Техническое задание На разработку рабочего проекта для внутренней и внешней лвс зданий ОАО концерна «Созвездие» Всего страниц: 22

		«УТВЕРЖДАЮ»
		Заместитель генерального директора ОАО Концерн «Созвездие» _________________Н.М. Радько «____»_____________2014г.

Приложение 3

Техническое задание

На разработку рабочего проекта для внутренней и внешней ЛВС зданий ОАО концерна «Созвездие»

Всего страниц: 22

г.

Оглавление


Общие сведения

• 
  Наименование работы — разработка проектной документации для подсистем внутренней и внешней ЛВС зданий.
  
• 
  Заказчик: ОАО Концерн «Созвездие», юридический адрес: Российская Федерация г. Воронеж ул. Плехановская, д. 14.
  

Назначение и содержание работы

1. 
   Назначение работы  — выполнить рабочее проектирование и разработку проектно-сметной документации для подсистем внутренней и внешней локальной вычислительной системы (ЛВС) зданий заказчика.
   
2. 
   В рамках Договора выполняются следующие работы:
   

• 
  составление запросов для получения исходных данных;
  
• 
  разработка комплекта документации в соответствии с требованиями к документированию, изложенными в настоящем ТЗ;
  
• 
  определение порядка и сроков построения и реализации внутренней и внешней ЛВС.
  

Характеристика объекта

Головное предприятие расположено по адресу: Российская Федерация, г. Воронеж, ул. Плехановская, 14. Производственная площадка №1 Головного предприятия состоит из следующих зданий:

• 
  Главный корпус: П-образное здание с переменной этажностью 4-5 этажей (сопряжение фасада здания с ул. Плехановская);
  
• 
  ЛПК 1: 9-ти этажное здание типа «башня» (сопряжение с ул. Пушкинская);
  
• 
  ЛПК 2: 10-ти этажное здание типа «башня» (сопряжение с ул. Фр. Энгельса);
  
• 
  ПК5 и ПК6 (объединены в одно здание): 6-ти этажное здание (внутри двора);
  
• 
  ПК 7: 3-х этажное здание (внутри двора);
  
• 
  Энергоблок: 2-х этажное здание (внутри двора);
  
• 
  5-ти этажное здание «Аксиомы» (сопряжение с ул. Среднемосковская). Предприятию принадлежит только пятый этаж;
  
• 
  4-х этажное здание (сопряжение с ул. Фр. Энгельса). Предприятию принадлежит только четвертый этаж.
  

Здания Главного корпуса, ЛПК1, ЛПК2, ПК5, ПК6 и ПК7 соединены переходами. Общая площадь рабочих помещений составляет ~ 40 000 м².

Производственная площадка №4 Головного предприятия расположено по адресу: Российская Федерация, г. Воронеж, ул.Антокольского, 10а и состоит из следующих зданий:

• 
  ИЛК: 5-ти этажное здание. Предприятию принадлежит 4 этажа общей площадью ~4 000 м²;
  
• 
  СТО: 3-х этажное здание общей площадью ~13 000 м².
  

Ориентировочное количество портов ЛВС, системы связи, видеонаблюдения, систем контроля доступа, включая необходимый резерв – 10 000 (уточнить на этапе разработки рабочего проекта).

В составе организационной структуры предприятия существуют сегменты открытой и закрытой сети (СКС, ЛВС, ТФ) для безопасного использования корпоративной коммерческой информации.

Существующая сетевая инфраструктура объекта представляет собой набор разрозненных сетевых сегментов без общей политики администрирования. Сеть физически и логически разделена на 2 сегмента - открытый, построенный на базе OS Linux и служащий только для доступа в Интернет и закрытый сегмент - представляющий собой внутреннюю сеть предприятия, преимущественно на базе OS Windows. Существующие сети построены на базе не управляемого коммутационного оборудования фирм D-Link, ACorp, Compex. Выход в Интернет осуществляется через 2-х провайдеров. Внутренняя сеть логически и в некоторых случаях физически разделена на сегменты, соответствующие различным внутренним структурным подразделениям и НТЦ.

Требования к системам внутренней и внешней ЛВС зданий

1. 
   Общие требования
   
2. 
   В рамках настоящего проекта необходимо выполнить работы по рабочему проектированию внутренней и внешней подсистем ЛВС зданий заказчика. Архитектура предлагаемого решения должна учитывать следующие принципы построения сетей передачи данных:
   

• 
  безопасность – предусматривать полную физическую безопасность персонала (во время эксплуатации и технического обслуживания компонентов подсистем) и информационную (сетевую) безопасность инфраструктуры;
  
• 
  универсальность – унифицированное окружение, тип и производитель оборудования, применяемые технологии, архитектура предоставляемых сервисов;
  
• 
  гибкость и масштабируемость – инфраструктура должна обеспечивать простоту модернизации и изменения структуры подсистем путем изменения общего количества узлов, телекоммуникационного оборудования, количества пользователей и типа сервисов;
  
• 
  надежность – предлагаемые решения должны обеспечивать необходимый уровень резервирования и отказоустойчивости с применением динамических средств автоматизации (динамические протоколы маршрутизации и коммутации, автоматизированные механизмы контроля и управления инфраструктурой и т.д.);
  
• 
  защиту инвестиций – решения должны соответствовать современному технологическому развитию и обеспечивать необходимый уровень функциональности в рамках срока эксплуатации;
  
• 
  техническая гарантия – производитель оборудования должен предусматривать гарантированную техническую поддержку на предлагаемое оборудование;
  
• 
  эргономичность – решения должны обеспечивать простоту эксплуатации и дальнейшего сопровождения проектируемых подсистем;
  
• 
  технологическая эстетичность – решения должны отвечать общепринятым практикам и методикам построения современных сетей передачи данных.
  

1. 
   Требования к сетевой инфраструктуре
   

Сетевая инфраструктура предназначена для организации среды передачи информации и объединения зданий головного предприятия ОАО Концерн «Созвездие» (площадка №1, площадка №4) в единую информационную сеть. Кроме того, для обеспечения связи с филиалами должен быть организован модуль внешних подключений (Edge).

ЛВС должна состоять из двух физически независимых и раздельных сегментов: открытого (внешняя ЛВС) и закрытого (внутренняя ЛВС). Какое либо взаимодействие на любом из уровней между этими сегментами не допускается.

Оба сегмента должны быть построены в соответствии с иерархической моделью сети, включать в себя уровни ядра, распределения и доступа и обеспечивать выполнение следующих требований:

• 
  возможность масштабирования сети без замены оборудования и изменения архитектуры решения и иметь запас по емкости не менее 30%;
  
• 
  обеспечение сервисами в течение рабочего времени, принятого в организации;
  
• 
  функционирование 24 часа в день, 7 дней в неделю 365 дней в году, с максимальным временем восстановления – 30 минут.
  
• 
  гибкое распределение пользователей по сегментам, не привязанное к физическому местоположению;
  
• 
  все компоненты инфраструктуры должны быть зарезервированы, включая телекоммуникационное оборудование, магистральные и пограничные каналы связи;
  
• 
  обеспечивать сервисы авторизации, аутентификации и учета работы пользователей;
  
• 
  обеспечивать интеграцию с системами информационной безопасности;
  
• 
  обеспечивать подключение как физических (c 1G и 10G интерфейсами), так и виртуальных серверов;
  
• 
  обеспечивать подключение физических серверов 2-мя линками с режимом работы сетевых интерфейсов, как Active/Active, так и Active/Standby.
  

Инфраструктура открытого сегмента должна соответствовать следующим требованиям:

• 
  обеспечивать безопасный доступ пользователей к сервисам сети Интернет;
  
• 
  обеспечивать одновременную бесперебойную работу 500 (пятисот) пользователей.
  

Инфраструктура закрытого сегмента должна обеспечивать выполнение следующих требований:

• 
  доступ компьютеров рабочих мест к информационным ресурсам Концерна «Созвездие»;
  
• 
  логическое сегментирование сети между пользователями различных подразделений;
  
• 
  обеспечение контроля доступа между пользователями различных подразделений;
  
• 
  невозможность, по умолчанию, любого взаимодействия между пользователями различных подразделений;
  
• 
  инфраструктура должна обеспечивать возможность организации временных общих ресурсов, для совместной работы пользователей разных подразделений;
  
• 
  организацию зоны ДМЗ с сервисами общими для всех подразделений Концерна «Созвездие», включая филиальную сеть;
  
• 
  консолидацию всех серверных ресурсов в рамках инфраструктуры центра обработки данных (ЦОД);
  
• 
  одновременную бесперебойную работу 5000 пользователей.
  

2. 
   Требования к активному сетевому оборудованию ЛВС
   

Для построения ЛВС должны использоваться многоуровневые коммутаторы с неблокируемой архитектурой. На всех коммутаторах должен поддерживаться функционал обеспечения качества обслуживания (QoS) для приоритетной передачи трафика приложений чувствительных к задержкам. Устройства должны поддерживать управление через консольный порт и удаленно по протоколам SSH, HTTP, SNMP.
Коммутаторы уровня ядра и распределения закрытого сегмента площадки №1 должны поддерживать следующие технологии и протоколы:

• 
  скорости передачи 1/10/40Gbps;
  
• 
  аппаратную маршрутизацию трафика между VLAN;
  
• 
  протоколы динамической маршрутизации OSPF и BGP;
  
• 
  механизмы аутентификации для протоколов динамической маршрутизации;
  
• 
  технологию VRF-lite;
  
• 
  протокол резервирования шлюза – HSRP/VRRP;
  
• 
  фильтрация трафика на 2-м и 3-м уровне модели OSI;
  
• 
  технологию MLAG и возможность объединения в единое логическое устройство;
  
• 
  протоколы предотвращения петель трафика на 2-м уровне модели OSI
  
• 
  механизм ECMP на 3-м уровне модели OSI;
  
• 
  объединение коммутаторов в одно логическое устройство;
  
• 
  аппаратную обработку GRE-туннелей;
  
• 
  передачу информации о трафике по протоколу NetFlow;
  
• 
  возможность обновления программного обеспечения без перерыва в коммутации трафика.
  

Коммутаторы уровня доступа закрытого сегмента площадки №1 должны поддерживать следующие технологии и протоколы:

• 
  возможность объединения в стек до 8 коммутаторов, для удовлетворения потребностей в портовой емкости, которые могут возникнуть в будущем и управление стеком, как единым устройством. Модуль стекирования должен поддерживать режим горячей замены;
  
• 
  функционал безопасности на 2-м уровне модели OSI – IEEE 802.1x, Private VLAN, DAI, DHCP snooping, Port security (или аналогичный);
  
• 
  механизмы предотвращения или ограничения широковещательных штормов;
  
• 
  должна поддерживаться скорость передачи 10Gbps на восходящих портах;
  
• 
  должна поддерживаться скорость передачи 1Gbps на линейных портах;
  
• 
  протоколы предотвращения петель трафика на 2-м уровне модели OSI
  
• 
  коммутатор должен поддерживать сбор статистики о входящем трафике по протоколу Netflow. Коммутатор должен поддерживать экспорт данных по протоколу Netflow;
  
• 
  коммутаторы должны поддерживать энергоэффективный режим работы;
  
• 
  коммутаторы должны поддерживать протокол, позволяющий сетевому оборудованию оповещать локальную сеть о своем существовании и характеристиках, а также собирать оповещения, поступающие от соседнего оборудования, согласно стандарту IEEE 802.1ab;
  
• 
  коммутаторы должны иметь поддержку стандарта PoE на фиксированных портах.
  

Коммутаторы уровня ядра и распределения открытого сегмента площадки №1 должны поддерживать следующие технологии и протоколы:

• 
  аппаратную маршрутизацию трафика между VLAN;
  
• 
  протоколы динамической маршрутизации OSPF и BGP;
  
• 
  механизмы аутентификации для протоколов динамической маршрутизации;
  
• 
  технологию VRF-lite;
  
• 
  протокол резервирования шлюза – HSRP/VRRP;
  
• 
  фильтрация трафика на 2-м и 3-м уровне модели OSI;
  
• 
  технологию MLAG и возможность объединения в единое логическое устройство;
  
• 
  протоколы предотвращения петель трафика на 2-м уровне модели OSI
  
• 
  механизм ECMP на 3-м уровне модели OSI;
  
• 
  коммутатор должен поддерживать установку трансиверов SFP/SFP+ на всех портах, включая модуль расширения. Типы поддерживаемых трансиверов: оптические трансиверы 10 Gigabit Ethernet 10GBASE-SR, 10GBASE-LRM, 10GBASE-LR, 10GBASE-ER, Twinax кабели длиной 1, 3 и 5 метров, работающих на скорости 10 Гбит/с, оптические трансиверы Gigabit Ethernet 1000BASE-SX, 1000BASE-LX/LH, 1000BASE-ZX, медные трансиверы Gigabit Ethernet 1000BASE-T, конвертеры CWDM Gigabit Ethernet и конвертеры 1000BASE-DWDM. Оптические трансиверы 10GBASE-ZR должны поддерживаться модулем расширения при любом типе воздушного потока охлаждения. Все встроенные порты коммутатора должны поддерживать оптические трансиверы 10GBASE-ZR;
  
• 
  коммутатор должен иметь два блока питания переменного тока с направлением охлаждения «спереди-назад»;
  
• 
  коммутатор должен поддерживать сбор статистики о входящем трафике по протоколу Netflow. Коммутатор должен поддерживать экспорт данных по протоколу Netflow.
  
• 
  коммутатор должен иметь возможность настройки и использования виртуальных таблиц маршрутизации и коммутации.
  

Коммутаторы уровня доступа открытого сегмента площадки №1 должны поддерживать следующие технологии и протоколы:

• 
  возможность объединения в стек до 4 коммутаторов, для удовлетворения потребностей в портовой емкости, которые могут возникнуть в будущем и управление стеком, как единым устройством. Модуль стекирования должен поддерживать режим горячей замены;
  
• 
  функционал безопасности на 2-м уровне модели OSI – IEEE 802.1x, Private VLAN, DAI, DHCP snooping, Port security (или аналогичный);
  
• 
  механизмы предотвращения или ограничения широковещательных штормов;
  
• 
  должна поддерживаться скорость передачи 1Gbps на восходящих портах;
  
• 
  должна поддерживаться скорость передачи 100Mbps на линейных портах;
  
• 
  протоколы предотвращения петель трафика на 2-м уровне модели OSI;
  
• 
  коммутаторы должны поддерживать протокол, позволяющий сетевому оборудованию оповещать локальную сеть о своем существовании и характеристиках, а также собирать оповещения, поступающие от соседнего оборудования, согласно стандарту IEEE 802.1ab;
  
• 
  коммутатор должен иметь поддержку стандарта PoE на фиксированных портах.
  

Коммутаторы уровня ядра и распределения закрытого и открытого сегмента площадки №4 должны поддерживать следующие технологии и протоколы:

• 
  аппаратную маршрутизацию трафика между VLAN;
  
• 
  протоколы динамической маршрутизации OSPF и BGP;
  
• 
  механизмы аутентификации для протоколов динамической маршрутизации;
  
• 
  технологию VRF-lite;
  
• 
  протокол резервирования шлюза – HSRP/VRRP;
  
• 
  фильтрация трафика на 2-м и 3-м уровне модели OSI;
  
• 
  технологию MLAG и возможность объединения в единое логическое устройство;
  
• 
  протоколы предотвращения петель трафика на 2-м уровне модели OSI;
  
• 
  механизм ECMP на 3-м уровне модели OSI;
  
• 
  коммутатор должен поддерживать установку трансиверов SFP/SFP+ на всех портах, включая модуль расширения. Типы поддерживаемых трансиверов: оптические трансиверы 10 Gigabit Ethernet 10GBASE-SR, 10GBASE-LRM, 10GBASE-LR, 10GBASE-ER, Twinax кабели длиной 1, 3 и 5 метров, работающих на скорости 10 Гбит/с, оптические трансиверы Gigabit Ethernet 1000BASE-SX, 1000BASE-LX/LH, 1000BASE-ZX, медные трансиверы Gigabit Ethernet 1000BASE-T, конвертеры CWDM Gigabit Ethernet и конвертеры 1000BASE-DWDM. Оптические трансиверы 10GBASE-ZR должны поддерживаться модулем расширения при любом типе воздушного потока охлаждения. Все встроенные порты коммутатора должны поддерживать оптические трансиверы 10GBASE-ZR;
  
• 
  коммутатор должен иметь два блока питания переменного тока с направлением охлаждения «спереди-назад»;
  
• 
  коммутатор должен поддерживать сбор статистики о входящем трафике по протоколу Netflow. Коммутатор должен поддерживать экспорт данных по протоколу Netflow;
  
• 
  коммутатор должен иметь возможность настройки и использования виртуальных таблиц маршрутизации и коммутации.
  

Коммутаторы уровня доступа закрытого сегмента площадки №4 должны поддерживать следующие технологии и протоколы:

• 
  возможность объединения в стек до 8 коммутаторов, для удовлетворения потребностей в портовой емкости, которые могут возникнуть в будущем и управление стеком, как единым устройством. Модуль стекирования должен поддерживать режим горячей замены;
  
• 
  функционал безопасности на 2-м уровне модели OSI – IEEE 802.1x, Private VLAN, DAI, DHCP snooping, Port security (или аналогичный);
  
• 
  механизмы предотвращения или ограничения широковещательных штормов;
  
• 
  должна поддерживаться скорость передачи 10Gbps на восходящих портах;
  
• 
  должна поддерживаться скорость передачи 1Gbps на линейных портах;
  
• 
  протоколы предотвращения петель трафика на 2-м уровне модели OSI;
  
• 
  коммутатор должен поддерживать сбор статистики о входящем трафике по протоколу Netflow. Коммутатор должен поддерживать экспорт данных по протоколу Netflow;
  
• 
  коммутаторы должны поддерживать энергоэффективный режим работы;
  
• 
  коммутаторы должны поддерживать протокол, позволяющий сетевому оборудованию оповещать локальную сеть о своем существовании и характеристиках, а также собирать оповещения, поступающие от соседнего оборудования, согласно стандарту IEEE 802.1ab;
  
• 
  коммутаторы должны иметь поддержку стандарта PoE на фиксированных портах.
  

Коммутаторы уровня доступа открытого сегмента площадки №4 должны поддерживать следующие технологии и протоколы:

• 
  возможность объединения в стек до 4 коммутаторов, для удовлетворения потребностей в портовой емкости, которые могут возникнуть в будущем и управление стеком, как единым устройством. Модуль стекирования должен поддерживать режим горячей замены;
  
• 
  функционал безопасности на 2-м уровне модели OSI – IEEE 802.1x, Private VLAN, DAI, DHCP snooping, Port security (или аналогичный);
  
• 
  механизмы предотвращения или ограничения широковещательных штормов;
  
• 
  должна поддерживаться скорость передачи 1Gbps на восходящих портах;
  
• 
  должна поддерживаться скорость передачи 100Mbps на линейных портах;
  
• 
  протоколы предотвращения петель трафика на 2-м уровне модели OSI;
  
• 
  коммутаторы должны поддерживать протокол, позволяющий сетевому оборудованию оповещать локальную сеть о своем существовании и характеристиках, а также собирать оповещения, поступающие от соседнего оборудования, согласно стандарту IEEE 802.1ab;
  
• 
  коммутатор должен иметь поддержку стандарта PoE на фиксированных портах.
  

3. 
   Требования к активному сетевому оборудованию модуля внешних подключений
   

Коммутаторы пограничного модуля должны поддерживать тот же функционал безопасности уровня L2 модели OSI, что и коммутаторы доступа закрытого сегмента.

Маршрутизаторы пограничного модуля также должны поддерживать технологии:

• 
  L2/L3 IP VPN;
  
• 
  механизмы обеспечения качества обслуживания QoS (приоритезацию и ограничение трафика, очереди, маркировка и перемаркировка пакетов);
  
• 
  фильтрацию трафика на 3-м и 4-м уровне модели OSI;
  
• 
  протоколы динамической маршрутизации BGP, OSPF.
  

4. 
   Требования к информационной безопасности
   

В рамках проекта реализуются базовые функции информационной безопасности (ИБ): защита периметра, межсетевое экранирование и т.п. встроенными средствами сетевого оборудования. Защита от несанкционированного доступа (НСД) должна быть реализована встроенными средствами сетевого оборудования. Фильтрация должна осуществляться по IP адресам и номерам TCP/UDP портов. Дополнительные требования к ИБ, НСД и политики безопасности разработать и согласовать с заказчиком в рамках отдельного проекта на основе модели угроз.

Канал связи закрытого сегмента между площадкой №1 и площадкой №4 должен быть защищен согласно требованиям: ФСТЭК – МЭ2, НДВ2, СОВ3; ИСПДн до 1 класса включительно; ФСБ – СКЗИ КС3, КС2; ФСБ – МЭ4. Дополнительные требования к каналу связи закрытого сегмента разработать и согласовать с заказчиком на стадии рабочего проектирования.

5. 
   Требования к отказоустойчивости
   

Для обеспечения отказоустойчивости на логическом уровне должны быть использованы технологии стекирования/MLAG и агрегации нескольких физических интерфейсов в единый логический. Конечные устройства, обладающие достаточным количеством сетевых интерфейсов, должны подключаться к двум различным коммутаторам стека.

Все физические соединения между активными сетевыми устройствами должны быть зарезервированы на уровне транспортной сети.

Коммутаторы уровня ядра и распределения также должны быть зарезервированы на уровне блоков питания и охлаждения.

Состав и содержание работ по созданию системы

3. 
   В рамках разработки рабочей документации системы Исполнителем должны быть выполнены следующие работы:
   

• 
  разработка перечисленных в пункте 6.1 и 6.2 настоящего ТЗ документов;
  
• 
  разработка комплекта рабочей документации в соответствии с требованиями к документированию, изложенными в настоящем ТЗ;
  
• 
  согласование документации с Заказчиком;
  
• 
  передача документация по проекту;
  
• 
  корректировка рабочей документации по результатам внедрения.
  

Требования к документированию

4. 
   Часть необходимых документов разрабатывается исполнителем на этапе проектирования, другая часть разрабатывается компанией-внедренцем на стадии создания системы ЛВС. Вся документация предоставляется в электронном и бумажном виде.
   
5. 
   Выполняемый исполнителем на этапе проектирования комплект документов на систему ЛВС на русском языке, должен содержать:
   

1. 
   Техническое задание на создание системы.
   
2. 
   Технический проект, в составе:
   

• 
  пояснительной записки, включающей:
  
  1. 
     описание объекта автоматизации;
     
  2. 
     комплекс требований к создаваемой системе;
     
  3. 
     основные технические решения, используемые при ее создании;
     
  4. 
     принципы функционирования системы в целом и ее составных частей;
     
  5. 
     планы именования, адресации, нумерации;
     
  6. 
     требование к смежным подсистемам;
     
  7. 
     схемы организации связи;
     

3. 
   Рабочая документация (часть 1), включающая в себя:
   

• 
  планы помещений и схемы размещения оборудования;
  
• 
  схемы и таблицы соединений;
  
• 
  схема комплекса технических средств;
  
• 
  таблица расшивки кроссовых кабелей на станционную сторону кросса;
  
• 
  параметры портов абонентских и соединительных линий ЛВС;
  
• 
  спецификации оборудования;
  
• 
  сметный расчет;
  
• 
  программу и методику испытаний.
  

1. 
   В рамках настоящего проекта не разрабатываются следующие документы:
   

1. 
   Рабочая документация (часть 2), включающая в себя:
   

• 
  Эксплуатационная документация (руководства администратора, техника, пользователя);
  
• 
  Паспорта устройств с описанием конфигураций.
  

2. 
   В дополнение к рабочему проекту разрабатываются планы миграции текущей подсистемы ЛВС заказчика на новую инфраструктуру. Объем миграции уточняется на стадии рабочего проектирования.
   
3. 
   Указанная документация должна быть передана Заказчику в электронном (один экземпляр в формате PDF) и бумажном виде (два экземпляра) и выполнена в соответствии с ГОСТ 34.602-89, ГОСТ 34.601-90, ГОСТ 34.201-89, РД 50-34.698-90, ГОСТ 34.603-92.
   

Источники разработки

• 
  ГОСТ 34.602-89 Техническое задание на создание автоматизированной системы.
  
• 
  Отчет об обследование инфраструктуры заказчика.