Post on 06-May-2018
Zacznik A Bloki architektoniczne rodowiska teleinformatycznego
Centrum Przetwarzania Danych Ministerstwa Finansw
Architektura referencyjna rodowiska IT CPD MF
Zacznik A
Wersja: 1.9
ARCHITEKTURA REFERENCYJNA
RODOWISKA IT CPD MF
Zacznik A Bloki architektoniczne rodowiska teleinformatycznego
Infrastruktura dostpowa
Bloki architektoniczne w infrastrukturze dostpowejBlok architektoniczny przecznikw rdzeniowych LAN
Identyfikator
B.LAN.COR
Nazwa
Blok architektoniczny przecznikw rdzeniowych LAN
Rodzaj bloku
Blok typu IaaS
Cel dokumentu
Dokument opisuje wymagania dla bloku architektonicznego przecznikw rdzeniowych LAN.
Atrybuty bloku architektonicznego
Atrybut
Dostpne wartoci
Opis
Klasa systemu
I, II, III, IV
Atrybut okrela klas systemu informatycznego, w ktrym wykorzystany bdzie blok architektoniczny.
Ilo interfejsw
n x 10 GbE
n x 40 GbE
n = (1, 2, , 8)
Atrybut okrela szybko interfejsw udostpnianych w bloku.
Szybko interfejsw
10 GbE
40 GbE
Atrybut okrela szybko pojedynczego interfejsu udostpnianego w bloku.
Interfejs redundancyjny Uplink
2 x40 GbE
Atrybut okrela ilo i szybko redundancyjnego (ang. Uplink) interfejsu udostpnianego w bloku.
Interfejs zagregowany Trunk
4 x40 GbE
Atrybut okrela szybko zagregowanego (ang. Trunk) interfejsu udostpnianego w bloku.
Interfejsy sieciowe do zarzdzania
2 x 1 GbE
Atrybut okrela ilo i szybko interfejsu przeznaczonego do sieci zarzdzania.
Lista sieci LAN
Uplink, Trunk, podsieci VLAN
Atrybut okrela sieci, ktre bd obsugiwane przez przeczniki rdzeniowe.
Tabela 61 Atrybuty bloku architektonicznego B.LAN.COR
Ograniczenia na wartoci atrybutw
Dopuszczalne wartoci n dla atrybutu Ilo interfejsw dla bloku przedstawiono w tabeli poniej.
n
Ilo i szybko interfejsw
n x 1 x 10 GbE
n x 8 x 40 GbE
1
-
TAK
2
TAK
TAK
3
-
TAK
4
-
TAK
5
-
TAK
6
-
TAK
7
-
TAK
8
-
TAK
Tabela 62 Dopuszczalne wartoci atrybutu Ilo interfejsw dla bloku B.LAN.COR
Komponenty bloku architektonicznego
Komponent
Standard/Czynnik/Parametr
Wymagania szczegowe
Interfejsy sieciowe
Nie dotyczy.
W kadym z pary przecznikw bloku skonfigurowane i udostpnione interfejsy sieciowe w iloci n x 8, z czego:
- co najmniej 4 interfejsy 40 Gb/s wykorzystane jako Trunk pomidzy przecznikami w parze;
- jako Uplink do bloku rdzeniowego wykorzystywane bd poczenia 2x2x40Gbps.
Interfejsy skonfigurowane jako Uplink mog suy jako interfejsy zarzdzania przecznikiem.
Przecznik rdzeniowy LAN
Wymagania dotyczce przecznika:
S.IA.LAN.SW
C.LAN.SW.1
Ten komponent moe obsugiwa wiele rnych blokw.
Konfiguracja sprztowa
Blok skada si z 2 przecznikw rdzeniowych..
Blok przeznaczony jest do obsugi pocze blokw przecznikw dostpowych oraz urzdze bezpieczestwa dla LAN oraz IPS blokw WAN oraz Internet.
Komponenty bloku s poczone poprzez interfejsy Trunk.
Blok moe by wykorzystany do obsugi pocze poprzez pojedyncze interfejsy dla urzdze sieciowych lub blokw typu IaaS i Paas.
Dostp do sieci LAN
Blok rdzeniowy musi obsugiwa wszystkie Uplinki blokw przecznikw dostpowych.
Blok rdzeniowy musi obsugiwa wszystkie poczenia dla urzdze globalnych globalne urzdzenia balansujce ruch sieciowy, routery WAN oraz Internetowe.
Blok rdzeniowy musi by podczony do sieci MGMT.
Tabela 64 Komponenty bloku architektonicznego B.LAN.COR
Diagram realizacji
Rysunek 30 Diagram realizacji bloku B.LAN.COR
Blok architektoniczny przecznikw dostpowych LAN
Identyfikator
B.LAN.DIS
Nazwa
Blok architektoniczny przecznikw dostpowych LAN
Rodzaj bloku
Blok typu IaaS
Cel dokumentu
Dokument opisuje wymagania dla bloku architektonicznego przecznikw dystrybucyjnych LAN.
Atrybuty bloku architektonicznego
Atrybut
Dostpne wartoci
Opis
Klasa systemu
I, II, III, IV
Atrybut okrela klas systemu informatycznego, w ktrym wykorzystany bdzie blok architektoniczny.
Klasa bezpieczestwa
B3, BX
Atrybut okrela klas bezpieczestwa systemu informatycznego, w ktrym wykorzystany bdzie blok architektoniczny.
Ilo interfejsw
n x 10 GbE
n = (1, 2, , 8)
Atrybut okrela szybko interfejsw udostpnianych w bloku.
Szybko interfejsw
10 GbE
Atrybut okrela szybko pojedynczego interfejsu udostpnianego w bloku.
Interfejs redundancyjny Uplink
2 x40 GbE
Atrybut okrela ilo i szybko redundancyjnego (ang. Uplink) interfejsu udostpnianego w bloku.
Interfejs zagregowany Trunk
4 x10 GbE
Atrybut okrela szybko zagregowanego (ang. Trunk) interfejsu udostpnianego w bloku.
Interfejsy sieciowe do zarzdzania
1 x 1 GbE
Atrybut okrela ilo i szybko interfejsu przeznaczonego do sieci zarzdzania.
Lista sieci LAN
Uplink, Trunk, podsieci VLAN
Atrybut okrela sieci, ktre bd obsugiwane przez przeczniki dostpowe.
Tabela 66 Atrybuty bloku architektonicznego B.LAN.DIS
Ograniczenia na wartoci atrybutw
Dopuszczalne wartoci n dla atrybutu Ilo interfejsw dla bloku przedstawiono w tabeli poniej.
n
Ilo i szybko interfejsw
n x 1 x 1 GbE
n x 48 x 1 GbE
n x 4 x 10 GbE
1
TAK
TAK
TAK
2
-
TAK
TAK
3
-
-
TAK
4
-
-
TAK
5
-
-
TAK
6
-
-
TAK
7
-
-
TAK
8
-
-
TAK
9
-
-
TAK
10
-
-
TAK
Tabela 67 Dopuszczalne wartoci atrybutu Ilo interfejsw dla bloku B.LAN.DIS
Komponenty bloku architektonicznego
Komponent
Standard/Czynnik/Parametr
Wymagania szczegowe
Interfejsy sieciowe
Nie dotyczy.
W kadym z pary przecznikw bloku skonfigurowane i udostpnione interfejsy sieciowe w iloci n x 4, z czego:
- co najmniej 2 interfejsy 40 Gb/s wykorzystane jako Uplink do bloku przecznikw rdzeniowych;
- pozostae interfejsy wykorzystane jako dostp do serwerw.
Do zarzdzania przecznikiem s wykorzystywane interfejsy co najmniej 1Gb/s.
Przecznik dostpowy LAN
Wymagania dotyczce przecznika:
S.IA.LAN.SW
C.LAN.SW.2
Ten komponent moe obsugiwa wiele rnych blokw.
Konfiguracja sprztowa
Blok skada si z 2 przecznikw dostpowych.
Blok przeznaczony jest do obsugi pocze blokw przecznikw rdzeniowych oraz pocze bezporednich z serwerowych blokw fizycznych.
Komponenty bloku s poczone poprzez interfejsy Trunk.
Blok moe by wykorzystany do obsugi pocze poprzez pojedyncze interfejsy dla urzdze balansujcych ruch sieciowy, interfejsw zapr sieciowych oraz serwerw lub blokw typu IaaS lub PaaS.
Dostp do sieci LAN
Blok rdzeniowy musi obsugiwa wszystkie Uplinki blokw przecznikw dystrybucyjnych.
Blok dostpowy musi obsugiwa wszystkie podsieci LAN.
,
Blok rdzeniowy musi by podczony do sieci MGMT.
Tabela 69 Komponenty bloku architektonicznego B.LAN.DIS
Diagram realizacji
Rysunek 31 Diagram realizacji bloku B.LAN.DIS
Blok architektoniczny przecznikw dostpowych LAN
Identyfikator
B.LAN.ACC
Nazwa
Blok architektoniczny przecznikw dostpowych LAN
Rodzaj bloku
Blok typu IaaS
Cel dokumentu
Dokument opisuje wymagania dla bloku architektonicznego przecznikw dostpowych LAN.
Atrybuty bloku architektonicznego
Atrybut
Dostpne wartoci
Opis
Klasa systemu
I, II, III, IV
Atrybut okrela klas systemu informatycznego, w ktrym wykorzystany bdzie blok architektoniczny.
Klasa bezpieczestwa
B3, BX
Atrybut okrela klas bezpieczestwa systemu informatycznego, w ktrym wykorzystany bdzie blok architektoniczny.
Ilo interfejsw
n x 10 GbE
n = ( 2, 4)
Atrybut okrela szybko interfejsw udostpnianych w bloku.
Szybko interfejsw
10 GbE
Atrybut okrela szybko pojedynczego interfejsu udostpnianego w bloku.
Interfejs redundancyjny Uplink
2 x10 GbE
Atrybut okrela ilo i szybko redundancyjnego (ang. Uplink) interfejsu udostpnianego w bloku.
Interfejs zagregowany Trunk
2 x10 GbE
Atrybut okrela szybko zagregowanego (ang. Trunk) interfejsu udostpnianego w bloku.
Interfejsy sieciowe do zarzdzania
1 x 1 GbE
Atrybut okrela ilo i szybko interfejsu przeznaczonego do sieci zarzdzania.
Lista sieci LAN
Uplink, Trunk, podsieci VLAN
Atrybut okrela sieci, ktre bd obsugiwane przez przeczniki dostpowe.
Tabela 71 Atrybuty bloku architektonicznego B.LAN.ACC
Ograniczenia na wartoci atrybutw
Dopuszczalne wartoci n dla atrybutu Ilo interfejsw dla bloku przedstawiono w tabeli poniej.
n
Ilo i szybko interfejsw
n x 1 x 1 GbE
n x 48 x 1 GbE
n x 2 x 10 GbE
1
TAK
TAK
TAK
2
-
-
TAK
Tabela 72 Dopuszczalne wartoci atrybutu Ilo interfejsw bloku B.LAN.ACC dla przecznikw stelaowych
Dopuszczalne wartoci n dla atrybutu Ilo interfejsw dla bloku przedstawiono w tabeli poniej.
n
Ilo i szybko interfejsw
n x 1 x 1 GbE
n x 16 x 1 GbE
n x 1 x 10 GbE
1
-
TAK
TAK
2
-
-
TAK
Tabela 73 Dopuszczalne wartoci atrybutu Ilo interfejsw bloku B.LAN.ACC dla przecznikw kasetowych
Komponenty bloku architektonicznego
Komponent
Standard/Czynnik/Parametr
Wymagania szczegowe
Interfejsy sieciowe
Nie dotyczy.
W kadym z pary przecznikw bloku skonfigurowane i udostpnione s interfejsy sieciowe w iloci 4x10Gb/s i 48x1Gb/s, z czego:
- co najmniej 2 interfejsy 10 Gb/s wykorzystane jako Uplink do bloku przecznikw dystrybucyjnych;
- pozostae interfejsy wykorzystane jako dostpowe do blokw serwerowych i urzdze sieciowych.
Do zarzdzania przecznikiem s wykorzystywane interfejsy 1Gb/s.
Przecznik dostpowy LAN
Wymagania dotyczce przecznika:
S.IA.LAN.SW
C.LAN.SW.3
Ten komponent moe obsugiwa wiele rnych blokw.
Konfiguracja sprztowa
Blok skada si z 2 przecznikw dostpowych.
Blok przeznaczony jest do obsugi pocze bezporednich serwerowych blokw fizycznych.
Blok moe by wykorzystany do obsugi pocze poprzez pojedyncze interfejsy dla urzdze balansujcych ruch sieciowy, interfejsw zapr sieciowych oraz serwerw lub blokw typu IaaS lub PaaS.
Dostp do sieci LAN
Blok dostpowy musi obsugiwa wszystkie Uplinki blokw przecznikw dystrybucyjnych.
Blok dostpowy musi obsugiwa wszystkie podsieci LAN.
,
Blok dostpowy musi by podczony do sieci MGMT.
Tabela 75 Komponenty bloku architektonicznego B.LAN.ACC
Diagram realizacji
Rysunek 32 Diagram realizacji bloku B.LAN.ACC
Blok architektoniczny routerw
Identyfikator
B.LAN.GAT.RT
Nazwa
Blok architektoniczny routerw
Rodzaj bloku
Blok typu IaaS
Cel dokumentu
Dokument opisuje wymagania dla bloku architektonicznego routerw.
Atrybuty bloku architektonicznego
Atrybut
Dostpne wartoci
Opis
Klasa systemu
I, II, III, IV
Atrybut okrela klas systemu informatycznego, w ktrym wykorzystany bdzie blok architektoniczny.
Klasa bezpieczestwa
B3, BX
Atrybut okrela klas bezpieczestwa systemu informatycznego, w ktrym wykorzystany bdzie blok architektoniczny.
Ilo interfejsw
n x 10 GbE
n = (1, 2)
Atrybut okrela szybko interfejsw udostpnianych w bloku.
Szybko interfejsw
1GbE, 10 GbE
Atrybut okrela szybko pojedynczego interfejsu udostpnianego w bloku.
Interfejs redundancyjny Uplink
2 x1 GbE
Atrybut okrela ilo i szybko redundancyjnego (ang. Uplink) interfejsu udostpnianego w bloku.
Interfejsy sieciowe do zarzdzania
1 x 1 GbE
Atrybut okrela ilo i szybko interfejsu przeznaczonego do sieci zarzdzania.
Lista sieci LAN
Podsieci VLAN
Atrybut okrela sieci, ktre bd obsugiwane przez routery.
Tabela 77 Atrybuty bloku B.LAN.GAT.RT
Ograniczenia na wartoci atrybutw
Dopuszczalne wartoci n dla atrybutu Ilo interfejsw dla bloku przedstawiono w tabeli poniej.
n
Ilo i szybko interfejsw
n x 1 x 1 GbE
n x 2 x 10 GbE
1
TAK
TAK
2
TAK
TAK
Tabela 78 Dopuszczalne wartoci atrybutu Ilo interfejsw dla bloku B.LAN.GAT.RT
Komponenty bloku architektonicznego
Komponent
Standard/Czynnik/Parametr
Wymagania szczegowe
Interfejsy sieciowe
Nie dotyczy.
W kadym z pary routerw w bloku skonfigurowane i udostpnione s interfejsy sieciowe w iloci 2x10Gb/s i 2x1Gb/s, z czego:
- co najmniej 2 interfejsy 10 Gb/s wykorzystane jest jako poczenie do sieci zewntrznych;
- 2 do 4 interfejsw 10 Gb/s wykorzystane jest jako poczenie do sieci wewntrznych;
Do zarzdzania routerem jest wykorzystywany interfejs 1Gb/s.
Router
Wymagania dotyczce przecznika:
S.IA.LAN.RTR
C.LAN.RT
Ten komponent moe obsugiwa wiele rnych blokw.
Konfiguracja sprztowa
Blok skada si z 2 routerw.
Blok przeznaczony jest do obsugi pocze z sieciami zewntrznymi.
Blok moe by wykorzystany do obsugi pocze do internetu lub WAN.
Blok routerw musi obsugiwa protokoy BGP,OSPF, IS-IS i RIP.
Dostp do sieci LAN
Blok routerw musi obsugiwa wszystkie poczenia do sieci wewntrznych.
Blok dostpowy musi by podczony do sieci MGMT.
Tabela 80 Komponenty bloku architektonicznego B.LAN.GAT.RT
Diagram realizacji
Rysunek 33 Diagram realizacji bloku B.LAN.GAT.RT
Blok architektoniczny zapr sieciowych
Identyfikator
B.LAN.DIS.FW
Nazwa
Blok architektoniczny zapr sieciowych
Rodzaj bloku
Blok typu IaaS
Cel dokumentu
Dokument opisuje wymagania dla bloku architektonicznego zapr sieciowych.
Atrybuty bloku architektonicznego
Atrybut
Dostpne wartoci
Klasa systemu
I, II, III, IV
Atrybut okrela klas systemu informatycznego, w ktrym wykorzystany bdzie blok architektoniczny.
Klasa bezpieczestwa
B3, BX
Atrybut okrela klas bezpieczestwa systemu informatycznego, w ktrym wykorzystany bdzie blok architektoniczny.
Ilo interfejsw
n x 10 GbE, m x 1 GbE
n = (1, 2, 4)
Atrybut okrela ilo i szybko interfejsw udostpnianych w bloku.
Szybko interfejsw
1 GbE, 10 GbE
Atrybut okrela szybko pojedynczego interfejsu udostpnianego w bloku.
Interfejsy sieciowe do zarzdzania
1 x 1 GbE
Atrybut okrela ilo i szybko interfejsu przeznaczonego do sieci zarzdzania.
Lista sieci LAN
Wszystkie podsieci VLAN
Atrybut okrela sieci, ktre bd obsugiwane przez zapory sieciowe.
Tabela 82 Atrybuty bloku B.LAN.DIS.FW
Ograniczenia na wartoci atrybutw
Dopuszczalne wartoci n dla atrybutu Ilo interfejsw dla bloku przedstawiono w tabeli poniej.
n
Ilo i szybko interfejsw
n x 4 x 1 GbE
n x 1 x 10 GbE
1
TAK
-
2
TAK
TAK
Tabela 83 Dopuszczalne wartoci atrybutu Ilo interfejsw dla bloku B.LAN.DIS.FW
Komponenty bloku architektonicznego
Komponent
Standard/Czynnik/Parametr
Wymagania szczegowe
Interfejsy sieciowe
Nie dotyczy.
W kadym z pary zapr sieciowych w bloku skonfigurowane i udostpnione interfejsy sieciowe w iloci 2 x 10GbE (tylko C.LAN.FW.1) i 8 x 1GbE z czego:
- 2 interfejsy 10 Gb/s wykorzystane do szybkich pocze midzy czonymi sieciami;
- 2 do 5 interfejsw 10GbE wykorzystane do podczania podsieci o mniejszym ruchu; .
- 1, 2 interfejs 1GbE wykorzystany do wzajemnego poczenia midzy zaporami sieciowymi lub zarzdzania.
Zapora sieciowa
Wymagania dotyczce zapory sieciowej:
S.IA.LAN.FW
C.LAN.FW.1
C.LAN.FW.2
Ten komponent moe obsugiwa wiele rnych blokw.
Konfiguracja sprztowa
Blok skada si z 2 zapr sieciowych.
Blok przeznaczony jest do obsugi pocze midzy chronionymi lub izolowanymi segmentami sieci LAN/WAN/Internet.
Urzdzenia w bloku musz mie zdolno filtrowania URL.
Blok moe by wykorzystany do obsugi stref DMZ w bramce internetowej.
Dostp do sieci LAN
Blok zapr sieciowych musi obsugiwa wszystkie podsieci LAN.
,
Blok rdzeniowy musi by podczony do sieci MGMT.
Tabela 85 Komponenty bloku architektonicznego B.LAN.DIS.FW
Diagram realizacji
Rysunek 34 Diagram realizacji bloku B.LAN.DIS.FW
Blok architektoniczny urzdze rwnowacych ruch sieciowy
Identyfikator
B.LAN.LB
Nazwa
Blok architektoniczny urzdze rwnowacych ruch sieciowy
Rodzaj bloku
Blok typu IaaS
Cel dokumentu
Dokument opisuje wymagania dla bloku architektonicznego urzdze rwnowacych ruch sieciowych.
Atrybuty bloku architektonicznego
Atrybut
Dostpne wartoci
Opis
Klasa systemu
I, II, III, IV
Atrybut okrela klas systemu informatycznego, w ktrym wykorzystany bdzie blok architektoniczny.
Klasa bezpieczestwa
B3, BX
Atrybut okrela klas bezpieczestwa systemu informatycznego, w ktrym wykorzystany bdzie blok architektoniczny.
Ilo interfejsw
n x 10 GbE, m x 1 GbE
n = (2, 4)
Atrybut okrela ilo i szybko interfejsw udostpnianych w bloku.
Szybko interfejsw
1 GbE, 10 GbE
Atrybut okrela szybko pojedynczego interfejsu udostpnianego w bloku.
Interfejsy sieciowe do zarzdzania
1 x 1 GbE
Atrybut okrela ilo i szybko interfejsu przeznaczonego do sieci zarzdzania.
Lista sieci LAN
Wszystkie podsieci VLAN
Atrybut okrela sieci, ktre bd obsugiwane przez urzdzenia rwnowaenia ruchu sieciowego.
Tabela 87 Atrybuty bloku B.LAN.LB
Ograniczenia na wartoci atrybutw
Dopuszczalne wartoci n dla atrybutu Ilo interfejsw dla bloku przedstawiono w tabeli poniej.
n
Ilo i szybko interfejsw
n x 1 GbE
n x 2 x 10 GbE
1
-
TAK
2
TAK
TAK
Tabela 88 Dopuszczalne wartoci atrybutu Ilo interfejsw dla bloku B.LAN.LB
Komponenty bloku architektonicznego
Komponent
Standard/Czynnik/Parametr
Wymagania szczegowe
Interfejsy sieciowe
Nie dotyczy.
W kadym z pary urzdze rwnowaenia ruchu sieciowego w bloku s skonfigurowane i udostpnione nastpujce interfejsy sieciowe:
1. dla wza dystrybucyjnego
- 2 x 10GbE i 8 x 1GbE
2. dla globalnego urzdzenia balansujcego ruch sieciowy
- 2 x 1GbE
3. dla pozostaych urzdze balansujcych ruch sieciowy
- 6 x 1GbE .
Urzdzenie rwnowace ruch sieciowy
Wymagania dla urzdzenia rwnowacego ruch sieciowy:
S.IA.LAN.LB
C.LAN..LB.1
C.LAN..LB.2
C.LAN..LB.3
Ten komponent moe obsugiwa wiele rnych blokw.
Konfiguracja sprztowa
Blok skada si z 2 urzdze rwnowaenia ruchu sieciowego.
Blok urzdze musz obsugiwa wszystkie sieci LAN na poziomie przecznikw rdzeniowych LAN.
Blok urzdze musz obsugiwa wszystkie sieci na poziomie przecznikw dostpowych LAN
Urzdzenia w bloku musz mie zdolno do balansowania pakietw w protokoach HTTP/HTTPS
Blok moe by wykorzystany do obsugi stref DMZ w bramce internetowej do obsugi serwerw proxy.
Dostp do sieci LAN
Blok urzdze rwnowaenia ruchu sieciowego musi obsugiwa wszystkie podsieci LAN.
Blok urzdze rwnowaenia ruchu sieciowego musi by podczony do sieci MGMT.
Tabela 90 Komponenty bloku architektonicznego B.LAN.LB
Diagram realizacji
Rysunek 35 Diagram realizacji bloku B.LAN.LB
Blok architektoniczny urzdze IPS
Identyfikator
B.LAN.IPS
Nazwa
Blok architektoniczny urzdze IPS
Rodzaj bloku
Blok typu IaaS
Cel dokumentu
Dokument opisuje wymagania dla bloku architektonicznego urzdze IPS.
Atrybuty bloku architektonicznego
Atrybut
Dostpne wartoci
Opis
Klasa systemu
I, II, III, IV
Atrybut okrela klas systemu informatycznego, w ktrym wykorzystany bdzie blok architektoniczny.
Klasa bezpieczestwa
B3, BX
Atrybut okrela klas bezpieczestwa systemu informatycznego, w ktrym wykorzystany bdzie blok architektoniczny.
Ilo interfejsw
n x 10 GbE, m x 1 GbE
n = (2)
Atrybut okrela ilo i szybko interfejsw udostpnianych w bloku.
Szybko interfejsw
1 GbE, 10 GbE
Atrybut okrela szybko pojedynczego interfejsu udostpnianego w bloku.
Interfejsy sieciowe do zarzdzania
1 x 1 GbE
Atrybut okrela ilo i szybko interfejsu przeznaczonego do sieci zarzdzania.
Lista sieci LAN
Wszystkie podsieci VLAN
Atrybut okrela sieci, ktre bd obsugiwane przez urzdzenia rwnowaenia ruchu sieciowego.
Tabela 92 Atrybuty bloku B.LAN.IPS
Ograniczenia na wartoci atrybutw
Dopuszczalne wartoci n dla atrybutu Ilo interfejsw dla bloku przedstawiono w tabeli poniej.
n
Ilo i szybko interfejsw
n x 4 x 1 GbE
n x 10 GbE
1
TAK
TAK
2
TAK
TAK
Tabela 93 Dopuszczalne wartoci atrybutu Ilo interfejsw dla bloku B.LAN.IPS
Komponenty bloku architektonicznego
Komponent
Standard/Czynnik/Parametr
Wymagania szczegowe
Interfejsy sieciowe
Nie dotyczy.
W kadym z pary urzdze IPS w bloku s skonfigurowane i udostpnione interfejsy sieciowe w iloci 4 x 10GbE z czego:
- 2 interfejsy 10 Gb/s wykorzystane do pocze midzy gwnymi podsieciami do analizy ruchu sieciowego w trybie on-line;
- 2 interfejsy 10 Gb/s wykorzystanych do ochrony podsieci o mniejszym nateniu ruchu sieciowego oraz do zarzdzania.
Urzdzenie IPS
Wymagania dla urzdzenia IPS:
S.IA.LAN.IPS
C.LAN.IPS
Ten komponent moe obsugiwa wiele rnych blokw.
Konfiguracja sprztowa
Blok skada si z 2 urzdze IPS.
Blok urzdze musz obsugiwa wszystkie sieci na poziomie przecznikw rdzeniowych LAN.
Blok urzdze musz obsugiwa wszystkie sieci na poziomie przecznikw dostpowych LAN.
Oprogramowanie musi pozwala na identyfikacj zagroe wirusowych i atakw sieciowych.
Blok moe by wykorzystany do obsugi sieci w bramce internetowej oraz bramce WAN.
Blok moe by wykorzystany do obsugi sieci wewntrznych.
Dostp do sieci LAN
Blok urzdze IPS musi obsugiwa wszystkie podsieci LAN.
,
Blok urzdze IPS musi by podczony do sieci MGMT.
Tabela 95 Komponenty bloku architektonicznego B.LAN.IPS
Diagram realizacji
Rysunek 36 Diagram realizacji bloku B.LAN.IPS
Blok architektoniczny urzdze DWDM
Identyfikator
B.LAN.DWDM
Nazwa
Blok architektoniczny urzdze DWDM
Rodzaj bloku
Blok typu IaaS
Cel dokumentu
Dokument opisuje wymagania dla bloku architektonicznego urzdze IPS.
Atrybuty bloku architektonicznego
Atrybut
Dostpne wartoci
Opis
Klasa systemu
I, II, III, IV
Atrybut okrela klas systemu informatycznego, w ktrym wykorzystany bdzie blok architektoniczny.
Klasa bezpieczestwa
B3, BX
Atrybut okrela klas bezpieczestwa systemu informatycznego, w ktrym wykorzystany bdzie blok architektoniczny.
Ilo interfejsw
n x 10 GbE, m x 8 Gb FC
n = (4,8, ,40), m = (4,8, ,40),
Atrybut okrela ilo i szybko interfejsw udostpnianych w bloku.
Szybko interfejsw
10 GbE, 8 Gb FC
Atrybut okrela szybko pojedynczego interfejsu udostpnianego w bloku.
Interfejsy sieciowe do zarzdzania
1 x 1 GbE
Atrybut okrela ilo i szybko interfejsu przeznaczonego do sieci zarzdzania.
Lista sieci LAN
Wszystkie podsieci VLAN i vSAN
Atrybut okrela sieci, ktre bd obsugiwane przez urzdzenia rwnowaenia ruchu sieciowego.
Tabela 107 Atrybuty bloku B.LAN.DWDM
Ograniczenia na wartoci atrybutw
Dopuszczalne wartoci n dla atrybutu Ilo interfejsw dla bloku przedstawiono w tabeli poniej.
n
Ilo i szybko interfejsw
n x 4 x 10 GbE
n x 4 x 8 Gb FC
1
TAK
-
2
TAK
-
3
TAK
-
4
TAK
-
5
TAK
-
6
-
TAK
7
-
TAK
8
-
TAK
9
-
TAK
10
-
TAK
Tabela 108 Dopuszczalne wartoci atrybutu Ilo interfejsw dla bloku B.LAN.DWDM
Komponenty bloku architektonicznego
Komponent
Standard/Czynnik/Parametr
Wymagania szczegowe
Interfejsy sieciowe
Nie dotyczy.
W kadym z 4 urzdze DWDM w bloku s skonfigurowane i udostpnione interfejsy sieciowe iloci do 40 x 10GbE i do 40 x 8Gb FC z czego:
- do 20 interfejsw 10 Gb/s wykorzystane do pocze sieci LAN;
- do 20 interfejsw 8 Gb FC wykorzystane do pocze sieci SAN;
Urzdzenie DWDM
Wymagania dla urzdzenia DWDM:
S.TE.DWDM
Ten komponent moe obsugiwa bloki LAN i SAN .
Konfiguracja sprztowa
Blok skada si z 4 urzdze DWDM.
Blok urzdze musi obsugiwa wszystkie sieci, przeczniki LAN i SAN.
Kade z urzdze musi posiada nastpujce cechy:
40 kanaw optycznych w technologii DWDM;
Interfejsy sieci LAN: do 40 x 10Gbps;
Interfejsy sieci SAN: do 40 x 8Gb;
Interfejsy sieci LAN do zarzdzania: 1 x 1Gbps;
Dostp do sieci LAN
Blok urzdze DWDM musi obsugiwa wszystkie podsieci LAN i SAN.
,
Blok urzdze DWDM musi by podczony do sieci MGMT.
Tabela 110 Komponenty bloku architektonicznego B.LAN.DWDM
Standard przecznikw LAN i WAN
Identyfikator
S.IA.LAN.SW
Nazwa
Standard przecznikw LAN i WAN
Obszar
Standardy infrastrukturalne
Strefa
LAN, WAN
Warstwa
Wszystkie
Rodzaj
Sprztowe/techniczne
Streszczenie
Niniejszy dokument opisuje standard przecznikw dla sieci LAN oraz WAN, obsugujcych ruch we wszystkich warstwach komponentw.
Opis
Poniej przedstawiono opis standardu przecznikw LAN oraz WAN w odniesieniu do poszczeglnych wzw sieci.
Wze rdzeniowy
Funkcjonalno i technologie
Klasa I, II, III, IV:
Blok przecznikw rdzeniowych musi by budowany z uyciem przecznikw moduowych.
Cakowita przepustowo wewntrzna kadego przecznika moduowego musi pozwala na rwnoczesn obsug penej przepustowoci wszystkich jego portw.
Kady przecznik musi by wyposaony w interfejsy o przepustowoci 10 Gb/s.
Kady przecznik musi mie moliwo obsugi interfejsw wiatowodowych.
Kady przecznik musi obsugiwa trasowanie ruchu pomidzy lokalnymi podsieciami IP.
Przeczniki musz umoliwia obsug wielkich ramek.
Wirtualizacja
Klasa I, II, III, IV:
Kady przecznik musi umoliwia programowe poczenie przecznikw fizycznych w przecznik wirtualny.
Kady przecznik musi umoliwia obsug wirtualnych sieci lokalnych (VLAN).
Kady przecznik musi umoliwia znakowanie ramek z wykorzystaniem standardu IEEE 802.1Q.
Kady przecznik musi umoliwia agregowanie portw fizycznych w pojedynczy port wirtualny (ang. trunking) w sposb statyczny lub z uyciem protokou LACP 802.3ad.
Niezawodno i dostpno
Klasa I, II, III, IV:
Przeczniki bloku przecznikw rdzeniowych musz by wyposaone co najmniej w nastpujce komponenty redundantne:
zasilacze;
wentylatory;
moduy nadzorujce.
Musi istnie moliwo wymiany moduw przecznika bez koniecznoci wyczania urzdzenia.
Przeczniki musz zapewnia moliwo aktualizacji oprogramowania wewntrznego bez koniecznoci wyczania urzdzenia.
Kady przecznik bloku przecznikw rdzeniowych musi by zasilany z dwch osobnych obwodw.
Bezpieczestwo
Klasa B1:
Rozwizanie musi posiada moliwo centralnego uwierzytelniania uytkownikw.
Musi posiada moliwo lokalnego autoryzowania dostpu uytkownikw.
Musi posiada moliwo centralnego autoryzowania dostpu uytkownikw.
Rozwizanie musi wspiera granularny przydzia uprawnie.
Rozwizanie musi mie moliwo lokalnego rejestrowania zdarze bezpieczestwa.
Rozwizanie musi mie moliwo integracji z centralnym systemem rejestrowania zdarze bezpieczestwa.
Klasa B2:
Rozwizanie musi posiada moliwo uwierzytelniania uytkownikw.
Musi posiada moliwo lokalnego autoryzowania dostpu uytkownikw.
Rozwizanie musi posiada moliwo centralnego autoryzowania dostpu uytkownikw.
Rozwizanie musi mie moliwo lokalnego rejestrowania zdarze bezpieczestwa.
Rozwizanie musi mie moliwo integracji z centralnym systemem rejestrowania zdarze bezpieczestwa.
Klasa B3:
Rozwizanie musi posiada moliwo uwierzytelniania uytkownikw.
Musi posiada moliwo lokalnego autoryzowania dostpu uytkownikw.
Rozwizanie musi mie moliwo lokalnego rejestrowania zdarze bezpieczestwa.
Rozwizanie musi mie moliwo integracji z centralnym systemem rejestrowania zdarze bezpieczestwa.
Klasa BX:
Rozwizanie wykorzystane w klasie BX musi by odseparowane fizycznie od innych systemw resortu finansw.
Jeli rozwizanie korzysta z innych zasobw infrastruktury resortu finansw, to musz by stosowane odpowiednie mechanizmy:
kontroli dostpu,
monitorowania zdarze bezpieczestwa,
filtrowania ruchu.
Zarzdzanie
Klasa I, II, III, IV:
Kady przecznik wza rdzeniowego musi mie moliwo zdalnego zarzdza jego konfiguracj i monitorowania jego stanu.
Kady przecznik wza rdzeniowego musi mie moliwo:
integracji z centralnym systemem monitoringu i zarzdzania sieci;
wykonywania kopii zapasowej jego konfiguracji;
aktualizacji jego oprogramowania;
zdalnego monitorowania stanu jego interfejsw;
zdalnej modyfikacji jego konfiguracji i monitorowaniazmian konfiguracji;
monitorowania sesji zrealizowanych za porednictwemjego mechanizmw zdalnego zarzdzania.
Wze dystrybucyjny
Funkcjonalno i technologie
Klasa I, II, III, IV:
Blok przecznikw dystrybucyjnych musi by zbudowany z przecznikw moduowych podczonych do wza rdzeniowego.
Cakowita przepustowo wewntrzna kadego przecznika moduowego w bloku przecznikw dystrybucyjnych musi pozwala na rwnoczesn obsug penej przepustowoci wszystkich jego portw.
Kady przecznik moduowy w bloku przecznikw dystrybucyjnych musi by wyposaony w interfejsy o przepustowoci 10 Gb/s.
W razie koniecznoci kady przecznik moduowy w bloku przecznikw dystrybucyjnych musi mie moliwo obsugi interfejsw o przepustowoci 1 Gb/s.
Kady przecznik w bloku przecznikw dystrybucyjnych musi obsugiwa trasowanie ruchu pomidzy lokalnymi podsieciami IP.
Przepustowo wewntrzna przecznikw dostpowych moe by mniejsza od penej przepustowoci wszystkich ich portw.
Kady przecznik dostpowy musi by wyposaony w interfejsy o przepustowoci 1Gb/s i 10 Gb/s.
Kady przecznik musi mie moliwo obsugi interfejsw wiatowodowych.
Kady przecznik musi mie moliwo obsugi interfejsw w standardzie 1000BaseT.
Wirtualizacja przecznikw
Klasa I, II, III, IV:
Kady przecznik musi umoliwia programowe poczenie przecznikw fizycznych w przecznik wirtualny.
Kady przecznik musi umoliwia obsug wirtualnych sieci lokalnych (VLAN).
Kady przecznik musi umoliwia znakowanie ramek z wykorzystaniem standardu IEEE 802.1Q.
Kady przecznik musi umoliwia agregowanie portw fizycznych w pojedynczy port wirtualny (ang. trunking) w sposb statyczny lub z uyciem protokou LACP 802.3ad.
Niezawodno i dostpno
Klasa I, II, III, IV:
Przeczniki bloku przecznikw dystrybucyjnych musz by wyposaone co najmniej w nastpujce komponenty redundantne:
zasilacze;
wentylatory.
Musi istnie moliwo wymiany moduw przecznika bez koniecznoci wyczania urzdzenia.
Przeczniki musz zapewnia moliwo aktualizacji oprogramowania wewntrznego bez koniecznoci restartowania urzdzenia.
Kady przecznik bloku przecznikw dystrybucyjnych musi by zasilany z dwch osobnych obwodw.
Bezpieczestwo
Klasa B1:
Rozwizanie musi posiada moliwo centralnego uwierzytelniania uytkownikw.
Musi posiada moliwo lokalnego autoryzowania dostpu uytkownikw.
Musi posiada moliwo centralnego autoryzowania dostpu uytkownikw.
Rozwizanie musi wspiera granularny przydzia uprawnie.
Rozwizanie musi mie moliwo lokalnego rejestrowania zdarze bezpieczestwa.
Rozwizanie musi mie moliwo integracji z centralnym systemem rejestrowania zdarze bezpieczestwa.
Klasa B2:
Rozwizanie musi posiada moliwo uwierzytelniania uytkownikw.
Musi posiada moliwo lokalnego autoryzowania dostpu uytkownikw.
Rozwizanie musi posiada moliwo centralnego autoryzowania dostpu uytkownikw.
Rozwizanie musi mie moliwo lokalnego rejestrowania zdarze bezpieczestwa.
Rozwizanie musi mie moliwo integracji z centralnym systemem rejestrowania zdarze bezpieczestwa.
Klasa B3:
Rozwizanie musi posiada moliwo uwierzytelniania uytkownikw.
Musi posiada moliwo lokalnego autoryzowania dostpu uytkownikw.
Rozwizanie musi mie moliwo lokalnego rejestrowania zdarze bezpieczestwa.
Rozwizanie musi mie moliwo integracji z centralnym systemem rejestrowania zdarze bezpieczestwa.
Klasa BX:
Rozwizanie wykorzystane w klasie BX musi by odseparowane fizycznie od innych systemw resortu finansw.
Jeli rozwizanie korzysta z innych zasobw infrastruktury resortu finansw, to musz by stosowane odpowiednie mechanizmy:
kontroli dostpu,
monitorowania zdarze bezpieczestwa,
filtrowania ruchu.
Zarzdzanie
Klasa I, II, III, IV:
Kady przecznik wza dystrybucyjnego musi mie moliwo zdalnego zarzdza jego konfiguracj i monitorowania jego stanu.
Kady przecznik Wza Dystrybucyjnego musi mie moliwo:
integracji z centralnym systemem monitoringu i zarzdzania sieci;
wykonywania kopii zapasowej jego konfiguracji;
aktualizacji jego oprogramowania;
zdalnego monitorowania stanu jego interfejsw;
zdalnej modyfikacji jego konfiguracji i monitorowaniazmian konfiguracji;
monitorowania sesji zrealizowanych za porednictwemjego mechanizmw zdalnego zarzdzania.
Wze bramki internetowej i intranetowej
Funkcjonalno i technologie
Klasa I, II, III, IV:
Cakowita przepustowo wewntrzna kadego przecznika wza bramki internetowej i intranetowej musi pozwala na rwnoczesn obsug penej przepustowoci wszystkich jego portw.
Kady przecznik moduowy w bloku przecznikw dystrybucyjnych musi by wyposaony w interfejsy o przepustowoci 10 Gb/s.
W razie koniecznoci kady przecznik moduowy w bloku przecznikw dystrybucyjnych musi mie moliwo obsugi interfejsw o przepustowoci 1 Gb/s.
Kady przecznik w bloku przecznikw dystrybucyjnych musi obsugiwa trasowanie ruchu pomidzy lokalnymi podsieciami IP.
Przepustowo wewntrzna przecznikw dostpowych moe by mniejsza od penej przepustowoci wszystkich ich portw.
Kady przecznik dostpowy musi by wyposaony w interfejsy o przepustowoci 1 Gb/s i 10 Gb/s.
Kady przecznik musi mie moliwo obsugi interfejsw wiatowodowych.
Kady przecznik musi mie moliwo obsugi interfejsw w standardzie 1000BaseT.
Wirtualizacja przecznikw
Klasa I, II, III, IV:
Kady przecznik musi umoliwia programowe poczenie przecznikw fizycznych w przecznik wirtualny.
Kady przecznik musi umoliwia obsug wirtualnych sieci lokalnych (VLAN).
Kady przecznik musi umoliwia znakowanie ramek z wykorzystaniem standardu IEEE 802.1Q.
Kady przecznik musi umoliwia agregowanie portw fizycznych w pojedynczy port wirtualny (ang. trunking) w sposb statyczny lub z uyciem protokou LACP 802.3ad.
Niezawodno i dostpno
Klasa I, II, III, IV:
Przeczniki bloku przecznikw dystrybucyjnych musz by wyposaone co najmniej w nastpujce komponenty redundantne:
zasilacze;
wentylatory.
Musi istnie moliwo wymiany moduw przecznika bez koniecznoci wyczania urzdzenia.
Przeczniki musz zapewnia moliwo aktualizacji oprogramowania wewntrznego bez koniecznoci restartowania urzdzenia.
Kady przecznik bloku przecznikw dystrybucyjnych musi by zasilany z dwch osobnych obwodw.
Bezpieczestwo
Klasa B1:
Rozwizanie musi posiada moliwo centralnego uwierzytelniania uytkownikw.
Musi posiada moliwo lokalnego autoryzowania dostpu uytkownikw.
Musi posiada moliwo centralnego autoryzowania dostpu uytkownikw.
Rozwizanie musi wspiera granularny przydzia uprawnie.
Rozwizanie musi mie moliwo lokalnego rejestrowania zdarze bezpieczestwa.
Rozwizanie musi mie moliwo integracji z centralnym systemem rejestrowania zdarze bezpieczestwa.
Klasa B2:
Rozwizanie musi posiada moliwo uwierzytelniania uytkownikw.
Musi posiada moliwo lokalnego autoryzowania dostpu uytkownikw.
Rozwizanie musi posiada moliwo centralnego autoryzowania dostpu uytkownikw.
Rozwizanie musi mie moliwo lokalnego rejestrowania zdarze bezpieczestwa.
Rozwizanie musi mie moliwo integracji z centralnym systemem rejestrowania zdarze bezpieczestwa.
Klasa B3:
Rozwizanie musi posiada moliwo uwierzytelniania uytkownikw.
Musi posiada moliwo lokalnego autoryzowania dostpu uytkownikw.
Rozwizanie musi mie moliwo lokalnego rejestrowania zdarze bezpieczestwa.
Rozwizanie musi mie moliwo integracji z centralnym systemem rejestrowania zdarze bezpieczestwa.
Rozwizanie musi zapewnia moliwo rejestrowania i monitoringu zdarze.
Klasa BX:
Rozwizanie wykorzystane w klasie BX musi by odseparowane fizycznie od innych systemw resortu finansw.
Jeli rozwizanie korzysta z innych zasobw infrastruktury resortu finansw, to musz by stosowane odpowiednie mechanizmy:
kontroli dostpu,
monitorowania zdarze bezpieczestwa,
filtrowania ruchu.
Zarzdzanie
Klasa I, II, III, IV:
Kady przecznik wza bramki internetowej i intranetowej musi mie moliwo zdalnego zarzdza jego konfiguracj i monitorowania jego stanu.
Kady przecznik wza bramki internetowej i intranetowej musi mie moliwo:
integracji z centralnym systemem monitoringu i zarzdzania sieci;
wykonywania kopii zapasowej jego konfiguracji;
aktualizacji jego oprogramowania;
zdalnego monitorowania stanu jego interfejsw;
zdalnej modyfikacji jego konfiguracji i monitorowaniazmian konfiguracji;
monitorowania sesji zrealizowanych za porednictwemjego mechanizmw zdalnego zarzdzania.
Przeczniki LANPrzeczniki rdzeniowe
Identyfikator
C.LAN.SW.1
Nazwa
Przeczniki rdzeniowe LAN
Element/cecha
Charakterystyka
Pojemno przeczania backplane
Co najmniej 3 Tb/s
Prdko przeczania pakietw
Co najmniej 960 Mp/s
Liczba portw 10 Gb/s
Moliwo instalacji 64 portw 10 Gb/s (1:1) z moliwoci uzyskania penej przepustowoci kadego portu, przy rwnoczesnym penym wykorzystaniu wszystkich portw.
Moliwo instalacji 256 portw 10 Gb/s (4:1)przy zaoeniu, e podczas penego obcienia wszystkich portw nie bdzie moliwoci uzyskania ich penej przepustowoci.
Liczba gniazd kart liniowych
Minimum 7
Redundancja zarzdzania
Co najmniej 1+1.
Redundancja wentylatorw
Tak
Zasilanie
Napicie zmienne 230 V, 50 Hz.
Minimum dwa zasilacze zapewniajce redundancj zasilania N+N lub N+M, typu hot-plug. Uszkodzenie pojedynczego zasilacza nie moe powodowa utraty zdolnoci operacyjnych w peni wyposaonego urzdzenia.
Obudowa
Dostosowana do montau w szafie stelaowej 19.
STP
Obsuga protokow: RSTP i MSTP
QoS
Priorytetyzacja zgodna z IEEE 802.1p, priorytetyzacja na bazie warstwy 4 modelu OSI, kontrola pakietw rozgoszeniowych, klasyfikacja ruchu na bazie wielu kryteriw protokow warstwy 2, 3 i 4 modelu OSI, regulacja pasma za pomoc algorytmw bazujcych na portach i/lub klasyfikatorach pakietw.
VLANy
Zgodne ze standardem 802.1Q (4096 identyfikatorw sieci wirtualnych), obsuga funkcjonalnoci QinQ.
Agregacja portw
Obsuga protokou 802.3ad Link Aggregation.
Redundancja
Redundancja komponentw N+N lub N+M (nadmiarowe zasilacze, wiatraki, moduy zarzdzania, moduy liniowe, transceivery).
Wirtualizacja przecznikw.
Obsugiwane protokoy i funkcje
Obsuga protokow: RIP, OSPF, BGP, IS-IS, VRRP, moliwo uruchomienia MPLS, DLDP lub UDLD.
Obsuga funkcji: Non Stop Forwarding/Graceful Restart (NSF/GR).
Wsparcie dla IPv6.
Zarzdzanie
Integracja z CISCO PRIME w CPD
Monitorowanie zdarze
Integracja z systemami monitorowania w CPD
Przeczniki dystrybucyjne LAN/WAN
Identyfikator
C.LAN.SW.2
Nazwa
Przeczniki dystrybucyjne LAN/WAN
Element/cecha
Charakterystyka
Pojemno przeczania backplane
Co najmniej 1,44 Tb/s.
Prdko przeczania pakietw
Co najmniej 1200Mp/s.
Porty 10 Gb/s
Moliwo instalacji co najmniej 192 portw 10Gb/s, przy zaoeniu, e podczas penego obcienia wszystkich portw nie bdzie moliwoci uzyskania ich penej przepustowoci.
Porty 1 Gb/s
Moliwo instalacji co najmniej 96 portw 1 Gb/s (1:1) z moliwoci uzyskania penej przepustowoci kadego portu, przy rwnoczesnym penym wykorzystaniu wszystkich portw.
Liczba gniazd kart liniowych
Minimum 7.
Redundancja zarzdzania
1+1
Zasilanie
Napicie zmienne: 230 V, 50 Hz.
Minimum dwa zasilacze zapewniajce redundancj zasilania N+N lub N+M, typu hot-plug. Uszkodzenie pojedynczego zasilacza nie moe powodowa utraty zdolnoci operacyjnych w peni wyposaonego urzdzenia.
Obudowa
Dostosowana do montau w szafie stelaowej 19.
STP
Obsuga protokow: RSTP i MSTP.
QoS
Priorytetyzacja zgodna z IEEE 802.1p, priorytetyzacja na bazie warstwy 4 modelu OSI, kontrola pakietw rozgoszeniowych, klasyfikacja ruchu na bazie wielu kryteriw protokow warstwy 2, 3 i 4 modelu OSI, regulacja pasma za pomoc algorytmw bazujcych na portw i/lub klasyfikatorach pakietw.
VLANy
Zgodne ze standardem 802.1Q (4096 identyfikatorw sieci wirtualnych), obsuga funkcjonalnoci QinQ.
Agregacja portw
Obsuga protokou 802.3ad Link Aggregation.
Redundancja
Redundancja komponentw (nadmiarowe zasilacze, wiatraki, moduy zarzdzania, moduy liniowe, transceivery).Wirtualizacja przecznikw.Obsuga protokow: RIP, OSPF, BGP, IS-IS, VRRP, moliwo uruchomienia MPLS, DLDP lub UDLD.
Obsuga funkcji: Non Stop Forwarding/Graceful Restart (NSF/GR).
Wsparcie dla IPv6.
Zarzdzanie
Integracja z CISCO PRIME w CPD
Monitorowanie zdarze
Integracja z systemami monitorowania w CPD
Przeczniki dystrybucyjne bramka Internetowa
Identyfikator
C.LAN.SW.5
Nazwa
Przeczniki dystrybucyjne bramka Internetowa
Element/cecha
Charakterystyka
Pojemno przeczania backplane
Co najmniej 720 Gb/s.
Prdko przeczania pakietw
Co najmniej 400 Mp/s.
Liczba portw 10 Gb/s
Co najmniej 8 portw 10 Gb/s (1:1) z moliwoci uzyskania penej przepustowoci kadego portu, przy rwnoczesnym penym wykorzystaniu wszystkich portw.
Wymagane dostarczenie kadego przecznika w konfiguracji zawierajcej co najmniej 8 portw 10 Gb/s.
Moliwo instalacji co najmniej 20 portw 10Gb/s z moliwoci uzyskania penej przepustowoci kadego portu, przy rwnoczesnym penym wykorzystaniu wszystkich portw.
Liczba portw 1 Gb/s
Co najmniej 96 portw 1 Gb/s (1:1) z moliwoci uzyskania penej przepustowoci kadego portu, przy rwnoczesnym penym wykorzystaniu wszystkich portw.
Liczba gniazd kart liniowych
Minimum 4.
Redundancja zarzdzania
1+1
Zasilanie
Napicie zmienne: 230 V, 50 Hz.
Minimum dwa zasilacze zapewniajce redundancj zasilania N+N lub N+M, typu hot-plug. Uszkodzenie pojedynczego zasilacza nie moe powodowa utraty zdolnoci operacyjnych w peni wyposaonego urzdzenia.
Obudowa
Dostosowana do montau w szafie stelaowej 19.
STP
Obsuga protokow: STP, RSTP i MSTP.
QoS
Priorytetyzacja zgodna z IEEE 802.1p,priorytetyzacja na bazie warstwy 4 modelu OSI, kontrola pakietw rozgoszeniowych, klasyfikacja ruchu na bazie wielu kryteriw protokow warstwy 2, 3 i 4 modelu OSI, regulacja pasma za pomoc algorytmw bazujcych na portw i/lub klasyfikatorach pakietw.
VLANy
Zgodne ze standardem 802.1Q (4096 identyfikatorw sieci wirtualnych), obsuga funkcjonalnoci QinQ.
Agregacja portw
Obsuga protokou 802.3ad Link Aggregation.
Redundancja
Redundancja komponentw (nadmiarowe zasilacze, wiatraki, moduy zarzdzania, moduy liniowe, transceivery).Wirtualizacja przecznikw.Obsuga protokow: RIP, OSPF, BGP, IS-IS, VRRP, MPLS, DLDP lub UDLD.
Obsuga funkcji: Non Stop Forwarding/Graceful Restart (NSF/GR).
Zarzdzanie
Kompatybilno CISCO PRIME
Monitorowanie zdarze
Integracja z systemami monitorowania w CPD
Przeczniki dostpowePrzeczniki dostpowe 48 portw
Identyfikator
C.LAN.SW.3
Nazwa
Przeczniki dostpowe LAN 48 portw
Element/cecha
Charakterystyka
Pojemno przeczania backplane
Co najmniej 160 Gb/s.
Prdko przeczania pakietw
Co najmniej 100 Mp/s.
Porty 10 Gb/s SFP+
Co najmniej 2.
Porty 10/100/1000
IEEE 802.3 Type 10Base-T, IEEE 802.3u Type 100Base-TX,IEEE 802.3ab Type 1000Base-T
48
Zasilanie
Napiciem zmiennym 230 V 50 Hz.
Minimum dwa zasilacze zapewniajce redundancj zasilania N+N, typu hot-plug.
Obudowa
Dostosowana do montau w szafie stelaowej 19.
STP
Obsuga protokow: RSTP i MSTP.
QoS
Klasyfikacja wanoci ruchu na bazie list kontroli dostpu, technik IEEE 802.1p CoS, IP, DSCP lub Type of Service (ToS); filtrowanie, przekierowanie, powielanie lub znacznikowanie; kolejkowanie zgodnie z algorytmami: strict priority (SP), weighted fair queuing (WFQ), weighted random early discard (WRED).
Architektura
Funkcje przecznikw dostpowych w wle dystrybucyjnym mog by realizowane za pomoc wyniesionych moduw przecznika dystrybucyjnego.
Przy zastosowaniu tej technologii, wymaga dla przeacznika dostpowego nie stosuje si do wyniesionego moduu, ale do przecznika , ktrego jest on czci, z zastrzeeniem ich realizacji funkcjonalnej dla portw wyniesionego moduu.
VLANy
Zgodne ze standardem 802.1Q (4096 identyfikatorw sieci wirtualnych), obsuga funkcjonalnoci QinQ.
Agregacja portw
Obsuga protokou 802.3ad Link Aggregation.
Redundancja
Wirtualizacja przecznikw.
Obsuga protokow: RIP, moliwo rozbudowy o OSPF, BGP, IS-IS, VRRP.
Zarzdzanie
Kompatybilno z CISCO PRIME
Monitorowanie zdarze
Integracja z systemami monitorowania w CPD
Przeczniki dostpowe 24 porty
Identyfikator
C.LAN.SW.4
Nazwa
Przeczniki dostpowe LAN 24 porty
Element/cecha
Charakterystyka
Pojemno przeczania backplane
Co najmniej 160 Gb/s.
Prdko przeczania pakietw
Co najmniej 65,5 Mp/s.
Porty 10 Gb/s SFP+
Co najmniej 2.
Porty 10/100/1000
IEEE 802.3 Type 10Base-T, IEEE 802.3u Type 100Base-TX,IEEE 802.3ab Type 1000Base-T
24
Zasilanie
Napicie zmienne: 230 V; 50 Hz.
Minimum dwa zasilacze zapewniajce redundancj zasilania N+N lub N+M, typu hot-plug.
Obudowa
Dostosowana do montau w szafie stelaowej 19.
STP
Obsuga protokow: RSTP i MSTP
QoS
Klasyfikacja wanoci ruchu na bazie list kontroli dostpu, technik IEEE 802.1p CoS, IP, DSCP lub Type of Service (ToS); filtrowanie, przekierowanie, powielanie lub znacznikowanie; kolejkowanie zgodnie z algorytmami: strict priority (SP), weighted fair queuing (WFQ), weighted random early discard (WRED).
Architektura
Funkcje przecznikw dostpowych w wle dystrybucyjnym mog by realizowane za pomoc wyniesionych moduw przecznika dystrybucyjnego.
Przy zastosowaniu tej technologii, wymaga dla przeacznika dostpowego nie stosuje si do wyniesionego moduu, ale do przecznika , ktrego jest on czci, z zastrzeeniem ich realizacji funkcjonalnej dla portw wyniesionego moduu.
VLANy
Zgodne ze standardem 802.1Q (4096 identyfikatorw sieci wirtualnych), obsuga funkcjonalnoci QinQ.
Agregacja portw
Obsuga protokou 802.3ad Link Aggregation.
Redundancja
Wirtualizacja przecznikw.Obsuga protokow: RIP, moliwo rozbudowy o OSPF, BGP, IS-IS, VRRP.
Zarzdznie
Kompatybilno z CISCO PRIME
Monitorowanie zdarze
Integracja z systemami monitorowania w CPD
Nazwa
Standard zapr sieciowych.
Obszar
Standardy infrastrukturalne
Strefa
LAN, WAN
Warstwa
Wszystkie
Rodzaj
Bezpieczestwa
Streszczenie
Dokument opisuje standard zapr sieciowych.
Opis
Funkcjonalno i technologie
Klasa I, II, III, IV:
Cakowita przepustowo wewntrzna pojedynczego urzdzenia musi wynosi co najmniej 10 Gb/s. Zapora sieciowa musi mie moliwo obsugi interfejsw o przepustowoci 10/100/1000 Mb/s.
Urzdzenie musi by przystosowane do instalacji w stelau technicznym.
Wirtualizacja
Klasa I, II, III, IV:
Urzdzenie musi mie moliwo tworzenia prywatnych sieci wirtualnych (VPN) z uyciem protokou IPSec.
Niezawodno i dostpno
Klasa I, II, III, IV:
Rozwizanie musi by wyposaone w redundantne zasilacze.
Rozwizanie musi umoliwia czenie urzdze w klastry wysokiej dostpnoci.
Kade urzdzenie musi by zasilane z dwch osobnych obwodw.
Bezpieczestwo
Rozwizanie musi posiada wsparcie ze strony producenta w zakresie ujawniania oraz naprawiania bdw i luk bezpieczestwa, dostarczane przez dedykowany zesp specjalistw.
Producent rozwizania musi udostpnia list opisujc histori wykrytych w rozwizaniu bdw i zawierajc stosowne poprawki.
Klasa B1:
Rozwizanie musi stosowa mechanizmy kryptograficzne do transmisji danych przesyanych w sieciach publicznych:
podczas uwierzytelniania uytkownikw,
podczas przesyania danych konfiguracyjnych.
Rozwizanie musi posiada moliwo centralnego uwierzytelniania uytkownikw.
Musi posiada moliwo lokalnego autoryzowania dostpu uytkownikw.
Musi posiada moliwo centralnego autoryzowania dostpu uytkownikw.
Rozwizanie musi wspiera granularny przydzia uprawnie.
Rozwizanie musi mie moliwo lokalnego rejestrowania zdarze bezpieczestwa.
Rozwizanie musi mie moliwo integracji z centralnym systemem rejestrowania zdarze bezpieczestwa.
Klasa B2:
Rozwizanie musi stosowa mechanizmy kryptograficzne do transmisji danych przesyanych w sieciach publicznych:
podczas uwierzytelniania uytkownikw,
podczas przesyania danych konfiguracyjnych.
Rozwizanie musi posiada moliwo uwierzytelniania uytkownikw.
Musi posiada moliwo lokalnego autoryzowania dostpu uytkownikw.
Rozwizanie musi posiada moliwo centralnego autoryzowania dostpu uytkownikw.
Rozwizanie musi mie moliwo lokalnego rejestrowania zdarze bezpieczestwa.
Rozwizanie musi mie moliwo integracji z centralnym systemem rejestrowania zdarze bezpieczestwa.
Klasa B3:
Rozwizanie musi stosowa mechanizmy kryptograficzne do transmisji danych przesyanych w sieciach publicznych:
podczas uwierzytelniania uytkownikw,
podczas przesyania danych konfiguracyjnych.
Rozwizanie musi posiada moliwo uwierzytelniania uytkownikw.
Musi posiada moliwo lokalnego autoryzowania dostpu uytkownikw.
Rozwizanie musi mie moliwo lokalnego rejestrowania zdarze bezpieczestwa.
Rozwizanie musi mie moliwo integracji z centralnym systemem rejestrowania zdarze bezpieczestwa.
Klasa BX:
Rozwizanie wykorzystane w klasie BX musi by odseparowane fizycznie od innych systemw resortu finansw.
Jeli rozwizanie korzysta z innych zasobw infrastruktury resortu finansw, to musz by stosowane odpowiednie mechanizmy:
kontroli dostpu,
monitorowania zdarze bezpieczestwa,
filtrowania ruchu.
Zarzdzanie
Klasa I, II, III, IV:
Urzdzenie musi mie moliwo zdalnego zarzdzania jego konfiguracj i monitorowania jego stanu.
Urzdzenie musi mie moliwo wykonywania kopii zapasowej i odtworzenia jego konfiguracji.
Urzdzenia musz zapewnia moliwo aktualizacji jego oprogramowania wewntrznego.
Zapory siecioweZapory sieciowe typ 1
Identyfikator
C.LAN.FW.1
Nazwa
Zapory sieciowe typ 1
Element/cecha
Charakterystyka
Przepustowo zapory sieciowej
Co najmniej 44 Gb/s.
Przepustowo dla funkcjonalnoci VPN IPSec
Co najmniej 20 Gb/s.
Przepustowo funkcjonalnoci IPS
Co najmniej 8 Gb/s.
Liczba pocze na sekund
Co najmniej 250.000
Liczba jednoczesnych sesji
Co najmniej 12 milionw.
Mechanizm przechowywania iledzenia sesji TCP/UDP
Statefull inspection - dynamiczne tworzenie list dostpu na podstawie rzeczywistego stanu sesji.
Funkcjonalno zapory
Obsuga VPN, NAT, obsuga protokow IPv6.
Liczba dostpnych interfejsw
Co najmniej 8 interfejsw 10/100/1000 Mb/s oraz co najmniej 8 interfejsw SFP+ 10 Gb/s.
Zasilanie
Napicie zmienne: 230 V, 50 Hz.
Minimum dwa zasilacze zapewniajce redundancj zasilania N+N lub N+M, typu hot-plug.
Redundancja
Moliwo czenia urzdze w klastry wysokiej dostpnoci.
Obudowa
Dostosowana do montau w szafie stelaowej 19.
Zapory sieciowe typ 1a
Identyfikator
C.LAN.FW.1
Nazwa
Zapory sieciowe typ 1a
Element/cecha
Charakterystyka
Przepustowo zapory sieciowej
Co najmniej 37 Gb/s.
Przepustowo dla funkcjonalnoci VPN IPSec
Co najmniej 5 Gb/s.
Przepustowo funkcjonalnoci IPS
Co najmniej 5 Gb/s.
Liczba pocze na sekund
Co najmniej 100.000
Liczba jednoczesnych sesji
Co najmniej 4 miliony.
Mechanizm przechowywania iledzenia sesji TCP/UDP
Statefull inspection - dynamiczne tworzenie list dostpu na podstawie rzeczywistego stanu sesji.
Funkcjonalno zapory
Obsuga VPN, NAT, obsuga protokow IPv6.
Liczba dostpnych interfejsw
Co najmniej 8 interfejsw 10/100/1000 Mb/s oraz co najmniej 4 interfejsw SFP+ 10 Gb/s.
Zasilanie
Napicie zmienne: 230 V, 50 Hz.
Minimum dwa zasilacze zapewniajce redundancj zasilania N+N lub N+M, typu hot-plug.
Redundancja
Moliwo czenia urzdze w klastry wysokiej dostpnoci.
Obudowa
Dostosowana do montau w szafie stelaowej 19.
Zapory sieciowe typ 2
Identyfikator
C.LAN.FW.2
Nazwa
Zapory sieciowe typ 2
Klasy systemw
I, II, III, IV
Klasy bezpieczestwa
B1, B2, B3, BX
Element/cecha
Charakterystyka
Przepustowo zapory sieciowej
Co najmniej 14 Gb/s.
Przepustowo dla funkcjonalnoci VPN IPSec
Co najmniej 7 Gb/s.
Przepustowo funkcjonalnoci IPS
Co najmniej 3.5 Gb/s.
Liczba pocze na sekund
130.000
Liczba jednoczesnych sesji
Co najmniej 2.5 miliona.
Mechanizm przechowywania iledzenia sesji TCP/UDP
Statefull inspection - dynamiczne tworzenie list dostpu na podstawie rzeczywistego stanu sesji.
Funkcjonalno zapory
Obsuga VPN, NAT.
Liczba dostpnych interfejsw
Co najmniej 8 interfejsw 10/100/1000 Mb/s oraz co najmniej 4 interfejsy SFP+ 10 Gb/s.
Zasilanie
Napicie zmienne: 230 V, 50 Hz.
Minimum dwa zasilacze zapewniajce redundancj zasilania N+N lub N+M, typu hot-plug.
Redundancja
Moliwo czenia urzdze w klastry wysokiej dostpnoci.
Obudowa
Dostosowana do montau w szafie stelaowej 19.
Identyfikator
S.IA.LAN.IPS
Nazwa
Standard urzdze IPS
Obszar
Standardy infrastrukturalne
Strefa
LAN, WAN
Warstwa
Wszystkie
Rodzaj
Bezpieczestwa
Klasy systemw
I
II
III
IV
Klasy bezpieczestwa
B3
B2
B1
BX
Streszczenie
Dokument opisuje standard urzdze IPS.
Opis
Funkcjonalno i technologie
Klasa I, II, III, IV:
Rozwizanie musi mie moliwo obsugi interfejsw o przepustowoci10 Gb/s.
Rozwizanie musi mie moliwo obsugi interfejsw o przepustowoci 10/100/1000 Mb/s.
Urzdzenie musi mie moliwo automatycznego przeczenia portw do trybu omijania IPS (bypass) w przypadku awarii urzdzenia.
Urzdzenie musi by przystosowane do instalacji w stelau technicznym.
Wirtualizacja
Brak.
Niezawodno i dostpno
Klasa I, II, III, IV:
Rozwizanie musi by wyposaone w redundantne zasilacze.
Kade urzdzenie musi by zasilane z dwch osobnych obwodw.
Bezpieczestwo
Rozwizanie musi posiada wsparcie ze strony producenta w zakresie ujawniania oraz naprawiania bdw i luk bezpieczestwa, dostarczane przez dedykowany zesp specjalistw.
Producent rozwizania musi udostpnia list opisujc histori wykrytych w rozwizaniu bdw i zawierajc stosowne poprawki.
Klasa B1:
Rozwizanie musi stosowa mechanizmy kryptograficzne do transmisji danych przesyanych w sieciach publicznych:
podczas uwierzytelniania uytkownikw,
podczas przesyania danych konfiguracyjnych.
Rozwizanie musi posiada moliwo centralnego uwierzytelniania uytkownikw.
Musi posiada moliwo lokalnego autoryzowania dostpu uytkownikw.
Musi posiada moliwo centralnego autoryzowania dostpu uytkownikw.
Rozwizanie musi wspiera granularny przydzia uprawnie.
Rozwizanie musi mie moliwo lokalnego rejestrowania zdarze bezpieczestwa.
Rozwizanie musi mie moliwo integracji z centralnym systemem rejestrowania zdarze bezpieczestwa.
Klasa B2:
Rozwizanie musi stosowa mechanizmy kryptograficzne do transmisji danych przesyanych w sieciach publicznych:
podczas uwierzytelniania uytkownikw,
podczas przesyania danych konfiguracyjnych.
Rozwizanie musi posiada moliwo uwierzytelniania uytkownikw.
Musi posiada moliwo lokalnego autoryzowania dostpu uytkownikw.
Rozwizanie musi posiada moliwo centralnego autoryzowania dostpu uytkownikw.
Rozwizanie musi mie moliwo lokalnego rejestrowania zdarze bezpieczestwa.
Rozwizanie musi mie moliwo integracji z centralnym systemem rejestrowania zdarze bezpieczestwa.
Klasa B3:
Rozwizanie musi stosowa mechanizmy kryptograficzne do transmisji danych przesyanych w sieciach publicznych:
podczas uwierzytelniania uytkownikw,
podczas przesyania danych konfiguracyjnych.
Rozwizanie musi posiada moliwo uwierzytelniania uytkownikw.
Musi posiada moliwo lokalnego autoryzowania dostpu uytkownikw.
Rozwizanie musi mie moliwo lokalnego rejestrowania zdarze bezpieczestwa.
Rozwizanie musi mie moliwo integracji z centralnym systemem rejestrowania zdarze bezpieczestwa.
Klasa BX:
Rozwizanie wykorzystane w klasie BX musi by odseparowane fizycznie od innych systemw resortu finansw.
Jeli rozwizanie korzysta z innych zasobw infrastruktury resortu finansw, to musz by stosowane odpowiednie mechanizmy:
kontroli dostpu,
monitorowania zdarze bezpieczestwa,
filtrowania ruchu.
Zarzdzanie
Klasa I, II, III, IV:
Urzdzenie musi mie moliwo zdalnego zarzdzania jego konfiguracj i monitorowania jego stanu.
Urzdzenie musi mie moliwo wykonywania kopii zapasowej i odtworzenia jego konfiguracji.
Urzdzenia musz zapewnia moliwo aktualizacji jego oprogramowania wewntrznego.
System IPS
Identyfikator
C.LAN.IPS
Nazwa
System IPS
Klasy systemw
I, II, III, IV
Klasy bezpieczestwa
B1, B2, B3, BX
Element/cecha
Charakterystyka
1. Architektura sprztowa
1) Zestaw urzdze HA (para standalone+failover) typu appliance, do wykrywania i zapobiegania wamaniom oraz ochrony Dos/DDoS wraz z oprogramowaniem i systemem zarzdzania
2) Kady element zestawu gotowy do montau w standardowych szafach 19 (cali)(elementy montaowe i kable zasilajce musz by w zestawie)
3) Dwa redundantne zasilacze pracujce w trybie hot-swap dla kadego elementu skadowego zestawu,
4) Zasilacze przystosowane do zasilania prdem przemiennym o napiciu 220-240V/50Hz
5) Zestaw dziaajcy w warstwie drugiej OSI, z moliwoci pracy w nastpujcych topologiach:
a. Inline : fail open/close; w przypadku awarii moliwo ominicia (bypass) inspekcji IPS dla kadego segmentu chronionej sieci i/lub caego urzdzenia
b. Out of path: z uyciem portw SPAN lub urzdze typu TAP device; moliwa integracja ze switchami Ethernet do przekierowywania ruchu w momencie wystpienia ataku
c. Asymetrycznym (ruch powrotny lub inicjowany kierowany jest inn tras)
6) Dedykowany port zarzadzania typu Ethernet
2. Wymagane technologie zaimplementowane wzestawie:
1) IPS (Instrusion Prevention System) - oparty na sygnaturach
2) Bezsygnaturowa (signature-less) analiza malwareu
3) Analiza behawiorystyczna atakw
4) Korzystanie z zewntrznych systemw reputacyjnych .
3. 3. Wymagane typy ochrony przed zagroeniami:
1) Sieciowymi
a. DoS/DDoS zero-day flood,
b. TCP Floods,
c. UDP floods,
d. ICMP floods,
e. IGMP floods
2) Skanowaniem
a. TCP,
b. UDP,
c. PING,
3) SYN (dowolne typy atakw SYN flood)
4) Limitowaniem pocze w ramach protokow
a. TCP,
b. UDP,
c. ICMP
d. IP,
5) Mechanizm selektywnego blokowania atakw pochodzcych z jednego rda (adresu IP) zrozrnianiem sesji legalnego ruchu od ataku typu DoS/DDoS
6) Mechanizm selektywnego blokowania atakw pochodzcych z wielu rde (adresw IP) zrozrnianiem sesji legalnego ruchu od ataku typu DoS/DDoS
7) HTTP flood (np. HTTP GET flood) i pochodne
8) DNS flood i pochodne
9) Malware (worm, trojan, spyware)
10) Nieuprawniony dostp
a. Black list,
b. White list,
c. Access Control List,
d. IP Reputation,
11) Zaimplementowane mechanizmy zarzdzanie pasmem
12) Zaimplementowane mechanizmy ograniczania iloci pocze
13) Zaimplementowane mechanizmy ograniczania iloci pakietw w jednostce czasu
14) Wszystkie funkcje musz by dostpne w wersji IPv4 oraz IPv6
4. Wymagane parametry pojedynczego urzdzenia:
1) 5Gbps wymagana wydajno minimalna dla zastosowania IPS
2) 6000 000 wymagana minimalna liczba jednoczesnych sesji
3) 120 mikro sekund lub mniejsze opnienie wprowadzane przez system
4) 5Gbps - wymagana wydajno minimalna deszyfrowania sesji SSL (przy 10% zawartoci SSL w cakowitym strumieniu danych)
5) Wymagana ilo interfejsw sieciowych nie mniejsza ni:
a. 8 x 1GE Mbps
b. 2 x 10GE SFP+
c. 1 x 10/100/1000 dedykowany port zarzdzajcy Ethernet RJ45
d. 1 x RS-232 (konsola)
W tym dla 8 portw 1GE oraz 2 portw 10GE zapewniona moliwo pracy w topologii inline w trybie fail-open
6) Zarzdzanie i konfiguracja w oparciu o:
a. HTTPS,
b. HTTP,
c. SSH,
d. konsola szeregowa,
7) Raportowanie w oparciu o:
a. SNMP,
b. Log File,
c. Syslog,
d. E-mail,
e. Dedykowany system zarzdzania.
8) Synchronizacja urzdzenia z serwerami czasu NTP
9) Wsparcie dla protokow:
a. 802.1.q,
b. L2TP,
c. MPLS,
d. GRE,
10) Wsparcie dla Jumbo Frames
11) Pene wsparcie dla protokou IPv4 oraz IPv6
12) Wykrywanie anomalii w pakietach:
a. Invalid TCP Header Length
b. Invalid UDP Header Length
c. Invalid TCP Flags
d. Unsupported L4 Protocol
e. Invalid IPv4 Header or Total Length
f. Incorrect IPv4 Checksum
g. Unrecognized L2 Format
h. TTL Less Than or Equal to 1
i. Inconsistent IPv6 Headers
j. IPv6 Hop Limit Reached
k. Source or Destination Address same as Local Host
l. Source Address same as Dest. Address (i.e.:Land Attack)
m. L4 Source or Destination Port Zero
13) Typy akcji podjte w przypadku wykrycia ataku:
a. odrzucenie pakietu (drop),
b. tylko raportowanie,
c. reset poczenia (dla rda i celu oraz obu kierunkach),
d. zawieszenie poczenia (dowolna kombinacja parametrw: adres rdowy, port rdowy, adres docelowy, port docelowy) w kwarantannie,
e. Challenge-Response dla atakw uywajcych protokow HTTP (co najmniej 302 redirection)
4. System zarzdzania:
1) System zarzdzania w postaci zewntrznego urzdzenia lub zintegrowanego zurzdzeniem sucym wykrywania i zapobiegania wamaniom oraz ochrony Dos/DDoS:
a. Interfejs graficzny,
b. Monitorowanie pracy kadego z urzdze chronicych przed atakami,
c. Monitorowanie i prezentowanie w czasie rzeczywistym aktywnych atakw,
d. Monitorowanie i prezentowanie w czasie rzeczywistym statystyk aktywnego ruchu sieciowego,
e. Moliwoci wywietlenia szczegw ataku (charakterystyka, przykadowe pakiety rdowe, docelowe, wywoujce atak, sygnatura uyta do blokowania, prbka ruchu payload, rekomendacja dla metody przeciwdziaania)
f. Prezentowanie danych geolokalizacyjnych dotyczcych rde ataku na podstawie rdowego adresu IP,
g. Wywietlanie raportw (pdf, tekst, html) w oparciu o dane historyczne, automatyczne tworzenie i wysyanie raportw wczeniej zdefiniowanych
h. Moliwo zarzdzania politykami, ACL, uytkownikami
i. Eksport logw co najmniej do formatu tekstowego
2) Integracja z zewntrznymi systemami typu SIEM
3) Szczegy ataku musz zawiera nastpujce informacje (jeli s dostpne dla danego typu ataku):
a. Source L4 Port
b. Protocol
c. Packet Count
d. Flow Label (tylko IPv6)
e. ToS
f. Packet Size
g. ICMP Message Type tylko dla protokou ICMP.
h. L4 Checksum
i. TCP Sequence Number
j. IP ID Number
k. Fragmentation Offset
l. Fragmentation Flag
m. Physical Port
n. Bandwidth [Kbits]
o. VLAN
p. MPLS RD
q. Device IP
r. TTL
s. Source IP
t. Destination IP
u. Source Ports
v. Destination Ports
w. DNS Query
x. DNS ID
y. DNS Query Count
5. Wymagania dodatkowe
1) Poprawna praca urzdze w temperaturze od 10 do 35 C;
2) Poprawna praca przy wilgotnoci powietrza od 5% do 50% zakadajc brak wystpowania zjawiska kondensacji pary wodnej.
6. Wsparcie techniczne
1) W okresie 36 miesicy obejmuje obsug zgosze dotyczcych niepoprawnego dziaania dostarczonego zestawu urzdze, aktualizacje zarwno oprogramowania wewntrznego jak i funkcji bezpieczestwa, dostp do bazy wiedzy producenta dostarczanego sprztu. Okres ten rozpoczyna si od dnia odbioru kocowego przez Zamawiajcego. Sygnatury musz by aktualizowane nie rzadziej ni raz na tydzie.
2) Poziom serwisu 24x7x365, naprawy awarii w godz. od 9.00 do 17:00
3) Czas reakcji na zgoszenie niepoprawnego dziaania dostarczonego zestawu urzdze wynosi 1 godzin.
4) Czas rozwizania problemu - w zalenoci od stopnia wanoci zgoszenia 8, 24, 72 godziny
5) Wykonawca bdzie peni tzw. pierwsz lini wsparcia dla ww. zgosze.
7. Szkolenie
1) Co najmniej 4 dni
2) Co najmniej dla 4 osb
3) W zakresieobsugi dostarczonego urzdzenia i oprogramowania:
a. zagadnienia instalacji urzdzenia (w dostpnych trybach pracy),
b. konfiguracji urzdze ioprogramowania,
c. obsugi operatorskiej.
4) Szkolenie musi odbywa si na terenie Polski.
5) Szkolenie musi zapewnia dostp do urzdzenia ioprogramowania bdcego przedmiotem zamwienia, oraz do materiaw technicznych udostpnianych przez producenta urzdzenia
Identyfikator
S.IA.LAN.RTR
Nazwa
Standard ruterw
Obszar
Standardy infrastrukturalne
Strefa
LAN, WAN
Warstwa
Wszystkie
Rodzaj
Sprztowe/techniczne
Klasy systemw
I
II
III
IV
Klasy bezpieczestwa
B3
B2
B1
BX
Streszczenie
Dokument opisuje standard urzdze trasowania ruchu w sieciach LAN i WAN.
Opis
Funkcjonalno i technologie
Klasa I, II, III, IV:
Urzdzenie musi by przystosowane do instalacji w stelau technicznym.
Urzdzenie musi posiada budow moduow.
Rozwizanie musi posiada przepustowo co najmniej 4 mln pakietw na sekund.
Rozwizanie musi by wyposaone w tablic rutingu pozwalajc pomieci co najmniej milion wpisw.
Rozwizanie musi umoliwia rutowanie statyczne IP.
Rozwizanie musi umoliwia rutowanie dynamiczne z uyciem protokow RIP v1 i v2, OSPF v2, BGP oraz IS-IS.
Rozwizanie musi obsugiwa rekursywne rozwizywanie tras (funkcja route recursion).
Rozwizanie musi obsugiwa dynamiczny i statyczny protok ARP oraz proxy ARP.
Rozwizanie musi wspiera protok IPv6, co najmniej w zakresie:
obsugi IP v6 ND, IPv6 PMTU,
tunelowania IPv6 w IPv4,
rutowania statycznego,
rutowania dynamicznego z uyciem RIPng, OSPFv3, IS-ISv6, BGP4+.
Wirtualizacja
Brak wymaga.
Niezawodno i dostpno
Klasa I, II, III, IV:
Rozwizanie musi posiada redundancj na poziomie jednostki centralnej obsugujcej ruch sieciowy.
Rozwizanie musi umoliwia czenie urzdze w klastry wysokiej dostpnoci.
Rozwizanie musi by wyposaone w redundantne zasilacze.
Kade urzdzenie musi by zasilane z dwch osobnych obwodw.
Bezpieczestwo
Rozwizanie musi posiada wsparcie ze strony producenta w zakresie ujawniania oraz naprawiania bdw i luk bezpieczestwa, dostarczane przez dedykowany zesp specjalistw.
Producent rozwizania musi udostpnia list opisujc histori wykrytych w rozwizaniu bdw i zawierajc stosowne poprawki.
Klasa B1:
Rozwizanie musi stosowa mechanizmy kryptograficzne do transmisji danych przesyanych w sieciach publicznych:
podczas uwierzytelniania uytkownikw,
podczas przesyania danych konfiguracyjnych.
Rozwizanie musi posiada moliwo centralnego uwierzytelniania uytkownikw.
Musi posiada moliwo lokalnego autoryzowania dostpu uytkownikw.
Musi posiada moliwo centralnego autoryzowania dostpu uytkownikw.
Rozwizanie musi wspiera granularny przydzia uprawnie.
Rozwizanie musi mie moliwo lokalnego rejestrowania zdarze bezpieczestwa.
Rozwizanie musi mie moliwo integracji z centralnym systemem rejestrowania zdarze bezpieczestwa.
Klasa B2:
Rozwizanie musi stosowa mechanizmy kryptograficzne do transmisji danych przesyanych w sieciach publicznych:
podczas uwierzytelniania uytkownikw,
podczas przesyania danych konfiguracyjnych.
Rozwizanie musi posiada moliwo uwierzytelniania uytkownikw.
Musi posiada moliwo lokalnego autoryzowania dostpu uytkownikw.
Rozwizanie musi posiada moliwo centralnego autoryzowania dostpu uytkownikw.
Rozwizanie musi mie moliwo lokalnego rejestrowania zdarze bezpieczestwa.
Rozwizanie musi mie moliwo integracji z centralnym systemem rejestrowania zdarze bezpieczestwa.
Klasa B3:
Rozwizanie musi stosowa mechanizmy kryptograficzne do transmisji danych przesyanych w sieciach publicznych:
podczas uwierzytelniania uytkownikw,
podczas przesyania danych konfiguracyjnych.
Rozwizanie musi posiada moliwo uwierzytelniania uytkownikw.
Musi posiada moliwo lokalnego autoryzowania dostpu uytkownikw.
Rozwizanie musi mie moliwo lokalnego rejestrowania zdarze bezpieczestwa.
Rozwizanie musi mie moliwo integracji z centralnym systemem rejestrowania zdarze bezpieczestwa.
Klasa BX:
Rozwizanie wykorzystane w klasie BX musi by odseparowane fizycznie od innych systemw resortu finansw.
Jeli rozwizanie korzysta z innych zasobw infrastruktury resortu finansw, to musz by stosowane odpowiednie mechanizmy:
kontroli dostpu,
monitorowania zdarze bezpieczestwa,
filtrowania ruchu.
Zarzdzanie
Klasa I, II, III, IV:
Urzdzenie musi mie moliwo zdalnego zarzdzania jego konfiguracj i monitorowania jego stanu.
Urzdzenie musi mie moliwo wykonywania kopii zapasowej i odtworzenia jego konfiguracji.
Urzdzenia musz zapewnia moliwo aktualizacji jego oprogramowania wewntrznego.
Rutery
Identyfikator
C.LAN.RT
Nazwa
Rutery
Klasy systemw
I, II, III, IV
Klasy bezpieczestwa
B1, B2, B3, BX
Element/cecha
Charakterystyka
Wbudowane interfejsy
Co najmniej 3 interfejsy Ethernet 1 Gb/s
Interfejsy rozbudowa
Min. 3 (w tym co najmniej jeden interfejs Ethernet 10 Gb/s)
Port konsoli
1
Port AUX
1
Port USB
Min. 1
Wydajno
Min. 4 Mpps.
Protokoy L2
ARP: Dynamic/static ARP, proxy ARPEthernet, sub-interface VLANPPPoE serverPPP,FR, FRF12 fragment, FRHDLC
Usugi IP
TCP, UDP, IP option, IP unnumbered.Policy-based routing.
Routowanie IP
Rutowanie statyczne IP.Rutowanie dynamiczne za pomoc protokow: RIPv1/v2, OSPFv2, BGP, IS-IS.
IPv4 multicast
Obsuga protokow multikastowych: IGMP (Internet Group Management Protocol) v1/v2/v3; PIM (Protocol Independent Multicast) DM/SM; MSDP (Multicast Source Discovery Protocol); MBGP: Multicast static routing;
Protokoy sieciowe
Obsuga protokow: DHCP Server/Relay/Client; DNS Client;NTP Server/Client;Telnet Server/Client;TFTP Client;FTP Client;UDP Helper;
Wsparcie IPv6
Obsuga: IPv6 ND, IPv6 PMTU, dual-stack forwarding, IPv6 ACL; tunel IPv6: IPv6 tunelowane w IPv4; automatyczne tunelowanie IPv6 w IPv4; tunel Intra-Site Automatic Tunnel Addressing Protocol.Rutowanie statyczne.Rutowanie dynamiczne za pomoc protokow: RIPng, OSPFv3, IS-ISv6, BGP dla IPv6.Obsugi transmisji multikastowej IPv6: MLDv1/v2,PIM-DM,PIM-SM,PIM-SSM
QoS
Klasyfikacja wanoci ruchu na bazie: numeru portu adresu IP, technik IEEE 802.1p CoS, DSCP lub numeru portu TCP lub UDP i typu protokou; znacznikowanie wanoci; kolejkowanie zgodnie z algorytmami: FIFO, PQ, CQ, WFQ, CBWFQ. Unikanie zakleszcze zgodnie z algorytmem: Tail-Drop, WRED. Obsuga MPLS QoS, IPv6 QoS.
Bezpieczestwo
Obsuga list kontroli dostpu,Obsuga protokow: AAA, RADIUS, SSH, RSA, IPSec, IKE,Funkcje: Packet filter firewall, stateful firewall. Regulacja pasma. Obsuga mechanizmu URPF, Virtual fragment reassembly.
Hierarchizacja rl zarzdzania.
Usugi
Obsuga funkcji: NAT, logowanie sesji NAT;Tunelowanie GRE i L2TP.
MPLS
Obsuga protokow i funkcji L3 VPN: MPLS VPN, CE dual homing tunelowanie GRE.Obsluga protokow i funkcji L2 VPN: MPLS TE, RSVP TE, Multicast VPN.
Redundancja
Obsuga protokow: VRRP, MPLS TE FRR, IGP fast routing convergence, BFD z obsuga rutowania statycznego i dynamicznego za pomoc protokow RIP/OSPF/ISIS/ BGP.
Obsuga wymiany kart z interfejsami sieciowymi bez koniecznoci wyczania caego urzdzenia.
Zarzdzanie
Konfiguracja za pomoc zestawu polece CLI.Konfiguracja poprzez port konsoli zarzdzania.Konfiguracja zdalna za pomoc Telnet.Zdalna konfiguracja poprzez portAUX.Obsluga protokow i funkcji SNMP (v1, v2c, v3).Moliwo skadowania logw systemowych.Alarmy hierarchiczne.Obsuga polece typu Ping i Trace.Wsparcie dla protokow i funkcji: PBR i rutowania statycznego.
Obudowa
Dostosowana do montau w szafie stelaowej 19.
Zasilanie
Napicie zmienne: 230 V, 50 Hz.
Minimum dwa zasilacze zapewniajce redundancj zasilania, typu hot-plug.
Identyfikator
S.IA.LAN.LB
Nazwa
Standard urzdze rwnowacych ruch sieciowy
Obszar
Standardy infrastrukturalne
Strefa
LAN, WAN
Warstwa
Wszystkie
Rodzaj
Sprztowe/techniczne
Klasy systemw
I
II
III
IV
Klasy bezpieczestwa
B3
B2
B1
BX
Streszczenie
Dokument opisuje standard urzdze rwnowacych ruch sieciowy.
Opis
Funkcjonalno i technologie
Klasa I, II, III, IV:
Szczegy dotyczce wydajnoci oraz wyposaenia urzdze przedstawiono w rozdziale 5.1.
W wle dystrybucyjnym naley stosowa urzdzenia o parametrach sprecyzowanych dla typu 1;
W bramce internetowej i intranetowej naley stosowa urzdzenia o parametrach:
sprecyzowanych dla typu 2, w przypadku globalnych urzdze rwnowaenia ruchu;
sprecyzowanych dla typu 3, w przypadku pozostaych urzdze rwnowaenia ruchu.
Wirtualizacja
Brak wymaga.
Niezawodno i dostpno
Klasa I, II, III, IV:
Rozwizanie musi by wyposaone w redundantne zasilacze.
Kade urzdzenie musi by zasilane z dwch osobnych obwodw.
Bezpieczestwo
Rozwizanie musi posiada wsparcie ze strony producenta w zakresie ujawniania oraz naprawiania bdw i luk bezpieczestwa, dostarczane przez dedykowany zesp specjalistw.
Producent rozwizania musi udostpnia list opisujc histori wykrytych w rozwizaniu bdw i zawierajc stosowne poprawki.
Klasa B1:
Rozwizanie musi stosowa mechanizmy kryptograficzne do transmisji danych przesyanych w sieciach publicznych:
podczas uwierzytelniania uytkownikw,
podczas przesyania danych konfiguracyjnych.
Rozwizanie musi posiada moliwo centralnego uwierzytelniania uytkownikw.
Musi posiada moliwo lokalnego autoryzowania dostpu uytkownikw.
Musi posiada moliwo centralnego autoryzowania dostpu uytkownikw.
Rozwizanie musi wspiera granularny przydzia uprawnie.
Rozwizanie musi mie moliwo lokalnego rejestrowania zdarze bezpieczestwa.
Rozwizanie musi mie moliwo integracji z centralnym systemem rejestrowania zdarze bezpieczestwa.
Klasa B2:
Rozwizanie musi stosowa mechanizmy kryptograficzne do transmisji danych przesyanych w sieciach publicznych:
podczas uwierzytelniania uytkownikw,
podczas przesyania danych konfiguracyjnych.
Rozwizanie musi posiada moliwo uwierzytelniania uytkownikw.
Musi posiada moliwo lokalnego autoryzowania dostpu uytkownikw.
Rozwizanie musi posiada moliwo centralnego autoryzowania dostpu uytkownikw.
Rozwizanie musi mie moliwo lokalnego rejestrowania zdarze bezpieczestwa.
Rozwizanie musi mie moliwo integracji z centralnym systemem rejestrowania zdarze bezpieczestwa.
Klasa B3:
Rozwizanie musi stosowa mechanizmy kryptograficzne do transmisji danych przesyanych w sieciach publicznych:
podczas uwierzytelniania uytkownikw,
podczas przesyania danych konfiguracyjnych.
Rozwizanie musi posiada moliwo uwierzytelniania uytkownikw.
Musi posiada moliwo lokalnego autoryzowania dostpu uytkownikw.
Rozwizanie musi mie moliwo lokalnego rejestrowania zdarze bezpieczestwa.
Rozwizanie musi mie moliwo integracji z centralnym systemem rejestrowania zdarze bezpieczestwa.
Klasa BX:
Rozwizanie wykorzystane w klasie BX musi by odseparowane fizycznie od innych systemw resortu finansw.
Jeli rozwizanie korzysta z innych zasobw infrastruktury resortu finansw, to musz by stosowane odpowiednie mechanizmy:
kontroli dostpu,
monitorowania zdarze bezpieczestwa,
filtrowania ruchu.
Zarzdzanie
Klasa I, II, III, IV:
Urzdzenie musi mie moliwo zdalnego zarzdzania jego konfiguracj i monitorowania jego stanu.
Urzdzenie musi mie moliwo wykonywania kopii zapasowej i odtworzenia jego konfiguracji.
Urzdzenia musz zapewnia moliwo aktualizacji jego oprogramowania wewntrznego.
Urzdzenia rwnowace ruch sieciowyUrzdzenia rwnowace ruch sieciowy typ 1
Identyfikator
C.LAN.LB.1
Nazwa
Urzdzenia rwnowace ruch sieciowy typ 1
Klasy systemw
I, II, III, IV
Klasy bezpieczestwa
B1, B2, B3, BX
Element/cecha
Charakterystyka
Wydajno
Co najmniej 12 Gb/s.
Sprztowe wsparcie dla sesji SSL
Rozbudowywalne do co najmniej 15000 tps.
Architektura
Dopuszcza si realizacj funkcji urzdzenia rwnowacego ruch sieciowy jako kart usugow do przecznika dystrybucyjnego.
Liczba dostpnych interfejsw Ethernet
Co najmniej 2 interfejsy modularne 10 Gb/s oraz co najmniej 8 interfejsw 1 Gb/s
Monitorowanie serwerw
Moliwo monitorowania dostpnoci serwerw co najmniej z uyciem: ICMP, TCP, UDP, TCP ECHO, HTTP, HTTPS, FTP, SMTP, POP3, IMAP, SNMP, RADIUS.
NAT rdowy dla adresu VIP farmy serwerw
Tak
Zarzdzanie
Z uyciem linii komend oraz aplikacji graficznej lub interfejsu webowego.
Wielopoziomowe zarzdzanie dostpem (poziomem uprzywilejowania) dla administratorw, oparte na rolach (Role Based Administration).
Redundancja
Tak, w trybie aktywny-aktywny lub aktywny-pasywny
Zasilanie*
Napiciem zmiennym: 230 V, 50 Hz.
Minimum dwa zasilacze zapewniajce redundancj zasilania N+N, typu hot-plug. Poowa spord zainstalowanych zasilaczy musi zapewnia moliwo zasilenia w peni wyposaonego urzdzenia, przy zachowaniu jego penej mocy przetwarzania.
Obudowa*
Dostosowana do montau w szafie stelaowej 19.
* Nie dotyczy komponentu dostarczanego jako modu innego urzdzenia.
Urzdzenia rwnowace ruch sieciowy typ 2
Identyfikator
C.LAN.LB.2
Nazwa
Urzdzenia rwnowace ruch sieciowy typ 2
Klasy systemw
I, II, III, IV
Klasy bezpieczestwa
B1, B2, B3, BX
Element/cecha
Charakterystyka
Wydajno
Co najmniej 2 Gb/s.
Liczba rwnolegych sesji
Co najmniej 12000.
Architektura
Dopuszcza si realizacj funkcji urzdzenia rwnowacego ruch sieciowy jako kart usugow do przecznika dystrybucyjnego.
Liczba dostpnych interfejsw Ethernet
Co najmniej 2 interfejsy 10/100/1000 Mb/s.
Monitorowanie serwerw
Moliwo monitorowania dostpnoci serwerw co najmniej z uyciem: ICMP, TCP, UDP, TCP ECHO, HTTP, HTTPS, FTP, SMTP, POP3, IMAP, SNMP, RADIUS.
NAT rdowy dla adresu VIP farmy serwerw
Tak
Zarzdzanie
Z uyciem linii komend oraz aplikacji graficznej lub interfejsu webowego.
Wielopoziomowe zarzdzanie dostpem (poziomem uprzywilejowania) dla administratorw, oparte na rolach (Role Based Administration).
Redundancja
Tak, w trybie aktywny-aktywny lub aktywny-pasywny
Zasilanie
Napiciem zmiennym 230 V, 50 Hz.
Obudowa
Dostosowana do montau w szafie stelaowej 19.
Urzdzenia rwnowace ruch sieciowy typ 3
Identyfikator
C.LAN.LB.3
Nazwa
Urzdzenia rwnowace ruch sieciowy typ 3
Klasy systemw
I, II, III, IV
Klasy bezpieczestwa
B1, B2, B3, BX
Element/cecha
Charakterystyka
Wydajno
Co najmniej 6 Gb/s.
Sprztowe wsparcie dla sesji SSL
Rozbudowywalne do co najmniej 7500 tps.
Architektura
Dopuszcza si realizacj funkcji urzdzenia rwnowacego ruch sieciowy jako kart usugow do przecznika dystrybucyjnego.
Liczba dostpnych interfejsw Ethernet
Co najmniej 6 interfejsw 10/100/1000 Mb/s
Monitorowanie serwerw
Moliwo monitorowania dostponoci serwerw co najmniej z uyciem: ICMP, TCP, UDP, TCP ECHO, HTTP, HTTPS, FTP, SMTP, POP3, IMAP, SNMP, RADIUS.
NAT rdowy dla adresu VIP farmy serwerw
Tak
Zarzdzanie
Z uyciem linii komend oraz aplikacji graficznej lub interfejsu webowego.
Wielopoziomowe zarzdzanie dostpem (poziomem uprzywilejowania) dla administratorw, oparte na rolach (Role Based Administration).
Redundancja
Tak, w trybie aktywny-aktywny lub aktywny-pasywny
Zasilanie
Napiciem zmiennym 230 V, 50 Hz.
Minimum dwa zasilacze zapewniajce redundancj zasilania, typu hot-plug.
Obudowa
Dostosowana do montau w szafie stelaowej 19.
Bloki sieciowe
Identyfikator
S.AR.LAN
Nazwa
Standard architektoniczny infrastruktury dla sieci LAN i WAN.
Obszar
Standardy infrastrukturalne
Strefa
LAN, WAN
Warstwa
Wszystkie
Rodzaj
Architektoniczny
Streszczenie
Dokument opisuje standard architektury w zakresie budowy infrastruktury sprztowej dla sieci LAN oraz WAN, obsugujcej ruch we wszystkich warstwach komponentw.
Opis
Poniej przedstawiono opis standardu w odniesieniu do poszczeglnych wzw i blokw sieci.
Na trasach pomidzy lokalizacj gwn oraz lokalizacjami zapasowymi musz istnie trakty DWDM. W ten sposb wszystkie odrbne sieci LAN musz by poczone w jedn sie rozleg.
W nowym orodku przetwarzania sie LAN musi skada si z nastpujcych wzw:
Wza bramki internetowej, WAN i extranetowej
Wza rdzeniowego
Wze Dostpow (ang. access) architektura Top of the Rack (ToR).
Kady wze musi zawiera odpowiednie bloki funkcjonalne, np. blok przecznikw dostpowych, blok zapr sieciowych, itp.
Kady blok funkcjonalny musi skada si z dwch identycznych urzdze zapewniajcych redundancj pocze.
Wze rdzeniowy
Wze rdzeniowy wystpuje w Orodku Przetwarzania Danych Warszawa 2, penic funkcj centralnego punktu sieci LAN i zapewniajc szybkie przeczanie pomidzy podsieciami wza bramki internetowej i WAN oraz poczeniami midzy szafami RCK (ToR). Ponadto:
filtrowanie i inspekcja ruchu sieciowego poprzez blok zapr sieciowych i urzdze IPS;
rozdzielanie ruchu sieciowego do serwerw bazodanowych i aplikacyjnych poprzez blok urzdze rwnowacych obcienie (ang. loadbalancer).
Funkcjonalno i technologie
Klasa I, II, III, IV:
Wzy rdzeniowe wszystkich orodkw przetwarzania musz by poczone poprzez trakty DWDM.
Wze rdzeniowy bdzie zawiera blok przecznikw rdzeniowych skadajcy si z dwch przecznikw oraz dwa bloki urzdze DWDM.
Infrastruktura bloku przecznikw rdzeniowych musi by zbudowana z przecznik61w moduowych.
Cakowita przepustowo wewntrzna kadego komponentu infrastruktury musi pozwala na rwnoczesn obsug penej przepustowoci wszystkich jego portw.
Urzdzenia infrastruktury musz by wyposaone w interfejsy o przepustowoci 10 Gb/s lub 40 Gb/s (dla load balancerw, firewalli oraz urzdze IPS) i 40Gb/s do pocze typu interconnect..
Urzdzenia infrastruktury musz mie moliwo obsugi interfejsw wiatowodowych.
Urzdzenia infrastruktury musz obsugiwa trasowanie ruchu pomidzy lokalnymi podsieciami IP.
Kady blok urzdze DWDM bdzie zbudowany z dwch urzdze DWDM.
Wirtualizacja
Klasa I, II, III, IV:
Infrastruktura musi umoliwia tworzenie przecznikw wirtualnych.
Infrastruktura musi umoliwia obsug wirtualnych sieci lokalnych (VLAN).
Infrastruktura musi umoliwia znakowanie ramek z wykorzystaniem standardu IEEE 802.1Q.
Infrastruktura musi umoliwia agregowanie ruchu w portach wirtualnych (ang. trunking).
Niezawodno i dostpno
Klasa I, II, III, IV:
Infrastruktura pojedynczego bloku przecznikw rdzeniowych musi by zbudowana z dwch przecznikw moduowych.
Infrastruktura dostpowa w ramach szafy musi by redundantna, przy czym dopuszcza si stosowanie przecznikw redundantnych oraz kart rozszerze przecznikw rdzeniowych (np. Fabric Extender Technology FEX).
Ukad urzdze DWDM czcych wzy rdzeniowe wszystkich orodkw przetwarzania musi by redundantny.
Bezpieczestwo
Wymagania dotyczce bezpieczestwa urzdze aktywnych zawarto w standardach opisujcych waciwe komponenty.
Niezawodno i dostpno
Klasa I, II, III, IV:
Kady blok zapr sieciowych oraz inspekcji ruchu bdzie skada si z redundantnego ukadu dwch urzdze.
Kady blok urzdze rozdzielajcych ruch bdzie zbudowany z redundantnego ukadu dwch urzdze
Klasa B3, B2, B1:
Architektura rdzenia sieci LAN kadego orodka przetwarzania musi spenia wymagania dla klasy B1, zapewniajc tym samym moliwo pracy systemom w niszych klasach.
Klasa BX:
Wszelkie systemy klasy BX ulokowane w orodku przetwarzania musz by odseparowane fizycznie od innych systemw resortu finansw.
Jeli systemy klasy BX korzystaj z innych zasobw infrastruktury resortu finansw, to musz by stosowane odpowiednie mechanizmy:
kontroli dostpu,
monitorowania zdarze bezpieczestwa,
filtrowania ruchu.
Zarzdzanie
Wymagania w zakresie zarzdzania urzdzeniami aktywnymi zawarto w standardach opisujcych waciwe komponenty.
Wzy dostpowe
Wzy dostpowe bd wystpowa w kadym nowym Orodku Przetwarzania i bd zlokalizowane w kadej szafie RCK oraz bd podczone redundantnie do wza rdzeniowego.
Zadaniem wza dostpowego jest:
podczenie lokalnej grupy zasobw do Wza rdzeniowego
podczenie serwerw bazodanowych;;
podczenie serwerw aplikacyjnych;
podczenie blokw przecznikw dostpowych w kasetach (o ile