Алаколь ОПЗ_Пояснительная записка (1). Тоо проектная фирма "Архкон" Государственная лицензия 113021311

172 1. Аутентификацию пользовательских и не пользовательских устройств в сети по различным методам и протоколам аутентификации с использованием широкого набора интегрируемых внешних сервисов и баз аутентификации.
2. Авторизацию доступа в сеть в зависимости от: a. Различного набора критериев, которым удовлетворяет сессия. Гибкость формирования кри- териев авторизации обеспечивается булевой логикой при написании правил. Некоторые из критериев: i. Членство пользователя в группе AD/LDAP; ii. Параметры аутентификации – атрибуты как пользователя в сторонней базе аутенти- фикации, поля сертификата, тип аутентификации dot1x/mab и тд. iii. Местоположение подключаемого пользователя iv. Тип подключения пользователя Wired/Wireless/VPN v. Тип подключаемого устройства vi. Время подключения vii. Оценка состояния устройства – NAC Posture
Реализация Системой контроля доступа основывается на 4 серверах SNS-3515-K9, разбитыми по парам на две роли. Роль первого кластера – PAN+MNT (Policy Administrative Node + Monitoring). Роль второй пары это два standalone PSN (Policy Service Node).
Система контроля и учета доступа в сеть предусмотрена одна на две сети: сеть ТС и ПС.
Сервер управления межсетевыми экранами нового поколения FMC1000.
Центр администрирования важнейших решений сетевой безопасности Cisco. Он предоставляет полный набор унифицированных функций управления межсетевыми экранами, системами контроля и мониторинга приложений, предотвращением вторжений, URL-фильтрацией и защитой от сложного вредоносного ПО. Представлен в про- екте на основе двух серверов FMC1000-K9. Отказоустойчивость Центра администрирования:
1. Уровень шасси двойная отказоустойчивость,
2. Уровень блоков питания двойная отказоустойчивость на каждом шасси,
3. Уровень каналов связи двойная отказоустойчивость.
Обзор топологии сети ПС.
Топология сети Пограничной службы (рис 2):

173
Принтер
Принтер
Рисунок 2. Общая топология сети Пограничной службы.
В топологии сети Пограничной службы предусмотрена топология «звезда» с отказоустойчивостью на каждом уровне.
Основная функция модуля — это агрегация коммутаторов доступа в здании или кампусе.
Уровень агрегации обеспечивает границу между доменом уровня доступа и доменом сетевого уровня и предо- ставляет высокоскоростную магистраль для информационного взаимодействия для остальной части сети.
1. Ядром топологии выступают коммутаторы ядра и агрегации WS-C3850-32XS-E. Ядро построено на основе кластера Stackwise. Стекируются коммутаторы прямыми кабелями непосредственным подключением к друг другу. Выполняют роль одного виртуального устройства, развернутого на двух физических шасси.
Отказоустойчивость на уровнях: a. Уровень шасси двойная отказоустойчивость, b. Уровень блоков питания двойная отказоустойчивость на каждом шасси c. Уровень каналов связи двойная отказоустойчивость до ядра сети
Интернет, WAN
Коммутаторы WAN
Меж. сетевой экран NGFW
Маршутизатор_1
Маршутизатор_2
Сеть ТС
Агр. Коммутатор_1
Агр. Коммутатор_2
Коммутаторы доступа (высокой плотности для
Терминала)
Коммутаторы доступа (низкой плотности для удаленных пятен)
Промышленные коммутаторы
Сервер СУФ
Компьютер PC
Телефон SIP
Компьютер PC
Телефон SIP
Сервер телефонии

174
Коммутаторы доступа всех уровней (EdgeCore - AS5812-54X-EC, ECS4510-52P, ECS4620-28T, ECS4510-28P.
Advantech - EKI-7720E-4FI-AE, EKI-7428G-4CI-AE.) в топологии предоставляют непосредственный проводной до- ступ конечных пользователей, так и для устройств участвующих в инфраструктуре.
Коммутаторы доступа в топологии звезда предусмотрены в нескольких вариациях:
1. Коммутаторы доступа Терминала
2. Коммутаторы доступа удаленных пятен
3. Промышленные коммутаторы доступа
Отказоустойчивость на уровнях: a. Уровень блоков питания двойная отказоустойчивость b. Уровень каналов связи двойная отказоустойчивость до ядра сети
Уровень межсетевого экрана выполнен в смешанном варианте включающим:
1. Внутренний периметр сети
2. Внешний периметр сети
Архитектура решения обеспечивает следующий функционал:
–
Использование, предоставленное оператором связи адресное пространство публичных IP адре- сов для организации требуемых сервисов для сотрудников офиса, таких как, базовый Web-сервис (необходи- мый пул IP адресов в зависимости от роста организации), почтовый сервис, удаленный доступ через VPN, сер- вис контента и предоставление облачного сервиса провайдером связи или в Интернет;
–
Доступность услуг Интернета за счет отказоустойчивого (два подключения) к оператору связи.
– Удаленный доступ с использованием VPN (Remote access (RA) VPN) — обеспечение защищенного доступа к сетевым ресурсам из удаленных мест;
–
Трансляцию (скрытие) внутренней IP адресации офиса посредством использования функции
Network Address Translation (NAT)
–
Ограничение доступов для разных участников, согласно предоставленных регламентам взаимодествия.
Межсетевой экран периметра организован на основе межсетевого экрана нового поколения (NGFW и NGIPS).
Кластер выполнен в виде Failover FPR2130-NGFW-K9 с программным обеспечением на борту Cisco Firepower.
Failover предусматривает кластеризацию с ролями active и standby. В случае выхода из строя или перебоя элек- тропитания на active устройстве, Standby принимает на себя роль главного устройства в сети и выполняет весь функционал без изменения IP и MAC адресов, маршрутизации, правил доступа и тд. Отказоустойчивость уровня межсетевого экрана:
1. Уровень шасси двойная отказоустойчивость,
2. Уровень блоков питания двойная отказоустойчивость на каждом шасси,
3. Уровень каналов связи двойная отказоустойчивость до ядра сети.
Шлюз голосового доступа выполнен на основе двух маршрутизаторов. Кластеризация на маршрутизаторах не предусмотрена, отказоустойчивость организована за счет протокола HSRP. Основная задача и предназначение данного протокола состоит в том, чтобы добиться практически 100% доступности и отказоустойчивости первого

175 хопа от отправителя (также иногда называемый "маршрут по умолчанию"). Это достигается путём использования у двух маршрутизаторов одного IP-адреса и MAC-адреса так называемого виртуального маршрутизатора. Отка- зоустойчивость данного уровня:
1. Уровень шасси двойная отказоустойчивость,
2. Уровень блоков питания двойная отказоустойчивость на каждом шасси,
3. Уровень каналов связи двойная отказоустойчивость до ядра сети.
4. Уровень каналов связи двойная отказоустойчивость до провайдера
Сервер управления межсетевыми экранами нового поколения FMC1000.
Центр администрирования важнейших решений сетевой безопасности Cisco. Он предоставляет полный набор унифицированных функций управления межсетевыми экранами, системами контроля и мониторинга приложений, предотвращением вторжений, URL-фильтрацией и защитой от сложного вредоносного ПО. Представлен в про- екте на основе двух серверов FMC1000-K9. Отказоустойчивость Центра администрирования:
1. Уровень шасси двойная отказоустойчивость,
2. Уровень блоков питания двойная отказоустойчивость на каждом шасси,
3. Уровень каналов связи двойная отказоустойчивость.
Сервер телефонии 3CX
Кластер серверов – это группа из нескольких идентичных серверов. В случае поломки главного сервера вместо него в работу включается запасной сервер.
Кластер серверов обеспечивает максимальный уровень надежности системы и является абсолютным преимуществом перед другими системами телефонии.
Кластер может состоять из двух и более серверов, из которых один сервер ведущий, а остальные ведо- мые. Все изменения конфигурации производятся на ведущем сервере, а ведомые серверы автоматически и са- мостоятельно синхронизируют свои настройки с ведущим сервером. В случае поломки ведущего сервера, его место занимает ведомый сервер.
IP АТС 3CX полностью протестирована на рекомендуемых виртуальных платформах, то есть это позво- ляет обеспечить отказоустойчивость с помощью инфраструктуры гипервизора соответственно IP АТС реализу- ется на существующем кластере серверов используя виртуальные машины с рекомендуемыми параметрами:
CPU
Intel® Core™ i7-3770 Processor (8M Cache, up to 3.90 GHz)
Memory 8-10 GB
HDD
SATA 300GB
NETWORK 1Gbit/10Gbit

176
Сеть физической безопасности (СКУД, Пожарная безопасность и видеонаблюдение) единая для двух служб ТС и
ПС. Интеграция произведена на уровне сегментации таблиц маршрутизации за счет объединения маршрутов.
Фактически сеть будет отделена на программном уровне от сетей дата трафика служб ТС и ПС, доступ к функци- оналу будет предоставляться за счет политик доступа, организованных на уровне межсетевого экрана внутрен- него периметра службы ТС и сетевого экрана службы ПС, рисунок 3.
Типовая схема подключение удаленных коммутаторов доступа
Рисунок 3. Общая топология сети
Пятно 24
СКС
ВН
Пятно 32
СКС
ВН
Пятно 23
СКС
ВН
ТШ 2
ВН
Пятно 34
СКС
СКС
ВН
Пятно 29
СКС
ВН
Пятно 5
СКС
СКС
ВН
Пятно 48
СКС
СКС
ВН
Пятно 4 СКС
СКС
ТШ 3
ВН
Пятно 1
WAN
Интернет, WAN
WAN
SER
СКУД
MNG
ВН
СКС
СКС
ВН ТШ 4
ВН ТШ 5
Пятно 50
Пятно 49
ВН
ВН
ТШ 1
ВН
Пятно 27
СКС
ВН

177
Обзор применяемых устройств.
Коммутаторы Cisco Catalyst 6800 — это опорные коммутаторы нового поколения для кампусных сетей, которые будут поддерживать масштабируемые, интеллектуальные, простые и безопасные сервисы 10/40/100G. Данная серия заявлена как закономерное развитие и расширение существующей линейки Catalyst 6500.
Рисунок 4. Внешний вид Cisco Catalyst 6800
Модульные платформы Catalyst 6800 — это новая трехуровневая архитектура: сетевые приложения, средства управления и сетевые элементы - что полностью отвечает сетевой архитектуре Cisco ONE, предлагающей заказ- чикам защиту инвестиций, снижение операционных рисков, простоту сетевой структуры и широкие возможности для инноваций.
Коммутатор C6880-X — это шасси платформенного типа среднего диапазона (4 слота), разработанное для опти- мальной концентрации и услуг, с фиксированным Supervisor с 16 слотами под 10G/1G трансиверы SFP+/SPF (с поддержкой до 4 x 40G QSFP) и 4-мя слотами расширения под линейные карты, поддерживающая все функции
Supervisor2T/Catalyst 6500. C6880-X суммарно поддерживает до 80 x 10G/1G или 20 x 40G слотов и позициониру- ется как модульная платформа с высокой плотностью портов для агрегации оптических каналов связи
1G/10G/40G. C6880-X поддерживают VNTAG и могут выступать в роли родительских коммутаторов в модели по- строения доступа Instant Access.
Основные особенности
1. Расширяемая платформа
2. Всего 4.5 RU в высоту (меньше чем 6504-E)
3. От 80 до 220 Гбит/с на половину слота
4. От 16 до 80 x 1/10GE Ethernet портов
5. Высочайшая плотность портов 1G/10G port с поддержкой BGP & MPLS

178
Коммутаторы серии Cisco Catalyst 3850 — это стекируемые коммутаторы уровня агрегации, с фиксированной конфигурацией до 48 портов с высокой скоростью доступа, обеспечивающие единую физическую инфраструктуру для проводных и беспроводных сетей.
Рисунок 5. Внешний вид Cisco Catalyst 3850
Коммутаторы Cisco Catalyst 3850 серии созданы с использованием микросхем ASIC нового поколения Unified
Access Data Plane (UADP), позволяющих обрабатывать данные проводной сети. Коммутаторы этой серии поддер- живают распределение качества услуг (QoS) по уровням с возможностью точной настройки в любой точке про- водной и беспроводной инфраструктуры. Коммутаторы Cisco Catalyst 3850 стекируются по новой технологии Cisco
StackWise-480, которая дает возможность получить 480Gb пропускной способности стэка.
Cisco StackPower для интеллектуального распределения электропитания коммутаторов в стеке и резервирования питания, 2 резервируемых и модульных блока питания.
Также,поддержка IPv4 и IPv6 маршрутизации, multicast routing, распределение качества обслуживания (QoS) по уровням, MACsec, Flexible NetFlow (FNF) и единый универсальный образ Cisco IOS Software image для лицензий всех уровней.
Cisco Catalyst серии 3850 операционная система представлена единым универсальным образом Cisco IOS-XE
Software с тремя наборами функций (feature set) (наборы функций программного обеспечения Cisco IOS включа- ются посредством активации программного обеспечения. В зависимости от типа лицензии программное обеспе- чение Cisco IOS активирует соответствующий набор функций. Чтобы активировать другой набор функций, можно изменить или обновить типы лицензий.
Контроллеры беспроводных сетей Cisco AIR-CT5520-K9 позволяют сократить общие текущие расходы благо- даря упрощению развертывания и эксплуатации сети и управления ею. Применение одинаковых политик и прин- ципов защиты «сети без границ» от ядра проводной сети до беспроводных граничных сегментов позволяет кон- троллерам беспроводных сетей Cisco обеспечивать прозрачность, масштабируемость и надежность, необходи- мые для построения защищенных беспроводных сетей масштаба предприятия — от филиалов и малых предпри- ятий до крупных комплексов зданий.
Рисунок 6. Внешний вид Cisco AIR-CT5520-K9

179
Они поддерживают гибкость в настройке политик, параметров управления и защиты беспроводной сети в любое время благодаря средствам централизованного выделения ресурсов и управления. AIR-CT5520-K9 имеют более быструю реакцию на требования бизнеса благодаря централизованному управлению беспроводными сетями.
Стандартизованный процесс конфигурирования точек доступа для управления версиями программного обеспе- чения и система предотвращения вторжений в беспроводной сети (wIPS) также представлена в контроллерах
Cisco.
AIR-CT5520-K9 поддерживают Е2Е архитектуру качества обслуживания (QoS) для передачи голоса и видео в про- водных и беспроводных сетях и единое централизованное управление политиками безопасности в проводных и беспроводных сетях. Также, возможность использования интегрированного беспроводного функционала в ком- мутаторах и маршрутизаторах обеспечивает экономичную поддержку конвергентных сетей, включающих беспро- водные сегменты. Использование интегрированных платформ снижает стоимость оборудования, упрощает уда- ленное управление и предоставляет другие гибкие варианты настройки, что позволяет снизить общие текущие расходы и совокупную стоимость владения.
Cisco Aironet 3700i (AIR-CAP3702I-E-K9) – беспроводная точка доступа 802.11ac с элегантным дизайном и встро- енными антеннами, идеально подходящая для офисных сред. Cisco Aironet 3700 – серия унифицированных бес- проводных точек доступа 802.11ac с наивысшей производительностью в индустрии, разработанная для крупных предприятий и сервисных провайдеров.
Рисунок 7. Внешний вид Cisco AIR-CAP3702I-E-K9

180
Первая волна продуктов 802.11ac предлагает скорость передачи по беспроводной сети до 1.3 Гбит/с, что втрое выше пропускной способности технологии 802.11n. Точки доступа Cisco Aironet 3700 Series предназначены для запуска требовательных приложений и работы в сетевых средах с высокой плотностью устройств. Модели под- держивают Wi-Fi клиентов нового поколения, таких как смартфоны, планшеты и ноутбуки стандарта 802.11ac.
Унифицированные модели Cisco имеют наиболее гибкую и масштабируемую архитектуру, позволяя организовать сеть до 18000 Wi-Fi точек доступа. Aironet 3700 Series обеспечивают высокозащищенный доступ к мобильным приложениям для больших предприятий, филиалов и удаленных офисов. Они предлагают самую низкую стои- мость владения и защиту инвестиций благодаря интеграции с существующей проводной сетью.
Для каждого региона (Reg Domain) Cisco выпускает свою модель, которая соответствует текущему законодатель- ству этого региона.
Межсетевой экран Firepower серии 2100 имеет инновационную архитектуру с двумя многоядерными ЦП, обес- печивающую одновременную оптимизацию функций межсетевого экрана, криптографии и контроля угроз. Обес- печение безопасности происходит без ущерба для производительности сети.
Рисунок 8. Внешний вид Cisco FPR2130-NGFW-K9
Пропускная способность МСЭ составляет от 2 до 8,5 Гбит/с. На моделях младшего класса осуществляется под- держка 16 портов 1 GE. Высокотехнологичные модели поддерживают до 24 портов 1 GE или 16 портов 10 GE.
Все модели имеют типоразмер 1 RU
Благодаря уникальной двухпроцессорной многоядерной архитектуре межсетевой экран серии 2100 поддерживает пропускную способность при включенном контроле угроз за счет маршрутизации рабочих нагрузок на разные мик- росхемы. При этом работа функций защиты от угроз не сказывается на пропускной способности межсетевого экрана.
Межсетевые экраны Cisco Firepower серии 2100 — это линейка из четырех платформ обеспечения (сетевой) без- опасности NGFW с активной защитой от угроз до, вовремя и после сетевой атаки. Они предназначены для ис- пользования от интернет-периметра до центра обработки данных. Эти платформы обеспечивают превосходную защиту от угроз с большей скоростью в компактном форм-факторе.