Projekt sieci MPLS „Budowa infrastruktury Internetu

Transkrypt

Projekt sieci MPLS
w ramach projektu
„Budowa infrastruktury Internetu
szerokopasmowego na terenie
gminy Lubraniec.”
Opracował:
Jacek Suty
1 Historia zmian
Autor
BIPS
Data
ukończenia
06.03.2015
Opis zmian
Przekazany do akceptacji
Wersja
1.0
Status
W akceptacji
2 Spis treści
1
Historia zmian .................................................................................................................................. 3
2
Spis treści ......................................................................................................................................... 4
3
Spis tabel ......................................................................................................................................... 6
4
Spis rysunków .................................................................................................................................. 6
5
Wprowadzenie ................................................................................................................................ 7
5.1
Cele projektu ........................................................................................................................... 7
5.2
Kluczowe założenia projektu ................................................................................................... 7
6
Słownik pojęć................................................................................................................................... 7
7
Minimalne wymagania sprzętowe i oprogramowania .................................................................... 8
7.1
Router brzegowy – 1 komplet ................................................................................................. 8
7.2
Przełącznik agregacyjny – 1 komplet..................................................................................... 10
7.3
Przełącznik dystrybucyjny – 3 komplety................................................................................ 12
7.4
Przełącznik dostępowy – 7 kompletów ................................................................................. 14
7.5
Zapora ogniowa – 1 komplet: składający się z dwóch zapór ogniowych działających w
klastrze HA ......................................................................................................................................... 16
7.6
System do monitoringu i zarządzania siecią – 1 komplet: składający się z fizycznego
serwera, systemu operacyjnego oraz dedykowanej aplikacji do monitoringu i zarządzania siecią.. 20
7.7
8
9
Wymagania wyposarzenia CPD i SOR .................................................................................... 23
7.7.1
Szafa serwerownia – szt.1 ............................................................................................. 24
7.7.2
UPS serwerownia – szt. 2 .............................................................................................. 24
7.7.3
Szafa punkt masztowy – szt. 6 ....................................................................................... 25
7.7.4
UPS punkt masztowy – szt. 6 ......................................................................................... 25
Warstwa fizyczna sieci ................................................................................................................... 27
8.1
Topologia sieci ....................................................................................................................... 27
8.2
Przypisanie portów fizycznych............................................................................................... 28
Elementy logiczne sieci.................................................................................................................. 28
9.1
Koncepcja działania sieci ....................................................................................................... 28
9.1.1
Usługa VPLS ................................................................................................................... 28
9.1.2
Usługa L3VPN ................................................................................................................ 29
9.2
Nazewnictwo urządzeń ......................................................................................................... 29
9.3
Adresacja IP ........................................................................................................................... 30
9.3.1
Adresacja IP dla protokołu Loopback 255 ..................................................................... 31
9.3.2
Adresacja IP sieci zarządzającej ..................................................................................... 31
9.3.3
Adresacja połączeń punkt-punkt ................................................................................... 32
9.4
Routing IGP ............................................................................................................................ 34
9.4.1
Adresacja IS-IS ............................................................................................................... 34
9.4.2
Metryka IS-IS.................................................................................................................. 35
9.4.3
Parametryzacja protokołu IS-IS ..................................................................................... 36
9.5
Routing BGP ........................................................................................................................... 36
9.5.1
9.6
Parametryzacja protokołu BGP ..................................................................................... 36
Konfiguracja protokołu MPLS ................................................................................................ 36
9.6.1
Konfiguracja MTU na interfejsach przełączników ......................................................... 37
9.6.2
Protokół LDP .................................................................................................................. 37
9.6.3
Synchronizacja protokołu IGP i LDP............................................................................... 37
9.7
Konfiguracja VLANów ............................................................................................................ 38
9.8
Sieci L3VPN ............................................................................................................................ 38
9.9
Mechanizmy QoS ................................................................................................................... 39
9.9.1
Implementacja mechanizmów QoS ............................................................................... 39
9.9.2
Mechanizmy QoS w warstwie dostępowej i dystrybucyjnej ......................................... 39
9.9.3
Mechanizmy QoS w warstwie rdzeniowej..................................................................... 40
9.10
Konfiguracja protokołów typu IP Services............................................................................. 40
9.10.1
Konfiguracja protokołu SNMP ....................................................................................... 40
9.10.2
Logowanie zdarzeń ........................................................................................................ 40
9.10.3
Konfiguracja AAA ........................................................................................................... 40
9.10.4
Synchronizacja czasu ..................................................................................................... 41
9.10.5
Konfiguracja protokołu Spanning-Tree ......................................................................... 41
9.10.6
LLDP ............................................................................................................................... 41
9.10.7
Mechanizmy zabezpieczeń ............................................................................................ 41
10
Segment dostępu do Internetu ................................................................................................. 42
10.1
Architektura segmentu internetowego ................................................................................. 42
10.2
Parametryzacja protokołu BGP na routerach internetowych ............................................... 43
10.3
Konfiguracja zabezpieczeń na zaporze ogniowej UTM ......................................................... 43
11
Zarządzanie siecią ...................................................................................................................... 44
3 Spis tabel
Tabela 1 - Nazewnictwo urządzeń sieciowych ...................................................................................... 29
Tabela 3 - Adresacja IP interfejsów Loopback 255 ................................................................................ 31
Tabela 4 - Adresacja IP sieci zarządzającej ............................................................................................ 31
Tabela 5 - Adresacja IP połączeń punkt-punkt ...................................................................................... 32
Tabela 6 - Konfiguracja VLANów ........................................................................................................... 38
4 Spis rysunków
Rysunek 1 - Topologia fizyczna sieci miejskiej ....................................................................................... 27
Rysunek 2 - Topologia sieci w ujęciu L3................................................................................................. 33
Rysunek 4 - Obszary konfiguracji QoS ................................................................................................... 39
5 Wprowadzenie
W dokumentacji przedstawiono wszystkie istotne elementy systemu, związane z budową oraz
konfiguracją sieci szerokopasmowej dla gminy Lubraniec. W kolejnych rozdziałach
przedstawiono elementy struktury sieci szkieletowej MPLS, sieci dostępowych LAN,
zarządzania i monitoringu siecią oraz zagadnień związanych z dostępem do Internetu.
5.1 Cele projektu
Główne cele projektu to:
Budowa szerokopasmowej sieci w celu przenoszenia ruchu użytkowników pomiędzy
jednostkami samorządowymi Urzędu gminy Lubraniec,
Realizacja dostępu do Internetu dla jednostek samorządowych – np. szkół,
Możliwość realizacji przyłączania użytkowników komercyjnych i mieszkańców do
sieci i do Internetu,
Realizacja połączeń do innych elementów sieci, takich jak telefonia VoIP, kamery
monitoringu gminnego, czy punkty dostępowe sieci WLAN.
5.2 Kluczowe założenia projektu
Powyższe cele zostaną osiągnięte poprzez:
Zbudowanie sieci, opartej w warstwie rdzeniowej o protokół MPLS,
Zastosowanie urządzeń pozwalających na szybką konwergencję sieci pracującej z
wykorzystaniem odpowiednich mechanizmów redundancji,
Wdrożenie mechanizmów w urządzeniach pozwalających na zapewnienie jakości
usług,
Wprowadzenie narzędzi zarządzania i monitoringu siecią.
6 Słownik pojęć
OSI – Siedmio-warstwowy, otwarty model sieci informatycznej, służący do opisu
współzależności oraz funkcji mechanizmów i protokołów sieciowych,
L2 – Oznaczenie mechanizmów i protokołów sieciowych działających na poziomie
warstwy drugiej modelu OSI,
L3 - Oznaczenie mechanizmów i protokołów sieciowych działających na poziomie
warstwy trzeciej modelu OSI (tu odnosi się do sieci opartej o protokół IP),
GE – określenie technologii GigabitEthernet (funkcjonalność warstwy drugiej modelu
OSI) wykorzystywanej do realizacji sieci lokalnych o szybkości transmisji równej
1Gb/s. Kolejne wartości: 10GE, 40GE i 100GE będą oznaczały technologie Ethernet o
odpowiednich prędkościach,
GEC (Gigabit Ether Channel) - określenie technologii łączenie wielu fizycznych
połączeń GE w jedno połączenie logiczne, w celu uzyskania większej szybkości
transmisji. Kolejne wartości: 10GEC, 40GEC będą oznaczały połączenia agregowane
interfejsów o prędkościach, odpowiednio 10GE i 40GE,
VLAN – określenie technologii umożliwiającej segmentację sieci lokalnej na
odseparowane od siebie (na poziomie warstwy drugiej modelu OSI) mniejsze
wirtualne sieci lokalne,
LAN – określenie sieci lokalnej (ang. Local Area Network),
MAN – określenie sieci metropolitalnej (ang. Metropolitan Area Network),
STP (RSTP/MSTP) – określenie mechanizmu wykorzystywanego na poziomie
warstwy drugiej (w technologii Ethernet, GigabitEthernet I FastEthernet), służącego
do wykrywania i usuwania pętli w połączeniach sieci lokalnych, blokujących pracę
sieci. Stosowany w sieciach o nadmiarowych połączeniach,
Trunk – połączenie pomiędzy przełącznikami umożliwiające przesyłanie ramek
należących do różnych sieci VLAN i opatrzonych odpowiednimi nagłówkami,
Przełącznik dostępowy CE/CPE (Customer Egde/Customer Permises Equipment) –
Przełącznik, koncentrujący ruch od użytkowników końcowych,
Przełącznik dystrybucyjny PE (Provider Edge) – Przełącznik koncentrujący
połączenia sieciowe pomiędzy warstwą dostępową a rdzeniową.
Przełącznik rdzeniowy P (Provider core) – Przełącznik do którego dochodzą
połączenia z dołączników dystrybucyjnych, realizujący dodatkowo inne funkcje.
Sieć “connected” – Podsieć IP przypisana do fizycznego lub logicznego interfejsu
routera lub przełącznika.
DNS – (ang. Domain Name System) protokół umożliwiający rozwiązywanie nazw na
adresy IP.
NTP – (ang. Network Time Protocol) protokół umożliwiający synchronizację czasu na
urządzeńach w sieci.
Syslog – usługa umożliwiająca wysyłanie komunikatów diagnostycznych z urządzeń i
gromadzenie ich na centralnym serwerze.
RIPE – Organizacja zarządzająca adresacją IP oraz numerami systemów
autonomicznych AS w skali całego świata.
DMZ – (ang. Demilitarized Zone) – strefa lokowania serwerów i systemów
udostepnianych w Internecie lub sieciach Intranet/Extranet.
MPLS – Multiple Protocol Label Switching,
VSI – Virtual Switch Instance – jest to mechanizm wirtualizujący sieć operatorską
MPLS na poziomie funkcjonalności L2, czyli bridgingu/switchingu.
PW – PseudoWires – wirtualne połączenie kreowane w szkielecie MPLS, używane do
transmisji danych pomiędzy dwoma urządzeniami PE,
VC – Virtual Circuit – Logiczne, jednokierunkowe połączenie pomiędzy dwoma
urządzeniami PE. Komplet dwóch VC o przeciwnych kierunkach tworzą jedno pełen
połączenie PW,
AC – Attached Circuit – połączenie pomiędzy CE i PE,
7 Minimalne wymagania sprzętowe i oprogramowania
7.1 Router brzegowy – 1 komplet
Architektura sprzętowa
Proponowany router musi zapewniać mechanizm redundancji dla procesora
routującego (ang. „route processor”). Podczas jakiejkolwiek awarii podstawowego
procesora routującego wymaga się aby zapasowy procesor routujący przejął wszystkie
funkcje w sposób całkowicie automatyczny bez manualnej interwencji z
jednoczesnym wsparciem mechanizmu „graceful restart extensions”.
Urządzenie musi zapewniać wydajność przełączania matrycy na poziomie minimum
360Gbps.
Urządzenie musi zapewniać wydajność przełączania pakietów na poziomie minimum
225Mpps
Urządzenie musi być wyposażone w minimum dwie procesory routujące.
Urządzenie musi mieć budowę modularna, pozwalającą na instalację minimum 3
modułów sieciowych w slotach o przepustowości minimum 80Gbps (full-duplex) do
matrycy przełączającej.
Urządzenie musi być wyposażone w minimum dwa interfejsy 10GigabitEthernet ze
stykiem definiowanym przez moduły X2, XFP lub SFP+
Urządzenie musi być wyposażone w minimum 24 interfejsy 1GigabitEthernet ze
stykiem definiowanym przez moduły SFP
Należy zapewnić minimum cztery porty o przepływności 1 GigabitEthernet ze
stykiem RJ-45,
Karta lub karty liniowe, na której będą znajdowały się porty ethernet musi wspierać
minimum 128 tysięcy kolejek.
Urządzenie musi zostać wyposażone w minimum 2 zasilacze 230V AC
Parametry techniczne przełączania i routowania.
Rozmiar tablicy przełączania FIB dla IPv4 – 3 Miliony
Rozmiar tablicy przełączania FIB dla Ipv6 – 1 Milion
Urządzenie musi wspierać minimum 5- poziomowy HQoS zarówno w kierunku
ingress jak i egress
Urządzenie musi wspierać minimum 100 instancji VRF
Urządzenie musi wspierać ruch unicast oraz multicast zarówno dla protokołu IPv4 jak
I IPv6. Jednocześnie musi wpierać ruch MPLS (funkcjonalność P oraz PE) I
następujące protokoły IGP:
o OSPF and ISIS w IPv4
o ISIS and OSPFv3 w IPv6
o LDP targeted LDP i RSVP w MPLS
o PIM -SM, PIM-SSM dla ruchu multicast,
Urządzenie musi wspierać protokół BGP i MP BGP.
Proponowany router musi wspierać 4 typy sąsiedztwa możliwe do nawiązania przez
protokół OSPF takie jak: Broadcast, NBMA, P2P and P2MPThe proposed router shall
support OSPF MD5 authentication and IS-IS MD5 authentication
MPLS
Urządzenie musi wspierać protokół LDP na wszystkich kartach liniowych.
Urządzenie musi wspierać protokół MPLS/BGP VPN zgodnie z RFC2547.
Urządzenie musi wspierać protokół MPLS/BGP VPN z wykorzystaniem protokołu
OSPF jako protokół routing PE-CE.
eBGP jako protokół routing PE-CE.
iBGP jako protokół routing PE-CE.
Obsługa BFD dla MPLS LSP
Obsługa Graceful Restart dla LDP zgodnie z RFC 3478
Obsługa Graceful Restart dla MPLS/BGP VPN
Obsługa Inter-AS MPLS/BGP VPN zgodnie z RFC RFC2547bis option C
Obsługa MPLS TE z użyciem RSVP jako protokołu sygnalizacyjnego.
Obsługa protokołów synchronizacji czasu (SyncE, PTP-Precision Time Prococol,
BITS, GNSS).
Funkcje QoS: kreowanie klas ruchu w oparciu o access control lists (ACLs), IEEE
802.1p precedence, IP, DSCP oraz Type of Service (ToS) precedence; It shall be
possible to remark the 802.1p field, DSCP field, IP Precedence field or MPLS EXP
field of an IP/MPLS/Ethernet datagram before it enters an egress queue.
Zarządzanie
Urządzenie musi być w pełni zarządzalne lokalnie ( poprzez dedykowany port konsoli
lub dedykowany port zarządzający) lub zdalnie (poprzez bezpieczny protokół taki jak
np SSH)
Obsługa SNMPv1, v2, and v3, pakiety typu flow
Urządzenie musi zapewniać podstawowe narzędzia do diagnostyki I wygrywania
uszkodzeń w sieci (OAM) – na przykład ping, traceroute
Obsługa ACL (list kontorli dostępu) typu time range.
Obsługa protokołu NTP zgodnie z RFC1305
Obsługa protokołu Radius dla zdalnego uwierzytelniania.
Obsługa IP SLA (opoźnienie, strata pakietów, jitter)
Gwarancja
Zamawiający wymaga, aby przełączniki posiadały 3-letni serwis gwarancyjny.
Wymiana uszkodzonego elementu w trybie 8x5xNBD. Możliwość zgłaszania
problemów 24h/7. Okres gwarancji liczony będzie od daty sporządzenia protokołu
zdawczo-odbiorczego przedmiotu zamówienia
7.2 Przełącznik agregacyjny – 1 komplet
Architektura sprzętowa
Urządzenie fabrycznie nowe, nieużywane
Obudowa modularna przeznaczona do montażu w szafie 19”. Wysokość obudowy nie
większa niż 6 RU posiadająca minimum 3 sloty na karty liniowe
Urządzenie wyposażone w 2 karty zarządzające działające redundantnie. Awaria
jednej karty zarządzającej nie może powodować spadku wydajności urządzenia
Przełącznik musi zostać wyposażony w min. 48 porty Gigabit Ethernet
10/100/1000Base-T,
Wymagane jest aby wszystkie powyższe porty mogły działać jednocześnie oraz aby
karty z tymi portami posiadały przełączanie lokalne (rozproszona architektura
przełączania)
Wymagane jest zapewnienie min. jednego dodatkowego wolnego slotu na kartę
liniową celem przyszłej rozbudowy
Przepustowość od karty interfejsów do matrycy przełączającej min. 120 Gb/s per slot
(unidirectional)
Wydajność przełączania matrycy min. 720Gb/s
Przełącznik wyposażony w 2 niezależne zasilacze 230VAC, każdy o mocy minimum
800W.
Możliwość wymiany zasilaczy i wentylatora w trakcie pracy urządzenia bez wpływu
na jego działanie
Przełączanie w warstwie drugiej i trzeciej modeli ISO/OSI.
Port konsoli - szeregowy RS-232
Port 10/100M do zarządzania poza pasmem
Możliwość zainstalowania kart liniowych wspierających standard PoE 802.3at i
802.3af
Funkcje warstwy 2
GARP VLAN Registration Protocol (GVRP)
Rozmiar tablicy MAC min. 32 000 adresów
4094 sieci VLAN
IEEE 802.1ad QinQ i Selective QinQ
Agregacja portów statyczna i przy pomocy protokołu LACP
Spanning Tree: MSTP 802.1s, RSTP 802.1w, STP Root Guard
64 instancje MSTP 802.1s
Funkcje warstwy 3
routing IPv4 z prędkością łącza,
wsparcie dla routingu IPv4: statycznego , RIP i RIPv2, OSPF, IS-IS i BGP
routing IPv6 z prędkością łącza,
możliwość licencyjnego rozszerzenia funkcjonalności o wsparcie dla routingu IPv6:
statycznego, RIPng, OSPFv3, IS-ISv6 i BGP4+
Rozmiar tablic przełączania FIB dla IPv4 na kartach zarządzających i na każdej karcie
liniowej oddzielnie: min. 8 000 wpisów
Rozmiar tablic przełączania FIB dla IPv6 na kartach zarządzających i na każdej karcie
liniowej oddzielnie: min. 4 000 wpisów
Bidirectional Forwarding Detection dla OSPF, BGP, IS-IS, VRRP, MPLS
Virtual Router Redundancy Protocol (VRRP)
Policy-based routing
Obsługa protokołu MPLS i funkcjonalności MPLS L3VPN oraz MPLS TE. Jeżeli do
obsługi powyższych funkcjonalności MPLS wymagana jest licencja to należy ją
dostarczyć w ramach niniejszego postępowania. Obsługa minimum 1000 instancji
VRF
IGMPv1, v2, and v3
PIM-SSM, PIM-DM i PIM-SM
Bezpieczeństwo
Zaawansowany mechanizm kolejkowania procesora zapobiegający atakom DoS
DHCP snooping
RADIUS
Secure Shell (SSHv2)
IEEE 802.1X– dynamiczne dostarczanie polityk QoS, ACLs i sieci VLANs:
zezwalające na nadzór nad dostępem użytkownika do sieci
Guest VLAN
Port isolation
Port security: zezwalający na dostęp tylko specyficznym adresom MAC
MAC-based authentication
IP source guard
URPF
Quality of Service (QoS)
Funkcje QoS: kreowanie klas ruchu w oparciu o access control lists (ACLs), IEEE
802.1p precedence, IP, DSCP oraz Type of Service (ToS) precedence;
Wsparcie dla następujących metod zapobiegania zatorom: priority queuing, weighted
round robin (WRR), weighted random early discard (WRED)
Min. 8 kolejek wyjściowych na każdy port Ethernet kart liniowych przełącznika, z
możliwością ich konfigurowania przez użytkownika (m.in. definiowanie algorytmu
kolejkowania, przypisania poszczególnych klas ruchu do danej kolejki).
Monitoring i diagnostyka
Port mirroring
OAM (802.3ah) i CFD (802.1ag): wykrywanie problemów na łączu pomiędzy
urządzeniami
Zarządzanie
Zdalna konfiguracja i zarządzanie przez Web (https) oraz linię komend (CLI)
IEEE 802.1ab LLDP
Usługi DHCP: serwer (RFC 2131), klient i relay
SNMPv1, v2c, and v3
Syslog
Wymagania dodatkowe
Urządzenie musi być fabrycznie nowe i nieużywane wcześniej w żadnych projektach,
wyprodukowane nie wcześniej niż 6 miesięcy przed dostawą i nieużywane przed
dniem dostarczenia z wyłączeniem używania niezbędnego dla przeprowadzenia testu
ich poprawnej pracy.
Urządzenia muszą pochodzić z autoryzowanego kanału dystrybucji producenta
przeznaczonego na teren Unii Europejskiej, a korzystanie przez Zamawiającego z
dostarczonego produktu nie może stanowić naruszenia majątkowych praw autorskich
osób trzecich. Zamawiający wymaga dostarczenia wraz z urządzeniami oświadczenia
przedstawiciela producenta potwierdzającego ważność uprawnień gwarancyjnych na
terenie Polski
Możliwość aktualizacji oprogramowania minimum przez okres trwania serwisu
gwarancyjnego urządzenia
Zamawiający wymaga, aby przełącznik posiadały 3-letni serwis gwarancyjny.
7.3 Przełącznik dystrybucyjny – 3 komplety
Przełącznik musi być dedykowanym urządzeniem sieciowym przystosowanym do
montowania w szafie rack. Wraz z każdym przełącznikiem należy dostarczyć zestaw
montażowy umożliwiający instalację w szafie RACK
Wymagane parametry fizyczne:
o możliwość montażu w stelażu/szafie 19”,
o wysokość maksymalna 5U
o wewnętrzny zasilacz 230V AC oraz możliwość zastosowania drugiego
wewnętrznego zasilacza redundantnego (nie jest dopuszczalne rozwiązania
zewnętrzne).
Przełącznik musi posiadać:
o minimum 20 portów GigabitEthernet 10/100/1000Base-T (Auto-MDIX)
o minimum 4 porty 10GigabitEthernet ze stykiem SFP+. Porty 10G SFP+ muszą
umożliwiać pracę zarówno z modułami 10G jak i 1G
Urządzenie musi umożliwiać jednoczesne wykorzystanie minimum 36 portów. Jeżeli
do obsługi wymaganych portów potrzeba jest licencja to należy ją dostarczyć w
ramach niniejszego postępowania
Porty Gigabit Ethernet SFP muszą umożliwiać pracę z wkładkami SFP: 1000BASESX, 1000Base-LX, 1000Base-ZX, 1000Base-BX, CWDM.
Porty 10Gigabit Ethernet SFP+ muszą umożliwiać pracę z wkładkami:
o SFP+ w tym: 10GBase-LR, 10GBase-SR, 10GBase-ER
o SFP w tym: 1000Base-SX, 1000Base-LX
Przełącznik musi umożliwiać łączenie w stosy z zachowaniem następującej
funkcjonalności:
o Zarządzanie stosem poprzez jeden adres IP.
o Magistrala stackująca o wydajności min. 40Gb/s.
o Możliwość tworzenia połączeń link aggregation zgodnie z 802.3ad dla portów
należących do różnych jednostek w stosie (ang. cross-stack link aggregation).
o Stos przełączników powinien być widoczny w sieci jako jedno urządzenie
logiczne z punktu widzenia protokołu Spanning-Tree.
Matryca przełączająca o wydajności min. 200 Gbps, wydajność przełączania
przynajmniej 150 mpps.
Obsługa min. 16.000 adresów MAC.
Obsługa min. 1000 sieci VLAN jednocześnie oraz obsługa 802.1Q tunneling (QinQ),
Obsługa ramek jumbo o wielkości min. 9216 bajtów.
Wsparcie dla protokołów IEEE 802.1w Rapid Spanning Tree oraz IEEE 802.1s MultiInstance Spanning Tree. Wymagane wsparcie dla min. 64 instancji protokołu MSTP.
Obsługa min. 11 000 tras dla routingu IPv4.
Obsługa protokołów routingu OSPF, OSPFv3, IS-IS, BGPv4, PIM-SM, PIM-DM i
SSM.
Obsługa min. 26 wirtualnych tablic routingu-forwardingu (VRF).
Jeżeli do obsługi powyższych protokołów routingu wymagana jest licencja to należy
ją dostarczyć w ramach niniejszego postepowania.
Obsługa protokołu MPLS i funkcjonalności MPLS L3VPN oraz MPLS TE. Jeżeli do
obsługi powyższych funkcjonalności MPLS wymagana jest licencja to należy ją
dostarczyć w ramach niniejszego postępowania
Obsługa protokołu LDP
Obsługa funkcjonalności VPLS z minimalną obsługą 26 instancji
Obsługa protokołów LLDP i LLDP-MED.
Obsługa protokołu GVRP
Obsługa funkcjonalności UDLD bądź równoważnej
Obsługa funkcjonalności Layer2 ping i Layer2 traceroute
Przełącznik musi posiadać funkcjonalność DHCP Server.
Obsługa ruchu multicast – IGMP v1, v2 i v3.
Mechanizmy związane z zapewnieniem bezpieczeństwa sieci:
o min. 4 poziomy dostępu administracyjnego poprzez konsolę,
o autoryzacja użytkowników w oparciu o IEEE 802.1x z możliwością przydziału
VLANu oraz dynamicznego przypisania listy ACL,
o możliwość uwierzytelniania urządzeń na porcie w oparciu o adres MAC oraz
poprzez portal www,
o zarządzanie urządzeniem przez HTTPS, SNMPv2, SNMPv3 i SSHv2,
o możliwość filtrowania ruchu w oparciu o adresy MAC, IPv4, IPv6, porty
TCP/UDP,
o obsługa mechanizmów Port Security, Dynamic ARP Inspection, IP Source
Guard, voice VLAN oraz private VLAN (lub równoważny)
o możliwość synchronizacji czasu zgodnie z NTP.
Implementacja co najmniej czterech kolejek sprzętowych QoS na każdym porcie
wyjściowym z możliwością konfiguracji dla obsługi ruchu o różnych klasach:
o klasyfikacja ruchu do klas różnej jakości obsługi (QoS) poprzez wykorzystanie
następujących parametrów: źródłowy adres MAC, docelowy adres MAC,
źródłowy adres IP, docelowy adres IP, źródłowy port TCP, docelowy port
TCP,
o obsługa jednej z powyżej wspomnianych kolejek z bezwzględnym priorytetem
w stosunku do innych (Strict Priority).
Urządzenie musi posiadać mechanizm do badania jakości połączeń (IP SLA) z
możliwością badania takich parametrów jak: jitter, opóźnienie, straty pakietów dla
wygenerowanego strumienia testowego UDP. Urządzenie musi mieć możliwość pracy
jako generator oraz jako odbiornik pakietów testowych IP SLA. Urządzenie musi
umożliwiać konfigurację liczby wysyłanych pakietów UDP w ramach pojedynczej
próbki oraz odstępu czasowego pomiędzy kolejnymi wysyłanymi pakietami UDP w
ramach pojedynczej próbki. Jeżeli funkcjonalność IP SLA wymaga licencji to
Zamawiający wymaga jej dostarczenia w ramach niniejszego postępowania.
Wymagane opcje zarządzania:
o możliwość lokalnej i zdalnej obserwacji ruchu na określonym porcie,
polegająca na kopiowaniu pojawiających się na nim ramek i przesyłaniu ich do
urządzenia monitorującego przyłączonego do innego portu oraz poprzez
określony VLAN,
o plik konfiguracyjny urządzenia musi być możliwy do edycji w trybie off-line
(tzn. konieczna jest możliwość przeglądania i zmian konfiguracji w pliku
tekstowym na dowolnym urządzeniu PC),
o Urządzenie musi mieć wbudowaną pamięć flash o pojemności min. 64MB,
o dedykowany port konsoli oraz dedykowany port zarządzający Ethernet Out-ofband.
Wraz z urządzeniami muszą zostać dostarczone:
o pełna dokumentacja w języku polskim lub angielskim,
o dokumenty potwierdzające, że proponowane urządzenia posiadają wymagane
deklaracje zgodności z normami bezpieczeństwa (CE), lub oświadczenie, że
deklaracja nie jest wymagana.
terenie Polski.
7.4 Przełącznik dostępowy – 7 kompletów
Przełącznik musi być dedykowanym urządzeniem sieciowym przystosowanym do
montowania w szafie rack. Wraz z każdym przełącznikiem należy dostarczyć zestaw
montażowy umożliwiający instalację w szafie RACK
Wymagane parametry fizyczne:
o możliwość montażu w stelażu/szafie 19”,
o wysokość maksymalna 1U, głębokość nie większa niż 46 cm
o wewnętrzny zasilacz 230V AC oraz możliwość zastosowania zasilacza
redundantnego (dopuszczalne rozwiązania zewnętrzne).
o zakres temperatur pracy ciągłej co najmniej 0 – 45 °C
Przełącznik musi posiadać 48 portów Gigabit Ethernet 10/100/1000 RJ45 (AutoMDIX) oraz dodatkowe 4 interfejsy Gigabit Ethernet SFP. Przełącznik musi
umożliwiać jednoczesne wykorzystanie wszystkich 52 portów.
Porty Gigabit Ethernet SFP muszą umożliwiać pracę z wkładkami SFP: 1000BASESX, 1000Base-LX, 1000Base-ZX, 1000Base-BX, CWDM.
Matryca przełączająca o wydajności min. 104Gbps, wydajność przełączania
przynajmniej 75 mpps.
Obsługa min. 8000 adresów MAC
Obsługa min. 1000 sieci VLAN jednocześnie oraz obsługa 802.1Q tunneling (QinQ),
Obsługa ramek jumbo o wielkości min. 9216 bajtów.
Wsparcie dla protokołów IEEE 802.1w Rapid Spanning Tree oraz IEEE 802.1s MultiInstance Spanning Tree. Wymagane wsparcie dla min. 64 instancji protokołu MSTP.
Obsługa min. 16 statycznych tras dla routingu IPv4.
Obsługa min. 16 statycznych tras dla routingu IPv6.
Obsługa protokołów LLDP i LLDP-MED.
Przełącznik musi posiadać funkcjonalność DHCP Snooping oraz funkcjonalność
serwera DHCP
Obsługa ruchu multicast – IGMP Snooping v3 i MLD Snooping.
Obsługa protokołu GVRP
Obsługa funkcjonalności UDLD bądź równoważnej
Mechanizmy związane z zapewnieniem bezpieczeństwa sieci:
o min. 4 poziomy dostępu administracyjnego poprzez konsolę,
o możliwość obsługi min. 400 list kontroli dostępu (ACL) jednocześnie
o autoryzacja użytkowników w oparciu o IEEE 802.1x z możliwością przydziału
VLANu oraz dynamicznego przypisania listy ACL,
o możliwość uwierzytelniania urządzeń na porcie w oparciu o adres MAC,
o zarządzanie urządzeniem przez HTTPS, SNMP, SSH poprzez protokół IPv4 i
IPv6
o możliwość filtrowania ruchu w oparciu o adresy MAC, IPv4, IPv6, porty
TCP/UDP,
o obsługa mechanizmów Port Security, Dynamic ARP Inspection, IP Source
Guard, voice VLAN oraz private VLAN (lub równoważny)
o możliwość synchronizacji czasu zgodnie z NTP.
Implementacja co najmniej czterech kolejek sprzętowych QoS na każdym porcie
wyjściowym z możliwością konfiguracji dla obsługi ruchu o różnych klasach:
o klasyfikacja ruchu do klas różnej jakości obsługi (QoS) poprzez wykorzystanie
następujących parametrów: źródłowy adres MAC, docelowy adres MAC,
źródłowy adres IP, docelowy adres IP, źródłowy port TCP, docelowy port
TCP,
o obsługa jednej z powyżej wspomnianych kolejek z bezwzględnym priorytetem
w stosunku do innych (Strict Priority).
Możliwość ograniczania ruchu przychodzącego i wychodzącego na portach w
przedziale od 64kb/s do przepustowości maks. portu z granulacją 8 kb/s
Urządzenie musi posiadać mechanizm do badania jakości połączeń (IP SLA) z
możliwością badania takich parametrów jak: jitter, opóźnienie, straty pakietów dla
wygenerowanego strumienia testowego UDP. Urządzenie musi mieć możliwość pracy
jako generator oraz jako odbiornik pakietów testowych IP SLA. Urządzenie musi
umożliwiać konfigurację liczby wysyłanych pakietów UDP w ramach pojedynczej
próbki oraz odstępu czasowego pomiędzy kolejnymi wysyłanymi pakietami UDP w
ramach pojedynczej próbki. Jeżeli funkcjonalność IP SLA wymaga licencji to
Zamawiający wymaga jej dostarczenia w ramach niniejszego postępowania.
Wymagane opcje zarządzania:
o możliwość lokalnej i zdalnej obserwacji ruchu na określonym porcie,
polegająca na kopiowaniu pojawiających się na nim ramek i przesyłaniu ich do
urządzenia monitorującego przyłączonego do innego portu oraz poprzez
określony VLAN,
o plik konfiguracyjny urządzenia musi być możliwy do edycji w trybie off-line
(tzn. konieczna jest możliwość przeglądania i zmian konfiguracji w pliku
tekstowym na dowolnym urządzeniu PC),
o Urządzenie musi mieć wbudowaną pamięć flash o pojemności min. 128MB,
o dedykowany port konsoli USB.
Wraz z urządzeniami muszą zostać dostarczone:
o pełna dokumentacja w języku polskim lub angielskim,
o dokumenty potwierdzające, że proponowane urządzenia posiadają wymagane
deklaracje zgodności z normami bezpieczeństwa (CE), lub oświadczenie, że
deklaracja nie jest wymagana.
terenie Polski.
7.5 Zapora ogniowa – 1 komplet: składający się z dwóch zapór ogniowych
działających w klastrze HA
Wydajność firewalla – 12Gbps
Wydajność modułu IPS - 5Gbps
Ilość jednoczesnych połączeń –6 000 000
Ilość nowych połączeń na sekundę – 200 000
Wydajność VPN IPSec – 9Gbps
Ilość jednoczesnych tuneli IPsec – 10 000
Ilość tuneli SSL VPN – 3. Możliwość licencyjnego rozszerzenia do 2000.
Urządzenie wyposażone w minimum 2 wewnętrzne zasilacze 230V AC
Dedykowany system operacyjny firewalla opracowany przez producenta urządzenia.
Architektura systemu
- dedykowana platforma sprzętowa opracowana przez
producenta wykorzystującej wielordzeniową architekturę sprzętową.
Urządzenie musi posiadać następującą ilość interfejsów:
o Minimum 8 portów 10/100/1000Base-T
o Minimum 4 porty 1000Base-X ze stykiem SFP
Możliwość rozbudowy urządzenia o minimum 8 portów 1G oraz 2 porty 10G
Możliwość uruchomienia firewalla w trybie routingu, transparentnym lub
hybrydowym (oba tryby uruchomione jednocześnie).
Mechanizmy ochrony sieci IP w wersji IPv6.
Wspierane protokoły oraz funkcjonalności dla IPv6: TCP6, UDP6, ICMPv6,
PathMTU, ACL6, IPv6 DHCP (server, relay oraz client), IPv6 DNS, ND-RA, IPv6
PPPoE oraz IPv6 QoS.
Mechanizmy migracji do IPv6: dual-stack, manual tunnel, automatic tunnel, GRE
tunnel, 6over4, 4over6, 6RD oraz NAT64.
Obsługa protokołów routingu dla IPv6: BGP4+, IS-ISv6, OSPFv3 oraz RIPng.
Obsługa protokołów routingu dla IPv4: RIP, OSPF, BGP, IS-IS, obsługa rutingu
multicast'owego (MSDP, PM-DM, PM-SM, IGMP oraz statycznego rutingu
multicast'owego)
Możliwość uruchomienia funkcjonalności IPS, AV, URL filtering oraz AS. Wraz z
urządzeniem ma być dostarczona subskrypcja na aktualizację wszystkich
funkcjonalności UTM minimum na 3 lata.
Możliwość uruchomienia przynajmniej do 8 interfejsów fizycznych jako jedno łącze
logiczne w celu zwiększenia przepustowości i niezawodności połączenia.
Możliwość uruchomienia przynajmniej 20 wirtualnych firewalli. Jeśli jest wymagana
licencja urządzenie powinno być dostarczone z licencją na przynajmniej 10
wirtualnych firewalli.
Możliwość uruchomienia funkcjonalności NAT w tym translacja adresu IP
źródłowego, translacja adresu IP przeznaczenia, PAT, translacja statyczna i translacje
puli adresów IP.
Wsparcie dla funkcjonalności NAT ALG. Inspekcja różnych protokołów w celu
przepuszczenia odpowiedniego ruchu w tym FTP, H323 (w tym T.120), RAS, SIP,
ICMP, RTSP, NetBios, ILS, PPTP, QQ, MSN, ICQ, SQL.NET, MMS, możliwość
definicji nietypowych portów dla znanych protokołów przez uzytkownika.
Możliwość konfiguracji kontroli dostępu na podstawie adresów źródłowych i
docelowych, portów, typu protokołu, czasu, TOS, użytkownika oraz aplikacji
rozpoznawalnej przez analizę warstwy siódmej.
Integracja z wewnętrzną i zewnętrzna bazą użytkowników (local, RADIUS,
TACACS, SecureID, AD, LDAP, and Endpoint Security)
Filtrowanie na podstawie stanu sesji (ASPF). Wsparcie dla inspekcji aplikacji
opartych o protokoły TCP/UDP oraz takie protokoły jak FTP, SMTP, HTTP, RTSP,
H323, SIP, QQ oraz MSN, detekcja na podstawie zdefiniowanych portów, blokowanie
Java applet/ActiveX, Mapowanie portów do aplikacji (Port to Application Mapping
(PAM)), detekcja fragmentacji.
Ochrona przed atakami typu SYN flood, ICMP Flood, IP spoofing, UDP Flood, Land,
Fraggle, Smurf, Winnuke, Ping of Death, Tear Drop, skanowanie adresów oraz
portów, IP Option control, IP fragment, TCP label validity check, large ICMP packet,
ICMP redirect packet, ICMP unreachable.
Kontrola i ograniczenie ruchu P2P na podstawie protokołu.
Ograniczanie pasma dla ruchu P2P poprzez tworzenie odpowiednich polityk.
Możliwość tworzenia różnych polityk ograniczania pasma dla ruchu przychodzącego i
ruchu wychodzącego
Wykrywanie i kontrolowanie ruch P2P przynajmniej dla połączeń Thunder, Feidian,
BT, Kugoo, PPGou, Poco/pp, Baibao, BitComet, Kazaa/FastTrack, Emule/eDonkey,
PPSTREAM, UUSee, PPLive, QQLive, TVAnts, BBSEE, Vagaa, Mysee, Filetopia
oraz Soulseek.
Możliwość statycznej konfiguracji tzw. blacklisty jak i mechanizm dynamicznego
wpisu adresów do blacklisty na podstawie wykrytych źródeł ataku oraz połączenie
ACL z blacklistą.
Możliwość uruchomienia firewalla w trybie redundantnej pracy dla zwiększenie
niezawodności.
Wsparcie dla mechanizm redundancji systemu (klaster urządzeń) w trybie routingu jak
i transparentnym.
Wsparcie dla funkcjonalności Policy Based Routing (PBR).
Wsparcie dla protokołów tunelowania: SSL VPN, IPSec VPN, L2TP VPN, GRE
VPN, MPLS VPN, L2TP over IPSec VPN oraz GRE over IPSec VPN.
Wsparcie dla mechanizmu redundancji dla połączeń IPSec VPN.
Wsparcie dla funkcjonalności IPS. Wykrywanie anomalii w różnych protokołach, w
tym w: HTTP, SMTP, FTP, POP3, IMAP4, MSRPC, NETBIOS, SMB, MS_SQL,
Telnet, IRC oraz DNS.
Wykrywanie rodzaju protokołu poprzez zawartość danych: HTTP, SMTP, FTP, POP3,
IMAP4, MSRPC, NETBIOS, SMB, MSSQL, Telnet, IRC, TFTP, eMule oraz
eDonkey.
Grupowanie sygnatur IPS na kategorie.
Możliwość definiowania sygnatur IPS przez użytkownika.
Automatyczna aktualizacja bazy sygnatur IPS poprzez sieć, definiowanie czasu
aktualizacji, ręczna aktualizacja offline, przywracanie poprzedniej wersji.
Możliwość powiązania polityk IPS z regułami ACL i przypisania polityk IPS do
strefy.
Możliwość włączania i wyłączania jednej lub wszystkich reguł IPS w polityce oraz
konfiguracji rodzaju reakcji na zdarzenie.
Możliwość włączenia i wyłączenia funkcji IPS globalnie dla całego urządzenia.
Możliwe rodzaje reakcji na zdarzenie IPS: logowanie i blokowanie pakietów.
Wysyłanie logów z modułu IPS do zewnętrznego serwera oraz generowanie różnych
rodzajów raportów umożliwiających sprawdzenie najczęściej występujących ataków,
ich źródeł i przeznaczenia.
W zależności od ustawień przesłanie danych dalej lub blokada w przypadku
przeciążenia modułu IPS.
Wsparcie dla funkcjonalności antywirus (AV).
Skanowaniu różnych protokołów w celu wykrycia wirusów.
Wsparcie dla wykrywania wirusów w plikach przesyłanych przez HTTP, SMTP,
POP3,IMAP,NFS,SMB oraz FTP.
Ochrona Antywirus dla plików typu: .DOC, .DOT, .PPT, .PPS, .XLA, .XLS, .XLT,
.WIZ, .SDW, .VOR, .VSS, .VST, .AC_, .ADP, .APR, .DB, .MSC, .MSI, .MTW,
.OPT, .PUB, .SOU, .SPO, .VSD, .WPS, .MSG,ZIP, .DOCX, .DOCM, .DOTX,
.DOTM, .PPTX, .PPTM, .PPSX, .PPSM, .XLSX, .XLSB, .XLSM, .XLTX, .XLTM,
.XLAM, .XPS, .POTX, .POTM, .ODT, .OTT, .STW, .SXW, .eml, .MME, .B64,
.MPA, .AMG, .ARJ, .CAB, .XSN, .GZ, .LHA, .SHS, .RAR, .RFT, .TAR, .DAT,
.ACE. .PDF, .TXT, .HQX. .MBOZ, .UUE, .MB3, .AS, .BZ2, .ZIP, .ZIPX
Dekompresja wielokrotnie skompresowanych plików od 2 do 20 poziomów w celu
skanowania AV
Obsługa przynajmniej 21 rodzajów algorytmów kompresji w celu skanowania AV w
tym np. : BZIP2, ZIP, CAB, OLESS, GZIP, LHA, RAR, ARJ, TNEF, LZ, AMG,
PDF, TAR, RTF, AS, OLE1, MB3, HQX, MIME, UUE, MBOX
Możliwość ustawienia poziomu skanowania antywirusowego od 1 do 3 w celu
zoptymalizowania obciążenia urządzenia.
Możliwość automatycznej aktualizacji bazy wirusów poprzez sieć, definiowanie czasu
aktualizacji, ręczna aktualizacja offline, przywracanie poprzedniej wersji.
Możliwość wylistowania wirusów zawartych w bazie AV.
Możliwość usunięcia wirusa, wyświetlenie strony alarmującej, oznaczanie
wiadomości mailowej oraz logowanie.
Możliwość powiązania polityk AC z regułami ACL i przypisania polityk AV do
strefy.
Możliwość włączenia i wyłączenia funkcji AV globalnie dla całego urządzenia.
Możliwość wysyłania logów z modułu AV do serwera syslog. Możliwość
wygenerowania raportów z modułu AV.
Możliwość przesłania ruchu danych dalej lub ich blokada w przypadku przeciążenia
modułu AV.
Wsparcie dla funkcjonalności URL filtering.
Obsługa dopasowywania wpisów w whitelist oraz blacklist w oparciu o prefiks, sufiks
słowa kluczowego. Blacklist i whitelist mają wyższy priorytet niż kategoria URL.
Whitelist ma wyższy priorytet niż blacklist.
Obsługa kategorii URL tworzonych przez użytkownika. Kategorie stworzone przez
użytkownika mają wyższy priorytet od predefiniowanych kategorii.
Możliwość otrzymania kategorii URL z serwera kategorii dostępnego w sieci Internet.
Reakcja podejmowana jest na podstawie skonfigurowanej polityki i przypisanej akcji
do konkretnej grupy URL.
Możliwe reakcje modułu URL filtering - "zablokuj" lub "zezwól".
Możliwość wyświetlenia częściowo spersonalizowanej strony informującej o
zablokowaniu dostępu.
Polityka filtrowania URL może być oparta o grupę adresów i określony czas.
Możliwość filtrowania stron z określeniem słów kluczowych występujących w treści
strony.
Możliwość blokowania prób wyszukania konkretnych słów kluczowych przez
wyszukiwarki internetowe.
Kontrola postów na portalach internetowych.
Kontrola ściągania i wysyłania plików poprzez określenie nazwy plików, rodzaju lub
rozmiaru.
Funkcja logowania dostępu do adresów URL. Możliwość określenia osiągniętych
zasobów.
Automatyczne generowanie polityk na podstawie analizy ruchu przechodzącego przez
firewall.
Funkcjonalność wykrywaniu zdublowanych i nieużywanych polityk
Możliwość zarządzania urządzeniem przy wykorzystaniu protokołów HTTP i
HTTPS, SSH, Telnet oraz z poziomu linii komend.
Dodatkowy port do zarządzania Out-Of-Band 10/100/1000Base-T
Możliwość tworzenia kopii zapasowych, eksportowania i przywracania konfiguracji.
Urządzenie musi posiadać wewnętrzny dysk twardy o pojemności minimum 250G w
celu logowania i tworzenia raportów dotyczących np.:
o Analizy ruchu sieciowego z uwzględnieniem nazwy użytkownika, adresu IP
źródłowego i docelowego
o Statystyki dostępu do stron www
Zamawiający dopuszcza możliwość zaoferowania rozwiązania które funkcje
logowania i raportowania wymagane w pkt. 72 będzie realizowało za pomocą
zewnętrznego systemu. W takim przypadku rozwiązanie musi posiadać przestrzeń na
logi o powierzchni min, 250GB.
Firewalle muszą zostać dostarczone z 3 letnią licencją na funkcjonalności
IPS/AV/URL Filtering
Zamawiający wymaga, aby firewalle posiadały 3-letni serwis gwarancyjny. Wymiana
uszkodzonego elementu w trybie 8x5xNBD. Możliwość zgłaszania problemów 24h/7.
Okres gwarancji liczony będzie od daty sporządzenia protokołu zdawczo-odbiorczego
przedmiotu zamówienia
7.6 System do monitoringu i zarządzania siecią – 1 komplet: składający się
z fizycznego serwera, systemu operacyjnego oraz dedykowanej
aplikacji do monitoringu i zarządzania siecią
Wymagania podstawowe:
Oferowany system musi pochodzi od tego samego producenta co oferowane
urządzenia typu przełącznik agregacyjny, przełączniki dostępowe, przełączniki
dystrybucyjne, firewall oraz urządzenie na styku z Internetem w celu zapewnienia jak
najlepszej integracji i wykorzystaniu jak największej ilości funkcjonalności
oferowanych przez taki system
Pełna kompatybilność wymaganych funkcjonalności z oferowanymi urządzeniami
typu przełącznik agregacyjny, przełączniki dostępowe, przełączniki dystrybucyjne,
firewall oraz urządzenie na styku z Internetem
Obsługa minimum 60 urządzeń sieciowych, w tym urządzeń dostarczonych w ramach
niniejszego postępowania. Możliwość rozbudowy systemu do min. 500 urządzeń
Dostarczone licencje na ilość obsługiwanych urządzeń sieciowych muszą być
bezterminowe
Wymagana jest architektura serwer-klient z dostępem do systemu przez przeglądarkę
WWW
Wymagany interfejs użytkownika w języku polskim lub angielskim
Obsługiwana lokalna baza administratorów systemu
Czasowe blokowanie możliwości logowania użytkownika systemu w przypadku 5krotnego podania błędnego hasła
Możliwość stworzenia kopii zapasowej danych systemu zarządzania i odtworzenia
tych danych z kopii
W przypadku, gdy oprogramowanie korzysta z systemu licencjonowania powinna być
zapewniona możliwość sprawdzenia zainstalowanej licencji oraz zmiany licencji
Monitorowanie wykorzystania licencji i informowanie użytkownika systemu o
zbliżającej się dacie wygasania licencji, bądź przekroczenia limitów zainstalowanej
licencji (np. Ilość obsługiwanych urządzeń)
Dostępna w systemie zarządzającym dokumentacja w języku polskim lub angielskim
Zarządzanie alertami
Możliwość automatycznego alarmowania opartego o zadane progi alarmowe, w tym
Możliwość definiowania dwóch progów – ostrzegawczy i alarmowy
Możliwość automatycznego alarmowania opartego o profil ruchu
Możliwość automatycznego alarmowania o przekroczeniu obciążenia interfejsu z
uwzględnienie dwóch progów - ostrzegawczy i alarmowy
Możliwość określenia listy osób i grup osób powiadamianych przy poszczególnych
poziomach alertów
Możliwość wykorzystania następujących kanałów powiadomienia dla poszczególnych
poziomów alarmów
o konsola operatora
o e-mail
Dzienniki zdarzeń
Zapisywanie informacji o czynnościach wykonanych przez użytkowników systemu
Możliwość przeszukiwania dziennika czynności pod kątem użytkownika, adresu IP, z
którego nastąpiło logowanie, czasu i rodzaju czynności
Zapisywanie informacji o zdarzeniach systemowych
Możliwość przeszukiwania dziennika zdarzeń systemowych pod kątem czasu i rodzaju
zdarzenia
Zarządzanie urządzeniami
Podstawowe zarządzanie wszelkimi urządzeniami zgodnymi z protokołem SNMP
Możliwość ręcznego dodania urządzenia poprzez podanie jego adresu IP i parametrów
SNMP i telnet
Automatyczne wyszukiwanie i dodawanie urządzeń w ramach zdefiniowanego
zakresu adresów IP
Możliwość importowania listy urządzeń z pliku
Możliwość podglądu podstawowych informacji o urządzeniu
Możliwość wizualizowania panelu urządzenia
Możliwość wyświetlenia listy interfejsów urządzenia i włączenia/wyłączenia
poszczególnych interfejsów
Wyświetlanie adresu IP urządzenia
Możliwość zdefiniowania parametrów SNMP i telnet dla danego urządzenia
Możliwość przeprowadzenia testów ping i traceroute dla wybranego urządzenia
Zapewnienie skrótu do wyświetlenia listów alarmów i konfiguracji urządzenia
Możliwość zdefiniowania skrótów do funkcji dla urządzeń nieznanych producentów
Możliwość zdefiniowania podstawowych informacji o dowolnym producencie
urządzeń, w celu ułatwienia definiowania nowych elementów sieciowych
nieobsługiwanych domyślnie przez system zarządzania
Możliwość dodawania, kasowania i modyfikacji nowych typów urządzeń.
Możliwość określenia ikony reprezentującej urządzenie w systemie
Możliwość zdefiniowania skrótów funkcyjnych skojarzonych z nowym typem
urządzenia
Możliwość definiowania nowych typów alarmów nierozpoznawanych domyślnie
przez system zarządzania
Możliwość definiowania nowych typów liczników danych, ich nazwy, funkcji
obliczającej wartość licznika i rodzajów urządzeń, dla których dany licznik może
zostać zastosowany
Możliwość tworzenia kopii zapasowych konfiguracji urządzeń oraz odtwarzania
zapisanej konfiguracji
Możliwość definiowania wyglądu panela urządzenia przy użyciu rysunków
urządzenia, modułów i portów
Topologia sieci
Wyświetlanie topologii sieci z urządzeniami i łączami pomiędzy nimi
Możliwość powiększania i zmniejszania widoku topologii
Obrazowanie statusu dostępności urządzeń i łączy
Możliwość zdefiniowania obrazu tła dla mapy topologii sieci
Możliwość zdefiniowania różnych lokalizacji na mapie sieci
Zarządzanie
Zbieranie alarmów i zdarzeń w dzienniku zdarzeń
Możliwość wyświetlenia informacji o alarmach, nazwy, źródła, poziomu alarmu,
czasu wystąpienia
Możliwość potwierdzenia alarmu przez użytkownika, możliwość wyłączenia alarmu
Możliwość eksportu danych o alarmach do pliku
Możliwość wyświetlenia historii alarmów zawierającej nazwę alarmu, jego źródło,
poziom, status i czas wygenerowania. Możliwość filtrowania wyświetlanej listy przy
pomocy powyżej podanych parametrów
Możliwość podjerzenia alarmów wygenerowanych na podstawie kilku innych
alarmów z tego samego źródła
Możliwość zdefiniowania reguł ignorowania alarmów
Możliwość generowania powiadomienia o alarmach w postaci email i SMS
Możliwość zdefiniowania reguł powiadamiania
Zarządzanie wydajnością
Monitorowanie obciążenia procesora i zajętości pamięci urządzenia, stanu dostępności
urządzenia i opóźnienia
Możliwość monitorowania informacji o przesyłanym przez urządzenie ruchu
Możliwość generowania alarmu w przypadku przekroczenia zdefiniowanych wartości
Możliwość przechowywania historycznych danych wydajnościowych z ostatnich 30
dni
Możliwość obrazowania danych historycznych na wykresach
Możliwość eksportu danych historycznych do pliku
Zarządzanie łączami
Automatyczne wyszukiwanie łączy przy wykorzystaniu informacji dostępu z
protokołu LLDP oraz z adresacji IP
Raportowanie
Możliwość generowania raportów na temat urządzeń, modułów, portów i łączy oraz
statystyk nt. rodzajów urządzeń
Możliwość generowania raportów wydajnościowych dotyczących urządzeń oraz ich
interfejsów
Możliwość tworzenia, wyświetlania, edytowania i kasowania zadań raportowych
Możliwość udostępnienia raportów użytkownikom do podglądu oraz do eksportu do
pliku
Możliwość automatycznego generowania raportów w cyklach: dziennym,
tygodniowym, miesięcznym, kwartalnym, półrocznym i rocznym
Możliwość generowania raportów w formatach PDF
Możliwość generowania raportów w formatach Excel, Word, PowerPoint
użytkowanych przez Zamawiającego
Możliwość definiowania szablonu określającego wygląd raportów
Zarządzanie konfiguracjami
Możliwość automatycznego wykonywania w określonym czasie kopii zapasowych
konfiguracji urządzeń w trybie dziennym, tygodniowym i miesięcznym
Możliwość podglądu i porównania różnych wersji plików konfiguracyjnych, w tym z
aktualną konfiguracją urządzenia
Konfigurowanie wielu urządzeń
Możliwość konfiguracji urządzeń, w tym list kontroli dostępu, ustawień QoS, VLAN,
poprzez wysłanie szablonów konfiguracyjnych do wielu urządzeń
Możliwość definiowania ww. szablonów konfiguracyjnych
Platforma sprzętowa
System musi być dostarczony wraz z platformą serwerową tego samego producenta co
oprogramowanie, o parametrach spełniających wymagania specyfikacji
rekomendowanej przez producenta systemu dla min. 60 urządzeń sieciowych i
jednocześnie spełniających następujące minimalne wymagania:
o obudowa przeznaczona do montażu w szafie 19”
o maksymalna wysokość 2RU
o 8 GB RAM
o 1 procesor sześciordzeniowy min. 2.5GHz
o min. 2 dyski 300GB SAS hotswap
o sprzętowy kontroler RAID 0,1,5,10
o 4 interfejsy sieciowe GigabitEthernet
o 5 slotów PCIe
o 2 redundantne zasilacze
o minimum 2 porty USB
o niezależny od CPU kontroler zdalnego zarządzania serwerem z funkcją
zdalnego restartu oraz zdalnej konsoli wspierającej systemy operacyjne z
rodziny Linux, Windows. Jeżeli dla funkcjonalności zdalnego zarządzania
wymagana jest licencja, zostanie ona dostarczona przez Wykonawcę
Serwis i gwarancja
Oprogramowanie do zarządzania siecią oraz platformę serwerową należy dostarczyć
wraz z serwisem gwarancyjnym na minimum 3 lat. Możliwość zgłaszania problemów
24h/7. Wymiana uszkodzonego elementu serwera w trybie 8x5xNBD.
Serwis ten musi zapewniać dostęp do zdalnego wsparcia technicznego producenta
przez całą dobę, 7 dni w tygodniu.
Serwis musi zapewniać bezpłatny dostęp do poprawek i nowych wersji
oprogramowania przez minimum 3 lat
System musi pochodzić z autoryzowanego kanału dystrybucji producenta
dostarczonego systemu nie może stanowić naruszenia majątkowych praw autorskich
osób trzecich. Zamawiający wymaga dostarczenia wraz z systemem oświadczenia
terenie Polski.
7.7 Wymagania wyposarzenia CPD i SOR
7.7.1
Szafa serwerownia – szt.1
Wysokość wewnętrzna 42 U
Wysokość 1971 mm
Szerokość 800 mm
Głębokość 1000 mm
Masa netto 101 kg
Dodatkowe informacje •możliwość montażu drzwi jako lewo i prawo stronnych
•możliwość zdjęcia osłony bocznej i tylnej
•możliwość łączenia kilku szaf bez zastosowania specjalnych łączników
•trzy pary szyn montażowych (regulowanych)
•duża głębokość szafy zapewnia możliwość montażu wiekszości serwerów
Kolor grafitowy
7.7.2
UPS serwerownia – szt. 2
Moc pozorna 3000 VA
Moc rzeczywista 1800 Wat
Architektura UPSa line-interactive
Maks. czas przełączenia na baterię 1,5 ms
Liczba i rodzaj gniazdek z utrzymaniem zasilania 4 x PL (10A)
Liczba, typ gniazd wyj. z ochroną antyprzepięciową 4 x PL (10A)
Typ gniazda wejściowego kabel z wtykiem Schuko (10A)
Czas podtrzymania dla obciążenia 100% 6 min
Czas podtrzymania przy obciążeniu 50% 15 min
Zakres napięcia wejściowego w trybie podstawowym 170-264 V
Zmienny zakres napięcia wejściowego 167-267 V
Zimny start Tak
Układ automatycznej regulacji napięcia (AVR) Tak
Sinus podczas pracy na baterii Nie
Porty komunikacji RS232 (DB9)
Port zabezpieczający linie danych RJ11 - linia modemowa/faxowa, DSL
Diody sygnalizacyjne •praca z sieci zasilającej
•praca z baterii
•przeciążenie UPSa
Alarmy dźwiękowe •Awaria akumulatora
•znaczne wyczerpanie baterii
Typ obudowy rack 19"
Wyposażenie standardowe kabel komunikacyjny
Dodatkowe funkcje przełączniki konfiguracyjne
Dołączone oprogramowanie FreeBSD
•UPS Monitor dla Novell NetWare 4.x, 5.x, 6
Szerokość 483 mm
Wysokość •132 mm
•3 U
Masa netto 25 kg
7.7.3
Szafa punkt masztowy – szt. 6
Wysokość wewnętrzna 10 U
Wysokość 480 mm
Szerokość 580 mm
Masa netto 29 kg
Dodatkowe informacje
•Drzwi przednie przeszklone
•możliwość wprowadzenia kabli od dołu i od góry szafy
•regulowana szyna montażowa
•szafa dzielona - łatwy dostęp do urządzeń od tyły szafy
7.7.4
UPS punkt masztowy – szt. 6
Moc pozorna 1000 VA
Moc rzeczywista 600 Wat
Architektura UPSa line-interactive
Maks. czas przełączenia na baterię 1,5 ms
Liczba i rodzaj gniazdek z utrzymaniem zasilania 2 x PL (10A)
Liczba, typ gniazd wyj. z ochroną antyprzepięciową 2 x PL (10A)
Typ gniazda wejściowego kabel z wtykiem Schuko (10A)
Czas podtrzymania dla obciążenia 100% 2 min
Czas podtrzymania przy obciążeniu 50% 12 min
Zakres napięcia wejściowego w trybie podstawowym 170-264 V
Zmienny zakres napięcia wejściowego 167-267 V
Zimny start Tak
Układ automatycznej regulacji napięcia (AVR) Tak
Sinus podczas pracy na baterii Nie
Porty komunikacji RS232 (DB9)
Port zabezpieczający linie danych RJ11 - linia modemowa/faxowa, DSL
Diody sygnalizacyjne •praca z sieci zasilającej
•praca z baterii
Alarmy dźwiękowe •Awaria akumulatora
•znaczne wyczerpanie baterii
Typ obudowy rack 19"
Wyposażenie standardowe kabel komunikacyjny
Dodatkowe funkcje przełączniki konfiguracyjne
Szerokość 483 mm
Wysokość 88 mm
Masa netto 11,5 kg
Listwy zasilające – szt. 14
Typ gniazda wejściowego IEC320 C14 (10A)
Liczba gniazd wyjściowych 7 szt.
Liczba gniazd zasilających 10A PL 7 szt.
Długość przewodu zasilającego 2 metr
Napięcie znamionowe 230 V AC
Prąd znamionowy 16 A
Częstotliwość 50 Hz
Wbudowany filtr dla linii telefonicznej RJ-11 Nie
Filtr przeciwzakłóceniowy (EMI/RFI) Nie
Możliwość zamontowania na ścianie Nie
Możliwość zamontowania w szafie rack 19" Tak
Wyposażenie standardowe Uchwyty z tworzywa sztucznego
Dodatkowe funkcje możliwość montażu poziomego (1U) i pionowego (0U)
Długość 19 cali
Wysokość 1 U
8 Warstwa fizyczna sieci
8.1 Topologia sieci
ISP 1
Gi1/0/0
ISP 2
Legenda:
Radiolinia
1G
Gi1/0/1
UGM_GW1
Gi0/0/0
Gi0/0/1
Gi3/0/1
Gi3/0/2
Router
brzegowy
Eth-Trunk
UGM_FW1
Gi0/0/0
Firewall/UTM
Gi0/0/1
Eth-Trunk
Gi3/0/1
Przełącznik
rdzeniowy
Gi3/0/2
UGM_CS1
Przełącznik
dystrybucyjny
Gi3/0/3
Lub002_AS1
Gi0/0/1
Gi0/0/6
Gi0/0/2
Gi0/0/7
Eth-Trunk
Przełącznik
dostępowy
Lub002_DS1
Gi0/0/5
Gi0/0/2
Gi0/0/3
Gi0/0/1
Gi0/0/1
Gi0/0/1
Gi0/0/4
Gi0/0/1
Gi0/0/1
Eth-Trunk
Lub003_AS1
Gi0/0/1
Gi0/0/2
Gi0/0/3
Gi0/0/4
Eth-Trunk
Gi0/0/2
Gi0/0/2
Lub003_DS1
Lub001_AS1
Lub006_AS1
Gi0/0/1
Lub004_DS1
Gi0/0/3
Gi0/0/4
Gi0/0/1
Lub005_AS1
Lub007_AS1
Rysunek 1 - Topologia fizyczna sieci miejskiej
Gi0/0/1
Gi0/0/2
Lub004_AS1
8.2 Przypisanie portów fizycznych
Porty wykorzystywane przez urządzenia podzielono na trzy grupy:
Porty do obsługi ruchu tranzytowego, obsługujące połączenia MPLS,
Porty przenoszące ruch L2 z przełączników dostępowych,
Porty udostępniające usługi Klientom.
W każdej z ww. grup, przy doborze połączeń pomiędzy urządzeniami należy stosować
następujące zasady:
Porty na przełącznikach rdzeniowych i dystrybucyjnych, służące do połączeń
wewnątrz rdzenia sieci będą tak rozplanowane, aby awaria karty liniowej nie
spowodowała odcięcia węzła rdzenia od reszty sieci,
9 Elementy logiczne sieci
9.1 Koncepcja działania sieci
Jako podstawowy mechanizm działania sieci w rdzeniu, została wybrana technologia MPLS
L3VPN i VPLS. Usługa L3VPN pozwala na stworzenie niezależnych instancji routingowych
dla wielu Klientów sieci i przenoszenie informacji o osiągalności ich podsieci w jednolity
sposób. Usługa VPLS (Virtual Private LAN Service) umożliwia przesyłanie przez sieć IP
ramek warstwy drugiej (Ethernet) w sposób transparentny w zakresie większości usług. Poza
ramkami danych pochodzącymi z serwerów, stacji użytkowników oraz innych urządzeń
sieciowych, przesyłane mogą być (ale nie muszą) takie dane kontrolne jak np. ramki BPDU.
W sieci gminnej, urządzeniami dostarczającymi usługi MPLS będą przełączniki rdzeniowe i
przełączniki dystrybucyjne. Pomiędzy tymi przełącznikami zostanie uruchomiony protokół
MPLS, protokół dynamicznego routingu typu IGP (IS-IS), oraz protokół dynamicznego
routing MP-BGP.
Projekt zakłada, stworzenie jednej instancji L3VPN, do której będą dołączone wszystkie
jednostki organizacyjne urzędu miasta, takie jak: poszczególne budynki urzędu gminy,
przedszkola, szkoły, biblioteki, ośrodki zdrowia, ośrodki sportu, policja, straż gminna, itp.
Połączenie wszystkich jednostek organizacyjnych w ramach jednej sieci rozległej (jednej
instancji L3VPN), będzie wymuszało przyjęcie wspólnej polityki adresacji IP dla wszystkich
jednostek. Projekt nie zawiera szczegółów na temat stanu aktualnego adresacji IP w
poszczególnych jednostkach organizacyjnych, ani też docelowego planu adresacji. Proponuje
się, aby kwestie ujednolicenia polityki adresacji IP została dokonana w trakcie trwania fazy
wdrożeniowej. Projekt wymusza jedynie, aby polityka adresacji IP była dostosowana do
adresacji przyjętej w szkielecie sieci MPLS.
Oprócz bazowej instancji L3VPN, utworzona zostanie bazowa instancja VPLS, która będzie
służyła do obsługi sieci bezprzewodowej WLAN na terenie gminy.
9.1.1
Usługa VPLS
Sieć VPLS zbudowana będzie w oparciu o sieć L3 oraz technologię MPLS – z sygnalizacją
BGP (tryb VPLS BGP AD). Przyjęcie, jako metody implementacji BGP AD, pozwoli na
połączenie najlepszych cech trybów działania sieci: VPLS Martini i Kompella VPLS. Tryb
BGP AD wykorzystuje rozszerzone update’y BGP w celu automatycznego wykrywania
urządzeń w topologii sieci MPLS, oraz wykorzystuje sygnalizację LDP FEC 129 do
automatycznej negocjacji i zestawiania tuneli transmisyjnych VPLS PW. Realizowane
połączenia (MPLS PW – Pseudowires) są połączeniami wielopunktowymi,
zwirtualizowanymi na poziomie infrastruktury MPLS. Oznacza to, że z tej samej
infrastruktury sieci L3 może korzystać wiele sieci VPLS, przy czym są one od siebie
niezależne i w pełni izolowane. W efekcie, na brzegu sieci uzyskuje się funkcjonalność
„rozciągnięcia” sieci LAN na kilka rozproszonych lokalizacji MAN/WAN, bez używania w
rdzeniu bridge’y, co umożliwia zapobieganie problemom związanym ze Spanning Tree
Protocol – zarówno przekraczaniu maksymalnej ilości bridge’y STP oraz ograniczaniu
potencjalnych problemów z STP do obszaru jednej lokalizacji, zaterminowanej na brzegu
sieci VPLS.
W sieci szerokopasmowej gminy Lubraniec, urządzeniami dostarczającymi usługi VPLS będą
przełączniki rdzeniowe i dystrybucyjne. Przełączniki dostępowe będą pracowały w warstwie
drugiej i będą pełniły rolę MPLS CPE. Na przełącznikach dostępowych będą kreowane
wirtualne instancje VRF, które będą separowały ruch na poziomie przełączników
dostępowych. Taki model działania zakłada wykorzystanie techniki MCE (Multi Customer
Edge), w którym separacja ruchu na poziomie L3 dokonywana jest na bazie VRF’ów,
natomiast separacja na poziomie L2 na bazie VLANów. Połączenia AC, pomiędzy
przełącznikami dostępowymi i dystrybucyjnymi, będą przenosić informacje o VLANach oraz
przenosić ruch użytkowników z wewnętrznych VLANów (z pojedynczym lub podwójnym
tagowaniem 802.1q). VLANy te następnie będą podłączane do odpowiednich VSI (Virtual
Switching Instance) i przenoszone do odpowiednich routerów PE.
9.1.2
Usługa L3VPN
W przypadku realizacji usługi VPN L3, zostanie wykorzystana funkcjonalność przenoszenia
MP-BGP przez sieć MPLS. Przełączniki dystrybucyjne, będą stanowić miejsce terminacji
interfejsów L3 dla poszczególnych instancji VRF. Interfejsy dla poszczególnych klientów
będą zgrupowane w ramach VRF (Virtual Routing and Forwarding instance), co pozwoli
uniezależnić tablice routingu pomiędzy różnymi klientami.
Komunikacja między warstwą przełączników dostępowych i dystrybucyjnych będzie
bazowała na tych samych zasadach, jak dla sieci VPLS.
9.2 Nazewnictwo urządzeń
Nazewnictwo urządzeń sieciowych wykonano w taki sposób, aby zapewnić jednoznaczność
nazw jak również umożliwić w przyszłości przyłączenie kolejnych lokalizacji do sieci.
Nazwy urządzeń mają postać:
Lub/UGM<numer_węzła>_<typ_urz><nr_kolejny_przeł>
gdzie:
<typ_urz> - rodzaj urządzenia – CS (urządzenie szkieletowe), DS (urządzenie
dystrybucyjne), AS – urządzenie dostępowe, RTR – routery, SRV – serwery,
<nr_kolejny_przeł> - numer kolejny przełącznika danego typu w lokalizacji
<nazwa_węzła> - nazwa węzła.
Poniżej przedstawiono wykaz nazw urządzeń sieciowych:
Tabela 1 - Nazewnictwo urządzeń sieciowych
Węzeł
Nazwa obiektu
Lub001
Bielawy, świetlica
Nazwa
urządzenia
Lub001_AS1
Lub002
Lub003
Lub004
Lub005
Lub006
Lub007
UGM
Szkoła w Lubrańcu
87-890 Lubraniec, ul. Nowa 6, Nr działki ewidencyjnej 608/2
Lub002_DS1
Lub002_AS1
Zespół Szkół w Kłobi Kłobia 29, 87-890 Lubraniec
Lub003_DS1
Lub003_AS1
Publiczna Szkoła Podstawowa w Zgłowiączce i Remiza OSP Lub004_DS1
Zgłowiączka
Lub004_AS1
Publiczna Szkoła Podstawowa im. st. sierż. F. Rybickiego w Lub005_AS1
Sarnowie Józefowo 1,
87-865 Izbica Kujawska
Kościół w Dąbiu Kujawskim
Lub006_AS1
Dąbie Kujawskie 3, 87-890 Lubraniec
Kaplica w Świątnikach
Lub007_AS1
Urząd Miejski w Lubrańcu
UGM_CS1
UGM_FW1
UGM_GW1
9.3 Adresacja IP
W niniejszym rozdziale przedstawiono adresację IP dla urządzeń sieciowych. Adresacja
zawiera zarówno adresy dla interfejsów Loopback, połączeń punkt-punkt w szkielecie i
dystrybucji sieci jak i adresację wykorzystywaną do zarządzania urządzeniami. Dodatkowo, z
uwagi na planowane wykorzystanie VRFów, zaproponowano adresację IP w zakresie
infrastruktury tranzytowej.
Schemat adresacji IP został jest oparty o RFC1918. Do najważniejszych elementów adresacji
IP należą:
Adresacja identyfikatorów przełączników MPLS: szkieletowych i dystrybucyjnych –
jako interfejsy wykorzystane zostaną adresy interfejsów Loopback 255. Adresy
urządzeń mają maskę IPv4 - 32 bit oraz IPv6 – 128 bitów. Nadawane im adresy są z
zakresu IPv4: 172.16.255.0/24 oraz IPv6: fc00:172:16:255::0/64.
Adresacja przełączników MPLS: szkieletowych i dystrybucyjnych na potrzeby
zarządzania – jako interfejsy wykorzystane zostaną adresy interfejsów Loopback 254.
Adresy urządzeń mają maskę IPv4 - 32 bit oraz IPv6 – 128 bitów. Nadawane im
adresy są z zakresu IPv4: 172.16.254.0/24 oraz IPv6: fc00:172:16:254::0/64.
Adresacja przełączników dostępowych na potrzeby zarządzania – jako interfejsy
wykorzystane zostaną adresy interfejsów VLAN 101-103. Adresy urządzeń mają
maskę 24 bit i są adresowane są z puli IPv4: 172.16.101-103.x/24 oraz IPv6:
fc00:172:16:101-103::0/64. Adresacja ta i maska jest dobrana w celu ujęcia w jednej
podsieci logicznej IP (i w jednym VLANie) wszystkich przełączników, które są
fizycznie połączone do określonego przełącznika dystrybucyjnego.
Adresacja połączeń punkt-punkt pomiędzy przełącznikami szkieletowymi i
dystrybucyjnymi w globalnej tablicy routingu. Adresy tych połączeń mają maskę IPv4
- 30 bit oraz IPv6 – 64 bitów. Nadawane im adresy są z zakresu IPv4: 172.16.253.0/30
oraz IPv6: fc00:16:253:0,4,8,12::0/EUI-64.
Adresacja połączeń pomiędzy przełącznikami dystrybucyjnymi a sieciami Klientów.
Adresy tych połączeń są z zakresu 10.0.0.0. Dla każdej lokalizacji przydzielono
wstępnie adres w pierwszym VRF – 10.1.x.0/24, gdzie drugi oktet oznacza numer
VRFu, a trzeci numer lokalizacji zgodny z tabelą lokalizacji. Adresacja ta może ulec
zmianie z uwagi na wymagania adresowe poszczególnych podłączanych Klientów.
9.3.1
Adresacja IP dla protokołu Loopback 255
Poniższa adresacja opisuje interfejsy Loopback 255 wykorzystywane jako identyfikatory w
protokole IS-IS, dla globalnej tablicy routingu. Będą one również pełnić rolę identyfikatorów
LDP i źródeł sesji MPBGP.
Tabela 2 - Adresacja IP interfejsów Loopback 255
9.3.2
Węzeł
UGM
Urządzenie
UGM_CS1
Lub002
Lub02_DS1
Lub003
Lub03_DS1
Lub004
Lub04_DS1
Loopback 255
172.16.255.1/32
fc00:172:16:255::1/128
172.16.255.2/32
fc00:172:16:255::2/128
172.16.255.3/32
fc00:172:16:255::3/128
172.16.255.4/32
fc00:172:16:255::4/128
Adresacja IP sieci zarządzającej
Poniżej przedstawiona jest adresacja sieci zarządzającej, obejmującej interfejsy Loopback 254
na przełącznikach szkieletowych i dystrybucyjnych oraz odpowiednie interfejsy VLAN L3 na
przełącznikach dystrybucyjnych i dostępowych. Będą one skonfigurowane do pracy w tablicy
globalnej routingu. Numery VLANów zarządzających na przełącznikach dostępowych
podłączonych do tego samego węzła dystrybucyjnego są jednakowe – taki jak na węźle
dystrybucyjnym. Routing domyślny z urządzeń dostępowych skierowany jest na adres
172.16.x.1.
Tabela 3 - Adresacja IP sieci zarządzającej
Węzeł
UGM
Urządzenie
UGM_CS1
Lub001
Lub001_AS1
Lub002
Lub002_DS1
Lub002_AS1
Lub003
Lub003_DS1
Lub003_AS1
Lub004
Lub004_DS1
Loopback 254
VLAN
172.16.254.1/32
fc00:172:16:254::1/128
101
172.16.254.2/32
101
fc00:172:16:254::2/128
101
172.16.254.3/32
102
fc00:172:16:254::3/128
102
Lub004_AS1
172.16.254.4/32
103
fc00:172:16:254::4/128
103
Lub005
Lub005_AS1
-
103
Lub006
Lub006_AS1
-
101
Adres VLANu
172.16.101.3/24
fc00:172:16:101::3/64
172.16.101.1/24
fc00:172:16:101::1/64
172.16.101.2/24
fc00:172:16:101::2/64
172.16.102.1/24
fc00:172:16:102::1/64
172.16.102.2/24
fc00:172:16:102::2/64
172.16.103.1/24
fc00:172:16:103::1/64
172.16.103.2/24
fc00:172:16:103::2/64
172.16.103.3/24
fc00:172:16:103::3/64
172.16.101.4/24
fc00:172:16:101::4/64
Lub007
9.3.3
Lub007_AS1
-
102
172.16.102.3/24
fc00:172:16:102::3/64
Adresacja połączeń punkt-punkt
Adresacja przedstawiona na poniższym rysunku opisuje interfejsy punkt-punkt pomiędzy
przełącznikami szkieletowymi i dystrybucyjnymi.
Tabela 4 - Adresacja IP połączeń punkt-punkt
Relacja “z”
UGM_GW1
4 oktet
.1
Relacja “do”
UGM_FW1
4 oktet
.2
UGM_FW1
.5
UGM_CS1
.6
UGM_CS1
.9
Lub002_DS1
.10
Lub002_DS1
.13
Lub003_DS1
.14
Lub002_DS1
.17
Lub004_DS1
.18
Podsieć IP
172.16.253.0/30
fc00:16:253:0::0/EUI-64
172.16.253.4/30
fc00:16:253:4::0/EUI-64
172.16.253.8/30
fc00:16:253:8::0/EUI-64
172.16.253.12/30
fc00:16:253:12::0/EUI-64
172.16.253.16/30
fc00:16:253:16::0/EUI-64
VLAN
150
151
152
153
154
ISP 1
ISP 2
Gi1/0/0
Legenda:
Gi1/0/1
MCE dot1q
UGM_GW1
VLAN 150 .1
172.16.253.0/30
fc00:16:253:0::/EUI-64
.2
MCE dot1q – Multi Custermer
Edge, trunk 802.1q.
Eth-Trunk
UGM_FW1
VLAN 151
172.16.253.4/30
fc00:16:253:4::/EUI-64
Eth-Trunk
.6
Lo254: 172.16.254.1/32
fc00:172.16.254::1/128
Lo255: 172.16.255.1/32
fc00:172.16.255::1/128
UGM_CS1
.9
Vlan101: 172.16.101.2/24
fc00:172:16:101::2/64
.10
Lub002_AS1
VLAN 152
172.16.253.8/30
fc00:16:253:8::/EUI-64
Lub002_DS1
MCE
dot1q
.13
Ed
Vlan102: 172.16.103.1/24
fc00:172:16:103::1/64
q
ot 1
MC
Lo254: 172.16.254.2/32
fc00:172.16.254::2/128
Lo255: 172.16.255.2/32
fc00:172.16.255::2/128
.17
Ed
VLAN 153
172.16.253.12/30
fc00:16:253:12::/EUI-64
Vlan101: 172.16.101.1/24
fc00:172:16:101::1/64
MC
ot 1
q
Vlan102: 172.16.102.1/24
fc00:172:16:102::1/64
Lo254: 172.16.254.3/32
fc00:172.16.254::3/128
Lo255: 172.16.255.3/32
fc00:172.16.255::3/128
Szkielet MPLS
.5
Lo254: 172.16.254.4/32
fc00:172.16.254::4/128
Lo255: 172.16.255.4/32
fc00:172.16.255::4/128
VLAN 154
172.16.253.16/30\
fc00:16:253:16::/EUI-64
.18
.14
MCE
dot1q
Lub003_DS1
Lub001_AS1
Vlan101:
172.16.101.3/24
fc00:172:16:101::3/64
Vlan102:
172.16.102.2/24
fc00:172:16:102::2/64
Lub006_AS1
Lub004_DS1
MCE
dot1q
MCE
dot1q
Lub003_AS1
MCE
dot1q
Vlan101:
172.16.101.4/24
fc00:172:16:101::4/64
Lub007_AS1
Lub005_AS1
Vlan102:
172.16.102.3/24
fc00:172:16:102::3/64
Vlan103:
172.16.103.3/24
fc00:172:16:103::3/64
Rysunek 2 - Topologia sieci w ujęciu L3
Lub004_AS1
Vlan103:
172.16.103.2/24
fc00:172:16:103::2/64
9.4 Routing IGP
W rdzeniu sieci gminnej zostanie uruchomiony dynamiczny protokół routingu IGP – IS-IS.
Zadaniem protokołu IGP jest przenoszenie informacji o dostępności adresów next-hop oraz
adresacji Loopback na potrzeby protokołu LDP, MP-BGP (również MPLS/TE) oraz wsparcie
działania VPLS.
Protokół IS-IS w sieci gminnej będzie rozgłaszał sieci punkt-punkt łączące przełączniki
szkieletowe i dystrybucyjne oraz adresy interfejsów Loopback255 urządzeń tworzących
szkielet sieci. Protokół IS-IS nie będzie wykorzystywany do rozgłaszania sieci zewnętrznych,
tj. sieci innych niż te, na których zostanie uruchomiony. Również sieci rozgłaszane w tym
protokole nie będą redystrybuowane i rozgłaszane poza domenę ISIS.
Protokół IS-IS został zaprojektowany w sposób umożliwiający jego efektywną implementację
wewnątrz zarówno małych jak i rozległych domen. Możliwość podziału domeny na obszary,
oraz różne poziomy wymiany informacji o dostępności sieci, zarówno pomiędzy obszarami
jak również w ich ramach, ułatwiają dostosowanie protokołu do potrzeb danej sieci. W sieci
miejskiej protokół IS-IS został uruchomiony w strukturze płaskiej:
Wszystkie urządzenia będą pracowały jako osobne obszary kategorii L2,
Powyższa konfiguracja nie będzie powodowała nieoptymalnego routingu z uwagi na
to, że dobór tras zapewni szczegółowy wpis w tablicy routingu (bez sumaryzacji i
agregacji),
Protokół IS-IS będzie pracował na globalnej tablicy routingu,
Przełączniki nie będą redystrybować innych sieci do protokołu niż te, na których IS-IS
zostanie pierwotnie uruchomiony oraz interfejsów loopback opisanych jako passive,
Sieci rozgłaszane w protokole IS-IS nie będą redystrybuowane do innych protokołów i
rozgłaszane poza obszar domeny IS-IS,
Interfejsy skonfigurowane do pracy w IS-IS będą pracowały w konfiguracji
point2point.
Zalety takiej struktury to:
Prosta architektura protokołu, przenosząca wszystkie informacje o dostępności łączy
w szkielecie sieci,
Optymalny wybór tras do sieci docelowych,
Możliwość dodawania obszarów Level-1 bez konieczności rekonfiguracji protokołu w
przypadku, gdy zaistnieje taka potrzeba.
Kolejne węzły dołączane do szkieletowej sieci MPLS, nie będą powodować zmiany tego
schematu.
9.4.1
Adresacja IS-IS
Na potrzeby rdzenia sieci użyty zostanie następujący format adresacji NET:
49.AAAA.BBBB.BBBB.BBBB.00,
gdzie:
AAAA to numer obszaru, taki jak ostatni oktet adresu Loopback 255.
BBBB.BBBB.BBBB to adres IP interfejsu Loopback 255 danego urządzenia,
uzupełniony prefiksem złożonym z zer (do 3 cyfr).
Poniżej przedstawione jest zestawienie adresów NET:
Urządzenie
UGM_CS1
Lub02_DS1
Lub03_DS1
Lub04_DS1
9.4.2
Loopback 255
172.16.255.1/32
172.16.255.2/32
172.16.255.3/32
172.16.255.4/32
Adres ISIS NET
49.0001.1720.1625.5001.00
49.0002.1720.1625.5002.00
49.0003.1720.1625.5003.00
49.0004.1720.1625.5004.00
Metryka IS-IS
W sieci skonfigurowana zostanie funkcjonalność wide metrics. Pozwala ona uzyskać większą
szczegółowość w przydzielaniu metryk w domenie IS-IS (24 bity opisujące koszt interfejsu i
32 bity opisujące koszty ścieżki), zamiast domyślnej wartość wynoszącej 10. Użycie
szczegółowych metryk spowodowane jest min. potrzebami protokołu MPLS oraz rezerwacji
MPLS TE.
Poszczególne metryki będą następujące:
Połączenia 40GE – metryka 20
9.4.3
Parametryzacja protokołu IS-IS
W konfiguracji procesu IS-IS zaproponowane są następujące dodatkowe elementy:
Konfiguracja wszystkich interfejsów jako ISIS point-2-point,
Synchronizacja stanu LDP z IS-IS,
Opóźnienie w przesyłaniu ruchu tranzytowego po powrocie routera do pracy po awarii
– ustawienie w ISIS bitu overload, który sygnalizuje innym routerom w obszarze, że
router nie może być wykorzystany jako tranzytowy. Dopiero po upływie
skonfigurowanego czasu, ruch zaczyna przez niego być przesyłany. Daje to czas na
zestawienie sąsiedztwa IS-IS oraz dla konwergencji BGP.
9.5 Routing BGP
Jako protokół przenoszący informacje o osiągalności sieci L2VPN i L3VPN będzie
wykorzystywany protokół MP-BGP. Protokół BGP, w połączeniu z siecią podkładową
MPLS, z uwagi na swe funkcjonalności, nadaje się do budowy VPN L2 i L3 – czyli
umożliwia przenoszenie informacji o sieciach L3VPN i domenach VSI od Klientów
podłączanych do sieci gminnej.
Sesje w protokole BGP budowane są w oparciu o informacje pochodzące z protokołu IS-IS i
LDP. Pierwszy z nich zapewnia efektywne przenoszenie adresów Loopback255, które są
adresami końców sesji BGP, drugi umożliwia alokację etykiet przy zestawianiu wirtualnych
połączeń L2.
Zaproponowano numer BGP AS (Autonomous System) – 65000. Jest to numer prywatny, nie
używany w Internecie, natomiast wystarczy do uruchomienia funkcjonalności L2VPN i
L3VPN w sieci gminnej. Do uruchomienia L3VPN, należy skonfigurować sesje iBGP VPNv4
oraz VPNv6, a dla L2VPN (VPLS), sesje iBGP L2VPN. Przyjęto zasadę, że przełącznik:
UGM_CS1 będzie Route Reflektorem BGP dla przełączników dystrybucyjnych.
Otrzymujemy w ten sposób redundantną siatkę full-mesh połączeń iBGP w rdzeniu sieci.
9.5.1
Parametryzacja protokołu BGP
Parametry ogólne protokołu BGP będą następujące:
Skrócone czasy hello-time i hold-time wynoszą odpowiednio 10 i 30 sekund,
Wyłączona synchronizacja w procesie iBGP,
BGP router ID będzie skonfigurowany zgodnie z adresem IP interfejsu Loopback 255,
Przesyłanie standardowych i rozszerzonych community będzie obowiązywało dla
wszystkich sesji BGP.
9.6 Konfiguracja protokołu MPLS
Wszystkie przełączniki, w warstwie rdzeniowej i dystrybucyjnej będą pełniły rolę
przełączników PE (Provider Edge). W sieci nie będą występowały przełączniki, które
pełniłyby rolę wyłącznie urządzenia P (Provider Router). Taka sytuacja spowodowana jest
koniecznością bezpośredniego połączenia przełączników rdzeniowych z firewallem UTM do
Internetu (urządzenie UGM_FW1) oraz serwerów.
9.6.1
Konfiguracja MTU na interfejsach przełączników
Zadaniem sieci gminnej jest przesyłanie pakietów dla różnych usług bez fragmentacji
pakietów. Kilka sposobów tunelowania pakietów może zostać użytych, które dodają dane
kontrole do istniejących pakietów:
L3VPN – dodaje co najmniej 2 etykiety (8 bajtów)
MPLS TE i FRR – dodaje do dwóch etykiet (8 bajtów)
VPLS / EoMPLS – około 58 bajtów
IPSec – około 57 bajtów
Biorąc pod uwagę powyższe wartości, wartość MTU na routerach szkieletowych powinna być
ustawiona na maksymalną możliwą.
Wartość MTU na przełącznikach dostępowych również powinna zostać ustawiona globalnie
na wartość najwyższą, zarówno dla poszczególnych interfejsów jak i globalnie.
9.6.2
Protokół LDP
W sieci MPLS etykiety zostają przypisane do prefiksów IP oraz rozgłoszone do routerów
sąsiadujących za pomocą protokołu Label Distribution Protocol (LDP). Etykiety
przypisywane są do każdego prefiksu, który został wpisany do globalnej tablicy routingu za
pomocą protokołu IGP (Interior Gateway Protocol).
Protokół LDP nie jest natomiast odpowiedzialny za alokację i rozgłaszanie etykiet dla
konkretnych L2VPN lub L3VPN’ów. Funkcjonalność ta zaimplementowana jest w protokole
MP-BGP, który wymienia te informacje pomiędzy routerami pełniącymi funkcję PE
(Provider Edge). Standardowo, routery pełniące tylko rolę P (Provider) nie mają wiedzy o
etykietach VPNów, przesyłają tylko pakiety do tzw. next-hop. Pełna dekapsulacja pakietu
MPLS do pakietu IP następuje zawsze na wyjściowym brzegowym routerze PE, który jest
źródłem trasy do danego prefiksu IP wewnątrz VPNa. Wymagane jest również włączenie
protokołu MPLS na każdym interfejsie, który ma przełączać ruch na podstawie etykiet. W
Przypadku szerokopasmowej sieci gminnej, wszystkie przełączniki: szkieletowy oraz
dystrybucyjne będą urządzeniami PE (będą miały możliwość terminowania VPNów).
9.6.3
Synchronizacja protokołu IGP i LDP
W celu wyeliminowania możliwości utraty części ruchu podczas konwergencji sieci
wprowadzony zostanie mechanizm synchronizacji protokołów IGP z protokołem LDP.
Synchronizacja ma wyeliminować możliwość, w której konwergencja protokołu IGP już
nastąpiła, natomiast protokół LDP nie zdążył jeszcze wymienić niezbędnych informacji na
temat etykiet używanych przez MPLS. Sytuacja taka prowadziłaby do utraty pakietów z
etykietami MPLS.
Po włączeniu synchronizacji, protokół IGP będzie rozgłaszał metrykę danego łącza, jako
najwyższą możliwą tak, aby dane łącze nie było uwzględnione w trasie optymalnej.
Obniżenie metryki do natywnej nastąpi dopiero po zestawieniu sąsiedztwa LDP poprzez to
łącze i wymianie danych dotyczących etykiet. Dopiero wtedy łącze uważane jest za
przygotowane do obsługi ruchu.
9.7 Konfiguracja VLANów
Wykorzystanie VLANów o określonych identyfikatorach musi być ściśle określone. W
projekcie przyjęto następujący podział VLANów:
Zakres od 1000 do 1999 będzie przeznaczony na podłączanie klientów
(użytkowników) L3VPN,
Zakres od 2000 do 2499 będzie przeznaczony na transport w trybie Q-in-Q klientów
przyłączonych do VPLS.
Tabela 5 - Konfiguracja VLANów
Numer lub zakres Przeznaczenie
VLANów
1
VLAN domyślny, wykorzystywany jako native VLAN dla protokołów
802.1q, LACP, LLDP.
2-100
VLANy wewnętrzne (zarezerwowane), wykorzystywane na potrzeby sieci
MPLS
101-149
VLANy wykorzystywane na przełącznikach dystrybucyjnych i
dostępowych - zarządzanie przełącznikami dostępowymi
150-200
VLANy wykorzystywane na połączenia L3 w szkielecie i dystrybucji
1000-1999
VLANy przeznaczone na połączenia klientów w ramach L3VPN
2000-2499
VLANy transportowe Q-in-Q dla klientów przyłączony do VPLS
2500-3000
VLANy przeznaczone dla klientów nie posiadających VLANów (bez
802.1q)
9.8 Sieci L3VPN
W sieci zaimplementowane będą usługi Layer 3 MPLS VPN zgodnie z RFC 2547
(BGP/MPLS VPNs) oraz RFC 2283 (Multiprotocol Extensions for BGP-4). Usługi będą
wykorzystane do separacji ruchu przenoszonego przez szkielet sieci. Komunikację pomiędzy
poszczególnymi VPN-ami umożliwią polityki eksportu oraz importu tras rozgłaszanych w
protokole MP-BGP. Usługi Layer 3 MPLS VPN będą skonfigurowane zgodnie z zasadami:
Sieci VPN będą rozgłaszane zgodnie z topologią sesji VPNv4 oraz VPNv6,
Będą rozgłaszane extended community do sąsiadów iBGP,
Sieci klientów będą podawane do protokołu IPv4 oraz IPv6 za pomocą wpisów
import, jak również możliwe jest też użycie tu dynamicznego protokołu routingu IGP
lub eBGP, z uwzględnieniem rezerwacji AS 65000, jako obowiązującego w szkielecie
MPLS sieci miejskiej.
W przypadku podłączania dodatkowych urządzeń (routery CE Klientów) z
wykorzystaniem IP do urządzeń szkieletowych PE – sieci połączeniowe pomiędzy PE
i CE rozgłoszone będą przez routery PE w odpowiednim L3VPN,
W celu zapewnienia separacji ruchu produkcyjnego, rutery PE będą rozgłaszały sieci
wykorzystywane w ramach ośrodków w odpowiednich instancjach VPN (VRF),
tworząc osobne tablice routingu dla każdego z VPN,
Każdy VPN będzie skonfigurowany z unikalnym RD (Route Distinguisher) oraz
politykami importu i eksportu informacji routingowych RT (Route Target),
Polityki eksportu oraz importu VPN będą skonfigurowane z tą samą wartością RT.
Numeracja RD (Route Distinguisher) będzie następująca:
RD – 65000:1xxxx, gdzie xxxx to liczba z zakresu 0000 – 9999,
Route-target dla potrzeb importu i export community, będzie identyczny.
9.9 Mechanizmy QoS
9.9.1
Implementacja mechanizmów QoS
Miejsca możliwych do implementacji mechanizmów QoS, przedstawione są na poniższym
rysunku:
D
D
C
C
Warstwa szkieletowa MPLS
B
B
A
Warstwa dystrybucyjne MPLS
B
Warstwa dostępowa
A
Urządzenia klientów
Rysunek 3 - Obszary konfiguracji QoS
A – zlokalizowany w miejscu dołączenia klienta do sieci (domyślnie – port dostępowy
węzła na przełączniku dostępowym lub w szczególnych przypadkach na przełączniku
dystrybucyjnym),
B – zlokalizowany na przełączniku dostępowym lub dystrybucyjnym, interfejsy
prowadzące do warstwy dystrybucyjnej lub rdzeniowej,
C – zlokalizowany na przełącznikach rdzeniowych, interfejs prowadzący do
przełącznika dystrybucyjnego,
D – zlokalizowany w na połączeniach pomiędzy przełącznikami szkieletowymi.
9.9.2
Mechanizmy QoS w warstwie dostępowej i dystrybucyjnej
Konfiguracja na portach dostępowych – w punktach A. Implementacja odpowiedniego
mapowania ruchu klienckiego do klas zdefiniowanych wewnątrz sieci szkieletowej. Ruch
będzie mógł być odpowiednio ograniczany na wejściu zgodnie ze skonfigurowaną polityką
QoS Policing. W tym miejscu będzie realizowana:
Klasyfikacja ruchu do odpowiednich klas,
Policing ruchu do wartości odpowiadającej umowie z Klientem.
Poza klasyfikacją i ograniczeniem ruchu wejściowego będzie można również
zaimplementować techniki ograniczania zatorów oraz zarządzanie tymi zatorami.
Funkcjonalności te będą skonfigurowane na portach w pkt. B przełączników dostępowych i
dystrybucyjnych. Ze względu na specyfikę rozwiązania sprzętowego może zostać tu
zastosowany algorytm kolejkowania PQ+WRR. Oznacza to, że jedna kolejka jest
priorytetowa, a pozostałe mają przydzielone określone procentowo pasmo na interfejsie.
Domyślnie przełącznik mapuje ruch do predefiniowanych wewnętrznych kolejek. Numerom
tych kolejek są następnie przypisywane odpowiednie wagi. Polityki QoS wraz z kolejkami
będą ustawiane w kierunku „out” interfejsów.
9.9.3
Mechanizmy QoS w warstwie rdzeniowej
Na przełącznikach szkieletowych – punkt C – powinny być zaimplementowane następujące
elementy:
Wejściowe ograniczenie ruchu do określonej wartości,
Wyjściowe ograniczenie ruchu do określonej wartości – mechanizm PQ+DRR
(Deficit Round Robin, ulepszona wersja mechanizmu Weighted Round Robin)
Na połączeniach pomiędzy przełącznikami szkieletowymi – punkt D – powinny być
zaimplementowane następujące elementy:
Wejściowe ograniczenie ruchu do określonej wartości
Wyjściowe ograniczenie ruchu do określonej wartości w zależności od kolejki
Wyjściowe ograniczenie ruchu do określonej wartości – mechanizm PQ+DRR
9.10 Konfiguracja protokołów typu IP Services
9.10.1 Konfiguracja protokołu SNMP
Wszystkie przełączniki będą posiadały skonfigurowany protokół SNMP w następujący
sposób:
Wersja SNMP: v3,
Poziom bezpieczeństwa: authPriv
o Autentykacja: HMAC-SHA,
o Szyfracja: AES256,
Adres stacji zarządzającej: 172.16.254.254,
Jako interfejs źródłowy dla Trapów SNMP użyty będzie Loopback 254 lub interfejs
VLAN (przełączniki dostępowe).
9.10.2 Logowanie zdarzeń
Wszystkie przełączniki będą posiadały skonfigurowany protokół SYSLOG, za pomocą
którego będą wysyłać zdarzenia systemowe do zdalnego serwera SYSLOG o adresie
172.16.254.254.
9.10.3 Konfiguracja AAA
Na każdym przełączniku będzie skonfigurowany użytkownik o nazwie admin, który będzie
posiadał hasło, oraz najwyższy poziom administracyjny. Konfiguracja przełączników w
zakresie AAA będzie uwzględniać takie elementy jak:
Wyłączenie usługi TELNET,
Wyłączenie usługi HTTP i HTTPS,
Włączenie usługi SSH,
Objęcie mechanizmem AAA wszystkich kanałów komunikacyjnych (konsola, port
AUX, telnet, WWW, ssh, itd.),
Możliwość uruchomienia zdalnej autentykacji w oparciu o serwer RADIUS lub
TACACS.
9.10.4 Synchronizacja czasu
Synchronizacja czasu na urządzeniach będzie realizowana poprzez NTP. Źródłem czasu
będzie serwer zarządzający o adresie 172.16.254.254.
9.10.5 Konfiguracja protokołu Spanning-Tree
Mechanizmy STP będą skonfigurowane w trybie RSTP. Protokół STP będzie używany
głównie na brzegu sieci, tzn. na przełącznikach dostępowych, w VLANach portów klienckich
(w takiej konfiguracji przełącznik dostępowy zostanie skonfigurowany jako Root STP z
priorytetem 0). Na przełącznikach dystrybucyjnych, STP będzie wyłączone. Oznacza to, że
VLANy rozciągane od portu Klienta do przełącznika dystrybucyjnego są tam terminowane w
L3 – zarówno dla L3VPNów jak i L2VPNów. Dążymy tutaj zatem do tego, aby każdy Klient
miał swój dedykowany nr VLANu.
Ograniczenie zasięgu STP wpływa na stabilność sieci – przeliczenia drzewa STP nie
powodują wzrostu obciążenia procesora na większej ilości urządzeń. Na urządzeniach
dostępowych może zostać dodatkowo użyty mechanizm (na portach użytkowników) BPDU
protection – funkcjonalność pozwalająca zamknąć port na którym pojawiają się ramki BPDU
pochodzące od Klientów sieci. Konfiguracja ta nie może być użyta dla Klientów sieci, którzy
są podłączeni do jednego L2VPNu oraz dodatkowo mają własne połączenie pracujące w L2.
W takim wypadku wskazane jest wykorzystanie STP.
9.10.6 LLDP
Na urządzeniach zostanie włączony mechanizm LLDP umożliwiający rozpoznawanie
sąsiednich urządzeń podłączonych do portów i ułatwiający diagnostykę połączeń.
9.10.7 Mechanizmy zabezpieczeń
W niniejszym rozdziale zostaną przedstawione proponowane konfiguracja zabezpieczeń
przed atakami L2.
MAC Flooding – przed tymi atakami chroni funkcjonalność port-security. Określa się
tu maksymalną liczbę adresów MAC, jakie mogą pojawić się na porcie i które będą
zajmować tablice MAC. Po przekroczeniu tej liczby port może zostać zamknięty.
Zabezpieczenie to będzie włączane na przełącznikach dostępowych.
ARP Attack – przed tymi atakami zostanie zastosowana funkcjonalność ARP ratelimiting, ograniczająca liczbę pakietów ARP, które przez urządzenie są analizowane,
rate-limiting dla pakietów ARP Miss, gratuitous ARP packet discarding, ARP strict
learning, ARP gateway anti-collision. Zabezpieczenia te włącza się na przełącznikach
dystrybucyjnych – tam, gdzie klienci sieci mają skonfigurowaną swoją domyślną
bramkę.
Mac Duplication – z uwagi na charakter sieci (oparta na przełącznikach), w wypadku
duplikacji MAC adresu, tablice MAC będą przełączały odpowiedni wpis pomiędzy
portami, co prowadzi do komunikatów o flappowaniu adresu MAC. Atak ten jest
bardziej charakterystyczny dla sieci WiFi. W przypadku przełączników, w
szczególnym przypadku można wyłączyć uczenie się adresów MAC i skonfigurować
adres MAC statycznie.
STP attack – poza szczególnymi przypadkami, na porcie przełącznika dostępowego
skonfigurowana zostanie funkcjonalność BPDU protection, zamykająca port w
przypadku pojawienia się tam ramek BPDU, lub STP Root Guard.
Layer 2 Port Authentication – uwierzytelnienie użytkownika na porcie możliwe jest
do wykonania na przełącznikach dostępowych, z wykorzystaniem 802.1x. Należy
jednak wziąć pod uwagę, że potrzebne są do tego min. następujące elementy:
o Skonfigurowany klient na podłączanym do sieci urządzeniu
o Centralna baza użytkowników w RADIUS, ze skonfigurowanymi
użytkownikami dla wszystkich chcących się podłączyć do sieci użytkowników
(oraz hasłami)
o Port na urządzeniu dostępowym dedykowany dla pojedynczego urządzenia.
o Odpowiednia konfiguracja ww. elementów.
Konfiguracja taka jest możliwa, jednakże w związku z wieloma przypadkami wynikającymi
ze specyfiki sieci – np. jednostki samorządowe podłączają się do sieci za pośrednictwem
jednego urządzenia – routera lub dodatkowego przełącznika, nie będzie możliwości jej
zaimplementowania.
10 Segment dostępu do Internetu
10.1 Architektura segmentu internetowego
Realizacja dostępu do Internetu, będzie odbywać się poprzez firewall i router brzegowy.
Połączenie pomiędzy przełącznikiem rdzeniowym, firewallem a router brzegowym będą
zrealizowane za pomocą podwójnych, redundantnych połączeń.
Niniejszy rozdział zawiera propozycję architektury podłączenia do Internetu
wykorzystaniem powyższego sprzętu. Opiera się on na następujących założeniach:
z
Dostęp do Internetu realizowany jest w globalnej tablicy routingu routera brzegowego,
Dostęp użytkowników z sieci L3VPN lub VPLS do Internetu może być zrealizowany
z wykorzystaniem translacji adresowej,
Router brzegowy będzie umożliwiał połączenie z minimum dwoma dostawcami
Internetu ISP, oraz będzie umożliwiał zestawienie sesji BGP i przyjęcie pełnej
internetowej tablicy routingu,
Istnieje możliwość zestawiania sesji eBGP z routerami Klientów sieci gminnej,
Router Internetowy będzie podawał do eBGP prefiksy uzyskane dla lokalnego ASa.
Z punktu widzenia struktury MPLS, firewall będzie urządzeniem CE.
Router brzegowy zestawi sesje eBGP z zewnętrznymi dostawcami ISP. Internetowa tablica
routingu BGP, będzie zlokalizowana w tablicy globalnej, z uwagi na minimalizację wymagań
zasobów (pamięć). Router będzie miały skonfigurowaną możliwość podawania do Internetu
tylko prefiksów lokalnych (tak aby nie stać się Internetowym routerem tranzytowym).
Podawanie tych prefiksów będzie realizowane z wykorzystaniem statycznej trasy do prefiksu
skierowanej na Null 0 oraz komendy network w konfiguracji BGP. Wysyłanie tras do
zewnętrznych ISP zabezpieczone będzie dodatkowo prefix-listą. Dla połączeń do
zewnętrznych ISP, może zostać skonfigurowane ebgp-multihop w przypadku połączenia
przez zaporę ogniową warstwy trzeciej, lub peering BGP z routerem nie leżącym na
bezpośrednim połączeniu. Router brzegowy będzie niezależnie od siebie pobierać trasy z
eBGP i wysyłać prefiksy do Internetu, a wybór optymalnej będzie sterowany parametrami
local preference – dla ruchu wychodzącego i as-path dla ruchu przychodzącego.
Rdzeniowe przełączniki sieci MPLS i interfejsy VLAN podłączone do nich (interfejsy SVI)
będą w wypadku konieczności uzyskania dostępu do Internetu z wykorzystaniem tablicy
globalnej uzyskiwać sieć domyślną, generowaną na routerze brzegowym.
10.2 Parametryzacja protokołu BGP na routerach internetowych
Konfiguracja BGP będzie zawierała następujące, elementy parametryzacji:
Uniknięcie zerwania sąsiedztwa BGP z bezpośrednio połączonym sąsiadem eBGP w
przypadku „flapu” interfejsu. Zwiększa to stabilność pracy sesji BGP.
(Opcjonalnie) Ograniczenie do 10 ilości ASów w ścieżce, dla prefiksów
otrzymywanych z Internetu. Zabezpiecza to pamięć urządzenia przed uzyskiwaniem
dróg o nadmiernie rozbudowanej ścieżce.
Wyłączenie negocjacji wersji protokołu BGP, w celu przyspieszenia zestawiania sesji
BGP
Założenie domyślnej reguły filtrującej prefiksy od zewnętrznych ISP, które nie
powinny pojawić się w Internecie w BGP (RFC 1918 i RFC 5735) oraz sieci
niezaalokowane, a także prefiksy o długości większej niż 27 bitów.
Założenie domyślnej reguły filtrującej prefiksy wysyłane do zewnętrznych ISP.
Wysyłamy tylko lokalny prefiks.
(Opcjonalnie) Skonfigurowanie maksymalnej ilości prefiksów, jakie mogą nadejść od
sąsiada eBGP wraz z ostrzeżeniem w momencie uzyskania 50% tej ilości.
Zabezpieczenie przed próbami podłączenia się do sesji BGP od innych adresów niż
znani sąsiedzi BGP. Może to być zrealizowane na firewallu lub na routerze na
interfejsie L3 w kierunku routera eBGP.
(Opcjonalnie) Włączenie usuwania prywatnych numerów AS z atrybutu AS-path
otrzymywanego od sąsiadów eBGP.
10.3 Konfiguracja zabezpieczeń na zaporze ogniowej UTM
Jako mechanizm zabezpieczeń na styku do sieci Internet, zostanie wykorzystane urządzenie
klasy UTM z funkcjonalnością:
Firewaling,
IPS - Intrusion Prevention System,
WebFiltering,
AntiVirus,
Dostęp do sieci Internet dla klientów ulokowanych w instancjach L3VPN będzie realizowany
za pomocą dedykowanych VLANów stworzonych pomiędzy firewallem a przełącznikiem
rdzeniowym. Każda z instancji L3VPN będzie przypisana do jednego VLANu w segmencie
internetowym. Na przełączniku rdzeniowym, stworzone interfejsy L3 dla poszczególnych
VLANów będą umieszczone w odpowiednich VRF’ach, reprezentujących instancje L3VPN.
Te same VLANy będą terminowane na firewallu jako wirtualne interfejsy VLAN L3.
Jeżeli użytkownicy danej sieci L3VPN będą używali adresacji prywatnej, konieczna będzie
dla nich translacja NAT, gdzie zakres używanych adresów prywatnych będzie zamieniany na
jeden lub więcej przydzielonych dla danego klienta adresów publicznych.
Dokładna konfiguracja polityk filtracji ruchu oraz translacji NAT dla stref klienckich będzie
zależała od wymagań konkretnego klienta i zostanie opracowana przed uruchomieniem usług
dla danego klienta.
11 Zarządzanie siecią
Do realizacji podstawowych funkcji zarządzania i monitoringu siecią zakłada się
wykorzystanie dedykowanego pakietu oprogramowania. Należy skonfigurować minimum
następujące funkcjonalności:
Wykrycie i dodanie wszystkich urządzeń sieciowych do bazy danych aplikacji
zarządzającej,
Inwentaryzacja urządzeń, modułów, portów, wersji firmware’ów,
Włączenie odbierania trapów SNMP i informacji SYSLOG,
Włączenie generowania alarmów na podstawie otrzymywanych trapów SNMP i
innych zdarzeń sieciowych (na przykład aplikacja powinna wygenerować alarm, gdy
sama stwierdzi, że dany element, mechanizm, czy protokół sieciowy zmienił ststaus
swojej pracy),
Włączenie diagnostyki błędów w sieci,
Włączenie badania utylizacji zasobów na poszczególnych urządzeniach: obciążenie
ruchem portów i interfejsów, utylizacja CPU i wykorzystania pomięci operacyjnej
urządzeń,
Wizualizacja topologii sieci w L2 i L3,
Automatyczny proces tworzenia kopii zapasowych konfiguracji urządzeń,
Raportami i audytami dotyczącymi zmian w sieci,

Projekt sieci MPLS „Budowa infrastruktury Internetu

Transkrypt

Podobne dokumenty

Porównanie efektywności protokołów OpenFlow i MPLS

Szkolenia

Wprowadzenie do sieci komputerowych opartych na protokole IP