Tehnički opis infrastrukture StuDOM

Opis

Infrastruktura StuDOM je distribuirana mrežna infrastruktura studentskih domova u RH koja je usklađena sa standardom eduroam™ (https://www.eduroam.hr/).

Infrastruktura StuDOM sastoji se od infrastruktura u studentskim domovima (u daljnjem tekstu: domska infrastruktura) i središnje infrastrukture smještene u Srcu (u daljnjem tekstu: središnja infrastruktura). Logički prikaz infrastrukture StuDOM vidljiv je na slici 1.


                                       
Slika 1.Logički prikaz infrastrukture StuDOM

Domska infrastruktura

Domsku infrastrukturu čine:

  • pasivna mrežna infrastruktura

  • aktivna mrežna infrastruktura

    • žičana lokalna računalna mreža (LAN)

    • bežična lokalna računalna mreža (WLAN)

  • domski poslužitelj

Pasivna infrastruktura

Na slikama 2.-5. dan je logički prikaz komponenata pasivne mrežne (kičmene i lokalne) infrastrukture: kampus mreža više paviljona; elementi lokalne mreže jednog paviljona; izvedba priključaka u sobi i učionici.

                          Slika 2.Strukturno kabliranje 1. razine

                         Slika 3.Strukturno kabliranje 2. i 3. razine

                    Slika 4. Razvod po studentskoj sobi

                     Slika 5. Razvod po učionici

Pasivna mrežna infrastruktura izvedena je u tri razine strukturnog kabliranja korištenjem različitih medija ovisno spoju koji predstavlja.

Strukturno kabliranje 1.razine

Strukturno kabliranje 1. razine čini okosnicu kampus mreže. Izvedeno je optičkim kabelima (optički kabeli MM ili SM ovisno o udaljenosti pojedinih paviljona) koji svojim karakteristikama moraju podržavati propusnost okosnice do 10 Gbit/s. Jednim svojim dijelom prolazi kroz DTK, a jednim dijelom kroz paviljon.

Strukturno kabliranje 2.razine

Strukturno kabliranje 2. razine predstavlja veze između razdjelnika na svakom katu i središnjeg razdjelnika unutar doma. Izvodi se optičkim kabelima MM koji svojim karakteristikama moraju podržavati propusnost do 10 Gbit/s.

Strukturno kabliranje 3.razine

Strukturno kabliranje 3. razine predstavlja razvod između razdjelnika i krajnjih korisnika lokalne računalne mreže. Pri projektiranju treba voditi računa da se za strukturno kabliranje 3. razine koriste UTP kabeli kategorije minimalno Cat6a.

Sukladno tome i priključnice u sobama moraju zadovoljavati standard koji se koristi za izgradnju lokalne mreže 3. razine. Ukupan broj priključaka unutar jedne studentske sobe jednak je broju ležaja u prostoriji plus jedan priključak (N+1). U dvokrevetnim sobama se montiraju jedna priključna kutija s jednim modulom RJ45 i jedna dvostruka priključna kutija s dva modula RJ45.

Prilikom izrade projekta strukturnog kabliranja 3. razine treba obavezno uvrstiti i razvod između razdjelnika i lokacija za postavljanje bežičnih pristupnih točaka. Lokacije za postavljanje bežičnih pristupnih točaka određuju se prema zasebnom projektu na osnovu provedenih mjerenja.

Tehničke sobe

Kod odabira prostorija za tehničke sobe potrebno je voditi računa da zadovoljava minimalne tehničke uvjete:

  • dimenzije prostorije moraju omogućiti pristup komunikacijskom ormaru s minimalno tri strane

  • dimenzije ulaznih vrata u tehnički sobu moraju omogućiti prolaz sve aktivne i pasivne opreme predviđene za tu sobu

  • napajanje i uzemljenje moraju biti izvedeni prema specifikaciji jake struje

  • klimatizacija prostorije mora osiguravati temperaturu prostorije 21-23 °C

  • vlažnosti prostorije mora biti regulirana

  • prava ulaska u prostoriju moraju biti ograničena.

 

Aktivna mrežna infrastruktura

Žičana lokalna računalna mreža (LAN)

Žičanu računalnu mrežu (LAN) čine LAN preklopnici koji su hijerarhijski raspoređeni u više slojeva te prema tome imaju različite funkcije.

Središnji LAN preklopnici se nalaze u središnjem čvorištu kampus mreže te služe za agregiranje prometa koji dolazi s distribucijskih preklopnika te prosljeđivanje prometa prema domskom poslužitelju.

Distribucijski LAN preklopnici raspoređeni su po paviljonima te služe za agregiranje prometa s pristupnih preklopnika i prosljeđivanje prometa prema središnjem preklopniku. U većini slučajeva distribucijski preklopnici su preklopnici s PoE te služe za spoj i napajanje bežičnih pristupnih točaka.

Pristupni LAN preklopnici raspoređeni su po paviljonima (u nekim slučajevima i po katovima paviljona) te služe kao pristupne točke za svaki korisnički priključak. Oni služe kao autentikator korisnika za pristup mreži korištenjem standarda 802.1X te prosljeđivati promet od korisničkog računala prema distribucijskom preklopniku.

LAN preklopnici svojim tehničkim karakteristikama moraju podržavati funkcionalnosti kako je prikazano u tablici 1.

Podrška za slijedeće IEEE norme:

802.1d (Spanning Tree)

802.1p (Traffic Prioritization), QoS

802.1ab (LLDP, LLDP-MED)

802.1q (VLAN Tagging)

802.1s (Multiple Spanning Tree)

802.1w (Rapid Spanning Tree)

802.1x (Port based authentication),

802.3x (Flow Control, Pause)

802.3z 1000BASE-X

802.3ab 1000BASE-T

802.3ae 10G-BASE-X

L3 funkcionalnosti:

kreiranje virtualnih L3 Vlan sučelja

kreiranje pristupnih listi (ACL) po IP adresi i TCP/UDP portu (L3/L4 ACL)

mogućnost kreiranja pristupnih listi po portu i po Vlan-u

Sigurnosne funkcije (kontrola dostupa do preklopnika i upotreba istog):

korisničko ime/zaporka, podaci pohranjeni u preklopniku radi administriranja uređaja

različite korisničke privilegije

podrška vanjskog sustava za autentikaciju/autorizaciju/accounting (AAA) - RADIUS (za administratore i korisnike)

pristup preko Secure Shell (SSHv2)

mogućnost sigurnosne pohrane konfiguracije preko mreže

Minimalni set  atributa  koje uređaj mora  isporučivati RADIUS accounting-u

Acct-Status-Type

Acct-Delay-Time

Acct-Session-Time

Acct-Input-Gigaword ili Acct-Input-Octet

Acct-Output-Gigawords ili Acct-Output-Octets

User-Name

NAS-IP-Address

Acct-Session-Id (jedinstven u vremenu)

Calling-Station-Id (MAC addresa)

NAS-Port

NAS-Identifier

Načini zapisivanja sistemskih događaja:

slanjem prema UNIX/LINUX syslogu

slanjem SNMP trapova i alarma

SNMP v1, v2c, v3

Bežična lokalna računalna mreža (WLAN)

WLAN čine bežične pristupne točke koje služe za spajanje korisnika na infrastrukturu StuDOM bežičnim putem, po standardu eduroam™, te za prosljeđivanje korisničkog prometa prema domskom poslužitelju.

Pozicioniranje bežičnih pristupnih točaka unutar studentskog doma treba odrediti na temelju dizajna bežične mreže koji treba rezultirati pokrivenošću signalom od najmanje -67 dBm u frekvencijskom opsegu 5 GHz u svim sobama uz održavanje SNR-a od najmanje 25 dB koristeći maksimalnu izlaznu snagu bežične pristupne točke od najviše 14 dBm.

Kako bi dizajn bežične mreže zadovoljio definirane potrebe, bežične pristupne točke u većini slučajeva nužno je postaviti što bliže samim korisnicima (slika 6).

                  Slika 6. Primjer pozicioniranja bežičnih pristupnih točaka

Bežične pristupne točke trebaju imati mogućnost rada u klasteru te svojim tehničkim karakteristikama moraju podržavati funkcionalnosti kako je prikazano u tablici 2.

Osnovni zahtjev:

uređaj treba imati mogućnost rada u klasteru

Opće karakteristike uređaja:

podrška za 802.11g/n i 802.11a/n/ac bežične standarde

podrška za rad na lokacijama visoke gustoće klijenata

uređaj treba imati integrirane antene

uređaj treba imati podršku za napajanje putem 802.3af (PoE)

uz uređaj trebaju biti isporučene sve potrebne licence

uz uređaj mora biti isporučena sva potrebna oprema za montažu na zid ili strop

Radio karakteristike:

podrška za simultani rad na 2.4 GHz i 5 GHz

podrška za DFS

dobitak integrirane antene treba biti minimalno 3dB za 2.4 GHz i 5 GHz

podrška za kanale širine 20 MHz i 40 MHz za 802.11n standard

podrška za kanale širine 20 MHz, 40 MHz i 80 MHz za 802.11ac standard

podrška za minimalno 2x2:2 MIMO

Sučelja:

uređaj treba imati minimalno jedno 100/1000 BASE-T (RJ-45) sučelje

uređaj treba imati konzolno sučelje

Sigurnost:

podrška za WPA2-Personal i WPA2-Enterprise

podrška za AES-CCMP

podrška za EAP-TLS i EAP-TTLS

Podrška za slijedeće IEEE norme:

802.1X (Port-Based Network Access Control)

802.11i ((MAC) Security Enhancements)

802.11r (Fast Basic Service Set (BSS) Transition)

802.11k (Radio Resource Measurement)

802.11v (Wireless Network Management)

802.11e (Quality of Service Enhancements)

802.11w (Protected Management Frames)

802.1p (Marking and policing)

802.1q (VLAN tagging)

Napredne funkcionalnosti:

podrška za automatsko podešavanje odabira kanala i snage odašiljanja

podrška za klasifikaciju korisničkog prometa na aplikativnoj razini (AVC)

podrška za prioritizaciju prometa na aplikativnoj razini (QoS)

podrška za ograničavanje prometa na aplikativnoj razini (L7 Firewall)

podrška za detekciju napada na bežičnoj mreži (WIDS)

podrška za prevenciju napada na bežičnoj mreži (WIPS)

podrška za preusmjeravanje klijenata sa 2.4 GHz na 5 GHz (Band Steering)

podrška za balansiranje klijenata između susjednih bežičnih pristupnih točaka (Load Balancing)

podrška za L2 roaming unutar klastera

podrška za L3 roaming između više klastera

Upravljanje i nadzor:

sustav za upravljanje i nadzor mora omogućiti konfiguraciju i nadzor svih bežičnih pristupnih točaka

prekid povezanosti bežičnih pristupnih točaka sa sustava za upravljanje i nadzor ne smije utjecati na rad bežične mreže za aktivne kao ni za nove klijente

sustav za upravljanje i nadzor treba omogućiti konfiguracijske promjene na više istovrsnih uređaja istovremeno.

sustav za upravljanje i nadzor treba imati podršku za praćenje i slanje alarma i događaja u realnom vremenu

sustav za upravljanje i nadzor sa svim traženim funkcionalnostima mora zadržati potpunu operabilnost i funkcionalnost bez pada performansi

 Opcionalno, središnja infrastruktura pruža mogućnost nadzora i upravljanja bežičnim mrežama pri čemu bežične pristupne točke trebaju biti kompatibilne sa središnjim sustavom nadzora i upravljanja bežičnim mrežama.

Domski poslužitelj

Domski poslužitelj odrađuje prosljeđivanje autentikacijskih zahtjeva (802.1X proxy), dodjeljivanje mrežnih parametara (DHCP), razdvajanje prometa (VLAN), maskiranje prometa (NAT) te filtriranje prometa (FW).

Autentikacijsko-autorizacijski proces u sustavu StuDOM oslanja se na autentikacijsku i autorizacijsku infrastrukturu znanosti i visokog obrazovanja u Republici Hrvatskoj AAI@EduHr (https://www.aaiedu.hr/o-sustavu/sto-je-aaieduhr/tehnicki-opis-sustava). Domski
poslužitelji prosljeđuju autentikacijske zahtjeve središnjim RADIUS
poslužiteljima sustava AAI@EduHr te putem njih primaju odgovarajuće
odgovore. Prema dobivenim odgovorima o ispravnosti identiteta korisnika koji se spaja na mrežu, domski poslužitelj dodjeljuje mrežne parametre korištenjem protokola DHCP.

Promet unutar infrastrukture StuDOM dijeli se na korisnički promet i nadzorni promet. Razdvajanje prometa obavlja se virtualnim mrežama (VLAN).

Domski poslužitelj ovisno o virtualnoj mreži s koje dolazi promet maskira pomet korištenjem NAT translacija, pri čemu zapise o translacijama pohranjuje u tablice koje se čuvaju na domskom poslužitelju.

Domski poslužitelj također obavlja i zadaće vatrozida korištenjem naprednih funkcionalnosti filtriranja prometa.

Najvažnije tehničke komponente koje domski poslužitelj mora zadovoljiti su:

  • minimalno 4 ugrađena mrežna sučelja

  • odvojeno mrežno sučelje za upravljanje i nadgledanje

  • minimalno 2 × 1 TB diskovnog prostora

  • mogućnost zamjene diskova u radu (hot-swap)

  • mogućnost instalacije OS Debian GNU/Linux

Središnja infrastruktura

Središnju infrastrukturu u Srcu čine:

  • središnji sustav nadzora i upravljanja bežičnim mrežama

  • središnji sustav nadzora

Središnji sustav nadzora i upravljanja bežičnim mrežama

Središnji sustav nadzora i upravljanja bežičnim mrežama izveden je upotrebom rješenja proizvođača Aerohive Networks te omogućuje nadzor i upravljanje kompatibilnim bežičnim pristupnim točkama.

Središnji sustav nadzora

Sustav za nadzor čine tri podsustava:

  • upravljanje inventarom – GLPI,

  • nadzor stanja – Nagios,

  • praćenje učinkovitosti – Zabbix,

Podsustav za upravljanje inventarom – GLPI omogućava evidentiranje komponenti domskih poslužitelja te osoba zaduženih za održavanje domskih poslužitelja.

Podsustav za nadzor stanja– Nagios omogućava praćenje rada domskih poslužitelja i njihovih servisa.

Podsustav za praćenje učinkovitosti – Zabbix omogućava praćenje performansi domskih poslužitelja i njihovih servisa (npr. preneseni promet, opterećenje komponenti domskih poslužitelja, opterećenje servisa).