Projekt sieci MPLS „Budowa infrastruktury Internetu
Transkrypt
Projekt sieci MPLS „Budowa infrastruktury Internetu
Projekt sieci MPLS w ramach projektu „Budowa infrastruktury Internetu szerokopasmowego na terenie gminy Lubraniec.” Opracował: Jacek Suty 1 Historia zmian Autor BIPS Data ukończenia 06.03.2015 Opis zmian Przekazany do akceptacji Wersja 1.0 Status W akceptacji 2 Spis treści 1 Historia zmian .................................................................................................................................. 3 2 Spis treści ......................................................................................................................................... 4 3 Spis tabel ......................................................................................................................................... 6 4 Spis rysunków .................................................................................................................................. 6 5 Wprowadzenie ................................................................................................................................ 7 5.1 Cele projektu ........................................................................................................................... 7 5.2 Kluczowe założenia projektu ................................................................................................... 7 6 Słownik pojęć................................................................................................................................... 7 7 Minimalne wymagania sprzętowe i oprogramowania .................................................................... 8 7.1 Router brzegowy – 1 komplet ................................................................................................. 8 7.2 Przełącznik agregacyjny – 1 komplet..................................................................................... 10 7.3 Przełącznik dystrybucyjny – 3 komplety................................................................................ 12 7.4 Przełącznik dostępowy – 7 kompletów ................................................................................. 14 7.5 Zapora ogniowa – 1 komplet: składający się z dwóch zapór ogniowych działających w klastrze HA ......................................................................................................................................... 16 7.6 System do monitoringu i zarządzania siecią – 1 komplet: składający się z fizycznego serwera, systemu operacyjnego oraz dedykowanej aplikacji do monitoringu i zarządzania siecią.. 20 7.7 8 9 Wymagania wyposarzenia CPD i SOR .................................................................................... 23 7.7.1 Szafa serwerownia – szt.1 ............................................................................................. 24 7.7.2 UPS serwerownia – szt. 2 .............................................................................................. 24 7.7.3 Szafa punkt masztowy – szt. 6 ....................................................................................... 25 7.7.4 UPS punkt masztowy – szt. 6 ......................................................................................... 25 Warstwa fizyczna sieci ................................................................................................................... 27 8.1 Topologia sieci ....................................................................................................................... 27 8.2 Przypisanie portów fizycznych............................................................................................... 28 Elementy logiczne sieci.................................................................................................................. 28 9.1 Koncepcja działania sieci ....................................................................................................... 28 9.1.1 Usługa VPLS ................................................................................................................... 28 9.1.2 Usługa L3VPN ................................................................................................................ 29 9.2 Nazewnictwo urządzeń ......................................................................................................... 29 9.3 Adresacja IP ........................................................................................................................... 30 9.3.1 Adresacja IP dla protokołu Loopback 255 ..................................................................... 31 9.3.2 Adresacja IP sieci zarządzającej ..................................................................................... 31 9.3.3 Adresacja połączeń punkt-punkt ................................................................................... 32 9.4 Routing IGP ............................................................................................................................ 34 9.4.1 Adresacja IS-IS ............................................................................................................... 34 9.4.2 Metryka IS-IS.................................................................................................................. 35 9.4.3 Parametryzacja protokołu IS-IS ..................................................................................... 36 9.5 Routing BGP ........................................................................................................................... 36 9.5.1 9.6 Parametryzacja protokołu BGP ..................................................................................... 36 Konfiguracja protokołu MPLS ................................................................................................ 36 9.6.1 Konfiguracja MTU na interfejsach przełączników ......................................................... 37 9.6.2 Protokół LDP .................................................................................................................. 37 9.6.3 Synchronizacja protokołu IGP i LDP............................................................................... 37 9.7 Konfiguracja VLANów ............................................................................................................ 38 9.8 Sieci L3VPN ............................................................................................................................ 38 9.9 Mechanizmy QoS ................................................................................................................... 39 9.9.1 Implementacja mechanizmów QoS ............................................................................... 39 9.9.2 Mechanizmy QoS w warstwie dostępowej i dystrybucyjnej ......................................... 39 9.9.3 Mechanizmy QoS w warstwie rdzeniowej..................................................................... 40 9.10 Konfiguracja protokołów typu IP Services............................................................................. 40 9.10.1 Konfiguracja protokołu SNMP ....................................................................................... 40 9.10.2 Logowanie zdarzeń ........................................................................................................ 40 9.10.3 Konfiguracja AAA ........................................................................................................... 40 9.10.4 Synchronizacja czasu ..................................................................................................... 41 9.10.5 Konfiguracja protokołu Spanning-Tree ......................................................................... 41 9.10.6 LLDP ............................................................................................................................... 41 9.10.7 Mechanizmy zabezpieczeń ............................................................................................ 41 10 Segment dostępu do Internetu ................................................................................................. 42 10.1 Architektura segmentu internetowego ................................................................................. 42 10.2 Parametryzacja protokołu BGP na routerach internetowych ............................................... 43 10.3 Konfiguracja zabezpieczeń na zaporze ogniowej UTM ......................................................... 43 11 Zarządzanie siecią ...................................................................................................................... 44 3 Spis tabel Tabela 1 - Nazewnictwo urządzeń sieciowych ...................................................................................... 29 Tabela 3 - Adresacja IP interfejsów Loopback 255 ................................................................................ 31 Tabela 4 - Adresacja IP sieci zarządzającej ............................................................................................ 31 Tabela 5 - Adresacja IP połączeń punkt-punkt ...................................................................................... 32 Tabela 6 - Konfiguracja VLANów ........................................................................................................... 38 4 Spis rysunków Rysunek 1 - Topologia fizyczna sieci miejskiej ....................................................................................... 27 Rysunek 2 - Topologia sieci w ujęciu L3................................................................................................. 33 Rysunek 4 - Obszary konfiguracji QoS ................................................................................................... 39 5 Wprowadzenie W dokumentacji przedstawiono wszystkie istotne elementy systemu, związane z budową oraz konfiguracją sieci szerokopasmowej dla gminy Lubraniec. W kolejnych rozdziałach przedstawiono elementy struktury sieci szkieletowej MPLS, sieci dostępowych LAN, zarządzania i monitoringu siecią oraz zagadnień związanych z dostępem do Internetu. 5.1 Cele projektu Główne cele projektu to: Budowa szerokopasmowej sieci w celu przenoszenia ruchu użytkowników pomiędzy jednostkami samorządowymi Urzędu gminy Lubraniec, Realizacja dostępu do Internetu dla jednostek samorządowych – np. szkół, Możliwość realizacji przyłączania użytkowników komercyjnych i mieszkańców do sieci i do Internetu, Realizacja połączeń do innych elementów sieci, takich jak telefonia VoIP, kamery monitoringu gminnego, czy punkty dostępowe sieci WLAN. 5.2 Kluczowe założenia projektu Powyższe cele zostaną osiągnięte poprzez: Zbudowanie sieci, opartej w warstwie rdzeniowej o protokół MPLS, Zastosowanie urządzeń pozwalających na szybką konwergencję sieci pracującej z wykorzystaniem odpowiednich mechanizmów redundancji, Wdrożenie mechanizmów w urządzeniach pozwalających na zapewnienie jakości usług, Wprowadzenie narzędzi zarządzania i monitoringu siecią. 6 Słownik pojęć OSI – Siedmio-warstwowy, otwarty model sieci informatycznej, służący do opisu współzależności oraz funkcji mechanizmów i protokołów sieciowych, L2 – Oznaczenie mechanizmów i protokołów sieciowych działających na poziomie warstwy drugiej modelu OSI, L3 - Oznaczenie mechanizmów i protokołów sieciowych działających na poziomie warstwy trzeciej modelu OSI (tu odnosi się do sieci opartej o protokół IP), GE – określenie technologii GigabitEthernet (funkcjonalność warstwy drugiej modelu OSI) wykorzystywanej do realizacji sieci lokalnych o szybkości transmisji równej 1Gb/s. Kolejne wartości: 10GE, 40GE i 100GE będą oznaczały technologie Ethernet o odpowiednich prędkościach, GEC (Gigabit Ether Channel) - określenie technologii łączenie wielu fizycznych połączeń GE w jedno połączenie logiczne, w celu uzyskania większej szybkości transmisji. Kolejne wartości: 10GEC, 40GEC będą oznaczały połączenia agregowane interfejsów o prędkościach, odpowiednio 10GE i 40GE, VLAN – określenie technologii umożliwiającej segmentację sieci lokalnej na odseparowane od siebie (na poziomie warstwy drugiej modelu OSI) mniejsze wirtualne sieci lokalne, LAN – określenie sieci lokalnej (ang. Local Area Network), MAN – określenie sieci metropolitalnej (ang. Metropolitan Area Network), STP (RSTP/MSTP) – określenie mechanizmu wykorzystywanego na poziomie warstwy drugiej (w technologii Ethernet, GigabitEthernet I FastEthernet), służącego do wykrywania i usuwania pętli w połączeniach sieci lokalnych, blokujących pracę sieci. Stosowany w sieciach o nadmiarowych połączeniach, Trunk – połączenie pomiędzy przełącznikami umożliwiające przesyłanie ramek należących do różnych sieci VLAN i opatrzonych odpowiednimi nagłówkami, Przełącznik dostępowy CE/CPE (Customer Egde/Customer Permises Equipment) – Przełącznik, koncentrujący ruch od użytkowników końcowych, Przełącznik dystrybucyjny PE (Provider Edge) – Przełącznik koncentrujący połączenia sieciowe pomiędzy warstwą dostępową a rdzeniową. Przełącznik rdzeniowy P (Provider core) – Przełącznik do którego dochodzą połączenia z dołączników dystrybucyjnych, realizujący dodatkowo inne funkcje. Sieć “connected” – Podsieć IP przypisana do fizycznego lub logicznego interfejsu routera lub przełącznika. DNS – (ang. Domain Name System) protokół umożliwiający rozwiązywanie nazw na adresy IP. NTP – (ang. Network Time Protocol) protokół umożliwiający synchronizację czasu na urządzeńach w sieci. Syslog – usługa umożliwiająca wysyłanie komunikatów diagnostycznych z urządzeń i gromadzenie ich na centralnym serwerze. RIPE – Organizacja zarządzająca adresacją IP oraz numerami systemów autonomicznych AS w skali całego świata. DMZ – (ang. Demilitarized Zone) – strefa lokowania serwerów i systemów udostepnianych w Internecie lub sieciach Intranet/Extranet. MPLS – Multiple Protocol Label Switching, VSI – Virtual Switch Instance – jest to mechanizm wirtualizujący sieć operatorską MPLS na poziomie funkcjonalności L2, czyli bridgingu/switchingu. PW – PseudoWires – wirtualne połączenie kreowane w szkielecie MPLS, używane do transmisji danych pomiędzy dwoma urządzeniami PE, VC – Virtual Circuit – Logiczne, jednokierunkowe połączenie pomiędzy dwoma urządzeniami PE. Komplet dwóch VC o przeciwnych kierunkach tworzą jedno pełen połączenie PW, AC – Attached Circuit – połączenie pomiędzy CE i PE, 7 Minimalne wymagania sprzętowe i oprogramowania 7.1 Router brzegowy – 1 komplet Architektura sprzętowa Proponowany router musi zapewniać mechanizm redundancji dla procesora routującego (ang. „route processor”). Podczas jakiejkolwiek awarii podstawowego procesora routującego wymaga się aby zapasowy procesor routujący przejął wszystkie funkcje w sposób całkowicie automatyczny bez manualnej interwencji z jednoczesnym wsparciem mechanizmu „graceful restart extensions”. Urządzenie musi zapewniać wydajność przełączania matrycy na poziomie minimum 360Gbps. Urządzenie musi zapewniać wydajność przełączania pakietów na poziomie minimum 225Mpps Urządzenie musi być wyposażone w minimum dwie procesory routujące. Urządzenie musi mieć budowę modularna, pozwalającą na instalację minimum 3 modułów sieciowych w slotach o przepustowości minimum 80Gbps (full-duplex) do matrycy przełączającej. Urządzenie musi być wyposażone w minimum dwa interfejsy 10GigabitEthernet ze stykiem definiowanym przez moduły X2, XFP lub SFP+ Urządzenie musi być wyposażone w minimum 24 interfejsy 1GigabitEthernet ze stykiem definiowanym przez moduły SFP Należy zapewnić minimum cztery porty o przepływności 1 GigabitEthernet ze stykiem RJ-45, Karta lub karty liniowe, na której będą znajdowały się porty ethernet musi wspierać minimum 128 tysięcy kolejek. Urządzenie musi zostać wyposażone w minimum 2 zasilacze 230V AC Parametry techniczne przełączania i routowania. Rozmiar tablicy przełączania FIB dla IPv4 – 3 Miliony Rozmiar tablicy przełączania FIB dla Ipv6 – 1 Milion Urządzenie musi wspierać minimum 5- poziomowy HQoS zarówno w kierunku ingress jak i egress Urządzenie musi wspierać minimum 100 instancji VRF Urządzenie musi wspierać ruch unicast oraz multicast zarówno dla protokołu IPv4 jak I IPv6. Jednocześnie musi wpierać ruch MPLS (funkcjonalność P oraz PE) I następujące protokoły IGP: o OSPF and ISIS w IPv4 o ISIS and OSPFv3 w IPv6 o LDP targeted LDP i RSVP w MPLS o PIM -SM, PIM-SSM dla ruchu multicast, Urządzenie musi wspierać protokół BGP i MP BGP. Proponowany router musi wspierać 4 typy sąsiedztwa możliwe do nawiązania przez protokół OSPF takie jak: Broadcast, NBMA, P2P and P2MPThe proposed router shall support OSPF MD5 authentication and IS-IS MD5 authentication MPLS Urządzenie musi wspierać protokół LDP na wszystkich kartach liniowych. Urządzenie musi wspierać protokół MPLS/BGP VPN zgodnie z RFC2547. Urządzenie musi wspierać protokół MPLS/BGP VPN z wykorzystaniem protokołu OSPF jako protokół routing PE-CE. Urządzenie musi wspierać protokół MPLS/BGP VPN z wykorzystaniem protokołu eBGP jako protokół routing PE-CE. Urządzenie musi wspierać protokół MPLS/BGP VPN z wykorzystaniem protokołu iBGP jako protokół routing PE-CE. Obsługa BFD dla MPLS LSP Obsługa Graceful Restart dla LDP zgodnie z RFC 3478 Obsługa Graceful Restart dla MPLS/BGP VPN Obsługa Inter-AS MPLS/BGP VPN zgodnie z RFC RFC2547bis option C Obsługa MPLS TE z użyciem RSVP jako protokołu sygnalizacyjnego. Obsługa protokołów synchronizacji czasu (SyncE, PTP-Precision Time Prococol, BITS, GNSS). Funkcje QoS: kreowanie klas ruchu w oparciu o access control lists (ACLs), IEEE 802.1p precedence, IP, DSCP oraz Type of Service (ToS) precedence; It shall be possible to remark the 802.1p field, DSCP field, IP Precedence field or MPLS EXP field of an IP/MPLS/Ethernet datagram before it enters an egress queue. Zarządzanie Urządzenie musi być w pełni zarządzalne lokalnie ( poprzez dedykowany port konsoli lub dedykowany port zarządzający) lub zdalnie (poprzez bezpieczny protokół taki jak np SSH) Obsługa SNMPv1, v2, and v3, pakiety typu flow Urządzenie musi zapewniać podstawowe narzędzia do diagnostyki I wygrywania uszkodzeń w sieci (OAM) – na przykład ping, traceroute Obsługa ACL (list kontorli dostępu) typu time range. Obsługa protokołu NTP zgodnie z RFC1305 Obsługa protokołu Radius dla zdalnego uwierzytelniania. Obsługa IP SLA (opoźnienie, strata pakietów, jitter) Gwarancja Zamawiający wymaga, aby przełączniki posiadały 3-letni serwis gwarancyjny. Wymiana uszkodzonego elementu w trybie 8x5xNBD. Możliwość zgłaszania problemów 24h/7. Okres gwarancji liczony będzie od daty sporządzenia protokołu zdawczo-odbiorczego przedmiotu zamówienia 7.2 Przełącznik agregacyjny – 1 komplet Architektura sprzętowa Urządzenie fabrycznie nowe, nieużywane Obudowa modularna przeznaczona do montażu w szafie 19”. Wysokość obudowy nie większa niż 6 RU posiadająca minimum 3 sloty na karty liniowe Urządzenie wyposażone w 2 karty zarządzające działające redundantnie. Awaria jednej karty zarządzającej nie może powodować spadku wydajności urządzenia Przełącznik musi zostać wyposażony w min. 48 porty Gigabit Ethernet 10/100/1000Base-T, Wymagane jest aby wszystkie powyższe porty mogły działać jednocześnie oraz aby karty z tymi portami posiadały przełączanie lokalne (rozproszona architektura przełączania) Wymagane jest zapewnienie min. jednego dodatkowego wolnego slotu na kartę liniową celem przyszłej rozbudowy Przepustowość od karty interfejsów do matrycy przełączającej min. 120 Gb/s per slot (unidirectional) Wydajność przełączania matrycy min. 720Gb/s Przełącznik wyposażony w 2 niezależne zasilacze 230VAC, każdy o mocy minimum 800W. Możliwość wymiany zasilaczy i wentylatora w trakcie pracy urządzenia bez wpływu na jego działanie Przełączanie w warstwie drugiej i trzeciej modeli ISO/OSI. Port konsoli - szeregowy RS-232 Port 10/100M do zarządzania poza pasmem Możliwość zainstalowania kart liniowych wspierających standard PoE 802.3at i 802.3af Funkcje warstwy 2 GARP VLAN Registration Protocol (GVRP) Rozmiar tablicy MAC min. 32 000 adresów 4094 sieci VLAN IEEE 802.1ad QinQ i Selective QinQ Agregacja portów statyczna i przy pomocy protokołu LACP Spanning Tree: MSTP 802.1s, RSTP 802.1w, STP Root Guard 64 instancje MSTP 802.1s Funkcje warstwy 3 routing IPv4 z prędkością łącza, wsparcie dla routingu IPv4: statycznego , RIP i RIPv2, OSPF, IS-IS i BGP routing IPv6 z prędkością łącza, możliwość licencyjnego rozszerzenia funkcjonalności o wsparcie dla routingu IPv6: statycznego, RIPng, OSPFv3, IS-ISv6 i BGP4+ Rozmiar tablic przełączania FIB dla IPv4 na kartach zarządzających i na każdej karcie liniowej oddzielnie: min. 8 000 wpisów Rozmiar tablic przełączania FIB dla IPv6 na kartach zarządzających i na każdej karcie liniowej oddzielnie: min. 4 000 wpisów Bidirectional Forwarding Detection dla OSPF, BGP, IS-IS, VRRP, MPLS Virtual Router Redundancy Protocol (VRRP) Policy-based routing Obsługa protokołu MPLS i funkcjonalności MPLS L3VPN oraz MPLS TE. Jeżeli do obsługi powyższych funkcjonalności MPLS wymagana jest licencja to należy ją dostarczyć w ramach niniejszego postępowania. Obsługa minimum 1000 instancji VRF IGMPv1, v2, and v3 PIM-SSM, PIM-DM i PIM-SM Bezpieczeństwo Zaawansowany mechanizm kolejkowania procesora zapobiegający atakom DoS DHCP snooping RADIUS Secure Shell (SSHv2) IEEE 802.1X– dynamiczne dostarczanie polityk QoS, ACLs i sieci VLANs: zezwalające na nadzór nad dostępem użytkownika do sieci Guest VLAN Port isolation Port security: zezwalający na dostęp tylko specyficznym adresom MAC MAC-based authentication IP source guard URPF Quality of Service (QoS) Funkcje QoS: kreowanie klas ruchu w oparciu o access control lists (ACLs), IEEE 802.1p precedence, IP, DSCP oraz Type of Service (ToS) precedence; Wsparcie dla następujących metod zapobiegania zatorom: priority queuing, weighted round robin (WRR), weighted random early discard (WRED) Min. 8 kolejek wyjściowych na każdy port Ethernet kart liniowych przełącznika, z możliwością ich konfigurowania przez użytkownika (m.in. definiowanie algorytmu kolejkowania, przypisania poszczególnych klas ruchu do danej kolejki). Monitoring i diagnostyka Port mirroring OAM (802.3ah) i CFD (802.1ag): wykrywanie problemów na łączu pomiędzy urządzeniami Zarządzanie Zdalna konfiguracja i zarządzanie przez Web (https) oraz linię komend (CLI) IEEE 802.1ab LLDP Usługi DHCP: serwer (RFC 2131), klient i relay SNMPv1, v2c, and v3 Syslog Wymagania dodatkowe Urządzenie musi być fabrycznie nowe i nieużywane wcześniej w żadnych projektach, wyprodukowane nie wcześniej niż 6 miesięcy przed dostawą i nieużywane przed dniem dostarczenia z wyłączeniem używania niezbędnego dla przeprowadzenia testu ich poprawnej pracy. Urządzenia muszą pochodzić z autoryzowanego kanału dystrybucji producenta przeznaczonego na teren Unii Europejskiej, a korzystanie przez Zamawiającego z dostarczonego produktu nie może stanowić naruszenia majątkowych praw autorskich osób trzecich. Zamawiający wymaga dostarczenia wraz z urządzeniami oświadczenia przedstawiciela producenta potwierdzającego ważność uprawnień gwarancyjnych na terenie Polski Możliwość aktualizacji oprogramowania minimum przez okres trwania serwisu gwarancyjnego urządzenia Zamawiający wymaga, aby przełącznik posiadały 3-letni serwis gwarancyjny. Wymiana uszkodzonego elementu w trybie 8x5xNBD. Możliwość zgłaszania problemów 24h/7. Okres gwarancji liczony będzie od daty sporządzenia protokołu zdawczo-odbiorczego przedmiotu zamówienia 7.3 Przełącznik dystrybucyjny – 3 komplety Przełącznik musi być dedykowanym urządzeniem sieciowym przystosowanym do montowania w szafie rack. Wraz z każdym przełącznikiem należy dostarczyć zestaw montażowy umożliwiający instalację w szafie RACK Wymagane parametry fizyczne: o możliwość montażu w stelażu/szafie 19”, o wysokość maksymalna 5U o wewnętrzny zasilacz 230V AC oraz możliwość zastosowania drugiego wewnętrznego zasilacza redundantnego (nie jest dopuszczalne rozwiązania zewnętrzne). Przełącznik musi posiadać: o minimum 20 portów GigabitEthernet 10/100/1000Base-T (Auto-MDIX) o minimum 4 porty 10GigabitEthernet ze stykiem SFP+. Porty 10G SFP+ muszą umożliwiać pracę zarówno z modułami 10G jak i 1G Urządzenie musi umożliwiać jednoczesne wykorzystanie minimum 36 portów. Jeżeli do obsługi wymaganych portów potrzeba jest licencja to należy ją dostarczyć w ramach niniejszego postępowania Porty Gigabit Ethernet SFP muszą umożliwiać pracę z wkładkami SFP: 1000BASESX, 1000Base-LX, 1000Base-ZX, 1000Base-BX, CWDM. Porty 10Gigabit Ethernet SFP+ muszą umożliwiać pracę z wkładkami: o SFP+ w tym: 10GBase-LR, 10GBase-SR, 10GBase-ER o SFP w tym: 1000Base-SX, 1000Base-LX Przełącznik musi umożliwiać łączenie w stosy z zachowaniem następującej funkcjonalności: o Zarządzanie stosem poprzez jeden adres IP. o Magistrala stackująca o wydajności min. 40Gb/s. o Możliwość tworzenia połączeń link aggregation zgodnie z 802.3ad dla portów należących do różnych jednostek w stosie (ang. cross-stack link aggregation). o Stos przełączników powinien być widoczny w sieci jako jedno urządzenie logiczne z punktu widzenia protokołu Spanning-Tree. Matryca przełączająca o wydajności min. 200 Gbps, wydajność przełączania przynajmniej 150 mpps. Obsługa min. 16.000 adresów MAC. Obsługa min. 1000 sieci VLAN jednocześnie oraz obsługa 802.1Q tunneling (QinQ), Obsługa ramek jumbo o wielkości min. 9216 bajtów. Wsparcie dla protokołów IEEE 802.1w Rapid Spanning Tree oraz IEEE 802.1s MultiInstance Spanning Tree. Wymagane wsparcie dla min. 64 instancji protokołu MSTP. Obsługa min. 11 000 tras dla routingu IPv4. Obsługa protokołów routingu OSPF, OSPFv3, IS-IS, BGPv4, PIM-SM, PIM-DM i SSM. Obsługa min. 26 wirtualnych tablic routingu-forwardingu (VRF). Jeżeli do obsługi powyższych protokołów routingu wymagana jest licencja to należy ją dostarczyć w ramach niniejszego postepowania. Obsługa protokołu MPLS i funkcjonalności MPLS L3VPN oraz MPLS TE. Jeżeli do obsługi powyższych funkcjonalności MPLS wymagana jest licencja to należy ją dostarczyć w ramach niniejszego postępowania Obsługa protokołu LDP Obsługa funkcjonalności VPLS z minimalną obsługą 26 instancji Obsługa protokołów LLDP i LLDP-MED. Obsługa protokołu GVRP Obsługa funkcjonalności UDLD bądź równoważnej Obsługa funkcjonalności Layer2 ping i Layer2 traceroute Przełącznik musi posiadać funkcjonalność DHCP Server. Obsługa ruchu multicast – IGMP v1, v2 i v3. Mechanizmy związane z zapewnieniem bezpieczeństwa sieci: o min. 4 poziomy dostępu administracyjnego poprzez konsolę, o autoryzacja użytkowników w oparciu o IEEE 802.1x z możliwością przydziału VLANu oraz dynamicznego przypisania listy ACL, o możliwość uwierzytelniania urządzeń na porcie w oparciu o adres MAC oraz poprzez portal www, o zarządzanie urządzeniem przez HTTPS, SNMPv2, SNMPv3 i SSHv2, o możliwość filtrowania ruchu w oparciu o adresy MAC, IPv4, IPv6, porty TCP/UDP, o obsługa mechanizmów Port Security, Dynamic ARP Inspection, IP Source Guard, voice VLAN oraz private VLAN (lub równoważny) o możliwość synchronizacji czasu zgodnie z NTP. Implementacja co najmniej czterech kolejek sprzętowych QoS na każdym porcie wyjściowym z możliwością konfiguracji dla obsługi ruchu o różnych klasach: o klasyfikacja ruchu do klas różnej jakości obsługi (QoS) poprzez wykorzystanie następujących parametrów: źródłowy adres MAC, docelowy adres MAC, źródłowy adres IP, docelowy adres IP, źródłowy port TCP, docelowy port TCP, o obsługa jednej z powyżej wspomnianych kolejek z bezwzględnym priorytetem w stosunku do innych (Strict Priority). Urządzenie musi posiadać mechanizm do badania jakości połączeń (IP SLA) z możliwością badania takich parametrów jak: jitter, opóźnienie, straty pakietów dla wygenerowanego strumienia testowego UDP. Urządzenie musi mieć możliwość pracy jako generator oraz jako odbiornik pakietów testowych IP SLA. Urządzenie musi umożliwiać konfigurację liczby wysyłanych pakietów UDP w ramach pojedynczej próbki oraz odstępu czasowego pomiędzy kolejnymi wysyłanymi pakietami UDP w ramach pojedynczej próbki. Jeżeli funkcjonalność IP SLA wymaga licencji to Zamawiający wymaga jej dostarczenia w ramach niniejszego postępowania. Wymagane opcje zarządzania: o możliwość lokalnej i zdalnej obserwacji ruchu na określonym porcie, polegająca na kopiowaniu pojawiających się na nim ramek i przesyłaniu ich do urządzenia monitorującego przyłączonego do innego portu oraz poprzez określony VLAN, o plik konfiguracyjny urządzenia musi być możliwy do edycji w trybie off-line (tzn. konieczna jest możliwość przeglądania i zmian konfiguracji w pliku tekstowym na dowolnym urządzeniu PC), o Urządzenie musi mieć wbudowaną pamięć flash o pojemności min. 64MB, o dedykowany port konsoli oraz dedykowany port zarządzający Ethernet Out-ofband. Wraz z urządzeniami muszą zostać dostarczone: o pełna dokumentacja w języku polskim lub angielskim, o dokumenty potwierdzające, że proponowane urządzenia posiadają wymagane deklaracje zgodności z normami bezpieczeństwa (CE), lub oświadczenie, że deklaracja nie jest wymagana. Urządzenie musi być fabrycznie nowe i nieużywane wcześniej w żadnych projektach, wyprodukowane nie wcześniej niż 6 miesięcy przed dostawą i nieużywane przed dniem dostarczenia z wyłączeniem używania niezbędnego dla przeprowadzenia testu ich poprawnej pracy. Urządzenia muszą pochodzić z autoryzowanego kanału dystrybucji producenta przeznaczonego na teren Unii Europejskiej, a korzystanie przez Zamawiającego z dostarczonego produktu nie może stanowić naruszenia majątkowych praw autorskich osób trzecich. Zamawiający wymaga dostarczenia wraz z urządzeniami oświadczenia przedstawiciela producenta potwierdzającego ważność uprawnień gwarancyjnych na terenie Polski. Możliwość aktualizacji oprogramowania minimum przez okres trwania serwisu gwarancyjnego urządzenia Zamawiający wymaga, aby przełączniki posiadały 3-letni serwis gwarancyjny. Wymiana uszkodzonego elementu w trybie 8x5xNBD. Możliwość zgłaszania problemów 24h/7. Okres gwarancji liczony będzie od daty sporządzenia protokołu zdawczo-odbiorczego przedmiotu zamówienia 7.4 Przełącznik dostępowy – 7 kompletów Przełącznik musi być dedykowanym urządzeniem sieciowym przystosowanym do montowania w szafie rack. Wraz z każdym przełącznikiem należy dostarczyć zestaw montażowy umożliwiający instalację w szafie RACK Wymagane parametry fizyczne: o możliwość montażu w stelażu/szafie 19”, o wysokość maksymalna 1U, głębokość nie większa niż 46 cm o wewnętrzny zasilacz 230V AC oraz możliwość zastosowania zasilacza redundantnego (dopuszczalne rozwiązania zewnętrzne). o zakres temperatur pracy ciągłej co najmniej 0 – 45 °C Przełącznik musi posiadać 48 portów Gigabit Ethernet 10/100/1000 RJ45 (AutoMDIX) oraz dodatkowe 4 interfejsy Gigabit Ethernet SFP. Przełącznik musi umożliwiać jednoczesne wykorzystanie wszystkich 52 portów. Porty Gigabit Ethernet SFP muszą umożliwiać pracę z wkładkami SFP: 1000BASESX, 1000Base-LX, 1000Base-ZX, 1000Base-BX, CWDM. Matryca przełączająca o wydajności min. 104Gbps, wydajność przełączania przynajmniej 75 mpps. Obsługa min. 8000 adresów MAC Obsługa min. 1000 sieci VLAN jednocześnie oraz obsługa 802.1Q tunneling (QinQ), Obsługa ramek jumbo o wielkości min. 9216 bajtów. Wsparcie dla protokołów IEEE 802.1w Rapid Spanning Tree oraz IEEE 802.1s MultiInstance Spanning Tree. Wymagane wsparcie dla min. 64 instancji protokołu MSTP. Obsługa min. 16 statycznych tras dla routingu IPv4. Obsługa min. 16 statycznych tras dla routingu IPv6. Obsługa protokołów LLDP i LLDP-MED. Przełącznik musi posiadać funkcjonalność DHCP Snooping oraz funkcjonalność serwera DHCP Obsługa ruchu multicast – IGMP Snooping v3 i MLD Snooping. Obsługa protokołu GVRP Obsługa funkcjonalności UDLD bądź równoważnej Mechanizmy związane z zapewnieniem bezpieczeństwa sieci: o min. 4 poziomy dostępu administracyjnego poprzez konsolę, o możliwość obsługi min. 400 list kontroli dostępu (ACL) jednocześnie o autoryzacja użytkowników w oparciu o IEEE 802.1x z możliwością przydziału VLANu oraz dynamicznego przypisania listy ACL, o możliwość uwierzytelniania urządzeń na porcie w oparciu o adres MAC, o zarządzanie urządzeniem przez HTTPS, SNMP, SSH poprzez protokół IPv4 i IPv6 o możliwość filtrowania ruchu w oparciu o adresy MAC, IPv4, IPv6, porty TCP/UDP, o obsługa mechanizmów Port Security, Dynamic ARP Inspection, IP Source Guard, voice VLAN oraz private VLAN (lub równoważny) o możliwość synchronizacji czasu zgodnie z NTP. Implementacja co najmniej czterech kolejek sprzętowych QoS na każdym porcie wyjściowym z możliwością konfiguracji dla obsługi ruchu o różnych klasach: o klasyfikacja ruchu do klas różnej jakości obsługi (QoS) poprzez wykorzystanie następujących parametrów: źródłowy adres MAC, docelowy adres MAC, źródłowy adres IP, docelowy adres IP, źródłowy port TCP, docelowy port TCP, o obsługa jednej z powyżej wspomnianych kolejek z bezwzględnym priorytetem w stosunku do innych (Strict Priority). Możliwość ograniczania ruchu przychodzącego i wychodzącego na portach w przedziale od 64kb/s do przepustowości maks. portu z granulacją 8 kb/s Urządzenie musi posiadać mechanizm do badania jakości połączeń (IP SLA) z możliwością badania takich parametrów jak: jitter, opóźnienie, straty pakietów dla wygenerowanego strumienia testowego UDP. Urządzenie musi mieć możliwość pracy jako generator oraz jako odbiornik pakietów testowych IP SLA. Urządzenie musi umożliwiać konfigurację liczby wysyłanych pakietów UDP w ramach pojedynczej próbki oraz odstępu czasowego pomiędzy kolejnymi wysyłanymi pakietami UDP w ramach pojedynczej próbki. Jeżeli funkcjonalność IP SLA wymaga licencji to Zamawiający wymaga jej dostarczenia w ramach niniejszego postępowania. Wymagane opcje zarządzania: o możliwość lokalnej i zdalnej obserwacji ruchu na określonym porcie, polegająca na kopiowaniu pojawiających się na nim ramek i przesyłaniu ich do urządzenia monitorującego przyłączonego do innego portu oraz poprzez określony VLAN, o plik konfiguracyjny urządzenia musi być możliwy do edycji w trybie off-line (tzn. konieczna jest możliwość przeglądania i zmian konfiguracji w pliku tekstowym na dowolnym urządzeniu PC), o Urządzenie musi mieć wbudowaną pamięć flash o pojemności min. 128MB, o dedykowany port konsoli USB. Wraz z urządzeniami muszą zostać dostarczone: o pełna dokumentacja w języku polskim lub angielskim, o dokumenty potwierdzające, że proponowane urządzenia posiadają wymagane deklaracje zgodności z normami bezpieczeństwa (CE), lub oświadczenie, że deklaracja nie jest wymagana. Urządzenie musi być fabrycznie nowe i nieużywane wcześniej w żadnych projektach, wyprodukowane nie wcześniej niż 6 miesięcy przed dostawą i nieużywane przed dniem dostarczenia z wyłączeniem używania niezbędnego dla przeprowadzenia testu ich poprawnej pracy. Urządzenia muszą pochodzić z autoryzowanego kanału dystrybucji producenta przeznaczonego na teren Unii Europejskiej, a korzystanie przez Zamawiającego z dostarczonego produktu nie może stanowić naruszenia majątkowych praw autorskich osób trzecich. Zamawiający wymaga dostarczenia wraz z urządzeniami oświadczenia przedstawiciela producenta potwierdzającego ważność uprawnień gwarancyjnych na terenie Polski. Możliwość aktualizacji oprogramowania minimum przez okres trwania serwisu gwarancyjnego urządzenia Zamawiający wymaga, aby przełączniki posiadały 3-letni serwis gwarancyjny. Wymiana uszkodzonego elementu w trybie 8x5xNBD. Możliwość zgłaszania problemów 24h/7. Okres gwarancji liczony będzie od daty sporządzenia protokołu zdawczo-odbiorczego przedmiotu zamówienia 7.5 Zapora ogniowa – 1 komplet: składający się z dwóch zapór ogniowych działających w klastrze HA Wydajność firewalla – 12Gbps Wydajność modułu IPS - 5Gbps Ilość jednoczesnych połączeń –6 000 000 Ilość nowych połączeń na sekundę – 200 000 Wydajność VPN IPSec – 9Gbps Ilość jednoczesnych tuneli IPsec – 10 000 Ilość tuneli SSL VPN – 3. Możliwość licencyjnego rozszerzenia do 2000. Urządzenie wyposażone w minimum 2 wewnętrzne zasilacze 230V AC Dedykowany system operacyjny firewalla opracowany przez producenta urządzenia. Architektura systemu - dedykowana platforma sprzętowa opracowana przez producenta wykorzystującej wielordzeniową architekturę sprzętową. Urządzenie musi posiadać następującą ilość interfejsów: o Minimum 8 portów 10/100/1000Base-T o Minimum 4 porty 1000Base-X ze stykiem SFP Możliwość rozbudowy urządzenia o minimum 8 portów 1G oraz 2 porty 10G Możliwość uruchomienia firewalla w trybie routingu, transparentnym lub hybrydowym (oba tryby uruchomione jednocześnie). Mechanizmy ochrony sieci IP w wersji IPv6. Wspierane protokoły oraz funkcjonalności dla IPv6: TCP6, UDP6, ICMPv6, PathMTU, ACL6, IPv6 DHCP (server, relay oraz client), IPv6 DNS, ND-RA, IPv6 PPPoE oraz IPv6 QoS. Mechanizmy migracji do IPv6: dual-stack, manual tunnel, automatic tunnel, GRE tunnel, 6over4, 4over6, 6RD oraz NAT64. Obsługa protokołów routingu dla IPv6: BGP4+, IS-ISv6, OSPFv3 oraz RIPng. Obsługa protokołów routingu dla IPv4: RIP, OSPF, BGP, IS-IS, obsługa rutingu multicast'owego (MSDP, PM-DM, PM-SM, IGMP oraz statycznego rutingu multicast'owego) Możliwość uruchomienia funkcjonalności IPS, AV, URL filtering oraz AS. Wraz z urządzeniem ma być dostarczona subskrypcja na aktualizację wszystkich funkcjonalności UTM minimum na 3 lata. Możliwość uruchomienia przynajmniej do 8 interfejsów fizycznych jako jedno łącze logiczne w celu zwiększenia przepustowości i niezawodności połączenia. Możliwość uruchomienia przynajmniej 20 wirtualnych firewalli. Jeśli jest wymagana licencja urządzenie powinno być dostarczone z licencją na przynajmniej 10 wirtualnych firewalli. Możliwość uruchomienia funkcjonalności NAT w tym translacja adresu IP źródłowego, translacja adresu IP przeznaczenia, PAT, translacja statyczna i translacje puli adresów IP. Wsparcie dla funkcjonalności NAT ALG. Inspekcja różnych protokołów w celu przepuszczenia odpowiedniego ruchu w tym FTP, H323 (w tym T.120), RAS, SIP, ICMP, RTSP, NetBios, ILS, PPTP, QQ, MSN, ICQ, SQL.NET, MMS, możliwość definicji nietypowych portów dla znanych protokołów przez uzytkownika. Możliwość konfiguracji kontroli dostępu na podstawie adresów źródłowych i docelowych, portów, typu protokołu, czasu, TOS, użytkownika oraz aplikacji rozpoznawalnej przez analizę warstwy siódmej. Integracja z wewnętrzną i zewnętrzna bazą użytkowników (local, RADIUS, TACACS, SecureID, AD, LDAP, and Endpoint Security) Filtrowanie na podstawie stanu sesji (ASPF). Wsparcie dla inspekcji aplikacji opartych o protokoły TCP/UDP oraz takie protokoły jak FTP, SMTP, HTTP, RTSP, H323, SIP, QQ oraz MSN, detekcja na podstawie zdefiniowanych portów, blokowanie Java applet/ActiveX, Mapowanie portów do aplikacji (Port to Application Mapping (PAM)), detekcja fragmentacji. Ochrona przed atakami typu SYN flood, ICMP Flood, IP spoofing, UDP Flood, Land, Fraggle, Smurf, Winnuke, Ping of Death, Tear Drop, skanowanie adresów oraz portów, IP Option control, IP fragment, TCP label validity check, large ICMP packet, ICMP redirect packet, ICMP unreachable. Kontrola i ograniczenie ruchu P2P na podstawie protokołu. Ograniczanie pasma dla ruchu P2P poprzez tworzenie odpowiednich polityk. Możliwość tworzenia różnych polityk ograniczania pasma dla ruchu przychodzącego i ruchu wychodzącego Wykrywanie i kontrolowanie ruch P2P przynajmniej dla połączeń Thunder, Feidian, BT, Kugoo, PPGou, Poco/pp, Baibao, BitComet, Kazaa/FastTrack, Emule/eDonkey, PPSTREAM, UUSee, PPLive, QQLive, TVAnts, BBSEE, Vagaa, Mysee, Filetopia oraz Soulseek. Możliwość statycznej konfiguracji tzw. blacklisty jak i mechanizm dynamicznego wpisu adresów do blacklisty na podstawie wykrytych źródeł ataku oraz połączenie ACL z blacklistą. Możliwość uruchomienia firewalla w trybie redundantnej pracy dla zwiększenie niezawodności. Wsparcie dla mechanizm redundancji systemu (klaster urządzeń) w trybie routingu jak i transparentnym. Wsparcie dla funkcjonalności Policy Based Routing (PBR). Wsparcie dla protokołów tunelowania: SSL VPN, IPSec VPN, L2TP VPN, GRE VPN, MPLS VPN, L2TP over IPSec VPN oraz GRE over IPSec VPN. Wsparcie dla mechanizmu redundancji dla połączeń IPSec VPN. Wsparcie dla funkcjonalności IPS. Wykrywanie anomalii w różnych protokołach, w tym w: HTTP, SMTP, FTP, POP3, IMAP4, MSRPC, NETBIOS, SMB, MS_SQL, Telnet, IRC oraz DNS. Wykrywanie rodzaju protokołu poprzez zawartość danych: HTTP, SMTP, FTP, POP3, IMAP4, MSRPC, NETBIOS, SMB, MSSQL, Telnet, IRC, TFTP, eMule oraz eDonkey. Grupowanie sygnatur IPS na kategorie. Możliwość definiowania sygnatur IPS przez użytkownika. Automatyczna aktualizacja bazy sygnatur IPS poprzez sieć, definiowanie czasu aktualizacji, ręczna aktualizacja offline, przywracanie poprzedniej wersji. Możliwość powiązania polityk IPS z regułami ACL i przypisania polityk IPS do strefy. Możliwość włączania i wyłączania jednej lub wszystkich reguł IPS w polityce oraz konfiguracji rodzaju reakcji na zdarzenie. Możliwość włączenia i wyłączenia funkcji IPS globalnie dla całego urządzenia. Możliwe rodzaje reakcji na zdarzenie IPS: logowanie i blokowanie pakietów. Wysyłanie logów z modułu IPS do zewnętrznego serwera oraz generowanie różnych rodzajów raportów umożliwiających sprawdzenie najczęściej występujących ataków, ich źródeł i przeznaczenia. W zależności od ustawień przesłanie danych dalej lub blokada w przypadku przeciążenia modułu IPS. Wsparcie dla funkcjonalności antywirus (AV). Skanowaniu różnych protokołów w celu wykrycia wirusów. Wsparcie dla wykrywania wirusów w plikach przesyłanych przez HTTP, SMTP, POP3,IMAP,NFS,SMB oraz FTP. Ochrona Antywirus dla plików typu: .DOC, .DOT, .PPT, .PPS, .XLA, .XLS, .XLT, .WIZ, .SDW, .VOR, .VSS, .VST, .AC_, .ADP, .APR, .DB, .MSC, .MSI, .MTW, .OPT, .PUB, .SOU, .SPO, .VSD, .WPS, .MSG,ZIP, .DOCX, .DOCM, .DOTX, .DOTM, .PPTX, .PPTM, .PPSX, .PPSM, .XLSX, .XLSB, .XLSM, .XLTX, .XLTM, .XLAM, .XPS, .POTX, .POTM, .ODT, .OTT, .STW, .SXW, .eml, .MME, .B64, .MPA, .AMG, .ARJ, .CAB, .XSN, .GZ, .LHA, .SHS, .RAR, .RFT, .TAR, .DAT, .ACE. .PDF, .TXT, .HQX. .MBOZ, .UUE, .MB3, .AS, .BZ2, .ZIP, .ZIPX Dekompresja wielokrotnie skompresowanych plików od 2 do 20 poziomów w celu skanowania AV Obsługa przynajmniej 21 rodzajów algorytmów kompresji w celu skanowania AV w tym np. : BZIP2, ZIP, CAB, OLESS, GZIP, LHA, RAR, ARJ, TNEF, LZ, AMG, PDF, TAR, RTF, AS, OLE1, MB3, HQX, MIME, UUE, MBOX Możliwość ustawienia poziomu skanowania antywirusowego od 1 do 3 w celu zoptymalizowania obciążenia urządzenia. Możliwość automatycznej aktualizacji bazy wirusów poprzez sieć, definiowanie czasu aktualizacji, ręczna aktualizacja offline, przywracanie poprzedniej wersji. Możliwość wylistowania wirusów zawartych w bazie AV. Możliwość usunięcia wirusa, wyświetlenie strony alarmującej, oznaczanie wiadomości mailowej oraz logowanie. Możliwość powiązania polityk AC z regułami ACL i przypisania polityk AV do strefy. Możliwość włączenia i wyłączenia funkcji AV globalnie dla całego urządzenia. Możliwość wysyłania logów z modułu AV do serwera syslog. Możliwość wygenerowania raportów z modułu AV. Możliwość przesłania ruchu danych dalej lub ich blokada w przypadku przeciążenia modułu AV. Wsparcie dla funkcjonalności URL filtering. Obsługa dopasowywania wpisów w whitelist oraz blacklist w oparciu o prefiks, sufiks słowa kluczowego. Blacklist i whitelist mają wyższy priorytet niż kategoria URL. Whitelist ma wyższy priorytet niż blacklist. Obsługa kategorii URL tworzonych przez użytkownika. Kategorie stworzone przez użytkownika mają wyższy priorytet od predefiniowanych kategorii. Możliwość otrzymania kategorii URL z serwera kategorii dostępnego w sieci Internet. Reakcja podejmowana jest na podstawie skonfigurowanej polityki i przypisanej akcji do konkretnej grupy URL. Możliwe reakcje modułu URL filtering - "zablokuj" lub "zezwól". Możliwość wyświetlenia częściowo spersonalizowanej strony informującej o zablokowaniu dostępu. Polityka filtrowania URL może być oparta o grupę adresów i określony czas. Możliwość filtrowania stron z określeniem słów kluczowych występujących w treści strony. Możliwość blokowania prób wyszukania konkretnych słów kluczowych przez wyszukiwarki internetowe. Kontrola postów na portalach internetowych. Kontrola ściągania i wysyłania plików poprzez określenie nazwy plików, rodzaju lub rozmiaru. Funkcja logowania dostępu do adresów URL. Możliwość określenia osiągniętych zasobów. Automatyczne generowanie polityk na podstawie analizy ruchu przechodzącego przez firewall. Funkcjonalność wykrywaniu zdublowanych i nieużywanych polityk Możliwość zarządzania urządzeniem przy wykorzystaniu protokołów HTTP i HTTPS, SSH, Telnet oraz z poziomu linii komend. Dodatkowy port do zarządzania Out-Of-Band 10/100/1000Base-T Możliwość tworzenia kopii zapasowych, eksportowania i przywracania konfiguracji. Urządzenie musi posiadać wewnętrzny dysk twardy o pojemności minimum 250G w celu logowania i tworzenia raportów dotyczących np.: o Analizy ruchu sieciowego z uwzględnieniem nazwy użytkownika, adresu IP źródłowego i docelowego o Statystyki dostępu do stron www Zamawiający dopuszcza możliwość zaoferowania rozwiązania które funkcje logowania i raportowania wymagane w pkt. 72 będzie realizowało za pomocą zewnętrznego systemu. W takim przypadku rozwiązanie musi posiadać przestrzeń na logi o powierzchni min, 250GB. Firewalle muszą zostać dostarczone z 3 letnią licencją na funkcjonalności IPS/AV/URL Filtering Możliwość aktualizacji oprogramowania minimum przez okres trwania serwisu gwarancyjnego urządzenia Zamawiający wymaga, aby firewalle posiadały 3-letni serwis gwarancyjny. Wymiana uszkodzonego elementu w trybie 8x5xNBD. Możliwość zgłaszania problemów 24h/7. Okres gwarancji liczony będzie od daty sporządzenia protokołu zdawczo-odbiorczego przedmiotu zamówienia 7.6 System do monitoringu i zarządzania siecią – 1 komplet: składający się z fizycznego serwera, systemu operacyjnego oraz dedykowanej aplikacji do monitoringu i zarządzania siecią Wymagania podstawowe: Oferowany system musi pochodzi od tego samego producenta co oferowane urządzenia typu przełącznik agregacyjny, przełączniki dostępowe, przełączniki dystrybucyjne, firewall oraz urządzenie na styku z Internetem w celu zapewnienia jak najlepszej integracji i wykorzystaniu jak największej ilości funkcjonalności oferowanych przez taki system Pełna kompatybilność wymaganych funkcjonalności z oferowanymi urządzeniami typu przełącznik agregacyjny, przełączniki dostępowe, przełączniki dystrybucyjne, firewall oraz urządzenie na styku z Internetem Obsługa minimum 60 urządzeń sieciowych, w tym urządzeń dostarczonych w ramach niniejszego postępowania. Możliwość rozbudowy systemu do min. 500 urządzeń Dostarczone licencje na ilość obsługiwanych urządzeń sieciowych muszą być bezterminowe Wymagana jest architektura serwer-klient z dostępem do systemu przez przeglądarkę WWW Wymagany interfejs użytkownika w języku polskim lub angielskim Obsługiwana lokalna baza administratorów systemu Czasowe blokowanie możliwości logowania użytkownika systemu w przypadku 5krotnego podania błędnego hasła Możliwość stworzenia kopii zapasowej danych systemu zarządzania i odtworzenia tych danych z kopii W przypadku, gdy oprogramowanie korzysta z systemu licencjonowania powinna być zapewniona możliwość sprawdzenia zainstalowanej licencji oraz zmiany licencji Monitorowanie wykorzystania licencji i informowanie użytkownika systemu o zbliżającej się dacie wygasania licencji, bądź przekroczenia limitów zainstalowanej licencji (np. Ilość obsługiwanych urządzeń) Dostępna w systemie zarządzającym dokumentacja w języku polskim lub angielskim Zarządzanie alertami Możliwość automatycznego alarmowania opartego o zadane progi alarmowe, w tym Możliwość definiowania dwóch progów – ostrzegawczy i alarmowy Możliwość automatycznego alarmowania opartego o profil ruchu Możliwość automatycznego alarmowania o przekroczeniu obciążenia interfejsu z uwzględnienie dwóch progów - ostrzegawczy i alarmowy Możliwość określenia listy osób i grup osób powiadamianych przy poszczególnych poziomach alertów Możliwość wykorzystania następujących kanałów powiadomienia dla poszczególnych poziomów alarmów o konsola operatora o e-mail Dzienniki zdarzeń Zapisywanie informacji o czynnościach wykonanych przez użytkowników systemu Możliwość przeszukiwania dziennika czynności pod kątem użytkownika, adresu IP, z którego nastąpiło logowanie, czasu i rodzaju czynności Zapisywanie informacji o zdarzeniach systemowych Możliwość przeszukiwania dziennika zdarzeń systemowych pod kątem czasu i rodzaju zdarzenia Zarządzanie urządzeniami Podstawowe zarządzanie wszelkimi urządzeniami zgodnymi z protokołem SNMP Możliwość ręcznego dodania urządzenia poprzez podanie jego adresu IP i parametrów SNMP i telnet Automatyczne wyszukiwanie i dodawanie urządzeń w ramach zdefiniowanego zakresu adresów IP Możliwość importowania listy urządzeń z pliku Możliwość podglądu podstawowych informacji o urządzeniu Możliwość wizualizowania panelu urządzenia Możliwość wyświetlenia listy interfejsów urządzenia i włączenia/wyłączenia poszczególnych interfejsów Wyświetlanie adresu IP urządzenia Możliwość zdefiniowania parametrów SNMP i telnet dla danego urządzenia Możliwość przeprowadzenia testów ping i traceroute dla wybranego urządzenia Zapewnienie skrótu do wyświetlenia listów alarmów i konfiguracji urządzenia Możliwość zdefiniowania skrótów do funkcji dla urządzeń nieznanych producentów Możliwość zdefiniowania podstawowych informacji o dowolnym producencie urządzeń, w celu ułatwienia definiowania nowych elementów sieciowych nieobsługiwanych domyślnie przez system zarządzania Możliwość dodawania, kasowania i modyfikacji nowych typów urządzeń. Możliwość określenia ikony reprezentującej urządzenie w systemie Możliwość zdefiniowania skrótów funkcyjnych skojarzonych z nowym typem urządzenia Możliwość definiowania nowych typów alarmów nierozpoznawanych domyślnie przez system zarządzania Możliwość definiowania nowych typów liczników danych, ich nazwy, funkcji obliczającej wartość licznika i rodzajów urządzeń, dla których dany licznik może zostać zastosowany Możliwość tworzenia kopii zapasowych konfiguracji urządzeń oraz odtwarzania zapisanej konfiguracji Możliwość definiowania wyglądu panela urządzenia przy użyciu rysunków urządzenia, modułów i portów Topologia sieci Wyświetlanie topologii sieci z urządzeniami i łączami pomiędzy nimi Możliwość powiększania i zmniejszania widoku topologii Obrazowanie statusu dostępności urządzeń i łączy Możliwość zdefiniowania obrazu tła dla mapy topologii sieci Możliwość zdefiniowania różnych lokalizacji na mapie sieci Zarządzanie Zbieranie alarmów i zdarzeń w dzienniku zdarzeń Możliwość wyświetlenia informacji o alarmach, nazwy, źródła, poziomu alarmu, czasu wystąpienia Możliwość potwierdzenia alarmu przez użytkownika, możliwość wyłączenia alarmu Możliwość eksportu danych o alarmach do pliku Możliwość wyświetlenia historii alarmów zawierającej nazwę alarmu, jego źródło, poziom, status i czas wygenerowania. Możliwość filtrowania wyświetlanej listy przy pomocy powyżej podanych parametrów Możliwość podjerzenia alarmów wygenerowanych na podstawie kilku innych alarmów z tego samego źródła Możliwość zdefiniowania reguł ignorowania alarmów Możliwość generowania powiadomienia o alarmach w postaci email i SMS Możliwość zdefiniowania reguł powiadamiania Zarządzanie wydajnością Monitorowanie obciążenia procesora i zajętości pamięci urządzenia, stanu dostępności urządzenia i opóźnienia Możliwość monitorowania informacji o przesyłanym przez urządzenie ruchu Możliwość generowania alarmu w przypadku przekroczenia zdefiniowanych wartości Możliwość przechowywania historycznych danych wydajnościowych z ostatnich 30 dni Możliwość obrazowania danych historycznych na wykresach Możliwość eksportu danych historycznych do pliku Zarządzanie łączami Automatyczne wyszukiwanie łączy przy wykorzystaniu informacji dostępu z protokołu LLDP oraz z adresacji IP Raportowanie Możliwość generowania raportów na temat urządzeń, modułów, portów i łączy oraz statystyk nt. rodzajów urządzeń Możliwość generowania raportów wydajnościowych dotyczących urządzeń oraz ich interfejsów Możliwość tworzenia, wyświetlania, edytowania i kasowania zadań raportowych Możliwość udostępnienia raportów użytkownikom do podglądu oraz do eksportu do pliku Możliwość automatycznego generowania raportów w cyklach: dziennym, tygodniowym, miesięcznym, kwartalnym, półrocznym i rocznym Możliwość generowania raportów w formatach PDF Możliwość generowania raportów w formatach Excel, Word, PowerPoint użytkowanych przez Zamawiającego Możliwość definiowania szablonu określającego wygląd raportów Zarządzanie konfiguracjami Możliwość automatycznego wykonywania w określonym czasie kopii zapasowych konfiguracji urządzeń w trybie dziennym, tygodniowym i miesięcznym Możliwość podglądu i porównania różnych wersji plików konfiguracyjnych, w tym z aktualną konfiguracją urządzenia Konfigurowanie wielu urządzeń Możliwość konfiguracji urządzeń, w tym list kontroli dostępu, ustawień QoS, VLAN, poprzez wysłanie szablonów konfiguracyjnych do wielu urządzeń Możliwość definiowania ww. szablonów konfiguracyjnych Platforma sprzętowa System musi być dostarczony wraz z platformą serwerową tego samego producenta co oprogramowanie, o parametrach spełniających wymagania specyfikacji rekomendowanej przez producenta systemu dla min. 60 urządzeń sieciowych i jednocześnie spełniających następujące minimalne wymagania: o obudowa przeznaczona do montażu w szafie 19” o maksymalna wysokość 2RU o 8 GB RAM o 1 procesor sześciordzeniowy min. 2.5GHz o min. 2 dyski 300GB SAS hotswap o sprzętowy kontroler RAID 0,1,5,10 o 4 interfejsy sieciowe GigabitEthernet o 5 slotów PCIe o 2 redundantne zasilacze o minimum 2 porty USB o niezależny od CPU kontroler zdalnego zarządzania serwerem z funkcją zdalnego restartu oraz zdalnej konsoli wspierającej systemy operacyjne z rodziny Linux, Windows. Jeżeli dla funkcjonalności zdalnego zarządzania wymagana jest licencja, zostanie ona dostarczona przez Wykonawcę Serwis i gwarancja Oprogramowanie do zarządzania siecią oraz platformę serwerową należy dostarczyć wraz z serwisem gwarancyjnym na minimum 3 lat. Możliwość zgłaszania problemów 24h/7. Wymiana uszkodzonego elementu serwera w trybie 8x5xNBD. Serwis ten musi zapewniać dostęp do zdalnego wsparcia technicznego producenta przez całą dobę, 7 dni w tygodniu. Serwis musi zapewniać bezpłatny dostęp do poprawek i nowych wersji oprogramowania przez minimum 3 lat System musi pochodzić z autoryzowanego kanału dystrybucji producenta przeznaczonego na teren Unii Europejskiej, a korzystanie przez Zamawiającego z dostarczonego systemu nie może stanowić naruszenia majątkowych praw autorskich osób trzecich. Zamawiający wymaga dostarczenia wraz z systemem oświadczenia przedstawiciela producenta potwierdzającego ważność uprawnień gwarancyjnych na terenie Polski. 7.7 Wymagania wyposarzenia CPD i SOR 7.7.1 Szafa serwerownia – szt.1 Wysokość wewnętrzna 42 U Wysokość 1971 mm Szerokość 800 mm Głębokość 1000 mm Masa netto 101 kg Dodatkowe informacje •możliwość montażu drzwi jako lewo i prawo stronnych •możliwość zdjęcia osłony bocznej i tylnej •możliwość łączenia kilku szaf bez zastosowania specjalnych łączników •trzy pary szyn montażowych (regulowanych) •duża głębokość szafy zapewnia możliwość montażu wiekszości serwerów Kolor grafitowy 7.7.2 UPS serwerownia – szt. 2 Moc pozorna 3000 VA Moc rzeczywista 1800 Wat Architektura UPSa line-interactive Maks. czas przełączenia na baterię 1,5 ms Liczba i rodzaj gniazdek z utrzymaniem zasilania 4 x PL (10A) Liczba, typ gniazd wyj. z ochroną antyprzepięciową 4 x PL (10A) Typ gniazda wejściowego kabel z wtykiem Schuko (10A) Czas podtrzymania dla obciążenia 100% 6 min Czas podtrzymania przy obciążeniu 50% 15 min Zakres napięcia wejściowego w trybie podstawowym 170-264 V Zmienny zakres napięcia wejściowego 167-267 V Zimny start Tak Układ automatycznej regulacji napięcia (AVR) Tak Sinus podczas pracy na baterii Nie Porty komunikacji RS232 (DB9) Port zabezpieczający linie danych RJ11 - linia modemowa/faxowa, DSL Diody sygnalizacyjne •praca z sieci zasilającej •praca z baterii •przeciążenie UPSa Alarmy dźwiękowe •Awaria akumulatora •znaczne wyczerpanie baterii •przeciążenie UPSa Typ obudowy rack 19" Wyposażenie standardowe kabel komunikacyjny Dodatkowe funkcje przełączniki konfiguracyjne Dołączone oprogramowanie FreeBSD •UPS Monitor dla Novell NetWare 4.x, 5.x, 6 Szerokość 483 mm Wysokość •132 mm •3 U Głębokość 400 mm Masa netto 25 kg 7.7.3 Szafa punkt masztowy – szt. 6 Wysokość wewnętrzna 10 U Wysokość 480 mm Szerokość 580 mm Głębokość 525 mm Masa netto 29 kg Dodatkowe informacje •Drzwi przednie przeszklone •możliwość wprowadzenia kabli od dołu i od góry szafy •regulowana szyna montażowa •szafa dzielona - łatwy dostęp do urządzeń od tyły szafy 7.7.4 UPS punkt masztowy – szt. 6 Moc pozorna 1000 VA Moc rzeczywista 600 Wat Architektura UPSa line-interactive Maks. czas przełączenia na baterię 1,5 ms Liczba i rodzaj gniazdek z utrzymaniem zasilania 2 x PL (10A) Liczba, typ gniazd wyj. z ochroną antyprzepięciową 2 x PL (10A) Typ gniazda wejściowego kabel z wtykiem Schuko (10A) Czas podtrzymania dla obciążenia 100% 2 min Czas podtrzymania przy obciążeniu 50% 12 min Zakres napięcia wejściowego w trybie podstawowym 170-264 V Zmienny zakres napięcia wejściowego 167-267 V Zimny start Tak Układ automatycznej regulacji napięcia (AVR) Tak Sinus podczas pracy na baterii Nie Porty komunikacji RS232 (DB9) Port zabezpieczający linie danych RJ11 - linia modemowa/faxowa, DSL Diody sygnalizacyjne •praca z sieci zasilającej •praca z baterii •przeciążenie UPSa Alarmy dźwiękowe •Awaria akumulatora •znaczne wyczerpanie baterii •przeciążenie UPSa Typ obudowy rack 19" Wyposażenie standardowe kabel komunikacyjny Dodatkowe funkcje przełączniki konfiguracyjne Szerokość 483 mm Wysokość 88 mm Głębokość 250 mm Masa netto 11,5 kg Listwy zasilające – szt. 14 Typ gniazda wejściowego IEC320 C14 (10A) Liczba gniazd wyjściowych 7 szt. Liczba gniazd zasilających 10A PL 7 szt. Długość przewodu zasilającego 2 metr Napięcie znamionowe 230 V AC Prąd znamionowy 16 A Częstotliwość 50 Hz Wbudowany filtr dla linii telefonicznej RJ-11 Nie Filtr przeciwzakłóceniowy (EMI/RFI) Nie Możliwość zamontowania na ścianie Nie Możliwość zamontowania w szafie rack 19" Tak Wyposażenie standardowe Uchwyty z tworzywa sztucznego Dodatkowe funkcje możliwość montażu poziomego (1U) i pionowego (0U) Długość 19 cali Wysokość 1 U 8 Warstwa fizyczna sieci 8.1 Topologia sieci ISP 1 Gi1/0/0 ISP 2 Legenda: Radiolinia 1G Gi1/0/1 UGM_GW1 Gi0/0/0 Gi0/0/1 Gi3/0/1 Gi3/0/2 Router brzegowy Eth-Trunk UGM_FW1 Gi0/0/0 Firewall/UTM Gi0/0/1 Eth-Trunk Gi3/0/1 Przełącznik rdzeniowy Gi3/0/2 UGM_CS1 Przełącznik dystrybucyjny Gi3/0/3 Lub002_AS1 Gi0/0/1 Gi0/0/6 Gi0/0/2 Gi0/0/7 Eth-Trunk Przełącznik dostępowy Lub002_DS1 Gi0/0/5 Gi0/0/2 Gi0/0/3 Gi0/0/1 Gi0/0/1 Gi0/0/1 Gi0/0/4 Gi0/0/1 Gi0/0/1 Eth-Trunk Lub003_AS1 Gi0/0/1 Gi0/0/2 Gi0/0/3 Gi0/0/4 Eth-Trunk Gi0/0/2 Gi0/0/2 Lub003_DS1 Lub001_AS1 Lub006_AS1 Gi0/0/1 Lub004_DS1 Gi0/0/3 Gi0/0/4 Gi0/0/1 Lub005_AS1 Lub007_AS1 Rysunek 1 - Topologia fizyczna sieci miejskiej Gi0/0/1 Gi0/0/2 Lub004_AS1 8.2 Przypisanie portów fizycznych Porty wykorzystywane przez urządzenia podzielono na trzy grupy: Porty do obsługi ruchu tranzytowego, obsługujące połączenia MPLS, Porty przenoszące ruch L2 z przełączników dostępowych, Porty udostępniające usługi Klientom. W każdej z ww. grup, przy doborze połączeń pomiędzy urządzeniami należy stosować następujące zasady: Porty na przełącznikach rdzeniowych i dystrybucyjnych, służące do połączeń wewnątrz rdzenia sieci będą tak rozplanowane, aby awaria karty liniowej nie spowodowała odcięcia węzła rdzenia od reszty sieci, 9 Elementy logiczne sieci 9.1 Koncepcja działania sieci Jako podstawowy mechanizm działania sieci w rdzeniu, została wybrana technologia MPLS L3VPN i VPLS. Usługa L3VPN pozwala na stworzenie niezależnych instancji routingowych dla wielu Klientów sieci i przenoszenie informacji o osiągalności ich podsieci w jednolity sposób. Usługa VPLS (Virtual Private LAN Service) umożliwia przesyłanie przez sieć IP ramek warstwy drugiej (Ethernet) w sposób transparentny w zakresie większości usług. Poza ramkami danych pochodzącymi z serwerów, stacji użytkowników oraz innych urządzeń sieciowych, przesyłane mogą być (ale nie muszą) takie dane kontrolne jak np. ramki BPDU. W sieci gminnej, urządzeniami dostarczającymi usługi MPLS będą przełączniki rdzeniowe i przełączniki dystrybucyjne. Pomiędzy tymi przełącznikami zostanie uruchomiony protokół MPLS, protokół dynamicznego routingu typu IGP (IS-IS), oraz protokół dynamicznego routing MP-BGP. Projekt zakłada, stworzenie jednej instancji L3VPN, do której będą dołączone wszystkie jednostki organizacyjne urzędu miasta, takie jak: poszczególne budynki urzędu gminy, przedszkola, szkoły, biblioteki, ośrodki zdrowia, ośrodki sportu, policja, straż gminna, itp. Połączenie wszystkich jednostek organizacyjnych w ramach jednej sieci rozległej (jednej instancji L3VPN), będzie wymuszało przyjęcie wspólnej polityki adresacji IP dla wszystkich jednostek. Projekt nie zawiera szczegółów na temat stanu aktualnego adresacji IP w poszczególnych jednostkach organizacyjnych, ani też docelowego planu adresacji. Proponuje się, aby kwestie ujednolicenia polityki adresacji IP została dokonana w trakcie trwania fazy wdrożeniowej. Projekt wymusza jedynie, aby polityka adresacji IP była dostosowana do adresacji przyjętej w szkielecie sieci MPLS. Oprócz bazowej instancji L3VPN, utworzona zostanie bazowa instancja VPLS, która będzie służyła do obsługi sieci bezprzewodowej WLAN na terenie gminy. 9.1.1 Usługa VPLS Sieć VPLS zbudowana będzie w oparciu o sieć L3 oraz technologię MPLS – z sygnalizacją BGP (tryb VPLS BGP AD). Przyjęcie, jako metody implementacji BGP AD, pozwoli na połączenie najlepszych cech trybów działania sieci: VPLS Martini i Kompella VPLS. Tryb BGP AD wykorzystuje rozszerzone update’y BGP w celu automatycznego wykrywania urządzeń w topologii sieci MPLS, oraz wykorzystuje sygnalizację LDP FEC 129 do automatycznej negocjacji i zestawiania tuneli transmisyjnych VPLS PW. Realizowane połączenia (MPLS PW – Pseudowires) są połączeniami wielopunktowymi, zwirtualizowanymi na poziomie infrastruktury MPLS. Oznacza to, że z tej samej infrastruktury sieci L3 może korzystać wiele sieci VPLS, przy czym są one od siebie niezależne i w pełni izolowane. W efekcie, na brzegu sieci uzyskuje się funkcjonalność „rozciągnięcia” sieci LAN na kilka rozproszonych lokalizacji MAN/WAN, bez używania w rdzeniu bridge’y, co umożliwia zapobieganie problemom związanym ze Spanning Tree Protocol – zarówno przekraczaniu maksymalnej ilości bridge’y STP oraz ograniczaniu potencjalnych problemów z STP do obszaru jednej lokalizacji, zaterminowanej na brzegu sieci VPLS. W sieci szerokopasmowej gminy Lubraniec, urządzeniami dostarczającymi usługi VPLS będą przełączniki rdzeniowe i dystrybucyjne. Przełączniki dostępowe będą pracowały w warstwie drugiej i będą pełniły rolę MPLS CPE. Na przełącznikach dostępowych będą kreowane wirtualne instancje VRF, które będą separowały ruch na poziomie przełączników dostępowych. Taki model działania zakłada wykorzystanie techniki MCE (Multi Customer Edge), w którym separacja ruchu na poziomie L3 dokonywana jest na bazie VRF’ów, natomiast separacja na poziomie L2 na bazie VLANów. Połączenia AC, pomiędzy przełącznikami dostępowymi i dystrybucyjnymi, będą przenosić informacje o VLANach oraz przenosić ruch użytkowników z wewnętrznych VLANów (z pojedynczym lub podwójnym tagowaniem 802.1q). VLANy te następnie będą podłączane do odpowiednich VSI (Virtual Switching Instance) i przenoszone do odpowiednich routerów PE. 9.1.2 Usługa L3VPN W przypadku realizacji usługi VPN L3, zostanie wykorzystana funkcjonalność przenoszenia MP-BGP przez sieć MPLS. Przełączniki dystrybucyjne, będą stanowić miejsce terminacji interfejsów L3 dla poszczególnych instancji VRF. Interfejsy dla poszczególnych klientów będą zgrupowane w ramach VRF (Virtual Routing and Forwarding instance), co pozwoli uniezależnić tablice routingu pomiędzy różnymi klientami. Komunikacja między warstwą przełączników dostępowych i dystrybucyjnych będzie bazowała na tych samych zasadach, jak dla sieci VPLS. 9.2 Nazewnictwo urządzeń Nazewnictwo urządzeń sieciowych wykonano w taki sposób, aby zapewnić jednoznaczność nazw jak również umożliwić w przyszłości przyłączenie kolejnych lokalizacji do sieci. Nazwy urządzeń mają postać: Lub/UGM<numer_węzła>_<typ_urz><nr_kolejny_przeł> gdzie: <typ_urz> - rodzaj urządzenia – CS (urządzenie szkieletowe), DS (urządzenie dystrybucyjne), AS – urządzenie dostępowe, RTR – routery, SRV – serwery, <nr_kolejny_przeł> - numer kolejny przełącznika danego typu w lokalizacji <nazwa_węzła> - nazwa węzła. Poniżej przedstawiono wykaz nazw urządzeń sieciowych: Tabela 1 - Nazewnictwo urządzeń sieciowych Węzeł Nazwa obiektu Lub001 Bielawy, świetlica Nazwa urządzenia Lub001_AS1 Lub002 Lub003 Lub004 Lub005 Lub006 Lub007 UGM Szkoła w Lubrańcu 87-890 Lubraniec, ul. Nowa 6, Nr działki ewidencyjnej 608/2 Lub002_DS1 Lub002_AS1 Zespół Szkół w Kłobi Kłobia 29, 87-890 Lubraniec Lub003_DS1 Lub003_AS1 Publiczna Szkoła Podstawowa w Zgłowiączce i Remiza OSP Lub004_DS1 Zgłowiączka Lub004_AS1 Publiczna Szkoła Podstawowa im. st. sierż. F. Rybickiego w Lub005_AS1 Sarnowie Józefowo 1, 87-865 Izbica Kujawska Kościół w Dąbiu Kujawskim Lub006_AS1 Dąbie Kujawskie 3, 87-890 Lubraniec Kaplica w Świątnikach Lub007_AS1 Urząd Miejski w Lubrańcu UGM_CS1 UGM_FW1 UGM_GW1 9.3 Adresacja IP W niniejszym rozdziale przedstawiono adresację IP dla urządzeń sieciowych. Adresacja zawiera zarówno adresy dla interfejsów Loopback, połączeń punkt-punkt w szkielecie i dystrybucji sieci jak i adresację wykorzystywaną do zarządzania urządzeniami. Dodatkowo, z uwagi na planowane wykorzystanie VRFów, zaproponowano adresację IP w zakresie infrastruktury tranzytowej. Schemat adresacji IP został jest oparty o RFC1918. Do najważniejszych elementów adresacji IP należą: Adresacja identyfikatorów przełączników MPLS: szkieletowych i dystrybucyjnych – jako interfejsy wykorzystane zostaną adresy interfejsów Loopback 255. Adresy urządzeń mają maskę IPv4 - 32 bit oraz IPv6 – 128 bitów. Nadawane im adresy są z zakresu IPv4: 172.16.255.0/24 oraz IPv6: fc00:172:16:255::0/64. Adresacja przełączników MPLS: szkieletowych i dystrybucyjnych na potrzeby zarządzania – jako interfejsy wykorzystane zostaną adresy interfejsów Loopback 254. Adresy urządzeń mają maskę IPv4 - 32 bit oraz IPv6 – 128 bitów. Nadawane im adresy są z zakresu IPv4: 172.16.254.0/24 oraz IPv6: fc00:172:16:254::0/64. Adresacja przełączników dostępowych na potrzeby zarządzania – jako interfejsy wykorzystane zostaną adresy interfejsów VLAN 101-103. Adresy urządzeń mają maskę 24 bit i są adresowane są z puli IPv4: 172.16.101-103.x/24 oraz IPv6: fc00:172:16:101-103::0/64. Adresacja ta i maska jest dobrana w celu ujęcia w jednej podsieci logicznej IP (i w jednym VLANie) wszystkich przełączników, które są fizycznie połączone do określonego przełącznika dystrybucyjnego. Adresacja połączeń punkt-punkt pomiędzy przełącznikami szkieletowymi i dystrybucyjnymi w globalnej tablicy routingu. Adresy tych połączeń mają maskę IPv4 - 30 bit oraz IPv6 – 64 bitów. Nadawane im adresy są z zakresu IPv4: 172.16.253.0/30 oraz IPv6: fc00:16:253:0,4,8,12::0/EUI-64. Adresacja połączeń pomiędzy przełącznikami dystrybucyjnymi a sieciami Klientów. Adresy tych połączeń są z zakresu 10.0.0.0. Dla każdej lokalizacji przydzielono wstępnie adres w pierwszym VRF – 10.1.x.0/24, gdzie drugi oktet oznacza numer VRFu, a trzeci numer lokalizacji zgodny z tabelą lokalizacji. Adresacja ta może ulec zmianie z uwagi na wymagania adresowe poszczególnych podłączanych Klientów. 9.3.1 Adresacja IP dla protokołu Loopback 255 Poniższa adresacja opisuje interfejsy Loopback 255 wykorzystywane jako identyfikatory w protokole IS-IS, dla globalnej tablicy routingu. Będą one również pełnić rolę identyfikatorów LDP i źródeł sesji MPBGP. Tabela 2 - Adresacja IP interfejsów Loopback 255 9.3.2 Węzeł UGM Urządzenie UGM_CS1 Lub002 Lub02_DS1 Lub003 Lub03_DS1 Lub004 Lub04_DS1 Loopback 255 172.16.255.1/32 fc00:172:16:255::1/128 172.16.255.2/32 fc00:172:16:255::2/128 172.16.255.3/32 fc00:172:16:255::3/128 172.16.255.4/32 fc00:172:16:255::4/128 Adresacja IP sieci zarządzającej Poniżej przedstawiona jest adresacja sieci zarządzającej, obejmującej interfejsy Loopback 254 na przełącznikach szkieletowych i dystrybucyjnych oraz odpowiednie interfejsy VLAN L3 na przełącznikach dystrybucyjnych i dostępowych. Będą one skonfigurowane do pracy w tablicy globalnej routingu. Numery VLANów zarządzających na przełącznikach dostępowych podłączonych do tego samego węzła dystrybucyjnego są jednakowe – taki jak na węźle dystrybucyjnym. Routing domyślny z urządzeń dostępowych skierowany jest na adres 172.16.x.1. Tabela 3 - Adresacja IP sieci zarządzającej Węzeł UGM Urządzenie UGM_CS1 Lub001 Lub001_AS1 Lub002 Lub002_DS1 Lub002_AS1 Lub003 Lub003_DS1 Lub003_AS1 Lub004 Lub004_DS1 Loopback 254 VLAN 172.16.254.1/32 fc00:172:16:254::1/128 101 172.16.254.2/32 101 fc00:172:16:254::2/128 101 172.16.254.3/32 102 fc00:172:16:254::3/128 102 Lub004_AS1 172.16.254.4/32 103 fc00:172:16:254::4/128 103 Lub005 Lub005_AS1 - 103 Lub006 Lub006_AS1 - 101 Adres VLANu 172.16.101.3/24 fc00:172:16:101::3/64 172.16.101.1/24 fc00:172:16:101::1/64 172.16.101.2/24 fc00:172:16:101::2/64 172.16.102.1/24 fc00:172:16:102::1/64 172.16.102.2/24 fc00:172:16:102::2/64 172.16.103.1/24 fc00:172:16:103::1/64 172.16.103.2/24 fc00:172:16:103::2/64 172.16.103.3/24 fc00:172:16:103::3/64 172.16.101.4/24 fc00:172:16:101::4/64 Lub007 9.3.3 Lub007_AS1 - 102 172.16.102.3/24 fc00:172:16:102::3/64 Adresacja połączeń punkt-punkt Adresacja przedstawiona na poniższym rysunku opisuje interfejsy punkt-punkt pomiędzy przełącznikami szkieletowymi i dystrybucyjnymi. Tabela 4 - Adresacja IP połączeń punkt-punkt Relacja “z” UGM_GW1 4 oktet .1 Relacja “do” UGM_FW1 4 oktet .2 UGM_FW1 .5 UGM_CS1 .6 UGM_CS1 .9 Lub002_DS1 .10 Lub002_DS1 .13 Lub003_DS1 .14 Lub002_DS1 .17 Lub004_DS1 .18 Podsieć IP 172.16.253.0/30 fc00:16:253:0::0/EUI-64 172.16.253.4/30 fc00:16:253:4::0/EUI-64 172.16.253.8/30 fc00:16:253:8::0/EUI-64 172.16.253.12/30 fc00:16:253:12::0/EUI-64 172.16.253.16/30 fc00:16:253:16::0/EUI-64 VLAN 150 151 152 153 154 ISP 1 ISP 2 Gi1/0/0 Legenda: Gi1/0/1 MCE dot1q UGM_GW1 VLAN 150 .1 172.16.253.0/30 fc00:16:253:0::/EUI-64 .2 MCE dot1q – Multi Custermer Edge, trunk 802.1q. Eth-Trunk UGM_FW1 VLAN 151 172.16.253.4/30 fc00:16:253:4::/EUI-64 Eth-Trunk .6 Lo254: 172.16.254.1/32 fc00:172.16.254::1/128 Lo255: 172.16.255.1/32 fc00:172.16.255::1/128 UGM_CS1 .9 Vlan101: 172.16.101.2/24 fc00:172:16:101::2/64 .10 Lub002_AS1 VLAN 152 172.16.253.8/30 fc00:16:253:8::/EUI-64 Lub002_DS1 MCE dot1q .13 Ed Vlan102: 172.16.103.1/24 fc00:172:16:103::1/64 q ot 1 MC Lo254: 172.16.254.2/32 fc00:172.16.254::2/128 Lo255: 172.16.255.2/32 fc00:172.16.255::2/128 .17 Ed VLAN 153 172.16.253.12/30 fc00:16:253:12::/EUI-64 Vlan101: 172.16.101.1/24 fc00:172:16:101::1/64 MC ot 1 q Vlan102: 172.16.102.1/24 fc00:172:16:102::1/64 Lo254: 172.16.254.3/32 fc00:172.16.254::3/128 Lo255: 172.16.255.3/32 fc00:172.16.255::3/128 Szkielet MPLS .5 Lo254: 172.16.254.4/32 fc00:172.16.254::4/128 Lo255: 172.16.255.4/32 fc00:172.16.255::4/128 VLAN 154 172.16.253.16/30\ fc00:16:253:16::/EUI-64 .18 .14 MCE dot1q Lub003_DS1 Lub001_AS1 Vlan101: 172.16.101.3/24 fc00:172:16:101::3/64 Vlan102: 172.16.102.2/24 fc00:172:16:102::2/64 Lub006_AS1 Lub004_DS1 MCE dot1q MCE dot1q Lub003_AS1 MCE dot1q Vlan101: 172.16.101.4/24 fc00:172:16:101::4/64 Lub007_AS1 Lub005_AS1 Vlan102: 172.16.102.3/24 fc00:172:16:102::3/64 Vlan103: 172.16.103.3/24 fc00:172:16:103::3/64 Rysunek 2 - Topologia sieci w ujęciu L3 Lub004_AS1 Vlan103: 172.16.103.2/24 fc00:172:16:103::2/64 9.4 Routing IGP W rdzeniu sieci gminnej zostanie uruchomiony dynamiczny protokół routingu IGP – IS-IS. Zadaniem protokołu IGP jest przenoszenie informacji o dostępności adresów next-hop oraz adresacji Loopback na potrzeby protokołu LDP, MP-BGP (również MPLS/TE) oraz wsparcie działania VPLS. Protokół IS-IS w sieci gminnej będzie rozgłaszał sieci punkt-punkt łączące przełączniki szkieletowe i dystrybucyjne oraz adresy interfejsów Loopback255 urządzeń tworzących szkielet sieci. Protokół IS-IS nie będzie wykorzystywany do rozgłaszania sieci zewnętrznych, tj. sieci innych niż te, na których zostanie uruchomiony. Również sieci rozgłaszane w tym protokole nie będą redystrybuowane i rozgłaszane poza domenę ISIS. Protokół IS-IS został zaprojektowany w sposób umożliwiający jego efektywną implementację wewnątrz zarówno małych jak i rozległych domen. Możliwość podziału domeny na obszary, oraz różne poziomy wymiany informacji o dostępności sieci, zarówno pomiędzy obszarami jak również w ich ramach, ułatwiają dostosowanie protokołu do potrzeb danej sieci. W sieci miejskiej protokół IS-IS został uruchomiony w strukturze płaskiej: Wszystkie urządzenia będą pracowały jako osobne obszary kategorii L2, Powyższa konfiguracja nie będzie powodowała nieoptymalnego routingu z uwagi na to, że dobór tras zapewni szczegółowy wpis w tablicy routingu (bez sumaryzacji i agregacji), Protokół IS-IS będzie pracował na globalnej tablicy routingu, Przełączniki nie będą redystrybować innych sieci do protokołu niż te, na których IS-IS zostanie pierwotnie uruchomiony oraz interfejsów loopback opisanych jako passive, Sieci rozgłaszane w protokole IS-IS nie będą redystrybuowane do innych protokołów i rozgłaszane poza obszar domeny IS-IS, Interfejsy skonfigurowane do pracy w IS-IS będą pracowały w konfiguracji point2point. Zalety takiej struktury to: Prosta architektura protokołu, przenosząca wszystkie informacje o dostępności łączy w szkielecie sieci, Optymalny wybór tras do sieci docelowych, Możliwość dodawania obszarów Level-1 bez konieczności rekonfiguracji protokołu w przypadku, gdy zaistnieje taka potrzeba. Kolejne węzły dołączane do szkieletowej sieci MPLS, nie będą powodować zmiany tego schematu. 9.4.1 Adresacja IS-IS Na potrzeby rdzenia sieci użyty zostanie następujący format adresacji NET: 49.AAAA.BBBB.BBBB.BBBB.00, gdzie: AAAA to numer obszaru, taki jak ostatni oktet adresu Loopback 255. BBBB.BBBB.BBBB to adres IP interfejsu Loopback 255 danego urządzenia, uzupełniony prefiksem złożonym z zer (do 3 cyfr). Poniżej przedstawione jest zestawienie adresów NET: Urządzenie UGM_CS1 Lub02_DS1 Lub03_DS1 Lub04_DS1 9.4.2 Loopback 255 172.16.255.1/32 172.16.255.2/32 172.16.255.3/32 172.16.255.4/32 Adres ISIS NET 49.0001.1720.1625.5001.00 49.0002.1720.1625.5002.00 49.0003.1720.1625.5003.00 49.0004.1720.1625.5004.00 Metryka IS-IS W sieci skonfigurowana zostanie funkcjonalność wide metrics. Pozwala ona uzyskać większą szczegółowość w przydzielaniu metryk w domenie IS-IS (24 bity opisujące koszt interfejsu i 32 bity opisujące koszty ścieżki), zamiast domyślnej wartość wynoszącej 10. Użycie szczegółowych metryk spowodowane jest min. potrzebami protokołu MPLS oraz rezerwacji MPLS TE. Poszczególne metryki będą następujące: Połączenia 40GE – metryka 20 Połączenia 20GE – metryka 60 Połączenia 10GE – metryka 80 Połączenia 1GE – metryka 800 9.4.3 Parametryzacja protokołu IS-IS W konfiguracji procesu IS-IS zaproponowane są następujące dodatkowe elementy: Konfiguracja wszystkich interfejsów jako ISIS point-2-point, Synchronizacja stanu LDP z IS-IS, Opóźnienie w przesyłaniu ruchu tranzytowego po powrocie routera do pracy po awarii – ustawienie w ISIS bitu overload, który sygnalizuje innym routerom w obszarze, że router nie może być wykorzystany jako tranzytowy. Dopiero po upływie skonfigurowanego czasu, ruch zaczyna przez niego być przesyłany. Daje to czas na zestawienie sąsiedztwa IS-IS oraz dla konwergencji BGP. 9.5 Routing BGP Jako protokół przenoszący informacje o osiągalności sieci L2VPN i L3VPN będzie wykorzystywany protokół MP-BGP. Protokół BGP, w połączeniu z siecią podkładową MPLS, z uwagi na swe funkcjonalności, nadaje się do budowy VPN L2 i L3 – czyli umożliwia przenoszenie informacji o sieciach L3VPN i domenach VSI od Klientów podłączanych do sieci gminnej. Sesje w protokole BGP budowane są w oparciu o informacje pochodzące z protokołu IS-IS i LDP. Pierwszy z nich zapewnia efektywne przenoszenie adresów Loopback255, które są adresami końców sesji BGP, drugi umożliwia alokację etykiet przy zestawianiu wirtualnych połączeń L2. Zaproponowano numer BGP AS (Autonomous System) – 65000. Jest to numer prywatny, nie używany w Internecie, natomiast wystarczy do uruchomienia funkcjonalności L2VPN i L3VPN w sieci gminnej. Do uruchomienia L3VPN, należy skonfigurować sesje iBGP VPNv4 oraz VPNv6, a dla L2VPN (VPLS), sesje iBGP L2VPN. Przyjęto zasadę, że przełącznik: UGM_CS1 będzie Route Reflektorem BGP dla przełączników dystrybucyjnych. Otrzymujemy w ten sposób redundantną siatkę full-mesh połączeń iBGP w rdzeniu sieci. 9.5.1 Parametryzacja protokołu BGP Parametry ogólne protokołu BGP będą następujące: Skrócone czasy hello-time i hold-time wynoszą odpowiednio 10 i 30 sekund, Wyłączona synchronizacja w procesie iBGP, BGP router ID będzie skonfigurowany zgodnie z adresem IP interfejsu Loopback 255, Przesyłanie standardowych i rozszerzonych community będzie obowiązywało dla wszystkich sesji BGP. 9.6 Konfiguracja protokołu MPLS Wszystkie przełączniki, w warstwie rdzeniowej i dystrybucyjnej będą pełniły rolę przełączników PE (Provider Edge). W sieci nie będą występowały przełączniki, które pełniłyby rolę wyłącznie urządzenia P (Provider Router). Taka sytuacja spowodowana jest koniecznością bezpośredniego połączenia przełączników rdzeniowych z firewallem UTM do Internetu (urządzenie UGM_FW1) oraz serwerów. 9.6.1 Konfiguracja MTU na interfejsach przełączników Zadaniem sieci gminnej jest przesyłanie pakietów dla różnych usług bez fragmentacji pakietów. Kilka sposobów tunelowania pakietów może zostać użytych, które dodają dane kontrole do istniejących pakietów: L3VPN – dodaje co najmniej 2 etykiety (8 bajtów) MPLS TE i FRR – dodaje do dwóch etykiet (8 bajtów) VPLS / EoMPLS – około 58 bajtów IPSec – około 57 bajtów Biorąc pod uwagę powyższe wartości, wartość MTU na routerach szkieletowych powinna być ustawiona na maksymalną możliwą. Wartość MTU na przełącznikach dostępowych również powinna zostać ustawiona globalnie na wartość najwyższą, zarówno dla poszczególnych interfejsów jak i globalnie. 9.6.2 Protokół LDP W sieci MPLS etykiety zostają przypisane do prefiksów IP oraz rozgłoszone do routerów sąsiadujących za pomocą protokołu Label Distribution Protocol (LDP). Etykiety przypisywane są do każdego prefiksu, który został wpisany do globalnej tablicy routingu za pomocą protokołu IGP (Interior Gateway Protocol). Protokół LDP nie jest natomiast odpowiedzialny za alokację i rozgłaszanie etykiet dla konkretnych L2VPN lub L3VPN’ów. Funkcjonalność ta zaimplementowana jest w protokole MP-BGP, który wymienia te informacje pomiędzy routerami pełniącymi funkcję PE (Provider Edge). Standardowo, routery pełniące tylko rolę P (Provider) nie mają wiedzy o etykietach VPNów, przesyłają tylko pakiety do tzw. next-hop. Pełna dekapsulacja pakietu MPLS do pakietu IP następuje zawsze na wyjściowym brzegowym routerze PE, który jest źródłem trasy do danego prefiksu IP wewnątrz VPNa. Wymagane jest również włączenie protokołu MPLS na każdym interfejsie, który ma przełączać ruch na podstawie etykiet. W Przypadku szerokopasmowej sieci gminnej, wszystkie przełączniki: szkieletowy oraz dystrybucyjne będą urządzeniami PE (będą miały możliwość terminowania VPNów). 9.6.3 Synchronizacja protokołu IGP i LDP W celu wyeliminowania możliwości utraty części ruchu podczas konwergencji sieci wprowadzony zostanie mechanizm synchronizacji protokołów IGP z protokołem LDP. Synchronizacja ma wyeliminować możliwość, w której konwergencja protokołu IGP już nastąpiła, natomiast protokół LDP nie zdążył jeszcze wymienić niezbędnych informacji na temat etykiet używanych przez MPLS. Sytuacja taka prowadziłaby do utraty pakietów z etykietami MPLS. Po włączeniu synchronizacji, protokół IGP będzie rozgłaszał metrykę danego łącza, jako najwyższą możliwą tak, aby dane łącze nie było uwzględnione w trasie optymalnej. Obniżenie metryki do natywnej nastąpi dopiero po zestawieniu sąsiedztwa LDP poprzez to łącze i wymianie danych dotyczących etykiet. Dopiero wtedy łącze uważane jest za przygotowane do obsługi ruchu. 9.7 Konfiguracja VLANów Wykorzystanie VLANów o określonych identyfikatorach musi być ściśle określone. W projekcie przyjęto następujący podział VLANów: Zakres od 1000 do 1999 będzie przeznaczony na podłączanie klientów (użytkowników) L3VPN, Zakres od 2000 do 2499 będzie przeznaczony na transport w trybie Q-in-Q klientów przyłączonych do VPLS. Tabela 5 - Konfiguracja VLANów Numer lub zakres Przeznaczenie VLANów 1 VLAN domyślny, wykorzystywany jako native VLAN dla protokołów 802.1q, LACP, LLDP. 2-100 VLANy wewnętrzne (zarezerwowane), wykorzystywane na potrzeby sieci MPLS 101-149 VLANy wykorzystywane na przełącznikach dystrybucyjnych i dostępowych - zarządzanie przełącznikami dostępowymi 150-200 VLANy wykorzystywane na połączenia L3 w szkielecie i dystrybucji 1000-1999 VLANy przeznaczone na połączenia klientów w ramach L3VPN 2000-2499 VLANy transportowe Q-in-Q dla klientów przyłączony do VPLS 2500-3000 VLANy przeznaczone dla klientów nie posiadających VLANów (bez 802.1q) 9.8 Sieci L3VPN W sieci zaimplementowane będą usługi Layer 3 MPLS VPN zgodnie z RFC 2547 (BGP/MPLS VPNs) oraz RFC 2283 (Multiprotocol Extensions for BGP-4). Usługi będą wykorzystane do separacji ruchu przenoszonego przez szkielet sieci. Komunikację pomiędzy poszczególnymi VPN-ami umożliwią polityki eksportu oraz importu tras rozgłaszanych w protokole MP-BGP. Usługi Layer 3 MPLS VPN będą skonfigurowane zgodnie z zasadami: Sieci VPN będą rozgłaszane zgodnie z topologią sesji VPNv4 oraz VPNv6, Będą rozgłaszane extended community do sąsiadów iBGP, Sieci klientów będą podawane do protokołu IPv4 oraz IPv6 za pomocą wpisów import, jak również możliwe jest też użycie tu dynamicznego protokołu routingu IGP lub eBGP, z uwzględnieniem rezerwacji AS 65000, jako obowiązującego w szkielecie MPLS sieci miejskiej. W przypadku podłączania dodatkowych urządzeń (routery CE Klientów) z wykorzystaniem IP do urządzeń szkieletowych PE – sieci połączeniowe pomiędzy PE i CE rozgłoszone będą przez routery PE w odpowiednim L3VPN, W celu zapewnienia separacji ruchu produkcyjnego, rutery PE będą rozgłaszały sieci wykorzystywane w ramach ośrodków w odpowiednich instancjach VPN (VRF), tworząc osobne tablice routingu dla każdego z VPN, Każdy VPN będzie skonfigurowany z unikalnym RD (Route Distinguisher) oraz politykami importu i eksportu informacji routingowych RT (Route Target), Polityki eksportu oraz importu VPN będą skonfigurowane z tą samą wartością RT. Numeracja RD (Route Distinguisher) będzie następująca: RD – 65000:1xxxx, gdzie xxxx to liczba z zakresu 0000 – 9999, Route-target dla potrzeb importu i export community, będzie identyczny. 9.9 Mechanizmy QoS 9.9.1 Implementacja mechanizmów QoS Miejsca możliwych do implementacji mechanizmów QoS, przedstawione są na poniższym rysunku: D D C C Warstwa szkieletowa MPLS B B A Warstwa dystrybucyjne MPLS B Warstwa dostępowa A Urządzenia klientów Rysunek 3 - Obszary konfiguracji QoS A – zlokalizowany w miejscu dołączenia klienta do sieci (domyślnie – port dostępowy węzła na przełączniku dostępowym lub w szczególnych przypadkach na przełączniku dystrybucyjnym), B – zlokalizowany na przełączniku dostępowym lub dystrybucyjnym, interfejsy prowadzące do warstwy dystrybucyjnej lub rdzeniowej, C – zlokalizowany na przełącznikach rdzeniowych, interfejs prowadzący do przełącznika dystrybucyjnego, D – zlokalizowany w na połączeniach pomiędzy przełącznikami szkieletowymi. 9.9.2 Mechanizmy QoS w warstwie dostępowej i dystrybucyjnej Konfiguracja na portach dostępowych – w punktach A. Implementacja odpowiedniego mapowania ruchu klienckiego do klas zdefiniowanych wewnątrz sieci szkieletowej. Ruch będzie mógł być odpowiednio ograniczany na wejściu zgodnie ze skonfigurowaną polityką QoS Policing. W tym miejscu będzie realizowana: Klasyfikacja ruchu do odpowiednich klas, Policing ruchu do wartości odpowiadającej umowie z Klientem. Poza klasyfikacją i ograniczeniem ruchu wejściowego będzie można również zaimplementować techniki ograniczania zatorów oraz zarządzanie tymi zatorami. Funkcjonalności te będą skonfigurowane na portach w pkt. B przełączników dostępowych i dystrybucyjnych. Ze względu na specyfikę rozwiązania sprzętowego może zostać tu zastosowany algorytm kolejkowania PQ+WRR. Oznacza to, że jedna kolejka jest priorytetowa, a pozostałe mają przydzielone określone procentowo pasmo na interfejsie. Domyślnie przełącznik mapuje ruch do predefiniowanych wewnętrznych kolejek. Numerom tych kolejek są następnie przypisywane odpowiednie wagi. Polityki QoS wraz z kolejkami będą ustawiane w kierunku „out” interfejsów. 9.9.3 Mechanizmy QoS w warstwie rdzeniowej Na przełącznikach szkieletowych – punkt C – powinny być zaimplementowane następujące elementy: Wejściowe ograniczenie ruchu do określonej wartości, Wyjściowe ograniczenie ruchu do określonej wartości – mechanizm PQ+DRR (Deficit Round Robin, ulepszona wersja mechanizmu Weighted Round Robin) Na połączeniach pomiędzy przełącznikami szkieletowymi – punkt D – powinny być zaimplementowane następujące elementy: Wejściowe ograniczenie ruchu do określonej wartości Wyjściowe ograniczenie ruchu do określonej wartości w zależności od kolejki Wyjściowe ograniczenie ruchu do określonej wartości – mechanizm PQ+DRR 9.10 Konfiguracja protokołów typu IP Services 9.10.1 Konfiguracja protokołu SNMP Wszystkie przełączniki będą posiadały skonfigurowany protokół SNMP w następujący sposób: Wersja SNMP: v3, Poziom bezpieczeństwa: authPriv o Autentykacja: HMAC-SHA, o Szyfracja: AES256, Adres stacji zarządzającej: 172.16.254.254, Jako interfejs źródłowy dla Trapów SNMP użyty będzie Loopback 254 lub interfejs VLAN (przełączniki dostępowe). 9.10.2 Logowanie zdarzeń Wszystkie przełączniki będą posiadały skonfigurowany protokół SYSLOG, za pomocą którego będą wysyłać zdarzenia systemowe do zdalnego serwera SYSLOG o adresie 172.16.254.254. 9.10.3 Konfiguracja AAA Na każdym przełączniku będzie skonfigurowany użytkownik o nazwie admin, który będzie posiadał hasło, oraz najwyższy poziom administracyjny. Konfiguracja przełączników w zakresie AAA będzie uwzględniać takie elementy jak: Wyłączenie usługi TELNET, Wyłączenie usługi HTTP i HTTPS, Włączenie usługi SSH, Objęcie mechanizmem AAA wszystkich kanałów komunikacyjnych (konsola, port AUX, telnet, WWW, ssh, itd.), Możliwość uruchomienia zdalnej autentykacji w oparciu o serwer RADIUS lub TACACS. 9.10.4 Synchronizacja czasu Synchronizacja czasu na urządzeniach będzie realizowana poprzez NTP. Źródłem czasu będzie serwer zarządzający o adresie 172.16.254.254. 9.10.5 Konfiguracja protokołu Spanning-Tree Mechanizmy STP będą skonfigurowane w trybie RSTP. Protokół STP będzie używany głównie na brzegu sieci, tzn. na przełącznikach dostępowych, w VLANach portów klienckich (w takiej konfiguracji przełącznik dostępowy zostanie skonfigurowany jako Root STP z priorytetem 0). Na przełącznikach dystrybucyjnych, STP będzie wyłączone. Oznacza to, że VLANy rozciągane od portu Klienta do przełącznika dystrybucyjnego są tam terminowane w L3 – zarówno dla L3VPNów jak i L2VPNów. Dążymy tutaj zatem do tego, aby każdy Klient miał swój dedykowany nr VLANu. Ograniczenie zasięgu STP wpływa na stabilność sieci – przeliczenia drzewa STP nie powodują wzrostu obciążenia procesora na większej ilości urządzeń. Na urządzeniach dostępowych może zostać dodatkowo użyty mechanizm (na portach użytkowników) BPDU protection – funkcjonalność pozwalająca zamknąć port na którym pojawiają się ramki BPDU pochodzące od Klientów sieci. Konfiguracja ta nie może być użyta dla Klientów sieci, którzy są podłączeni do jednego L2VPNu oraz dodatkowo mają własne połączenie pracujące w L2. W takim wypadku wskazane jest wykorzystanie STP. 9.10.6 LLDP Na urządzeniach zostanie włączony mechanizm LLDP umożliwiający rozpoznawanie sąsiednich urządzeń podłączonych do portów i ułatwiający diagnostykę połączeń. 9.10.7 Mechanizmy zabezpieczeń W niniejszym rozdziale zostaną przedstawione proponowane konfiguracja zabezpieczeń przed atakami L2. MAC Flooding – przed tymi atakami chroni funkcjonalność port-security. Określa się tu maksymalną liczbę adresów MAC, jakie mogą pojawić się na porcie i które będą zajmować tablice MAC. Po przekroczeniu tej liczby port może zostać zamknięty. Zabezpieczenie to będzie włączane na przełącznikach dostępowych. ARP Attack – przed tymi atakami zostanie zastosowana funkcjonalność ARP ratelimiting, ograniczająca liczbę pakietów ARP, które przez urządzenie są analizowane, rate-limiting dla pakietów ARP Miss, gratuitous ARP packet discarding, ARP strict learning, ARP gateway anti-collision. Zabezpieczenia te włącza się na przełącznikach dystrybucyjnych – tam, gdzie klienci sieci mają skonfigurowaną swoją domyślną bramkę. Mac Duplication – z uwagi na charakter sieci (oparta na przełącznikach), w wypadku duplikacji MAC adresu, tablice MAC będą przełączały odpowiedni wpis pomiędzy portami, co prowadzi do komunikatów o flappowaniu adresu MAC. Atak ten jest bardziej charakterystyczny dla sieci WiFi. W przypadku przełączników, w szczególnym przypadku można wyłączyć uczenie się adresów MAC i skonfigurować adres MAC statycznie. STP attack – poza szczególnymi przypadkami, na porcie przełącznika dostępowego skonfigurowana zostanie funkcjonalność BPDU protection, zamykająca port w przypadku pojawienia się tam ramek BPDU, lub STP Root Guard. Layer 2 Port Authentication – uwierzytelnienie użytkownika na porcie możliwe jest do wykonania na przełącznikach dostępowych, z wykorzystaniem 802.1x. Należy jednak wziąć pod uwagę, że potrzebne są do tego min. następujące elementy: o Skonfigurowany klient na podłączanym do sieci urządzeniu o Centralna baza użytkowników w RADIUS, ze skonfigurowanymi użytkownikami dla wszystkich chcących się podłączyć do sieci użytkowników (oraz hasłami) o Port na urządzeniu dostępowym dedykowany dla pojedynczego urządzenia. o Odpowiednia konfiguracja ww. elementów. Konfiguracja taka jest możliwa, jednakże w związku z wieloma przypadkami wynikającymi ze specyfiki sieci – np. jednostki samorządowe podłączają się do sieci za pośrednictwem jednego urządzenia – routera lub dodatkowego przełącznika, nie będzie możliwości jej zaimplementowania. 10 Segment dostępu do Internetu 10.1 Architektura segmentu internetowego Realizacja dostępu do Internetu, będzie odbywać się poprzez firewall i router brzegowy. Połączenie pomiędzy przełącznikiem rdzeniowym, firewallem a router brzegowym będą zrealizowane za pomocą podwójnych, redundantnych połączeń. Niniejszy rozdział zawiera propozycję architektury podłączenia do Internetu wykorzystaniem powyższego sprzętu. Opiera się on na następujących założeniach: z Dostęp do Internetu realizowany jest w globalnej tablicy routingu routera brzegowego, Dostęp użytkowników z sieci L3VPN lub VPLS do Internetu może być zrealizowany z wykorzystaniem translacji adresowej, Router brzegowy będzie umożliwiał połączenie z minimum dwoma dostawcami Internetu ISP, oraz będzie umożliwiał zestawienie sesji BGP i przyjęcie pełnej internetowej tablicy routingu, Istnieje możliwość zestawiania sesji eBGP z routerami Klientów sieci gminnej, Router Internetowy będzie podawał do eBGP prefiksy uzyskane dla lokalnego ASa. Z punktu widzenia struktury MPLS, firewall będzie urządzeniem CE. Router brzegowy zestawi sesje eBGP z zewnętrznymi dostawcami ISP. Internetowa tablica routingu BGP, będzie zlokalizowana w tablicy globalnej, z uwagi na minimalizację wymagań zasobów (pamięć). Router będzie miały skonfigurowaną możliwość podawania do Internetu tylko prefiksów lokalnych (tak aby nie stać się Internetowym routerem tranzytowym). Podawanie tych prefiksów będzie realizowane z wykorzystaniem statycznej trasy do prefiksu skierowanej na Null 0 oraz komendy network w konfiguracji BGP. Wysyłanie tras do zewnętrznych ISP zabezpieczone będzie dodatkowo prefix-listą. Dla połączeń do zewnętrznych ISP, może zostać skonfigurowane ebgp-multihop w przypadku połączenia przez zaporę ogniową warstwy trzeciej, lub peering BGP z routerem nie leżącym na bezpośrednim połączeniu. Router brzegowy będzie niezależnie od siebie pobierać trasy z eBGP i wysyłać prefiksy do Internetu, a wybór optymalnej będzie sterowany parametrami local preference – dla ruchu wychodzącego i as-path dla ruchu przychodzącego. Rdzeniowe przełączniki sieci MPLS i interfejsy VLAN podłączone do nich (interfejsy SVI) będą w wypadku konieczności uzyskania dostępu do Internetu z wykorzystaniem tablicy globalnej uzyskiwać sieć domyślną, generowaną na routerze brzegowym. 10.2 Parametryzacja protokołu BGP na routerach internetowych Konfiguracja BGP będzie zawierała następujące, elementy parametryzacji: Uniknięcie zerwania sąsiedztwa BGP z bezpośrednio połączonym sąsiadem eBGP w przypadku „flapu” interfejsu. Zwiększa to stabilność pracy sesji BGP. (Opcjonalnie) Ograniczenie do 10 ilości ASów w ścieżce, dla prefiksów otrzymywanych z Internetu. Zabezpiecza to pamięć urządzenia przed uzyskiwaniem dróg o nadmiernie rozbudowanej ścieżce. Wyłączenie negocjacji wersji protokołu BGP, w celu przyspieszenia zestawiania sesji BGP Założenie domyślnej reguły filtrującej prefiksy od zewnętrznych ISP, które nie powinny pojawić się w Internecie w BGP (RFC 1918 i RFC 5735) oraz sieci niezaalokowane, a także prefiksy o długości większej niż 27 bitów. Założenie domyślnej reguły filtrującej prefiksy wysyłane do zewnętrznych ISP. Wysyłamy tylko lokalny prefiks. (Opcjonalnie) Skonfigurowanie maksymalnej ilości prefiksów, jakie mogą nadejść od sąsiada eBGP wraz z ostrzeżeniem w momencie uzyskania 50% tej ilości. Zabezpieczenie przed próbami podłączenia się do sesji BGP od innych adresów niż znani sąsiedzi BGP. Może to być zrealizowane na firewallu lub na routerze na interfejsie L3 w kierunku routera eBGP. (Opcjonalnie) Włączenie usuwania prywatnych numerów AS z atrybutu AS-path otrzymywanego od sąsiadów eBGP. 10.3 Konfiguracja zabezpieczeń na zaporze ogniowej UTM Jako mechanizm zabezpieczeń na styku do sieci Internet, zostanie wykorzystane urządzenie klasy UTM z funkcjonalnością: Firewaling, IPS - Intrusion Prevention System, WebFiltering, AntiVirus, Dostęp do sieci Internet dla klientów ulokowanych w instancjach L3VPN będzie realizowany za pomocą dedykowanych VLANów stworzonych pomiędzy firewallem a przełącznikiem rdzeniowym. Każda z instancji L3VPN będzie przypisana do jednego VLANu w segmencie internetowym. Na przełączniku rdzeniowym, stworzone interfejsy L3 dla poszczególnych VLANów będą umieszczone w odpowiednich VRF’ach, reprezentujących instancje L3VPN. Te same VLANy będą terminowane na firewallu jako wirtualne interfejsy VLAN L3. Jeżeli użytkownicy danej sieci L3VPN będą używali adresacji prywatnej, konieczna będzie dla nich translacja NAT, gdzie zakres używanych adresów prywatnych będzie zamieniany na jeden lub więcej przydzielonych dla danego klienta adresów publicznych. Dokładna konfiguracja polityk filtracji ruchu oraz translacji NAT dla stref klienckich będzie zależała od wymagań konkretnego klienta i zostanie opracowana przed uruchomieniem usług dla danego klienta. 11 Zarządzanie siecią Do realizacji podstawowych funkcji zarządzania i monitoringu siecią zakłada się wykorzystanie dedykowanego pakietu oprogramowania. Należy skonfigurować minimum następujące funkcjonalności: Wykrycie i dodanie wszystkich urządzeń sieciowych do bazy danych aplikacji zarządzającej, Inwentaryzacja urządzeń, modułów, portów, wersji firmware’ów, Włączenie odbierania trapów SNMP i informacji SYSLOG, Włączenie generowania alarmów na podstawie otrzymywanych trapów SNMP i innych zdarzeń sieciowych (na przykład aplikacja powinna wygenerować alarm, gdy sama stwierdzi, że dany element, mechanizm, czy protokół sieciowy zmienił ststaus swojej pracy), Włączenie diagnostyki błędów w sieci, Włączenie badania utylizacji zasobów na poszczególnych urządzeniach: obciążenie ruchem portów i interfejsów, utylizacja CPU i wykorzystania pomięci operacyjnej urządzeń, Wizualizacja topologii sieci w L2 i L3, Automatyczny proces tworzenia kopii zapasowych konfiguracji urządzeń, Raportami i audytami dotyczącymi zmian w sieci,