Projekt Ynetu - ŠD Jura Hronca


1. Obsah

1.Úvod
1.1.Použité skratky
1.2.Definície pojmov
2.Ciele
3.Organizácia
3.1.Personálna štruktúra
4.Technické riešenie
4.1.Požiadavky
4.2.Požiadavky vo faktoch a číslach
4.2.1.Výber technológie
4.2.2.Výhody technológie Ethernet
4.2.3.Nevýhody technológie Ethernet
4.3.Fyzická topológia siete
4.3.1.Prvá úroveň fyzickej topológie – chrbticová sieť
4.3.2.Druhá úroveň fyzickej topológie
4.4.Pasívna časť
4.4.1.Dátové rozvádzače
4.4.2.Štruktúrovaný kabelážny systém
4.5.Logická topológia siete
4.6.Aktívne prvky
4.6.1.Požiadavky na aktívne prvky
5.Bezpečnosť
5.1.Bezpečnosť informácií
5.2.Personálna bezpečnosť
5.3.Sieťová bezpečnosť
5.4.Fyzická bezpečnosť
6.Financovanie
6.1.Príjmy
6.2.Výdavky
7.Prílohy
7.1.Logická topológia siete
7.2.Vedenie štruktúrovanej kabeláže
7.3.Celkové náklady na realizáciu projektu

1. Úvod

Tento dokument je zostavený pre potreby Občianskeho združenia Ynet (ďalej len Ynet), ktorého hlavným cieľom je združovať študentov predovšetkým za účelom vzdelávania a uspokojovania ich záujmov v oblasti informačných technológií a dátovej komunikácie. Združenie pracuje na nekomerčnej báze a osoby ktoré sa podieľajú na rozvoji združenia a jeho aktivít pracujú bez nároku na finančnú alebo materiálnu odmenu.

1.1. Použité skratky

STU – Slovenská technická univerzita, Bratislava.

ÚZ STU – Účelové zariadenie STU.

POP – point of presence.

L2 – druhádátovávrstvareferenčného modelu OSI.

L3 – tretia sieťová vrstva referenčného modelu OSI.

ACL – Access List – Lineárny zoznam pravidiel jednoznačne identifikovaný svojim menom, určujúci či sa má niečo povoliť alebo zakázať.

IDS/IPS – Intrusion Detection System/Intrusion Detection System

1.2. Definície pojmov

Backbonechrbticová časť počítačovej siete.

Centrálny uzol – centrálny aktívny prvok alebo niekoľko aktívnych prvkov tvoriacich jeden celok.

Hraničný uzol – hraničný aktívny prvok alebo niekoľko aktívnych prvkov tvoriacich jeden celok.

Ethernet – Štandard definovaný v IEEE Std 802.3

Token Ring - Štandard definovaný v IEEE Std 802.5

Broadcast – Vysielanie jedného vysielača všetkým príjimačov bez ohľadu na príjimač.

Multicast – Vysielanie jedného vysielača skupine registrovaných príjimačov.

Rack – stojanový rozvádzač.

2. Ciele

Cieľom projektu je združovať študentov predovšetkým za účelom vzdelávania a uspokojovania ich záujmu v oblasti informačných technológií a dátovej komunikácie.

Ďalšie ciele:

  • vybudovať, spravovať a rozširovať počítačovú sieť pre študentov ubytovaných v Študentskom domove Jura Hronca v Bratislave,
  • organizovať podujatia spojené s využívaním počítačovej siete ako kurzy, školenia a pod.,
  • spolupracovať so Združením študentov Stavebnej Fakulty STU, Akademickým senátom SvF STU a Radou ubytovaných študentov pôsobiacou v Študentskom domove Jura Hronca a ďalšími študentskými organizáciami na základe vzájomnej dohody,
  • podporovať projekty súvisiace s cieľom činnosti,
  • spolupracovať so združeniami a organizáciami s podobným zameraním za účelom rozvoja, alebo výmeny skúseností,
  • využívať myšlienkové prostriedky (prednášky a stretnutia, semináre a diskusie, odborné dialógy a pod., vydávanie bulletinov, príručiek, zoznamov a pod.).

 

3. Organizácia

Organizáciu tohto projektu bude zastrešovať Občianske združenie Ynet a bude nielen realizátorom projektu, ale bude mať v kompetencii všetky administratívne a organizačné úkony, potrebné na všetky činnosti súvisiace s realizáciou projektu a následnou správou siete po dokončení projektu. Na činnosť Ynet-u bude po celý čas dohliadať dozorná rada.

3.1. Personálna štruktúra

Personálnu štruktúru Ynet-u budú tvoriť riadiace a výkonné zložky. Riadiacu zložku predstavuje predsedníctvo, ktoré nesie hlavnú zodpovednosť za realizáciu celého projektu, výbere dodávateľov, nakladanie s financiami a efektívne riadenie prác a správy.

Výkonnú zložku budú tvoriť členovia realizačného tímu, ktorí budú mať rozdelené úlohy podľa svojich osobných schopností a záujmu o danú oblasť projektu, a v prevažnej väčšine ubytovaných študentov na ŠD Jura Hronca. Činnosť realizačného tímu podlieha rozhodnutiam predsedníctva a zodpovedá sa mu. Realizačný tím sa musí vhodne rozdeliť do pracovných skupín, ktoré budú efektívnejšie realizovať jednotlivé časti projektu. Základné rozdelenie do skupín, ktoré sa môžu podľa potreby ďalej rozdeľovať alebo zlučovať, bude nasledovné:

  • skupina na realizáciu fyzických prác spojených najmä s ťahaním štruktúrovanej kabeláže a inštaláciou jednotlivých komponentov pasívnej časti,
  • skupina na správu aktívnych prvkov,
  • skupina starajúca sa o pripájanie používateľov do siete a administratívne činnosti s tým spojené,
  • skupina starajúca sa o bezpečnosť siete.

 4. Technické riešenie

4.1. Požiadavky

Cieľom tohto projektu bude navrhnúť technickú realizáciu lokálnej počítačovej siete s pripojením do siete Internet na internáte STU ŠD Jura Hronca. Táto sieť bude pod správou občianskeho združenia Ynet. Projekt bude vychádzať z požiadaviek, ktoré sú kladené na moderné počítačové siete v súčasnosti, ako aj z požiadaviek, ktoré budú musieť spĺňať počítačové siete v blízkej budúcnosti.

Počítačová sieť má byť schopná zabezpečovať ciele Ynet-u, ktoré vyplývajú zo stanov Ynet-u, prípadne pomáhať pri ich dosahovaní. Medzi tieto ciele patrí najmä:

  • uspokojovanie záujmu študentov v oblasti informačných technológií a dátovej komunikácie,
  • podporovať projekty súvisiace s cieľom činnosti.

Počet používateľov, ktorí budú reálne počítačovú sieť využívať sa odhaduje na 750 až 850. Tento odhad vychádza z momentálnej ubytovacej kapacity na ŠD Jura Hronca, ktorá sa pohybuje okolo 920 ubytovacích miest. Počet ubytovacích miest na ŠD Jura Hronca sa podľa podkladov z ŠD Jura Hronca a ÚZ STU v budúcnosti nebude zvyšovať ani znižovať. Nutnosťou bude vybavenie všetkých izieb dostatočným počtom prípojok z dôvodu častého premiestňovania budúcich používateľov v rámci ubytovacích priestorov ŠD Jura Hronca. Cieľom bude umožniť pripojiť sa do lokálnej siete (s pripojením do siete Internet) ktorémukoľvek študentovi bývajúcemu na spomínanom internáte na ktorejkoľvek izbe, na ktorej bude ubytovaný.

Počítačová sieť musí umožňovať chod služieb ako:

  • prezeranie a sťahovanie web stránok z Internetu,
  • e-mail,
  • sťahovanie veľkých súborov (napr. študijné materiály) pomocou ftp alebo http protokolov,
  • komunikácia prostredníctvom chat aplikácií,
  • internet banking,
  • online nakupovanie,
  • hlasové služby (VoIP),
  • videokonferencie,
  • multimediálne služby (vysielanie prednášok, seminárov, odborných konferencií, televíznych a rozhlasových staníc atď. pomocou technológie multicast).

V neposlednom rade musí byť navrhovaná počítačová sieť schopná slúžiť aj na vedecké účely (vývoj a testovanie nových aplikácií, technológií, procesov a pod.) za podmienky neobmedzenia a neohrozenia riadnej prevádzky siete.

Celá počítačová sieť sa musí dať ľahko a jednoducho spravovať s nutnosťou čo najmenšieho počtu sieťových administrátorov. Súčasťou správy siete musí byť monitorovanie jej dôležitých častí. Okrem samotnej funkčnosti počítačovej siete, bude kladený dôraz aj na jej celkovú bezpečnosť.

Na splnenie všetkých spomenutých požiadaviek bude potrebné zabezpečiť pripojenie koncových používateľov a serverov so šírkou pásma 1 Gbps. Chrbticová časť siete musí poskytovať šírku pásma až 10 Gbps. Transportná linka do siete Internet si bude vyžadovať šírku pásma 100 Mbps alebo 1 Gbps.

Požaduje sa použitie perspektívnej technológie, cenovo porovnateľnej s alternatívnymi technológiami súčasnosti. Pasívna časť siete by mala byť schopná prevádzky najmenej 10 rokov bez potreby výmeny alebo obnovy. Aktívna časť siete by mala byť schopná zabezpečovať svoju funkciu cca 4-6 rokov bez potreby obnovy. Dôležitá je aj požiadavka na rozšíriteľnosť a prispôsobiteľnosť siete podľa potreby – rast počtu používateľov a zmeny štruktúry využívaných služieb.

Poskytovanie pripojenia lokálnej počítačovej siete do Internetu bude zabezpečované prostredníctvom optickej infraštruktúry STU a prípojných bodov akademickej siete SANET.

4.2. Požiadavky vo faktoch a číslach


Tabuľka č. 1: Minimálna životnosť jednotlivých častí siete

Pasívna časť

10 a viac rokov

Aktívna časť

4-6 rokov

 

Tabuľka č. 2: Počet prípojok

Počet prípojok na 2-posteľovú izbu

2

Počet prípojok na poschodie (A+B blok)

84

Celkový počet prípojok (11 poschodi)

924

Odhadovaný priemerný počet používateľov na 1 poschodie

65 – 70

Odhadovaný maximálny počet používateľov na 1 poschodie

84

Celkový odhadovaný počet používateľov

750 - 850


Tabuľka č. 3: Služby

E-mail

Internet banking

Video konferencie

Online nakupovanie

Hlasové služby (VoIP)

Prezeranie a sťahovanie web stránok z Internetu

Sťahovanie veľkých súborov (napr. študijné materiály, ISO distribúcie Linux, Open Office a pod.) pomocou ftp alebo http protokolov

Multimediálne služby (vysielania prednášok, seminárov, odborných konferencií televíznych, rozhlasových staníc atď. pomocou technológie multicast)

Výskum


Tabuľka č. 4: Potrebná šírka pásma v jednotlivých častiach siete

Koncoví používatelia / servery

1 Gbps

Chrbticová sieť

10 Gbps

Pripojenie do Internetu

100 Mbps - 1 Gbps

4.2.1. Výber technológie

Na základe zadaných požiadaviek jednoznačne vychádza ako najoptimálnejšie riešenie použitie technológie Ethernet. Technológie ako Token Ring alebo FDDI sú viacmenej archaické a v dnešnej dobe sa už takmer nikde nevyužívajú.

4.2.2. Výhody technológie Ethernet

  • Jednoduchosť,
  • robustnosť,
  • veľká dátová priepustnosť (neustále narastá vysoko nad úroveň iných technológií),
  • najpoužívanejšia technológia v LAN sieťach (postupne nasadzovaná aj vo WAN sieťach),
  • jednotné celosvetové štandardy,
  • cena aktívnych prvkov,
  • cena pasívnych prvkov,
  • obrovské množstvo produktov pre aktívnu a pasívnu časť siete
  • nízke náklady na údržbu,
  • jednoduchá správa a manažment siete,
  • perspektíva (jedna z najrýchlejšie sa rozvíjajúcich sieťových technológií).

4.2.3. Nevýhody technológie Ethernet

  • Všetky pripojené uzly zdieľajú celú šírku pásma na danom segmente siete, t. j. nikto nemá garantovanú určitú časť prenosového pásma pre seba (kompenzované veľkou priepustnosťou technológie),
  • znížené možnosti garancie časovej odozvy a určitej kvality kritických služieb ako napr. hlasové služby, oproti napr. ATM technológii (kompenzované veľkou priepustnosťou a stále dokonalejšími prvkami Quality of Service používanými v aktívnych zariadeniach),
  • znížená bezpečnosť (je potrebné ošetriť použitím moderných manažovateľných aktívnych prvkov a kombináciou s ďalšími nástrojmi vyšších vrstiev).

Z uvedeného porovnania vyplýva, že technológia Ethernet je najvhodnejšia na realizáciu vysokorýchlostnej lokálnej počítačovej siete pri dodržaní všetkých zadaných požiadaviek, preto bude na tejto technológii postavená celá navrhovaná počítačová sieť. Z tohto faktu sa bude vychádzať pri navrhovaní fyzickej a logickej topológie siete a výbere prvkov aktívnej a pasívnej časti siete.

4.3. Fyzická topológia siete

Fyzická topológia siete je daná rozložením a konštrukciou jednotlivých blokov tvoriacich komplex ŠD Jura Hronca (viď. obrázky v prílohe).

Topológiu siete je možné realizovať niektorým z nasledovných modelov:

  • jednoduchá hviezda,
  • rozšírená hviezda,
  • mesh,
  • zbernica,
  • kruh.

Pri návrhu sa bude vychádzať z modelu dvojúrovňovej hviezdy, pretože najoptimálnejšie vyhovuje možnostiam komplexu ŠD Jura Hronca. Prvú úroveň bude tvoriť chrbticová sieť, na ktorú sa budú pripájať jednotlivé hviezdy druhej úrovne. Okrem toho bude z hviezdy prvej úrovne vyvedená transportná linka na POP siete SANET. Hviezdy druhej úrovne budú poskytovať priame fyzické pripojenie používateľov do počítačovej siete.

4.3.1. Prvá úroveň fyzickej topológie – chrbticová sieť

Chrbticovú sieť budú tvoriť nasledovné elementy:

  • centrálny aktívny prvok alebo niekoľko aktívnych prvkov tvoriacich jeden celok (centrálny uzol),
  • optická štruktúrovaná kabeláž pripájajúca aktívne hraničné prepínače (uzly) a POP siete SANET s centrálnym L3 prepínačom,
  • používateľské servery, zariadenia na monitorovanie a manažment siete,
  • metalická štruktúrovaná kabeláž pripájajúca používateľské servery, zariadenia na monitorovanie a manažment siete.

4.3.2. Druhá úroveň fyzickej topológie

Druhú úroveň fyzickej topológie budú tvoriť nasledovné elementy:

  • hraničné aktívne prepínače, ktoré sa budú pripájať na chrbticovú sieť prostredníctvom optickej štruktúrovanej kabeláže,
  • metalická štruktúrovaná kabeláž, pomocou ktorej budú do počítačovej siete prípajané koncové používateľské stanice.

4.4. Pasívna časť

Pasívnu časť počítačovej siete budú tvoriť metalické a optické štruktúrované kabelážne systémy. Všetky uzly (hraničné + centrálny) budú spolu s príslušnými komponentmi pasívnej časti umiestnené v stojanových alebo závesných dátových rozvádzačoch (rackoch) na príslušných poschodiach a v serverovni, ktorá bude tvoriť centrálný bod siete.

Pri výbere komponentov pasívnej časti je bezpodmienečne nutné dodržiavať normy a smernice Slovenskej republiky a Európskej únie vzťahujúce sa k bezpečnostným požiadavkám na takéto systémy. Odporúča sa pritom držať sa medzinárodných štandardov (ISO, IEEE) z dôvodu zaručenia kvalitatívnych parametrov pasívnej časti počítačovej siete.

Podrobné informácie o typoch a cene vybraných komponentov pasívnej časti siete sú uvedené v prílohe.

4.4.1. Dátové rozvádzače

Všeobecné požiadavky, ktoré musia vybrané dátové rozvádzače spĺňať:

  • odnímateľná zadná stena,
  • nastaviteľné predné a zadné vodiace lišty,
  • bezpečnostné sklo na predných dverách,
  • zámok na predných dverách
  • výška 500 mm alebo viac, šírka 600 mm, hĺbka 395 mm (800 mm v prípade centrálneho stojanového rozvádzača).
  • dátové rozvádzače budú obsahovať tieto komponenty pasívnej časti:
  • tienené metalické patch panely,
  • horizontálne hrebene na patch káble,
  • elektrický rozvádzač,
  • kefová protiprachová jednotka.

Dôležité upozornenie: Všetky stojanové rozvádzače a jednotlivé pasívne komponenty namontované v týchto rozvádzačoch musia byť dôsledne uzemnené!

4.4.2. Štruktúrovaný kabelážny systém

Metalický štrukturovaný kabelážny systém bude použitý v nasledovných častiach počítačovej siete:

  • kabeláž pripájajúca koncových používateľov k hraničným aktívnym prvkom (splnená podmienka na maximálnu vzialenosť 100 m medzi pripájaným zariadením a aktívnym prvkom siete),
  • štrukturovaná kabeláž v serverovni.

Z dôvodu odolnosti kabeláže voči negatívnym vplyvom elektromagnetického žiarenia (vyžarovanie z okolia, vyžarovanie do okolia) bude na horizontálnu kabeláž použitý niektorý z nasledovných typov kabeláže:

  • FTP (tienenie kábla fóliou, jednotlivé páry vodičov netienené),
  • S-FTP (tienenie kábla opletením a fóliou),
  • F-FTP (netienený kábel, jednotlivé páry vodičov tienené fóliou),
  • S-STP (tienenie kábla opletením, jednotlivé páry vodičov tienené fóliou).



Na pripojenie počítača koncového používateľa k zásuvke ako aj na prepojenie medzi patch panelmi a aktívnymi prvkami v stojanových rozvádzačoch budú použité FTP káble. Káble vedené od zásuvky koncového používateľa k dátovému rozvádzaču budú zodpovedať norme Cat. 6A (ISO/IEC 11801:2002 amendment 2, EN 50173-1:2007, TIA/EIA 568-C.2)a budú vedené v ochranných PVC lištách po celej ich dĺžke. Umiestnenie jednotlivých žľabov je v prílohe.

Tabuľka č. 5: Parametrov žľabov

18 x 18 x 3000 mm (na izbách)

2 káble (jedna ubytovacia bunka)

100 x 40 x 3000 mm (2 koridory pozdĺž chodieb)

20 – 22 káblov

130 x 40 x 3000 mm (od dátového rozvádzača na chodbu)

42 káblov

70 x 40 x 3000 mm (od prvého až po posledné poschodie na každom bloku a na prepoj medzi A blokom a B blokom)

11 optických káblov (pre pripojenie prepínačov na každom poschodí)

 

Štruktúrovaná kabeláž v serverovni bude ukončená v patch paneli s príslušným označním. Ten bude umiestnený v stojanovom dátovom rozvádzači, v ktorom budú zároveň umiestnené aj aktívne prvky siete a to centrálny L3 prepínač DELL PowerConnect 8024F a hlavný server. Zo serverovne bude vedený kábel do POPu siete SANET. Samotná serverovňa bude umiesnená v priestoroch ŠD Jura Hronca na 2. poschodí bloku B, č. dverí 0 (rysovňa). Odtiaľ budú vedené káble prepájajúce centrálny L3 prepínač s koncovými prepínačmi. Koncové prepínače budú umiestnené v dátových rozvádzačoch na každom poschodí daného bloku. Použité budú 48-portové přepínače DELL typu PowerConnect 6248. Dôvodom je najmä cena týchto zariadení a taktiež naše dlhodobé skúsenosti s týmito produktami. Keďže na každom poschodí daného bloku je potrebné realizovať 42 prípojok, jeden 48-portový prepínač postačí na pripojenie všetkých používateľov tohto poschodia. S budovaním infraštruktúry Ynetu sa nepočíta na prízemí bloku A, ktoré je vyhradené ako hotelový úsek a na prízemí bloku B, kde sa nachádza zdravotné stredisko.

4.5. Logická topológia siete

Na 3. vrstve a 4. vrstve sieťového modelu OSI bude v sieti Ynet použitá výlučne TCP/IP protokolová sada, ktorá je používaná takmer vo všetkých sieťach vrátane Internetu.

Ynet si vyžiada od SANETu časť IP adresného rozsahu STU na logickú adresáciu siete tak, aby bola dostatočná rezerva. Teda minimálne 4 rozsahy triedy C, pričom každá z nich poskytuje možnosť prideliť 254 IP adries pre jednotlivé zariadenia. Každý požívateľ bude mať k dispozícii práve jednu IP adresu z tohto adresného priestoru. Podľa odhadov uvedených v požiadavkách bude do siete pripojených maximálne 920 používateľov, takže IP rozsah dostatočne pokrýva potreby na veľkosť adresného priestoru navyše s rezervou do budúcnosti.

Základné požiadavky na logickú topológiu siete:

  • efektívne využitie priepustnosti liniek,
  • čo najväčšie obmedzenie prenosov smerom od jedného používateľa ku všetkým ostatným (tzv. broadcast prenosy),
  • bezpečnostné požiadavky (ochrana dôležitých používateľských serverov, ochrana aktívnych zariadení, obmedzenie možností odposluchu dôverných dát a pod.),
  • prehľadná a jednoduchá logická adresácia,
  • verejné IP adresy pre používateľov a používateľské servery, ktoré budú musieť byť dostupné z Internetu,
  • súkromné IP adresy pre sieťové zariadenia a používateľské servery, ktoré nebudú potrebovať alebo bude u nich vyslovene nežiadúci (z bezpečnostných dôvodov) prístup z Internetu.

Na oddelenie dátových prenosov používateľov a dátových prenosov obsahujúcich riadiace informácie pre aktívne zariadenia, monitorovacie informácie a iné informácie vyžadujúce si zvýšenú bezpečnosť, je výhodné použiť virtuálne LAN siete, tzv. VLAN-y (medzi 2. a 3. vrstvou OSI modelu). Okrem toho sú VLAN-y veľmi efektívny nástroj na zmenšovanie broadcast segmentov, kedy je možné posielať broadcast správy iba v rámci danej VLAN. Každá podsieť by mala byť v samostatnej VLAN-e:

  • VLAN A* – určená na manažment sieťových zariadení,
  • VLAN B* - bežný používatelia a servery,

Z dôvodu predchádzania možného zahltenia siete spôsobeného jediným používateľom, budú aplikované tieto opatrenia:

  • Budú aplikované filtre na vstupných rozhraniach, ktoré búdu limitovať používateľov použitie vysielania ako L2 broadcast, L2 multicast a L2 unicast-flooding.
  • Aby sa predišlo vytvoreniu logických slučiek na L2 úrovni bude aplikovaný tzv. BPDU filter.

Ďalším dôležitým krokom je smerovanie tokov dát zo siete na ŠD Mladosť na ŠD Jura Hronca a späť. Vzhľadom na povahu dát v komunikáciách medzi používateľmi na jednotlivých internátoch nie je nutné použiť šifrovanie. Naopak pri komunikácií medzi administrátormi a sieťovými zariadeniami je vhodné použiť šifrovanie a predísť tak prípadným problémom spojenými s únikmi hesiel alebo konkrétnych konfigurácií. Zároveň je tu ešte jeden typ dát, ktorý síce nevyžaduje použitie šifrovania ale vyžaduje použitie tunela medzi internátmi. Jedná sa o dáta v multicast komunikáciach. Je to z dôvodu politiky šírenia skupinového vysielania v sieti SANET. Z týchto dôvodov budú implementované dva tunely na baze protokolu GRE:

  • 1. Prepojenie serverov Kerberos a Server Berny na ŠD Jura Hronca:
    • bez šifrovania, určený na prenos dát a multicast komunikácie.
  • 2. Prepojenie serverov Horus a Server Berny na ŠD Jura Hronca:

šifrovanie na báze IPSec, určený na prenos dát medzi sieťovými zariadeniami a administrátormi prípadne monitorovacími službami na serveroch na ŠD Mladosť.

Vzhľadom na to že všetky služby, ktoré Sieť ŠD Mladosť poskytuje, majú byť prístupné všetkým jej členom, musia sa upraviť potrebné konfigurácie aby akceptovali aj používateľov zo ŠD Jura Hronca. Zároveň by však malo platiť, že v prípade výpadku prepojenia na ŠD Mladosť, má byť zabezpečená nepretržitá prevádzka aspoň základných služieb na ŠD Jura Hronca. Práve z toho dôvodu budú implementované nasledovné služby priamo na serveroch na ŠD Dobrovičova, ostatné služby pri výpadku nebudú prístupné:

- Unicast router

- multicast router

- DNS

- LDAP

- RADIUS

- Firewall

- DHCP

4.6. Aktívne prvky

Na základe požiadaviek fyzickej a logickej topológie siete bude možné zvoliť jednu z nasledovných alternatív:

1. alternatíva:

  • v hraničných bodoch:
  • L2 prepínače (pripojenie koncových používateľov) bez ďalšej funkcionality ako sú VLAN-y a pod,
  • smerovače (rozdelenie siete na jednotlivé pod siete).
  • v centrálnom bode:
  • L2 prepínač s rozšírenou funkcionalitou, najmä možnosť použitia VLAN a s vysokou priepustnosťou prenínacej matice.

Tabuľka č. 6: Porovnanie výhod a nevýhod 1. alternatívy

Výhody

Nevýhody

nižšia cena hraničných prepínačov

nutnosť použitia na každom bloku smerovač

pri použití linuxových smerovačov postavených na PC celkovo nižšia cena aktívnych prvkov

vyšší počet použitých aktívnych prvkov

zníženie zaťaženia transportných liniek

 

2. alternatíva:

  • v hraničných bodoch:
  • L3 prepínače, najmä možnosť použitia VLAN (na jednom poschodí jeden L3 48 portový prepínač).
  • v centrálnom bode:
  • L3 prepínač s rozšírenou funkcionalitou, najmä možnosť použitia VLAN a s vysokou priepustnosťou prenínacej matice

 

Tabuľka č. 7: Porovnanie výhod a nevýhod 2. alternatívy

Výhody

Nevýhody

nižší počet aktívnych prvkov oproti 1. alternatíve

vysoká cena hraničných L3 prepínačov

efektívnejší prenos dát po sieti

 

zníženie zaťaženia transportných liniek

 

3. alternatíva:

  • v hraničných bodoch:

  • L2 prepínače (pripojenie koncových používateľov) s rozšírenou funkcionalitou, najmä možnosť použitia VLAN.

  • v centrálnom bode:

  • L3 prepínač s vysokou priepustnosťou prenínacej matice.

Tabuľka č. 8: Porovnanie výhod a nevýhod 3. alternatívy

Výhody

Nevýhody

nižší počet aktívnych prvkov oproti 1. alternatíve

menej efektívny prenos dát po sieti oproti 2. alternatíve

nižšia cena hraničných L2 prepínačov (lacnejšie oproti 2. alternatíve)

menej efektívne zníženie zaťaženia transportných liniek oproti 2. alternatíve

efektívnejší prenos dát po sieti oproti 1. alternatíve

 

Z uvedených porovnaní jednotlivých alternatív vyplýva, že z technického hľadiska bude najideálnejšie použiť 3. alternatívu. Jej veľkou výhodou sú celkové náklady na aktívne prvky, ktoré sú pomerne nízke v porovnaní s inými alternatívami. V prípade potreby budeme uvažovať nad prechodom na alternatívu číslo 2.

4.6.1. Požiadavky na aktívne prvky

Pri výbere aktívnych prvkov sa vychádza zo zvolenej alternatívy a dodatočných požiadaviek na funkcionalitu a bezpečnosť. Medzi najdôležitejšie požiadavky patria:

  • manažovateľnosť (aj na diaľku) jednotlivých aktívnych zariadení,
  • uplink 10 Gbps (hraničné prepínače) cez SFP+ modul
  • 48 metalických portov 1 Gbps (hraničné prepínače),
  • 24 portov pre SFP+ 10 Gbps (centrálny prepínač)
  • VLAN,
  • port security, access lists,
  • protokoly: IGMP, SNMP, RMON,
  • QoS,
  • cena,
  • značka,
  • flexibilná podpora zo strany dodávateľa a výrobcu,
  • záručná doba.

5. Bezpečnosť

Bezpečnosť bude potrebné zohľadňovať vo všetkých vývojových štádiách projektu. Bezpečnostný incident môže spôsobiť škody rôznych druhov a tak podstatne sťažiť prípadne v jeho ranných štádiách aj zastaviť rozvoj projektu.

Z organizačného hľadiska by mala byť v rámci projektu vytvorená skupina, ktorá sa bude špecializovať na bezpečnosť, táto skupina navrhne presné pravidlá riadenia bezpečnosti a určí presnú filozofiu smerovania združenia z tomto ohľade.

Bezpečnosť v projekte Ynet by mala pozostávať z niekoľkých hlavných častí popísaných v nasledovných podkapitolách.

5.1. Bezpečnosť informácií

Musí byť definovaná kategorizácia informácií, spôsob ich ochrany a zaobchádzania s nimi. V začiatkoch projektu nie je veľmi dôležitá. Keďže je projekt realizovaný neziskovou organizáciou na nekomerčnej báze, neexistuje veľa interných informácií, ktoré by mali byť chránené pred vyzradením (spoločnosť napr. nemusí chrániť žiadne obchodné informácie). Ide skôr o ochranu informácií pred zničením a neautorizovanou zmenou. V neskorších fázach projektu, keď sa začínajú bezpečnostné opatrenia stabilizovať, vzrastajú nároky na ochranu informácií o nich hlavne z dôvodu prevencie prieniku.

5.2. Personálna bezpečnosť

Spočíva najmä v správnom výbere osôb, ktoré budú projekt realizovať a ďalej udržiavať. Tieto osoby je potrebné istým spôsobom preveriť pri ich prijímaní a na základne skúseností s nimi im prideliť správne prístupové práva. V podmienkach projektu Ynet je to však veľmi obtiažne, pretože všetci, ktorí sa na projekte podieľajú pracujú dobrovoľne a bez nároku na odmenu. Takže ich nie je možné priamo (napr. finančne) výrazne motivovať a riadiť ich priority ohľadom projektu.

5.3. Sieťová bezpečnosť

Najdôležitejšie časti tejto oblasti spočívajú v ochrane pripojených počítačov pred útokmi z vonku siete a ochrane sieťových serverov a iných aktívnych prvkov zabezpečujúcich chod siete pred útokmi z vonkajšej aj vnútornej siete.

Komunikácia medzi pripojenými počítačmi by nemala byť nijako obmedzovaná, takže v smere priamych systémových či aplikačných útokov ich nebude možné chrániť. No je dôležité zabezpečiť, aby sa dali preukázať niektoré aktivity (napr. pokus o napadnutie servera) a preto je okrem spoľahlivého záznamu logov potrebné zabezpečiť aj súlad IP adries a MAC adries na sieti. Toto by malo byť riešené pomocou ACL na aktívnych zariadeniach siete.

Ochrana centrálnych serverov by mala byť riešená použitím IDS/IPS systémov nainštalovaných priamo na daných serveroch. Akutalizácie, zálohy a ostatné opatrenia na systémovej úrovnu sú v kompetencii systémových administrátorov daných serverov. Títo ľudia sa ale musia riadiť internými smernicami bezpečnosti a všeobecnými zásadami bezpečnosti.

5.4. Fyzická bezpečnosť

Na poli fyzickej bezpečnosti bude najobtiažnejšie zabezpečiť ochranu inštalovaných pasívnych prvkov siete (sieťových káblov a líšt) na verejných miestach (chodby internátu).

Centrálna serverovňa by mala mať osobitný systém ochrany, ktorý by mal byť na oveľa vyššej úrovni ako systém fyzickej ochrany ostatných zariadení umiestnených mimo tejto miestnosti. Jedná sa vlastne o jediné účinné bezpečnostné opatrenie zabezpečujúce fyzickú ochranu životne dôležitých zariadení siete.

6. Financovanie

Náklady na projekt budú vychádzať z návrhu technického riešenia projektu. Väčšinu celkovej sumy búdu pravdepodobne predstavovať náklady na aktívne prvky. Zvyšnú časťsumy budú tvoriť náklady na pasívnu časť siete.

6.1. Príjmy

Financovanie celého projektu bude zabezpečené pomocou nasledovných zdrojov:

  • členské príspevky a registračné poplatky členov Ynet-u,
  • sponzorské dary,
  • vlastná práca členov realizačného teamu,
  • štátne a medzinárodné granty.

 6.2. Výdavky

Všetky príjmy získané na realizáciu projektu budú použité výlučne na nákup:

  • pasívnych a aktívnych prvkov,
  • inštalačného materiálu,
  • náradia,
  • výdavkov spojených s dopravou nakúpených komponentov,
  • používateľských serverov,
  • položiek, ktoré si pri stavbe a prevádzke takejto siete vyžadujú bezpečnostné normy Slovenskej republiky a Európskej únie.

Žiadny príjem nebude použitý na finančnú alebo materiálnu odmenu členov realizačného tímu, keďže sa všetci zaväzujú vybudovať tento projekt bez nároku na spomenuté druhy odmeny.

Celkové výdavky na realizáciu projektu sú popísané v prílohe.

7. Prílohy

V tejto časti dokumentácie sú uvedené všetky prílohy, ktoré sú potrebné pre presnú špecifikáciu celého projektu.

7.1. Logická topológia siete

 

7.2. Vedenie štruktúrovanej kabeláže

7.3. Celkové náklady na realizáciu projektu

V nasledujúcej tabuľke sú uvedené čiastkové náklady za jednotlivé materiály, aktívne a pasívne prvky, ktoré sú potrebné pre realizáciu projetku. Tie sú potom vyčíslené do celkových nákladov.

Copyright © 2016 | Ynet
design by musho