ZAŁĄCZNIK NR 2 DO UMOWY NA DOSTAWĘ, INSTALACJĘ I KONFIGURACJĘ URZĄDZEO AKTYWNYCH I OPROGRAMOWANIA ZARZĄDZAJĄCEGO SIECI TELEINFORMATYCZNEJ STADIONU NARODOWEGO W WARSZAWIE Załącznik nr 2 Opis sieci teleinformatycznej 1. Założenia techniczne Sieć teleinformatyczna Stadionu Narodowego ma pełnić rolę wydajnego, zintegrowanego szkieletu komunikacyjnego dla wielu systemów projektowanych w ramach sieci niskoprądowych. W szczególności należy tu wymienić: dostęp do Internetu, transmisję danych na potrzeby aplikacji merytorycznych, obsługę komunikacji głosowej i wideokonferencji HD, monitoring wizyjny (CCTV), dystrybucję cyfrowego sygnału wideo HD (transmisja telewizyjna ze stadionu, dystrybucja sygnału telewizyjnego na stadionie), systemy automatyki budynku systemy bezpieczeństwa budynku, Sieć teleinformatyczna Stadionu Narodowego musi być jednorodna i w pełni zarządzana. Oznacza to zgodność protokołów komunikacji i zarządzania dla wszelkich funkcjonalności dostarczonych w ramach niniejszej procedury elementów i systemów. Sieć musi zatem zapewniać funkcjonalności kluczowe dla jednoczesnej obsługi kilku systemów, takie jak: wysoką wydajność, zarówno poszczególnych połączeń, jak i zagregowaną, wysoki poziom bezpieczeństwa, zarówno z punktu widzenia odporności na awarię, dostępności, jak też możliwości logicznej segmentacji infrastruktury, obsługę nowoczesnych standardów komunikacyjnych (protokoły IPv4 i IPv6), elastyczne kreowanie usług dla różnych środowisk i łatwą integrację nowych usług, obsługę mechanizmów różnicowania ruchu i zapewnienia jakości transmisji (QoS) możliwość skalowania i rozbudowy. Strona 1 z 11 ZAŁĄCZNIK NR 2 DO UMOWY NA DOSTAWĘ, INSTALACJĘ I KONFIGURACJĘ URZĄDZEO AKTYWNYCH I OPROGRAMOWANIA ZARZĄDZAJĄCEGO SIECI TELEINFORMATYCZNEJ STADIONU NARODOWEGO W WARSZAWIE 2. Topologia Topologia sieci teleinformatycznej odzwierciedla zaprojektowaną topologię pomieszczeń technicznych i okablowania strukturalnego stadionu. Sieć oparta będzie na czterech węzłach rdzeniowych, połączonych ze sobą na zasadzie pełnej kraty. Do węzłów rdzeniowych dołączane będą trzy typy węzłów drugiego poziomu: węzły IXP (Internet Exchange Point), umożliwiające realizację bezpiecznego i wydajnego styku z sieciami zewnętrznymi (operatorzy Internet, partnerzy medialni itp.), węzły CPD, realizujące funkcjonalności infrastruktury sieciowej Centrum Przetwarzania Danych, Strona 2 z 11 ZAŁĄCZNIK NR 2 DO UMOWY NA DOSTAWĘ, INSTALACJĘ I KONFIGURACJĘ URZĄDZEO AKTYWNYCH I OPROGRAMOWANIA ZARZĄDZAJĄCEGO SIECI TELEINFORMATYCZNEJ STADIONU NARODOWEGO W WARSZAWIE węzły dystrybucyjne, umożliwiające dołączanie urządzeń i systemów końcowych, urządzeń dostępowych sieci bezprzewodowej, pierścieni dostępowych systemów automatyki budynku. Zarówno węzły IXP, jak i CPD są opisane we właściwych charakterystykach technicznych. Węzły rdzeniowe zlokalizowane będą w głównych pomieszczeniach centrów danych: węzeł A – B1.927 węzeł B – B1.933 węzeł C – B1.970 węzeł D – B1.905 Ze względów niezawodnościowych węzły rdzeniowe oparte są o klaster przełączników (redundancja urządzeń). Rdzeń sieci powinien zapewniać przepływność 10Gb/s. Wymagane fizyczne zdublowania każdego z połączeń musi umożliwić: wykorzystanie technologii pozwalających na równoważenie obciążenia pomiędzy połączeniami, zapewnić nadsubskrypcję pasma w ramach poszczególnych urządzeń na poziomie nie większym niż 2:1,zapewniając wydajność 10Gb/s dla każdego z połączeń. Wszystkie połączenia dostępowe pracują z szybkością 1Gb/s z możliwością stosowania niższych prędkości (standard Ethernet 10/100/1000). Aby zapewnić właściwą elastyczność przy zarządzaniu rozkładem ruchu w sieci, połączenia dystrybucyjne (pomiędzy węzłami dystrybucyjnymi i rdzeniowymi) muszą pracować z prędkością 10Gb/s. Połączenia dostępowe pracują w oparciu o okablowanie miedziane (skrętka kategorii 6A), połączenia dystrybucyjne i rdzeniowe – w oparciu o okablowanie światłowodowe. Połączenia w ramach warstwy rdzeniowej realizowane są w oparciu o zdublowane łącza 10 Gigabit Ethernet każde z łączy warstwy rdzeniowej składa się z dwóch równoległych połączeń). Dodatkowo każdy z węzłów rdzeniowych posiada odpowiednią ilość interfejsów 10GE umożliwiających dołączenie pozostałych typów węzłów. Urządzenia dystrybucyjne rozmieszczone są w węzłach dystrybucji okablowania i dołączone do odpowiednich węzłów rdzeniowych za pomocą łącza 10GE. Każde urządzenie posiada dwa fizyczne połączenia do węzła rdzeniowego. Każde z połączeń jest dołączone do oddzielnego urządzenia rdzeniowego. 2.1. Węzły Centrum Przetwarzania Danych 2.1.1. Założenia techniczne Węzły Centrum Przetwarzania Danych (CPD) są wydzielonymi elementami infrastruktury sieciowej, przeznaczonymi do obsługi serwerów wszystkich systemów Strona 3 z 11 ZAŁĄCZNIK NR 2 DO UMOWY NA DOSTAWĘ, INSTALACJĘ I KONFIGURACJĘ URZĄDZEO AKTYWNYCH I OPROGRAMOWANIA ZARZĄDZAJĄCEGO SIECI TELEINFORMATYCZNEJ STADIONU NARODOWEGO W WARSZAWIE aplikacyjnych wykorzystywanych w ramach Stadionu. Węzły CPD muszą spełniać określone wymogi techniczne, co najmniej: dysponować wysoką wydajnością zapewniać bardzo wysoką dostępność usług, integrować usługi typowe dla infrastruktury sieciowej klasy DataCenter kompatybilność z mechanizmami stosowanymi w sieci rdzeniowej umożliwiać zaawansowaną wirtualizację zasobów, włącznie z przydziałem zasobów dla poszczególnych segmentów. 2.1.2 Technologia przełączania Węzły CPD muszą korzystać z tych samych założeń odnośnie technologii przełączania i technologii transmisji co sieć teleinformatyczna. Wszystkie połączenia są oparte na standardach Ethernet. Dołączenie serwerów aplikacyjnych i systemów końcowych realizowane jest w oparciu o interfejsy 10/100/1000BaseT. Istotne jest wykorzystanie rozwiązań charakteryzujących się niskimi opóźnieniami przełączania. 2.1.3 Integracja usług Węzły CPD muszą zapewnić integrację usług brzegowych, gwarantując tym samym odpowiedni poziom analizy ruchu i ochrony zasobów. Jako minimum konieczne jest zapewnienie usług: firewall z kontrolą stanu połączeń i analizą aplikacyjną wykrywania i zapobiegania intruzjom , równoważenia obciążenia dla klastrów serwerów, odciążania kryptograficznego połączeń do serwerów, Wszystkie elementy powinny charakteryzować się wysoką odpornością na ataki kierowane na urządzenia. Mechanizmy zarządzania ruchem muszą być jednolite ze stosowanymi w sieci głównej teleinformatycznej. 2.1.4 Wirtualizacja zasobów Wszystkie elementy węzłów muszą zapewniać możliwość zaawansowanej wirtualizacji zasobów, gwarantującej co najmniej: bezpieczną separację poszczególnych segmentów sieci, tak na poziomie transmisji, jak też zarządzania i tworzenia polityk usługowych, zarządzanie przydzielaniem zasobów. Powyższe założenia dotyczą wszystkich elementów infrastruktury. 2.1.5 Topologia Węzły CPD są umieszczone w dwóch głównych pomieszczeniach przeznaczonych na centra danych, zlokalizowanych na poziomie B1 (B1.970 i B1.905). Strona 4 z 11 ZAŁĄCZNIK NR 2 DO UMOWY NA DOSTAWĘ, INSTALACJĘ I KONFIGURACJĘ URZĄDZEO AKTYWNYCH I OPROGRAMOWANIA ZARZĄDZAJĄCEGO SIECI TELEINFORMATYCZNEJ STADIONU NARODOWEGO W WARSZAWIE Każdy z węzłów CPD posiada architekturę dwuwarstwową: warstwa agregacyjna, koncentrująca połączenia z przełączników serwerowych i zapewniająca integrację usług oraz dołączenie do rdzenia sieci, warstwa dostępowa, zapewniająca dołączanie serwerów i urządzeń końcowych. Przełączniki dostępowe są instalowane w poszczególnych szafach serwerowych, eliminując konieczność prowadzenia dużej liczby traktów kablowych pomiędzy szafami. Warstwa agregacyjna jest oparta o zdublowane przełączniki wysokiej wydajności, dołączone do przełączników rdzeniowych zdublowanymi połączeniami 10GE. Przełączniki agregacyjne są elementem realizacji brzegowych usług sieciowych, w szczególności: filtrowania i kontroli zawartości przełączania zawartości , odciążania kryptograficznego serwerów . Przyjęto założenie, iż wydajność usługowa każdego z przełączników wynosi 8Gb/s, przy czym musi być zapewniona możliwość przyszłej jej rozbudowy. Poszczególne grupy usług realizowane są za pomocą modułów usługowych zintegrowanych w przełączniku lub z wykorzystaniem zewnętrznych urządzeń w przypadku usług, dla których założona wydajność tego wymaga. Struktura węzła musi zawierać: zintegrowaną platformę przełączania treści i odciążania serwerów, zewnętrzne urządzenia firewall i IPS, dołączane do przełączników. Strona 5 z 11 ZAŁĄCZNIK NR 2 DO UMOWY NA DOSTAWĘ, INSTALACJĘ I KONFIGURACJĘ URZĄDZEO AKTYWNYCH I OPROGRAMOWANIA ZARZĄDZAJĄCEGO SIECI TELEINFORMATYCZNEJ STADIONU NARODOWEGO W WARSZAWIE Każdy z przełączników serwerowych będzie dysponował min. 48-ma portami Ethernet 10/100/1000 i będzie dołączony do obu przełączników agregujących połączeniami 10GE. Strona 6 z 11 ZAŁĄCZNIK NR 2 DO UMOWY NA DOSTAWĘ, INSTALACJĘ I KONFIGURACJĘ URZĄDZEO AKTYWNYCH I OPROGRAMOWANIA ZARZĄDZAJĄCEGO SIECI TELEINFORMATYCZNEJ STADIONU NARODOWEGO W WARSZAWIE 2.2. Węzły styku z operatorami zewnętrznymi (IXP) 2.2.1. Założenia techniczne Węzły styku z operatorami telekomunikacyjnymi (IXP) są wydzielonymi elementami infrastruktury sieciowej, przeznaczonymi do obsługi styku z operatorami zewnętrznymi. Węzły IXP muszą spełniać określone wymogi techniczne, co najmniej: - zapewniać optymalizację rozkładu ruchu kierowanego poza infrastrukturę Stadionu, - zapewniać ochronę sieci wewnętrznej przed zagrożeniami, - kompatybilność z mechanizmami stosowanymi w sieci rdzeniowej 2.2.2. Mechanizmy niezawodnościowe i brzegowe Rozwiązanie musi zapewniać redundancję na poziomie łączy i urządzeń. Dotyczy to tak połączeń do rdzenia sieci, jak i do operatorów zewnętrznych. Styk z sieciami zewnętrznymi musi być szczególnie chroniony pod kątem dozwolonego ruchu, jak też wykrywania prób nie autoryzowanych działań. Konieczne jest zapewnienie ochrony firewall oraz IPS umieszczonymi w linii sygnału. 2.2.3 Topologia Węzły IXP są umieszczone w dwóch głównych pomieszczeniach przeznaczonych na centra danych (B1.970, B1.905). Strona 7 z 11 ZAŁĄCZNIK NR 2 DO UMOWY NA DOSTAWĘ, INSTALACJĘ I KONFIGURACJĘ URZĄDZEO AKTYWNYCH I OPROGRAMOWANIA ZARZĄDZAJĄCEGO SIECI TELEINFORMATYCZNEJ STADIONU NARODOWEGO W WARSZAWIE Każdy z węzłów IXP jest dołączony do rdzenia sieci za pomocą zwielokrotnionych połączeń 1Gb/s. Niezbędne jest wykorzystanie równoległych ścieżek danych obsługiwanych przez oddzielne systemy IPS i firewall. Każda ze ścieżek obsługuje ruch o wolumenie do 2Gb/s i jest dołączona do rdzenia sieci i routera brzegowego za pomocą podwójnych łączy 1GE. Zastosowanie czterech równoległych połączeń zapewnia założoną wydajność. 2.3 Infrastruktura dostępu bezprzewodowego (WLAN) 2.3.1 Założenia techniczne Siec WLAN ma zapewniać: dostęp do sieci publicznej dla zdefiniowanych użytkowników (goście imprez, uczestnicy imprez, konferencji, prasa, itp.), obsługa telefonów przenośnych (Voice over WLAN), dostęp mobilny do aplikacji merytorycznych. Strona 8 z 11 ZAŁĄCZNIK NR 2 DO UMOWY NA DOSTAWĘ, INSTALACJĘ I KONFIGURACJĘ URZĄDZEO AKTYWNYCH I OPROGRAMOWANIA ZARZĄDZAJĄCEGO SIECI TELEINFORMATYCZNEJ STADIONU NARODOWEGO W WARSZAWIE System dostępu bezprzewodowego jest oparty o jednolite technologie w pełni kompatybilne z główną siecią teleinformatyczną Stadionu Narodowego. Sieć bezprzewodowa musi udostępniać usługi, takie jak: monitorowanie pasma radiowego pod kątem obecności nie autoryzowanych urządzeń, lokalizacja i neutralizacja nie autoryzowanych urządzeń bezprzewodowych, monitorowanie lokalizacji wybranych urządzeń i zasobów. Sieć bezprzewodowa musi zapewniać: automatyzację zarządzania spektrum radiowym, wysoki poziom bezpieczeństwa, możliwość wirtualizacji (obsługi wielu segmentów sieci), oparcie o standardy branżowe. 2.3.2 Lokalizacja punktów dostępowych Stadion zostanie całkowicie objęty zasięgiem sieci bezprzewodowej, przy czym gęstość rozmieszczenia punktów dostępowych została zróżnicowana w zależności od typów obszarów – w miejscach rzadko uczęszczanych (typu parkingi, pomieszczenia techniczne) zasięg sieci będzie pozwalał na korzystanie ze znacznie ograniczonej liczby urządzeń końcowych i uzyskanie ograniczonej wydajności, podczas gdy strefy uczęszczane (strefy VIP,konferencyjne, prasowe itp.) posiadają zagęszczenie punktów dostępowych umożliwiające uzyskanie optymalnej wydajności. Wszystkie stosowane punkty dostępowe muszą posiadać mechanizmy zwiększania czułości odbiorczej przez korelację sygnałów z kilku anten i odbiorników. 2.3.3 Standardy transmisji Sieć bezprzewodowa będzie zgodna ze standardami 802.11a/b/g oraz 802.11n (draft 2.0) . Większość transmisji będzie się odbywać bez ochrony kryptograficznej. Dla zdefiniowanych grup wewnętrznych system WLAN musi zapewniać dostęp autoryzowany przez centralny system weryfikacji użytkowników w ramach sieci teleinformatycznej Stadionu Narodowego. Przewidziano zastosowanie standardu 802.11i/WPA2 w wersji Enterprise. 2.3.4 Zarządzanie systemem System WLAN musi być zarządzany centralnie i zapewniać co najmniej następujące funkcjonalności: - konfigurację sieci bezprzewodowej w jednym miejscu, w oparciu o szablony konfiguracyjne. - koordynację i automatyzację zarządzania pasmem radiowym. eliminację pojedynczych punktów awarii systemu Strona 9 z 11 ZAŁĄCZNIK NR 2 DO UMOWY NA DOSTAWĘ, INSTALACJĘ I KONFIGURACJĘ URZĄDZEO AKTYWNYCH I OPROGRAMOWANIA ZARZĄDZAJĄCEGO SIECI TELEINFORMATYCZNEJ STADIONU NARODOWEGO W WARSZAWIE uproszczone przełączanie urządzeń pomiędzy punktami dostępowymi (roaming), implementację usług dodatkowych, - wykrywanie i neutralizacja urządzeń nie autoryzowanych. Strona 10 z 11 ZAŁĄCZNIK NR 2 DO UMOWY NA DOSTAWĘ, INSTALACJĘ I KONFIGURACJĘ URZĄDZEO AKTYWNYCH I OPROGRAMOWANIA ZARZĄDZAJĄCEGO SIECI TELEINFORMATYCZNEJ STADIONU NARODOWEGO W WARSZAWIE 2.3.5 Topologia System dostępu bezprzewodowego jest oparty o centralne moduły kontrolne, zlokalizowane w węzłach CPD. Urządzenia dostępowe (punkty dostępowe – AP) rozmieszczone są w obszarze Stadionu zgodnie z projektem i dołączone do przełączników agregacyjnych za pomocą łączy 1Gb/s . Zasilanie AP jest realizowane przez kabel Ethernet bezpośrednio z portu przełącznika, Strona 11 z 11