- Master rad - Idejni projekat Campus mrea Medicinskog fakulteta Univerziteta u Beogradu
.
Beograd, 2011. 1
UNIVERZITET SINGIDUNUM -MASTER STUDIJSKI PROGRAM- SAVREMENE INFORMACIONE TEHNOLOGIJE
Mentor: Kandidat:
___________________________ ___________________________ Prof. dr Ranko Popovi Nenad Dambasevi
Beograd, 2011.
Sadraj
1 UVOD ........................................................................................................................................................ 2 1.1 PROJ EKTNI ZADATAK ............................................................................................................................... 3 2 METODOLOGIJA NAUNOG ISTRAIVANJA.................................................................................. 5 2.1 PREDMET ISTRAIVANJ A .......................................................................................................................... 5 2.2 CILJ ISTRAIVANJ A .................................................................................................................................. 5 2.3 METODE ISTRAIVANJ A ........................................................................................................................... 6 3 FIZIKA STRUKTURA CAMPUS MREE .......................................................................................... 7 4 LOGIKA STRUKTURA CAMPUS MREE ...................................................................................... 13 4.1 POSTOJ EA STRUKTURA MREE ............................................................................................................. 17 4.2 REALIZIVANO REENJ E .......................................................................................................................... 19 4.2.1 Centralno vorno mesto ............................................................................................................... 20 4.2.2 Pristupni svievi .......................................................................................................................... 23 4.3 POVEZIVANJ E PRISTUPNIH SVIEVA SA CENTRALNIM VORITEM ............................................................ 27 4.4 POVEZIVANJ E SA AKADEMSKOM MREOM .............................................................................................. 29 4.5 RUTIRANJ E U CAMPUS MREI ................................................................................................................. 29 5 MRENI PROTOKOLI I SERVISI ....................................................................................................... 31 5.1 PROTOLOLI ZA RUTIRANJ E ..................................................................................................................... 31 5.2 HSRP ................................................................................................................................................... 33 5.3 NTP ..................................................................................................................................................... 35 5.4 SNMP I MONITORING ............................................................................................................................ 37 6 BEZBEDNOST........................................................................................................................................ 40 6.1 FIREWALL ............................................................................................................................................. 40 6.2 PROXY .................................................................................................................................................. 45 6.3 SYSLOG ................................................................................................................................................ 48 6.4 DHCP SNOOPING .................................................................................................................................. 50 6.5 SSH ...................................................................................................................................................... 51 7 SERVERSKA INFRASTRUKTURA ..................................................................................................... 52 7.1 POSTOJ EA INFRASTRUKTURA ............................................................................................................... 52 7.2 BLADE ARHITEKTURA ............................................................................................................................ 53 7.3 VIRTUELIZACIJ A .................................................................................................................................... 55 7.4 TEHNIKE SPECIFIKACIJE REENJ A ZA NOV DATA CENTAR ...................................................................... 57 7.4.1 Blejd server reenje ..................................................................................................................... 57 7.4.2 Sistem za skladitenje podataka za blejd server reenje ................................................................ 57 7.4.3 Rek ormar za smetanje opreme ................................................................................................... 58 7.4.4 Softver za virtuelizaciju servera ................................................................................................... 58 7.5 REALIZOVANO REENJ E ......................................................................................................................... 60 8 TELEKOMUNIKACIJE ........................................................................................................................ 61 8.1 POSTOJEA INFRASTRUKTURA ............................................................................................................... 61 8.2 REALIZOVANO REENJ E ......................................................................................................................... 63 9 MERE ZATITE BEZBEDNOSTI I ZDRAVLJA NA RADU .............................................................. 66 9.1 OPASNOSTI I PRETNJ E I PREDVIENE MERE ZA NJ IHOVO OTKLANJ ANJ E ..................................................... 66 9.2 OPTE NAPOMENE I OBAVEZE................................................................................................................. 68 10 PREDMER I PREDRAUN ................................................................................................................... 70 11 ZAKLJUAK ......................................................................................................................................... 76 12 LITERATURA ........................................................................................................................................ 77
Idejni projekat Campus mrea Medicinskog fakulteta Univerziteta u Beogradu 1
SAETAK
U ovom radu je opisan projekat campus mree Medicinskog fakulteta Univerziteta u Beogradu. Rad je koncipiran tako, da na osnovu postojee strukture campus mree, se izvri nadogradnja opreme i servisa u cilju poboljanja ICT infrastrukture i pripremanja same mree za implementaciju novih servisa. Korien je model dizajna campus mree srednje veliine koja obuhvata do 2000 korisnika.
Kljune rei: campus mree, ICT, layer 3 svievi, bezbednost, redundansa, visoka dostupnost, SNMP, blade serveri, virtuelizacija, VoIP
ABSTRACT
This paper describes project of Medical Faculty University of Belgrade campus network. The paper is structured based on existing campus network, an upgrade of existing equipment and services can be made, to improve ICT infrastructure and prepare the network for implementation of new services. Medium-sized campus network model was used, which includes up to 2000 users.
Keywords: campus networks, ICT, layer 3 switches, security, redundancy, high availability, SNMP, blade servers, virtualization, VoIP Idejni projekat Campus mrea Medicinskog fakulteta Univerziteta u Beogradu 2
1 UVOD
Moderna medicina u velikoj meri se oslanja na raunarske i na telekomunikacione servise. Novi medicinski aparati u najveem broju sluajeva imaju fabriki ugraene komunikacione interfejse koji im obezbeuje jednostavno povezivanje u mreu. Da bi ovakvi servisi bili mogui, neophodna je komunikaciona infrastruktura koja e da obezbedi prenos svih podataka od interesa.
Ovaj rad je nastao kao potreba za poboljanjem jedinstvene raunarsko-komunikacione infrastrukture koja povezuje sve objekte i institute Medicinskog fakulteta.
Na osnovu trenutnog stanja campus mree Medicinskog fakulteta, predstavljene u drugom projektnom zadatku, projektni zadatak ovog rada predstavlja predlog nadogradnje i reorganizacije campus mree Medicinskog fakulteta Univerziteta u Beogradu. U okviru projekta koristie se postojee trase poloenih optikih kablova, pomou kojih su povezani udaljeni objekti Medicinskog fakulteta, takoe obuhvata i reorganizaciju logike i dela fizike strukture postojee mree, izgradnju novog datacentra, realizaciju backup lokacije centralnog vornog mesta, implementacija novih bezbednosnih reenja radi poveavanja bezbednosti campus mree kako od spoljnih tako i od unutranjih napada, realizacija nove serverske infrastrukture u zajedno sa softverskom platformom za virtuelizaciju, kao i relizacija nove telekomunikacione infrastrukture sa implementacijom VoIP tehnologije.
Idejni projekat Campus mrea Medicinskog fakulteta Univerziteta u Beogradu 3
1.1 Projektni zadatak
Projekat treba da sadri predlog izmene svih aktivnih mrenih ureaja sa novim ureajima, kao i predlog nadogradnje mree menjajui samo aktivne mrene ureaje na centralnim vornim mestima. Pored menjanja samih mrenih ureaja bie dat predlog izgradnje nove serverske infrastrukture, zasnovane na blade tehnologiji i virtuelizaciji, i predlog implementacije novih mrenih protokola i servisa.
Slika 1. Campus mrea sa vie jezgara
Idejni projekat se sastoji iz 10 poglavlja. Prvo poglavlje je uvod u kome je napisano koji su osnovni zadaci koji su postavljeni za izradu ovog projekta. Poglavlje broj dva sadri opis metoda i ciljeva korienih pri izradi ovog projekta. Poglavlje broj tri sadri opis fizike strukture mree koji se sastoji od opisa trasa polaganja kablova i tehnologija koja e se za to koristiti. Kako bi se realizovala redudansa u centralnim voritima u etvrtom poglavlju je dat predlog nabavke i postavljanja novog centralnog layer 3 svia. Pored same implementacije redudanse u vidu novog vorita, u etvrtom poglavlju je dat i predlog nabavke novih pristupnih layer 2 svieva. Imajui u vidu da se implementacijom novih servisa i tehnologija, javlja Idejni projekat Campus mrea Medicinskog fakulteta Univerziteta u Beogradu 4
potreba za veim brzinama na pristupnim svievima i trunk linkovima i uzimajui u obzir da trenutno standardne brzine iznose 1Gbps za pristupne (access) portove i 10Gbps za trunk portove, dat je predlog nabavke pristupnih svieva i centralnog svia koji ispunjavaju gore navedene uslove. Pri samom kreiranju predloga uoeno je da na odreenim voritima postoje grupisani svievi. Kako bi se kreirala redudansa i na nivou pristupnih svieva iskoriena je tehnologija u vlasnitu Cisco-a, FlexStack, koja nam prua mogunost da vie svieva grupiemo u jednu logiku celinu, to nam dodatno prua mogunost jednostavnijeg upravljanja i monitoringa istih.
Obzirom da trenutno postoji samo jedan link ka RCUB-u (Raunarski Centar Univerziteta u Beogradu), potrebno je realizovati rezervni link, koji bi bio fiziki odvojen od trenutnog linka, ka nekom od drugih vorita AMRESA-a.
U petom poglavlju je dat opis protokola koje je potrebno implementirati u okviru ove campus mree i koji predstavljaju grupu osnovnih protokola potrebnih za neometano funkcionisanje i monitoring iste.
esto poglavlje predstavlja skup reenja koje svojom implementacijom pruaju bezbednost kako od spoljnih tako i od unutranjih malicioznih korisnika. Pri implementaciji firewall reenja potrebno je naglasiti da je samo definisanje dozvoljenih servisa kojima mogu da pristupaju korisnici campus mree izvedeno tako da se blokiraju P2P saobraaj i SMTP pristup udaljenim serverima, sem mail serveru Medicinskog fakulteta lociranom u RC-u Elektrotehnikog fakulteta, dok je pristup ostalim servisima dozvoljen samo korienjem implementiranog proxy reenja, u vidu Squid 3 web cache proxy-ja. Pored centralnog reenja za pristup web sadraju, dat je predlog implementacije log reenja kako bi se, u sluaju krenja pravilnika eksploatacije mree Medicinskog fakulteta ili prestanka funkcionisanja odreenog ureaja ili servisa dolo do uzroka istog.
Sedmo poglavlje sadri opis naina povezivanja postojeih telekomunikacionih centrala pomou VoIP protokola i postojee mrene infrastrukture. Poglavlje broj osam sadri analizu i predlog implementacije nove telekomunikacione infrastrukture zasnovane na IP/PABX reenju. Poglavlje broj devet predstavlja prilog o merama zatite bezbednosti i zdravlja na radu. U okviru desetog poglavlja se nalaze predmer i predraun za prethodno opisanu opremu i radove potrebne za implementaciju. Pri samom definisanju mrene opreme koriena je iskljuivo profesionalna mrena oprema visokih performansi i kapaciteta i ostavljena je opcija da se implementira i amaterska oprema, to se ne preporuuje u campus mreama ove dimenzije a posebno u sklopu potreba i zahteva Medicinskog fakulteta. Idejni projekat Campus mrea Medicinskog fakulteta Univerziteta u Beogradu 5
2 METODOLOGIJA NAUNOG ISTRAIVANJA
2.1 Predmet istraivanja
Predmet ovog istraivanja su campus mree, njihov dizajn, njihov nain funkcionisanja, eksploatacija, problemi uoeni pri korienju istih i reenja za uklanjanje istih.
2.2 Cilj istraivanja
Ostvarivanje cilja istraivanja bie zasnovano na naunim injenicama definisanim i publikovanim u radovima i projektima eminentnih strunjaka, ali e u radu biti prezentovana i iskustva autora.
Nauni cilj ovoga rada je sistematizacija znanja o campus mreama, njihov dizajn i primena u dizajnu fakultetske mree i primenjeno tehniko reenje.
Drutveni cilj ovoga rada je udovoljanje potreba fakulteta pri dizajnu i implementaciji mrene raunarske infrastrukture.
Osnovni pojmovi koji su bitni u ovom radu su:
Ethernet;
Layer 3 sviing;
Security;
Datacentar; Idejni projekat Campus mrea Medicinskog fakulteta Univerziteta u Beogradu 6
Dostupnost (High Availibility);
Optiki kablovi;
Telekomunikacije.
2.3 Metode istraivanja
Uzimajui u obzir specifinosti prouavanog predmeta istraivanja koriene su razliite metode, kako bi se zadovoljili osnovni metodoloki zahtevi - objektivnost, pouzdanost, optost i sistematinost. Istraivana su nauno-teorijska saznanja, relevantna literatura i savremena poslovna praksa sledeim metodama i tehnikama: deduktivna i induktivna metoda; metod analize i sinteze; metod apstrakcije komparativna metoda analiza sadraja.
Idejni projekat Campus mrea Medicinskog fakulteta Univerziteta u Beogradu 7
3 FIZIKA STRUKTURA CAMPUS MREE
Fizika struktura mree predstavlja trase optikih kablova izmeu objekata i nain njihovog povezivanja u cilju uspostave linkova. Imajui u vidu strukturu prostora u delu grada gde se radi mrea, nije bilo mogue kopati i postavljati novu kablovsku kanalizaciju za postavljanje optikih kablova. S druge strane, u delu koji pripada Klinikom centru Srbije postoje tehniki kanali koji se koriste za postavljanje toplovodne i kablovske instalacije. Svi tehniki kanali su prohodni i omoguavaju da radnici mogu da prou i postave regale za postavljanje optikih kablova.
to se tie samih optikih okosnica, postoje dva oblika:
prvi je u vidu glavnih optikih vorita, gde su optiki kablovi terminisani na patchpanelima unutar razvodnih RACK ormana, u kojima e se pored optikih i LAN patch panela ugraivati i aktivna oprema, kao i UPS zatitni ureaji.
Drugi oblik predstavlja veliki broj optikih kablova terminisanih u jednu ili vie zavrnih optikih kutija(ZOK), koje se nalaze na istom mestu unutar nekog objekta koji predstavlja lokalno vorite. U njima se ne ugrauje nikakva aktivna oprema, pa im nije potrebno napajanje, ve se samo optikim patch kablovima prespajaju optiki linkovi.
Postoje dva glavna optika vorita. Prvo se nalazi u zgradi Dekanata Medicinskog fakulteta, a drugo u zgradi Silos (Institut za socijalnu medicinu i statistiku). Ova dva vorna mesta potrebno je povezati pomou optikog kabla sa 24 singlemode-nih(SM) vlakana.
Trasa 1, duine 160m, povezuje objekat Dekanata Medicinskog fakulteta sa objektom Interne B klinike. Na ovoj trasi postavljen je optiki kabl sa 24 singlemode-nih vlakana. Postojei optiki kabl postavljen je unutar objekta Dekanata Medicinskog fakulteta do samog krova objekta, a zatim je voen kao vazduni samonosivi optiki kabl do objekta Interne B klinike. Na strani objekta Dekanata Medicinskog fakulteta, kao i na strani objekta Interne B klinike postojei optiki kabl terminiran je na patch panelu. Idejni projekat Campus mrea Medicinskog fakulteta Univerziteta u Beogradu 8
Trasa 2, duine 138m, povezuje objekat Interne B klinike sa objektom Amfiteatra Silos . Na ovoj trasi postavljen je optiki kabl sa 24 singlemode-nih vlakana. Poevi od objekta Interne B klinike optiki kabl je postavljen unutar objekta a zatim pasarelom do ulaska u objekat Amfiteatra Silos. Na strani oba objekta postojei optiki kabl terminiran je na patch panelu.
Ostala vorna mesta povezana su sa centralnim vornim mestom pomou optikog singlemode-nog kabla za unutranju/spoljnu upotrebu.
Slika 5. Glavno optiko vorite u zgradi Dekanat
Pored ve opisanog glavnog vorita, postoje i sporedna. Njihova glavna karakteristika po kojoj se razlikuju od glavnih vornih mesta, jeste da se optiki kablovi ne terminiu na patch panelima, ve na zavrnim optikim kutijama, tzv. ZOK-ovima. Ako se, kojim sluajem, terminiu na patch panelima, onda su to patch paneli lokalnih LAN mrea, koji se nalaze unutar manjih RACK ormana. Ako su optiki kablovi terminisani u ZOK-ovima, u tom sluaju, takva vorita slue samo za prespajanje kablova, tako da se saobraaj samo preusmerava ka nekim drugim objektima, odnosno ka drugim RACK ormanima u kojima se nalazi adekvatna aktivna oprema sa kojom se vri administriranje navedene mree.
Idejni projekat Campus mrea Medicinskog fakulteta Univerziteta u Beogradu 9
Slika 6. Sporedno vorno mesto(ZOK)
Svaki objekat mora imati terminisana dva para optikih kablova kako bi se u sluaju prestanka funkcionisanja jednog glavnog vornog mesta obezbedila redudansa i visoka dostupnost mree. Obzirom da su svi optiki linkovi izmeu objekata ve postavljeni i aktivni potrebno je samo realizovati link izmeu objekata Dekanata i Silos.
to se tie fizike strukture lan mrea povezanih objekata kao jedino reenje namee se strukturno kabliranje. Moderne raunarske mree sve vie se sastoje od nekoliko desetina, pa i stotina radnih mesta (raunara, terminala) koje treba povezati u raunarsku mreu. Ovakva kompleksnost zahtevala je reavanje nekih problema koji su pri tome nastali, a ti su:
veliki broj kablova koje je teko kontrolisati, stalno poveanje potrebne brzine prenosa podataka, poveanje cene odravanja velikih kablovskih sistema i potreba za velikom fleksibilnou kablovskog sistema.
Strukturno kabliranje reava sve gore navedene probleme i ispunjava zahteve koji se javljaju pri definisanju reenja raunarskih mrea u poslovnim zgradama, kompleksima poslovnih zgrada ili industrijskim kompleksima. Kablovski sistem koji je reen po standardima koji opisuju strukturno kabliranje ima sledee osobine:
Idejni projekat Campus mrea Medicinskog fakulteta Univerziteta u Beogradu 10
oslanja se na vaee svetske standarde propisane za kablove, utinice i distributivne elemente koji se koriste, smanjuje trokove odravanja, olakava irenje i modifikacije raunarske mree i omoguava korienje telefona, raunara i terminala u celoj zgradi.
Reenje strukturnog kablovskog sistema obezbeuju sledei standardi:
TIA/EIA-568 Commercial Building Telecommunications Cabling Standard TIA/EIA-569 Commercial Building Standard for Telecommunications Pathways and Spaces TIA/EIA-606 Administration Standard for Telecommunications Infrastructure of Commercial Building
Idejni projekat Campus mrea Medicinskog fakulteta Univerziteta u Beogradu 11
Slika 3. Blok ema campus mree Idejni projekat Campus mrea Medicinskog fakulteta Univerziteta u Beogradu 12
Slika 4. Objekti Medicinskog fakulteta Idejni projekat Campus mrea Medicinskog fakulteta Univerziteta u Beogradu 13
4 LOGIKA STRUKTURA CAMPUS MREE
Za realizaciju campus mree predvieno je korienje gigabit ethernet tehnologije u kombinaciji sa tehnologijom layer 3 sviing-a. Ovakvo reenje obezbeuje visoke performanse celokupne mrene infrastrukture uz mogunost podrke svih trenutno aktuelnih mrenih servisa. Aktivna mrena oprema mora da podri standardna i savremena reenja za podrku informaciono komunikacionim tehnologijama (ICT), kao i specifina reenja koje uslovljava delatnost zdravstvenih i naunih ustanova.
Da bi se kreirala redudansa i obezbedila neprekidna dostupnost i funkcionalnost campus mree potrebno je kreirati drugo centralno vorno mesto. Za to centralno mesto je odabrana zgrada Instituta za socijalnu medicinu i statistiku (Silos). Obzirom da su mreni servisi i aplikacije sve zahtevnije, i uzimajui u vid da postojea fizika infrastruktura moe da podri, novo centralno vorite mora da podri sledee protokole i tehnologije:
- 848 Gbps sviing kapacitet with 250 Mpps of throughput, - 4 neblokirajua 10 Gigabit Ethernet uplinka [SFP+], - SFP podrka na uplinkovima, - Maksimalno 384 neblokirajuih portova 10/100/1000, - PoEP (30W) simultano mogunosti na svim portovima, po jednoj kartici, - UPOE (60Wmogunosti na svim karticama, - Energy Efficient Ethernet (IEEE 802.3az), - 196 neblokirajuih portova Gig SFP, - 100 portova 10G SFP+(4 Uplink porta +96 portova na karticama), - 128K Flexible NetFlow zapisa u hardware-u, - Podrka za eksternu USB and SD memoriju, - 256K routing zapisa kako bi se omoguio brzi pristup campus mrei, - IPv6 podrka u hardware-u, omogueno wire-rate prosleivanje paketa za IPv6 mree, - Dinamika hardverska tabela prosleivanja kako bi se olakala migracija sa IPv4-na- IPv6 , Idejni projekat Campus mrea Medicinskog fakulteta Univerziteta u Beogradu 14
- Skalabilno rutiranje (IPv4, IPv6, and multicast) tabele, Layer 2 tabele, i Pristupne liste (ACL) i QoS upisi radi iskorienja 8 upita po jednom portu i sveobuhvatne bezbednosne polise po jednom portu. - Spanning Tree Protocol, - Rapid Spanning Tree Protocol, - IEEE 802.1p class-of-service (CoS) prioritization, - IEEE 802.1Q VLAN tagging na svim portovima, - podrka za minimalno 4095 VLAN-ova, - IEEE 802.3ad Link Aggregation Control Protocol (LACP), - SNMPv1 i SNMPv2, - IGMP snooping V1 i V2, - DHCP Relay, 1. Hot Standby Router Protocol (HSRP), Virtual Router Redundancy Protocol (VRRP) ili Gateway Load Balancing Protocol (GLBP) - OSPF v2 i OSPF v3 protokol rutiranja, - access liste za filtriranje saobraaja koje imaju mogunost kontrole saobraaja do nivoa portova kod TCP i UDP paketa, i to kako u odlaznom tako i u dolaznom smeru, - garantovanje QoS za multimedijalne i aplikacije za rad u realnom vremenu, - DiffServ, - klasifikaciju i reklasifikaciju saobraaja za stanovita QoS parametara, - wirespeed Layer 3 IP routing, - IEEE 802.1Q VLAN tagging, - SSH za pristup preko mree, - kontrolu protoka po portu, - SNMPv2c, - podrku za rutiranje multicast saobraaja, - Maksimalna otpornost sa redundantnim komponentama, Nonstop Forwarding/Stateful Switchover (NSF/SSO), i podrka za In-Service Software Upgrade (ISSU), - Virtuelizaciju mree radi Layer 3 segmentacije, - Automatizaciju pomou AutoQoS i Auto SmartPorts radi brzog rezervisanja, dijagnostike i izvetavanja.
Idejni projekat Campus mrea Medicinskog fakulteta Univerziteta u Beogradu 15
Aktuelne sviing hub-ove u mrei potrebno je zameniti novim koji moraju da podravaju sledee standarde za svaki port:
- IEEE 802.1x, - IEEE 802.3x full duplex na 1000Base-T portovima, - IEEE 802.1D Spanning-Tree Protocol, - IEEE 802.1p class-of-service (CoS) prioritization, - IEEE 802.1Q VLAN tagging, - podrka za minimalno 255 VLAN-ova pri emu VLANID mora da bude konfigurabilan u granicama od 1 do 4095, - IEEE 802.3ad Port Trunking - IEEE 802.3 10Base-T - IEEE 802.3u 100Base-TX - IEEE 802.3ab 1000Base-T, - IEEE 802.3z 1000Base-X, - 10GBASE-LR, SR, LRM, CX1 SFP+portove, - SNMPv2, - ne blokirajuu komutaciono polje (non-blocking sviing fabric), - IGMP snooping, - broadcast storm control.
Idejni projekat Campus mrea Medicinskog fakulteta Univerziteta u Beogradu 16
Tabela 1. Spisak trenutnih upravljivih sviing hub-ova i njihova lokacija
Idejni projekat Campus mrea Medicinskog fakulteta Univerziteta u Beogradu 17
4.1 Postojea struktura mree
U centralnom voritu trenutno se nalazi jedan Layer 3 svi Cisco Catalyst 4506 koji obavlja funkciju rutiranja saobraaja izmeu u campus mrei. Na slici 5. je data postojea logika struktura campus mree Medicinskog fakulteta.
Slika 5. Izvedeni izgled mree
Centralni Layer 3 svi koji se trenutno koristi u ovoj campus mrei ima sledee karakteristike:
modularni ureaj sa redundantnim napajanjem, neblokirajue komutaciono polje, propusna mo backplane-a minimalno 64Gb/s, propusna mo ureaja pri rutiranju paketa na IP nivou minimalno 48Mpps, 14 portova tipa 1000BaseLX dometa minimalno 10km po monomodnom optikom vlaknu (portovi moraju da budu u realizaciji sa GBIC ili SFP modulima), 8 portova tipa 1000Base-SX za rad na multimodnom vlaknu (portovi moraju da budu u realizaciji sa GBIC ili SFP modulima), 1 port tipa 1000BaseT, mogunost proirenja ureaja do minimalno 32 gigabit ethernet portova (ukupno u celom ureaju).
Idejni projekat Campus mrea Medicinskog fakulteta Univerziteta u Beogradu 18
Osnovne funkcije i protokoli koje ima softver za rutiranje i prosleivanje saobraaja u ureaju su:
Spanning Tree Protocol, Rapid Spanning Tree Protocol, IEEE 802.1p class-of-service (CoS) prioritization, IEEE 802.1Q VLAN tagging na svim portovima, podrka za minimalno 4095 VLAN-ova, IEEE 802.3ad Link Aggregation Control Protocol (LACP), SNMPv1 i SNMPv2, IGMP snooping V1 i V2, DHCP Relay, OSPF v2 protokol rutiranja, access liste realizovane u hardveru za filtriranje saobraaja koje imaju mogunost kontrole saobraaja do nivoa portova kod TCP i UDP paketa, i to kako u odlaznom tako i u dolaznom smeru - minimalni broj pravila po jednoj access listi mora da bude 100 (sto), garantovanje QoS za multimedijalne i aplikacije za rad u realnom vremenu, DiffServ, klasifikacija saobraaja za stanovita QoS parametara, wirespeed Layer 3 IP routing, SSH protokol verzija 2 za pristup preko mree, podrku za rutiranje multicast saobraaja (PIM protokol).
Aktuelni centralni layer 3 svi trenutno podrava trankove do 1Gbps, to po dananjim standardima dizajna campus mrea predstavlja standardnu brzinu pristupa korisnikih radnih stanica. Takoe u postojeem dizajnu mree, prilikom ispadanja iz rada centralnog vornog mesta ne postoji redudantno vorite koje bi preuzelo funkciju rutiranja tako da sam layer 3 swithc predstavlja single point of failure. Jedini vid redudanse u centralno vornom mestu predstavlja redudantno napajanje layer 3 svia.
Idejni projekat Campus mrea Medicinskog fakulteta Univerziteta u Beogradu 19
4.2 Realizivano reenje
Kako bi se obezbedila visoka pouzdanost i dostupnost kompletne campus mree potrebno je izgraditi sekundarno centralno vorno mesto (multi-node campus core - Slika 1.) koje bi obezbedilo redudansu u postojeoj infrastrukturi. Postojee reenje takoe obuhvata premetanje trenutnog layer 3 svia.
Slika 6. Predloena struktura campus mree
Aktivna mrena oprema u glavnim i lokalnim voritima mora da bude prikljuena na ureaj za neprekidno napajanje (UPS). UPS-evi moraju da budu on-line tipa sa prikljukom na raunarsku mreu za remote management.
Obzirom da su nova IT reenja kao to su Cloud computing, video streaming, VoIP i video konferencije dosta zahtevne po pitanju protoka, potrebno je da trunk linkovi ka access svi-evima budu 10Gbps dok je na samim access svi-vima potrebno da pristupni portovi podravaju brzinu od 1Gbps.
Idejni projekat Campus mrea Medicinskog fakulteta Univerziteta u Beogradu 20
4.2.1 Centralno vorno mesto
Reenje koje u potpunosti zadovoljava prethodno navedene kriterijume za nov layer 3 svi je u Cisco-vom modularnom svi-u Cisco 4500 serije (Slika 7.). Centralni deo ovog sistema predstavlja Cisco Catalyst 4500E Supervisor Engine 7-E ije karakteristike su date u Tabeli 2, zajedno sa Cisco Catalyst 4506-E Switch asijom u koju se postavlja. Od modularnih kartica potrebno je ugraditi 3 kartice WS-X4712-SFP+E. Predloeni SFP moduli za povezivanje na optiku infrastrukturu su Cisco SFP-10G-SR(multi-mode) i Cisco SFP-10G-LR(single-mode) ije karakteristike su prikazane u Tabeli 3.. Napajanje samog svi-a je pomocu dva redudantna napajanja snage 1400W, koje je mogue menjati bez gaenja samog svi-a (hot swappable) i ija karakteristika je data u Tabeli 4.
Slika 7. Cisco 4506-E svi
Idejni projekat Campus mrea Medicinskog fakulteta Univerziteta u Beogradu 21
Feature and Description Supervisor Engine 7-E Centralized Switching Capacity 848 Gbps Per-Slot Switching Capacity 48 Gbps Throughput 250 Mpps for IPv4 125 Mpps for IPv6 IPv4 Routing Entries 256,000 IPv6 Routing Entries 128,000 Multicast Routes 16,000 (Available with Cisco IOS XE 3.1.0 SG) 32,000 (Available with Cisco IOS XE 3.2.0 SG or later) CPU Dual Core 1.5 GHz CPU Queues 64 Synchronous Dynamic RAM (SDRAM) 2 GB upgradable to 4 GB NVRAM 1G Security and QoS Hardware Entries 128,000 Cisco Network Admission Control (NAC) and Dynamic Host Configuration Protocol (DHCP) Snooping Entries 12,000 MAC addresses 55,000 Active VLANs 4,094 ARP Entries 46,000 Spanning Tree Protocol Instances 10,000 Switched Virtual Interfaces (SVIs) 4,094 Switched Port Analyzer (SPAN) Maximum of 8 sessions: ingress and/or egress
Tabela 3. Karakteristike SFP+ modula Idejni projekat Campus mrea Medicinskog fakulteta Univerziteta u Beogradu 22
Power Supply 1400W AC Integrated PoE No (data only) Input current (rated) 16A at 100 VAC, 7A at 240 VAC Output current (data) 12V at 113.4A 3.3V at 12.2A Output power redundant mode (data) 1360W + 40W Output power combined mode (data) 2473W Heat dissipation 1048 Btus per hour Holdup time 20 ms Hot swappable Yes
Tabela 4. Karakteristike napajanja
Radne karakteristike navedenog Cisco svi-a su:
Radna temperatura 0 do 40C, Skladitena temperatura -40 do 75C, Relativna vlanost vazduha 10% do 90% bez kondenzovanja, Nadmorska visina -60m do 3000m.
Idejni projekat Campus mrea Medicinskog fakulteta Univerziteta u Beogradu 23
4.2.2 Pristupni svievi
Potrebno je razmatrati dve opcije pri implementaciji novih layer 2 svieva. Prva opcija je da su raunarska i telekomunikaciona infrastruktura skroz odvojene tj. da nije potrebno implementirati VoIP reenje, dok se u drugoj opciji podrazumeva da se objedine podaci, zvuk i video (data+voice+video).
Slika 8. - Cisco Catalyst 2960S-24TD-L svi
Za prvi sluaj u kojem nije potrebno implementirati VoIP reenje, odabran je Cisco Catalyst 2960S-24TD-L svi (karakteristike prikazane u Tabeli 5.) u potpunosti ispunjava postavljenu specifikaciju. Na lokacijama kao to su Histofizioloki institut, Institut za sudsku medicinu, Institut za socijalnu medicinu i statistiku i Anatomski institut gde se vie svieva nalazi u jednom rack ormanu Cisco FlexStack opcija koju nudi ovaj model olakava odravanje i monitoring same mrene infrastrukture. Naime Cisco FlexStack tehnologija nam omoguuje da se grupie vie layer 2 svieva, koji se povezuju pomou CAB-STK-E-0.5M FlexStack kabla. Tako povezani ureaji ine jednu logiku jedinicu i omoguavaju lake odravanje i konfiguraciju mrenih ureaja na datoj lokaciji.
Catalyst 2960-S Forwarding bandwidth 88 Gbps Switching bandwidth 176 Gbps Flash memory 64 MB Memory DRAM 128 MB Max VLANs 255 VLAN IDs 4000 Maximum transmission unit (MTU) 9198 bytes J umbo frames 9216 bytes Idejni projekat Campus mrea Medicinskog fakulteta Univerziteta u Beogradu 24
Forwarding Rate: 64-Byte Packet Cisco Catalyst 2960-S Cisco Catalyst 2960S-24TD-L 65.5 mpps Resource: Cisco Catalyst 2960-S and 2960 Default QoS Dual Unicast MAC addresses 8000 8000 8000 IPv4 IGMP groups 255 255 255 IPv4 MAC QoS access control entries (ACEs) 128 384 0 IPv4 MAC security ACEs 384 128 256 Standards IEEE 802.1D Spanning Tree Protocol IEEE 802.1p CoS Prioritization IEEE 802.1Q VLAN IEEE 802.1s IEEE 802.1w IEEE 802.1X IEEE 802.1ab (LLDP) IEEE 802.3ad IEEE 802.3af IEEE 802.3ah (100BASE-X single/multimode fiber only) IEEE 802.3x full duplex on 10BASE- T, 100BASE-TX, and 1000BASE-T ports IEEE 802.3 10BASE-T specification IEEE 802.3u 100BASE-TX specification IEEE 802.3ab 1000BASE-T specification IEEE 802.3z 1000BASE-X specification
Idejni projekat Campus mrea Medicinskog fakulteta Univerziteta u Beogradu 25
Slika 9. Cisco FlexStack
Ukoliko se kao opcija odabere da se implementira kompletno VoIP reenje potrebno je postaviti svieve koji podravaju PoE (Power-Over-Ethernet) standard, IEEE 802.3af-2003 i IEEE 802.3af-2009 standard poznatiji kao PoE+(Power-Over-Ethernet+). Pored VoIP-a ovi svievi omoguavaju i dodavanje ureaja koji podravaju PoE standard kao to su IP Security kamere, mrene web kamere, zidni satovi sa podrkom za NTP protokol, wireless access points, senzori (temperatura,vlanost,kretanje,itd.) i drugi ureaji. Ureaj koji zadovoljava navedene karakteristike je Cisco WS-C2960S-24PD-L layer 2 svi (specifikacija prikazana u Tabeli 6.) i kao i prethodno navedeni model takoe podrava Cisco FlexStack tehnologiju.
Cisco Catalyst 2960-S Switch Model Description Uplinks Available PoE Power Cisco Catalyst 2960S- 24PD-L 24 Ethernet 10/100/1000 PoE+ ports 2 Ten Gigabit Ethernet SFP+ or 2 One Gigabit Ethernet SFP ports 370W Maximum Number of PoE+(IEEE 802.3at) Ports *
Maximum Number of PoE (IEEE 802.3af) Ports *
Available PoE Power Cisco Catalyst 2960S- 24PD-L 12 ports up to 30W 24 ports up to 15.4W 370W
Catalyst 2960-S Idejni projekat Campus mrea Medicinskog fakulteta Univerziteta u Beogradu 26
4.3 Povezivanje pristupnih svieva sa centralnim voritem
Na Slici 6. prikazana je nova struktura campus mree dobijena izgradnjom jo jednog centralnog vornog mesta. Premetanjem postojeeg layer 3 svia i postavljanjem novog dobija se redudantnost u radu same mree. Fiziko povezivanje na optiku infrastrukturu u novom centralnom voritu se vri pomou SFP+ modula koji podrazumevaju da jedan kraj fiber optikog kabla je terminiran na LC konektore dok je drugi kraj u zavisnosti od patch panela na koji se vri konekcija terminiran na SC ili FC konektore (Slika 10.).
Slika 10. Tipovi konektora
Kako bi se obezbedila redudantnost potrebno je povezati pristupne svieve sa oba centralna vorna mesta, to je omogueno aktiviranjem i povezivanjem rezervnih optikih linija i povezivanjem samih layer 3 svieva meusobno. U situaciji gde u jednom rack ormanu imamo postavljeno vie layer 2 svieva koji su meusobno povezani pomou FlexStack tehnologije jedan od svieva se preko svog trunk porta prikljuuje na primarno vorno mesto dok se na jednom od ostalih svieva vri prikljuivanje sa sekundarnim vornim mestom.
Idejni projekat Campus mrea Medicinskog fakulteta Univerziteta u Beogradu 28
Slika 11. Redudantni linkovi sa FlexStack redudansom
Cisco FlexStack tehnologija omoguava da se kao na Slici 11. svievi meusobno poveu tako da u sluaju otkaza jednog od svieva koji su povezani na centralno vorite ostali svievi ostaju povezani preko drugog svia koji je povezan na sekundarno vorite. Protokoli korieni za uspostavljanje redudantnosti mrene infrastrukture su opisani u Poglavlju br. 5.
Idejni projekat Campus mrea Medicinskog fakulteta Univerziteta u Beogradu 29
4.4 Povezivanje sa akademskom mreom
Campus mrea Medicinskog fakulteta Univerziteta u Beogradu je sastavni deo akademske mree Srbije. Imajui to u vidu, neophodno je da campus mrea bude povezana kvalitetnim linkom na akademsku mreu. Glavno vorite akademske mree je RCUB. Izmeu RCUB-a i Dekanata Medicinskog fakulteta u Beogradu uspostavljen je optiki link i preko njega je puten gigabit ethernet link. Link je u Dekanatu Medicinskog fakulteta terminiran na Cisco Catalyst 3550-12G layer 3 sviing hub-u. Poto navedeni ureaj ima samo 12 portova a prema logikoj strukturi campus mree, u voritu u Dekanatu se stie 15 linkova, za ovo vorite e biti neophodno obezbediti proirenje. Proirenje moe da bude realizovano postavljanjem novom layer 3 sviing hub-a umesto postojeeg ili dodavanjem jo jednog identinog ureaja koji bi se sa postojeim vezao u stek. S obzirom na znaaj i veliinu mree Medicinskog fakulteta, postojanje samo jednog linka ka akademskoj mrei moe da predstavlja problem sa stanovita pouzdanosti rada. Zbog toga treba u budunosti realizovati i rezervni link do nekog od vorita akademske mree. Rezervni link treba da bude realizovan po posebnom optikom kablu (ne sme da bude isti kabl kojim je realizovan sadanji link ka akademskoj mrei niti sme da ide istom trasom).
4.5 Rutiranje u campus mrei
Mrea Medicinskog fakulteta predstavlja jednu celinu za sebe. S obzirom da je i adresni prostor tako definisan da je mogue izvriti agregaciju, svi preduslovi za formiranje posebne oblasti u OSPF-u su prisutni.
Akademska mrea Srbije kao protokol za interno rutiranje koristi OSPF protokol. OSPF protokol celokupnu mreu deli na oblasti u cilju pojednostavljenja u ubrzavanja rutiranja. U skladu sa tim bi i campus mrea Medicinskog fakulteta treba da bude jedna oblast u okviru OSPF-a. Imajui u vidu nain numeracije oblasti koji se primenjuje na akademskoj mrei, oblast kojoj pripada fakultetu ima identifikaciju 147.91.112.0 (vodei broj adresnog bloka koji je dodeljen Medicinskom fakultetu na korienje). Granini ruter (Area Border Router) za oblast 147.91.112.0 predstavlja layer 3 sviing hub Cisco Catalyst 3550-12G. Prema Idejni projekat Campus mrea Medicinskog fakulteta Univerziteta u Beogradu 30
RCUB-u koji predstavlja backbone oblast za OSPF protokol, ovaj ruter e oglaavati agregirane rute. Unutar oblasti 147.91.112.0 koristie se OSPF protokol izmeu layer 3 sviing hub- ova koji e se nalaziti u lokalnim voritima. U mrei je na par mesta realizovana redundantna veza u cilju poveanja pouzdanosti rada cele mree. OSPF protokol je zaduen da obezbedi korienje redundantnih linkova, kao u trenucima havarije tako i u vreme normalnog rada mree.
Idejni projekat Campus mrea Medicinskog fakulteta Univerziteta u Beogradu 31
5 MRENI PROTOKOLI I SERVISI
5.1 Protololi za rutiranje
OSPF (Open Shortest Path First) je link-state protokol koji je razvijen kao zamena za distance vector protokol RIP. RIP je predstavljao prihvatljivo reenje u poetcima umreavanja i interneta, ali njegovo oslanjanje na hop count kao metriku za biranje putanja je ubrzo postalo neprihvatljivo u veim mreama gde je bilo potrebno znatno bolje reenje za rutiranje. OSPF je besklasni protokol za rutiranje koji koristi princip oblasti i skalabilnosti i koristi Dijkstrin SPF algoritam za odabir najbolje putanje.
Inicijalni razvoj OSPF-a je poeo 1987. godine od strane IETF (Internet Engineering Task Force) OSPF radne grupe. U to vreme Internet je u najveem delu predstavljao akademsku i istraivaku mreu finansiranu od strane vlade Sjedinjenih Amerikih Drava.
Slika 12. Razvoj OSPF-a
Specifikacija za OSPFv1 je publikovana 1989.godine u RFC 1131. Specifikovane su dve implementacije OSFPv1, jedna za izvravanje na ruterima a druga za izvravanje na UNIX radnim stanicama. Kasnija implementacija UNIX verzije OSPF-a je postala nairoko rasprostranjen UNIX proces pod nazivom GATED. OSPFv1 je predstavljao eksperimentalni protokol za rutiranje i nikada nije doiveo punu primenu. Idejni projekat Campus mrea Medicinskog fakulteta Univerziteta u Beogradu 32
OSPFv2 je definisan u RFC 1247 od strane J ohn Moy-a. Nova verzija OSPF je nudila znatna tehnika unapreenja u odnosu na OSPFv1. Trenutna specifikacija OSFPv2 protokola je definisana u RFC 2328.
U prethodnom poglavlju predstavljen je OSPF kao protokol za rutiranje koji se primarno koristi u Akademskoj mrei Srbije i koji je odabran kao protokol koji se koristi za rutiranje izmeu campus mree Medicinskog fakulteta i RCUB-a.
Uzimajui u obzir da trenutno campus mrea Medicinskog fakulteta predstavlja krajnju taku u Akademskoj mrei Srbije javlja se mogunost da se sama mrea pri rutiranju definie kao kompletna stub oblast (totally stubby area (TSA)), ime bi se smanjilo optereenje layer 3 svieva poto bi same ruting tabele bile manje. TSA kod OSPF-a se postie tako to se na RCUB-ovom ruteru koji pretstavlja granini ruter u ovoj mrei pri konfigurisanju oblasti (area) definie da je to stub oblast i da se ne alju informacije o rutama (no-summary). Umesto slanja paketa sa rutama u ruting tabelu layer 3 svia se upisuje informacija o izlaznoj putanji (gateway of last resort), koja predstavlja putanju za sve pakete koji nisu namenjeni adresama iz adresnog opsega campus mree (Slika 13.).
Slika 13. Primer tottaly stubby oblasti
Idejni projekat Campus mrea Medicinskog fakulteta Univerziteta u Beogradu 33
5.2 HSRP
HSRP (Hot Standby Router Protocol) predstavlja Ciscov protokol koji se koristi za kreiranje redudanse u mreama.
HSRP je Cisco patentirani protokol napravljen da omogui da nekoliko rutera povee u logiku celinu koji se ponaaju kao jedan virtuelni ruter. RFC 2281 detaljnije opisuje protokol HSRP. Pri samom kreiranju virtuelnog rutera (grupe) kojem pripadaju fiziki ruteri definiu se virtuelna IP adresa i virtuelna MAC adresa. U samoj grupi ruter sa najviim prioritetom dobija ulogu aktivnog rutera i svi paketi prosleeni virtuelnoj IP adresi se obrauju u ovom ruteru, sekundarni ruter je u stanju pripravnosti i u sluaju otkaza aktivnog rutera preuzima virtuelnu IP i MAC adresu i poinje da rutira pakete.
Logika koja omoguuje sekundarnom ruteru da zna kada je primarni postao nedostupan je zasnovana na tome da oba rutera razmenjuju hello poruke preko multicast adrese 224.0.0.2 po UDP portu 1985. Standardna podeavanja su da ruteri alju poruke na 3 sekunde i ako nakon 10 sekundi ruter ne dobije hello poruku preuzima ulogu aktivnog rutera. Samo vreme od 10 sekundi u osetljivim mreama u kojima se koriste video i zvuk (voice) predstavlja dugaak period za nedostupnost mree. Ove vremenske intervale je mogue runo konfigurisati ali sam proces otkrivanja neaktivnog rutera moe dovesti do degradacije signala ili prekida aktivnih konekcija.
Na slici 14. prikazani su reimi rada rutera u konfigurisanoj HSRP grupi.
Idejni projekat Campus mrea Medicinskog fakulteta Univerziteta u Beogradu 34
Slika 14. Reimi rada rutera konfigurisanih pomou HSRP-a
Sam nain funkcionisanja HSRP-a se ogleda u tome da kada aktivni ruter u HSRP grupi postane nedostupan rezervni ruter preuzima virtuelnu IP i MAC adresu tako da klijentske maine ne prekidaju aktivne konekcije nakon odreenog perioda ne aktivnosti iste.
Idejni projekat Campus mrea Medicinskog fakulteta Univerziteta u Beogradu 35
5.3 NTP
NTP (Network Time Protocol) predstavlja protokol i softversko reenje za sinhronizaciju raunarskih satova preko raunarskih mrea. Sam protokol je prvi put definisan u RFC 958 dokumentu od strane Dejvida Milsa (David L. Mills), dok je poslednja verzija dokumentovana u RFC 5905. Logika na kojoj funkcionie NTP protokol je zasnovana na Marculovom algoritmu (Keith Marzullo) i prestupnim sekundama. Sam protokol u sebi sadri bufer za kanjenje kako bi se spreili efekti varjibilnog kanjenja. NTP protokol koristi UDP port 123 za komunikaciju.
Sam sistem NTP servera se sastoji iz vie stratuma (slojeva) vremenskih servera (Stratum 0, Stratum 1, Stratum 2 ).
Stratum-0 ureaji u sutini predstavljaju atomske, GPS ili radio asovnike. Sami ureaji nisu direktno povezani na mreu ve se preko RS232 sa PPS(Pulse per signal), signali koji se veoma precizno ponavljaju u vremenskom rasponu od 1 sekunde, portova povezuju na lokalni raunar.
Stratum-1 serveri se obino nazivaju time servers (serveri sa kojih se sinhronizuje vreme). Ovi serveri preuzimaju informacije o vremenu od Stratum-0 ureaja i distribuiraju ih Stratum-2 ureajima.
Sami Stratum-2 ureaji ine lokalne radne stanice ili ak odvojeni NTP server u lokalnoj mrei. Sami Stratum-2 serveri preuzimaju informacije o vremenu od vie Stratum-1 servera i u sluaju da se sa nekog servera alju netani podaci taj server se odbacuje.
Slika 15. Hijerarhija stratum servera Idejni projekat Campus mrea Medicinskog fakulteta Univerziteta u Beogradu 36
U campus mreama NTP protokol je jedan od servisa koje je obavezno implementirati iz vie razloga. Mnogi protokoli i servisi su osetljivi na razlike u vremenu podeenom npr. na klijentskom raunaru i serveru. U sluaju gde je veliki broj radnih stanica i servera konfigurisati runo oduzima mnogo vremena i nemogue je veoma precizno podesiti vreme, kao primer moe se uzeti gde usled pogreno podeenog vremena na radnoj stanici, validan SSL sertifikat biva odbaen od strane softvera kao nevalidan. Pored radnih stanica i servera same mrene ureaje u campus mrei je potrebno konfigurisati da uklauju svoj asovnik sa lokalnim NTP serverom. U sluaju firewall-ova potrebno je konfigurisati da se vreme usklauje sa NTP serverom ako npr. imamo situaciju gde se odreena pravila aktiviraju u unapred definisanim vremenskim periodima. Takoe jedan od bitnijih razloga je to se javlja obaveza uvanja log fajlova o kompletnoj komunikaciji u i van campus mree za odreeni vremenski period (3, 6 ili 12 meseci), pritom je potrebno da taj fajl sadri i tano vreme kada se odreena komunikacija dogodila.
Idejni projekat Campus mrea Medicinskog fakulteta Univerziteta u Beogradu 37
5.4 SNMP i monitoring
SNMP (Simple Network Management Protocol) je deo TCP/IP seta protokola, ija osnovna funkcija je monitoring i menadment radnih stanica, servera, svieva, rutera i bezbednosnih reenja u IP mrei.Aktuelne verzije SNMP-a su SNMPv2c i SNMPv3. Sam protokol je koncipiran tako da sadri tri elementa i to su:
Menaderi - softver pomou kojeg se vri monitoring i menadment mrenih ureaja), Agenti - ureaji koji se monitoruju, MIBs (Management Information Bases) - koji predstavljaju skup definisanih informacija koje je mogue dobiti o agentima, na osnovu kojih menaderi vre upraljvanje i monitoring.
Sam protokol funkcionie na UDP portovima 161 i 162. Sama komunikacija izmeu menadera i agenta se vri tako to menadment softver alje zahteve o informacijama agentu sa bilo kog izvornog porta na port 161, dok agent odgovara menadment softveru na portu 162. U sluaju da se koristi TLS (Transport Layer Security) ili DTLS (Datagram Transport Layer Security) koriste se portovi 10161 i 10162.
Slika 16. SNMP monitoring Idejni projekat Campus mrea Medicinskog fakulteta Univerziteta u Beogradu 38
Campus mrea medicinskog fakulteta spada po veliini u srednje mree sama kompleksnost iste iziskuje da se implementira SNMP reenje za monitoring kako mrenih ureaja tako i serverske infrastrukture, ups napajanja, u sluaju nabavke naprednijih reenja za hlaenje data centra mogue je isto vriti monitoring istih.
Kao reenje za monitoring mrenih resursa najjednostavnije reenje, koje zadovoljava potrebe Medicinskog fakulteta, predstavlja alat po imenu Cacti dok za napredniji monitoring potrebno je implementirati reenje poput Zenoss softvera za monitoring.
Cacti predstavlja kompletan grafiki frontend za servis RRDTool, koji prikuplja sve neophodne informacije za kreiranje grafova i uva ih u MySQL bazi podataka. Pored mogunosti manipulacije i kreiranja grafova pomou informacija iz odreenih izvora Cacti nam omoguuje da sami definiemo nain prikupljanja istih.
Slika 17. Cacti grafovi
Idejni projekat Campus mrea Medicinskog fakulteta Univerziteta u Beogradu 39
Ovaj alat nam omoguava da vrimo monitoring fakultetske mree, kako aktivnih mrenih ureaja kao to su ruteri i svievi do samih servera i radnih stanica. Pri monitoringu aktivnih mrenih ureaja moemo nadgledati svaki fiziki interfejs na odreenom ruteru i sviu, kao i saobraaj na odreenom VLAN-u. Pri manipulaciji grafovima mogue je pratiti informacije o promenama nastalim na sviu u vremenskom rasponu od jedne godine do jednog minuta. Sam alat ne prua realtime informacije tako da je nemogue npr. imati informaciju da li je istog trenutka odreeni ureaj ili interfejs iz odreenog razloga postao nedostupan.
Poput Cacti grafikog alata, Zenoss nam prua mogunost da pratimo sve informacije vezane za mrene ureaje nad kojima se vri monitoring uz mogunost proirenja MIB baze podataka kako bi se definisale dodatne informacije koje elimo da pratimo.
Idejni projekat Campus mrea Medicinskog fakulteta Univerziteta u Beogradu 40
6 BEZBEDNOST
Krajem devedestih godina koncept bezbednosti raunarskih mrea se zasnivao na odbrani od malicioznih korisnika iji napadi potiu sa spoljne mree, Interneta. U modernim mreama vei deo napada potie od unutranjih korisnika, kako zlonamernih tako i sluajnih. Kako bi se spreila kompromitacija mree i servisa koji se koriste unutar iste potrebno je implementirati vie bezbednosnih reenja.
6.1 Firewall
Reenje koje je odabrano za implementaciju kao hardverski firewall u campus mrei Medicinskog fakulteta su dva Cisco ASA 5520 ureaja ije tehnike karakteristike su prikazane u Tabeli 7.
Cisco ASA 5500 Series Model/License Cisco ASA 5520 Network Location Internet Edge Performance Summary Maximum Firewall throughput 450 Mbps Maximum Firewall Connections 280,000 Maximum Firewall Connections/Second 12,000 Packets Per Second (64 byte) 320,000 Maximum 3DES/AES VPN Throughput 225 Mbps Maximum Site-to-Site and IPsec IKEv1 Client VPN User Sessions 750 Maximum AnyConnect or Clientless VPN User Sessions 750 Bundled SSL VPN User Session 2 Technical Summary Memory 2 GB Minimum System Flash 256 MB Integrated Ports 4-10/100/1000, 1-10/100 +4-10/100/1000, 4 SFP (with 4GE SSM) Maximum Virtual Interfaces (VLANs) 150 Expansion Capabilities SSC/SSM/ICs Expansion 1-SSM Idejni projekat Campus mrea Medicinskog fakulteta Univerziteta u Beogradu 41
SSC/SSM/ICs Supported CSC SSM, AIP SSM, 4GE SSM Intrusion Prevention Yes (with AIP SSM) Concurrent Threat Mitigation Throughput (Mbps) (Firewall + IPS Services) 225 (with AIP SSM-10) 375 (with AIP SSM-20) 450 (with AIP SSM-40) Content Security (Anti-virus, Anti-Spyware, File Blocking) Yes (with CSC SSM) Maximum Number of Users for Anti-virus, Anti-spyware, File Blocking (CSC SSM only) 500 (CSC-SSM-10) 1000 (CSC-SSM-20) Content Security Plus License features Anti-spam, anti-phishing, URL filtering Features Cisco Adaptive Security Appliance Software Version (latest) 8.4 Application-layer Firewall Services Yes Layer 2 Transparent Firewalling Yes Security Contexts (included/maximum) 1 2/20 GTP/GPRS Inspection 1 Yes High-availability Support 2 A/A and A/S SSL and IPsec VPN Services Yes VPN Clustering and Load Balancing Yes Advanced Endpoint Assessment 1 Yes
Cisco ASA podrava dva firewall reima rada i to su transparentni i rutirajui reim. U rutirajuem reimu rada inside(interfejs kad campus mrei) i outside(interfejs ka spoljnoj/internet mrei) imaju definisane IP adrese tj. ureaj funkcionie na mrenom nivou(layer 3). U ovom modu se takoe rutira saobraaj izmeu Cisco ASA-e i centralnog svia fakultetske mree i RCUB-ovog rutera/svia. Da bi se smanjilo optereenje Cisco ASA-e dodatnim rutiranjem preteno se implementira statiko rutiranje. U transparentnom reimu rada Cisco ASA funkcionie na nivou veze(layer 2) tj. inside i outside interfejsi nemaju definisane IP adrese. Ovaj reim rada je poznat i kao stealth ili bump-in-a-wire firewall zato to iako funkcionie na nivou veze ovaj ureaj vri inspekciju saobraaja na mrenom nivou tj. po IP adresama. Takoe u oba sluaja mogue je koristiti IP pristupne liste za definisanje dozvoljenog saobraaja izmeu fakultetske mree i Internet-a.
VPN i NAT funkcionalnosti je mogue koristiti samo u rutirajuem reimu rada zato to je potrebno da ureaj ima definisane IP adrese na svojim interfejsima kako bi bio vidljiv sa spoljne mree, tj. Internet-a. Kako bi se izbeglo dodatno optereenje samih Cisco ASA ureaja VPN i NAT reenja je potrebno implementirati kao odvojene servise u sklopu fakultetske mree.
U campus mreu Medicinskog fakulteta potrebno je postaviti dva Cisco ASA 5520 ureaja u failover reimu rada. Ovaj reim rada se konfigurie da bi omoguio u sluaju otkaza Idejni projekat Campus mrea Medicinskog fakulteta Univerziteta u Beogradu 42
glavnog Cisco ASA ureaja da pomoni ureaj preuzme ulogu aktivnog firewall-a. Failover se realizuje tako to se Cisco ASA-e poveu i definie se odreeni mreni opseg u kojem su konfigurisani interfejsi preko kojih su ovi ureaji povezani. Postoje dva reima rada ovih ureaja u failover podeavanjima i to su Active/Active i Active/Standby. U Active/Active reimu rada oba ureaja su aktivna tj. proputaju mreni saobraaj dok u Active/Standby reimu rada samo aktivni(primarni) ureaj proputa mreni saobraaj. Takoe postoje dva moda failover-a i to su statefull i regular failover. U regular failover modu pri prestanku rada primarnog ureaja sve konekcije se prekidaju, dok u statefull failover modu primarni ureaj konstantno alje informacije o ostvarenim konekcijama sekundarnom ureaju kako u sluaju prestanka rada primarnog ureaja ne bi dolo do prekida konekcija. U sledeem primeru je prikazana konfiguracija failover opcije na Cisco ASA 5520 ureajima u fakultetskoj mrei:
i p addr ess 147. 91. 119. 3 255. 255. 255. 240 st andby 147. 91. 119. 4 f ai l over f ai l over l an uni t secondar y f ai l over l an i nt er f ace Fai l over _i nt Gi gabi t Et her net 0/ 3 f ai l over l i nk Fai l over _i nt Gi gabi t Et her net 0/ 3 f ai l over i nt er f ace i p Fai l over _i nt 192. 168. 157. 1 255. 255. 255. 252 st andby 192. 168. 157. 2
Slika 17. Realizacija failovera izmeu dve Cisco ASA-e
Idejni projekat Campus mrea Medicinskog fakulteta Univerziteta u Beogradu 43
Pri konfiguraciji pristupnih listi postoje dva tipa i to su inside i outside pristupne liste koje su u sutini produene pristupne liste i postavljaju se na inside odnosno outside interfejs. Kao i u ruterima i svievima na krajevima ovih listi se nalazi eksplicitno odbijanje kompletnog mrenog saobraaja.
Pored samih pristupnih listi potrebno je implementirati i real-time bezbednosno reenje u vidu IPS senzora koji se ugrauje kao dodatni modul u sam Cisco ASA ureaj. Odabrano reenje je Cisco ASA AIP SSM-10 ije tehnike karakteristike su prikazane u Tabeli 8.
Feature Cisco ASA AIP SSM-10
Concurrent threat mitigation throughput (firewall and IPS services) 150 Mbps with Cisco ASA 5510 225 Mbps with Cisco ASA 5520 Global Correlation support Yes Threat protection 25,000+ threats Day-zero protection with anomaly detection Yes Custom signature support Yes Virtual sensors 4 Technical Specifications Memory 1 GB Flash 256 MB
Idejni projekat Campus mrea Medicinskog fakulteta Univerziteta u Beogradu 44
Sam modul se konfigurie odvojeno od Cisco ASA ureaja tj. poseduje sopstvenu menadment IP adresu.
Jedna od prednosti korienja Cisco ASA ureaja je i mogunost konfiguracije i monitoringa iste uz pomo Cisco-vog softverskog reenja Cisco ASDM (Adaptive Security Device Manager).
Slika 18.- Cisco Adaptive Security Device Manager
Idejni projekat Campus mrea Medicinskog fakulteta Univerziteta u Beogradu 45
6.2 Proxy
Samo postavljanje hardverskog firewall reenja nije dovoljno fleksibilno za kontrolisanje krajnjih korisnika campus mree. Kako bi se omoguilo centralizovana kontrola web aktivnosti korisnika campus mree Medicinskog fakulteta potrebno je prvo pomou pristupnih listi na firewall-u zabraniti sav saobraaj kad spoljnim mreama a potom implementirati proxy server.
Proxy server predstavlja posrednika izmeu klijentske maine i resursa na udaljenoj mrei. Kada klijentska maina poalje zahtev za resursom sa udaljene lokacije, fajl, web stranica ili neki drugi resurs, server, u sluaju da je konfigurisan kao transparentni proxy server, presree taj zahtev i u zavisnosti od predefinisanih pravila za filtriranje prosleuje ga ili odbacuje. Prednosti korienja proxy servera su:
Da se klijenti koji koriste proxy server ostanu anonimni pri slanju zahteva, najvie zbog bezbednosti, Da se ubrza pristup resursima (koristei keiranje). Web proxy-ji se najee koriste za keiranje web stranica sa web servera, Da bi se primenila polisa pristupa mrenim servisima ili sadrajima, npr. blokiranje pristupa odreenim sajtovima, Da se prate aktivnosti korisnika na Internetu i pomou istog generie izvetaj, Da bi se skenirao preneeni sadraj u sluaju da sadri maliciozni kod, Da se omogui skeniranje odlaznog saobraaja u sluaju, kako bi se primera radi spreilo curenje informacija iz organizacije.
Squid (web proxy server) je alat koji zadovoljava potrebe campus mree ove veliine. Squid je prvenstveno ke proxy server namenjen kontroli pristupa Web-u i podrava protokole kao to su FTP, HTTP, HTTPS. Sam nain funkcionisanja servera pomou keiranja web sadraja omoguava smanjivanje optereenja spoljnog linka tako to keira esto poseivane sajtove i na taj nain krajnjim korisnicima u lokalnoj mrei prua dodatno bri pristup traenim resursima. U Tabeli 9. dat je primer konfiguracije proxy servera Squid koji je implementiran na nekoj od besplatno dostupnih Linux OS distribucija.
Idejni projekat Campus mrea Medicinskog fakulteta Univerziteta u Beogradu 46
acl al l sr c 0. 0. 0. 0/ 0. 0. 0. 0 acl manager pr ot o cache_obj ect acl l ocal host sr c 127. 0. 0. 1/ 255. 255. 255. 255 acl t o_l ocal host dst 127. 0. 0. 0/ 8 acl pur ge met hod PURGE acl CONNECT met hod CONNECT ht t p_access al l ow manager l ocal host ht t p_access deny manager ht t p_access al l ow pur ge l ocal host ht t p_access deny pur ge ht t p_access deny ! Saf e_por t s ht t p_access deny CONNECT ! SSL_por t s ht t p_access al l ow l ocal host acl MEDNET sr c 147. 91. 112. 0/ 20 192. 168. 0. 0/ 22 acl SECNET sr c 192. 168. 14. 0/ 24 acl SECNETDST dst 192. 168. 14. 0/ 24 acl VPNNET sr c 192. 168. 13. 0/ 24 acl f t p pr ot o FTP acl ht t p pr ot o HTTP ht t p_access al l ow manager l ocal host ht t p_access deny manager ht t p_access deny ! Saf e_por t s ht t p_access deny CONNECT ! SSL_por t s ht t p_access al l ow SECNET SECNETDST ht t p_access deny SECNETDST ht t p_access al l ow MEDNET ht t p_access al l ow SECNET ht t p_access al l ow VPNNET ht t p_access al l ow MEDNET f t p ht t p_access al l ow SECNET f t p ht t p_access al l ow VPNNET f t p ht t p_access al l ow MEDNET ht t p ht t p_access al l ow SECNET ht t p ht t p_access al l ow VPNNET ht t p ht t p_access al l ow l ocal host ht t p_access deny al l ht t p_r epl y_access al l ow al l i cp_access deny al l ht t p_access deny al l i cp_access al l ow al l ht t p_por t 8080 t r anspar ent hi er ar chy_st opl i st cgi - bi n ? cache_mem16 MB maxi mum_obj ect _si ze_i n_memor y 32 KB cache_di r auf s / var / spool / squi d 50000 16 256 access_l og / var / l og/ squi d/ access. l og squi d cache_st or e_l og none f t p_user pr oxy@med. bg. ac. r s acl QUERY ur l pat h_r egex cgi - bi n \ ? cache deny QUERY r ef r esh_pat t er n ^f t p: 1440 20% 10080 r ef r esh_pat t er n ^gopher : 1440 0% 1440 r ef r esh_pat t er n . 0 20% 4320 Idejni projekat Campus mrea Medicinskog fakulteta Univerziteta u Beogradu 47
acl apache r ep_header Ser ver ^Apache br oken_var y_encodi ng al l ow apache i e_r ef r esh on ext ensi on_met hods REPORT MERGE MKACTI VI TY CHECKOUT host s_f i l e / et c/ host s cor edump_di r / var / spool / squi d
Tabela 9. Primer konfiguracije proxy servera
Idejni projekat Campus mrea Medicinskog fakulteta Univerziteta u Beogradu 48
6.3 Syslog
Zbog same kompleksnosti i broja korisnika potrebno je implementirati i reenje pomou kojeg bi se u sluaju nekih nepredvidljivih situacija poput otkaza nekog mrenog ureaja, povrede pravila korienja raunarske mree, dokumentovao sam dogaaj. Reenje koje nam prua tu mogunost predstavlja Syslog proces.
Sam proces se zasniva na tome da se vane informacije i opisi nekih deavanja uvaju lokalno na radnoj stanici, mrenom ureaju ili na udaljenom serveru.
Slika 20. Syslog server
Pored logovanja informacija vezanih za mrene ureaje i protokole, dodatni razlog za uvoenje log servera je kako bi se na centralizovanoj lokaciji uvali logovi vezani za odreene aplikacije i servise dostupne u fakultetskoj mrei kako bi se u sluaju kompletnog prestanka funkcionisanja nekog od njih imao uvid u deavanja koja su prethodila samom prestanku funkcionisanja. Idejni projekat Campus mrea Medicinskog fakulteta Univerziteta u Beogradu 49
Sam syslog protokol koristi UDP port 514, na aplikacionom nivou syslog server ne generie odgovore na primljene poruke tako da sami ureaji konstantno alju generisane log poruke bez obzira da li ih definisani server prihvata.
Mogue je identifikovati i koristiti osam razliitih nivoa poruka od kojih najnii nivo (0) predstavlja najkritiniju poruku kao to je otkazivanje kompletnog sistema dok najvii nivo (7) predstavlja logovanje svih deavanja na ureaju. Nivoi poruka koje je mogue koristiti su sledei:
Format syslog poruka na Cisco-vim ureajima je sledei:
mm/ dd/ yyy: hh/ mm/ ss: f aci l i t y- sever i t y- MNEMONI C: Message- t ext
*Mar 6 22: 48: 34. 452 UTC: %LI NEPROTO- 5- UPDOWN: Li ne pr ot ocol on I nt er f ace Loopback0, changed st at e t o up
Idejni projekat Campus mrea Medicinskog fakulteta Univerziteta u Beogradu 50
6.4 DHCP Snooping
U jednu od mera unutranje bezbenosti mree spada DHCP snooping. Unutranja bezbednost raunarske mree predstavlja trenutno visok prioritet za zatitu iz same injenice da do napada ili nefunkcionisanja same mree moe doi i iz neadekvatnog prikljuivanja mrenih ureaja na fakultetsku campus mreu, poput prikljuivanja SOHO rutera kojem na njegovom LAN portu i usled ega on poinje da deli neispravne DHCP odgovore. Sam servis nam prua mogunost da definiemo koji port na sviu moe da odgovara/prosleuje odgovore na DHCP zahteve. Portovi se u ovom sluaju dele na na sigurne (trusted) i nesigurne (untrusted) portove. U sluaju da se na nesigurnom portu pojavi DHCP odgovor na poslati zahtev sistem automatski iskljuuje port.
Slika 21. DHCP Snooping
Pri samoj konfiguraciji portova u mrei potrebno je obratiti panju da se pored porta na koji je povezan zvanini DHCP server, trunk portovi kad ostalim svievima takoe definiu kao sigurni portovi kako bi prosleivali DHCP odgovore.
Idejni projekat Campus mrea Medicinskog fakulteta Univerziteta u Beogradu 51
6.5 SSH
Sa sve veom dostupnou alata za analizu mrenog saobraaja potrebno je implementirati enkriptovanu komunikaciju na lokacijama na kojima presretanje komunikacije moe da dovede do kompromitacije raunarske mree i servisa.
Potrebno je da na svim mrenim ureajima i serverima omoguiti pristup samo pomou protokola koji obezbeuju dovoljan nivo zatite od napadaa.
Da bi se to ostvarilo potrebno je da svi ureaji podravaju SSH protokol verzije 2. Prva verzija SSH protokola je razvijena od strane Tatu Ilonena (Tatu Ylnen), istraivaa sa Helsinkog Tehnolokog Univerziteta, kao zamena za rlogin, telnet i rsh protokole koji nisu obezbeivali dovoljan nivo autentifikacije i zatite.
Jedan od glavnih razloga implementacije ovog protokola je kako bi se spreilo prislukivanje komunikacije, poput konfiguracije udaljenih svieva i servera ili prebacivanje log fajla na syslog server. Pri samoj implementaciji SSH-2 protokola potrebno je da pri kreiranju kljua (key) se koristi RSA algoritam iji modul mora da iznosi minimalno 1024 bita.
Svi prethodno definisani ureaji i protokoli moraju da podre i SSH-2 protokol.
Idejni projekat Campus mrea Medicinskog fakulteta Univerziteta u Beogradu 52
7 SERVERSKA INFRASTRUKTURA
7.1 Postojea infrastruktura
Analizom postojee serverske infrastrukture na Medicinskom fakultetu javila se potreba za kreiranjem i implementacijom kompletno nove infrastrukture. Uzimajui u obzir da je u prethodnih 5 godina povean obim servisa koji su dostupni zaposlenima i studentima u okviru fakulteta iz priloene Tabele 10. se vidi da trenutni kapaciteti, zastarelost i sama organizacija postojeih servera predstavlja potencijalni problem u daljoj implementaciji novih servisa i nadogradnji postojeih.
Uzimajui u obzir da trenutna infrastruktura je neefikasna u iskorienju postojeih resursa, samo reenje se nalazi u implementaciji novih serverskih tehnologija u kombinaciji sa virtuelizacijom.
Proizvoa Model Broj CPU (jezgara) CPU brzina GHz Kapacitet RAM (GB) Tip diskova SATA/SCSI Broj diskova Ukupan kapacitet diskova(GB) HP Proliant DL310 G5 1(2) 2.13 1 SATA 2 160 HP Proliant DL310 G5 1(2) 2.13 1 SATA 2 160 HP Proliant DL380 G5 1(4) 2.83 8 SAS 6 540 IBM x3500 2(8) 1.6 8 SATA 6 500 Inspur NF5520 2(8) 2.13 4 SATA 6 640 Inspur NF5520 2(8) 2.13 4 SATA 6 640 Inspur NF290D2 2(8) 2.33 16 SATA 4 500 Inspur NF290D2 2(8) 2.33 16 SATA 3 500
Tabela 10. Aktuelna serverska infrastruktura na Medicinskom fakultetu
Idejni projekat Campus mrea Medicinskog fakulteta Univerziteta u Beogradu 53
7.2 Blade arhitektura
Blade serveri predstavljaju novi oblik organizacije serverske infrastrukture koji odlikuje visoka gustina servera, storage sistema i komunikacione opreme. Unapred odredjenje veze izmedju napajanja, hladjenja i komunikacionih uredjaja znaajno olakavaju upravljanje infrastrukturom i donose utede u toku odravanja sistema. Za razliku od klasinih servera koji se postavljaju horizontalno, blade serveri se najee postavljaju vertikalno u blade asiju. Blade asija omoguava napajanje servera i njihovu interkonektivnost sa ostatkom raunarske infrastrukture. Ovakav pristup omoguava jednostavno dodavanje novih servera u infrastukturu uz minimalno uee administratora sistema.
Pored navedenih prednosti koje se odnose na fiziki sistem, veliku prednost blade serverima donosi i sistem objedinjenog upravljanja asijom i svim komponentama koje se nalaze u njoj. Administrator kroz jedan interfejs moe nadgledati sve komponente sistema i na taj nain efikasnije upravljati sa infrastrukturom.
Slika 22. Blade arhitektura
Idejni projekat Campus mrea Medicinskog fakulteta Univerziteta u Beogradu 54
Kljune prednosti blade servera:
Uteda u prostoru koja omoguava veliku raunarsku snagu u okviru malog prostora, Konsolidacija servera u cilju poboljanja upravljivosti serverima i kljunim komponentama, Smanjenje kompleksnosti sistema uvodjenjem modularnosti, jednostavnom integracijom, unapred preienim komponentama, deljenjem zajednikih resursa (napajanje, hladjenje) itd., Brzi povratak investicije kroz niu ukupnu cenu trokova (nabavka +odravanje).
Idejni projekat Campus mrea Medicinskog fakulteta Univerziteta u Beogradu 55
7.3 Virtuelizacija
Virtuelizacija prua mogunost da se na jednom serveru istovremeno izvrava vie operativnih sistema. Svaki od ovih sistema je izolovan i ne ugroava ostale sisteme. Na ovaj nain se postie konsolidacija velikog broja servera na malo hardvera. Pored oiglednih uteda u hardveru koje se postiu na ovaj nain, nastaju utede u operativnim trokovima kao to su napajanje, hladjenje, odravanje i utede u prostoru.
Iako je inicijalna ideja virtuelizacije bila uteda u gore navedenim aspektima, danas se virtuelizacija koristi i za realizovanje sistema visoke dostupnosti. Kreiranje sistema visoke dostupnosti korienjem virtuelizacije je vrlo jednostavno i ve je implementirano u skoro svakom virtuelizovanom okruenju.
Kreiranje novih virtuelnih maina sa operativnim sistemom je daleko bre nego u sluaju fizikih servera. Ovo omoguava IT slubi da se brzo prilagodi zahtevima koje im rukovodstvo i biznis nalau.
Slika 23. - Virtuelizacija
Kljune prednosti virtuelizacije:
Konsolidacija resursa, Vea pouzdanost i kontitunitet u radu aplikacija, Visok nivo upravljivosti raunarskim resursima.
Idejni projekat Campus mrea Medicinskog fakulteta Univerziteta u Beogradu 56
Kombinacija blade servera i virtuelizacija prua maksimalnu fleksibilnost u upravljanju infrastrukturom. Sa jedne strane unapredjeno i efikasno upravljanje u hardveru kroz blade servere, a sa druge strane mogunost pokretanja operativnih sistema u okviru virtuelnog sistema. Komplementarnost ovih tehnologija je pravi katalizator u revolucionarnom unapredjivanju dananjih raunarskih centara. Raunarski resursi e biti dopremljeni kada budu potrebni, koliko god budu potrebni, na mestu na kom su potrebni i vrlo lako e se po zahtevu ukloniti. Primenom ovih tehnologija se uspostavlja novi, vii nivo kontrole raunarskih resursa.
Idejni projekat Campus mrea Medicinskog fakulteta Univerziteta u Beogradu 57
7.4 Tehnike specifikacije reenja za nov Data Centar
7.4.1 Blejd server reenje
Blejd sistem reenje mora podravati servere bazirane na x86-64 Intel i AMD procesorima, kao i servere sa podrkom za RISC procesore (npr. Itanium, POWER, SPARC itd.) Reenje mora inicijalno da podrava kapacitet za minimum 10 blejd servera pune visine (full-higth) sa redundantnim signalnim konekcijama izmeu blejd servera i blejd asije. Reenje mora da bude u potpunosti opremljeno redundantim komponentama sistema za napajanje i hlaenje za pun kapacitet blade sistema. Reenje mora da omogui funkcionisanje svih ethernet i SAS konekcija u svakom od blejd servera i njihovu povezanost sa eksternim ureajima van blejd asije putem odgovarajuih ethernet i SAS svieva. Ethernet svievi moraju biti minimum gigabit ethernet, moraju imati eksterne RJ 45 konektore i moraju podravati 802.1q protokol. Ethernet i SAS svievi moraju biti redundantni. Reenje inicijalno mora da sadri minimum 3 blejd servera pune visine (full-heigth) sa redundantnim signalnim konekcijama i sa sledeom konfiguracijom (tehniki minimum):
a) 2 x Intel Xeon 5620 ili ekvivalent, b) 6 x 2GB RAM DDR3, c) 6 x 4GB RAM DDR3, d) 4 x 1Gb Ethernet port, e) 2 x SAS port za povezivanje na storid sistem, f) 1 x USB memorija sa preinstaliranim programskim reenjem za virtuelizaciju servera.
7.4.2 Sistem za skladitenje podataka za blejd server reenje
Reenje mora sadrati sistem za skladitenje podataka koji ima ugraena dva kontrolera sa po minimum 1GB cache memorije po kontroleru. Kontroleri moraju podravati redundantni reim rada. Takoe mora sadrati sistem za skladitenje podataka koji se putem SAS konekcija povezuje na blejd server sistem. Idejni projekat Campus mrea Medicinskog fakulteta Univerziteta u Beogradu 58
Sistem za skladitenje podataka mora posedovati mogunost kreiranja RAID 1,5 i 10 nizova. Sistem za skladitenje podataka mora sadrati minimum 24 6Gb SAS diska sa pojedinanim kapacitetom od minimum 300GB koji rade na minimalnoj brzini obrtanja 10,000 rpm. Sistem za skladitenje podataka mora biti proiriv do minimalno 192 diska. Sistem za skladitenje podataka mora sadrati sve potrebne licence za povezivanje sa ponuenim blejd serverima i ponuenim softverom za virtuelizaciju.
7.4.3 Rek ormar za smetanje opreme
Orman mora biti minimalne visine 42U i minimalnih dimenizija osnove 600 x 1000 mm (xD). Orman mora imati i prednja i zadnja perforirana vrata, stim to prednja treba da imaju bravu. Orman mora da bude takve konstrukcije da omoguava nesmetan pristup opremi i sa prednje i sa zadnje strane.
Sav ponueni hardver mora biti od istog proizvoaa. Umesto navedene SAS konekcije za pristup sistemu za skladitenje podataka, ponua moe ponuditi alternativno tehniko reenje (npr. Fibre Channel ili 10Gb iSCSI).
7.4.4 Softver za virtuelizaciju servera
Potrebno je ponuditi licence za 6 fizikih procesora sa po 4 procesorska jezgra i menadment aplikacijom za minimum 3 fizika servera. Tip ponuenih licenci ne sme posedovati ogranienja u pogledu broja fizikih procesora po jednom fizikom serveru. Softver mora posedovati hipervizor koji radi nezavisno od operativnog sistema (bare metal hypervisor).
Softver inicijalno treba da sadri sledee funkcionalnosti:
a) Kreiranje virtualnih maina sa 4 virtuelna procesora, b) Dodavanje hard diskova i mrenih karti u virtuelnu mainu u toku rada virtuelne maine, c) Podeavanje sistema visoke dostupnosti virtuelnih maina High Availability, d) Migracija virtualnih maina sa servera na server bez iskljuivanja virtuelne maine, e) Uteda prostora na disku alociranjem prostora po potrebi Thinprovisioning, Idejni projekat Campus mrea Medicinskog fakulteta Univerziteta u Beogradu 59
f) Praenje verzija softvera za virtualizaciju i automatsko auriranje u cilju poveanja bezbednosti i dodavanja novih funkcionalnosti, g) Softver za automatsko pravljenje sigurnosnih kopija(backup) virtualnih maina u cilju spreavanja gubljenja podataka. Sistem u startu mora posedovati ovu funkcionalnost za minimalno 100 virtuelnih maina. Sistem mora sadrati i mogunost uklananja duplo skladitenih podataka (deduplikacija). Softver mora podravati opciju da se integrie sa menadment okruenjem samog sistema za virtuelizaciju, h) Programski interfejs (API) za komunikaciju sa proizvoaima bekap softvera u cilju jednostavnije integracije.
Softversko reenje i licence moraju posedovati mogunost nadogradnje kako u pogledu koliine procesorskih licenci i menadment softvera, tako i u pogledu funkcionalnosti. Funkcionalnosti koje softver mora podravati u naprednim verzijama su:
a) Mogunost nadogradnje reenja sa funkcionalnostima dinamikog upravljanja resursima kroz automatsko balansiranje optereenja servera u sluaju preoptereenosti pojedinanih servera, b) Mogunost migracije fajlova virtuelnih maina u toku rada virtuelne maine, c) Mogunost instalacije distribuiranog svia u cilju jednostavnije administracije mrenih resursa u virtualnom okruenju, d) Mogunost unifikacije konfiguracija i provera usklaenosti konfiguracija virtuelizovanih servera.
Uz licence je potrebno isporuiti i uslugu godinjeg odravanja softvera i tehniku podrku proizvoaa softvera za minimalni period od jedne godine.
Reenje treba da obuhvati i sledee aktivnosti oko instalacije i putanja u rad sistema na lokaciji korisnika:
a) Isporuka, montaa i putanje opreme u rad, b) Povezivanje isporuene opreme na postojei UPS sistem u server sobi, c) Povezivanje sistema za skladitenje podataka sa blejd server reenjem, d) Konfiguracija sistema za skladitenje podataka koja ukljuuje kreiranje logikih diskova, mapiranje logikih diskova na servere i podeavanje rezervnih diskova za sluaj otkaza, e) Povezivanje blejd server sistema u postojeu raunarsku mreu, f) Instalacija i konfiguracija softvera za virtuelizaciju ukljuujui instalaciju menadment komponente, podeavanje sistema visoke dostupnosti, integracija sa postojeom raunarskom mreom, podeavanje potrebno za migraciju virtuelnih maina i inicijalno postavljanje aplikacije za izradu sigurnosnih kopija virtuelnih maina, g) Obuka korisnika za korienje blejd server sistema, sistema za skladitenje podataka i softvera za virtuelizaciju, Idejni projekat Campus mrea Medicinskog fakulteta Univerziteta u Beogradu 60
h) Dokumentacija o izvrenoj isporuci opreme, izvrenim aktivnostima na instalaciji i putanju u rad sistema i odranoj obuci korisnika.
7.5 Realizovano reenje
Reenje koje u potpunosti zadovoljava prethodno navede tehnike specifikacije i funkcionalnosti je u vidu IBM eServer BladeCenter H asije koja podrava do 14 blejd servera pune veliine i potpuno redudantne komponente (napajanje,konekcije,hlaenje). Serveri IBM HS22 su u u skladu sa navedenim specifikacijama za servere koje je potrebno implementirati u samu asiju. Pored samih servera i asije tu se nalaze i moduli poput:
IBM BladeCenter SAS Connectivity Module, IBM BladeCenter H 2980W AC Power Modules w/Fan Pack, Multi-Switch Interconnect Module for IBM BladeCenter, Server Connectivity Module for IBM BladeCenter, IBM UltraSlim Enhanced SATA Multi-Burner.
Kako bi se ispunio uslov da sva oprema mora da bude od istog proizvoaa, sistem za skladitenje podataka koji ispunjava sve karakteristike je IBM System Storage DS3524 u koji je potrebno ugraditi 24 SAS HDD-a 2,5 kapaciteta 300GB. Zajedno sa IBM NetBAY rek orman om,u koji se postavlja oprema, hardverska platforma je kompletirana.
to se tie softverske platforme za vitruelizaciju kompletnu funkcionalnost i ispunjenost prethodno navedenih specifikacija, ispunjava VMware vSphere 5 Standard i VMware vCenter Server 5 Foundation kao kompletno reenje za virtuelizaciju.
Idejni projekat Campus mrea Medicinskog fakulteta Univerziteta u Beogradu 61
8 TELEKOMUNIKACIJE
Ovo poglavlje predstavlja rezultat analize trenutnog stanja telefonske mree Medicinskog fakulteta Univerziteta u Beogradu. U sledeim podsekcijama je dat kratak opis postojee telefonske infrastrukture i predlog ugradnje nove centrale koja bi predstavljala centralno vorite u telefonskoj mrei i mogunosti za implementaciju CTI servisa koje podrava ista.
8.1 Postojea infrastruktura
U Tabeli 11. je dat pregled telefonskih centrala koje se nalaze na Medicinskom fakultetu. Pored samih kunih centrala navedenih u Tabeli 10. postoje i direktne telefonske linije koje ne idu preko navedenih centrala. Trenutno je prvih pet lokacija navedenih u Tabeli 10. povezano IP putem, meutim, treba na mesto centrale u Dekanatu (Panasonic KX- TDA200), postaviti novu i savremeniju centralu koja bi praktino trebala da predstavlja budue vorite telefonske mree Medicinskog fakulteta, na koji bi se povezivali svi ostali delovi telefonske mree. Pri tome da bi ova nova centrala bila adekvatna za dui niz godina ona bi trebala da bude softsvi koji omoguava prikljuenje kako starih telefona i TDM telefonskih centrala (starija generacija centrala baziranih na TDM komutaciji govora), tako i novih sistema (VoIP telefoni, media gejtveji sistemi bazirani na paketskoj komutaciji).
Trenutna infrastruktura obuhvata devet lokacija prikazanih u Tabeli 11. od kojih na etiri lokacije su instalirane centrale novije generacije Aastra BP250, u Dekanatu je postavljena Panasonic TDA200 centrala, na Institutu za sudsku medicinu Panasonic TDA100.
Sve centrale imaju samostalne veze ka mrei Telekoma Srbija a.d., realizovane pomou ISDN PRI ili CO. Aastra BP250 centrale i Panasonic TDA200 centrala u Dekanatu su povezane na telefonsku mreu Telekoma Srbija pomou pet ISDN PRI konekcija. Same Aastra BP250 centrale su povezane meusobno pomou H.323 protokola dok je veza sa Panasonic TDA200 centralom lociranom u Dekanatu realizovana IP putem pomou media gateway ureaja sa 4 FXS kanala.
Idejni projekat Campus mrea Medicinskog fakulteta Univerziteta u Beogradu 62
Trenutno ne postoje realizovane veze ka drugim fiksnim i IP operaterima. Ka GSM mrei postoje etiri GSM gateway ureaja locirana u Dekanatu i jedan neaktivni BizLink, Telekoma Srbija, na Histolokom institutu.
R.br. Opis Tip centrale ISDN PRI Modem Numeracija lokala IP Adresa Ukupno portova 1 Dekanat Panasonic TDA200 3636-300 158 2 Histofiziologija Ericsson BP250 3607-000 3607-099 70xx do 71xx 147.91.126.121 260 3 Biohemija Ericsson BP250 3643-200 3643-299 32xx 147.91.126.122 134 4 Biblioteka Ericsson BP250 2062-200 2062-099 147.91.126.123 82 5 Patologija Ericsson BP250 3643-300 3642-499 33xx 147.91.126.124 242 6 Anatomija Alcatel 4200 40 7 Sudska medicina Panasonic TDA100 48 8 Patofiziologija Alcatel 4200 40 9 Silos Direktne linije 0 UKUPNO: 1004
Tabela 11. Spisak trenutno aktivnih centrala
Prednosti koje umreavanje postojeih centrala, zamena trenutne Panasonic TDA200 centrale u Dekanatu i kreiranje centralnog telekomunikacionog vorita su sledee:
Korienje postojeih resursa uz optimizaciju,
J edinstvena telefonska mrea Fakulteta na IP/ISDN nivou,
Novi IP/CTI servisi,
Integracija sa LAN/WAN servisima,
Uteda u telefoniranju i praenje trokova,
J ednostavna administracija i odravanje,
Kreiranje osnova za dalji razvoj telefonskih resursa i usluga.
Idejni projekat Campus mrea Medicinskog fakulteta Univerziteta u Beogradu 63
8.2 Realizovano reenje
Instalacijom nove centrale u server sali, u objektu Dekanata, stvara se mogunost da se postojea Panasonic TDA200 centrala izmesti na Institut za anatomiju gde trenutna Alcatel 4200 centrala ne ispunjava trenutne potrebe instituta.
Kako bi se kreiralo centralno vorite, potrebno je instalirati softsvi centralu, u sklopu server sale u Dekanatu. Predloena centrala je Aastra MX One TS sa sledeom konfiguracijom:
64 analognih lokala, 20 SIP lokala, 2 ISDN PRI linkova, 20 Analognih PTT veza sa CLIP, 2 SIP Trunk, 120 ISDNI Qsig kanala za umreavanje.
Sama softsvi centrala ja zasnovana na HP Proliant serverskoj arhitekturi i Suse Linux operativnom sistemu na kojem se izvrava aplikacija koja i ini samu sr ovog telekomunikacionog sistema Aastra MX-ONE Manager.
Samom instalacijom ove centrala otvara se mogunost implementacije naprednih CTI servisa poput:
1. Fax servera Novog mrenog uredjaja na IP nivou, vezanog putem SIP na IP/PBX u Dekanatu, na kojem su mapirani svi FAX brojevi iz mree putem DID brojeva u prolaznom biranju. Sam server prua mogunost slanja/primanja fax poruka na/sa mail-a, pri emu je svaki fax broj uvezan sa mail adresom primaoca fax poruka i svaki mail nalog uvezan sa brojem fax-a u predstavljanju poiljaocu.
Idejni projekat Campus mrea Medicinskog fakulteta Univerziteta u Beogradu 64
2. Voice mail servera Predstavlja novi mreni uredjaj na IP nivou koji je vezan putem SIP na IP/PBX u Dekanatu. Svaki lokal u celokupnoj mrei poseduje svoj nalog i jedinstveni nain rutiranja poziva na voice mail u sluajevima nejavljanja,zauzea ili direktnog rutiranja. Povezivanje Voice mail servera i mail Servera. Slanje primljenih voice poruka na e-mail vlasnika lokala kao audio file atachment. Pozdravne poruke i IVR kao nezavisni servis.
3. SIP Trunk/Ext - Mogunost povezivanja ka alternativnim operaterima. Uteda u ceni kotanja medjunarodnih poziva. Povezivanje sa izdvojenim lokacijama. Aktivacija SIP korisnika i povezivanje putem VPN.
4. Umreenje sa GSM - Iskoriavanje postojeeg, neaktivnog, BizLink-a Telekoma Srbija. Povezivanje na centralnu IP/PBX i mreno korienje aktivnim rutiranjem GSM poziva pri pozivanju. Aktiviranje pristupa direktnim biranjem iz GSM mree ka svakom lokalu po jedinstvenom broju. Skraeno biranje svakog GSM broja iz CUG mree Fakulteta. Uteda u ceni minuta prema svim GSM operatorima.
Povezivanje postojeih centrala sa centralnim voritem u Dekanatu je mogue izvriti na vie dva naina i to (oba naina su prikazana na slici 24.):
1. Korienjem postojee optike infrastrukture i rezervnih optikih linkova koji bi se terminirali na MUX modeme spojene na postojee interfejsne module na PBX pri emu bi postojei H.323 linkovi bili ostavljeni kao aktivne backup veze.
2. Korienjem postojee raunarske mree i postojeih H.323 linkova na lokacijama gde ne postoji rezerva u optikim linkovima pri emu je potrebno voditi rauna da je na tim linkovima i VLAN-u koji je dodeljen za komunikaciju potrebno implementirati QoS (Quality of Service) kako ne bi dolo do zaguenja ili ak nedostupnosti servisa.
Samom implementacijom predloene centrale ostavlja se mogunost implementacije kompletne VoIP tehnologije uz podrku za klasine telefonske tehnologije. Pored VoIP-a implementacijom ove centrale je postavljena i osnova za Unified Communications pri emu se objedinjuju voice,video i data sa mogunou kompletne mobilnosti krajnjih korisnika.
Idejni projekat Campus mrea Medicinskog fakulteta Univerziteta u Beogradu 65
Slika 24. Predloena struktura telekomunikacione mree
Idejni projekat Campus mrea Medicinskog fakulteta Univerziteta u Beogradu 66
9 MERE ZATITE BEZBEDNOSTI I ZDRAVLJA NA RADU
Prilog je uraen prema lanu 7. Zakona o bezbednosti i zdravlju na radu (Sl.glasnik br.101/2005).
Preventivna mera zatite je ukazivanje radnom osobolju na opasnosti koje im prete i primena odgovarajue zatite (zatitna sredstva, postupci) od tih opasnosti. Osoblje treba da je obueno za pruanje prve pomoi, a pribor za prvu pomo mora biti uvek u kompletu uz radnu ekipu, odnosno uz ostala sredstva zatite.
9.1 Opasnosti i pretnje i predviene mere za njihovo otklanjanje
Tokom izvoenja radova na opremi predvienom ovim projektom, potrebno je pridravati se merama zatite na radu. Ovde su nabrojane opasnosti i pretnje koje se mogu javiti pri izgradnji instalacija. O ovome treba da vodi rauna Odgovorni Izvoa i Nadzorni organ.
Opasnosti i pretnje Predviene mere
1.
Opasnost od sluajnog dodira delova pod naponom
Sva elektrina oprema predviena za ugradnju u zid ili u ormane, zatiena je kuitima i poklopcima, a vodovi su odgovarajue konstrukcije zatieni izolacijama i platovima. Uvoenje kablova u razvodne ormane i zatitna kuita opreme, izvedeno je na pravilan nain te je tako otklonjena opasnost od sluajnog dodira delova pod naponom.
2.
Opasnost od preoptereenja
Pravilnim izborom zatitnih osiguraa i prekidaa centralnih ureaja onemoguena je pojava preoptereenja napojnih kablova i prikljuenih ureaja.
Idejni projekat Campus mrea Medicinskog fakulteta Univerziteta u Beogradu 67
Opasnosti i pretnje Predviene mere
3.
Opasnost od struje kratkog spoja
Pravilnim izborom opreme i pravilno dimenzionisanje kablova, na osnovu podataka o struji kratkog spoja izbegava se opasnost od pregorevanja kablova i opreme.
4.
Opasnost od previsokog napona dodira i napona koraka
Opasnost od previsokog napona dodira i napona koraka izbegava se pravilnim izborom opreme, uzemljenjem svih metalnih delova koji ne pripadaju strujnim kolima, sistemom snienog napona i pravilnim izborom otpora uzemljivaa. Opasnost od napona koraka otklonjena je izradom uzemljenja na koje su vezani centralni ureaji.
5.
Opasnost od prevelikog pada napona u instalaciji
Opasnost od prevelikog pada napona u instalaciji otklanja se pravilnim dimenzionisanjem preseka provodnika za sva strujna kola.
6.
Opasnost od nestanka napona
Centralni ureaji zatieni su od nestanka napona opremom za obezbeenje neprekidnog napajanja ili dodatnog napajanja u odreenom vremenskom intervalu.
7.
Opasnost od uticaja struje zemljospoja
Izvoenjem zajednikog uzemljivaa izbegnuta je opasnost od struje zemljospoja.
8.
Opasnost od mehanikog oteenja
Sva oprema je zatiena kuitima od metala i locirana je na odgovarajuim mestima, a svi kablovi su poloeni u zatitne cevi i kanale, tako da ne moe doi do sluajnih mehanikih oteenja.
9.
Opasnost od pogrenog rukovanja
tetnost od pogrenog rukovanja uvek postoji za sve ugraene ureaje, a moe se otkloniti samo odgovarajuom obukom lica koja je koriste i zatitom od neovlaenog rukovanja opremom. Zatita moe biti mehanika (npr. zakljuavanje ormana).
10.
Opasnost od poara
Pravilnim izborom opreme koja pri pravilnom rukovanju i odravanju ne moe biti uzrok poara. Ugradnjom aparata za gaenje poara na elektrinim instalacijama tipa CO 2 postavljenim na svim ulaznim vratima, izbegava se vee irenje poara. Idejni projekat Campus mrea Medicinskog fakulteta Univerziteta u Beogradu 68
Opasnosti i pretnje Predviene mere
11.
Opasnost od uticaja vlage, praine, eksplozivnih i zapaljivih materijala i hemijskih uticaja
Opasnost od ovih uticaja otklonjena je pravilnim izborom opreme, razvodnih tabli i ormana prema mestu ugradnje, nameni i uslovima u kojima rade.
12.
Opasnost od uticaja elektromagnetnog polja
Primenom zatitnih mera prilikom paralelnog voenja i ukrtanja sa energetskim kablovima i izvoenjem uzemljenja armature kablova na oba kraja otklonjen je uticaj elektromagnetnog zraenja.
13.
Opasnost od statikog elektriciteta
Pravilnim izvoenjem uzemljenja svih ureaja i ormana izbegnuta je opasnost od statikog elektriciteta.
9.2 Opte napomene i obaveze
Sva oprema i materijali, predvieni ovim projektom moraju da odgovaraju vaeim tehnikim propisima i standardima. Izvoa radova je obavezan da uradi poseban elaborat o ureenju gradilita i radu na gradilitu. Orua za rad na mehanizovan pogon moraju imati uputstvo za bezbedan rad i da imaju potvrdu da su na njima primenjene sve propisane mere i normativi zatite na radu, odnosno da poseduju atesto primenjenim propisima zatite na radu. Izvoa radova je obavezan da 8 dana pre poetka rada obavesti nadleni organ inspekcije rada o poetku radova. Izvoa radova je duan da izvri obuavanje radnika iz materije zatite na radu i da upozna radnika sa uslovima rada, opasnostima i tetnostima u vezi sa radom i obavi proveru sposobnosti radnika za samostalan i bezbedan rad. Izvoa radova je obavezna da utvrdi radna mesta sa posebnim uslovima rada ukoliko takva mesta postoje. Prilikom nabavke orua za rad i ureaja iz dokumentacije, koja se prilae uz orua za rad i ureaje, moraju se pribaviti i podaci o akustikim osobinama iz kojih e se videti da li buka na radnim mestima i prostorijama ne prelazi dozvoljene vrednosti. Ako je za ispunjenje uslova o doputenim vrednostima potrebno preduzimnje posebnih mera (priguivai buke, elastino podlaganje i dr.) u pomenutoj dokumentaciji moraju biti naznaene i te mere. Idejni projekat Campus mrea Medicinskog fakulteta Univerziteta u Beogradu 69
Izvoa je obavezan da izradi normativna akta iz oblasti zatite na radu. Program za obuavanje i vaspitvanje radnika iz oblasti zatite, Pravilnik o pregledima, ispitivanjima i odravnju orua, ureaja i alata, Program mera za unapreenje zatite na radu i dr.
Sva postrojenja i odravanje istih moraju se uskladiti sa vaeim propisima. Svuda gde propisi zahtevaju, postaviti vidno oznaene natpise sa upozorenjima: visina napona, namena opreme, druga obavetenja. Pri izvoenju radova ili remonta postrojenja i opreme obavezno je postaviti opomensku tablicu u pogledu stanja ukljuenosti - iskljuenosti, zabrana, druga obavetenja za rukovaoce i sevisere. Pri rukovanju opemom obavezna je primena zatitne opreme i sredstava.
Idejni projekat Campus mrea Medicinskog fakulteta Univerziteta u Beogradu 70
10 PREDMER I PREDRAUN
U okviru predmera i predrauna date su budetske cene za aktivnu i pasivnu opremu kao i za izvoenje radova.
Redni broj Opis Jedinica mere Koliina Cena Ukupno
1. Optiki kabl SM 24 vlakana 9/125, indoor/outdoor, halogen free, nezapaljiv, sa zatitom od glodara
m 300 180,00 54.000,00 2. Optiki patch panel za 24 vlakna
kom 2 80.000,00 160.000,00 3.
Stojei rek orman 42U
kom 1 180.000,00 180.000,00 4.
Optiki SM patch kabl FC-LC duplex 2m
kom 20 3.260,00 65.200,00 5.
Optiki SM patch kabl SC-LC duplex 2m
kom 20 3.260,00 65.200,00 6.
Radovi na postavljanju optikog kabla
kom 300 350,00 105.000,00 7.
Sitan materijal i radovi
kom 1 75.000,00 75.000,00 8.
Projekat izvedenog stanja sa rezultatima merenja
kom 1 100.000,00 100.000,00
UKUPNO: 714.400,00
Tabela 12. Predmer i predraun pasivne mrene opreme Idejni projekat Campus mrea Medicinskog fakulteta Univerziteta u Beogradu 71
Redni broj Opis Jedinica mere Koliina Cena Ukupno
1.
Cisco Catalyst 4506-E chassis
kom 1 455.201,00 455.201,00 2.
Cisco Catalyst 4500E Supervisor Engine 7-E
kom 1 721.788,00 160.000,00 3.
Cisco WS-X4712-SFP+E kartica
kom 3 529.190,00 1.587.570,00 4.
Catalyst 4500 1400W AC napajanje
kom 2 64.960,00 129.920,00 5.
APC Smart-UPS 5000VA 230V Rackmount
kom 1 308.244,00 308.244,00 6.
Opcija 1: Cisco Catalyst 2960S- 24TD-L kom 40 121.982,00 5.196.800,00
2/4 1GB Port Ethernet Expansion Card (CFFh) For IBM SAS kom 3 16.213,00 48.639,00 Idejni projekat Campus mrea Medicinskog fakulteta Univerziteta u Beogradu 73
Redni broj Opis Jedinica mere Koliina Cena Ukupno 12.
Connectivity Card (CIOv) for IBM BladeCenter IBM USB
kom 3 5.973,00 17.919,00 13.
Memory Key for VMware ESXi 4.1
kom 3 5.253,00 15.760,00
SISTEM ZA SKLADITENJE PODATAKA
14.
IBM System Storage DS3524 Express Dual Controller Storage
kom 1 316.608,00 316.608,00 15.
300GB 2,5in 10K 6Gb SAS HDD
kom 24 12.904,00 309.714,00 16.
IBM lm SAS Cable
kom 4 3.466,00 13.866,00
SOFTVER ZA VIRTUELIZACIJU
17.
Academic VMware vSphere 5 Standard for 1 processor (with 32 GB vRAM entitlement per processor)
kom 6 51.950,00 311.703,00 18.
Academic Basic Support/Subscription for VMware vSphere Standard for 1 processor for 1 year
kom 6 12.157,00 72.944,00 19.
Academic VMware vCenter Server 5 Foundation for vSphere up to 3 Hosts
kom 1 78.056,00 78.056,00 Idejni projekat Campus mrea Medicinskog fakulteta Univerziteta u Beogradu 74
Redni broj Opis Jedinica mere Koliina Cena Ukupno 20. Academic Basic Support/Subscription for vCenter Server Foundation for vSphere kom 1 31.803,00 31.803,00
OSTALO
21.
IBM NetBay S2 42U Standard rack cabinet
kom 1 87.988,00 87.988,00 22.
Aktivnosti oko instalacije i putanja u rad kompletnog sistema kom 1 180.000,00 180.000,00
UKUPNO: 3.329.873,00
Tabela 14. Predmer i predraun opreme u okviru nove serverske infrastrukture
Idejni projekat Campus mrea Medicinskog fakulteta Univerziteta u Beogradu 75
Redni broj Opis Jedinica mere Koliina Cena Ukupno
1. Aastra MX-ONE Server
kom 1 1.093.769,00 1.093.769,00 2. Aastra MX-ONE Media Gateway
kom 1 1.242.292,00 1.242.292,00 3. Licenca za softver
kom
1 298.300,00 298.000,00 4.
Premetanje postojee centrale na Anatomski Institut
kom
1
100.000,00
100.000,00
5.
Postavljanje, povezivanje i konfigurisanje nove centrale
kom
1
50.000,00
50.000,00
6. Sitan materijal i radovi kom 1 50.000,00 50.000,00
UKUPNO:
2.834.061,00
Tabela 15. Predmer i predraun opreme za novu telefonsku infrastrukturu
Idejni projekat Campus mrea Medicinskog fakulteta Univerziteta u Beogradu 76
11 ZAKLJUAK
Ovaj rad prestavlja idejni projekat nadogradnje postojee raunarsko-telekomunikacione infrastrukture Medicinskog fakulteta Univerziteta u Beogradu, opisane u drugom projektnom zadatku. Imajui to u vidu nije razmatrano kompletno postavljanje nove optike infrastrukture ve samo polaganje novog optikog kabla koji se prostire trasom od objekta Dekanata preko Interne B klinike KCS-a do zgrade Silosa u kojem je realizovano rezervno vorite i izmeten postojei layer 3 svi.
Implementacijom novih mrenih ureaja i kreiranjem mree velikih brzina stvoreni su uslovi za postavljanje nove serverske infrastrukture zasnovane na IBM BladeCentrer reenju u okviru koga je odabrana IBM Blade asija sa 14 slotova za IBM Blade servere pune veliine i IBM i IBM sistem za skladitenje podataka koji ine kompletno hardversko reenje na kojem se implementira VMware vSphere 5 i vCenter Server 5 softversko reenje za virtuelizaciju. Ovim reenjem se dostie kompletna kontrola i visoka dostupnost servisa i informacionih sistema Medicinskog fakulteta kao i kompletna iskorienost resursa koje nudi samo reenje.
Pored izgradnje nove raunarsko-komunikacione infrastrukture, dat je i opisan predlog realizacija telekomunikacione infrastrukture u cilju postepenog prelaska sa klasine telefonije na nove tehnologije poput VoIP telefonije, do video konferencija, a sve sa ciljem da se postave osnove za budue kompletno objedinjavanje video, voice i data komunikacije.
U ovom projektu je realizovana implementacija nove raunarsko-telekomunikacione infrastrukture Medicinskog fakulteta, koja ini osnovu za uvoenje novih tehnologija i servisa sa ciljem da se ubrza i olaka dostupnost informacija u okviru samog fakulteta, uzimajui u obzir razuenost objekata, i dalji razvoj i implementaciju novih ICT/CTI servisa koji bi inili nadogradnju postojee infrastrukture a koji bi bili opisani i realizovani drugim radovima.
Idejni projekat Campus mrea Medicinskog fakulteta Univerziteta u Beogradu 77
12 LITERATURA
[1] Glavni projekat mree LOMED, Mr. Nenad Krajinovi, Elektrotehniki fakultet u Beogradu (2004).
[2] Implementing Cisco IP Switched Networks (SWITCH) Foundation Learning Guide, Richard Froom, Balaji Sivasubramanian, Erum Frahim (2010).
[11] Zakon o bezbednosti i zdravlju na radu, Slubeni Glasnik br.101/2005, (2005).
[12] E-Campus in Xiamen University:The Past, Present and The Hopeful Future, Weisheng Xue, Guojun J i, (2010).
[13] A Study of Efficiency- Campus Networks in Western Himalayan Universities of India, Dhirendra Sharma, Vikram Kumar, Marco Zennaro, Vikram Singh (2011).
[14] VCUHK: integrating the real into a 3D campus in networked virtual worlds, Bin CHEN, Fengru HUANG, Hui LIN, Mingyuan HU (2010).