Безжична мрежа - Wi-Fi Access System - 31 броя
31 (30 + един резервен) Dell SonicPoint N2 with РоЕ Injector (фиг.30) Резервирано централизирано управление инсталирано върху Dell
SonicWall NSA4600 appliance с лиценз за 64 устройства Сигурност:
Security: WEP, WPA, WPA2 Ciphers:TKIP, AES, 64/128/152-bit WEP
Wireless Authentication: Open (no password), PSK, SSL VPN Enforcement
Wireless IDP (Intrusion Detection and Prevention) MAC Filtering Wireless Guest Services Lightweight Hotspot Messaging.
Функционалност:
Всички настройки и политики могат да се задават централизирано през централизираната система за управление.
Потребител свързан към Wi-Fi остава свързан при преминаването от едно АР към друго.
Устройства поддържат режим на до 8 Virtual Access Points (VAP). Това позволява всяко едно от устройствата да бъде конфигурирано да излъчва 6 SSID, всеки със своите права на достъп:
Фиг.30 - Dell SonicPoint
Изграждане на комуникациите
На базата на така изградената СКС и избраното активно мрежово оборудване са изградени следните комуникации :
Всички връзки в централната точка между сървъри, дисков масив, комутатори, защитни стени са на 10 Gbps. Тези връзки са реализирани по начин, че спирането на комутатор или проблем в кабел не трябва да води до прекъсване на връзката на цитираните по-горе устройства. Тези комутатори са обединени във високоскоростен стек. Всички портове за управление на цитираните по-горе устройства са свързани към отделен management комутатор с характеристиките на етажните комутатори(фиг.31). Всички комутатори са Layer 3 с дублирани захранвания
Фиг.31 Опорни комутатори и мениджмънт комутатор
На всеки етаж (без етаж -1) са разположени по два етажни разпределителя свързани към централната точка и по между си по оптични трасета с multimode кабели OM3(фиг.32). На всеки един етаж по наличните хоризонтални оптични трасета e изграден широк стек на база 2 x 10 Gbps (40 Gbps FullDuplex). Връзките на етажния стек към централната точка стават през LAG изграден от 2 x 10 Gbps оптични трасета от всеки един етажен разпределител (80 Gbps Full Duplex на етаж). Всички връзки са активни и балансирани. Използването на Spanning Tree или други active/passive протоколи не се допуска, освен за защита от грешки. Срив в една част от мрежата или единично трасе не трябва да води до прекъсване в друга нейна част;
Фиг.32 – стек етажни разпределители
От централната точка по положените оптични кабели се осигурена
2 х 2 х 10 Gbps Ethernet връзка до всеки един от етажните стекове от комутатори. Две от линиите водят към едното помещение на етажа, а другите две към другото помещение. Връзката работи в режим на разпределение на натоварването и взаимна защита на четирите линии от прекъсване;
Етажните стекове обединяват комутаторите от различните помещения на етажа, като осигурят при прекъсване на кабел от централната точка до определено помещение, комутаторите в това помещение да запазят връзката с централната точка през хоризонталните стек връзки. Ако се конфигурира повече от един стек на етаж, то за всички трябва да се спазва условието да са свързани с централната точка през две помещения, всяко с 2 х 10 Gbps (общо 4 x 10 Gbps). Връзката в стека трябва да е 80 Gbps full-duplex.
Етажните комутатори са еднакви, 48 порта 1 Gbps усукана двойка и 4 порта 10 Gbps SFP+. Разпределението на етажните комутатори е:
Помещение
|
Шкаф
|
Портове Cat.6A
|
Комутатори
|
Етаж 5
|
R52
|
46
|
1
|
Етаж 5
|
R51
|
52
|
2
|
Етаж 4
|
R42
|
91
|
2
|
Етаж 4
|
R41
|
117
|
3
|
Етаж 3
|
R32
|
25
|
1
|
Етаж 3
|
R31
|
38
|
1
|
Етаж 2
|
R22
|
68
|
2
|
Етаж 2
|
R21
|
63
|
2
|
Етаж 1
|
R1
|
103
|
3
|
Етаж -1
|
R0
|
31
|
1
|
Етаж -1
|
R16
|
156
|
3
|
|
|
Общо:
|
21
|
В мрежата са дефинирани VLAN-и за различните функционални звена. Маршрутизацията ще се осъществява на централно ниво съгласно най- добрите практики съгласувани на етапа на изпълнение. По време на инсталирането на инфраструктурата се конфигурира цялото оборудване по начин осигуряващ различните функционални звена, потребители и трафик (за управление и наблюдение, между устройствата на инфраструктурата, на вътрешните потребители, на регистрираните потребители, на гостите и други дефинирани на етапа на изпълнение и др.) да работят в собствен VLAN. Layer 3 комутацията между отделните VLAN става в централната точка. Собствени VLAN са предвидени и за споделените устройства – принтери, WiFi access point, публични монитори и др. Всички VLAN портове, към които е свързано крайно устройство работи в Isolated mode;
В отговор на инициативата свободен достъп до WiFi, в публичните места на сградата е осигурен 802.11 безжичен достъп с централизирана точка на управление, позволяваща налагане на политики за достъп от едно място и филтриране на трафика при необходимост. Тези WiFi точки осигуряват достъп само до Интернет. При необходимост на устройство в WiFi мрежата за достъп до вътрешните ресурси на ще става само през VPN.
Цялата мрежа предоставя защитен достъп до Интернет през дублирана двойка от Next-generation firewall (NGFW). Защитната стена осигурява защитен достъп до другите сгради на организацията и до два Internet провайдера. При нормална работа на системата публичния Internet трафик се насочва към единия провайдер, а останалият към другия. При проблем с някоя от връзките трафикът изцяло се пренасочва по работещата връзка. Въпреки тази схема защитната стена разполага с възможност за пълен load-balancing между двете връзки. Производителността на защитната стена е достатъчна за пълна инспекция на всички пакети, включително deep packet inspection.
Производителността на защитната стена трябва да е достатъчна за да обслужва без забавяне на целия Internet трафик генериран от служителите в сградата, зоната за свободен достъп и връзките с другите сгради. Връзката ѝ към опорната мрежа става по резервирани 10 Gbps връзки.
Сподели с приятели: |