200 ze środkiem gaśniczym HFC 227ea Gaz HFC 227ea jest obojętnym środkiem gaśniczym, którego działanie polega na aktywnym odbieraniu energii z procesu spalania. Jest środkiem całkowicie strona 102/102 ____________________________________________________________________________ bezpiecznym dla człowieka i środowiska (co jest potwierdzone badaniami: w PolsceCNBOP i Państwowy Zakład Higieny). Posiada również tzw. Zerowy Potencjał Niszczenia Ozonu. Zalety gazu HFC 227ea: HFC 227ea jest czystym środkiem gaśniczym tzn., że nie zawiera substancji niszczących chronione urządzenia i pomieszczenia. Nie powstają wówczas straty popożarowe, jak ma to miejsce w przypadku wody, piany czy proszku. W przeciwieństwie do innych środków gaśniczych daje się łatwo skroplić przy niewielkich ciśnieniach, dzięki czemu zajmuje niewielką powierzchnię składową (nawet 10-krotnie mniejszą niż dla gazów obojętnych) i nie wymaga wyodrębniania oddzielnego pomieszczenia na butle. W porównaniu z innymi instalacjami na gazy obojętne, HFC 227ea dzięki niewielkiej ilości butli swobodnie rozmieszczanych w danym pomieszczeniu, ma znacznie niższe koszty instalacji, obsługi i konserwacji. Jednocześnie wysoki próg parowania środka nie powoduje powstawania tzw. szoku termicznego dla elektroniki, jaki może wystąpić przy użyciu innych środków gaśniczych (np.: dwutlenek węgla). HFC 227ea nie przewodzi prądu elektrycznego i nie powoduje korozji, dzięki czemu może być stosowany do gaszenia sprzętu elektrycznego pod napięciem. Właściwości fizyczne środka gaśniczego eliminują również ryzyko powstania szkód w zabezpieczanych pomieszczeniach oraz uszkodzenia sprzętu z powodu nadciśnienia, co może się zdarzyć podczas wyzwolenia innych środków gaśniczych. Na system składają się: zbiorniki na środek gaśniczy, zawory, dysze gaśnicze i centralka wykrywczo - gaśnicza. System TA-200 ze środkiem gaśniczym HFC 227ea skutecznie gasi pożary klasy A, B, C. TA-200 może być stosowany m.in. w poniżej przedstawionych obiektach, pomieszczeniach i urządzeniach: pomieszczenia komputerowe, ups, archiwa, zabytki, sterownie procesów technologicznych, unikatowa aparatura medyczna, urządzenia strona 103/103 ____________________________________________________________________________ telekomunikacyjne, turbiny gazowe, hamownie silników, magazyny substancji łatwopalnych (benzyna, olej, farby, lakiery), wieże kontroli lotów, kontenery teleinformatyczne, centrale telefoniczne, przepompownie, rozdzielnie energetyczne, transformatorownie, sterownie, skarbce banków, pojazdy wojskowe, statki, biblioteki, muzea. Informacja o zagrożeniu z czujek pożaru umieszczonych w przestrzeniach chronionych zostaje przekazana do centrali wykrywczo - gaśniczej (IGNIS 1520, CSS-ITO). Po otrzymaniu sygnału alarmu pożarowego z dwóch niezależnych obwodów wykrywczych, centralka uruchamia instalację ostrzegawczo-alarmową oraz rozpoczyna odliczanie czasu zwłoki wyzwolenia HFC 227ea (najczęściej około 30-60 sek.). W tym czasie wyłączona zostaje również (jeżeli istnieje) wentylacja wyciągowa, i nawiewowa obejmująca strefę gaśniczą, klimatyzacja, zamykane są odpowiednie klapy i drzwi przeciwpożarowe. Czas zwłoki jest zadany aby zamknąć ewentualne otwarte drzwi i okna w strefie gaszonej oraz opuścić pomieszczenie objęte pożarem. W tym czasie można też zatrzymać proces odliczania i wyzwolenia HFC 227ea przyciskiem STOP. Po upływie czasu zwłoki podany zostaje sygnał elektryczny do siłownika elektromagnetycznego. Otwarcie zaworu butlowego pozwala przedostać się HFC 227ea za pomocą elastycznego węża wylotowego do sieci rur oraz uruchamia siłowniki pneumatyczne, w przypadku gdy system TA - 200 składa się z co najmniej 2 zbiorników. W konsekwencji następuje uwolnienie gazu z butli i jego przepływ systemem rurociągów rozprowadzających do dysz umieszczonych w przestrzeniach objętych pożarem (w czasie max. 10 sek.). Wszystkie urządzenia posiadają atesty i świadectwa dopuszczenia instytutów i placówek certyfikujących m.in.: CNBOP - Polska; PZH - Polska; VNIIPO - Rosja; strona 104/104 ____________________________________________________________________________ Rysunek 16. Uproszczony schemat instalacji gaśniczej ppoż -hydraulika Tabela 16. Wykaz elementów na zabezpieczenie pomieszczenia systemem TA-200 opartym na gazie HFC 227 ea w pomieszczeniu o łącznej kubaturze 48,58 m3. Zbiornik 40 litrów - kompletny 000-0040 (osprzęt, zawór 11/4" z elektryczno-ręcznym wyzwalaczem) 1 szt. 000-0227 HFC-227ea 31 szt. 030-0215 Dysza 360 stopni 1/2" 2 szt. 030-0225 Dysza 360 stopni 1" 1 szt. 600-0035 Elastyczny wąż wylotowy 11/4" 1 szt. 902-0035 Złącze węża wylotowego 11/4" 1 szt. Instrukcja obsługi stałej instalacji gaśniczej TA-200 - język 010-0010 polski 1 szt. 010-0011 Instrukcja ostrzegawcza żółta zewnętrzna - język polski 1 szt. 010-0012 Instrukcja ostrzegawcza żółta wewnętrzna - język polski 1 szt. 050-0100 Centrala sterująca gaszeniem IGNIS 1520 1 szt. strona 105/105 ____________________________________________________________________________ 050-0112 Akumulatory 7Ah 12V (wymagane 2 szt.) 2 szt. 050-0010 Jonizacyjna czujka dymu DIO-40 2 szt. 050-0020 Optyczna czujka dymu DOR-40 2 szt. 050-0030 Gniazdo czujki G-40 4 szt. 050-0040 Wskaźnik zadziałania czujki WZ-31 2 szt. 050-0050 Przycisk START PG-1 2 szt. 050-0060 Przycisk STOP PS-1 2 szt. 050-0070 Sygnalizator ostrzegawczy wewnętrzny SO-1 1 szt. 050-0080 Sygnalizator drzwiowy, zewnętrzny SD-1 1 szt. 050-0090 Sygnalizator optyczno akustyczny SA-K2 1 szt. 050-0051 Instrukcja przycisku START Gaszenia 2 szt. 050-0061 Instrukcja przycisku STOP Gaszenia 2 szt. 120-2020 Klapa odciążająca 200x200 1 szt. HDGs 3X1,5 Przewód elektrozaworu 16 mb HDGs 2X1,5 Przewody 78 mb Przewód dozorowy,kon. Ciśnienia, stg. alarmu 102 mb YnTSYeKw,1X2X1,0 strona 106/106 ____________________________________________________________________________ Rysunek 17. Uproszczony schemat instalacji gaśniczej ppoż. - hydraulika rzut z góry Centrala automatycznego gaszenia IGNIS 1520 firmy POLON-ALFA jest urządzeniem automatycznego uruchamiania instalacji gaśniczej, tłumiącej w zarodku wykryty pożar. Centrala jest przystosowana do obsługi jednostrefowych instalacji gaśniczych, zawierających środek gaśniczy w postaci ciekłej, gazowej i aerozolowej. Zawiera ona układy monitorujące całą instalację, zarówno jej część wykrywczą, jak i gaśniczą. Centrala IGNIS 1520 spełnia wymagania norm europejskich EN 54-2 w zakresie central sygnalizacji pożarowej i prEN 12094-1 w zakresie urządzenia sterującego procesem gaszenia. IGNIS 1520 po wykryciu pożaru może włączyć instalację gaśniczą samoczynnie. Jeśli zajdzie taka potrzeba - może to zrobić również człowiek. Kontroluje nie tylko ciągłość (wykrywa zwarcie i przerwę) linii dozorowych i strona 107/107 ____________________________________________________________________________ sterujących, dołączonych do centrali, lecz także poprzez linie kontrolne nadzoruje stan butli ze środkiem gaszącym (ciśnienie, masa). Urządzenie firmy POLON-ALFA jest wyposażone w baterię zasilania rezerwowego zapewniającą 72 godzinną pracę centrali po zaniku napięcia. Wewnętrzna pamięć zachowuje ostatnie 500 zdarzeń, które centrala sygnalizowała, zdarzenia te są możliwe do odczytania na komputerze podłączonym poprzez wewnętrzne złącze RS232 w centrali. strona 108/108 ____________________________________________________________________________ 15 Specyfikacja proponowanych rozwiązań technicznych 15.1 Sprzęt i urządzenia do budowy sieci WLAN 15.1.1 STACJA BAZOWA TSUNAMI MP.11A BSU-R ZŁ. N ZEWN Kod produktu: 5054-BSUR-EU Producent: Proxim Urządzenie z rodziny Tsunami MP.11a. Model BSU-R pełni rolę centralnej jednostki (kontrolera) umożliwiającej współpracę satelitów Tsunami (SU, RSU, SU-R). Wykorzystywany w urządzeniu protokół WORP został zoptymalizowany pod kątem połączeń o dużej przepustowości (ponad 36 Mbps half-duplex) na duże odległości. Posiada mechanizmy umożliwiające sterowanie przepustowością łącza indywidualnie dla każdego satelity. Urządzenie udostępnia dwa tryby: bridge oraz wireless router. W trybie "bridge" istnieje możliwość zablokowania komunikacji miedzy wszystkimi satelitami. Można także zablokować komunikacje miedzy satelitami należącymi do różnych grup, natomiast w ramach jednej grupy komunikacja odbywa się bez przeszkód. W trybie "router" istnieje możliwość definiowania własnych tras routingu, na satelitach można uruchomić serwer DHCP oraz NAT. Wersja Ruggedized przeznaczona jest do montażu zewnętrznego, jej instalacja jest łatwa i szybka między innymi dzięki wykorzystaniu PoE. Wyposażona jest w dźwiękową pomoc przy wizowaniu anten. Wewnętrzny pomiar temperatury z możliwością logowania rozszerza zakres funkcjonalności urządzenia. Wbudowane ogniwo Peltiera zapewnia właściwą regulację temperatury urządzenia Specyfikacja: strona 109/109 ____________________________________________________________________________ • częstotliwość pracy: 5.47-5.725GHz • moc E.I.R.P.: 1W • modulacja: OFDM • efektywny transfer: ok. 36Mbps (TDM)/kanał • ilość kanałów: 11, kanały niezakłócające się wzajemnie • zasięg komórki: do ok. 12 km • Kontrola Mocy Emitowanej z krokiem co 3dB • Dynamiczna Selekcja Kanału Pracy • Dynamiczna Selekcja Prędkości pracy, oparta na analizie jakości sygnału (DDRS) • system może pracować bez widoczności optycznej (odbicia sygnału) zarządzanie pasmem: symetryczne i asymetryczne • bezpieczeństwo: enkrypcja AES, wzajemna autoryzacja stacji odbiorczych w RADIUS, MD-5 CHAP, Access Control List • protokół: WORP - Wireless Outdoor Router Pooling • zasilanie: zasilacz PoE w zestawie Cena brutto: 8784.18 zł 15.1.2 SATELITA TSUNAMI MP.11A SU-R Z ANTENĄ 23DBI ZEWN. Kod produktu: 5054-SUR-EU Producent: Proxim Satelita z rodziny Tsunami MP.11a. Wersja przeznaczona do montażu zewnętrznego. Model SU-RA ze zintegrowaną anteną 23 dBi, pełni rolę jednostki klienckiej, umożliwiającej współpracę jako satelita z Tsunami BSU, BSU-R. Wykorzystywany w urządzeniu protokół WORP został zoptymalizowany pod kątem połączeń o dużej przepustowości (ponad 36Mbps half-duplex) na duże odległości. Urządzenie udostępnia dwa tryby: bridge oraz wireless router. W trybie "bridge" strona 110/110 ____________________________________________________________________________ istnieje możliwość zablokowania komunikacji miedzy wszystkimi satelitami. Można także zablokować komunikacje miedzy satelitami należącymi do różnych grup, natomiast w ramach jednej grupy komunikacja odbywa się bez przeszkód. W trybie "router" istnieje możliwość definiowania własnych tras routingu, na satelitach można uruchomić serwer DHCP oraz NAT. Wersja Ruggedized przeznaczona jest do montażu zewnętrznego, jej instalacja jest łatwa i szybka między innymi dzięki wykorzystaniu PoE. Wyposażona jest w dźwiękową pomoc przy wizowaniu anten. Wewnętrzny pomiar temperatury z możliwością logowania rozszerza zakres funkcjonalności urządzenia. Wbudowane ogniwo Peltiera zapewnia właściwą regulację temperatury urządzenia Specyfikacja: • częstotliwość pracy: 5.47-5.725GHz • moc E.I.R.P.: 1W • modulacja: OFDM • efektywny transfer: ok. 36Mbps (TDM)/kanał • ilość kanałów: 11, kanały niezakłócające się wzajemnie • zasięg komórki: do ok. 12km • Kontrola Mocy Emitowanej z krokiem co 3dB • Dynamiczna Selekcja Kanału Pracy • Dynamiczna Selekcja Prędkości pracy, oparta na analizie jakości sygnału (DDRS) • system może pracować bez widoczności optycznej (odbicia sygnału) zarządzanie pasmem: symetryczne i asymetryczne • bezpieczeństwo: enkrypcja AES, wzajemna autoryzacja stacji odbiorczych w RADIUS, MD-5 CHAP, Access Control List • protokół: WORP - Wireless Outdoor Router Pooling • zasilanie: zasilacz PoE w zestawie Cena brutto: 5268.26 zł strona 111/111 ____________________________________________________________________________ 15.1.3 ANTENA MARS 5 GHZ 15DBI/120 Dane techniczne Zysk energetyczny Częstotliwość Polaryzacja Promieniowanie wsteczne 15 dBi 5,15 - 5,875 GHz pozioma -25 dB Kąt promieniowania w płaszczyźnie poziomej 120 stopni dla -3dB Kąt promieniowania w płaszczyźnie pionowej 5 stopni dla -3dB VSWR 1,7 do 1 Impedancja 50 Ohm Złącze Wymiary Mocowanie Odporność na wiatr Opakowanie 15.1.4 N/Żeńskie 500x80x80 mm w komplecie, do masztu lub ściany 180km/h Tektura E1192 - PRZEWÓD KONCENTRYCZNY 50 OM H 1000 PE strona 112/112 ____________________________________________________________________________ Widok przewodu Zbliżenie przewodu Struktura przewodu strona 113/113 ____________________________________________________________________________ ZASTOSOWANIE Transmisja danych. DANE TECHNICZNE Nazwa H-1000 Kod E1192 Pojemność [pF/m] 80 Skuteczność ekranowania [dB} 83 Rez. wewn.[ohm/km] - Rez. zewn.[ohm/km] - Tłum. 50MHz [dB/100m] 2,7 - 100MHz [dB/100m] 3,9 - 200MHz [dB/100m] 5,7 - 500MHz [dB/100m] 9,6 - 800MHz [dB/100m] 12,3 - 1000MHz [dB/100m] 13,9 - 1750MHz [dB/100m] 19,4 - 2000MHz [dB/100m] 21,2 - 2400MHz [dB/100m] 23,2 Przewód konfekcjonowany w motkach jak widać na zdjęciu powyżej. długość przewodu w motku - 100m. Cena dotyczy przewodu o długości 100 mb Cena hurtowa brutto: 497.25 zł. 15.1.5 E84717 - WTYK N NA PRZEWÓD H-500/1000 KLAMPOWANY strona 114/114 ____________________________________________________________________________ Widok wtyku Sposób zarabiania kabli zależy nie tylko od wymiarów kabla, lecz także i od rodzaju złącza. Istotna jest długość, na jakiej usuwamy izolację zewnętrzną, oplot oraz jak długi ma być przewodnik zewnętrzny. Te wymiary muszą być ściśle dopasowane do rodzaju złącza, gdyż tylko wtedy będą spełnione wymagania elektryczne i mechaniczne. Sposób przygotowania przewodu H-1000 do zamocowania złącza.E84717 Cena hurtowa brutto: 9.22 zł. 15.1.6 E9150 - Maszt antenowy aluminiowy wieża L-3300 strona 115/115 ____________________________________________________________________________ Widok masztu Maszt L-3300 jest zbudowany z aluminium. Można postawić go jedną ręką. Kratowa konstrukcja o przekroju trójkąta, (200 mm. X 200 mm. X 200 mm.) charakteryzuje się wyjątkowo dużą wytrzymałością. Aluminium które wykorzystano do budowy tego masztu tworzy nieporównywalnie lekką konstrukcję w stosunku do jego rozmiarów. Filarami nośnymi są rury aluminiowe o średnicy zewnętrznej: 50 mm. Grubość ścianki wynosi: 1.5 mm. Poprzeczki to rurki aluminiowe o średnicy zewnętrznej: 12 mm. Poprzeczki rozmieszczone co 250 mm. są połączone z głównymi rurami spawem. Długość jednego przęsła wynosi 3300 mm. Możliwość łączenia do trzech przęseł. Do mocowania na płaszczyźnie poziomej polecamy PODSTAWĘ L-3300. Do mocowania rurki lub masztu na szczycie polecamy GŁOWICĘ L-3300. Maszt współpracuje z podstawą E9151 i głowicą E9152 Cena hurtowa brutto: 661.24 zł strona 116/116 ____________________________________________________________________________ 15.1.7 E9151 - Podstawa masztu wieża L-3300 Widok podstawy masztu Cena hurtowa brutto: 285.48 zł. 15.1.8 E9152 - Głowica masztu wieża L-3300 Widok głowicy masztu Cena hurtowa brutto: 128.10 zł. strona 117/117 ____________________________________________________________________________ 15.2 Serwery 15.2.1 Serwer SQL Sun Fire V20z 2 AMD Opteron Model 250 Processors 4-GB Memory 1 73-GB 10000 RPM RAID Ultra320 SCSI Disk Drive 1 146-GB 10000 RPM RAID Ultra320 SCSI Disk Drive 1 CD-ROM/Floppy Drive 2 10/100/1000 Ethernet Ports 1 USB Port 1 Serial Port Kompatybilny z systemami: Solaris, Linux & Windows Operating Systems Zestaw zawiera oprócz serwera: Klawiatura PS/2, mysz, szyny rackowe do montażu, instrukcja obsługi, dokumentacja, kable zasilające, zestaw CD i dyskietek z oprogramowaniem (RAID Controller Driver, Diagnostics, Rescue) Pełna Specyfikacja (załącznik nr 40) strona 118/118 ____________________________________________________________________________ 15.2.2 Serwer e-mail Sun Fire V20z 2 AMD Opteron Model 250 Processors 4-GB Memory 1 73-GB 10000 RPM Ultra320 SCSI Disk Drive 1 CD-ROM/Floppy Drive 2 10/100/1000 Ethernet Ports 1 USB Port 1 Serial Port Kompatybilny z systemami: Solaris, Linux & Windows Operating Systems Zestaw zawiera oprócz serwera: Klawiatura PS/2, mysz, szyny rackowe do montażu, instrukcja obsługi, dokumentacja, kable zasilające, zestaw CD i dyskietek z oprogramowaniem (RAID Controller Driver, Diagnostics, Rescue) Pełna Specyfikacja (załącznik nr 40) strona 119/119 ____________________________________________________________________________ 15.2.3 Serwer WWW, FTP Sun Fire V40z Server 2 AMD Opteron Model 848 Processors 4-GB Memory 1 73-GB 10000 RPM Ultra320 SCSI Disk Drive 1 DVD-ROM/Floppy Drive 2 10/100/1000 Ethernet Ports 1 USB Port 1 Serial Port Lights Out Management (LOM) Software Kompatybilny z systemami: Solaris, Linux & Windows Operating Systems Zestaw zawiera oprócz serwera: Klawiatura PS/2, mysz, szyny rackowe do montażu, instrukcja obsługi, dokumentacja, kable zasilające, zestaw CD i dyskietek z oprogramowaniem (RAID Controller Driver, Diagnostics, Rescue) Pełna Specyfikacja (załącznik nr 41) 15.3 Zestawy komputerowe 15.3.1 Zestaw 0 Komputery biurowe stare z dodatkową pamięcią i kartą światłowodową Procesor AMD Duron 800 Mhz + Wentylator Pamięć RAM 128 MB RAM + 256 MB RAM Dysk twardy 40GB Seagate Karta Graficzna GeForce 2 Mx 400 32MB Karta Sieciowa D-Link PCI Karta światłowodowa 100Base-FX (SC) DFE-550FX Karta PCI strona 120/120 ____________________________________________________________________________ 10/100 Mb/s. 32-bitowa, funkcja automatycznej negocjacji, funkcja WOL (ACPI, DMI, PXE) Napęd optyczny CD-ROM 40x Teac Płyta Główna ECS K7VZA Karta dźwiękowa zintegrowana Obudowa Midi Tower Zasilanie Zasilacz Rubikon 300W 2xATX, 1xFDD, 1xP14, 4xHDD Monitor Monitor Philips 15" 105E11 plamka 0,28mm, max. 1024x768@56Hz zalecane 800x600@87Hz strona 121/121 ____________________________________________________________________________ 15.3.2 Zestaw 0a Konfiguracja jak Zestaw 0, ale bez dysku HDD 15.3.3 Zestaw 1 HP Compaq dc7100 SFF P4 550 Dane techniczne System operacyjny Microsoft® Windows® XP Professional PL Procesor Intel® Pentium® 4 550 HT Dysk twardy 80GB Serial ATA/100 Napędy wbudowane DVD/CD-RW Combo Pamięć RAM 512 MB DDRAM PC3200 Maksymalna pamięć RAM 4 GB Płyta główna (chipset) Intel® 915G Karta graficzna zintegrowane w chipsecie Intel Graphics Media Accelerator 900 Karta dźwiękowa wbudowana karta dźwiękowa SoundMax Digital AC97 z głośnikiem wewnętrznym Złącze sieciowe Wbudowana karta Broadcom NetXtreme Gigabit Ethernet + D-Link PCI Karta światłowodowa 100Base-FX (SC) DFE-550FX Karta PCI strona 122/122 ____________________________________________________________________________ 10/100 Mb/s. 32-bitowa, funkcja automatycznej negocjacji, funkcja WOL (ACPI, DMI, PXE) Wolne sloty 6 USB 2.0, 1 port szeregowy opcjonalnie, 1 port równoległy, 2 PS/2, 1 RJ-45, 1 VGA, wejście/wyjście audio; Przednie złącza we-wy: 2 USB 2.0, słuchawki i mikrofon; niskoprofilowe gniazda PCI; 1 niskoprofilowe gniazdo PCI Express x1; 1 niskoprofilowe gniazdo PCI Express x16; (2 gniazda PCI pełnej wysokości dostępne z opcjonalną kartą nośną) Pamięć ciche 1 MB Obudowa small form factor Miejsca na dodatkowe napędy 1 wewnętrzna wnęka 3,5 cala, 1 zewnętrzna wnęka 3,5 cala; 1 zewnętrzna wnęka 5,25 cala Waga 8,9 kg Wymiary 337,8 x 378,5 x 100,3 mm Monitor 21" Samsung SyncMaster 213T strona 123/123 ____________________________________________________________________________ TFT 213T Monitory TFT Rozmiar 21" Wymiar plamki 0,27 Jasność 250 cd / m2 Kontrast maksymalny 500:1 Specyfikacja Panel Typ a-si TFT/PVA zgodny z normą zgodny z normą ISO13406-2 Rozmiar 21" Wymiar plamki 0,27 Jasność 250 cd / m2 Kontrast maksymalny 500:1 Kąty widoczności 170° / 170° Czas reakcji 25 Interfejs Analog / Digital Częstotliwość sygnału Częstotliwość pozioma (kHz) 30-81 Częstotliwość pionowa (Hz) 56-75 Pasmo przenoszenia (MHz) 162 Rozdzielczość Najwyższa rozdzielczość 1600x1200 Kolor obrazu 16,7 Mil. Sygnał wejściowy Sygnał wejściowy Analog RGB, DVI Digital Link Gniazda wejściowe 15 Pin D-sub, DVI-D Dołączone przewody sygnałowe kabel VGA, kabel DVI (opcjonalnie) Plug & Play DDC DDC 2B strona 124/124 ____________________________________________________________________________ Pobór prądu Włączony 75W (Max) Tryb czuwania (DPMS) <2W Norma ENERGY STAR / NUTEK Inne System OSD-Digital Display DirectorTM Montaż na ścianie VESA 100mm Normy TCO'03 Kolor obudowy (przód/tył) Srebrny / Srebrny Kompatybilność z komputerami Mac Gwarancja 3 lata Wymiary Szer x Wys x Głęb (mm) (z podstawką) 473.4 x 458.1 x 222.3 Opakowanie Szer x Wys x Głęb (mm) 456 x 583 x 288 Waga Netto (kg) 8.5 Brutto (kg) 11.6 3799,- 3113,94 strona 125/125 ____________________________________________________________________________ 15.3.4 Zestaw 2 HP Compaq dc5100 Microtower (PW085EA) Procesor, system operacyjny i pamięć Zainstalowany Microsoft® Windows® XP Professional SP2 system operacyjny Procesor Procesor Intel® Pentium® 4 540 z technologią HT prędkość 3,20 GHz procesora Zewnętrzna 1 MB pamięć Cache Szyna systemowa Szyna systemowa 800 MHz Chipset Intel® 915GV Express Typ pamięci DDR2-Synch DRAM PC3200 Pamięć 512 MB standardowa Gniazda pamięci 4 DIMM Rozszerzenie Możliwość rozbudowy do 4 GB przez cztery zgodne ze pamięci standardem branżowym gniazda DIMM Maksymalna 4 GB DDR2-Synch DRAM strona 126/126 ____________________________________________________________________________ wielkość pamięci Napędy wewnętrzne Wewnętrzny 80 GB napęd dysku twardego Prędkość napędu 7200 obr/min dysku twardego Zewnętrzne wnęki 2 zewnętrzne 5,25 cala i 2 zewnętrzne 3,5 cala na napędy Wewnętrzne 2 wewnętrzne 3,5 cala wnęki napędów CD-ROM i DVD DVD-CDRW 48x combo Napęd dyskietek Brak napędu dyskietek elastycznych Kontroler napędu SMART III Serial ATA 1,5 GB/s dysku twardego Właściwości systemowe Typ podstawy Mikrowieża Nazwa Akcelerator grafiki Intel® Graphics Media Accelerator podsystemu 900 grafiki Karta video, W przypadku zestawu układów GV zintegrowana grafika szyna jest zawsze włączona. Podłączenie karty PCI nie powoduje jej wyłączenia i nie wymaga jej ponownego włączenia. Sterownik karty Microsoft® Windows® XP Professional, Microsoft® video Windows® XP Home i SuSE Linux. Funkcje karty Kontroler 3D/2D (Microsoft® DirectX® 9), zintegrowany strona 127/127 ____________________________________________________________________________ video kontroler VGA, zintegrowany układ RAMDAC (400 MHz) Wielkość pamięci Pamięć graficzna jest współdzielona z pamięcią karty podsystemu systemową. Wykorzystanie pamięci graficznej może się grafiki wahać od 8 do 128 MB, zależnie od ilości pamięci systemowej i obciążenia systemu. Rozdzielczość Maksymalna częstotliwość odświeżania pionowego: 100 podsystemu video Hz przy maksymalnej rozdzielczości 1920x1440, 75 Hz karty graficznej przy 2048x1536. Zależy od trybu pracy i konfiguracji. Gniazda 2 gniazda PCI pełnej wysokości, 1 gniazdo PCI express rozszerzeń Dźwięk Zintegrowany cyfrowy podsystem dźwiękowy modem Opcjonalny szybki softmodem PCI 56 K Interfejs sieciowy Wbudowana karta Broadcom NetXtreme Gigabit Ethernet for HP Karty sieciowe karta sieciowa Gigabit Intel Pro 1000 MT + D-Link PCI Karta światłowodowa 100Base-FX (SC) DFE-550FX Karta PCI 10/100 Mb/s. 32-bitowa, funkcja automatycznej negocjacji, funkcja WOL (ACPI, DMI, PXE) Sterownik LAN Microsoft® Windows® NT® 4.0, Microsoft® Windows® 98, Microsoft® 2000, Microsoft® XP, Linux 2.2, Linux 2.4 Zewnętrzne porty Tylne: 6 USB 2.0, 1 port szeregowy standardowo, 1 port wejścia/wyjścia szeregowy opcjonalnie, 1 port równoległy, 2 PS/2, 1 RJ45, 1 VGA, wejście/wyjście audio; Przednie: 2 USB 2.0, gniazdo słuchawek i mikrofonu Zainstalowane Microsoft® Windows® XP Professional SP2, Microsoft® oprogramowanie Windows® XP Home SP2, Computer Setup Utility, strona 128/128 ____________________________________________________________________________ Diagnostics for Windows®, Microsoft® Internet Explorer, Norton AntiVirus 2004, Microsoft® Office XP Small Business Edition, Microsoft® Office XP Basic, PDF Complete (tylko w języku angielskim) Dołączone Altiris Deployment Solution Agent, HP Client Manager, oprogramowanie uruchamianie z lokalnej dyskietki, z sieci (Network Boot) i z pamięci Disk-on-Key, Norton Antivirus 2004 Klawiatura standardowa klawiatura 2004 (PS/2) Urządzenie Mysz optyczna USB wskazujące Ochrona fizyczna Obsługa blokad Kensington, linka zabezpieczająca obudowę Wymiary (sz. x gł. 175 x 420 x 366 mm x wys.) Waga 11 kg Pobór mocy Maksymalnie 300 W Wymagania Napięcie wejściowe 90 – 132 / 180 – 264 V, 50/60 Hz, zasilania pasywny stabilizator PFC (napięcie linii 115 V / 230 V) Standardowa Standardowa gwarancja 3-1-1 z serwisem HP Services. umowa Warunki gwarancji zależą od kraju. Obowiązują pewne gwarancyjna ograniczenia i wyłączenia Emisja OCZEKIWANIE (obracający się dysk twardy): LWAd = akustyczna 4.0 Bele; DZIAŁANIE (Przeszukiwanie losowe dysku twardego): LWAd = 4,1 Bela Ciśnienia emisji OCZEKIWANIE (obracający się dysk twardy): LpAm = akustycznych 29 dBA; DZIAŁANIE (Przeszukiwanie losowe dysku twardego): LpAm = 31 dBA Zakres Od 10°C do 35°C strona 129/129 ____________________________________________________________________________ tempretatur pracy Zakres od 30 do 60°C temperatur w czasie pracy Zakres wilgotność względna od 10 do 90% wilgotności podczas pracy Wilgotność poza Wilgotność względna od 5 do 95% pracą Monitor 17" Samsung SyncMaster 710N silver-black (pivot) TFT 710N Monitory TFT Rozmiar 17 Wymiar plamki 0,264 Jasność 300 cd / m2 Kontrast maksymalny 600:1 Specyfikacja strona 130/130 ____________________________________________________________________________ Panel Typ a-si TFT/TN zgodny z normą zgodny z normą ISO13406-2 Rozmiar 17" Wymiar plamki 0,264 Jasność 300 cd / m2 Kontrast maksymalny 600:1 Kąty widoczności 160 / 160 Czas reakcji 12 Interfejs Analog Częstotliwość sygnału Częstotliwość pozioma (kHz) 30-81 Częstotliwość pionowa (Hz) 56-75 Pasmo przenoszenia (MHz) 135 Rozdzielczość Najwyższa rozdzielczość 1280x1024 Kolor obrazu 16,2 Mil. Sygnał wejściowy Sygnał wejściowy Analog RGB Gniazda wejściowe 15 Pin D-sub Dołączone przewody sygnałowe kabel VGA Plug & Play DDC DDC 2B Pobór prądu Włączony 34W (Max) Tryb czuwania (DPMS) <1W Norma ENERGY STAR / NUTEK Inne System OSD-Digital Display DirectorTM strona 131/131 ____________________________________________________________________________ Montaż na ścianie VESA 100mm Kolor obudowy (przód/tył) Srebrny / Czarny Kompatybilność z komputerami Mac Gwarancja 3 lata Wymiary Szer x Wys x Głęb (mm) (z podstawką) 370 x 381 x 175 Opakowanie Szer x Wys x Głęb (mm) 455 x 437 x 141 Waga Netto (kg) 4.5 Brutto (kg) 6.15 strona 132/132 ____________________________________________________________________________ 15.3.5 Zestaw 3 HP Compaq dx2000 Microtower (PE197EA) Dane techniczne Procesor, system operacyjny i pamięć Zainstalowany Microsoft® Windows® XP Professional SP2 system operacyjny Procesor Intel® Celeron® D325 prędkość 2,53 GHz procesora Szyna systemowa 533 MHz Chipset Intel® 865GV Typ pamięci DDR PC3200 Pamięć 256 MB standardowa Gniazda pamięci 4 DIMM Rozszerzenie Rozszerzalne do 4 GB DDR SYNCHRONICZNE DRAM pamięci poprzez cztery gniazda DIMM standardu przemysłowego Maksymalna 4 GB strona 133/133 ____________________________________________________________________________ wielkość pamięci Napędy wewnętrzne Wewnętrzny 80 GB napęd dysku twardego Prędkość napędu 7200 obr/min dysku twardego Zewnętrzne wnęki po 2 zewnętrzne 5,25", po 1 każdy wewnętrzny(a) 3,50" na napędy Wewnętrzne po 2 szt. wewnętrzne 3,50" wnęki napędów CD-ROM i DVD CD-ROM 48x Napęd dyskietek wewnętrzny/zewnętrzny napęd dyskietek 3,5 cala elastycznych Kontroler napędu SMART III Ultra ATA/100 dysku twardego Właściwości systemowe Typ podstawy Mikrowieża Nazwa Intel® Extreme Graphics 2 (zintegrowane w chipsecie podsystemu Intel 865GV) grafiki Karta video, – szyna Funkcje karty Kontroler 3D/2D: Wsparcie w pełni zgodne ze video standardowymi API Microsoft® takimi jak Direct Draw, GDI/GDI+ i Direct Show; zintegrowany kontroler VGA; zintegrowany 350 MHz DAC; częstotliwość zegara kontrolera: 266 MHz; płaszczyzny nakładania: obsługa strona 134/134 ____________________________________________________________________________ pojedynczej warstwy z filtrowaniem 5x3; maksymalna głębia koloru: 32 bity/piksel; obsługa wielu wyświetlaczy: obsługa jednego monitora CRT poprzez gniazdo VGA płyty głównej; obsługa grafiki API: pełna obsługa Microsoft® DirectX® , włączając DirectX 8.1; pełna obsługa OpenGL® 1.3. Zgodne z DirectX 9. Wielkość pamięci Pamięć graficzna jest współdzielona z pamięcią karty podsystemu systemową. Użycie pamięci graficznej może się wahać grafiki od 8 do 64 MB zależnie od ilości pamięci systemowej i obciążenia systemu. Rozdzielczość Maksymalna częstotliwość odświeżania pionowego: 85 podsystemu video Hz przy 1920 x 1440, 75Hz przy 2048 x 1536. Zależna karty graficznej od trybu i konfiguracji. Gniazda po 3 pełnej długości PCI 2.3v rozszerzeń Dźwięk Wewnętrzny wzmacniany głośnik Interfejs sieciowy Zintegrowany ethernet Intel PRO 100/VM + D-Link PCI Karta światłowodowa 100Base-FX (SC) DFE-550FX Karta PCI 10/100 Mb/s. 32-bitowa, funkcja automatycznej negocjacji, funkcja WOL (ACPI, DMI, PXE) Zewnętrzne porty 2 przednie gniazda USB 2.0 i 6 tylnych gniazd USB 2.0; wejścia/wyjścia 1 gniazdo równoległe, 1 gniazdo szeregowe; 2 gniazda PS/2; 1 gniazdo VGA; 1 wejście/wyjście liniowe Dołączone Dysk CD Maple Restore, oprogramowanie do tworzenia oprogramowanie kopii zapasowych Altiris Local Recovery (zainstalowane fabrycznie) oraz Norton Antivirus 2004 Klawiatura standardowa klawiatura 2004 (PS/2) Urządzenie 2 przyciskowa mysz z przewijaniem (PS/2) strona 135/135 ____________________________________________________________________________ wskazujące Wymiary (sz. x gł. 180 x 396 x 355 mm x wys.) Waga 10,5 kg Wymiary 163 x 458 x 25 mm klawiatury (nie metryczne) Zasilanie Pasywna korekcja wsółczynnika mocy (PFC) - z przełącznikiem linii ustawionym na 230 V - brak PFC w pozycji 115 V; zakres napięcia 90 do 132 V lub 180 to 264 V; zakres częstotliwości zasilania 47-63 Hz; wentylator zasilacza 80 mm - zmienna prędkość dla optymalnego poziomu hałasu Pobór mocy maksymalnie 250 W Wymagania Zasilacz ATX – PFC/bez-PFC z przełącznikiem linii 115 zasilania V/230 V Standardowa Gwarancja z naprawą w miejscu instalacji: ta trzyletnia umowa (3-1-1), ograniczona gwarancja i oferta serwisowa gwarancyjna zapewnia gwarancję trzyletnią na części i po roku na robociznę i naprawę w miejscu instalacji. Czas reakcji to następny dzień roboczy. Zasady i warunki mogą być zmienne w zależności od kraju. Obowiązują pewne ograniczenia i wyłączenia. Emisja OCZEKIWANIE (obracający się dysk twardy): LWAd = akustyczna 4,3 Bela; DYSK TWARDY (losowy zapis): LWAd = 5,0 Bela; CD-ROM (Odczyty sekwencyjne): LWAd = 5,4 Bela Ciśnienia emisji OCZEKIWANIE (obracający się dysk twardy): Średnia akustycznych LpAm komputera biurkowego = 32 dBA; DYSK TWARDY (losowy zapis): Średnia LpAm komputera strona 136/136 ____________________________________________________________________________ biurkowego = 40 dBA; CD-ROM (Odczyty sekwencyjne): Średnia LpAm przy biurku = 44 dBA Zakres Od 10°C do 35°C tempretatur pracy Zakres -30 do 60°C temperatur w czasie pracy Zakres wilgotność względna od 10 do 90% wilgotności podczas pracy Wilgotność poza wilgotność względna od 5 do 95% pracą Wysokość n.p.m. 3.048 m podczas pracy Wysokość n.p.m. 9 144 m poza pracą Monitor 15" Samsung SyncMaster 510N strona 137/137 ____________________________________________________________________________ TFT 510N Monitory TFT Rozmiar 15 Wymiar plamki 0,297 Jasność 250 cd / m2 Kontrast maksymalny 450:1 Specyfikacja Panel Typ a-si TFT/TN zgodny z normą zgodny z normą ISO13406-2 Rozmiar 15" Wymiar plamki 0,297 Jasność 250 cd / m2 Kontrast maksymalny 450:1 Kąty widoczności 140 / 120 Czas reakcji 16 Interfejs Analog Częstotliwość sygnału Częstotliwość pozioma (kHz) 30-61 Częstotliwość pionowa (Hz) 56-75 Pasmo przenoszenia (MHz) 81 Rozdzielczość Najwyższa rozdzielczość 1024x768 Kolor obrazu 16,2 Mil. Sygnał wejściowy Sygnał wejściowy Analog RGB Gniazda wejściowe 15 Pin D-sub Dołączone przewody sygnałowe kabel VGA strona 138/138 ____________________________________________________________________________ Plug & Play DDC DDC 2B Pobór prądu Włączony 25W (Max) Tryb czuwania (DPMS) <1W Norma ENERGY STAR / NUTEK Inne System OSD-Digital Display DirectorTM Montaż na ścianie VESA 75mm Kolor obudowy (przód/tył) Srebrny / Czarny Kompatybilność z komputerami Mac Gwarancja 3 lata Wymiary Szer x Wys x Głęb (mm) (z podstawką) 338 x 337 x 175 Opakowanie Szer x Wys x Głęb (mm) 338 x 383 x 125 Waga Netto (kg) 3.1 Brutto (kg) 4.25 strona 139/139 ____________________________________________________________________________ 15.4 UPS’y biurowe Zasilacz awaryjny Ever ECO Pro 700 CDS Sinus Klasa produktu: UPS - zasilacz awaryjny Moc pozorna: 700 VA Moc rzeczywista: 430 Wat Architektura UPSa: line-interactive Maks. czas przełączenia na baterię: 3 ms Liczba gniazd wyjściowych: 2 szt. Czas podtrzymania dla obciążenia 100%: 4 min Czas podtrzymania przy obciążeniu 80%: 5 min Czas podtrzymania przy obciążeniu 50%: 12 min Zimny start: Tak Układ automatycznej regulacji napięcia (AVR): Nie Typ obudowy: DESKTOP Szerokość: 90 mm Wysokość: 145 mm Głębokość: 350 mm Masa brutto: 7,7 kg Masa netto: 7,2 kg Dodatkowe informacje o gwarancji: serwis door-to-door Dołączone oprogramowanie: PowerSoft Plus Dodatkowe informacje: Filtr telekomunikacyjny, System CDS (Clear Digital strona 140/140 ____________________________________________________________________________ Sinus), Gniazdo komunikacji: USB Kolor: popielaty strona 141/141 ____________________________________________________________________________ 15.5 Drukarki 15.5.1 HP LaserJet 2430t CECHY PRODUKTU nominalna prędkość druku rozdzielczość w pionie rozdzielczość w poziomie normatywny cykl pracy 33 str./min. 1 200 dpi 1 200 dpi 100 000 str./mies. gramatura papieru 60 - 200 g/m² pojemność podajnika papieru maks. pojemność podajników zainstalowana pamięć maks. pojemność pamięć 850 szt. 850 szt. 48 MB 304 MB prędkość procesora 400 MHz (MIPS 20KC) strona 142/142 ____________________________________________________________________________ maks. rozmiar nośnika A4 USB 2.0 złącza zewnętrzne LPT (IEEE 1284) 1x EIO obsługiwane języki emulacje języków druk dwustronny [dupleks] praca w sieci [serwer wydruku] HP PCL 6 HP PCL 5e PostScript v3 PDF 1.3 nie nie zainstalowane opcje podajnik papieru (500 ark.) dostępne opcje interfejs sieciowy (serwer druku) dupleks (moduł druku dwustronnego) szerokość 425 mm głębokość 400 mm wysokość 400 mm waga 22 kg symbol tonera Q6511X (12000 stron) Q6511A (6000 stron) oprogramowanie do bezpośredniego druku dokumentów PDF dodatkowe informacje w wersji 1.3 (co najmniej 128 MB pamięci drukarki) 80 wewnętrznych czcionek TrueType strona 143/143 ____________________________________________________________________________ 15.5.2 HP LaserJet 1012 CECHY PRODUKTU nominalna prędkość druku 14 str./min. rozdzielczość w pionie 1 200 dpi rozdzielczość w poziomie 1 200 dpi normatywny cykl pracy 5 000 str./mies. gramatura papieru 60 - 105 g/m² pojemność podajnika papieru 150 szt. maks. pojemność podajników 150 szt. zainstalowana pamięć 8 MB maks. pojemność pamięć 8 MB prędkość procesora 133 MHz maks. rozmiar nośnika A4 złącza zewnętrzne USB 2.0 druk dwustronny [dupleks] nie praca w sieci [serwer wydruku] nie dostępne opcje interfejs sieciowy (serwer druku) Wi-Fi (802.11b), Bluetooth szerokość 370 mm głębokość 230 mm wysokość 208 mm waga 5,9 kg strona 144/144 ____________________________________________________________________________ 15.5.3 OKI ML 3390 CECHY PRODUKTU ilość igieł 24 szt. szerokość papieru (arkusze) 3,5 - 6,5 cali szerokość papieru (składanka) 2,5 - 10 cali drukowanie kopii 4 szt. maksymalna długość wiersza 10 cali emulacje Epson LQ, IBM ProPrinter X24E/X24E AGM Maksymalna szybkość druku DRAFT 390 zn/s maksymalna szybkość druku NLQ 87 zn/s polskie znaki Mazovia, Latin 2, ISO Latin, Win Latin średni czas pracy bez awarii @ 25% 10 000 godz. pamięć buforowa 64 KB złącze zewnętrzne Centronics, USB poziom hałasu 54 dB system operacyjny Dos, Windows wysokość 116 mm głębokość 345 mm strona 145/145 ____________________________________________________________________________ szerokość 398 mm waga 8,4 kg 15.5.4 HP DeskJet 6840 CECHY PRODUKTU technologia druku termiczna hp Inkjet druk Photo tak (HP Photoret III, HP Photoret IV z opcjonalnym wkładem fotograficznym) maks. rozmiar nośnika A4 maks. szybkość druku mono 30 str./min. maks. szybkość druku w kolorze 20 str./min. rozdzielczość w pionie mono 1 200 dpi rozdzielczość w poziomie mono 1 200 dpi rozdzielczość w pionie kolor 4 800 dpi rozdzielczość w poziomie kolor 1 200 dpi ilość pojemników z tuszem 2 szt. strona 146/146 ____________________________________________________________________________ złącze LPT nie złącze USB tak (2.0) pojemność podajnika papieru 150 arkuszy gramatura papieru 60 - 280 g/m² szerokość 451 mm głębokość 433 mm wysokość 144 mm waga 6,9 kg oprogramowanie HP Image Zone Photo and Imaging symbol atramentu czarnego C8767EE 21ml C8765EE 11ml symbol atramentu C8766EE 7ml kolorowego C9363EE 14ml symbol innych atramentów C9369EE 13ml (foto) C9368AE 15ml (szary foto) zainstalowana pamięć 32 MB normatywny cykl pracy 5 000 str./mies. dodatkowe wyposażenie wbudowany moduł druku dwustronnego dodatkowe informacje interfejs Wi-Fi 802.11g, Ethernet, PictBridge strona 147/147 ____________________________________________________________________________ 15.6 Karta sieciowa światłowodowa D-Link PCI Karta światłowodowa 100Base-FX (SC) DFE-550FX Karta PCI 10/100 Mb/s. 32-bitowa, funkcja automatycznej negocjacji, funkcja WOL (ACPI, DMI, PXE) Rozpoznawanie szybkości przesyłania danych przez port światłowodowy SCW trybie pełnodupleksowym szybkość działania karty sięga 200 Mb/s. 32-bitowe złącze magistrali głównej PCI umożliwia wysoką przepustowość także bez wbudowanej pamięci, co ogranicza obciążenie procesora. Wbudowane zarządzanie zasilaniem (ACPI) umożliwia przestawienie w tryb gotowości w celu zmniejszenia zużycia energii. Elastyczne zarządzanie dostępemObsługa VLAN (802.1q) zapewnia podwyższenie poziomu bezpieczeństwo i tworzenie zespołów niezależnie od fizycznego położenia poszczególnych ich członków w sieci. Dzięki temu mobilni użytkownicy mogą się logować do sieci z dowolnego miejsca, pozostając jednocześnie członkami pierwotnej grupy w ramach struktury organizacyjnej. Optymalizacja sieci przez kontrolę przepływuKarta jest wyposażona w kontrolę przepływu trybu pełnodupleksowego 802.3x. W przypadku połączenia z przełącznikiem, który także obsługuje kontrolę przepływu, oba urządzenia mogą w razie potrzeby uzgodnić przerwanie strumienia danych. Ma to korzystny wpływ na optymalizację odpowiedniego odcinka sieci. Sterowanie priorytetemStale rosnące obciążenie sieci sprawia, że sieci LAN muszą pracować na różnych typach danych. Dane dla takich zastosowań jak poczta elektroniczna, rozsyłanie plików, zapytania baz danych, VoIP lub wideokonferencje wymagają przesyłania z jak największą strona 148/148 ____________________________________________________________________________ szybkością. Funkcja IEEE 802.1p umożliwia traktowanie pakietów danych jako krytycznych lub niekrytycznych w zależności od oznaczenia priorytetu. Taki rodzaj oznaczania ruchu daje pierwszeństwo danym, które nie tolerują opóźnień, podczas gdy pozostałe i tak są przesyłane z możliwie jak największą szybkością. 100 Base FX (SC), tryb pełnodupleksowy Obsługa Master ACPI WfM DMI 2.0 Kontrola przepływu IEEE 802.3x zapewnia szybkie, niezawodne przesyłanie danych Multicasting IP na potrzeby wideokonferencji i serwisów informacyjnych VLAN 802.1p i 802.1q Statystyka zarządzania ruchem (16 liczników) Złącze 32-bitowej magistrali PCI 2.1 umożliwia szybsze przesyłanie danych (odciąża procesor) Zakłócenia elektromagnetyczne pozostają bez wpływu na przesyłanie danych Kolejki priorytetów strona 149/149 ____________________________________________________________________________ 15.7 Rodzaje płyt podłogowych PAROLL 90 Wymiary mm – 600 x 600 Grubość mm -- 36 Materiał -- płyta gipsowo-włóknowa Przewodność -- antystatyczna Obciążenie powierzchniowe [KN/m2] --- 20 Obciążenia siłą skupioną [KN] --- 5 Klasyfikacja ogniowa wg DIN 4102 --- A2 / F60 Ciężar kg --- 20 Płyty wentylacyjne mogą mieć różną liczbę, wielkość i kształt otworów wentylacyjnych, a tym samym także mogą dostarczać strumienie powietrza o różnej wielkości. Płyty wentylacyjne stosuje się jako elementy nawiewowe w systemach wentylacyjnych. Można w nich indywidualnie dokonywać rozdziału dostarczanego powietrza przez umieszczanie w odpowiednich miejscach podłogi odpowiedniej liczby płyt wentylacyjnych o odpowiednio dobranej wydajności. Płyta wentylacyjna z otworami "gwintowanymi" W płytach nawiercone są otwory o zmiennych stopniowo średnicach. W wyposażeniu znajduje się koszyk przechwytujący śmieci oraz dławik.W płycie może znajdować się od jednego do czterech otworów wentylacyjnych. Od trzech otworów wymagane jest zastosowanie ramy wzmacniającej. Wydajność : 35 - 50 m3/h na każdy otwór Płyta wentylacyjna z otworami okrągłymi W płytach nawiercone są otwory o zmiennych stopniowo średnicach. W wyposażeniu strona 150/150 ____________________________________________________________________________ znajduje się koszyk przechwytujący śmieci oraz dławik. W płycie może znajdować się od jednego do czterech otworów wentylacyjnych. Od trzech otworów wymagane jest zastosowanie ramy wzmacniającej Wydajność : 80 - 100 m3/h na każdy otwór Płyta wentylacyjna stalowa Ponad 1000 pojedynczych otworów zgrupowanych w siedem rzędów, o średnicy 8, 10 lub 12,5 mm dostarczana z blachą-dławikiem lub regulatorem liczby otwartych otworów. Powierzchnia przekroju otworów ok. 17%, 26,4% lub 38%. Wydajność : ponad 1000 m3/h. Ze względu na dużą wydajność wentylacyjną szczególnie nadaje się w maszynowniach. Płyta wentylacyjna z otworami w rzędach W płytach nawiercone są ukośnie otwory w trzech rzędach. Powierzchnia przekroju otworów : 107 cm2. Wydajność : 150 - 180 m3/h 15.8 Centrala monitorowania RC-4000 P.W „FLORTECH” oparty na centrali monitorowania RC-4000 umieszczonej na stanowisku kierowania PSP, realizowany na sygnał z centrali IGNIS 1520 dwukanałowo przez telefon i radiowo z nadajnika radiowego UNR01 UFR-01 (kompatybilny z VISONIC TR-86) strona 151/151 ____________________________________________________________________________ Nadajnik radiowy UNR01 UFR-01 AWO 108 Obudowa 7/TRP30/TR86 z logo Visonic DANE TECHNICZNE: Wymiary (szer.wys.głęb.).............: 250x290x80 Waga .........................................: 2.6 kg Waga z opakowaniem ..................: 2.7 kg Miejsce na akumulator..................: 7Ah/12V Transformator .............................: TRP 30VA Napięcie zasilania.........................: 230V/AC,50Hz Napięcia wyjściowe przy obciążeniu: 17V/1.6A 14V/2A Zamykanie ................: skręcana lub na zamek UWAGI ......................: posiada dystans od ściany+ CENTRALE: VISONIC: nadajnik: TR86 + DL404 nadajnik: TR86 + D418 strona 152/152 ____________________________________________________________________________ 16 Opis konfiguracji sprzętu 16.1 Konfiguracja sieci radiowej Konfiguracji urządzeń radiowych dokonano przez listę komend (Command Line Interface). Użyto szyfrowanego połączenia SSH. Opis niektórych poleceń: set – parametr inicjujący konfiguracją urządzenia show – pokazuje parametry konfiguracyjne urządzenia help – informacje pomocy na temat wszystkich poleceń CLI reboot – restart urządzenia Ustawienia konfiguracyjne dla poszczególnych urządzeń radiowych przedstawiono w poniższej tabeli. Ustawienia konfiguracyjne BSU set sysname SATURNET_BSU set sysmode bridge Ustawienia Nazwy Systemu , Lokalizacji i Informacji Kontaktowych set sysloc KALISZ set sysctname ADAM KMIECIK set sysctemail [email protected] set sysctphone 06276783569 set syscountrycode PL Ustawienia adresu IP dla set ipaddrtype static set ipaddr 1 ipaddress 192.168.10.2 set ipaddr 1 ipsubmask 255.255.255.0 MP.11/MP.11a oraz szybkości transmisji; 7=Auto Speed Auto Duplex set ethernet etherspeed 7 set wif 3 channel 10 set wif 3 netname KdnI83_k001 Konfiguracja Wireless Interface Wybór kanału; Multicast rate 9=24Mbps; strona 153/153 ____________________________________________________________________________ set wif multrate 9 satdensity 1=large; set wif satdensity 1 Ustawienia szyfrowania set wifsec 3 encryptoption aes set wifsec 3 encryptkey1 951edcEREedc.P set wifsec 3 encryptkey2 234dsdEREedc.R set wifsec 3 encryptallowdeny enable Parametry protokołu WORP: worpcfg mode 3=base set worpcfg mode 3 set worpcfg netname KdnI83_k001 set worpcfg basename SATURNET_BSU maxsatellites 2 - ilość satelit set worpcfg maxsatellites 2 set worpcfg regtimeout 1800 set ddrsstatus 1 set ddrsdefdatarate18mbps set ddrsmaxdatarate24mbps set ddrsminreqsnr11an set ddrsminreqsnr11an24mbps Ustawienia hasła Telnet set telifbitmask 14 set tellogintout 200 set telport 23 set telsessiontout 1800 set snmprwpasswd sKJS_92kgfg Ustawienia hasła SNMP set snmpifbitmask 8 set httpifbitmask 15 Ustawienia hasła Web Interface set httppasswd qPoi1209 set httpport 8080 strona 154/154 ____________________________________________________________________________ save config Zapis konfiguracji reboot 0 Ustawienia VPN: IP: 192.168.0.1 SUBMASK: 255.255.255.0 Ustawienia konfiguracyjne SU_a set sysname SATURNET_SU_a set sysmode bridge set sysloc KALISZ set sysctname ADAM KMIECIK set sysctemail [email protected] set sysctphone 06276783569 set syscountrycode PL set ipaddrtype static set ipaddr 1 ipaddress 192.168.10.12 set ipaddr 1 ipsubmask 255.255.255.0 set ethernet etherspeed 7 set wif 3 channel 10 set wif 3 netname KdnI83_k001 set wif multrate 9 set wif satdensity 1 strona 155/155 ____________________________________________________________________________ set wifsec 3 encryptoption aes set wifsec 3 encryptkey1 951edcEREedc.P set wifsec 3 encryptkey2 234dsdEREedc.R set wifsec 3 encryptallowdeny enable set worpcfg mode 4 set worpcfg netname KdnI83_k001 set worpcfg basename SATURNET_SU_a set worpcfg maxsatellites 2 set worpcfg regtimeout 1800 set ddrsstatus 1 set ddrsdefdatarate18mbps set ddrsmaxdatarate24mbps set ddrsminreqsnr11an set ddrsminreqsnr11an24mbps set telifbitmask 14 set tellogintout 200 set telport 23 set telsessiontout 1800 set snmprwpasswd sKJS_92kgfg set snmpifbitmask 8 set httpifbitmask 15 set httppasswd qPoi1209 set httpport 8080 save config reboot 0 strona 156/156 ____________________________________________________________________________ Ustawienia VPN: IP: 192.168.0.11 SUBMASK: 255.255.255.0 Ustawienia konfiguracyjne SU_b set sysname SATURNET_SU_b set sysmode bridge set sysloc KALISZ set sysctname ADAM KMIECIK set sysctemail [email protected] set sysctphone 06276783569 set syscountrycode PL set ipaddrtype static set ipaddr 1 ipaddress 192.168.10.22 set ipaddr 1 ipsubmask 255.255.255.0 set ethernet etherspeed 7 set wif 3 channel 10 set wif 3 netname KdnI83_k001 set wif multrate 9 set wif satdensity 1 set wifsec 3 encryptoption aes set wifsec 3 encryptkey1 951edcEREedc.P set wifsec 3 encryptkey2 234dsdEREedc.R set wifsec 3 encryptallowdeny enable strona 157/157 ____________________________________________________________________________ set worpcfg mode 4 set worpcfg netname KdnI83_k001 set worpcfg basename SATURNET_SU_b set worpcfg maxsatellites 2 set worpcfg regtimeout 1800 set ddrsstatus 1 set ddrsdefdatarate18mbps set ddrsmaxdatarate24mbps set ddrsminreqsnr11an set ddrsminreqsnr11an24mbps set telifbitmask 14 set tellogintout 200 set telport 23 set telsessiontout 1800 set snmprwpasswd sKJS_92kgfg set snmpifbitmask 8 set httpifbitmask 15 set httppasswd qPoi1209 set httpport 8080 save config reboot 0 Ustawienia VPN: strona 158/158 ____________________________________________________________________________ IP: 192.168.0.21 SUBMASK: 255.255.255.0 16.2 Konfiguracja komputera klienta z Windows XP 16.2.1 Konfiguracja Windows XP SP2 bez WPA Zainstaluj beprzewodową kartę sieciową w Windows XP z SP2. Kiedy komputer znajduje się w zasięgu bezprzewodowego AP działającego w twoim domu lub firmie, Windows XP powinien to wykryć poinformować cię o tym komunikatem Wykryto Sieć Bezprzewodową wyświetlonym w okienku informacyjnym paska zadań. Kliknij na komunikacie informacyjnym. Jeśli nie otrzymałeś komunikatu, kliknij prawym przyciskiem myszy na połączenie sieci bezprzewodowej w Połączeniach Sieciowych, a następnie kliknij na Wyświetl Dostępne Sieci Bezprzewodowe. W obu przypadkach powinieneś zobaczyć okno dialogowe z nazwą połączenia bezprzewodowego. Kliknij dwa razy na nazwie twojej sieci bezprzewodowej. Windows XP spróbuje się połączyć z twoją siecią bezprzewodową. Ponieważ Windows XP nie był skonfigurowany z kluczem WEP, próba połączenia nie powiedzie się, a Windows XP powiadomi cię o tym w oknie dialogowym Połączenie Sieci Bezprzewodowej. Wpisz klucz WEP (klucz sieciowy) oraz Potwierdź Klucz Sieciowy, a następnie kliknij Połącz. Jeśli komunikat o statusie twojej sieci bezprzewodowej w oknie dialogowym Połaczenie Sieci Bezprzewodowej brzmi: Połączony, połączenie się udało. Jeśli wiadomość o statusie sieci bezprzewodowej brzmi: Autoryzacja się nie powiodła, kliknij na Zmień kolejność preferowanych sieci na liście Zadania Pokrewne. Z zakładki właściwości Sieci bezprzewodowe twojego połączenia sieci bezprzewodowej zaznacz Użuj systemu Windows do konfiguracji ustawień sieci bezprzewodowej i wybierz nazwę strona 159/159 ____________________________________________________________________________ twojej sieci bezprzewodowej w Sieci preferowane, a następnie kliknij na Właściwości. Krok ten zobaczysz na ilustracji kroku 6a. W zakładce Skojarzenia ustaw Uwierzytelnianie sieciowe na Otwarte. Ustaw Szyfrowanie danych na WEP, wpisz klucz sieciowy taki sam jak w AP i potwierdź klucz sieciowy. Krok ten zobaczysz na ilustracji kroku 7a. Wybierz Indeks klucza odpowiedni dla pozycji w pamięci klucza skonfigurowanej w bezprzewodowym AP. Kliknij OK aby zachować zmiany wprowadzone dla sieci bezprzewodowej. Kliknij OK aby zachować zmiany wprowadzone dla połączenia sieci bezprzewodowej. 16.2.2 Konfiguracja Windows XP SP2 z WPA W przypadku pierwszych czterech kroków należy postępować analogicznie do konfiguracji bez WPA. Kolejne kroki prezentują się następująco: Ponieważ system Windows XP nie został skonfigurowany z wcześniej używanym kluczem WPA dla twojej sieci bezprzewodowej, próba połączenia nie powiedzie się i system Windows XP powiadomi cię wyświetlając okno dialogowe Połączenie Sieci Bezprzewodowej. Wpisz wcześniej używany klucz WPA w miejscu Klucz sieciowy oraz w pozycji Potwierdź klucz sieciowy, a następnie kliknij Połącz. Analogicznie do kroku 6 (Konfiguracja bez WPA). W zakładce Skojarzenia ustaw Uwierzytelnianie sieciowe na WPA-PSK. Ustaw Szyfrowanie danych na TKIP. W pozycji Klucz sieciowy wpisz wcześniej używany klucz WPA taki, jak skonfigurowany w AP. W pozycji Potwierdź klucz sieciowy ponownie wpisz wcześniej używany klucz WPA. Krok ten zobaczysz na ilustracji kroku 3b. Kliknij OK aby zachować zmiany dla sieci bezprzewodowej Kliknij OK aby zachować zmiany dla adaptera sieci bezprzewodowych. strona 160/160 ____________________________________________________________________________ 17 Zalecenia dotyczące montażu i eksploatacji 17.1 Ogólne zalecenia dotyczące konserwacji podłogi technicznej Należy używać jak najmniejszej ilości wody podczas czyszczenia podłogi, gdyż przez szpary między płytami lub przy otworach instalacyjnych woda może się dostać do instalacji leżących pod podłogą i spowodować zakłócenia w pracy niektórych urządzeń. W przypadku płyt wiórowych woda mogłaby także spowodować pęcznienie tych płyt. Z tego powodu w żadnym wypadku nie wolno zmywać podłogi wodą. W pomieszczeniach objętych wymaganiami ochrony przed elektrycznością statyczną należy uważać, aby środki do pielęgnacji powierzchni nie zawierały żadnych substancji, które mogą tworzyć powłokę izolującą (wosk, żywica) , utrudniającą odpływ ładunków elektrycznych. W celu unikania gruntownego czyszczenia powierzchni podłóg z użyciem wody, zaleca się częściej przeprowadzać bieżące czyszczenie i pielęgnację. Oprócz powyższych uwag zalecamy stosowanie się do wskazówek producentów i dostawców dotyczących czyszczenia i pielęgnacji różnych rodzajów wykładzin podłogowych. Poniżej podajemy ogólne zalecenia dotyczące czyszczenia i pielęgnacji wykładzin dywanowych, z PCW i linoleum. Wykładzina z PCW i linoleum : Pielęgnacja oraz regularne czyszczenie wpływa nie tylko na estetykę i higienę pomieszczeń, ale także w znacznym stopniu na długość okresu użytkowania. Wykładzinę przed pierwszym użyciem należy zabezpieczyć specjalnym środkiem strona 161/161 ____________________________________________________________________________ pielęgnującym, gdyż w przeciwnym przypadku późniejsze czyszczenie powierzchni jest trudne i związane z wyższymi kosztami. 1. Czyszczenie po zakończeniu budowy Należy usunąć wszystkie zabrudzenia. W normalnych warunkach wystarczają ogólnie dostępne środki czyszczące dodawane w niewielkich ilościach do wody służącej do czyszczenia (patrz na uwagę na początku tej strony dotyczącą stosowania wody). 2. Wstępna pielęgnacja. Wykonuje się ją bezpośrednio po czyszczeniu opisanym powyżej, przed użytkowaniem podłogi. Warstwa pielęgnująca ma za zadanie chronić wykładzinę z PCW przed mechanicznymi i chemicznymi wpływami, poprawić wygląd oraz ułatwić czyszczenie. Polecamy emulsje do nanoszenia bez rozcieńczania. W miejscach bardziej narażonych na zabrudzenie lub o wyższych wymaganiach dotyczących czystości i estetyki zaleca się dwukrotne nałożenie emulsji ochronnej. 3. Czyszczenie okresowe (lub bieżące) Jest to bieżące czyszczenie w długim okresie czasu. Zaleca się użycie wilgotnej szmaty i wody z dodatkiem środków czyszczących - ich rodzaj i ilość są zależne od stopnia i rodzaju zabrudzenia. Przy większych powierzchniach często stosuje się specjalne urządzenia do czyszczenia. 4. Gruntowne czyszczenie. Gruntowne czyszczenie wymagane jest od czasu do czasu, np. wtedy, gdy czyszczenie okresowe nie daje pożądanego rezultatu. Podczas tego czyszczenia usuwa się brud oraz warstwę pielęgnującą. Po wyschnięciu wykładziny należy ponownie nanieść warstwę pielęgnującą, jak w punkcie 2. strona 162/162 ____________________________________________________________________________ 17.2 Zalecane czynności związane z montażem i instalacją urządzenia Tsunami Przed zamontowaniem urządzenia Tsunami MP.11 model 5054-R1 należy odczytać MAC adres i numer seryjny 5054-R. Informacje te znajdują się na naklejce, umieszczonej z boku jednostki. Dane te są niezbędne przy konfiguracji urządzenia (MAC adres SU musi by wpisany w bazę danych BSU). 17.2.1 MONTAŻ Aby zainstalować 5054-R, postępuj zgodnie z następującymi krokami: Wypakuj urządzenie i podłącz kabel kategorii 5e do portu Power-over-Ethernet, znajdującego się na tylnej ściance jednostki (rysunek poniżej). Przykręć element mocujący (A) do tylnej ścianki urządzenia, przy pomocy czterech śrub (B), tak jak pokazano na poniższych zdjęciach. 1 Pod nazwą Tsunami MP.11 model 5054-R kryje się rodzina produktów (Tsunami Base Stadion Unit (BSU), Subscriber Unit (SU) strona 163/163 ____________________________________________________________________________ Instalacja przy zastosowaniu polaryzacji poziomej. Strzałka umieszczona na tylnej ściance urządzenia informuje o kierunku polaryzacji. Zamocuj urządzenie tak aby strzałka była skierowana ku górze, aby otrzymać polaryzację pionową. Jeżeli chcesz używać polaryzacji poziomej, umocuj urządzenie tak aby strzałka skierowana była w prawą stronę, (patrz zdjęcia poniżej). Przykręć element (C) do elementu (A) za pomocą śrubki., jak pokazano poniżej. Dzięki temu otrzymasz możliwość dokładnego ustawienia urządzenia. strona 164/164 ____________________________________________________________________________ Do wspornika (C) przykręć element (E) za pomocą śruby z podkładką Aby umocować urządzenie na maszcie, włóż śruby w element (F). Złóż elementy (E) i (F) ze sobą tak, aby maszt znalazł się pomiędzy nimi. Skręć elementy śrubami. 17.2.2 PODŁĄCZANIE KABLI DO 5054-R Urządzenie zasilane jest poprzez zasilacz Power-over-Ethernet. Aby dostarczyć energię elektryczną do 5054-R podłącz do zasilacza kabel Ethernet. Jeżeli urządzenie jest włączone, 5054-R rozpoczyna od startu programu diagnostycznego. Kiedy program ten zostanie ukończony, diody LED zasygnalizują stan pracy urządzenia. DIODY LED strona 165/165 ____________________________________________________________________________ Wireless Link LED Power & Ethernet Link LED Power & Ethernet Link LED Mrugająca zielona Urządzenie zasilane; Połączenie Ethernet – brak Zielona Urządzenie zasilane; Połączenie Ethernet aktywne Wireless Link LED Czerwona Urządzenie zasilane; urządzenie podczas rozgrzewania Mrugająca zielona Połączenie radiowe w czasie zestawiania. Zielona Połączenie radiowe zestawione. Uwaga: Mrugające jednocześnie dwie diody LED oznaczają poważny problem podczas inicjalizacji urządzenia. Zalecany kabel Funkcja Typ Impedancja Rekomendowane kable Maksymalna długość Typ złącza (strona urządzenia 5054-R) Typ złącza (strona zasilacz PoE) 17.2.3 Zasilanie (DC) i połączenie Ethernet Kat. 5e, osłona UV 100 Q 4 UTP, 24 AWG, UL 330 stóp/100 metrów RJ-45 z osłoną wodoodporną RJ-45 do podłączenia do zasilacza PoE POŁĄCZENIE SERIAL Połączenie typu serial, z komputerem PC, dokonuje się za pomocą kabla RJ-11 do DB-9. Wtyczkę RJ-11 podłączamy do urządzenia 5054-R, natomiast DB-9 do komputera. Po zestawieniu połączenia możemy zarządzać urządzeniem poprzez listę komend (CLI). strona 166/166 ____________________________________________________________________________ 17.2.4 PODŁĄCZENIE ANTENY ZEWNĘTRZNEJ Wbudowaną antena zewnętrzną posiada tylko urządzenie Tsunami SU-RA; BSU posiada złącze N - męskie i umożliwiające podłączenie oddzielnej anteny zewnętrznej • Antenę MARS 5 GHZ 15DBI/120 zamontowano do masztu przy użyciu dołączonego uchwytu (cybantu). • Uchwyt przykręcono na stałe do masztu. • Antenę ustawiono w pozycji pionowej. • Antenę podłączono do BSU do łącza N - męskiego • Kabel antenowy przymocowano do masztu opaskami zaciskowymi • Złącza antenowe zaizolowano taśma izolacyjną. 17.2.5 USTAWIENIE ANTENY Ustawienie anteny polega na takim fizycznym jej umieszczeniu, aby sygnał nadawany i odbierany miał jak najlepszą jakość. W liście komend (CLI) dostępne są następujące polecenia, które pomagają w prawidłowym ustawieniu anteny (proces wyświetla poziom SNR dla stacji lokalnej/zdalnej lub wartość średnią; wartość odświeżana 2 razy w ciągu sekundy): Set aad enable local Wyświetla lokalny poziom SNR. Set aad enable remote Wyświetla zdalny poziom SNR. Set aad enable average Wyświetla średni poziom SNR (średnia z poziomu stacji zdalnej i lokalnej) Set aad disable Wyłącza wyświetlanie poziomu ustawienia anteny. strona 167/167 ____________________________________________________________________________ 17.2.6 INSTALACJA DOKUMENTACJI I OPROGRAMOWANIA Dokumentacja do Tsunami MP.11 5054-R , oraz oprogramowanie niezbędne do zarządzania urządzeniem znajduje się na dołączonej płycie CD. Aby zainstalować te składniki postępuj zgodnie z poniższymi wskazówkami: 1. Włóż płytę CD do napędu CD-ROM. Program instalacyjny uruchomi się sam (można go również uruchomić poprzez plik setup.exe) 2. Naciśnij przycisk Install Help and Software a następnie postępuj zgodnie z pojawiającymi się podpowiedziami. 17.2.7 DOSTĘP PRZEZ PRZEGLĄDARKĘ (WEB INTERFACE) Aby zarządzać urządzeniem 5054-R poprzez przeglądarkę internetową należy: 1. Uruchomić przeglądarkę stron WWW (np. Internet Explorer) a następnie wpisać w pole adres, adres IP urządzenia (np. http://10.0.0.1). 2. Gdy wyświetli się okno logowania, pole Użytkownik należy zostawić niewypełnione, natomiast w pole Hasło wpisać public. Jeżeli 5054-R jest skonfigurowane aby automatycznie pobierać adres IP z serwera DHCP należy: 1. Zainstalować program ScanTool, który znajduję się na dołączonej płycie CD, 2. 5054-R musi znajdować się w tej sieci co komputer (ten sam zakres adresowy), na którym zastał zainstalowany program ScanTool. Jeżeli to konieczne zmień konfigurację interface’u sieciowego komputera.. 3. Aby znaleźć adres IP 5054-R uruchom ScanTool naciskając Start→Programy→Proxim→ScanTool 4. Znaleziony adres IP urządzenia wspisz w pole Adres przeglądarki stron WWW. 17.2.8 DOSTĘP PRZEZ LISTĘ KOMEND (COMMAND LINE INTERFACE) Aby konfigurować urządzenie za pomocą CLI, poprzez port, Ethernet 5054-R musi być podłączony do sieci lub kablem cross-over bezpośrednio z komputerem. W strona 168/168 ____________________________________________________________________________ przypadku połączenia terminalowego, komputer musi być podłączony z 5054-R poprzez port Serial. Dostęp poprzez sieć Ethernet: 1. Naciśnij przycisk Start w menu systemu Windows, następnie wybierz Uruchom i w pole dialogowe wpisz cmd. Naciśnij Enter. 2. W oknie tekstowym, które zostanie wyświetlone, wpisz telnet i adres IP urządzenia (np. telnet 10.0.0.1) 3. Naciśnij OK. aby uruchomić program. Wyświetlona zostanie prośba o podanie hasła. 4. Wpisz hasło i naciśnij enter (domyślne hasło to public). Dostęp poprzez port Serial W niektórych przypadkach otrzymanie adresu IP 5054-R może okazać się niemożliwa. W takich przypadkach dostęp do urządzenia możemy otrzymać poprzez złącze RS232Ci kabel serial. Firma Proxim zaleca wyłączenie komputera i odłączenie zasilania od MP.11 5054-R przed podłączeniem obu urządzeń ze sobą za pomocą kabla serial. 17.3 Sposoby montażu podłogi podniesionej Konstrukcja wsporcza: Słupki wolnostojące Słupki stalowe, ocynkowane i chromowane, są mocowane do stropu przy pomocy specjalnego kleju, w standardowym rozstawie 600 x 600 mm. W wyjątkowych przypadkach słupki dodatkowo mocuje się przy pomocy kołków. Słupki są elementami dwuczęściowymi, umożliwiającymi płynną regulację wysokości oparcia płyt. Zakres stosowanych wysokości podłogi : od 70 do 600 mm. Na głowice słupków nakłada się nakładki z polietylenu przewodzącego ładunki elektryczne, tłumiące drgania i zapewniające równomierny nacisk płyt na głowicę słupków. Jest to podstawowy, najczęściej stosowany rodzaj konstrukcji wsporczej. strona 169/169 ____________________________________________________________________________ Rozwiązania techniczne montażu Jako wykończenie powierzchni górnej możliwe są wszystkie ogólnie stosowane rodzaje wykładzin podłogowych jak: − elastyczne wykładziny z tworzywa sztucznego np. : linoleum, PCV, kauczuk, − wykładziny specjalne Wszystkie aplikowane wykładziny są wcześniej sprawdzane poprzez próbne przyklejenie i poddawane testom na wytrzymałość. strona 170/170 ____________________________________________________________________________ Zabezpieczenie wolnej krawędzi podłogi strona 171/171 ____________________________________________________________________________ Wykonanie Kanału rewizyjnego 17.4 Zalecenia i podstawa prawna dotyczące stosowania stałych środków gaśniczych Stosowanie stałych urządzeń gaśniczych, związanych na stałe z obiektem, zawierających zapas środka gaśniczego i uruchamianych samoczynnie we wczesnej fazie rozwoju pożaru ma uzasadnienie w sytuacji gdy urządzenia spełniają szczególną rolę w funkcjonowaniu firmy i oczekujemy od nich długotrwałej bezawaryjnej pracy. Stosuje się je w celu minimalizacji strat i likwidacji pożaru u jego źródła, by po usunięciu przyczyny awaryjnej pracy było możliwe ponowne przywrócenie ich do pracy W strefach pożarowych i pomieszczeniach wyposażonych w stałe urządzenia gaśnicze gazowe lub z innym środkiem gaśniczym mogącym mieć wpływ na zdrowie ludzi powinny być zapewnione warunki bezpieczeństwa dla osób przebywających w tych pomieszczeniach, zgodnie z odpowiednimi Polskimi Normami dotyczącymi tych strona 172/172 ____________________________________________________________________________ urządzeń. Przewidzieć należy sygnalizację ostrzegawczą, która zawiadomi, że wkrótce nastąpi uruchomienie stałej instalacji gaśniczej Stosowanie systemu sygnalizacji pożarowej, obejmującego urządzenia sygnalizacyjno-alarmowe, służące do samoczynnego wykrywania i przekazywania informacji o pożarze oraz do samoczynnego uruchamiania stałych instalacji gaśniczych. Stosowanie dźwiękowego systemu ostrzegawczego, umożliwiającego rozgłaszanie sygnałów ostrzegawczych i komunikatów głosowych dla potrzeb bezpieczeństwa osób przebywających w budynku, nadawanych automatycznie po otrzymaniu sygnału z systemu sygnalizacji pożarowej, a także przez operatora. W obiektach, w których zastosowano dźwiękowy system ostrzegawczy, nie powinny być stosowane inne pożarowe urządzenia alarmowe akustyczne służące alarmowaniu użytkowników tego obiektu, poza służbami dozoru lub ochrony. Sposób połączenia urządzeń sygnalizacyjno-alarmowych systemu sygnalizacji pożarowej z komendą lub jednostką ratowniczo-gaśniczą Państwowej Straży Pożarnej właściciel, zarządca lub użytkownik obiektu jest obowiązany uzgodnić z właściwym miejscowo komendantem powiatowym (miejskim) Państwowej Straży Pożarnej. Podstawa prawna (Dz. U. z dnia 11 lipca 2003 r.”w sprawie ochrony przeciwpożarowej budynków, innych obiektów budowlanych i terenów” z dnia 16 czerwca 2003 r 18 Kosztorys 19 Dokumenty dodatkowe 19.1 Regulamin korzystania z dostępu do sieci przez punkt dostępowy firmy SATURNET 1. Klient zobowiązany jest do zapoznania się z niniejszym regulaminem przed skorzystaniem z bezprzewodowego dostępu do Internetu za pomocą sieci Hotspot. Klient ponosi wyłączną odpowiedzialność za niezastosowanie się do postanowień niniejszego regulaminu. 2. Wszelkie reklamacje zgłoszone przez Klienta, wynikające z niezastosowania się Klienta do postanowień niniejszego regulaminu nie będą uwzględniane. strona 173/173 ____________________________________________________________________________ 3. Bezprzewodowy dostęp do sieci Internet za pomocą Hotspots jest możliwy wyłącznie w obszarze punktu dostępowego Hotspot (około 100m). 4. Bezprzewodowy dostęp do sieci Internet za pomocą Hotspots jest możliwy wyłącznie za pomocą komputera wyposażonego w kartę Wireless LAN. 5. Klient zobowiązuje się do korzystania z bezprzewodowego dostępu do Internetu za pośrednictwem Hotspot w sposób nie naruszający praw osób trzecich i obowiązujących przepisów prawa, w szczególności Klient zobowiązuje się do: a) nie przesyłania i nie udostępniania treści, które są niezgodne z prawem lub są przedmiotem ochrony własności intelektualnej, której podmiotem nie jest Klient, b) nie przesyłania i nie udostępniania treści mogących naruszyć czyjekolwiek prawa osobiste, c) nie wykorzystywania dostępu w celu masowego rozsyłania nie zamówionych przez odbiorców treści o charakterze reklamowym, d) nie rozpowszechniania wirusów komputerowych i innych programów mogących uszkodzić komputery innych użytkowników Internetu, e) nie odstępowania dostępu do Internetu bez wiedzy i pisemnej zgody firmy, f) nie wykorzystywania dostępu w celu permanentnego obciążania w znacznym stopniu pasma poprzez udostępnianie serwerów WWW, IRC, NNTP itp. 6. Klientowi nie wolno używać sieci punktów dostępowych, o której mowa w niniejszym regulaminie, do budowania stałych podsieci. Poprzez stałą podsieć rozumiane jest udostępnianie Internetu innym komputerom, 7. Klient ponosi wyłączną odpowiedzialność za sposób w jaki wykorzystuje dostęp uzyskany za pomocą Hotspot, w szczególności za formę, treść i inną zawartość przesyłanych wiadomości, z uwzględnieniem odpowiedzialności karnej za działanie niezgodne z prawem. 8. W przypadku naruszenia przez Klienta postanowień niniejszego regulaminu firma zastrzega sobie prawo zawieszenia lub zablokowania/uniemożliwienia Klientowi dostępu do Internetu za pomocą Hotspot, w takim przypadku Klientowi nie przysługują wobec żadne roszczenia z tego tytułu. 9. firma nie odpowiada za brak pokrycia radiowego w Hotspot ani za obniżenie przepustowości łącza. 10. firma nie odpowiada za nieuprawnione użycie oprogramowania lub innych utworów będących przedmiotem ochrony własności intelektualnej dostępnych w Internecie. strona 174/174 ____________________________________________________________________________ 11. firma nie odpowiada za szkody wyrządzone przez oprogramowanie dostarczone przez strony trzecie. 12. firma nie odpowiada za warunki techniczne panujące w sieci radiowej oraz opóźnienia, które mogą mieć wpływ na rzeczywisty transfer do lub z komputera Klienta w Internecie. 13. firma nie będzie odpowiadała za utratę danych posiadanych przez Klienta i za koszty związane z ich odtworzeniem. Klient jest zobowiązany do właściwego zabezpieczenia posiadanego przez siebie sprzętu i oprogramowania. 14. firma zastrzega sobie prawo do czasowego ograniczania lub wyłączenia dostępu do Internetu za pomocą sieci Hotspot. 15. SATURNET jest uprawnione do zmiany niniejszego regulaminu w każdym czasie, aktualny regulamin jest w każdym czasie dostępny w siedzibie oraz na stronie WWW. 16. Niniejszy regulamin wchodzi w życie w dniu 1 stycznia 2005. 19.2 Dokumenty dotyczące postępowania ochrony fizycznej 19.3 Zakres obowiązków pracownika ochrony ZAKRES OBOWIĄZKÓW PRACOWNIKA OCHRONY I. Cześć ogólna Do obowiązków osób przyjmujących pracę na stanowisku pracownika ochrony należy: W ogólności ochrona powierzonego mienia przed kradzieżą- dewastacją .pożarem i zalaniem wodą. Dozorcy zabezpieczają mienie poprzez ciągłą aktywną obecność na terenie i w czasie przyjętym pod dozór oraz poprzez alarmowanie (natychmiastowe powiadamianie)odpowiedniego pogotowia (Policji .Straży Pożarnej' .Pogotowia itd.)w zależności od zaistniałej konieczności ,oraz przedstawiciela "IMPEL" S.A. Wszczególności: l. Sprawdzanie stanu wszelkich zamknięć, zabezpieczeń i plomb. 3. Sprawdzanie stanu ogrodzenia i oświetlenia . 3. Sprawdzanie prawidłowości zamknięcia okien i drzwi. strona 175/175 ____________________________________________________________________________ 4. Sprawdzanie zamknięcia kranów wodnych i gazowych oraz wyłączenie z sieci elektrycznej urządzeń, które powinny zostać wyłączone przed oddaniem obiektu pod dozór. 5. Sprawdzenie dostępnych pomieszczeń pod względem bezpiecznego ich pozostawienia przez pracowników po zakończeniu pracy, a w szczególności sprawdzenie wyłączenia urządzeń elektrycznych i instalacji wodnej oraz gazowej - w razie potrzeby wyłączenia ich. 6.Natychmiastowe meldowanie wskazanym osobom lub (w drugiej kolejności ) do właściwego pogotowia, o przypadkach niemożliwości odłączenia urządzeń wymienionych w p.5. 7. Zgłoszenie kierownictwu dozorowania obiektu braków odnośnie stanu ogrodzenia i oświetlenia itp. 8. Wykonywanie obchodów wewnątrz obiektu - w ramach ciągłego kontrolowania obiektu - z częstotliwością co pol godziny 9. Wykonywanie czynności wymienionych w p. 1-7 każdorazowo przy przyjmowaniu obiektu pod dozór i w p. 1-3 każdorazowo przy wykonaniu obchodu. 10. W razie zauważenia próby kradzieży, natychmiastowe działanie w celu zapobiegania jej -jeśli nie pociąga to za sobą ryzyka utraty zdrowia lub życia. Natychmiastowe zawiadomienie Policji i przedstawiciela spółki „IMPEL'\W zależności od skali zajścia - natychmiastowe zawiadomienie zwierzchnika i osoby wskazanej przez Zamawiającego lub dopiero po rozpoczęciu się dnia roboczego. 11. W razie zauważenia pożaru natychmiastowe zawiadomienie Straży Pożarnej , Policji, przełożonego i kierownictwa strzeżonego obiektu oraz postępowanie optymalne w kierunku opanowania ognia i zabezpieczenia obiektu przed kradzieżą. Wykonywać obsługa centrali automatycznego gaszenia IGNIS 1520 zgodnie z Instrukcją obsługi IO-E294-001 12. Odnotowanie w książce dozoru istotnych wydarzeń zaistniałych podczas prowadzenia dozoru , np. imię i nazwisko oraz datę i godzinę osoby przyjmującej zgłoszenie ze strony pogotowia i ze strony kierownictwa obiektu , rodzaj uszkodzeń w zabezpieczeniu obiektu itp. strona 176/176 ____________________________________________________________________________ 13. Zabranianie przebywania na terenie i w czasie prowadzenia dozoru osobom nie posiadającym stosownego zezwolenia. 3. Dokonywanie wpisu do książki dozoru w momencie przyjmowania i zdawania obiektu. Wpis ma zawierać nazwisko i imię osoby dozorującej, godzinę i datę przyjęcia i zdania służby, podpis dozorcy, podpis kierownika strzeżonego obiektu (lub osoby upoważnionej )stwierdzający przyjęcie obiektu. 19.4 Tok postępowania pracowników ochrony przy przyjmowaniu zdawaniu służby na obiekcie (posterunku) TOK POSTĘPOWANIA PRACOWNIKÓW OCHRONY PRZY PRZYJMOWANIU - ZDAWANIU SŁUŻBY NA OBIEKCIE (POSTERUNKU) NA OBIEKCIE: zmiana jednoosobowa. Pracownik ochrony obejmujący służbę przychodzi do pracy 15 minut przed rozpoczęciem służby. Czas ten przeznaczony jest na przebranie się w ubiór służbowy oraz przyjęcie służbyPrzyjmujac służbę pracownik ochrony powinien: 1. W pierwszej kolejności przyjąć: - dokumentację związaną zapełnieniem służby na obiekcie wyszczególnioną według spisu; . - wyposażenie miejsca pełnienia służby (dyżurki) według spisu inwentarza zwracając szczególną uwagę na sprawność sprzętu łączności (telefony, motorolle itp.). 2. Następnie: strona 177/177 ____________________________________________________________________________ - wspólnie ze zdającym służbę - dokonać obejścia całego obiektu na zewnątrz również wewnątrz (np.: biurowca lub innych pomieszczeń), - dokonać sprawdzenia wszystkich pomieszczeń - pomieszczenia powinny by zamknięte, (te, które zgodnie z ich specjalnym przeznaczeniem np.: kasa, kancelaria tajna itp.: winny być zaplombowane - mają mieć plomby - wyraźny odcisk) - klucze zdane, wypisane w książce pobierania i zdawania kluczy. - sprawdzić pomieszczenia gospodarcze (toalety, łazienki) zwracając szczególną uwagę na zakręcenie wszystkich kranów itp. 3. Dodatkowo: - sprawdzić wszystkie miejsca gdzie ewentualnie może wystąpić jakiekolwiek zagrożenie (dodatkowe pomieszczenia do, których mają dostęp pracownicy zakładu w czasie pracy w szczególności kwietniki na korytarzach, holach schodach i pod nimi, zejścia do piwnic, pomieszczenia piwniczne itp.), 4. Po wykonaniu wyżej wymienionych czynności : - zdający - podpisuje w książce pełnienia służb - jej zdanie - obejmujący - objęcie - w wypadku stwierdzenia niedociogniec przy obejmowaniu sluzby wpisać je do książki pełnienia służby. 5. Jeżeli na. ochranianym obiekcie wsączany Jest system alarmowy to uruchomienie jego następuje w czasie zdawania i obejmowania służby tzn- powyższą czynność wykonują obydwaj pracownicy ochrony - zdający wyłącza a obejmujący włącza. Wykonując tą czynność w tym czasie (przy strona 178/178 ____________________________________________________________________________ obejmowaniu i zdawaniu służby) unika się sytuagi, że obiekt pozostaje rue chroniony przez system alarmowy. Natomiast w sytuacji gdy na obiekcie kończy się dyżur, najczęściej taka sytuacja może wystąpić w godzinach rannych , a więc w ciągu dnia nie ma pracowników ochrony wyłączenie systemu alarmowego powinno nastąpić w momencie przyjścia do pracy pierwszego pracownika zakładu. Godzina włączenia i wyłączenia systemu alarmowego powinna być każdorazowo wpisywana w książce pełnienia służby. UWAGA: ZABRANIA SIĘ PRACOWNIKOWI OCHRONY BEZ UZASADNIONEJ PRZYCZYNY . WYŁĄCZANIA SYSTEMU ALARMOWEGO JAK RÓWNIEŻ OTWIERANIA UPRZEDNIO ZAMKNIĘTYCS POMIESZCZEŃ (PO ZDANIU KLUCZY PRZEZ PRACOWNIKÓW ZAKŁADU - OBIEKTU) I WCHODZENIA DO NICH. KAŻDORAZOWY FAKT WYKONANIA POWYŻSZEJ CZYNNO Ś CI POWINIEN BYĆ ODNOTOWANY W KSIĄŻCE PEŁNIENIA SŁUŻBY Z PODANIEM JEJ UZASADNTENIEA (np.: pęknięcie rury, kaloryfera rtp.). Na obiekcie: zmiana wieloosobowa. Pracownik ochrony obejmujący służbę przychodzi do pracy na obiekt 15 minut przed rozpoczęciem służby. Czas ten przeznaczony jest na przebranie się w ubiór służbowy strona 179/179 ____________________________________________________________________________ oraz przyjęcie służby. Zmiany pracowników ochrony na posterunkach dokonuje dowódca zmiany obejmującej, który razem ze swoją zmianą szczegółowo przyjmuje poszczególne posterunkiPrzyjęcie posterunku przez pracownika ochrony powinno nastąpić zgodnie z ustalonym harmonogramem przez dowódcę zmiany. Szczególną uwagę obejmujący powinien zwrócić na sprawność środków łącznościzamknięcie pomieszczeń, stan plomb i innych zabezpieczeń . Po dokonaniu zmiany i przyjęciu wszystkich posterunków dowódca zmiany wraca do miejsca pełnienia służby ( na dyżurkę), przyjmuje dokumentację i wyposażenie według spisu, a następnie przyjmuje służbę poprzez złożenie podpisu w książce pełnienia służby. Wszystkie niedociągnięcia stwierdzone podczas przyjmowania służby dowódca zmiany obejmującej odnotowuje w książce pełnienia służb. UWAGA: DOWÓDCA ZMIANY ZDAJĄCEJ KOŃCZY DYŻUR Z CHWILĄ ZŁOŻENIA PODPISU W KSIĄŻCE SŁUŻB PRZEZ DOWÓDCĘ ZMIANY OBEJMUJĄCEJ (DOPIERO WTEDY MOŻE PÓJŚĆ DO DOMU). strona 180/180 ____________________________________________________________________________ 19.5 Instrukcja współdziałania pracowników ochrony z policją i strażą pożarną INSTRUKCJA WSPÓŁDZIAŁANIA PRACOWNIKÓW OCHRONY Z POLICJA I STRAŻĄ POŻARNA Pracownicy ochrony IMPEL SECURITY Polska Sp. z o. o. spełniając zadania ochrony i zabezpieczenia obiektu w ramach dobrze pojętej ochrony współpracują z Policją i Strażą Pożarną. L Współpraca, z Policją polega na: a) informowaniu o zaistniałych czynach przestępczych^ wykroczeniach i wypadkach, b) współorganizowaniu w uzasadnionych przypadkach na terenie obiektu zasadzek celem ujęcia sprawców przestępstwa, c) organi-zowaniu (w ramach uzasadnionych potrzeb) wspólnych patroli po terenie i na zewnątrz obiektu, szczególnie w godzinach wieczorowo-nocnych, w miejscach narażonych na działalność przestępczą, d) udziału funkcjonariuszy Policji w organizowanych szkoleniach pracowników ochrony, e) współdziałaniu przy zatrzymywaniu sprawców przestępstw! wykroczeń w obrębie chronionego obiektu, f) organizowanie wspólnych narad i spotkań celem wymiany informacji oraz wypracowywania strona 181/181 ____________________________________________________________________________ optymalnych sposobów gwarantujących właściwe zabezpieczenie chronionego obiektu. C. Współpraca ze Strażą PożarnąBiorąc pod uwagę fakt, że na terenie wielu obiektów nie ma Jednostek Straży Pożarnej, na pracownikach ochrony spoczywa obowiązek bieżącej współpracy i wymiany informacji w zakresie realizacji zadań ochrony przeciwpożarowej, szczególnie w działalności profilaktycznozapobiegawczej i kontrolnej z najbliższą Jednostką Straży Pożarnej. W związku z powyższym obowiązkiem pracownika ochrony jest: a) z chwilą zauważenia pożaru natychmiast powiadomić Straż Pożarną nrtei. 998 podając miejsce pożaru, rodzaj palącego się obiektu - materiału, czy zagrożone jest życie ludzkie, następnie w miarę możliwości i posiadanego sprzętu gaśniczego przystąpić do gaszenia ognia,' b) zabezpieczyć miejsce pożaru przed zatarciem śladów do czasu przyjazdu Policji, c) kierować do miejsca pożaru- wozów Straży pożarnej, karetek pogotowia oraz Policji, a w razie potrzeby służyć za przewodnika, d) zabezpieczyć ewakuowane mienie podczas prowadzonej akcji gaśniczej. W czasie pełnienia służby pracownicy ochrony zobowiązani są do: a) interweniowania w przypadku naruszania przepisów przeciwpożarowych przez pracowników zatrudnionych na obiekcie, strona 182/182 ____________________________________________________________________________ b) ujawnianie oraz zatrzymywanie sprawców winnych zagrożenia ogniowego i przekazywanie ich przełożonemu. Straży Pożarnej bądź.Policji, c) zwracanie uwagi na wszelkie przejawy naruszania przepisów przeciwpożarowych (używanie otwartego ognia w miejscach szczególnie zagrożonych, palenia papierosów itp.), d) znać miejsca składowania materiałów łatwopalnych. Miejsca te w czasie trwania służby objąć szczególną ochroną, e) znać rozmieszczenie punktów gaśniczych, czerpania wody, ich stan techniczny - a w przypadku stwierdzonych uchybień natychmiast informować odpowiednie służby, f) wszelkie pozostawione w ruchu bez opieki pod napięciem urządzenia, silniki bądź inne odbiornik prądu - wyłączać, a w przypadku powstania wątpliwości co do ich unieruchomienia natychmiast informować telefonicznie wyszczególnione 'w 'wykazie osoby, które Dależy powiadamiać w sytuacjach szczególnych. 19.6 Umowy Umowa z TP S.A. (załącznik nr 42) Zamówienie na usługi transmisji danych z TP S.A. (załącznik nr 43) Umowa z firmą Flortech na świadczenie usług monitoringu p-poż (załącznik nr 44) strona 183/183 ____________________________________________________________________________ 20 Leksykon ATM (Asynchronous Transfer Mode) szerokopasmowa technologia przesyłania informacji cyfrowej (głos, obraz i dane), w postaci komórek o stałej długości (53 bajty), przez sieci LAN i WAN z możliwością tworzenia połączeń wirtualnych. Do tej pory ukształtowały się następujące klasy przepływności w sieciach asynchronicznych ATM: 25 Mb/s (w zaniku), 100 Mb/s, 155,52 Mb/s (powszechnie stosowane) oraz 622 Mb/s i 2,5 Gb/s dla sieci transportowych SDH/ATM; obecnie pierwsze implementacje o szybkości 10 Gb/s. Frame Relay urządzenia dostępu (także sieć pakietowa), stosowane w szybkich cyfrowych sieciach teleinformatycznych. Pakietowa sieć transmisyjna FR z przełączaniem ramek (pakietów) funkcjonuje na łączach cyfrowych wysokiej jakości, zwykle światłowodowych o niskiej stopie błędów, ze zmienną przepływnością w zakresie od 64 kb/s do 45 Mb/s. AES (Advanced Encryption Standard) - bardzo silny mechanizm szyfrowania, jest standardem wykorzystywanym przez rząd USA. AES wykonuje 10, 12 lub 14 (w zależnosci od długości klucza) rund szyfrujących substitution-permutation, składających się z substytucji wstępnej, permutacji macierzowej (mieszanie wierszy, mieszanie kolumn) i modyfikacji za pomocą klucza, przy czym funkcja substytucyjna ma bardzo oryginalną konstrukcję, która uodparnia go na znane ataki kryptoanalizy różnicowej i liniowej. VPN (z ang. Virtual Private Network, Wirtualna Sieć Prywatna), można opisać jako "tunel", przez który płynie ruch w ramach sieci prywatnej pomiędzy klientami końcowymi za pośrednictwem publicznej sieci (takiej jak Internet) w taki sposób, że węzły tej sieci są przezroczyste dla przesyłanych w ten sposób pakietów. Taki kanał może opcjonalnie kompresować lub kodować w celu zapewnienia lepszej jakości lub większego poziomu bezpieczeństwa przesyłanych danych. strona 184/184 ____________________________________________________________________________ Określenie "Wirtualna" oznacza, że sieć ta istnieje jedynie jako struktura logiczna działająca w rzeczywistości w ramach sieci publicznej, w odróznieniu do sieci prywatnej, która powstaje na bazie specjalnie dzierżawionych w tym celu łącz. Pomimo takiego mechanizmu działania stacje końcowe mogą korzystać z VPN dokładnie tak jak gdyby istniało pomiędzy nimi fizyczne łącze prywatne. Rozwiązania oparte na VPN powinny być stosowane w firmach, w których dosyć często pracują zdalnie ze swoich domów, na nie zabezpieczonych łączach. Wirtualne Sieci Prywatne charakteryzują się dość dużą efektywnością, nawet na słabych łączach (dzięki kompresji danych) oraz wysokim poziomem bezpieczeństwa (ze względu na szyfrowanie). Najczęściej spotykane protokoły VPN to: • IPsec • PPTP (ang. Point to Point Tunneling Protocol) IPsec mechanizm ochrony i uwierzytelniania danych na poziomie protokołu IP. Jest opcjonalny w obecnie wykorzystywanej wersji (IPv4) i obowiązkowy w przyszłej (IPv6); zbiór protokołów służących implementacji bezpiecznych połączeń oraz wymiany kluczy kodowych pomiędzy komputerami. Protokoły tej grupy mogą być wykorzystywane do tworzenia Wirtualnej Sieci Prywatnej (ang. VPN). Intranet wewnętrzna sieć przedsiębiorstwa oparta o protokoły wykorzystywane w Internecie (np. TCP/IP) i podobna w organizacji do Internetu, z tą główną różnicą, że dostęp do niej mają tylko uprawnione osoby. Intranet jest oddzielony od publicznej sieci Internet za pomocą firewalla. Firewall system zabezpieczenia sieci wewnętrznej (intrane-u) przed nieautoryzowanym dostępem z zewnątrz (zazwyczaj z Internetu). Firewall "przepuszcza" jedynie dane spełniające kryteria bezpieczeństwa. Stosuje się zarówno firewalle software`owe (np. działające pod systemem Linux) lub sprzętowe (tzn realizowane przez urządzenie z zaimplementowanym oprogramowaniem sprzedawane jako „box” np. Nokia IP). Firewall wykorzystuje różne techniki - m.in. filtrowanie pakietów. strona 185/185 ____________________________________________________________________________ 21 Spis rysunków Rysunek 1. Topologia sieci...................................................................................17 Rysunek 2. Schemat działania światłowodu.........................................................18 Rysunek 3. Spawy mechaniczne..........................................................................19 Rysunek 4. Schemat okablowania pionowego .....................................................20 Rysunek 5. Rękaw i szyb do przejścia pomiędzy piętrami ...................................21 Rysunek 6. Obręcz kołnierza................................................................................23 Rysunek 7. Schemat połączenia budynków i ich lokalizacja ................................37 Rysunek 8. Struktura sieci WLAN ........................................................................40 Rysunek 9. WAP 4000 .........................................................................................66 Rysunek 10. Identyfikacja WPA w trybie "korporacyjnym". ....................................69 Rysunek 11. Podłoga podniesiona pomieszczenia MDF........................................89 Rysunek 12. Podłoga techniczna – rozmieszczenie modułów paroll 90 płyt gipsowo-włóknowych...........................................................................................90 Rysunek 13. Podstawy szafy serwerów .................................................................91 Rysunek 14. Obieg powietrza w pomieszczeniu klimatyzowanym .........................93 Rysunek 15. Uproszczony schemat rozmieszczenia sprzętu alarmowania i centrali ppoż 99 Rysunek 16. Uproszczony schemat instalacji gaśniczej ppoż -hydraulika.........105 Rysunek 17. Uproszczony schemat instalacji gaśniczej ppoż. - hydraulika rzut z góry 22 107 Spis tabel Tabela 1. Odległości transmisji wg IEEE 802.3z...................................................20 Tabela 2. Maksymalne długości............................................................................21 Tabela 3. Minimalne liczby i wymiary rękawów i szybów w zależności od powierzchni piętra, obsługiwanego przez dane okablowanie: .............................22 Tabela 4. Odległości transmisji wg IEEE 802.3z...................................................26 Tabela 5. Zalecane media w poszczególnych segmentach sieci ..........................27 Tabela 6. Zalecane typy kabla w poszczególnych segmentach sieci....................27 Tabela 7. Adresy portów obsługiwanych usług .....................................................30 Tabela 8. Konfiguracja urządzeń sieciowych ........................................................31 strona 186/186 ____________________________________________________________________________ Tabela 9. Sieci wirtualne .......................................................................................32 Tabela 10. Konfiguracja urządzeń sieciowych ........................................................34 Tabela 11. Konfiguracja urządzeń sieciowych ........................................................34 Tabela 12. Konfiguracja urządzeń sieciowych IDF Budynek 2................................35 Tabela 13. Konfiguracja Firewall-a..........................................................................36 Tabela 14. Konfiguracja urządzeń sieciowych ........................................................36 Tabela 15. Podstawowe parametry przewodu HVI [10] ..........................................44 Tabela 16. Wykaz elementów na zabezpieczenie pomieszczenia systemem TA-200 opartym na gazie HFC 227 ea w pomieszczeniu o łącznej kubaturze 48,58 m3. 105 23 Spis załączników 1. Załącznik nr 1 - Schemat logiczny sieci komputerowej Budynek 1 2. Załącznik nr 2 – Schemat logiczny sieci komputerowej Budynek 1 IDF -parter 3. Załącznik nr 3 - Schemat logiczny sieci komputerowej Budynek 1 IDF –I piętro 4. Załącznik nr 4 - Schemat logiczny sieci komputerowej Budynek 2 IDF 5. Załącznik nr 5 - Schemat logiczny sieci komputerowej Budynek 3 IDF 6. Załącznik nr 6 – Okablowanie strukturalne Budynek 1 7. Załącznik nr 7 – Okablowanie strukturalne Budynek 2 8. Załącznik nr 8 – Okablowanie strukturalne Budynek 3 9. Załącznik nr 9 - Szafy 10. Załącznik nr 10 – Numeracja gniazdek 11. Załącznik nr 11 - Światłowód 12. Załącznik nr 12 - Pigtail 13. Załącznik nr 13 – Szafa serwerowa MODBOX III 19 14. Załącznik nr 14 – Cokół serwerowy MODBOX III 800x1000 15. Załącznik nr 15 – Światłowód krosowy_mtrj 16. Załącznik nr 16 – Panel światłowodowy 12 17. Załącznik nr 17 – Panel światłowodowy 6x 18. Załącznik nr 18 - UPS 19. Załącznik nr 19 – Panel 19-calowy zasilająco-filtrujący 20. Załącznik nr 20 – Panel 19-calowy z wieszakami 21. Załącznik nr 21 – Switch DMZ strona 187/187 ____________________________________________________________________________ 22. Załącznik nr 22 – Ruter BINTEC 23. Załącznik nr 23 - Switch 24. Załącznik nr 24 - Mediakonwerter 25. Załącznik nr 25 – Ruter VPN 26. Załącznik nr 26 – Switch Extender Kit 27. Załącznik nr 27 – Switch 28. Załącznik nr 28 – Switch Stackin Kit 29. Załącznik nr 29 - Sun Java™ Enterprise System – opis pakietu 30. Załącznik nr 30 - Sun Java™ Enterprise System – instalacja I konfiguracja 31. Załącznik nr 31 - Sun Java System Application Server – podręcznik administratora 32. Załącznik nr 32 - Rejestracja domeny 33. Załącznik nr 33 – WAP 4000 34. Parametry techniczne klimatyzatora 35. Załącznik nr 35 - Obliczenie zapotrzebowania chłodu dla pomieszczenia serwerowni MDF 36. Załącznik nr 36 - Instrukcja obsługi 37. Załącznik nr 37 - Oferta realizacji 38. Załącznik nr 38 - Alarmowy Automat telefoniczny DIAL1602M Specyfikacja tech 39. Załącznik nr 39 - Alarmowy Automat telefoniczny DIAL1602 dane techniczne 40. Załącznik nr 40 - Sun Fire V20z Server 41. Załącznik nr 41 - Sun Fire V40z Server 42. Załącznik nr 42 - Umowa z TP S.A. 43. Załącznik nr 43 - Zamówienie na usługi transmisji danych z TP S.A. 44. Załącznik nr 44 - Umowa z firmą Flortech na świadczenie usług monitoringu ppoż 45. Załącznik nr 45 - VLAN strona 188/188