Opis
Infrastruktura StuDOM je distribuirana mrežna infrastruktura studentskih domova u RH koja je usklađena sa standardom eduroam™.
Infrastruktura StuDOM sastoji se od infrastruktura u studentskim domovima (u daljnjem tekstu: domska infrastruktura) i središnje infrastrukture smještene u Srcu (u daljnjem tekstu: središnja infrastruktura). Logički prikaz infrastrukture StuDOM vidljiv je na slici 1.
Slika 1.Logički prikaz infrastrukture StuDOM
Domska infrastruktura
Domsku infrastrukturu čine:
-
pasivna mrežna infrastruktura
-
aktivna mrežna infrastruktura
-
žičana lokalna računalna mreža (LAN)
-
bežična lokalna računalna mreža (WLAN)
-
-
domski poslužitelj
Pasivna infrastruktura
Na slikama 2.-5. dan je logički prikaz komponenata pasivne mrežne (kičmene i lokalne) infrastrukture: kampus mreža više paviljona; elementi lokalne mreže jednog paviljona; izvedba priključaka u sobi i učionici.
Slika 2.Strukturno kabliranje 1. razine
Slika 3.Strukturno kabliranje 2. i 3. razine
Slika 4. Razvod po studentskoj sobi
Slika 5. Razvod po učionici
Pasivna mrežna infrastruktura izvedena je u tri razine strukturnog kabliranja korištenjem različitih medija ovisno spoju koji predstavlja.
Strukturno kabliranje 1.razine
Strukturno kabliranje 1. razine čini okosnicu kampus mreže. Izvedeno je optičkim kabelima (optički kabeli MM ili SM ovisno o udaljenosti pojedinih paviljona) koji svojim karakteristikama moraju podržavati propusnost okosnice do 10 Gbit/s. Jednim svojim dijelom prolazi kroz DTK, a jednim dijelom kroz paviljon.
Strukturno kabliranje 2.razine
Strukturno kabliranje 2. razine predstavlja veze između razdjelnika na svakom katu i središnjeg razdjelnika unutar doma. Izvodi se optičkim kabelima MM koji svojim karakteristikama moraju podržavati propusnost do 10 Gbit/s.
Strukturno kabliranje 3.razine
Strukturno kabliranje 3. razine predstavlja razvod između razdjelnika i krajnjih korisnika lokalne računalne mreže. Pri projektiranju treba voditi računa da se za strukturno kabliranje 3. razine koriste UTP kabeli kategorije minimalno Cat6a.
Sukladno tome i priključnice u sobama moraju zadovoljavati standard koji se koristi za izgradnju lokalne mreže 3. razine. Ukupan broj priključaka unutar jedne studentske sobe jednak je broju ležaja u prostoriji plus jedan priključak (N+1). U dvokrevetnim sobama se montiraju jedna priključna kutija s jednim modulom RJ45 i jedna dvostruka priključna kutija s dva modula RJ45.
Prilikom izrade projekta strukturnog kabliranja 3. razine treba obavezno uvrstiti i razvod između razdjelnika i lokacija za postavljanje bežičnih pristupnih točaka. Lokacije za postavljanje bežičnih pristupnih točaka određuju se prema zasebnom projektu na osnovu provedenih mjerenja.
Tehničke sobe
Kod odabira prostorija za tehničke sobe potrebno je voditi računa da zadovoljava minimalne tehničke uvjete:
-
dimenzije prostorije moraju omogućiti pristup komunikacijskom ormaru s minimalno tri strane
-
dimenzije ulaznih vrata u tehnički sobu moraju omogućiti prolaz sve aktivne i pasivne opreme predviđene za tu sobu
-
napajanje i uzemljenje moraju biti izvedeni prema specifikaciji jake struje
-
klimatizacija prostorije mora osiguravati temperaturu prostorije 21-23 °C
-
vlažnosti prostorije mora biti regulirana
-
prava ulaska u prostoriju moraju biti ograničena.
Aktivna mrežna infrastruktura
Žičana lokalna računalna mreža (LAN)
Žičanu računalnu mrežu (LAN) čine LAN preklopnici koji su hijerarhijski raspoređeni u više slojeva te prema tome imaju različite funkcije.
Središnji LAN preklopnici se nalaze u središnjem čvorištu kampus mreže te služe za agregiranje prometa koji dolazi s distribucijskih preklopnika te prosljeđivanje prometa prema domskom poslužitelju.
Distribucijski LAN preklopnici raspoređeni su po paviljonima te služe za agregiranje prometa s pristupnih preklopnika i prosljeđivanje prometa prema središnjem preklopniku. U većini slučajeva distribucijski preklopnici su preklopnici s PoE te služe za spoj i napajanje bežičnih pristupnih točaka.
Pristupni LAN preklopnici raspoređeni su po paviljonima (u nekim slučajevima i po katovima paviljona) te služe kao pristupne točke za svaki korisnički priključak. Oni služe kao autentikator korisnika za pristup mreži korištenjem standarda 802.1X te prosljeđivati promet od korisničkog računala prema distribucijskom preklopniku.
LAN preklopnici svojim tehničkim karakteristikama moraju podržavati funkcionalnosti kako je prikazano u tablici 1.
Podrška za slijedeće IEEE norme: |
802.1d (Spanning Tree) |
802.1p (Traffic Prioritization), QoS |
802.1ab (LLDP, LLDP-MED) |
802.1q (VLAN Tagging) |
802.1s (Multiple Spanning Tree) |
802.1w (Rapid Spanning Tree) |
802.1x (Port based authentication), |
802.3x (Flow Control, Pause) |
802.3z 1000BASE-X |
802.3ab 1000BASE-T |
802.3ae 10G-BASE-X |
L3 funkcionalnosti: |
kreiranje virtualnih L3 Vlan sučelja |
kreiranje pristupnih listi (ACL) po IP adresi i TCP/UDP portu (L3/L4 ACL) |
mogućnost kreiranja pristupnih listi po portu i po Vlan-u |
Sigurnosne funkcije (kontrola dostupa do preklopnika i upotreba istog): |
korisničko ime/zaporka, podaci pohranjeni u preklopniku radi administriranja uređaja |
različite korisničke privilegije |
podrška vanjskog sustava za autentikaciju/autorizaciju/accounting (AAA) - RADIUS (za administratore i korisnike) |
pristup preko Secure Shell (SSHv2) |
mogućnost sigurnosne pohrane konfiguracije preko mreže |
Minimalni set atributa koje uređaj mora isporučivati RADIUS accounting-u |
Acct-Status-Type |
Acct-Delay-Time |
Acct-Session-Time |
Acct-Input-Gigaword ili Acct-Input-Octet |
Acct-Output-Gigawords ili Acct-Output-Octets |
User-Name |
NAS-IP-Address |
Acct-Session-Id (jedinstven u vremenu) |
Calling-Station-Id (MAC addresa) |
NAS-Port |
NAS-Identifier |
Načini zapisivanja sistemskih događaja: |
slanjem prema UNIX/LINUX syslogu |
slanjem SNMP trapova i alarma |
SNMP v1, v2c, v3 |
Bežična lokalna računalna mreža (WLAN)
WLAN čine bežične pristupne točke koje služe za spajanje korisnika na infrastrukturu StuDOM bežičnim putem, po standardu eduroam™, te za prosljeđivanje korisničkog prometa prema domskom poslužitelju.
Pozicioniranje bežičnih pristupnih točaka unutar studentskog doma treba odrediti na temelju dizajna bežične mreže koji treba rezultirati pokrivenošću signalom od najmanje -67 dBm u frekvencijskom opsegu 5 GHz u svim sobama uz održavanje SNR-a od najmanje 25 dB koristeći maksimalnu izlaznu snagu bežične pristupne točke od najviše 14 dBm.
Kako bi dizajn bežične mreže zadovoljio definirane potrebe, bežične pristupne točke u većini slučajeva nužno je postaviti što bliže samim korisnicima (slika 6).
Slika 6. Primjer pozicioniranja bežičnih pristupnih točaka
Bežične pristupne točke trebaju imati mogućnost rada u klasteru te svojim tehničkim karakteristikama moraju podržavati funkcionalnosti kako je prikazano u tablici 2.
Osnovni zahtjev: |
uređaj treba imati mogućnost rada u klasteru |
Opće karakteristike uređaja: |
podrška za 802.11g/n i 802.11a/n/ac bežične standarde |
podrška za rad na lokacijama visoke gustoće klijenata |
uređaj treba imati integrirane antene |
uređaj treba imati podršku za napajanje putem 802.3af (PoE) |
uz uređaj trebaju biti isporučene sve potrebne licence |
uz uređaj mora biti isporučena sva potrebna oprema za montažu na zid ili strop |
Radio karakteristike: |
podrška za simultani rad na 2.4 GHz i 5 GHz |
podrška za DFS |
dobitak integrirane antene treba biti minimalno 3dB za 2.4 GHz i 5 GHz |
podrška za kanale širine 20 MHz i 40 MHz za 802.11n standard |
podrška za kanale širine 20 MHz, 40 MHz i 80 MHz za 802.11ac standard |
podrška za minimalno 2x2:2 MIMO |
Sučelja: |
uređaj treba imati minimalno jedno 100/1000 BASE-T (RJ-45) sučelje |
uređaj treba imati konzolno sučelje |
Sigurnost: |
podrška za WPA2-Personal i WPA2-Enterprise |
podrška za AES-CCMP |
podrška za EAP-TLS i EAP-TTLS |
Podrška za slijedeće IEEE norme: |
802.1X (Port-Based Network Access Control) |
802.11i ((MAC) Security Enhancements) |
802.11r (Fast Basic Service Set (BSS) Transition) |
802.11k (Radio Resource Measurement) |
802.11v (Wireless Network Management) |
802.11e (Quality of Service Enhancements) |
802.11w (Protected Management Frames) |
802.1p (Marking and policing) |
802.1q (VLAN tagging) |
Napredne funkcionalnosti: |
podrška za automatsko podešavanje odabira kanala i snage odašiljanja |
podrška za klasifikaciju korisničkog prometa na aplikativnoj razini (AVC) |
podrška za prioritizaciju prometa na aplikativnoj razini (QoS) |
podrška za ograničavanje prometa na aplikativnoj razini (L7 Firewall) |
podrška za detekciju napada na bežičnoj mreži (WIDS) |
podrška za prevenciju napada na bežičnoj mreži (WIPS) |
podrška za preusmjeravanje klijenata sa 2.4 GHz na 5 GHz (Band Steering) |
podrška za balansiranje klijenata između susjednih bežičnih pristupnih točaka (Load Balancing) |
podrška za L2 roaming unutar klastera |
podrška za L3 roaming između više klastera |
Upravljanje i nadzor: |
sustav za upravljanje i nadzor mora omogućiti konfiguraciju i nadzor svih bežičnih pristupnih točaka |
prekid povezanosti bežičnih pristupnih točaka sa sustava za upravljanje i nadzor ne smije utjecati na rad bežične mreže za aktivne kao ni za nove klijente |
sustav za upravljanje i nadzor treba omogućiti konfiguracijske promjene na više istovrsnih uređaja istovremeno. |
sustav za upravljanje i nadzor treba imati podršku za praćenje i slanje alarma i događaja u realnom vremenu |
sustav za upravljanje i nadzor sa svim traženim funkcionalnostima mora zadržati potpunu operabilnost i funkcionalnost bez pada performansi |
Opcionalno, središnja infrastruktura pruža mogućnost nadzora i upravljanja bežičnim mrežama pri čemu bežične pristupne točke trebaju biti kompatibilne sa središnjim sustavom nadzora i upravljanja bežičnim mrežama.
Domski poslužitelj
Domski poslužitelj odrađuje prosljeđivanje autentikacijskih zahtjeva (802.1X proxy), dodjeljivanje mrežnih parametara (DHCP), razdvajanje prometa (VLAN), maskiranje prometa (NAT) te filtriranje prometa (FW).
Autentikacijsko-autorizacijski proces u sustavu StuDOM oslanja se na autentikacijsku i autorizacijsku infrastrukturu znanosti i visokog obrazovanja u Republici Hrvatskoj AAI@EduHr. Domski
poslužitelji prosljeđuju autentikacijske zahtjeve središnjim RADIUS
poslužiteljima sustava AAI@EduHr te putem njih primaju odgovarajuće
odgovore. Prema dobivenim odgovorima o ispravnosti identiteta korisnika koji se spaja na mrežu, domski poslužitelj dodjeljuje mrežne parametre korištenjem protokola DHCP.
Promet unutar infrastrukture StuDOM dijeli se na korisnički promet i nadzorni promet. Razdvajanje prometa obavlja se virtualnim mrežama (VLAN).
Domski poslužitelj ovisno o virtualnoj mreži s koje dolazi promet maskira pomet korištenjem NAT translacija, pri čemu zapise o translacijama pohranjuje u tablice koje se čuvaju na domskom poslužitelju.
Domski poslužitelj također obavlja i zadaće vatrozida korištenjem naprednih funkcionalnosti filtriranja prometa.
Najvažnije tehničke komponente koje domski poslužitelj mora zadovoljiti su:
-
minimalno 4 ugrađena mrežna sučelja
-
odvojeno mrežno sučelje za upravljanje i nadgledanje
-
minimalno 2 × 1 TB diskovnog prostora
-
mogućnost zamjene diskova u radu (hot-swap)
-
mogućnost instalacije OS Debian GNU/Linux
Središnja infrastruktura
Središnju infrastrukturu u Srcu čine:
-
središnji sustav nadzora i upravljanja bežičnim mrežama
-
središnji sustav nadzora
Središnji sustav nadzora i upravljanja bežičnim mrežama
Središnji sustav nadzora i upravljanja bežičnim mrežama izveden je upotrebom rješenja proizvođača Aerohive Networks te omogućuje nadzor i upravljanje kompatibilnim bežičnim pristupnim točkama.
Središnji sustav nadzora
Sustav za nadzor čine tri podsustava:
-
upravljanje inventarom – GLPI,
-
nadzor stanja – Nagios,
-
praćenje učinkovitosti – Zabbix,
Podsustav za upravljanje inventarom – GLPI omogućava evidentiranje komponenti domskih poslužitelja te osoba zaduženih za održavanje domskih poslužitelja.
Podsustav za nadzor stanja– Nagios omogućava praćenje rada domskih poslužitelja i njihovih servisa.
Podsustav za praćenje učinkovitosti – Zabbix omogućava praćenje performansi domskih poslužitelja i njihovih servisa (npr. preneseni promet, opterećenje komponenti domskih poslužitelja, opterećenje servisa).