Локальная вычислительная сеть Верховного Суда Российской Федерации

1. Структурированная кабельная система (СКС)


1.1. Структурированная кабельная система

Количество рабочих мест СКС определено с учетом СанПиН 2.2.2.542-96 и конкретным расположением рабочих мест. Каждое рабочее место оснащено не менее чем двумя портами СКС.
СКС поддерживает передачу информации функциональных подсистем, входящих в локальную вычислительную сеть (ЛВС).
СКС поддерживает приложения не ниже класса D (категория 5е) и класса Е (категория 6).


1.2. Топология СКС

Топология СКС выполнена в виде иерархической звезды. Узлами структуры является коммутационное оборудование, расположенное в коммутационных центрах Подсистемы СКС.


1.3. Магистральная подсистема комплекса зданий

Магистральная подсистема комплекса зданий выполнена многомодовым оптическим кабелем и соответствует стандартам Fast Ethernet и GigabitEthernet.


1.4. Горизонтальная подсистема

Горизонтальная подсистема выполнена кабелем типа UTP категорий 5e и 6.
Рабочие области оборудованы двумя розетками (портами) RJ-45 соответствующей кабелю категории.


1.5. Подсистема рабочего места

Оборудование каждого рабочего места позволяет подключать не менее двух устройств в любой комбинации.
Компоновка оборудования рабочего места обеспечивает возможность изменения конфигурации (добавления, перемещения и пр.).


1.6. Оборудование центров коммутации зданий

Для размещения оборудования центров коммутации зданий используются коммутационные и серверные шкафы (rack), которые позволяют:
размещать соответствующее оборудование с учетом резерва;
ограничивать доступ к оборудованию;
обслуживать оборудование, установленное в конструктив, с доступом не менее чем с двух сторон конструктива, а также изменять направление открывания двери;
устанавливать оборудование, обслуживающее магистрали ЛВС.

2. Активное оборудование локальной вычислительной сети (ЛВС)

2.1. Структурная схема существующей сети

Топология ЛВС обеспечивает совместимость с топологией СКС и разработана специалистами «Корпорации ЮНИ» в соответствии с рекомендациями по созданию корпоративных кампусных сетей. Архитектура ЛВС обеспечивает масштабируемость, отказоустойчивость, гибкость, управляемость, надежность, максимальную способность адаптации системы к новым приложениям и наиболее полному использованию активного оборудования, требованиям по защите сети.

Топология позволяет организовать:
объединение горизонтальных подсистем этажных распределителей высокоскоростными магистралями;
локализацию трафика структурных подразделений (отделов, подразделений), расположенных в любой части ЛВС;
поддержку автономных серверов (серверов рабочих групп) и периферийных устройств (принтеров и т.п.);
подключение серверов непосредственно к ядру сети для обеспечения наивысшей производительности;
возможность распределения нагрузки между компонентами ЛВС;
масштабируемую систему;
гибкое управление ЛВС;
доступ к ресурсам глобальной сети Интернет и организацию внешних подключений.

Подключение рабочих станций осуществляется по коммутируемым каналам Fast Ethernet 100 Base-TX и Gigabit Ethernet 1000Base-T.
Все магистральные подключения осуществляются по каналам Gigabit Ethernet. Планируется переход на 10GBASE-S.
Существующая ЛВС построена на основе оборудования компании Nortel. Специалистами «Корпорации ЮНИ» были проведены работы по установке, настройке и отладке активного оборудования.


2.2. Состав оборудования ЛВС

Функционально активное оборудование разделено на три типа:
оборудование ядра сети (Core Layer) включает в себя два высокопроизводительных отказоустойчивых центральных маршрутизирующих коммутаторов ERS 8606, которые обеспечивают подключение оборудования уровня доступа, серверов и серверных ферм сети по высокоскоростным магистралям, управление и организацию доступа к ресурсам сети;
оборудование уровня доступа (Access layer) включает в себя коммутаторы рабочих групп семейства ERS 5500, которые обеспечивают подключение рабочих мест пользователей к высокоскоростным магистралям ЛВС, локальную коммутацию данных и связь с ядром сети;
оборудование серверных ферм (Server Farm) включает в себя коммутаторы рабочих групп семейств ERS 5500 и ERS 3510, которые обеспечивают подключение серверов к высокоскоростным магистралям ЛВС, локальную коммутацию данных и связь с ядром сети.

2.3. Оборудование ядра ЛВС

Оборудование ядра ЛВС (ERS 8606) обеспечивает:
необходимую емкость портов для подключения серверов, оборудования серверных ферм и оборудования уровня распределения;
производительность, достаточную для обработки потоков информации в моменты наибольшей нагрузки;
возможность коммутации потоков данных на третьем уровне модели OSI (Layer 3, маршрутизация протоколов IP);
возможность фильтрации и управления потоками данных;
отказоустойчивость;
масштабируемость;
гибкость управления.

Оборудование ядра сети имеет:
резервирование контрольного процессора;
резервирование коммутационной матрицы;
резервирование блоков питания;
модули ввода/вывода с возможностью "горячей замены";
резервные копии программного обеспечения и конфигурационных файлов.


Оборудование ядра сети поддерживает следующие технологии и характеристики:
протоколы IEEE 802.3x; IEEE 802.1D; IEEE 802.1Q;
протоколы маршрутизации RIP, RIPv2, OSPF;
протоколы управления SNMPv1, SNMPv2c, SNMPv3, SSH; Группы RMON: 1 (статистические данные), 2 (хронологические данные), 3 (предупреждающие сообщения) и 9 (события);
протоколы аутентификации RADIUS и TACACS+;
джамбо-фреймы (Jumbo-frames);
10Гбит Ethernet;
производительность не менее 80 млн пакетов в секунду;
время задержки не более 7 миллисекунд (FIFO);
возможность маршрутизации/коммутации не менее 128 Гб/с;
приоритизация 4-го уровня (QoS);
маршрутизацию IP/IPX;
организацию VLAN на основе политик (стандарт IEEE 802.1q);
поддержку списков контроля доступа на скорости носителя;
динамические фильтры IP ACL и MAC;
Port trunking;
поддержка расширенной функции Spanning Tree (IEEE 802.1w, 802.1s);
обновление программного обеспечения;
модули шасси с возможностью "горячей" замены;
автоматическое аварийное переключение маршрутизирующего коммутатора (RFC 3768, 2281 и т.п.);
Web-интерфейс.


Объединение двух ERS 8606, разнесенных по разным сетевым центрам, выполненное с полным дублированием оптоволоконных соединений, привело к созданию отказоустойчивого терабитного кластера. Это решение объединяет уникальные возможности по отказоустойчивости коммутаторов ERS 8600 с производительностью на уровне одного терабита в секунду и хорошей масштабируемостью, что позволило построить высокопроизводительную, отказоустойчивую и защищенную сеть. С помощью технологии SMLT (Split Multi-Link Trunking) два коммутатора работают как одно логическое устройство и образуют кластер, обеспечивая агрегированную производительность в один терабит в секунду и гарантируя высочайший уровень отказоустойчивости.

Коммутатор ERS 8606 использует передовые технологии и, кроме всего вышеперечисленного, позволяет с помощью специальных модулей использовать различные интегрированные механизмы, такие как коммутация на уровнях 4-7 (WEB Switching), SSL-акселерация, защита от несанкционированного доступа, обнаружение сетевых атак. Возможность дальнейшего наращивания ядра сети позволяет обеспечить высочайшую надежность и масштабируемость для развертывания практически любых приложений обработки голоса, видео, данных и web-приложений. Реализованное решение является основой сетевой инфраструктуры, отвечающей сегодняшним потребностям и готовой к решению будущих задач.


2.4. Оборудование уровня доступа ЛВС и оборудование серверных ферм

Оборудование уровня доступа ЛВС и оборудование серверных ферм (коммутаторы семейства ERS 5500) удовлетворяет следующим требованиям:
имеет необходимую емкость портов для подключения соответствующего количества пользователей и порты для подключения к высокоскоростным магистралям ЛВС;
имеет производительность, достаточную для обработки информации в условиях наибольшей нагрузки;
имеет возможность коммутации пакетов на третьем уровне модели OSI (Layer 3);
обладает высокой отказоустойчивостью и масштабируемостью;
имеет возможность управления.


Оборудование уровня доступа ЛВС и оборудование серверных ферм поддерживает следующие технологии и характеристики:
поддержка коммутации Ethernet и маршрутизации IP;
до 48 портов 10/100/1000 BaseT Gigabit Ethernet с автоматическим определением скорости и полярности;
оптические порты 1000 BaseX Gigabit Ethernet, выбор физического интерфейса осуществляется модулями GBIC (количество портов зависит от модели);
оптические порты 10 Gigabit Ethernet, выбор физического интерфейса осуществляется модулями GBIC (наличие портов зависит от модели);
возможность объединения в стек с другими коммутаторами с помощью выделенных стековых портов, скорость соединений в стеке не менее 20 Gbps в каждую сторону, количество устройств в стеке не менее 8;
поддержка 256 VLAN (IEEE 802.1q);
поддержка функций QoS на уровне Ethernet (IEEE 802.1p) и на уровне IP (DiffServ - RFC3260);
поддержка авторизации пользователей на портах (IEEE 802.1x);
поддержка технологий Spanning Tree (IEEE 802.1d) и Rapid Spanning Tree (IEEE 802.1w);
поддержка многоканальных соединений (IEEE 802.3ad);
поддержка статической и динамической маршрутизации;
компактный размер, возможность монтажа в стойку 19 дюймов;
интегрируются в существующую систему управления Nortel Enterprise Switch Manager.

2.5. Система управления ЛВС

Система управления сетью включает в себя программные и аппаратные средства наблюдения за функционированием элементов сети и управления сетью в целом.

Функции управления можно разделить на следующие группы:
контроль производительности - поддержание общей производительности сети на должном уровне. При этом необходимо контролировать такие параметры сети, как пропускная способность, загрузка каналов передачи данных и время ответа;
управление конфигурацией необходимо администратору ввиду того, что различные версии оборудования и его программного обеспечения имеют характерные особенности, которые могут сильно повлиять на работоспособность компьютерной сети, особенно если она состоит из большого числа устройств;
учет использования ресурсов необходим для оптимизации их использования среди индивидуальных и групповых пользователей;
контроль неисправностей должен обеспечить обнаружение, фиксацию, оповещение администратора и, если возможно, автоматическое устранение неисправности;
контроль доступа и защита информации необходим с целью предотвращения действий как случайных, так и намеренных, приводящих к нарушению функционирования сети; должен обеспечить доступ к информации только лиц, имеющих соответствующие права.


Управляемость сети обеспечивается агентами SNMP в каждом активном устройстве.
Централизованная система управления Nortel Enterprise Network Management System и система мониторинга сети Optivity ENM позволяют осуществить:
инвентаризацию - получение информации о состоянии аппаратных и программных средств, входящих в сеть;
сбор статистики и мониторинг основных параметров производительности сети: скорости передачи пакетов, нагрузки, уровня ошибок и др.;
возможность настройки параметров сети;
управление всеми устройствами сети посредством протокола SNMP;
управление виртуальными рабочими группами.

Система управления обладает следующими возможностями и характеристиками:
сводная информация о состоянии сети;
уведомления, поиск и устранение неисправностей;
автоматическое обнаружение устройств;
топология и составление карты сети;
управление устройствами;
углубленный анализ трафика;
управление группами и политиками;
упрощенное управление конфигурациями;
расширенное управление VLAN;
обновления микропрограмм устройств;
поддержка протокола SNMPv3.

2.6. Информационная безопасность

В качестве информационной безопасности применены сетевые решения, предлагающие дополнительные возможности защиты на уровне коммутаторов и маршрутизаторов. Это позволяет блокировать доступ к отдельным устройствам, создавать разные категории доступа к критическим данным, блокировать внутреннюю сеть от вторжения через Интернет.

Для повышения защищенности и управляемости ЛВС внедрена авторизация пользователей на портах по технологии IEEE 802.1x. Для целей авторизации предусмотрен сервер Radius под управлением операционной системы Microsoft Windows Server 2003.


Использование Интернета как среды взаимодействия с широким кругом лиц и организаций требовало:
усиления защиты от многочисленных угроз, которыми богата эта глобальная открытая сеть;
обеспечение отказоустойчивости соединения с глобальной сетью методом резервирования канала связи с провайдером.

Внедрена система защищенного доступа в Интернет и межведомственные сети. Специалистами «Корпорации ЮНИ» были проведены работы по установке, настройке и отладке программного обеспечения FireWall:
два кластера межсетевых экранов (каждый включает по два маршрутизатора);
комплекса централизованного управления механизмами сетевой защиты;
графической консоли управления этим комплексом;
модуля создания комплексной отчетности.

Данный межсетевой экран (МСЭ) сертифицирован по третьему классу защищенности в соответствии с руководящим документом «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации».

МСЭ предназначен для обеспечения защиты ЛВС Верховного Суда от несанкционированного доступа к хранимой, обрабатываемой и передаваемой по каналам связи информации. Также в его задачи входит эффективное обнаружение вторжений, оперативное реагирование на такие события, осуществление защиты на уровне приложений, обеспечение безопасности web-среды и распределение полосы пропускания между приложениями, работающими в сети. Межсетевой экран обеспечивает индивидуальную идентификацию и аутентификацию пользователей при доступе к ресурсам ЛВС и взаимодействии с Интернетом.

Централизованная система управления политикой безопасности позволяет администратору с помощью графической консоли управления SmartConsole создавать и редактировать правила контроля доступа, обеспечения web-безопасности и управления трафиком с использованием общих описаний сетевых объектов и пользователей. Правила всех типов хранятся на сервере. Графическая консоль управления выполнена в архитектуре клиент-сервер, что позволяет администратору (или администраторам) создавать и редактировать правила из любой точки сети.

ИСТОЧНИК

Cистема отслеживания сетевого трафика и генерации отчетов о событиях на шлюзах безопасности. Этот модуль позволяет просеивать огромное количество отчетной информации, регистрируемой Firewall, для формирования комплексных отчетов любого вида на базе шаблонов, созданных администратором. Такие отчеты можно использовать для аудита информационной безопасности и оценок активности пользователей. Применяя этот модуль, можно чаще получать данные о работе системы безопасности и сети в целом для выработки важных решений, связанных с распределением ресурсов и оптимизацией системы защиты.

FireWall хорошо интегрируется со стандартными сетевыми службами, такими как служба каталогов, служба аутентификации, служба имен и т.п. Это позволило не дублировать в МСЭ информацию и функции, которые уже были реализованы в сети.