Załącznik A – Bloki architektoniczne środowiska...

Zacznik A Bloki architektoniczne rodowiska teleinformatycznego

Centrum Przetwarzania Danych Ministerstwa Finansw

Architektura referencyjna rodowiska IT CPD MF

Zacznik A

Wersja: 1.9

ARCHITEKTURA REFERENCYJNA

RODOWISKA IT CPD MF

Zacznik A Bloki architektoniczne rodowiska teleinformatycznego

Infrastruktura dostpowa

Bloki architektoniczne w infrastrukturze dostpowejBlok architektoniczny przecznikw rdzeniowych LAN

Identyfikator

B.LAN.COR

Nazwa

Blok architektoniczny przecznikw rdzeniowych LAN

Rodzaj bloku

Blok typu IaaS

Cel dokumentu

Dokument opisuje wymagania dla bloku architektonicznego przecznikw rdzeniowych LAN.

Atrybuty bloku architektonicznego

Atrybut

Dostpne wartoci

Opis

Klasa systemu

I, II, III, IV

Atrybut okrela klas systemu informatycznego, w ktrym wykorzystany bdzie blok architektoniczny.

Ilo interfejsw

n x 10 GbE

n x 40 GbE

n = (1, 2, , 8)

Atrybut okrela szybko interfejsw udostpnianych w bloku.

Szybko interfejsw

10 GbE

40 GbE

Atrybut okrela szybko pojedynczego interfejsu udostpnianego w bloku.

Interfejs redundancyjny Uplink

2 x40 GbE

Atrybut okrela ilo i szybko redundancyjnego (ang. Uplink) interfejsu udostpnianego w bloku.

Interfejs zagregowany Trunk

4 x40 GbE

Atrybut okrela szybko zagregowanego (ang. Trunk) interfejsu udostpnianego w bloku.

Interfejsy sieciowe do zarzdzania

2 x 1 GbE

Atrybut okrela ilo i szybko interfejsu przeznaczonego do sieci zarzdzania.

Lista sieci LAN

Uplink, Trunk, podsieci VLAN

Atrybut okrela sieci, ktre bd obsugiwane przez przeczniki rdzeniowe.

Tabela 61 Atrybuty bloku architektonicznego B.LAN.COR

Ograniczenia na wartoci atrybutw

Dopuszczalne wartoci n dla atrybutu Ilo interfejsw dla bloku przedstawiono w tabeli poniej.

n

Ilo i szybko interfejsw

n x 1 x 10 GbE

n x 8 x 40 GbE

1

-

TAK

2

TAK

TAK

3

-

TAK

4

-

TAK

5

-

TAK

6

-

TAK

7

-

TAK

8

-

TAK

Tabela 62 Dopuszczalne wartoci atrybutu Ilo interfejsw dla bloku B.LAN.COR

Komponenty bloku architektonicznego

Komponent

Standard/Czynnik/Parametr

Wymagania szczegowe

Interfejsy sieciowe

Nie dotyczy.

W kadym z pary przecznikw bloku skonfigurowane i udostpnione interfejsy sieciowe w iloci n x 8, z czego:

- co najmniej 4 interfejsy 40 Gb/s wykorzystane jako Trunk pomidzy przecznikami w parze;

- jako Uplink do bloku rdzeniowego wykorzystywane bd poczenia 2x2x40Gbps.

Interfejsy skonfigurowane jako Uplink mog suy jako interfejsy zarzdzania przecznikiem.

Przecznik rdzeniowy LAN

Wymagania dotyczce przecznika:

S.IA.LAN.SW

C.LAN.SW.1

Ten komponent moe obsugiwa wiele rnych blokw.

Konfiguracja sprztowa

Blok skada si z 2 przecznikw rdzeniowych..

Blok przeznaczony jest do obsugi pocze blokw przecznikw dostpowych oraz urzdze bezpieczestwa dla LAN oraz IPS blokw WAN oraz Internet.

Komponenty bloku s poczone poprzez interfejsy Trunk.

Blok moe by wykorzystany do obsugi pocze poprzez pojedyncze interfejsy dla urzdze sieciowych lub blokw typu IaaS i Paas.

Dostp do sieci LAN

Blok rdzeniowy musi obsugiwa wszystkie Uplinki blokw przecznikw dostpowych.

Blok rdzeniowy musi obsugiwa wszystkie poczenia dla urzdze globalnych globalne urzdzenia balansujce ruch sieciowy, routery WAN oraz Internetowe.

Blok rdzeniowy musi by podczony do sieci MGMT.

Tabela 64 Komponenty bloku architektonicznego B.LAN.COR

Diagram realizacji

Rysunek 30 Diagram realizacji bloku B.LAN.COR

Blok architektoniczny przecznikw dostpowych LAN

Identyfikator

B.LAN.DIS

Nazwa


Rodzaj bloku

Blok typu IaaS

Cel dokumentu

Dokument opisuje wymagania dla bloku architektonicznego przecznikw dystrybucyjnych LAN.


Atrybut

Dostpne wartoci

Opis

Klasa systemu

I, II, III, IV


Klasa bezpieczestwa

B3, BX

Atrybut okrela klas bezpieczestwa systemu informatycznego, w ktrym wykorzystany bdzie blok architektoniczny.

Ilo interfejsw

n x 10 GbE

n = (1, 2, , 8)


Szybko interfejsw

10 GbE



2 x40 GbE



4 x10 GbE



1 x 1 GbE


Lista sieci LAN


Atrybut okrela sieci, ktre bd obsugiwane przez przeczniki dostpowe.

Tabela 66 Atrybuty bloku architektonicznego B.LAN.DIS



n


n x 1 x 1 GbE

n x 48 x 1 GbE

n x 4 x 10 GbE

1

TAK

TAK

TAK

2

-

TAK

TAK

3

-

-

TAK

4

-

-

TAK

5

-

-

TAK

6

-

-

TAK

7

-

-

TAK

8

-

-

TAK

9

-

-

TAK

10

-

-

TAK

Tabela 67 Dopuszczalne wartoci atrybutu Ilo interfejsw dla bloku B.LAN.DIS


Komponent


Wymagania szczegowe

Interfejsy sieciowe

Nie dotyczy.

W kadym z pary przecznikw bloku skonfigurowane i udostpnione interfejsy sieciowe w iloci n x 4, z czego:

- co najmniej 2 interfejsy 40 Gb/s wykorzystane jako Uplink do bloku przecznikw rdzeniowych;

- pozostae interfejsy wykorzystane jako dostp do serwerw.

Do zarzdzania przecznikiem s wykorzystywane interfejsy co najmniej 1Gb/s.

Przecznik dostpowy LAN


S.IA.LAN.SW

C.LAN.SW.2



Blok skada si z 2 przecznikw dostpowych.

Blok przeznaczony jest do obsugi pocze blokw przecznikw rdzeniowych oraz pocze bezporednich z serwerowych blokw fizycznych.

Komponenty bloku s poczone poprzez interfejsy Trunk.

Blok moe by wykorzystany do obsugi pocze poprzez pojedyncze interfejsy dla urzdze balansujcych ruch sieciowy, interfejsw zapr sieciowych oraz serwerw lub blokw typu IaaS lub PaaS.

Dostp do sieci LAN

Blok rdzeniowy musi obsugiwa wszystkie Uplinki blokw przecznikw dystrybucyjnych.

Blok dostpowy musi obsugiwa wszystkie podsieci LAN.

,


Tabela 69 Komponenty bloku architektonicznego B.LAN.DIS

Diagram realizacji

Rysunek 31 Diagram realizacji bloku B.LAN.DIS


Identyfikator

B.LAN.ACC

Nazwa


Rodzaj bloku

Blok typu IaaS

Cel dokumentu

Dokument opisuje wymagania dla bloku architektonicznego przecznikw dostpowych LAN.


Atrybut

Dostpne wartoci

Opis

Klasa systemu

I, II, III, IV


Klasa bezpieczestwa

B3, BX


Ilo interfejsw

n x 10 GbE

n = ( 2, 4)


Szybko interfejsw

10 GbE



2 x10 GbE



2 x10 GbE



1 x 1 GbE


Lista sieci LAN


Atrybut okrela sieci, ktre bd obsugiwane przez przeczniki dostpowe.

Tabela 71 Atrybuty bloku architektonicznego B.LAN.ACC



n


n x 1 x 1 GbE

n x 48 x 1 GbE

n x 2 x 10 GbE

1

TAK

TAK

TAK

2

-

-

TAK

Tabela 72 Dopuszczalne wartoci atrybutu Ilo interfejsw bloku B.LAN.ACC dla przecznikw stelaowych


n


n x 1 x 1 GbE

n x 16 x 1 GbE

n x 1 x 10 GbE

1

-

TAK

TAK

2

-

-

TAK

Tabela 73 Dopuszczalne wartoci atrybutu Ilo interfejsw bloku B.LAN.ACC dla przecznikw kasetowych


Komponent


Wymagania szczegowe

Interfejsy sieciowe

Nie dotyczy.

W kadym z pary przecznikw bloku skonfigurowane i udostpnione s interfejsy sieciowe w iloci 4x10Gb/s i 48x1Gb/s, z czego:

- co najmniej 2 interfejsy 10 Gb/s wykorzystane jako Uplink do bloku przecznikw dystrybucyjnych;

- pozostae interfejsy wykorzystane jako dostpowe do blokw serwerowych i urzdze sieciowych.

Do zarzdzania przecznikiem s wykorzystywane interfejsy 1Gb/s.

Przecznik dostpowy LAN


S.IA.LAN.SW

C.LAN.SW.3



Blok skada si z 2 przecznikw dostpowych.

Blok przeznaczony jest do obsugi pocze bezporednich serwerowych blokw fizycznych.

Blok moe by wykorzystany do obsugi pocze poprzez pojedyncze interfejsy dla urzdze balansujcych ruch sieciowy, interfejsw zapr sieciowych oraz serwerw lub blokw typu IaaS lub PaaS.

Dostp do sieci LAN

Blok dostpowy musi obsugiwa wszystkie Uplinki blokw przecznikw dystrybucyjnych.

Blok dostpowy musi obsugiwa wszystkie podsieci LAN.

,

Blok dostpowy musi by podczony do sieci MGMT.

Tabela 75 Komponenty bloku architektonicznego B.LAN.ACC

Diagram realizacji

Rysunek 32 Diagram realizacji bloku B.LAN.ACC

Blok architektoniczny routerw

Identyfikator

B.LAN.GAT.RT

Nazwa

Blok architektoniczny routerw

Rodzaj bloku

Blok typu IaaS

Cel dokumentu

Dokument opisuje wymagania dla bloku architektonicznego routerw.


Atrybut

Dostpne wartoci

Opis

Klasa systemu

I, II, III, IV


Klasa bezpieczestwa

B3, BX


Ilo interfejsw

n x 10 GbE

n = (1, 2)


Szybko interfejsw

1GbE, 10 GbE



2 x1 GbE



1 x 1 GbE


Lista sieci LAN

Podsieci VLAN

Atrybut okrela sieci, ktre bd obsugiwane przez routery.

Tabela 77 Atrybuty bloku B.LAN.GAT.RT



n


n x 1 x 1 GbE

n x 2 x 10 GbE

1

TAK

TAK

2

TAK

TAK

Tabela 78 Dopuszczalne wartoci atrybutu Ilo interfejsw dla bloku B.LAN.GAT.RT


Komponent


Wymagania szczegowe

Interfejsy sieciowe

Nie dotyczy.

W kadym z pary routerw w bloku skonfigurowane i udostpnione s interfejsy sieciowe w iloci 2x10Gb/s i 2x1Gb/s, z czego:

- co najmniej 2 interfejsy 10 Gb/s wykorzystane jest jako poczenie do sieci zewntrznych;

- 2 do 4 interfejsw 10 Gb/s wykorzystane jest jako poczenie do sieci wewntrznych;

Do zarzdzania routerem jest wykorzystywany interfejs 1Gb/s.

Router


S.IA.LAN.RTR

C.LAN.RT



Blok skada si z 2 routerw.

Blok przeznaczony jest do obsugi pocze z sieciami zewntrznymi.

Blok moe by wykorzystany do obsugi pocze do internetu lub WAN.

Blok routerw musi obsugiwa protokoy BGP,OSPF, IS-IS i RIP.

Dostp do sieci LAN

Blok routerw musi obsugiwa wszystkie poczenia do sieci wewntrznych.

Blok dostpowy musi by podczony do sieci MGMT.

Tabela 80 Komponenty bloku architektonicznego B.LAN.GAT.RT

Diagram realizacji

Rysunek 33 Diagram realizacji bloku B.LAN.GAT.RT

Blok architektoniczny zapr sieciowych

Identyfikator

B.LAN.DIS.FW

Nazwa

Blok architektoniczny zapr sieciowych

Rodzaj bloku

Blok typu IaaS

Cel dokumentu

Dokument opisuje wymagania dla bloku architektonicznego zapr sieciowych.


Atrybut

Dostpne wartoci

Klasa systemu

I, II, III, IV


Klasa bezpieczestwa

B3, BX


Ilo interfejsw

n x 10 GbE, m x 1 GbE

n = (1, 2, 4)

Atrybut okrela ilo i szybko interfejsw udostpnianych w bloku.

Szybko interfejsw

1 GbE, 10 GbE



1 x 1 GbE


Lista sieci LAN

Wszystkie podsieci VLAN

Atrybut okrela sieci, ktre bd obsugiwane przez zapory sieciowe.

Tabela 82 Atrybuty bloku B.LAN.DIS.FW



n


n x 4 x 1 GbE

n x 1 x 10 GbE

1

TAK

-

2

TAK

TAK

Tabela 83 Dopuszczalne wartoci atrybutu Ilo interfejsw dla bloku B.LAN.DIS.FW


Komponent


Wymagania szczegowe

Interfejsy sieciowe

Nie dotyczy.

W kadym z pary zapr sieciowych w bloku skonfigurowane i udostpnione interfejsy sieciowe w iloci 2 x 10GbE (tylko C.LAN.FW.1) i 8 x 1GbE z czego:

- 2 interfejsy 10 Gb/s wykorzystane do szybkich pocze midzy czonymi sieciami;

- 2 do 5 interfejsw 10GbE wykorzystane do podczania podsieci o mniejszym ruchu; .

- 1, 2 interfejs 1GbE wykorzystany do wzajemnego poczenia midzy zaporami sieciowymi lub zarzdzania.

Zapora sieciowa

Wymagania dotyczce zapory sieciowej:

S.IA.LAN.FW

C.LAN.FW.1

C.LAN.FW.2



Blok skada si z 2 zapr sieciowych.

Blok przeznaczony jest do obsugi pocze midzy chronionymi lub izolowanymi segmentami sieci LAN/WAN/Internet.

Urzdzenia w bloku musz mie zdolno filtrowania URL.

Blok moe by wykorzystany do obsugi stref DMZ w bramce internetowej.

Dostp do sieci LAN

Blok zapr sieciowych musi obsugiwa wszystkie podsieci LAN.

,


Tabela 85 Komponenty bloku architektonicznego B.LAN.DIS.FW

Diagram realizacji

Rysunek 34 Diagram realizacji bloku B.LAN.DIS.FW

Blok architektoniczny urzdze rwnowacych ruch sieciowy

Identyfikator

B.LAN.LB

Nazwa

Blok architektoniczny urzdze rwnowacych ruch sieciowy

Rodzaj bloku

Blok typu IaaS

Cel dokumentu

Dokument opisuje wymagania dla bloku architektonicznego urzdze rwnowacych ruch sieciowych.


Atrybut

Dostpne wartoci

Opis

Klasa systemu

I, II, III, IV


Klasa bezpieczestwa

B3, BX


Ilo interfejsw


n = (2, 4)


Szybko interfejsw

1 GbE, 10 GbE



1 x 1 GbE


Lista sieci LAN


Atrybut okrela sieci, ktre bd obsugiwane przez urzdzenia rwnowaenia ruchu sieciowego.

Tabela 87 Atrybuty bloku B.LAN.LB



n


n x 1 GbE

n x 2 x 10 GbE

1

-

TAK

2

TAK

TAK

Tabela 88 Dopuszczalne wartoci atrybutu Ilo interfejsw dla bloku B.LAN.LB


Komponent


Wymagania szczegowe

Interfejsy sieciowe

Nie dotyczy.

W kadym z pary urzdze rwnowaenia ruchu sieciowego w bloku s skonfigurowane i udostpnione nastpujce interfejsy sieciowe:

1. dla wza dystrybucyjnego

- 2 x 10GbE i 8 x 1GbE

2. dla globalnego urzdzenia balansujcego ruch sieciowy

- 2 x 1GbE

3. dla pozostaych urzdze balansujcych ruch sieciowy

- 6 x 1GbE .

Urzdzenie rwnowace ruch sieciowy

Wymagania dla urzdzenia rwnowacego ruch sieciowy:

S.IA.LAN.LB

C.LAN..LB.1

C.LAN..LB.2

C.LAN..LB.3



Blok skada si z 2 urzdze rwnowaenia ruchu sieciowego.

Blok urzdze musz obsugiwa wszystkie sieci LAN na poziomie przecznikw rdzeniowych LAN.

Blok urzdze musz obsugiwa wszystkie sieci na poziomie przecznikw dostpowych LAN

Urzdzenia w bloku musz mie zdolno do balansowania pakietw w protokoach HTTP/HTTPS

Blok moe by wykorzystany do obsugi stref DMZ w bramce internetowej do obsugi serwerw proxy.

Dostp do sieci LAN

Blok urzdze rwnowaenia ruchu sieciowego musi obsugiwa wszystkie podsieci LAN.

Blok urzdze rwnowaenia ruchu sieciowego musi by podczony do sieci MGMT.

Tabela 90 Komponenty bloku architektonicznego B.LAN.LB

Diagram realizacji

Rysunek 35 Diagram realizacji bloku B.LAN.LB

Blok architektoniczny urzdze IPS

Identyfikator

B.LAN.IPS

Nazwa

Blok architektoniczny urzdze IPS

Rodzaj bloku

Blok typu IaaS

Cel dokumentu

Dokument opisuje wymagania dla bloku architektonicznego urzdze IPS.


Atrybut

Dostpne wartoci

Opis

Klasa systemu

I, II, III, IV


Klasa bezpieczestwa

B3, BX


Ilo interfejsw


n = (2)


Szybko interfejsw

1 GbE, 10 GbE



1 x 1 GbE


Lista sieci LAN



Tabela 92 Atrybuty bloku B.LAN.IPS



n


n x 4 x 1 GbE

n x 10 GbE

1

TAK

TAK

2

TAK

TAK

Tabela 93 Dopuszczalne wartoci atrybutu Ilo interfejsw dla bloku B.LAN.IPS


Komponent


Wymagania szczegowe

Interfejsy sieciowe

Nie dotyczy.

W kadym z pary urzdze IPS w bloku s skonfigurowane i udostpnione interfejsy sieciowe w iloci 4 x 10GbE z czego:

- 2 interfejsy 10 Gb/s wykorzystane do pocze midzy gwnymi podsieciami do analizy ruchu sieciowego w trybie on-line;

- 2 interfejsy 10 Gb/s wykorzystanych do ochrony podsieci o mniejszym nateniu ruchu sieciowego oraz do zarzdzania.

Urzdzenie IPS

Wymagania dla urzdzenia IPS:

S.IA.LAN.IPS

C.LAN.IPS



Blok skada si z 2 urzdze IPS.

Blok urzdze musz obsugiwa wszystkie sieci na poziomie przecznikw rdzeniowych LAN.

Blok urzdze musz obsugiwa wszystkie sieci na poziomie przecznikw dostpowych LAN.

Oprogramowanie musi pozwala na identyfikacj zagroe wirusowych i atakw sieciowych.

Blok moe by wykorzystany do obsugi sieci w bramce internetowej oraz bramce WAN.

Blok moe by wykorzystany do obsugi sieci wewntrznych.

Dostp do sieci LAN

Blok urzdze IPS musi obsugiwa wszystkie podsieci LAN.

,

Blok urzdze IPS musi by podczony do sieci MGMT.

Tabela 95 Komponenty bloku architektonicznego B.LAN.IPS

Diagram realizacji

Rysunek 36 Diagram realizacji bloku B.LAN.IPS

Blok architektoniczny urzdze DWDM

Identyfikator

B.LAN.DWDM

Nazwa

Blok architektoniczny urzdze DWDM

Rodzaj bloku

Blok typu IaaS

Cel dokumentu

Dokument opisuje wymagania dla bloku architektonicznego urzdze IPS.


Atrybut

Dostpne wartoci

Opis

Klasa systemu

I, II, III, IV


Klasa bezpieczestwa

B3, BX


Ilo interfejsw

n x 10 GbE, m x 8 Gb FC

n = (4,8, ,40), m = (4,8, ,40),


Szybko interfejsw

10 GbE, 8 Gb FC



1 x 1 GbE


Lista sieci LAN

Wszystkie podsieci VLAN i vSAN


Tabela 107 Atrybuty bloku B.LAN.DWDM



n


n x 4 x 10 GbE

n x 4 x 8 Gb FC

1

TAK

-

2

TAK

-

3

TAK

-

4

TAK

-

5

TAK

-

6

-

TAK

7

-

TAK

8

-

TAK

9

-

TAK

10

-

TAK

Tabela 108 Dopuszczalne wartoci atrybutu Ilo interfejsw dla bloku B.LAN.DWDM


Komponent


Wymagania szczegowe

Interfejsy sieciowe

Nie dotyczy.

W kadym z 4 urzdze DWDM w bloku s skonfigurowane i udostpnione interfejsy sieciowe iloci do 40 x 10GbE i do 40 x 8Gb FC z czego:

- do 20 interfejsw 10 Gb/s wykorzystane do pocze sieci LAN;

- do 20 interfejsw 8 Gb FC wykorzystane do pocze sieci SAN;

Urzdzenie DWDM

Wymagania dla urzdzenia DWDM:

S.TE.DWDM

Ten komponent moe obsugiwa bloki LAN i SAN .


Blok skada si z 4 urzdze DWDM.

Blok urzdze musi obsugiwa wszystkie sieci, przeczniki LAN i SAN.

Kade z urzdze musi posiada nastpujce cechy:

40 kanaw optycznych w technologii DWDM;

Interfejsy sieci LAN: do 40 x 10Gbps;

Interfejsy sieci SAN: do 40 x 8Gb;

Interfejsy sieci LAN do zarzdzania: 1 x 1Gbps;

Dostp do sieci LAN

Blok urzdze DWDM musi obsugiwa wszystkie podsieci LAN i SAN.

,

Blok urzdze DWDM musi by podczony do sieci MGMT.

Tabela 110 Komponenty bloku architektonicznego B.LAN.DWDM

Standard przecznikw LAN i WAN

Identyfikator

S.IA.LAN.SW

Nazwa

Standard przecznikw LAN i WAN

Obszar

Standardy infrastrukturalne

Strefa

LAN, WAN

Warstwa

Wszystkie

Rodzaj

Sprztowe/techniczne

Streszczenie

Niniejszy dokument opisuje standard przecznikw dla sieci LAN oraz WAN, obsugujcych ruch we wszystkich warstwach komponentw.

Opis

Poniej przedstawiono opis standardu przecznikw LAN oraz WAN w odniesieniu do poszczeglnych wzw sieci.

Wze rdzeniowy

Funkcjonalno i technologie

Klasa I, II, III, IV:

Blok przecznikw rdzeniowych musi by budowany z uyciem przecznikw moduowych.

Cakowita przepustowo wewntrzna kadego przecznika moduowego musi pozwala na rwnoczesn obsug penej przepustowoci wszystkich jego portw.

Kady przecznik musi by wyposaony w interfejsy o przepustowoci 10 Gb/s.

Kady przecznik musi mie moliwo obsugi interfejsw wiatowodowych.

Kady przecznik musi obsugiwa trasowanie ruchu pomidzy lokalnymi podsieciami IP.

Przeczniki musz umoliwia obsug wielkich ramek.

Wirtualizacja


Kady przecznik musi umoliwia programowe poczenie przecznikw fizycznych w przecznik wirtualny.

Kady przecznik musi umoliwia obsug wirtualnych sieci lokalnych (VLAN).

Kady przecznik musi umoliwia znakowanie ramek z wykorzystaniem standardu IEEE 802.1Q.

Kady przecznik musi umoliwia agregowanie portw fizycznych w pojedynczy port wirtualny (ang. trunking) w sposb statyczny lub z uyciem protokou LACP 802.3ad.

Niezawodno i dostpno


Przeczniki bloku przecznikw rdzeniowych musz by wyposaone co najmniej w nastpujce komponenty redundantne:

zasilacze;

wentylatory;

moduy nadzorujce.

Musi istnie moliwo wymiany moduw przecznika bez koniecznoci wyczania urzdzenia.

Przeczniki musz zapewnia moliwo aktualizacji oprogramowania wewntrznego bez koniecznoci wyczania urzdzenia.

Kady przecznik bloku przecznikw rdzeniowych musi by zasilany z dwch osobnych obwodw.

Bezpieczestwo

Klasa B1:

Rozwizanie musi posiada moliwo centralnego uwierzytelniania uytkownikw.

Musi posiada moliwo lokalnego autoryzowania dostpu uytkownikw.

Musi posiada moliwo centralnego autoryzowania dostpu uytkownikw.

Rozwizanie musi wspiera granularny przydzia uprawnie.

Rozwizanie musi mie moliwo lokalnego rejestrowania zdarze bezpieczestwa.

Rozwizanie musi mie moliwo integracji z centralnym systemem rejestrowania zdarze bezpieczestwa.

Klasa B2:

Rozwizanie musi posiada moliwo uwierzytelniania uytkownikw.


Rozwizanie musi posiada moliwo centralnego autoryzowania dostpu uytkownikw.



Klasa B3:





Klasa BX:

Rozwizanie wykorzystane w klasie BX musi by odseparowane fizycznie od innych systemw resortu finansw.

Jeli rozwizanie korzysta z innych zasobw infrastruktury resortu finansw, to musz by stosowane odpowiednie mechanizmy:

kontroli dostpu,

monitorowania zdarze bezpieczestwa,

filtrowania ruchu.

Zarzdzanie


Kady przecznik wza rdzeniowego musi mie moliwo zdalnego zarzdza jego konfiguracj i monitorowania jego stanu.

Kady przecznik wza rdzeniowego musi mie moliwo:

integracji z centralnym systemem monitoringu i zarzdzania sieci;

wykonywania kopii zapasowej jego konfiguracji;

aktualizacji jego oprogramowania;

zdalnego monitorowania stanu jego interfejsw;

zdalnej modyfikacji jego konfiguracji i monitorowaniazmian konfiguracji;

monitorowania sesji zrealizowanych za porednictwemjego mechanizmw zdalnego zarzdzania.

Wze dystrybucyjny



Blok przecznikw dystrybucyjnych musi by zbudowany z przecznikw moduowych podczonych do wza rdzeniowego.

Cakowita przepustowo wewntrzna kadego przecznika moduowego w bloku przecznikw dystrybucyjnych musi pozwala na rwnoczesn obsug penej przepustowoci wszystkich jego portw.

Kady przecznik moduowy w bloku przecznikw dystrybucyjnych musi by wyposaony w interfejsy o przepustowoci 10 Gb/s.

W razie koniecznoci kady przecznik moduowy w bloku przecznikw dystrybucyjnych musi mie moliwo obsugi interfejsw o przepustowoci 1 Gb/s.

Kady przecznik w bloku przecznikw dystrybucyjnych musi obsugiwa trasowanie ruchu pomidzy lokalnymi podsieciami IP.

Przepustowo wewntrzna przecznikw dostpowych moe by mniejsza od penej przepustowoci wszystkich ich portw.

Kady przecznik dostpowy musi by wyposaony w interfejsy o przepustowoci 1Gb/s i 10 Gb/s.


Kady przecznik musi mie moliwo obsugi interfejsw w standardzie 1000BaseT.

Wirtualizacja przecznikw








Przeczniki bloku przecznikw dystrybucyjnych musz by wyposaone co najmniej w nastpujce komponenty redundantne:

zasilacze;

wentylatory.


Przeczniki musz zapewnia moliwo aktualizacji oprogramowania wewntrznego bez koniecznoci restartowania urzdzenia.

Kady przecznik bloku przecznikw dystrybucyjnych musi by zasilany z dwch osobnych obwodw.

Bezpieczestwo

Klasa B1:







Klasa B2:






Klasa B3:





Klasa BX:



kontroli dostpu,


filtrowania ruchu.

Zarzdzanie


Kady przecznik wza dystrybucyjnego musi mie moliwo zdalnego zarzdza jego konfiguracj i monitorowania jego stanu.

Kady przecznik Wza Dystrybucyjnego musi mie moliwo:







Wze bramki internetowej i intranetowej



Cakowita przepustowo wewntrzna kadego przecznika wza bramki internetowej i intranetowej musi pozwala na rwnoczesn obsug penej przepustowoci wszystkich jego portw.

Kady przecznik moduowy w bloku przecznikw dystrybucyjnych musi by wyposaony w interfejsy o przepustowoci 10 Gb/s.

W razie koniecznoci kady przecznik moduowy w bloku przecznikw dystrybucyjnych musi mie moliwo obsugi interfejsw o przepustowoci 1 Gb/s.

Kady przecznik w bloku przecznikw dystrybucyjnych musi obsugiwa trasowanie ruchu pomidzy lokalnymi podsieciami IP.

Przepustowo wewntrzna przecznikw dostpowych moe by mniejsza od penej przepustowoci wszystkich ich portw.

Kady przecznik dostpowy musi by wyposaony w interfejsy o przepustowoci 1 Gb/s i 10 Gb/s.


Kady przecznik musi mie moliwo obsugi interfejsw w standardzie 1000BaseT.

Wirtualizacja przecznikw








Przeczniki bloku przecznikw dystrybucyjnych musz by wyposaone co najmniej w nastpujce komponenty redundantne:

zasilacze;

wentylatory.


Przeczniki musz zapewnia moliwo aktualizacji oprogramowania wewntrznego bez koniecznoci restartowania urzdzenia.

Kady przecznik bloku przecznikw dystrybucyjnych musi by zasilany z dwch osobnych obwodw.

Bezpieczestwo

Klasa B1:







Klasa B2:






Klasa B3:





Rozwizanie musi zapewnia moliwo rejestrowania i monitoringu zdarze.

Klasa BX:



kontroli dostpu,


filtrowania ruchu.

Zarzdzanie


Kady przecznik wza bramki internetowej i intranetowej musi mie moliwo zdalnego zarzdza jego konfiguracj i monitorowania jego stanu.

Kady przecznik wza bramki internetowej i intranetowej musi mie moliwo:







Przeczniki LANPrzeczniki rdzeniowe

Identyfikator

C.LAN.SW.1

Nazwa

Przeczniki rdzeniowe LAN

Element/cecha

Charakterystyka

Pojemno przeczania backplane

Co najmniej 3 Tb/s

Prdko przeczania pakietw

Co najmniej 960 Mp/s

Liczba portw 10 Gb/s

Moliwo instalacji 64 portw 10 Gb/s (1:1) z moliwoci uzyskania penej przepustowoci kadego portu, przy rwnoczesnym penym wykorzystaniu wszystkich portw.

Moliwo instalacji 256 portw 10 Gb/s (4:1)przy zaoeniu, e podczas penego obcienia wszystkich portw nie bdzie moliwoci uzyskania ich penej przepustowoci.

Liczba gniazd kart liniowych

Minimum 7

Redundancja zarzdzania

Co najmniej 1+1.

Redundancja wentylatorw

Tak

Zasilanie

Napicie zmienne 230 V, 50 Hz.

Minimum dwa zasilacze zapewniajce redundancj zasilania N+N lub N+M, typu hot-plug. Uszkodzenie pojedynczego zasilacza nie moe powodowa utraty zdolnoci operacyjnych w peni wyposaonego urzdzenia.

Obudowa

Dostosowana do montau w szafie stelaowej 19.

STP

Obsuga protokow: RSTP i MSTP

QoS

Priorytetyzacja zgodna z IEEE 802.1p, priorytetyzacja na bazie warstwy 4 modelu OSI, kontrola pakietw rozgoszeniowych, klasyfikacja ruchu na bazie wielu kryteriw protokow warstwy 2, 3 i 4 modelu OSI, regulacja pasma za pomoc algorytmw bazujcych na portach i/lub klasyfikatorach pakietw.

VLANy

Zgodne ze standardem 802.1Q (4096 identyfikatorw sieci wirtualnych), obsuga funkcjonalnoci QinQ.

Agregacja portw

Obsuga protokou 802.3ad Link Aggregation.

Redundancja

Redundancja komponentw N+N lub N+M (nadmiarowe zasilacze, wiatraki, moduy zarzdzania, moduy liniowe, transceivery).

Wirtualizacja przecznikw.

Obsugiwane protokoy i funkcje

Obsuga protokow: RIP, OSPF, BGP, IS-IS, VRRP, moliwo uruchomienia MPLS, DLDP lub UDLD.

Obsuga funkcji: Non Stop Forwarding/Graceful Restart (NSF/GR).

Wsparcie dla IPv6.

Zarzdzanie

Integracja z CISCO PRIME w CPD

Monitorowanie zdarze

Integracja z systemami monitorowania w CPD

Przeczniki dystrybucyjne LAN/WAN

Identyfikator

C.LAN.SW.2

Nazwa

Przeczniki dystrybucyjne LAN/WAN

Element/cecha

Charakterystyka


Co najmniej 1,44 Tb/s.


Co najmniej 1200Mp/s.

Porty 10 Gb/s

Moliwo instalacji co najmniej 192 portw 10Gb/s, przy zaoeniu, e podczas penego obcienia wszystkich portw nie bdzie moliwoci uzyskania ich penej przepustowoci.

Porty 1 Gb/s

Moliwo instalacji co najmniej 96 portw 1 Gb/s (1:1) z moliwoci uzyskania penej przepustowoci kadego portu, przy rwnoczesnym penym wykorzystaniu wszystkich portw.


Minimum 7.


1+1

Zasilanie

Napicie zmienne: 230 V, 50 Hz.


Obudowa


STP

Obsuga protokow: RSTP i MSTP.

QoS

Priorytetyzacja zgodna z IEEE 802.1p, priorytetyzacja na bazie warstwy 4 modelu OSI, kontrola pakietw rozgoszeniowych, klasyfikacja ruchu na bazie wielu kryteriw protokow warstwy 2, 3 i 4 modelu OSI, regulacja pasma za pomoc algorytmw bazujcych na portw i/lub klasyfikatorach pakietw.

VLANy


Agregacja portw


Redundancja

Redundancja komponentw (nadmiarowe zasilacze, wiatraki, moduy zarzdzania, moduy liniowe, transceivery).Wirtualizacja przecznikw.Obsuga protokow: RIP, OSPF, BGP, IS-IS, VRRP, moliwo uruchomienia MPLS, DLDP lub UDLD.


Wsparcie dla IPv6.

Zarzdzanie

Integracja z CISCO PRIME w CPD



Przeczniki dystrybucyjne bramka Internetowa

Identyfikator

C.LAN.SW.5

Nazwa

Przeczniki dystrybucyjne bramka Internetowa

Element/cecha

Charakterystyka


Co najmniej 720 Gb/s.


Co najmniej 400 Mp/s.

Liczba portw 10 Gb/s

Co najmniej 8 portw 10 Gb/s (1:1) z moliwoci uzyskania penej przepustowoci kadego portu, przy rwnoczesnym penym wykorzystaniu wszystkich portw.

Wymagane dostarczenie kadego przecznika w konfiguracji zawierajcej co najmniej 8 portw 10 Gb/s.

Moliwo instalacji co najmniej 20 portw 10Gb/s z moliwoci uzyskania penej przepustowoci kadego portu, przy rwnoczesnym penym wykorzystaniu wszystkich portw.

Liczba portw 1 Gb/s

Co najmniej 96 portw 1 Gb/s (1:1) z moliwoci uzyskania penej przepustowoci kadego portu, przy rwnoczesnym penym wykorzystaniu wszystkich portw.


Minimum 4.


1+1

Zasilanie



Obudowa


STP

Obsuga protokow: STP, RSTP i MSTP.

QoS

Priorytetyzacja zgodna z IEEE 802.1p,priorytetyzacja na bazie warstwy 4 modelu OSI, kontrola pakietw rozgoszeniowych, klasyfikacja ruchu na bazie wielu kryteriw protokow warstwy 2, 3 i 4 modelu OSI, regulacja pasma za pomoc algorytmw bazujcych na portw i/lub klasyfikatorach pakietw.

VLANy


Agregacja portw


Redundancja

Redundancja komponentw (nadmiarowe zasilacze, wiatraki, moduy zarzdzania, moduy liniowe, transceivery).Wirtualizacja przecznikw.Obsuga protokow: RIP, OSPF, BGP, IS-IS, VRRP, MPLS, DLDP lub UDLD.


Zarzdzanie

Kompatybilno CISCO PRIME



Przeczniki dostpowePrzeczniki dostpowe 48 portw

Identyfikator

C.LAN.SW.3

Nazwa

Przeczniki dostpowe LAN 48 portw

Element/cecha

Charakterystyka




Co najmniej 100 Mp/s.

Porty 10 Gb/s SFP+

Co najmniej 2.

Porty 10/100/1000

IEEE 802.3 Type 10Base-T, IEEE 802.3u Type 100Base-TX,IEEE 802.3ab Type 1000Base-T

48

Zasilanie

Napiciem zmiennym 230 V 50 Hz.

Minimum dwa zasilacze zapewniajce redundancj zasilania N+N, typu hot-plug.

Obudowa


STP

Obsuga protokow: RSTP i MSTP.

QoS

Klasyfikacja wanoci ruchu na bazie list kontroli dostpu, technik IEEE 802.1p CoS, IP, DSCP lub Type of Service (ToS); filtrowanie, przekierowanie, powielanie lub znacznikowanie; kolejkowanie zgodnie z algorytmami: strict priority (SP), weighted fair queuing (WFQ), weighted random early discard (WRED).

Architektura

Funkcje przecznikw dostpowych w wle dystrybucyjnym mog by realizowane za pomoc wyniesionych moduw przecznika dystrybucyjnego.

Przy zastosowaniu tej technologii, wymaga dla przeacznika dostpowego nie stosuje si do wyniesionego moduu, ale do przecznika , ktrego jest on czci, z zastrzeeniem ich realizacji funkcjonalnej dla portw wyniesionego moduu.

VLANy


Agregacja portw


Redundancja

Wirtualizacja przecznikw.

Obsuga protokow: RIP, moliwo rozbudowy o OSPF, BGP, IS-IS, VRRP.

Zarzdzanie

Kompatybilno z CISCO PRIME



Przeczniki dostpowe 24 porty

Identyfikator

C.LAN.SW.4

Nazwa

Przeczniki dostpowe LAN 24 porty

Element/cecha

Charakterystyka




Co najmniej 65,5 Mp/s.

Porty 10 Gb/s SFP+

Co najmniej 2.

Porty 10/100/1000

IEEE 802.3 Type 10Base-T, IEEE 802.3u Type 100Base-TX,IEEE 802.3ab Type 1000Base-T

24

Zasilanie

Napicie zmienne: 230 V; 50 Hz.

Minimum dwa zasilacze zapewniajce redundancj zasilania N+N lub N+M, typu hot-plug.

Obudowa


STP

Obsuga protokow: RSTP i MSTP

QoS

Klasyfikacja wanoci ruchu na bazie list kontroli dostpu, technik IEEE 802.1p CoS, IP, DSCP lub Type of Service (ToS); filtrowanie, przekierowanie, powielanie lub znacznikowanie; kolejkowanie zgodnie z algorytmami: strict priority (SP), weighted fair queuing (WFQ), weighted random early discard (WRED).

Architektura

Funkcje przecznikw dostpowych w wle dystrybucyjnym mog by realizowane za pomoc wyniesionych moduw przecznika dystrybucyjnego.

Przy zastosowaniu tej technologii, wymaga dla przeacznika dostpowego nie stosuje si do wyniesionego moduu, ale do przecznika , ktrego jest on czci, z zastrzeeniem ich realizacji funkcjonalnej dla portw wyniesionego moduu.

VLANy


Agregacja portw


Redundancja

Wirtualizacja przecznikw.Obsuga protokow: RIP, moliwo rozbudowy o OSPF, BGP, IS-IS, VRRP.

Zarzdznie

Kompatybilno z CISCO PRIME



Nazwa

Standard zapr sieciowych.

Obszar


Strefa

LAN, WAN

Warstwa

Wszystkie

Rodzaj

Bezpieczestwa

Streszczenie

Dokument opisuje standard zapr sieciowych.

Opis



Cakowita przepustowo wewntrzna pojedynczego urzdzenia musi wynosi co najmniej 10 Gb/s. Zapora sieciowa musi mie moliwo obsugi interfejsw o przepustowoci 10/100/1000 Mb/s.

Urzdzenie musi by przystosowane do instalacji w stelau technicznym.

Wirtualizacja


Urzdzenie musi mie moliwo tworzenia prywatnych sieci wirtualnych (VPN) z uyciem protokou IPSec.



Rozwizanie musi by wyposaone w redundantne zasilacze.

Rozwizanie musi umoliwia czenie urzdze w klastry wysokiej dostpnoci.

Kade urzdzenie musi by zasilane z dwch osobnych obwodw.

Bezpieczestwo

Rozwizanie musi posiada wsparcie ze strony producenta w zakresie ujawniania oraz naprawiania bdw i luk bezpieczestwa, dostarczane przez dedykowany zesp specjalistw.

Producent rozwizania musi udostpnia list opisujc histori wykrytych w rozwizaniu bdw i zawierajc stosowne poprawki.

Klasa B1:

Rozwizanie musi stosowa mechanizmy kryptograficzne do transmisji danych przesyanych w sieciach publicznych:

podczas uwierzytelniania uytkownikw,

podczas przesyania danych konfiguracyjnych.







Klasa B2:









Klasa B3:








Klasa BX:



kontroli dostpu,


filtrowania ruchu.

Zarzdzanie


Urzdzenie musi mie moliwo zdalnego zarzdzania jego konfiguracj i monitorowania jego stanu.

Urzdzenie musi mie moliwo wykonywania kopii zapasowej i odtworzenia jego konfiguracji.

Urzdzenia musz zapewnia moliwo aktualizacji jego oprogramowania wewntrznego.

Zapory siecioweZapory sieciowe typ 1

Identyfikator

C.LAN.FW.1

Nazwa

Zapory sieciowe typ 1

Element/cecha

Charakterystyka

Przepustowo zapory sieciowej


Przepustowo dla funkcjonalnoci VPN IPSec


Przepustowo funkcjonalnoci IPS

Co najmniej 8 Gb/s.

Liczba pocze na sekund

Co najmniej 250.000

Liczba jednoczesnych sesji

Co najmniej 12 milionw.

Mechanizm przechowywania iledzenia sesji TCP/UDP

Statefull inspection - dynamiczne tworzenie list dostpu na podstawie rzeczywistego stanu sesji.

Funkcjonalno zapory

Obsuga VPN, NAT, obsuga protokow IPv6.

Liczba dostpnych interfejsw

Co najmniej 8 interfejsw 10/100/1000 Mb/s oraz co najmniej 8 interfejsw SFP+ 10 Gb/s.

Zasilanie



Redundancja

Moliwo czenia urzdze w klastry wysokiej dostpnoci.

Obudowa


Zapory sieciowe typ 1a

Identyfikator

C.LAN.FW.1

Nazwa

Zapory sieciowe typ 1a

Element/cecha

Charakterystyka




Co najmniej 5 Gb/s.


Co najmniej 5 Gb/s.


Co najmniej 100.000


Co najmniej 4 miliony.



Funkcjonalno zapory

Obsuga VPN, NAT, obsuga protokow IPv6.


Co najmniej 8 interfejsw 10/100/1000 Mb/s oraz co najmniej 4 interfejsw SFP+ 10 Gb/s.

Zasilanie



Redundancja


Obudowa



Identyfikator

C.LAN.FW.2

Nazwa


Klasy systemw

I, II, III, IV

Klasy bezpieczestwa

B1, B2, B3, BX

Element/cecha

Charakterystyka




Co najmniej 7 Gb/s.


Co najmniej 3.5 Gb/s.


130.000


Co najmniej 2.5 miliona.



Funkcjonalno zapory

Obsuga VPN, NAT.


Co najmniej 8 interfejsw 10/100/1000 Mb/s oraz co najmniej 4 interfejsy SFP+ 10 Gb/s.

Zasilanie



Redundancja


Obudowa


Identyfikator

S.IA.LAN.IPS

Nazwa

Standard urzdze IPS

Obszar


Strefa

LAN, WAN

Warstwa

Wszystkie

Rodzaj

Bezpieczestwa

Klasy systemw

I

II

III

IV

Klasy bezpieczestwa

B3

B2

B1

BX

Streszczenie

Dokument opisuje standard urzdze IPS.

Opis



Rozwizanie musi mie moliwo obsugi interfejsw o przepustowoci10 Gb/s.

Rozwizanie musi mie moliwo obsugi interfejsw o przepustowoci 10/100/1000 Mb/s.

Urzdzenie musi mie moliwo automatycznego przeczenia portw do trybu omijania IPS (bypass) w przypadku awarii urzdzenia.


Wirtualizacja

Brak.





Bezpieczestwo



Klasa B1:










Klasa B2:









Klasa B3:








Klasa BX:



kontroli dostpu,


filtrowania ruchu.

Zarzdzanie





System IPS

Identyfikator

C.LAN.IPS

Nazwa

System IPS

Klasy systemw

I, II, III, IV

Klasy bezpieczestwa

B1, B2, B3, BX

Element/cecha

Charakterystyka

1. Architektura sprztowa

1) Zestaw urzdze HA (para standalone+failover) typu appliance, do wykrywania i zapobiegania wamaniom oraz ochrony Dos/DDoS wraz z oprogramowaniem i systemem zarzdzania

2) Kady element zestawu gotowy do montau w standardowych szafach 19 (cali)(elementy montaowe i kable zasilajce musz by w zestawie)

3) Dwa redundantne zasilacze pracujce w trybie hot-swap dla kadego elementu skadowego zestawu,

4) Zasilacze przystosowane do zasilania prdem przemiennym o napiciu 220-240V/50Hz

5) Zestaw dziaajcy w warstwie drugiej OSI, z moliwoci pracy w nastpujcych topologiach:

a. Inline : fail open/close; w przypadku awarii moliwo ominicia (bypass) inspekcji IPS dla kadego segmentu chronionej sieci i/lub caego urzdzenia

b. Out of path: z uyciem portw SPAN lub urzdze typu TAP device; moliwa integracja ze switchami Ethernet do przekierowywania ruchu w momencie wystpienia ataku

c. Asymetrycznym (ruch powrotny lub inicjowany kierowany jest inn tras)

6) Dedykowany port zarzadzania typu Ethernet

2. Wymagane technologie zaimplementowane wzestawie:

1) IPS (Instrusion Prevention System) - oparty na sygnaturach

2) Bezsygnaturowa (signature-less) analiza malwareu

3) Analiza behawiorystyczna atakw

4) Korzystanie z zewntrznych systemw reputacyjnych .

3. 3. Wymagane typy ochrony przed zagroeniami:

1) Sieciowymi

a. DoS/DDoS zero-day flood,

b. TCP Floods,

c. UDP floods,

d. ICMP floods,

e. IGMP floods

2) Skanowaniem

a. TCP,

b. UDP,

c. PING,

3) SYN (dowolne typy atakw SYN flood)

4) Limitowaniem pocze w ramach protokow

a. TCP,

b. UDP,

c. ICMP

d. IP,

5) Mechanizm selektywnego blokowania atakw pochodzcych z jednego rda (adresu IP) zrozrnianiem sesji legalnego ruchu od ataku typu DoS/DDoS

6) Mechanizm selektywnego blokowania atakw pochodzcych z wielu rde (adresw IP) zrozrnianiem sesji legalnego ruchu od ataku typu DoS/DDoS

7) HTTP flood (np. HTTP GET flood) i pochodne

8) DNS flood i pochodne

9) Malware (worm, trojan, spyware)

10) Nieuprawniony dostp

a. Black list,

b. White list,

c. Access Control List,

d. IP Reputation,

11) Zaimplementowane mechanizmy zarzdzanie pasmem

12) Zaimplementowane mechanizmy ograniczania iloci pocze

13) Zaimplementowane mechanizmy ograniczania iloci pakietw w jednostce czasu

14) Wszystkie funkcje musz by dostpne w wersji IPv4 oraz IPv6

4. Wymagane parametry pojedynczego urzdzenia:

1) 5Gbps wymagana wydajno minimalna dla zastosowania IPS

2) 6000 000 wymagana minimalna liczba jednoczesnych sesji

3) 120 mikro sekund lub mniejsze opnienie wprowadzane przez system

4) 5Gbps - wymagana wydajno minimalna deszyfrowania sesji SSL (przy 10% zawartoci SSL w cakowitym strumieniu danych)

5) Wymagana ilo interfejsw sieciowych nie mniejsza ni:

a. 8 x 1GE Mbps

b. 2 x 10GE SFP+

c. 1 x 10/100/1000 dedykowany port zarzdzajcy Ethernet RJ45

d. 1 x RS-232 (konsola)

W tym dla 8 portw 1GE oraz 2 portw 10GE zapewniona moliwo pracy w topologii inline w trybie fail-open

6) Zarzdzanie i konfiguracja w oparciu o:

a. HTTPS,

b. HTTP,

c. SSH,

d. konsola szeregowa,

7) Raportowanie w oparciu o:

a. SNMP,

b. Log File,

c. Syslog,

d. E-mail,

e. Dedykowany system zarzdzania.

8) Synchronizacja urzdzenia z serwerami czasu NTP

9) Wsparcie dla protokow:

a. 802.1.q,

b. L2TP,

c. MPLS,

d. GRE,

10) Wsparcie dla Jumbo Frames

11) Pene wsparcie dla protokou IPv4 oraz IPv6

12) Wykrywanie anomalii w pakietach:

a. Invalid TCP Header Length

b. Invalid UDP Header Length

c. Invalid TCP Flags

d. Unsupported L4 Protocol

e. Invalid IPv4 Header or Total Length

f. Incorrect IPv4 Checksum

g. Unrecognized L2 Format

h. TTL Less Than or Equal to 1

i. Inconsistent IPv6 Headers

j. IPv6 Hop Limit Reached

k. Source or Destination Address same as Local Host

l. Source Address same as Dest. Address (i.e.:Land Attack)

m. L4 Source or Destination Port Zero

13) Typy akcji podjte w przypadku wykrycia ataku:

a. odrzucenie pakietu (drop),

b. tylko raportowanie,

c. reset poczenia (dla rda i celu oraz obu kierunkach),

d. zawieszenie poczenia (dowolna kombinacja parametrw: adres rdowy, port rdowy, adres docelowy, port docelowy) w kwarantannie,

e. Challenge-Response dla atakw uywajcych protokow HTTP (co najmniej 302 redirection)

4. System zarzdzania:

1) System zarzdzania w postaci zewntrznego urzdzenia lub zintegrowanego zurzdzeniem sucym wykrywania i zapobiegania wamaniom oraz ochrony Dos/DDoS:

a. Interfejs graficzny,

b. Monitorowanie pracy kadego z urzdze chronicych przed atakami,

c. Monitorowanie i prezentowanie w czasie rzeczywistym aktywnych atakw,

d. Monitorowanie i prezentowanie w czasie rzeczywistym statystyk aktywnego ruchu sieciowego,

e. Moliwoci wywietlenia szczegw ataku (charakterystyka, przykadowe pakiety rdowe, docelowe, wywoujce atak, sygnatura uyta do blokowania, prbka ruchu payload, rekomendacja dla metody przeciwdziaania)

f. Prezentowanie danych geolokalizacyjnych dotyczcych rde ataku na podstawie rdowego adresu IP,

g. Wywietlanie raportw (pdf, tekst, html) w oparciu o dane historyczne, automatyczne tworzenie i wysyanie raportw wczeniej zdefiniowanych

h. Moliwo zarzdzania politykami, ACL, uytkownikami

i. Eksport logw co najmniej do formatu tekstowego

2) Integracja z zewntrznymi systemami typu SIEM

3) Szczegy ataku musz zawiera nastpujce informacje (jeli s dostpne dla danego typu ataku):

a. Source L4 Port

b. Protocol

c. Packet Count

d. Flow Label (tylko IPv6)

e. ToS

f. Packet Size

g. ICMP Message Type tylko dla protokou ICMP.

h. L4 Checksum

i. TCP Sequence Number

j. IP ID Number

k. Fragmentation Offset

l. Fragmentation Flag

m. Physical Port

n. Bandwidth [Kbits]

o. VLAN

p. MPLS RD

q. Device IP

r. TTL

s. Source IP

t. Destination IP

u. Source Ports

v. Destination Ports

w. DNS Query

x. DNS ID

y. DNS Query Count

5. Wymagania dodatkowe

1) Poprawna praca urzdze w temperaturze od 10 do 35 C;

2) Poprawna praca przy wilgotnoci powietrza od 5% do 50% zakadajc brak wystpowania zjawiska kondensacji pary wodnej.

6. Wsparcie techniczne

1) W okresie 36 miesicy obejmuje obsug zgosze dotyczcych niepoprawnego dziaania dostarczonego zestawu urzdze, aktualizacje zarwno oprogramowania wewntrznego jak i funkcji bezpieczestwa, dostp do bazy wiedzy producenta dostarczanego sprztu. Okres ten rozpoczyna si od dnia odbioru kocowego przez Zamawiajcego. Sygnatury musz by aktualizowane nie rzadziej ni raz na tydzie.

2) Poziom serwisu 24x7x365, naprawy awarii w godz. od 9.00 do 17:00

3) Czas reakcji na zgoszenie niepoprawnego dziaania dostarczonego zestawu urzdze wynosi 1 godzin.

4) Czas rozwizania problemu - w zalenoci od stopnia wanoci zgoszenia 8, 24, 72 godziny

5) Wykonawca bdzie peni tzw. pierwsz lini wsparcia dla ww. zgosze.

7. Szkolenie

1) Co najmniej 4 dni

2) Co najmniej dla 4 osb

3) W zakresieobsugi dostarczonego urzdzenia i oprogramowania:

a. zagadnienia instalacji urzdzenia (w dostpnych trybach pracy),

b. konfiguracji urzdze ioprogramowania,

c. obsugi operatorskiej.

4) Szkolenie musi odbywa si na terenie Polski.

5) Szkolenie musi zapewnia dostp do urzdzenia ioprogramowania bdcego przedmiotem zamwienia, oraz do materiaw technicznych udostpnianych przez producenta urzdzenia

Identyfikator

S.IA.LAN.RTR

Nazwa

Standard ruterw

Obszar


Strefa

LAN, WAN

Warstwa

Wszystkie

Rodzaj

Sprztowe/techniczne

Klasy systemw

I

II

III

IV

Klasy bezpieczestwa

B3

B2

B1

BX

Streszczenie

Dokument opisuje standard urzdze trasowania ruchu w sieciach LAN i WAN.

Opis




Urzdzenie musi posiada budow moduow.

Rozwizanie musi posiada przepustowo co najmniej 4 mln pakietw na sekund.

Rozwizanie musi by wyposaone w tablic rutingu pozwalajc pomieci co najmniej milion wpisw.

Rozwizanie musi umoliwia rutowanie statyczne IP.

Rozwizanie musi umoliwia rutowanie dynamiczne z uyciem protokow RIP v1 i v2, OSPF v2, BGP oraz IS-IS.

Rozwizanie musi obsugiwa rekursywne rozwizywanie tras (funkcja route recursion).

Rozwizanie musi obsugiwa dynamiczny i statyczny protok ARP oraz proxy ARP.

Rozwizanie musi wspiera protok IPv6, co najmniej w zakresie:

obsugi IP v6 ND, IPv6 PMTU,

tunelowania IPv6 w IPv4,

rutowania statycznego,

rutowania dynamicznego z uyciem RIPng, OSPFv3, IS-ISv6, BGP4+.

Wirtualizacja

Brak wymaga.



Rozwizanie musi posiada redundancj na poziomie jednostki centralnej obsugujcej ruch sieciowy.

Rozwizanie musi umoliwia czenie urzdze w klastry wysokiej dostpnoci.



Bezpieczestwo



Klasa B1:










Klasa B2:









Klasa B3:








Klasa BX:



kontroli dostpu,


filtrowania ruchu.

Zarzdzanie





Rutery

Identyfikator

C.LAN.RT

Nazwa

Rutery

Klasy systemw

I, II, III, IV

Klasy bezpieczestwa

B1, B2, B3, BX

Element/cecha

Charakterystyka

Wbudowane interfejsy

Co najmniej 3 interfejsy Ethernet 1 Gb/s

Interfejsy rozbudowa

Min. 3 (w tym co najmniej jeden interfejs Ethernet 10 Gb/s)

Port konsoli

1

Port AUX

1

Port USB

Min. 1

Wydajno

Min. 4 Mpps.

Protokoy L2

ARP: Dynamic/static ARP, proxy ARPEthernet, sub-interface VLANPPPoE serverPPP,FR, FRF12 fragment, FRHDLC

Usugi IP

TCP, UDP, IP option, IP unnumbered.Policy-based routing.

Routowanie IP

Rutowanie statyczne IP.Rutowanie dynamiczne za pomoc protokow: RIPv1/v2, OSPFv2, BGP, IS-IS.

IPv4 multicast

Obsuga protokow multikastowych: IGMP (Internet Group Management Protocol) v1/v2/v3; PIM (Protocol Independent Multicast) DM/SM; MSDP (Multicast Source Discovery Protocol); MBGP: Multicast static routing;

Protokoy sieciowe

Obsuga protokow: DHCP Server/Relay/Client; DNS Client;NTP Server/Client;Telnet Server/Client;TFTP Client;FTP Client;UDP Helper;

Wsparcie IPv6

Obsuga: IPv6 ND, IPv6 PMTU, dual-stack forwarding, IPv6 ACL; tunel IPv6: IPv6 tunelowane w IPv4; automatyczne tunelowanie IPv6 w IPv4; tunel Intra-Site Automatic Tunnel Addressing Protocol.Rutowanie statyczne.Rutowanie dynamiczne za pomoc protokow: RIPng, OSPFv3, IS-ISv6, BGP dla IPv6.Obsugi transmisji multikastowej IPv6: MLDv1/v2,PIM-DM,PIM-SM,PIM-SSM

QoS

Klasyfikacja wanoci ruchu na bazie: numeru portu adresu IP, technik IEEE 802.1p CoS, DSCP lub numeru portu TCP lub UDP i typu protokou; znacznikowanie wanoci; kolejkowanie zgodnie z algorytmami: FIFO, PQ, CQ, WFQ, CBWFQ. Unikanie zakleszcze zgodnie z algorytmem: Tail-Drop, WRED. Obsuga MPLS QoS, IPv6 QoS.

Bezpieczestwo

Obsuga list kontroli dostpu,Obsuga protokow: AAA, RADIUS, SSH, RSA, IPSec, IKE,Funkcje: Packet filter firewall, stateful firewall. Regulacja pasma. Obsuga mechanizmu URPF, Virtual fragment reassembly.

Hierarchizacja rl zarzdzania.

Usugi

Obsuga funkcji: NAT, logowanie sesji NAT;Tunelowanie GRE i L2TP.

MPLS

Obsuga protokow i funkcji L3 VPN: MPLS VPN, CE dual homing tunelowanie GRE.Obsluga protokow i funkcji L2 VPN: MPLS TE, RSVP TE, Multicast VPN.

Redundancja

Obsuga protokow: VRRP, MPLS TE FRR, IGP fast routing convergence, BFD z obsuga rutowania statycznego i dynamicznego za pomoc protokow RIP/OSPF/ISIS/ BGP.

Obsuga wymiany kart z interfejsami sieciowymi bez koniecznoci wyczania caego urzdzenia.

Zarzdzanie

Konfiguracja za pomoc zestawu polece CLI.Konfiguracja poprzez port konsoli zarzdzania.Konfiguracja zdalna za pomoc Telnet.Zdalna konfiguracja poprzez portAUX.Obsluga protokow i funkcji SNMP (v1, v2c, v3).Moliwo skadowania logw systemowych.Alarmy hierarchiczne.Obsuga polece typu Ping i Trace.Wsparcie dla protokow i funkcji: PBR i rutowania statycznego.

Obudowa


Zasilanie


Minimum dwa zasilacze zapewniajce redundancj zasilania, typu hot-plug.

Identyfikator

S.IA.LAN.LB

Nazwa

Standard urzdze rwnowacych ruch sieciowy

Obszar


Strefa

LAN, WAN

Warstwa

Wszystkie

Rodzaj

Sprztowe/techniczne

Klasy systemw

I

II

III

IV

Klasy bezpieczestwa

B3

B2

B1

BX

Streszczenie

Dokument opisuje standard urzdze rwnowacych ruch sieciowy.

Opis



Szczegy dotyczce wydajnoci oraz wyposaenia urzdze przedstawiono w rozdziale 5.1.

W wle dystrybucyjnym naley stosowa urzdzenia o parametrach sprecyzowanych dla typu 1;

W bramce internetowej i intranetowej naley stosowa urzdzenia o parametrach:

sprecyzowanych dla typu 2, w przypadku globalnych urzdze rwnowaenia ruchu;

sprecyzowanych dla typu 3, w przypadku pozostaych urzdze rwnowaenia ruchu.

Wirtualizacja

Brak wymaga.





Bezpieczestwo



Klasa B1:










Klasa B2:









Klasa B3:








Klasa BX:



kontroli dostpu,


filtrowania ruchu.

Zarzdzanie





Urzdzenia rwnowace ruch sieciowyUrzdzenia rwnowace ruch sieciowy typ 1

Identyfikator

C.LAN.LB.1

Nazwa

Urzdzenia rwnowace ruch sieciowy typ 1

Klasy systemw

I, II, III, IV

Klasy bezpieczestwa

B1, B2, B3, BX

Element/cecha

Charakterystyka

Wydajno


Sprztowe wsparcie dla sesji SSL

Rozbudowywalne do co najmniej 15000 tps.

Architektura

Dopuszcza si realizacj funkcji urzdzenia rwnowacego ruch sieciowy jako kart usugow do przecznika dystrybucyjnego.

Liczba dostpnych interfejsw Ethernet

Co najmniej 2 interfejsy modularne 10 Gb/s oraz co najmniej 8 interfejsw 1 Gb/s

Monitorowanie serwerw

Moliwo monitorowania dostpnoci serwerw co najmniej z uyciem: ICMP, TCP, UDP, TCP ECHO, HTTP, HTTPS, FTP, SMTP, POP3, IMAP, SNMP, RADIUS.

NAT rdowy dla adresu VIP farmy serwerw

Tak

Zarzdzanie

Z uyciem linii komend oraz aplikacji graficznej lub interfejsu webowego.

Wielopoziomowe zarzdzanie dostpem (poziomem uprzywilejowania) dla administratorw, oparte na rolach (Role Based Administration).

Redundancja

Tak, w trybie aktywny-aktywny lub aktywny-pasywny

Zasilanie*

Napiciem zmiennym: 230 V, 50 Hz.

Minimum dwa zasilacze zapewniajce redundancj zasilania N+N, typu hot-plug. Poowa spord zainstalowanych zasilaczy musi zapewnia moliwo zasilenia w peni wyposaonego urzdzenia, przy zachowaniu jego penej mocy przetwarzania.

Obudowa*


* Nie dotyczy komponentu dostarczanego jako modu innego urzdzenia.


Identyfikator

C.LAN.LB.2

Nazwa


Klasy systemw

I, II, III, IV

Klasy bezpieczestwa

B1, B2, B3, BX

Element/cecha

Charakterystyka

Wydajno

Co najmniej 2 Gb/s.

Liczba rwnolegych sesji

Co najmniej 12000.

Architektura



Co najmniej 2 interfejsy 10/100/1000 Mb/s.


Moliwo monitorowania dostpnoci serwerw co najmniej z uyciem: ICMP, TCP, UDP, TCP ECHO, HTTP, HTTPS, FTP, SMTP, POP3, IMAP, SNMP, RADIUS.


Tak

Zarzdzanie



Redundancja


Zasilanie

Napiciem zmiennym 230 V, 50 Hz.

Obudowa



Identyfikator

C.LAN.LB.3

Nazwa


Klasy systemw

I, II, III, IV

Klasy bezpieczestwa

B1, B2, B3, BX

Element/cecha

Charakterystyka

Wydajno

Co najmniej 6 Gb/s.

Sprztowe wsparcie dla sesji SSL

Rozbudowywalne do co najmniej 7500 tps.

Architektura



Co najmniej 6 interfejsw 10/100/1000 Mb/s


Moliwo monitorowania dostponoci serwerw co najmniej z uyciem: ICMP, TCP, UDP, TCP ECHO, HTTP, HTTPS, FTP, SMTP, POP3, IMAP, SNMP, RADIUS.


Tak

Zarzdzanie



Redundancja


Zasilanie

Napiciem zmiennym 230 V, 50 Hz.

Minimum dwa zasilacze zapewniajce redundancj zasilania, typu hot-plug.

Obudowa


Bloki sieciowe

Identyfikator

S.AR.LAN

Nazwa

Standard architektoniczny infrastruktury dla sieci LAN i WAN.

Obszar


Strefa

LAN, WAN

Warstwa

Wszystkie

Rodzaj

Architektoniczny

Streszczenie

Dokument opisuje standard architektury w zakresie budowy infrastruktury sprztowej dla sieci LAN oraz WAN, obsugujcej ruch we wszystkich warstwach komponentw.

Opis

Poniej przedstawiono opis standardu w odniesieniu do poszczeglnych wzw i blokw sieci.

Na trasach pomidzy lokalizacj gwn oraz lokalizacjami zapasowymi musz istnie trakty DWDM. W ten sposb wszystkie odrbne sieci LAN musz by poczone w jedn sie rozleg.

W nowym orodku przetwarzania sie LAN musi skada si z nastpujcych wzw:

Wza bramki internetowej, WAN i extranetowej

Wza rdzeniowego

Wze Dostpow (ang. access) architektura Top of the Rack (ToR).

Kady wze musi zawiera odpowiednie bloki funkcjonalne, np. blok przecznikw dostpowych, blok zapr sieciowych, itp.

Kady blok funkcjonalny musi skada si z dwch identycznych urzdze zapewniajcych redundancj pocze.

Wze rdzeniowy

Wze rdzeniowy wystpuje w Orodku Przetwarzania Danych Warszawa 2, penic funkcj centralnego punktu sieci LAN i zapewniajc szybkie przeczanie pomidzy podsieciami wza bramki internetowej i WAN oraz poczeniami midzy szafami RCK (ToR). Ponadto:

filtrowanie i inspekcja ruchu sieciowego poprzez blok zapr sieciowych i urzdze IPS;

rozdzielanie ruchu sieciowego do serwerw bazodanowych i aplikacyjnych poprzez blok urzdze rwnowacych obcienie (ang. loadbalancer).



Wzy rdzeniowe wszystkich orodkw przetwarzania musz by poczone poprzez trakty DWDM.

Wze rdzeniowy bdzie zawiera blok przecznikw rdzeniowych skadajcy si z dwch przecznikw oraz dwa bloki urzdze DWDM.

Infrastruktura bloku przecznikw rdzeniowych musi by zbudowana z przecznik61w moduowych.

Cakowita przepustowo wewntrzna kadego komponentu infrastruktury musi pozwala na rwnoczesn obsug penej przepustowoci wszystkich jego portw.

Urzdzenia infrastruktury musz by wyposaone w interfejsy o przepustowoci 10 Gb/s lub 40 Gb/s (dla load balancerw, firewalli oraz urzdze IPS) i 40Gb/s do pocze typu interconnect..

Urzdzenia infrastruktury musz mie moliwo obsugi interfejsw wiatowodowych.

Urzdzenia infrastruktury musz obsugiwa trasowanie ruchu pomidzy lokalnymi podsieciami IP.

Kady blok urzdze DWDM bdzie zbudowany z dwch urzdze DWDM.

Wirtualizacja


Infrastruktura musi umoliwia tworzenie przecznikw wirtualnych.

Infrastruktura musi umoliwia obsug wirtualnych sieci lokalnych (VLAN).

Infrastruktura musi umoliwia znakowanie ramek z wykorzystaniem standardu IEEE 802.1Q.

Infrastruktura musi umoliwia agregowanie ruchu w portach wirtualnych (ang. trunking).



Infrastruktura pojedynczego bloku przecznikw rdzeniowych musi by zbudowana z dwch przecznikw moduowych.

Infrastruktura dostpowa w ramach szafy musi by redundantna, przy czym dopuszcza si stosowanie przecznikw redundantnych oraz kart rozszerze przecznikw rdzeniowych (np. Fabric Extender Technology FEX).

Ukad urzdze DWDM czcych wzy rdzeniowe wszystkich orodkw przetwarzania musi by redundantny.

Bezpieczestwo

Wymagania dotyczce bezpieczestwa urzdze aktywnych zawarto w standardach opisujcych waciwe komponenty.



Kady blok zapr sieciowych oraz inspekcji ruchu bdzie skada si z redundantnego ukadu dwch urzdze.

Kady blok urzdze rozdzielajcych ruch bdzie zbudowany z redundantnego ukadu dwch urzdze

Klasa B3, B2, B1:

Architektura rdzenia sieci LAN kadego orodka przetwarzania musi spenia wymagania dla klasy B1, zapewniajc tym samym moliwo pracy systemom w niszych klasach.

Klasa BX:

Wszelkie systemy klasy BX ulokowane w orodku przetwarzania musz by odseparowane fizycznie od innych systemw resortu finansw.

Jeli systemy klasy BX korzystaj z innych zasobw infrastruktury resortu finansw, to musz by stosowane odpowiednie mechanizmy:

kontroli dostpu,


filtrowania ruchu.

Zarzdzanie

Wymagania w zakresie zarzdzania urzdzeniami aktywnymi zawarto w standardach opisujcych waciwe komponenty.

Wzy dostpowe

Wzy dostpowe bd wystpowa w kadym nowym Orodku Przetwarzania i bd zlokalizowane w kadej szafie RCK oraz bd podczone redundantnie do wza rdzeniowego.

Zadaniem wza dostpowego jest:

podczenie lokalnej grupy zasobw do Wza rdzeniowego

podczenie serwerw bazodanowych;;

podczenie serwerw aplikacyjnych;

podczenie blokw przecznikw dostpowych w kasetach (o ile

Załącznik A – Bloki architektoniczne środowiska...

Documents

Transcript of Załącznik A – Bloki architektoniczne środowiska...