Файл: Тоо проектная фирма "Архкон" Государственная лицензия 113021311.pdf
Добавлен: 12.12.2023
Просмотров: 242
Скачиваний: 2
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
СОДЕРЖАНИЕ
8.4.4 .Распределительная сеть.
Кабельные сети оповещения выполнены кабелем ВВГнг 2х2.5мм и способ их прокладки обеспечивает работоспособность соединительных линий в условиях пожара в течение времени, необходимого для полной эвакуации людей в безопасную зону. Для подключения вызывной станции к станции оповещения использу- ются кабель F/UTP cat.6. Соединительные линии с речевым оповещением обеспечены системой автомати- ческого контроля за их работоспособностью.
8.4.5 .Электропитание и заземление
Электропитание системы уличного речевого оповещения предусмотрено в соответствии с требовани- ями ПУЭ по 1 категории и осуществляется от сети переменного тока напряжением 220-230 В частотой 50 Гц.
Резервирование питания осуществляется от источников бесперебойного питания установленных на Объ- екте и аккумуляторных батарей. Для безопасной эксплуатации электроустановок и обеспечения пожарной безопасности проектом предусматривается заземление металлических корпусов электрооборудования, а также применение кабелей с оболочкой, не поддерживающей горение.
161
8.5. Раздел система часофикации
Общие указания
Документация разработана на основании технического задания и исходных данных, полученных от
Заказчика.
Документация соответствует требованиям действующих технических регламентов, стандартов и сводов правил.
На объекте применяется концепция распределенной системы единого времени (СЕВ). СЕВ спроектирована на оборудовании фирмы MOBATIME SYSTEMS.
Концепция распределённой системы единого времени (DTS, Distributed Time System) разработана компанией MOSER-BAER AG и основывается на принципе децентрализации функциональных управляемых компонентов, образующих систему. В качестве среды передачи данных между отдельными элементами системы используется локальная сеть Ethernet. Управление отдельными элементами системы
DTS и наблюдение за их текущим состоянием может производиться централизованно, с помощью специализированного ПО MOBA-NMS.
Для создания комплексов верхнего уровня системы DTS, хранящих шкалу времени системы и являющихся источником синхронизации для всех остальных её компонентов используются высокостабильные серверы времени. В данном проекте комплекс выполнен в отказоустойчивом исполнении, с соединением двух серверов комплекса, работающих в режиме "основной/подчинённый" оптическим каналом связи (DTS Link).
Такой режим работы позволяет производить серверам взаимный контроль работоспособности в полностью автоматическом режиме. Каждый сервер комплекса оснащается собственным независимым устройством радиокоррекции и источником бесперебойного питания.
Для управления часами системы единого времени используется сервер NTS с функциями первичных часов, оснащённые выходом линии вторичных часов.
Вторичные часы с сетевыми интерфейсами, синхронизируемые по протоколу NTP, подключаются непосредственно в сеть в шкафы ШТК. Синхронизация таких часов может выполняться в двух режимах -
Unicast и Multicast.
Вторичные часы расположены в залах ожидания, кабинетах и административных помещениях.
Сервер времени NTS расположен в помещении серверной в здании АБК на втором этаже в шкафу 1ШТК.
Для администрирования, управления, диагностики и контроля работоспособности сетевых устройств, производимых MOBATime Systems, используется специализированное ПО MOBA-NMS (MOBATime Network
Management System). MOBA-NMS поддерживает одновременную работу с более чем 1000 различных устройств, подключенных к сети Ethernet. Основные возможности MOBA-NMS:
- автоматическое обнаружение сетевых устройств MOBATime;
- объединение устройств в логические группы;
- отображение текущего состояния (работоспособности) устройств;
- управление устройствами (отправка команд);
- использование групповой (Multicast) и одноадресной (Unicast) передачи данных;
- мониторинг данных, передаваемых по сети (данные NTP, таблиц часовых поясов и т. п.).
ПО поставляется комплектно с оборудованием.
8.5.1. Цель создания
Целью данного документа является описание технических решений выбора оборудования для системы уличного речевого оповещения служебных объявлений, голосовых указаний таможенных сотрудников отно- сительно транспортных средств на территории объекта.
162
8.5.2. Определения
РАБОЧИЙ ПРОЕКТ: «Реконструкция и техническое дооснащение пункта пропуска "Алаколь" ДГД
Южно-Казахстанской области»
ЗАКАЗЧИК: РГУ «Комитет государственных доходов Министерства финансов Республики Казахстан»
ИСПОЛНИТЕЛЬ: ТОО «Проектная фирма «Архкон»
8.5.3. Нормы, правила и стандарты
•
ГОСТ 21.101-97 «Система проектной документации для строительства. Основные требования к про- ектной и рабочей документации»;
•
СН РК 1.02-03-2011 «Порядок разработки, согласования, утверждения и состав проектной документа- ции на строительство»;
•
СНиП РК 3.02-10-2010 «Устройство систем связи, сигнализации и диспетчеризации инженерного обо- рудования жилых и общественных зданий. Нормы проектирования».
8.5.4. Общие
Рабочий проект разработан на основе часовой микропроцессорной станции СВР-01-1. Часовая станция
СВР-01-1 устройство, предназначенное для управления и синхронизации вторичных стрелочных и цифровых часов, реле, компьютеров и других устройств локальных сетей, IT-систем и другого оборудования в системах часофикации, а так же синхронизации компьютеров и компьютерных сетей. Модульная структура часовой стан- ции позволяет конфигурировать ее в соответствии с решаемыми задачами, а также добавлять необходимые модули в уже установленную станцию при необходимости расширить функциональность системы единого вре- мени.
8.5.5 Техническая характеристика оборудования
Часовая станция СВР-01-1
163
Система единого времени в представленном рабочем проекте характеризуется самым современным на сегодняшний день способом управления вторичными часами и подчиненными устройствами - полноформатным кодированным сигналом времени по линии питания и управления СВР-01-1. При таком количестве вторичных часов этот выбор является оптимальным как по надежности функционирования, так и по простоте обслужива- ния. Часовая станция СВР-01-1 имеет интуитивно понятный и простой интерефейс управления, а также инфор- мативный ЖК-дисплей, отображающий всю необходимую информацию. Надежный металлический корус, эрго- номичный дизайн и компактный размер (1U, возможен монтаж в 19" стойку) позволят без труда разместить часо- вую станцию там, где необходимо.
Основными преимуществами управления вторичными часами по линии СВР-01-1, по сравнению с управле- нием вторичными часами посредством минутных импульсов являются:
- автоматическое восстановление значения точного времени на вторичных часах после возобновления работы системы;
- сохранение работоспособности подключенных вторичных часов при обрыве шлейфа или отключении одних и более часов на шлейфе;
- возможность подключения большего количества вторичных часов на шлейф;
- увеличение максимальной удаленности вторичных часов от первичных часов (или часовой станции);
- возможность подключения на шлейф дополнительных часов без остановки всей системы;
- возможность подключения вторичных цифровых часов на один шлейф со вторичными стрелочными ча- сами
- возможность синхронизации компьютеров по одному шлейфу со вторичными часами;
- возможность подключения дополнительных устройств, управляющих освещением, кондиционированием, звонками и другими звуковыми сигналами, а также входящих в состав систем контроля доступа и безопасности;
Управление:
- вторичными стрелочными часами для помещений серии СВР-03
- самоустанавливающимися вторичными стрелочными часами серии СВР-03-ХХСм
- вторичными стрелочными часами для улицы серии СВР-04
- цифровыми часами для помещений серии СВР-05 и цифровыми часами для улицы серии СВР-06
- сигнальными устройствами, осветительными приборами и т.п. по заданными программам
- системами IT через интерфейс Ethernet
164
В системе единого времени часовая станция (наряду с первичными часами) является одним из главных компонентов. Именно часовая станция посредством выдачи в линию часофикации информации о точном времени синхронизирует и управляет всеми вторичными стрелочными и электронными часами, и другим оборудованием, входящим в систему часофикации.
Часовая станция СВР-01-1, производства отвечает всем самым современным требованиям, предъявля- емым к подобным устройствам. Высокая надежность и качество делают данную часовую станцию лидером в своем сегменте, ничем не уступающим лучшим зарубежным аналогам. Вместе с тем, сравнивая стоимость и сроки поставки оборудования, преимущество, бесспорно, будет у часовой станции СВР-01-1.
Основными преимуществами управления вторичными часами по линии СВР-01-1, по сравнению с управлением вторичными часами посредством минутных импульсов являются:
- автоматическое восстановление значения точного времени на вторичных часах после возобновле- ния работы системы;
- сохранение работоспособности подключенных вторичных часов при обрыве шлейфа или отключе- нии одних и более часов на шлейфе;
- возможность подключения большего количества вторичных часов на шлейф;
- увеличение максимальной удаленности вторичных часов от первичных часов (или часовой станции);
- возможность подключения на шлейф дополнительных часов без остановки всей системы;
- возможность подключения вторичных цифровых часов на один шлейф со вторичными стрелочными часами
- возможность синхронизации компьютеров по одному шлейфу со вторичными часами;
- возможность подключения дополнительных устройств, управляющих освещением, кондиционирова- нием, звонками и другими звуковыми сигналами, а также входящих в состав систем контроля доступа и без- опасности;
165
- наличие одной линии для управления вторичными часами и их питания;
- меньшее потребление электроэнергии.
Предлагаемая конфигурация системы часофикации рассчитана на подключение 2 независимых шлей- фов управления СВР-01-1. Часовая станция позволяет синхронизировать локальную вычислительную сеть
(Ethernet 10/100-адаптер) через протокол TCP/IP.
Усилитель импульсов СВР-15.01
Усилитель импульсов СВР-15.01 предназначен для усиления информационных сигналов в линии вто- ричных часов.
Используется в системах единого времени, построенных на базе часовых станций СВР-01-1, в тех слу- чаях, когда на одной линии размещено большее количество вторичных часов, либо когда используется двух- проводная линия значительной длины.
Приемник сигналов точного времени GPS/Глонасс СВР-07.011
Состав часовой станции СВР-01-1 предполагает использование для внешней синхронизации по радио- сигналам системы глобальной навигации (система GPS) - приемник сигналов точного времени GPS/ Глонасс
166 модель СВР-07.011, которое обеспечивает абсолютную точность синхронизации ± 1 мсек от всемирного эта- лона времени.
Устройство радио коррекции повышенной точности СВР-07.011 конструктивно состоит из активной антенны, устанавливаемой в помещении / улица (в помещении принципиально размещение антенны вблизи окна), кабель антенны GPS длиной 30 м. Активная антенна имеет класс защиты IP65 по ГОСТ 14254-96 и может эксплуатироваться при температуре от - 40оC до +50оC. Протокол GPS NMEA 0183.
В спецификации приведены следующие вторичные часы: - вторичные стрелочные часы СВР-03-40 и
СВР-03-30, самоустанавливающиеся вторичные односторонние часы для внутренней установки выполнены в прочном корпусе d=30 см и d=38 см из нержавеющей стали круглой формы. Часовой механизм обладает практически бесшумным ходом, отображение времени - часы и минуты. Цвет корпуса - нержавеющая сталь хромированный и черное порошковое покрытие. Крепление одностороннее на стену (проушина). цвет ци- ферблата - белый, цвет меток, арабских цифр и стрелок - черный.
Вторичные часы СВР-03-30 / СВР-03-40
Установка вторичных часов предусматривается в служебных кабинетах в различных зонах объекта с повышенными требованиями надежности. Высота подвеса вторичных часов на высоте 2 метра. Соединение вторичных часов предусматривается с разветвлениями типа "звезда". В решении предусматривается ис- пользование шлейфов с сечением 2.5мм2.
8.5.6 Электропитание
Для питания часовой станции осуществляется от сети переменного тока ( 85-264 В (47-63 Гц); вы- ходной ток, не более (на каждый канал) - 1 А), потребляемая мощность, не более 50 Вт. Резервирование питания осуществляется от источников бесперебойного питания установленных на объекте. Соединитель- ные линии вторичных часов рассчитан кабелем типа ПВС 2х2.5мм и способ их прокладки обеспечивает ра- ботоспособность.
167
8.6.Раздел Система передачи данных (СПД)
Основные положения:
1. Обзор топологии сети и функционала
2. Обзор применяемых устройств
Обзор топологии сети ТС.
Топология сети Таможенной службы (рис 1):
Интернет, WAN
Коммутаторы WAN
Маршутизатор_1
Маршутизатор_2
Меж. сетевой экран NGFW
Меж. сетевой экран ASA
Сеть ПС
Агр. Коммутатор_1
Агр. Коммутатор_2
Сервер телефонии
Коммутатор OOB
WiFi контроллер
WiFi контроллер
Сервер СУФ
Коммутаторы доступа (высокой плотности
для Терминала)
Коммутаторы доступа (низкой плотности
для удаленных пятен)
Сервер управления сетью
Блейд сервер
Коммутаторы доступа
Сервер ISE
СХД_1(ТС)
Компьютер PC
Телефон SIP
Компьютер PC
Телефон SIP
СХД_2(ТС)
СХД_3(ПС)
Принтер
Принтер
Рисунок 1. Общая топология сети Таможенной службы.
В топологии сети Таможенной службы предусмотрена топология «звезда» с отказоустойчивостью на каждом уровне.
Основная функция модуля — это агрегация коммутаторов доступа в здании или кампусе.
Уровень агрегации обеспечивает границу между доменом уровня доступа и доменом сетевого уровня и предо- ставляет высокоскоростную магистраль для информационного взаимодействия для остальной части сети.
Ядром топологии выступают коммутаторы ядра и агрегации Cisсо Catalyst 6880-х. Ядро построено на основе кла- стера VSS (Virtual Switching System).
168
Система Cisco Catalyst 6880 Virtual Switching System имеет очень высокую пропускную способность. Модуль су- первизора виртуальной коммутации по сути является главным модулем поддержки системы виртуальной комму- тации. Система виртуальной коммутации для Cisco Catalyst 6880 может содержит два коммутатора, соединяющи- еся между собой каналами в 10 GbE. Кластер коммутаторов в ядре, работает в стиле одного виртуального ком- мутатора Catalyst. Отказоустойчивость уровня ядра и агрегации выполнена:
1. Уровень шасси двойная отказоустойчивость,
2. Уровень Supervisor двойная отказоустойчивость,
3. Уровень блоков питания двойная отказоустойчивость на каждом шасси,
4. Уровень каналов связи двойная отказоустойчивость на каждого соседа в топологии
Коммутаторы доступа (EdgeCore - AS5812-54X-EC, ECS4510-52P, ECS4510-28T, ECS4620-28T, ECS4510-28P.) всех уровней в топологии предоставляют непосредственный проводной доступ конечных пользователей, так и для устройств участвующих в инфраструктуре.
Коммутаторы доступа в топологии звезда предусмотрены в нескольких вариациях:
1. Коммутаторы доступа Терминала
2. Коммутаторы доступа удаленных пятен
3. Коммутаторы доступа для вычислительных мощностей
4. Коммутаторы сети OOB (Out of Band)
1. Коммутаторы доступа Терминала (EdgeCore ECS4510-52P, ECS4510-28P, ECS4510-28T) делятся на два кластера Stackwise. Стекируются коммутаторы прямыми кабелями непосредственным подключением к друг другу. Выполняют роль одного виртуального устройства, развернутого на двух физических шасси.
Отказоустойчивость на уровнях: a. Уровень шасси двойная отказоустойчивость, b. Уровень блоков питания двойная отказоустойчивость на каждом шасси c. Уровень каналов связи двойная отказоустойчивость до ядра сети
2. Коммутаторы доступа удаленных пятен (EdgeCore ECS4510-28P, ECS4510-28T), организованы как
Standalone коммутаторы. Отказоустойчивость на уровнях: a. Уровень блоков питания двойная отказоустойчивость b. Уровень каналов связи двойная отказоустойчивость до ядра сети
3. Коммутаторы доступа для вычислительных мощностей (EdgeCore AS5812-54X-EC) выполнены в виде кластера Stackwise. Стекируются коммутаторы прямыми кабелями непосредственным подключением к друг другу. Выполняют роль одного виртуального устройства, развернутого на двух физических шасси.
Отказоустойчивость на уровнях: a. Уровень шасси двойная отказоустойчивость, b. Уровень блоков питания двойная отказоустойчивость на каждом шасси c. Уровень каналов связи двойная отказоустойчивость до ядра сети
4. Коммутаторы сети OOB (EdgeCore ECS4620-28T) выполнены в виде кластера Stackwise. Стекируются коммутаторы прямыми кабелями непосредственным подключением к друг другу. Выполняют роль одного виртуального устройства, развернутого на двух физических шасси. Отказоустойчивость на уровнях: a. Уровень шасси двойная отказоустойчивость, b. Уровень блоков питания двойная отказоустойчивость на каждом шасси
В решении используется два контроллера, как для гостевого сервиса доступа в Интернет, так для сотрудников офиса и выделением демилитаризованной зоны (DMZ) в пределах модуля границы Интернет. В данной модели дизайна используется два КБС (контроллер беспроводной сети), который подключен к модулю распределения, также, как и сетевые экраны границы доступа в Интернет.
169
Уровень беспроводного доступа выполнен из двух уровней:
1. Уровень контроллеров беспроводной сети,
2. Уровень точек доступа.
1. На уровне беспроводной сети присутствуют два контроллера AIR-CT5520-K9. Используется неявная кла- стеризация с использованием активного и пассивного контролеров. Отказоустойчивость данного уровня: a. Уровень шасси двойная отказоустойчивость, b. Уровень блоков питания двойная отказоустойчивость на каждом шасси c. Уровень каналов связи двойная отказоустойчивость до ядра сети d. Управление всеми точками доступа на двух контроллерах (full-mesh) с указанием одного активного контроллера и второго резервного
2. Уровень точек доступа представлен моделью AIR-CAP3702I-E-K9. Точки доступа подключаются в отказо- устойчивую сеть, построенную на основе коммутаторов доступа терминала и удаленных пятен.
Уровень межсетевых экранов выполнен в двух вариациях:
1. Межсетевой экран внутреннего периметра сети
2. Межсетевой экран внешнего периметра сети
Архитектура решения обеспечивает следующий функционал:
–
Использование, предоставленное оператором связи адресное пространство публичных IP адре- сов для организации требуемых сервисов для сотрудников офиса, таких как, базовый Web-сервис (необходи- мый пул IP адресов в зависимости от роста организации), почтовый сервис, удаленный доступ через VPN, сер- вис контента и предоставление облачного сервиса провайдером связи или в Интернет;
–
Доступность услуг Интернета за счет отказоустойчивого (два подключения) к оператору связи.
– Удаленный доступ с использованием VPN (Remote access (RA) VPN) — обеспечение защищенного доступа к сетевым ресурсам из удаленных мест;
–
Трансляцию (скрытие) внутренней IP адресации офиса посредством использования функции
Network Address Translation (NAT)
–
Ограничение доступов для разных участников, согласно предоставленных регламентам взаимо- действия.
Межсетевой экран внутреннего периметра сети выполнен из кластера Failover FPR2130-NGFW-K9 с программным обеспечением на борту FPR2130-ASA-K9. Failover предусматривает кластеризацию с ролями active и standby. В случае выхода из строя или перебоя электропитания на active устройстве, standby принимает на себя роль глав- ного устройства в сети и выполняет весь функционал без изменения IP и MAC адресов, маршрутизации, правил доступа и тд. Отказоустойчивость уровня межсетевого экрана внутреннего периметра:
1. Уровень шасси двойная отказоустойчивость,
2. Уровень блоков питания двойная отказоустойчивость на каждом шасси,
3. Уровень каналов связи двойная отказоустойчивость до ядра сети.
Межсетевой экран внешнего периметра организован на основе межсетевого экрана нового поколения (NGFW и
NGIPS). Кластер выполнен в виде Failover FPR2130-NGFW-K9 с программным обеспечением на борту Cisco
Firepower. Failover предусматривает кластеризацию с ролями Active и Standby. В случае выхода из строя или
170 перебоя электропитания на active устройстве, Standby принимает на себя роль главного устройства в сети и вы- полняет весь функционал без изменения IP и MAC адресов, маршрутизации, правил доступа и тд. Отказоустой- чивость уровня межсетевого экрана внутреннего периметра:
1. Уровень шасси двойная отказоустойчивость,
2. Уровень блоков питания двойная отказоустойчивость на каждом шасси,
3. Уровень каналов связи двойная отказоустойчивость до ядра сети.
Шлюз голосового доступа выполнен на основе двух маршрутизаторов. Кластеризация на маршрутизаторах не предусмотрена, отказоустойчивость организована за счет протокола HSRP. Основная задача и предназначение данного протокола состоит в том, чтобы добиться практически 100% доступности и отказоустойчивости первого хопа от отправителя (также иногда называемый "маршрут по умолчанию"). Это достигается путём использования у двух маршрутизаторов одного IP-адреса и MAC-адреса так называемого виртуального маршрутизатора. Отка- зоустойчивость данного уровня:
1. Уровень шасси двойная отказоустойчивость,
2. Уровень блоков питания двойная отказоустойчивость на каждом шасси,
3. Уровень каналов связи двойная отказоустойчивость до ядра сети.
4. Уровень каналов связи двойная отказоустойчивость до провайдера
Сервер телефонии 3CX
Кластер серверов – это группа из нескольких идентичных серверов. В случае поломки главного сервера вместо него в работу включается запасной сервер.
Кластер серверов обеспечивает максимальный уровень надежности системы и является абсолютным преимуществом перед другими системами телефонии.
Кластер может состоять из двух и более серверов, из которых один сервер ведущий, а остальные ведо- мые. Все изменения конфигурации производятся на ведущем сервере, а ведомые серверы автоматически и са- мостоятельно синхронизируют свои настройки с ведущим сервером. В случае поломки ведущего сервера, его место занимает ведомый сервер.
IP АТС 3CX полностью протестирована на рекомендуемых виртуальных платформах, то есть это позво- ляет обеспечить отказоустойчивость с помощью инфраструктуры гипервизора соответственно IP АТС реализу- ется на существующем кластере серверов используя виртуальные машины с рекомендуемыми параметрами:
CPU
Intel® Core™ i7-3770 Processor (8M Cache, up to 3.90 GHz)
Memory 8-10 GB
HDD
SATA 300GB
NETWORK 1Gbit/10Gbit
171
Сервер управления сетью Solar Winds
Круглосуточный мониторинг оборудования средствами специализированного программного обеспечения
SolarWinds, которая позволяет мгновенный доступ к информации, то есть своевременное выявление потенциаль- ных проблем в сети и серверного оборудования, что позволит существенно сократить издержки, связанные с простоем, и предотвратить возникновение серьезных сбоев.
В основе продукта лежит очень идея — вывести всю важнейшую информацию о функционировании сети в понятной форме на визуальную консоль управления. С одного взгляда администратор может определить, насколько хорошо работает сеть, сразу же выявить потенциальные проблемы и предложить эффективные реше- ния этих проблем.
Управляющую консоль можно сконфигурировать различным образом. Она позволяет администраторам настроить начальный экран, показывающий все наиболее важные для данной инфраструктуры элементы. На кон- соль можно вывести несколько разных представлений одновременно.
Основные возможности программного обеспечения:
•
1 ... 14 15 16 17 18 19 20 21 22
161
8.5. Раздел система часофикации
Общие указания
Документация разработана на основании технического задания и исходных данных, полученных от
Заказчика.
Документация соответствует требованиям действующих технических регламентов, стандартов и сводов правил.
На объекте применяется концепция распределенной системы единого времени (СЕВ). СЕВ спроектирована на оборудовании фирмы MOBATIME SYSTEMS.
Концепция распределённой системы единого времени (DTS, Distributed Time System) разработана компанией MOSER-BAER AG и основывается на принципе децентрализации функциональных управляемых компонентов, образующих систему. В качестве среды передачи данных между отдельными элементами системы используется локальная сеть Ethernet. Управление отдельными элементами системы
DTS и наблюдение за их текущим состоянием может производиться централизованно, с помощью специализированного ПО MOBA-NMS.
Для создания комплексов верхнего уровня системы DTS, хранящих шкалу времени системы и являющихся источником синхронизации для всех остальных её компонентов используются высокостабильные серверы времени. В данном проекте комплекс выполнен в отказоустойчивом исполнении, с соединением двух серверов комплекса, работающих в режиме "основной/подчинённый" оптическим каналом связи (DTS Link).
Такой режим работы позволяет производить серверам взаимный контроль работоспособности в полностью автоматическом режиме. Каждый сервер комплекса оснащается собственным независимым устройством радиокоррекции и источником бесперебойного питания.
Для управления часами системы единого времени используется сервер NTS с функциями первичных часов, оснащённые выходом линии вторичных часов.
Вторичные часы с сетевыми интерфейсами, синхронизируемые по протоколу NTP, подключаются непосредственно в сеть в шкафы ШТК. Синхронизация таких часов может выполняться в двух режимах -
Unicast и Multicast.
Вторичные часы расположены в залах ожидания, кабинетах и административных помещениях.
Сервер времени NTS расположен в помещении серверной в здании АБК на втором этаже в шкафу 1ШТК.
Для администрирования, управления, диагностики и контроля работоспособности сетевых устройств, производимых MOBATime Systems, используется специализированное ПО MOBA-NMS (MOBATime Network
Management System). MOBA-NMS поддерживает одновременную работу с более чем 1000 различных устройств, подключенных к сети Ethernet. Основные возможности MOBA-NMS:
- автоматическое обнаружение сетевых устройств MOBATime;
- объединение устройств в логические группы;
- отображение текущего состояния (работоспособности) устройств;
- управление устройствами (отправка команд);
- использование групповой (Multicast) и одноадресной (Unicast) передачи данных;
- мониторинг данных, передаваемых по сети (данные NTP, таблиц часовых поясов и т. п.).
ПО поставляется комплектно с оборудованием.
8.5.1. Цель создания
Целью данного документа является описание технических решений выбора оборудования для системы уличного речевого оповещения служебных объявлений, голосовых указаний таможенных сотрудников отно- сительно транспортных средств на территории объекта.
162
8.5.2. Определения
РАБОЧИЙ ПРОЕКТ: «Реконструкция и техническое дооснащение пункта пропуска "Алаколь" ДГД
Южно-Казахстанской области»
ЗАКАЗЧИК: РГУ «Комитет государственных доходов Министерства финансов Республики Казахстан»
ИСПОЛНИТЕЛЬ: ТОО «Проектная фирма «Архкон»
8.5.3. Нормы, правила и стандарты
•
ГОСТ 21.101-97 «Система проектной документации для строительства. Основные требования к про- ектной и рабочей документации»;
•
СН РК 1.02-03-2011 «Порядок разработки, согласования, утверждения и состав проектной документа- ции на строительство»;
•
СНиП РК 3.02-10-2010 «Устройство систем связи, сигнализации и диспетчеризации инженерного обо- рудования жилых и общественных зданий. Нормы проектирования».
8.5.4. Общие
Рабочий проект разработан на основе часовой микропроцессорной станции СВР-01-1. Часовая станция
СВР-01-1 устройство, предназначенное для управления и синхронизации вторичных стрелочных и цифровых часов, реле, компьютеров и других устройств локальных сетей, IT-систем и другого оборудования в системах часофикации, а так же синхронизации компьютеров и компьютерных сетей. Модульная структура часовой стан- ции позволяет конфигурировать ее в соответствии с решаемыми задачами, а также добавлять необходимые модули в уже установленную станцию при необходимости расширить функциональность системы единого вре- мени.
8.5.5 Техническая характеристика оборудования
Часовая станция СВР-01-1
163
Система единого времени в представленном рабочем проекте характеризуется самым современным на сегодняшний день способом управления вторичными часами и подчиненными устройствами - полноформатным кодированным сигналом времени по линии питания и управления СВР-01-1. При таком количестве вторичных часов этот выбор является оптимальным как по надежности функционирования, так и по простоте обслужива- ния. Часовая станция СВР-01-1 имеет интуитивно понятный и простой интерефейс управления, а также инфор- мативный ЖК-дисплей, отображающий всю необходимую информацию. Надежный металлический корус, эрго- номичный дизайн и компактный размер (1U, возможен монтаж в 19" стойку) позволят без труда разместить часо- вую станцию там, где необходимо.
Основными преимуществами управления вторичными часами по линии СВР-01-1, по сравнению с управле- нием вторичными часами посредством минутных импульсов являются:
- автоматическое восстановление значения точного времени на вторичных часах после возобновления работы системы;
- сохранение работоспособности подключенных вторичных часов при обрыве шлейфа или отключении одних и более часов на шлейфе;
- возможность подключения большего количества вторичных часов на шлейф;
- увеличение максимальной удаленности вторичных часов от первичных часов (или часовой станции);
- возможность подключения на шлейф дополнительных часов без остановки всей системы;
- возможность подключения вторичных цифровых часов на один шлейф со вторичными стрелочными ча- сами
- возможность синхронизации компьютеров по одному шлейфу со вторичными часами;
- возможность подключения дополнительных устройств, управляющих освещением, кондиционированием, звонками и другими звуковыми сигналами, а также входящих в состав систем контроля доступа и безопасности;
Управление:
- вторичными стрелочными часами для помещений серии СВР-03
- самоустанавливающимися вторичными стрелочными часами серии СВР-03-ХХСм
- вторичными стрелочными часами для улицы серии СВР-04
- цифровыми часами для помещений серии СВР-05 и цифровыми часами для улицы серии СВР-06
- сигнальными устройствами, осветительными приборами и т.п. по заданными программам
- системами IT через интерфейс Ethernet
164
В системе единого времени часовая станция (наряду с первичными часами) является одним из главных компонентов. Именно часовая станция посредством выдачи в линию часофикации информации о точном времени синхронизирует и управляет всеми вторичными стрелочными и электронными часами, и другим оборудованием, входящим в систему часофикации.
Часовая станция СВР-01-1, производства отвечает всем самым современным требованиям, предъявля- емым к подобным устройствам. Высокая надежность и качество делают данную часовую станцию лидером в своем сегменте, ничем не уступающим лучшим зарубежным аналогам. Вместе с тем, сравнивая стоимость и сроки поставки оборудования, преимущество, бесспорно, будет у часовой станции СВР-01-1.
Основными преимуществами управления вторичными часами по линии СВР-01-1, по сравнению с управлением вторичными часами посредством минутных импульсов являются:
- автоматическое восстановление значения точного времени на вторичных часах после возобновле- ния работы системы;
- сохранение работоспособности подключенных вторичных часов при обрыве шлейфа или отключе- нии одних и более часов на шлейфе;
- возможность подключения большего количества вторичных часов на шлейф;
- увеличение максимальной удаленности вторичных часов от первичных часов (или часовой станции);
- возможность подключения на шлейф дополнительных часов без остановки всей системы;
- возможность подключения вторичных цифровых часов на один шлейф со вторичными стрелочными часами
- возможность синхронизации компьютеров по одному шлейфу со вторичными часами;
- возможность подключения дополнительных устройств, управляющих освещением, кондиционирова- нием, звонками и другими звуковыми сигналами, а также входящих в состав систем контроля доступа и без- опасности;
165
- наличие одной линии для управления вторичными часами и их питания;
- меньшее потребление электроэнергии.
Предлагаемая конфигурация системы часофикации рассчитана на подключение 2 независимых шлей- фов управления СВР-01-1. Часовая станция позволяет синхронизировать локальную вычислительную сеть
(Ethernet 10/100-адаптер) через протокол TCP/IP.
Усилитель импульсов СВР-15.01
Усилитель импульсов СВР-15.01 предназначен для усиления информационных сигналов в линии вто- ричных часов.
Используется в системах единого времени, построенных на базе часовых станций СВР-01-1, в тех слу- чаях, когда на одной линии размещено большее количество вторичных часов, либо когда используется двух- проводная линия значительной длины.
Приемник сигналов точного времени GPS/Глонасс СВР-07.011
Состав часовой станции СВР-01-1 предполагает использование для внешней синхронизации по радио- сигналам системы глобальной навигации (система GPS) - приемник сигналов точного времени GPS/ Глонасс
166 модель СВР-07.011, которое обеспечивает абсолютную точность синхронизации ± 1 мсек от всемирного эта- лона времени.
Устройство радио коррекции повышенной точности СВР-07.011 конструктивно состоит из активной антенны, устанавливаемой в помещении / улица (в помещении принципиально размещение антенны вблизи окна), кабель антенны GPS длиной 30 м. Активная антенна имеет класс защиты IP65 по ГОСТ 14254-96 и может эксплуатироваться при температуре от - 40оC до +50оC. Протокол GPS NMEA 0183.
В спецификации приведены следующие вторичные часы: - вторичные стрелочные часы СВР-03-40 и
СВР-03-30, самоустанавливающиеся вторичные односторонние часы для внутренней установки выполнены в прочном корпусе d=30 см и d=38 см из нержавеющей стали круглой формы. Часовой механизм обладает практически бесшумным ходом, отображение времени - часы и минуты. Цвет корпуса - нержавеющая сталь хромированный и черное порошковое покрытие. Крепление одностороннее на стену (проушина). цвет ци- ферблата - белый, цвет меток, арабских цифр и стрелок - черный.
Вторичные часы СВР-03-30 / СВР-03-40
Установка вторичных часов предусматривается в служебных кабинетах в различных зонах объекта с повышенными требованиями надежности. Высота подвеса вторичных часов на высоте 2 метра. Соединение вторичных часов предусматривается с разветвлениями типа "звезда". В решении предусматривается ис- пользование шлейфов с сечением 2.5мм2.
8.5.6 Электропитание
Для питания часовой станции осуществляется от сети переменного тока ( 85-264 В (47-63 Гц); вы- ходной ток, не более (на каждый канал) - 1 А), потребляемая мощность, не более 50 Вт. Резервирование питания осуществляется от источников бесперебойного питания установленных на объекте. Соединитель- ные линии вторичных часов рассчитан кабелем типа ПВС 2х2.5мм и способ их прокладки обеспечивает ра- ботоспособность.
167
8.6.Раздел Система передачи данных (СПД)
Основные положения:
1. Обзор топологии сети и функционала
2. Обзор применяемых устройств
Обзор топологии сети ТС.
Топология сети Таможенной службы (рис 1):
Интернет, WAN
Коммутаторы WAN
Маршутизатор_1
Маршутизатор_2
Меж. сетевой экран NGFW
Меж. сетевой экран ASA
Сеть ПС
Агр. Коммутатор_1
Агр. Коммутатор_2
Сервер телефонии
Коммутатор OOB
WiFi контроллер
WiFi контроллер
Сервер СУФ
Коммутаторы доступа (высокой плотности
для Терминала)
Коммутаторы доступа (низкой плотности
для удаленных пятен)
Сервер управления сетью
Блейд сервер
Коммутаторы доступа
Сервер ISE
СХД_1(ТС)
Компьютер PC
Телефон SIP
Компьютер PC
Телефон SIP
СХД_2(ТС)
СХД_3(ПС)
Принтер
Принтер
Рисунок 1. Общая топология сети Таможенной службы.
В топологии сети Таможенной службы предусмотрена топология «звезда» с отказоустойчивостью на каждом уровне.
Основная функция модуля — это агрегация коммутаторов доступа в здании или кампусе.
Уровень агрегации обеспечивает границу между доменом уровня доступа и доменом сетевого уровня и предо- ставляет высокоскоростную магистраль для информационного взаимодействия для остальной части сети.
Ядром топологии выступают коммутаторы ядра и агрегации Cisсо Catalyst 6880-х. Ядро построено на основе кла- стера VSS (Virtual Switching System).
168
Система Cisco Catalyst 6880 Virtual Switching System имеет очень высокую пропускную способность. Модуль су- первизора виртуальной коммутации по сути является главным модулем поддержки системы виртуальной комму- тации. Система виртуальной коммутации для Cisco Catalyst 6880 может содержит два коммутатора, соединяющи- еся между собой каналами в 10 GbE. Кластер коммутаторов в ядре, работает в стиле одного виртуального ком- мутатора Catalyst. Отказоустойчивость уровня ядра и агрегации выполнена:
1. Уровень шасси двойная отказоустойчивость,
2. Уровень Supervisor двойная отказоустойчивость,
3. Уровень блоков питания двойная отказоустойчивость на каждом шасси,
4. Уровень каналов связи двойная отказоустойчивость на каждого соседа в топологии
Коммутаторы доступа (EdgeCore - AS5812-54X-EC, ECS4510-52P, ECS4510-28T, ECS4620-28T, ECS4510-28P.) всех уровней в топологии предоставляют непосредственный проводной доступ конечных пользователей, так и для устройств участвующих в инфраструктуре.
Коммутаторы доступа в топологии звезда предусмотрены в нескольких вариациях:
1. Коммутаторы доступа Терминала
2. Коммутаторы доступа удаленных пятен
3. Коммутаторы доступа для вычислительных мощностей
4. Коммутаторы сети OOB (Out of Band)
1. Коммутаторы доступа Терминала (EdgeCore ECS4510-52P, ECS4510-28P, ECS4510-28T) делятся на два кластера Stackwise. Стекируются коммутаторы прямыми кабелями непосредственным подключением к друг другу. Выполняют роль одного виртуального устройства, развернутого на двух физических шасси.
Отказоустойчивость на уровнях: a. Уровень шасси двойная отказоустойчивость, b. Уровень блоков питания двойная отказоустойчивость на каждом шасси c. Уровень каналов связи двойная отказоустойчивость до ядра сети
2. Коммутаторы доступа удаленных пятен (EdgeCore ECS4510-28P, ECS4510-28T), организованы как
Standalone коммутаторы. Отказоустойчивость на уровнях: a. Уровень блоков питания двойная отказоустойчивость b. Уровень каналов связи двойная отказоустойчивость до ядра сети
3. Коммутаторы доступа для вычислительных мощностей (EdgeCore AS5812-54X-EC) выполнены в виде кластера Stackwise. Стекируются коммутаторы прямыми кабелями непосредственным подключением к друг другу. Выполняют роль одного виртуального устройства, развернутого на двух физических шасси.
Отказоустойчивость на уровнях: a. Уровень шасси двойная отказоустойчивость, b. Уровень блоков питания двойная отказоустойчивость на каждом шасси c. Уровень каналов связи двойная отказоустойчивость до ядра сети
4. Коммутаторы сети OOB (EdgeCore ECS4620-28T) выполнены в виде кластера Stackwise. Стекируются коммутаторы прямыми кабелями непосредственным подключением к друг другу. Выполняют роль одного виртуального устройства, развернутого на двух физических шасси. Отказоустойчивость на уровнях: a. Уровень шасси двойная отказоустойчивость, b. Уровень блоков питания двойная отказоустойчивость на каждом шасси
В решении используется два контроллера, как для гостевого сервиса доступа в Интернет, так для сотрудников офиса и выделением демилитаризованной зоны (DMZ) в пределах модуля границы Интернет. В данной модели дизайна используется два КБС (контроллер беспроводной сети), который подключен к модулю распределения, также, как и сетевые экраны границы доступа в Интернет.
169
Уровень беспроводного доступа выполнен из двух уровней:
1. Уровень контроллеров беспроводной сети,
2. Уровень точек доступа.
1. На уровне беспроводной сети присутствуют два контроллера AIR-CT5520-K9. Используется неявная кла- стеризация с использованием активного и пассивного контролеров. Отказоустойчивость данного уровня: a. Уровень шасси двойная отказоустойчивость, b. Уровень блоков питания двойная отказоустойчивость на каждом шасси c. Уровень каналов связи двойная отказоустойчивость до ядра сети d. Управление всеми точками доступа на двух контроллерах (full-mesh) с указанием одного активного контроллера и второго резервного
2. Уровень точек доступа представлен моделью AIR-CAP3702I-E-K9. Точки доступа подключаются в отказо- устойчивую сеть, построенную на основе коммутаторов доступа терминала и удаленных пятен.
Уровень межсетевых экранов выполнен в двух вариациях:
1. Межсетевой экран внутреннего периметра сети
2. Межсетевой экран внешнего периметра сети
Архитектура решения обеспечивает следующий функционал:
–
Использование, предоставленное оператором связи адресное пространство публичных IP адре- сов для организации требуемых сервисов для сотрудников офиса, таких как, базовый Web-сервис (необходи- мый пул IP адресов в зависимости от роста организации), почтовый сервис, удаленный доступ через VPN, сер- вис контента и предоставление облачного сервиса провайдером связи или в Интернет;
–
Доступность услуг Интернета за счет отказоустойчивого (два подключения) к оператору связи.
– Удаленный доступ с использованием VPN (Remote access (RA) VPN) — обеспечение защищенного доступа к сетевым ресурсам из удаленных мест;
–
Трансляцию (скрытие) внутренней IP адресации офиса посредством использования функции
Network Address Translation (NAT)
–
Ограничение доступов для разных участников, согласно предоставленных регламентам взаимо- действия.
Межсетевой экран внутреннего периметра сети выполнен из кластера Failover FPR2130-NGFW-K9 с программным обеспечением на борту FPR2130-ASA-K9. Failover предусматривает кластеризацию с ролями active и standby. В случае выхода из строя или перебоя электропитания на active устройстве, standby принимает на себя роль глав- ного устройства в сети и выполняет весь функционал без изменения IP и MAC адресов, маршрутизации, правил доступа и тд. Отказоустойчивость уровня межсетевого экрана внутреннего периметра:
1. Уровень шасси двойная отказоустойчивость,
2. Уровень блоков питания двойная отказоустойчивость на каждом шасси,
3. Уровень каналов связи двойная отказоустойчивость до ядра сети.
Межсетевой экран внешнего периметра организован на основе межсетевого экрана нового поколения (NGFW и
NGIPS). Кластер выполнен в виде Failover FPR2130-NGFW-K9 с программным обеспечением на борту Cisco
Firepower. Failover предусматривает кластеризацию с ролями Active и Standby. В случае выхода из строя или
170 перебоя электропитания на active устройстве, Standby принимает на себя роль главного устройства в сети и вы- полняет весь функционал без изменения IP и MAC адресов, маршрутизации, правил доступа и тд. Отказоустой- чивость уровня межсетевого экрана внутреннего периметра:
1. Уровень шасси двойная отказоустойчивость,
2. Уровень блоков питания двойная отказоустойчивость на каждом шасси,
3. Уровень каналов связи двойная отказоустойчивость до ядра сети.
Шлюз голосового доступа выполнен на основе двух маршрутизаторов. Кластеризация на маршрутизаторах не предусмотрена, отказоустойчивость организована за счет протокола HSRP. Основная задача и предназначение данного протокола состоит в том, чтобы добиться практически 100% доступности и отказоустойчивости первого хопа от отправителя (также иногда называемый "маршрут по умолчанию"). Это достигается путём использования у двух маршрутизаторов одного IP-адреса и MAC-адреса так называемого виртуального маршрутизатора. Отка- зоустойчивость данного уровня:
1. Уровень шасси двойная отказоустойчивость,
2. Уровень блоков питания двойная отказоустойчивость на каждом шасси,
3. Уровень каналов связи двойная отказоустойчивость до ядра сети.
4. Уровень каналов связи двойная отказоустойчивость до провайдера
Сервер телефонии 3CX
Кластер серверов – это группа из нескольких идентичных серверов. В случае поломки главного сервера вместо него в работу включается запасной сервер.
Кластер серверов обеспечивает максимальный уровень надежности системы и является абсолютным преимуществом перед другими системами телефонии.
Кластер может состоять из двух и более серверов, из которых один сервер ведущий, а остальные ведо- мые. Все изменения конфигурации производятся на ведущем сервере, а ведомые серверы автоматически и са- мостоятельно синхронизируют свои настройки с ведущим сервером. В случае поломки ведущего сервера, его место занимает ведомый сервер.
IP АТС 3CX полностью протестирована на рекомендуемых виртуальных платформах, то есть это позво- ляет обеспечить отказоустойчивость с помощью инфраструктуры гипервизора соответственно IP АТС реализу- ется на существующем кластере серверов используя виртуальные машины с рекомендуемыми параметрами:
CPU
Intel® Core™ i7-3770 Processor (8M Cache, up to 3.90 GHz)
Memory 8-10 GB
HDD
SATA 300GB
NETWORK 1Gbit/10Gbit
171
Сервер управления сетью Solar Winds
Круглосуточный мониторинг оборудования средствами специализированного программного обеспечения
SolarWinds, которая позволяет мгновенный доступ к информации, то есть своевременное выявление потенциаль- ных проблем в сети и серверного оборудования, что позволит существенно сократить издержки, связанные с простоем, и предотвратить возникновение серьезных сбоев.
В основе продукта лежит очень идея — вывести всю важнейшую информацию о функционировании сети в понятной форме на визуальную консоль управления. С одного взгляда администратор может определить, насколько хорошо работает сеть, сразу же выявить потенциальные проблемы и предложить эффективные реше- ния этих проблем.
Управляющую консоль можно сконфигурировать различным образом. Она позволяет администраторам настроить начальный экран, показывающий все наиболее важные для данной инфраструктуры элементы. На кон- соль можно вывести несколько разных представлений одновременно.
Основные возможности программного обеспечения:
•
1 ... 14 15 16 17 18 19 20 21 22
Веб-интерфейс. Позволяет получить доступ системе мониторинга из любого браузера, что существенно облегчает работу, избавляя от необходимости осваивать новый интерфейс.
• Составление топологической схемы сети с помощью ConnectNow. Приложение автоматически со- ставляет карту сети в режиме реального времени. Это позволяет получить наглядное представление о топологии сети без использования специальных инструментов.
• Мониторинг беспроводных устройств. Приложение позволяет наблюдать за состоянием подключен- ных к сети беспроводных устройств, выявляя уязвимости и другие потенциальные проблемы. Это существенно облегчает использование беспроводных технологий, упрощая мониторинг таких устройств.
• Составление отчетов. Приложение включает ряд стандартных шаблонов для составления отчетов, а также позволяет самостоятельно выбирать пункты для включения в отчет.
SolarWinds реализуется на существующем кластере серверов используя виртуальные машины с рекомен- дуемыми параметрами:
CPU
Intel® Core™ i7-3770 Processor (8M Cache, up to 3.90 GHz)
Memory 10-12 GB
HDD
SATA 500GB
NETWORK 1Gbit/10Gbit
Сервер управления доступом ISE.
Ключевым элементом безопасной сети во внутреннем периметре является сервер политик, а именно система контроля и учета доступа в сеть – Cisco Identity Services Engine (ISE). Системой контроля и учета доступа в сеть
Cisco ISE призваны реализовать гибкие централизованные сервисы управления пользовательским и не пользо- вательским доступом в сеть и обеспечить:
172 1. Аутентификацию пользовательских и не пользовательских устройств в сети по различным методам и протоколам аутентификации с использованием широкого набора интегрируемых внешних сервисов и баз аутентификации.
2. Авторизацию доступа в сеть в зависимости от: a. Различного набора критериев, которым удовлетворяет сессия. Гибкость формирования кри- териев авторизации обеспечивается булевой логикой при написании правил. Некоторые из критериев: i. Членство пользователя в группе AD/LDAP; ii. Параметры аутентификации – атрибуты как пользователя в сторонней базе аутенти- фикации, поля сертификата, тип аутентификации dot1x/mab и тд. iii. Местоположение подключаемого пользователя iv. Тип подключения пользователя Wired/Wireless/VPN v. Тип подключаемого устройства vi. Время подключения vii. Оценка состояния устройства – NAC Posture
Реализация Системой контроля доступа основывается на 4 серверах SNS-3515-K9, разбитыми по парам на две роли. Роль первого кластера – PAN+MNT (Policy Administrative Node + Monitoring). Роль второй пары это два standalone PSN (Policy Service Node).
Система контроля и учета доступа в сеть предусмотрена одна на две сети: сеть ТС и ПС.
Сервер управления межсетевыми экранами нового поколения FMC1000.
Центр администрирования важнейших решений сетевой безопасности Cisco. Он предоставляет полный набор унифицированных функций управления межсетевыми экранами, системами контроля и мониторинга приложений, предотвращением вторжений, URL-фильтрацией и защитой от сложного вредоносного ПО. Представлен в про- екте на основе двух серверов FMC1000-K9. Отказоустойчивость Центра администрирования:
1. Уровень шасси двойная отказоустойчивость,
2. Уровень блоков питания двойная отказоустойчивость на каждом шасси,
3. Уровень каналов связи двойная отказоустойчивость.
Обзор топологии сети ПС.
Топология сети Пограничной службы (рис 2):
173
Принтер
Принтер
Рисунок 2. Общая топология сети Пограничной службы.
В топологии сети Пограничной службы предусмотрена топология «звезда» с отказоустойчивостью на каждом уровне.
Основная функция модуля — это агрегация коммутаторов доступа в здании или кампусе.
Уровень агрегации обеспечивает границу между доменом уровня доступа и доменом сетевого уровня и предо- ставляет высокоскоростную магистраль для информационного взаимодействия для остальной части сети.
1. Ядром топологии выступают коммутаторы ядра и агрегации WS-C3850-32XS-E. Ядро построено на основе кластера Stackwise. Стекируются коммутаторы прямыми кабелями непосредственным подключением к друг другу. Выполняют роль одного виртуального устройства, развернутого на двух физических шасси.
Отказоустойчивость на уровнях: a. Уровень шасси двойная отказоустойчивость, b. Уровень блоков питания двойная отказоустойчивость на каждом шасси c. Уровень каналов связи двойная отказоустойчивость до ядра сети
Интернет, WAN
Коммутаторы WAN
Меж. сетевой экран NGFW
Маршутизатор_1
Маршутизатор_2
Сеть ТС
Агр. Коммутатор_1
Агр. Коммутатор_2
Коммутаторы доступа (высокой плотности для
Терминала)
Коммутаторы доступа (низкой плотности для удаленных пятен)
Промышленные коммутаторы
Сервер СУФ
Компьютер PC
Телефон SIP
Компьютер PC
Телефон SIP
Сервер телефонии
174
Коммутаторы доступа всех уровней (EdgeCore - AS5812-54X-EC, ECS4510-52P, ECS4620-28T, ECS4510-28P.
Advantech - EKI-7720E-4FI-AE, EKI-7428G-4CI-AE.) в топологии предоставляют непосредственный проводной до- ступ конечных пользователей, так и для устройств участвующих в инфраструктуре.
Коммутаторы доступа в топологии звезда предусмотрены в нескольких вариациях:
1. Коммутаторы доступа Терминала
2. Коммутаторы доступа удаленных пятен
3. Промышленные коммутаторы доступа
Отказоустойчивость на уровнях: a. Уровень блоков питания двойная отказоустойчивость b. Уровень каналов связи двойная отказоустойчивость до ядра сети
Уровень межсетевого экрана выполнен в смешанном варианте включающим:
1. Внутренний периметр сети
2. Внешний периметр сети
Архитектура решения обеспечивает следующий функционал:
–
Использование, предоставленное оператором связи адресное пространство публичных IP адре- сов для организации требуемых сервисов для сотрудников офиса, таких как, базовый Web-сервис (необходи- мый пул IP адресов в зависимости от роста организации), почтовый сервис, удаленный доступ через VPN, сер- вис контента и предоставление облачного сервиса провайдером связи или в Интернет;
–
Доступность услуг Интернета за счет отказоустойчивого (два подключения) к оператору связи.
– Удаленный доступ с использованием VPN (Remote access (RA) VPN) — обеспечение защищенного доступа к сетевым ресурсам из удаленных мест;
–
Трансляцию (скрытие) внутренней IP адресации офиса посредством использования функции
Network Address Translation (NAT)
–
Ограничение доступов для разных участников, согласно предоставленных регламентам взаимодествия.
Межсетевой экран периметра организован на основе межсетевого экрана нового поколения (NGFW и NGIPS).
Кластер выполнен в виде Failover FPR2130-NGFW-K9 с программным обеспечением на борту Cisco Firepower.
Failover предусматривает кластеризацию с ролями active и standby. В случае выхода из строя или перебоя элек- тропитания на active устройстве, Standby принимает на себя роль главного устройства в сети и выполняет весь функционал без изменения IP и MAC адресов, маршрутизации, правил доступа и тд. Отказоустойчивость уровня межсетевого экрана:
1. Уровень шасси двойная отказоустойчивость,
2. Уровень блоков питания двойная отказоустойчивость на каждом шасси,
3. Уровень каналов связи двойная отказоустойчивость до ядра сети.
Шлюз голосового доступа выполнен на основе двух маршрутизаторов. Кластеризация на маршрутизаторах не предусмотрена, отказоустойчивость организована за счет протокола HSRP. Основная задача и предназначение данного протокола состоит в том, чтобы добиться практически 100% доступности и отказоустойчивости первого
175 хопа от отправителя (также иногда называемый "маршрут по умолчанию"). Это достигается путём использования у двух маршрутизаторов одного IP-адреса и MAC-адреса так называемого виртуального маршрутизатора. Отка- зоустойчивость данного уровня:
1. Уровень шасси двойная отказоустойчивость,
2. Уровень блоков питания двойная отказоустойчивость на каждом шасси,
3. Уровень каналов связи двойная отказоустойчивость до ядра сети.
4. Уровень каналов связи двойная отказоустойчивость до провайдера
Сервер управления межсетевыми экранами нового поколения FMC1000.
Центр администрирования важнейших решений сетевой безопасности Cisco. Он предоставляет полный набор унифицированных функций управления межсетевыми экранами, системами контроля и мониторинга приложений, предотвращением вторжений, URL-фильтрацией и защитой от сложного вредоносного ПО. Представлен в про- екте на основе двух серверов FMC1000-K9. Отказоустойчивость Центра администрирования:
1. Уровень шасси двойная отказоустойчивость,
2. Уровень блоков питания двойная отказоустойчивость на каждом шасси,
3. Уровень каналов связи двойная отказоустойчивость.
Сервер телефонии 3CX
Кластер серверов – это группа из нескольких идентичных серверов. В случае поломки главного сервера вместо него в работу включается запасной сервер.
Кластер серверов обеспечивает максимальный уровень надежности системы и является абсолютным преимуществом перед другими системами телефонии.
Кластер может состоять из двух и более серверов, из которых один сервер ведущий, а остальные ведо- мые. Все изменения конфигурации производятся на ведущем сервере, а ведомые серверы автоматически и са- мостоятельно синхронизируют свои настройки с ведущим сервером. В случае поломки ведущего сервера, его место занимает ведомый сервер.
IP АТС 3CX полностью протестирована на рекомендуемых виртуальных платформах, то есть это позво- ляет обеспечить отказоустойчивость с помощью инфраструктуры гипервизора соответственно IP АТС реализу- ется на существующем кластере серверов используя виртуальные машины с рекомендуемыми параметрами:
CPU
Intel® Core™ i7-3770 Processor (8M Cache, up to 3.90 GHz)
Memory 8-10 GB
HDD
SATA 300GB
NETWORK 1Gbit/10Gbit
176
Сеть физической безопасности (СКУД, Пожарная безопасность и видеонаблюдение) единая для двух служб ТС и
ПС. Интеграция произведена на уровне сегментации таблиц маршрутизации за счет объединения маршрутов.
Фактически сеть будет отделена на программном уровне от сетей дата трафика служб ТС и ПС, доступ к функци- оналу будет предоставляться за счет политик доступа, организованных на уровне межсетевого экрана внутрен- него периметра службы ТС и сетевого экрана службы ПС, рисунок 3.
Типовая схема подключение удаленных коммутаторов доступа
Рисунок 3. Общая топология сети
Пятно 24
СКС
ВН
Пятно 32
СКС
ВН
Пятно 23
СКС
ВН
ТШ 2
ВН
Пятно 34
СКС
СКС
ВН
Пятно 29
СКС
ВН
Пятно 5
СКС
СКС
ВН
Пятно 48
СКС
СКС
ВН
Пятно 4 СКС
СКС
ТШ 3
ВН
Пятно 1
WAN
Интернет, WAN
WAN
SER
СКУД
MNG
ВН
СКС
СКС
ВН ТШ 4
ВН ТШ 5
Пятно 50
Пятно 49
ВН
ВН
ТШ 1
ВН
Пятно 27
СКС
ВН
177
Обзор применяемых устройств.
Коммутаторы Cisco Catalyst 6800 — это опорные коммутаторы нового поколения для кампусных сетей, которые будут поддерживать масштабируемые, интеллектуальные, простые и безопасные сервисы 10/40/100G. Данная серия заявлена как закономерное развитие и расширение существующей линейки Catalyst 6500.
Рисунок 4. Внешний вид Cisco Catalyst 6800
Модульные платформы Catalyst 6800 — это новая трехуровневая архитектура: сетевые приложения, средства управления и сетевые элементы - что полностью отвечает сетевой архитектуре Cisco ONE, предлагающей заказ- чикам защиту инвестиций, снижение операционных рисков, простоту сетевой структуры и широкие возможности для инноваций.
Коммутатор C6880-X — это шасси платформенного типа среднего диапазона (4 слота), разработанное для опти- мальной концентрации и услуг, с фиксированным Supervisor с 16 слотами под 10G/1G трансиверы SFP+/SPF (с поддержкой до 4 x 40G QSFP) и 4-мя слотами расширения под линейные карты, поддерживающая все функции
Supervisor2T/Catalyst 6500. C6880-X суммарно поддерживает до 80 x 10G/1G или 20 x 40G слотов и позициониру- ется как модульная платформа с высокой плотностью портов для агрегации оптических каналов связи
1G/10G/40G. C6880-X поддерживают VNTAG и могут выступать в роли родительских коммутаторов в модели по- строения доступа Instant Access.
Основные особенности
1. Расширяемая платформа
2. Всего 4.5 RU в высоту (меньше чем 6504-E)
3. От 80 до 220 Гбит/с на половину слота
4. От 16 до 80 x 1/10GE Ethernet портов
5. Высочайшая плотность портов 1G/10G port с поддержкой BGP & MPLS
178
Коммутаторы серии Cisco Catalyst 3850 — это стекируемые коммутаторы уровня агрегации, с фиксированной конфигурацией до 48 портов с высокой скоростью доступа, обеспечивающие единую физическую инфраструктуру для проводных и беспроводных сетей.
Рисунок 5. Внешний вид Cisco Catalyst 3850
Коммутаторы Cisco Catalyst 3850 серии созданы с использованием микросхем ASIC нового поколения Unified
Access Data Plane (UADP), позволяющих обрабатывать данные проводной сети. Коммутаторы этой серии поддер- живают распределение качества услуг (QoS) по уровням с возможностью точной настройки в любой точке про- водной и беспроводной инфраструктуры. Коммутаторы Cisco Catalyst 3850 стекируются по новой технологии Cisco
StackWise-480, которая дает возможность получить 480Gb пропускной способности стэка.
Cisco StackPower для интеллектуального распределения электропитания коммутаторов в стеке и резервирования питания, 2 резервируемых и модульных блока питания.
Также,поддержка IPv4 и IPv6 маршрутизации, multicast routing, распределение качества обслуживания (QoS) по уровням, MACsec, Flexible NetFlow (FNF) и единый универсальный образ Cisco IOS Software image для лицензий всех уровней.
Cisco Catalyst серии 3850 операционная система представлена единым универсальным образом Cisco IOS-XE
Software с тремя наборами функций (feature set) (наборы функций программного обеспечения Cisco IOS включа- ются посредством активации программного обеспечения. В зависимости от типа лицензии программное обеспе- чение Cisco IOS активирует соответствующий набор функций. Чтобы активировать другой набор функций, можно изменить или обновить типы лицензий.
Контроллеры беспроводных сетей Cisco AIR-CT5520-K9 позволяют сократить общие текущие расходы благо- даря упрощению развертывания и эксплуатации сети и управления ею. Применение одинаковых политик и прин- ципов защиты «сети без границ» от ядра проводной сети до беспроводных граничных сегментов позволяет кон- троллерам беспроводных сетей Cisco обеспечивать прозрачность, масштабируемость и надежность, необходи- мые для построения защищенных беспроводных сетей масштаба предприятия — от филиалов и малых предпри- ятий до крупных комплексов зданий.
Рисунок 6. Внешний вид Cisco AIR-CT5520-K9