Организация корпоративной сети с использованием технологии VPN на базе сети передачи данных

Основание разработки

Государственный контракт от 02.04.2008 № ДУ55/08 на оказание информационных услуг по поддержке и развитию сети передачи данных (СПД) администрации Владимирской области (АВО)

Цели и задачи

Целью проекта является модернизация информационной инфраструктуры СПД АВО для решения ряда социально-важных задач:

1)повышение эффективности работы органов исполнительной власти, за счет интенсификации процесса информатизации их работы;
2)реализации концепции «электронное правительство региона».

Техническое задание

Сеть передачи данных администрации Владимирской области, должна удовлетворять следующим требованиям.

1) СПД АВО должна представлять собой взаимосвязанную и взаимоувязанную корпоративную сеть, функционирующею как единое информационное пространство.
2) СПД АВО должна быть построена на принципах и технологиях подразумевающих использование широкораспространенного программного обеспечения и открытых стандартов.
3) СПД АВО должна обеспечивать передачу трафика разной степени конфиденциальности.
4) СПД АВО должна предоставлять пользователям удобный интерфейс для осуществления санкционированного доступа к данным, находящимся в любой из подсетей СПД АВО.
5) СПД АВО должна предоставлять возможность по организации видеоконференций.
6) СПД АВО должна использовать в качестве транспортной сети, общественную сеть Internet
7) СПД АВО должна обеспечивать защиту трафика, передаваемого по общественной сети Internet от несанкционированного ознакомления и модификации.
8) СПД АВО должна обладать устойчивостью к аппаратным и программным отказам.
9) Сетевой трафик между пользователями СПД АВО должен быть бесплатен.
10) СПД АВО должна функционировать, используя существующею инфраструктуру каналов связи и обеспечивать функционирование при модернизации каналов.
11) СПД АВО должна минимальным образом завесить от оператора услуг связи
12) СПД АВО должна быть легко масштабируема.

Описание объекта

На данный момент СПД АВО представляет собой слабосвязанное объединение изолированных информационных систем, принадлежащих:

1) органам администрации области;
2) структурным подразделениям администрации;
3) органам местного самоуправления области, имеющих статус городского округа или района.
Каждая из информационных систем входящих в СПД АВО, имеет в качестве комплекса технических средств локальную вычислительную сеть, построенную на базе телекоммуникационного оборудования и персональных компьютеров. Эксплуатация информационных систем осуществляется системными администраторами, входящими в штат соответствующей организации.

Основным назначением информационным систем является удовлетворение потребности локальных пользователей, выраженных в следующем виде:

1) совместный доступ к файлам и принтерам, расположенным в одном здании;
2) эксплуатация экономического программного обеспечения (системы автоматизации бухгалтерского учета и т.д.), ведомственных систем ориентированных на работу по вычислительной сети;
3) работа с системами автоматизации документооборота;
4) оперативная связь с использование систем передачи мгновенных сообщений (Instant Messenger)
5) доступ к специализированным базам данных и знаний;
6) электронная почта;
7) ведение официальных сайтов;
8) доступ в Internet;

В качестве основной телекоммуникационной технологии, информационные системы используют технологию Intranet.

В качестве сетевых протоколов используются Ethernet/xDSL/и т.д., и стек TCP/IP.

Типовая структура комплекса технических средств информационной системы представлена на Рисунке 1

 

Рисунок 1 – Типовая схема информационной системы

В локальных сетях, как правило, используется специальный диапазон IP адресов 192.168.0.0-192.168.0. При этом доступ в Internet в большинстве случаев осуществляется через NAT Proxy, реализуемый DSL модемом.

Штатное взаимодействие между пользователями различных информационных систем сводится к использованию электронной почты, периодическому доступу к удаленным файлам, расположенным на HTTP и FTP серверах.

Анализ способов построения корпоративной сети

Реализация СПД АВО в виде единой корпоративной сети может быть осуществлена различными способами, анализ которых приведен в таблице 1.

Таблица 1 – Анализ способов построения корпоративной сети

  № п/п  Название способа  Мероприятия по организации  Преимущества Недостатки
 1  Выделенная территориальная сеть  Прокладка территориальных каналов связи Максимальная скорость; высокая надежность и безопасность Очень высокие затраты на создание и эксплуатацию
 2 Аренда выделенных каналов связи местных операторов связи  Установка пограничного оборудования и подключение частей СПД и сети оператора связи Скорость определяется тех. возможностями оператора связи; высокая безопасность, за счет логической изоляции трафика от трафика Internet  Привязка СПД АВО к конкретному оператору связи, модернизация СПД сильно зависит от технических возможностей оператора связи, высокая стоимость эксплуатации
 3  Виртуальная частная сеть (VPN) на базе Internet  Установка пограничного оборудования на площадках участников СПД АВО  Использование существующей инфраструктуры каналов связи, наименьшая стоимость создания и эксплуатации, высокая масштабируемость, наименьшая зависимость от операторов связи  Низкая скорость, низкая надежность связи, необходимость дополнительной защиты трафика
 
Способ номер три наиболее полно покрывает требования технического задания и соответствует требованиям по реализации корпоративной сети на базе СПД АВО.

Анализ способов организации VPN

Виртуальные частные сети обладают несколькими характеристиками.

1) Трафик шифруется для обеспечения защиты от несанкционированного доступа.
2) Осуществляется аутентификация удаленного хоста.
3) Виртуальные частные сети обеспечивают поддержку множества протоколов.
4) Соединение обеспечивает связь только между двумя конкретными абонентами.

Реализация VPN осуществляется двумя типовыми способами:

1) Remote VPN. VPN в режиме удаленного доступа. Типовая схема подключения представлена на рисунке 2. Данный режим подключения ориентирован на удаленную работу одиночного пользователя с ЛВС организации. Пользователь, подключается к Internet доступным ему способом, затем, используя специализированного клиентское программное обеспечение осуществляет связь с удаленным VPN сервером. VPN сервер шифрует передаваемый трафик и предоставляет пользователю возможность работы в сети. При организации СПД АВО подобным образом необходимо будет с каждого узла осуществлять выделенное VPN соединение. Для обеспечения требования по защите информации, каждый узел должен быть оснащен сертифицированным средством защиты, что существенно увеличит стоимость реализации проекта в целом.
2) Site-to-Site VPN. VPN в режиме объединения сетей. Типовая схема представлена на рисунке 3. Использование VPN подобным образом предполагает установку VPN маршрутизаторов на границе объединяемых сетей. При этом работа пользователей осуществляется штатным образом, все задачи по объединению сетей, организации VPN туннелей и маршрутизации выполняется пограничным маршрутизатором. Для реализации данного режима необходимо обеспечить уникальность сетевых адресов каждого компьютера в пределах СПД АВО.

Исходя из выше сказанного, в качестве способа организации VPN СПД АВО выбирается режим Site-to-Site как наиболее удобный с точки зрения работы пользователей.

 

 Рисунок 2 – VPN в режиме удаленного доступа

 Рисунок 3 – VPN в режиме объединения сетей

Реализация СПД АВО в режиме VPN SITE-TO-SITE

Для организации работы СПД АВО в режиме Site-to-Site необходимо использовать пограничное оборудование, реализующее функции VPN-маршрутизатора. Причем, данное оборудование, в соответствие с указом Президента РФ № 351 от 17 марта 2008 должно быть сертифицировано как средство защиты информации.

Обобщенная структурная схема реализации VPN представлена на рисунке 4. Организация VPN Site-to-Site предполагает подключение, по топологии типа звезда. В центре находится сеть узел АВО, к которой подключаются удаленные площадки.

 

Рисунок 4 – Структурная схема СПД АВО

Состав комплекса технических средств

В качестве пограничного оборудования АВО предлагается использовать мультисервисный маршрутизатор Cisco 3825, обладающий следующими характеристиками (таблица 2 и таблица 3).

Таблица 2 – Базовые характеристики Cisco 3825

Характеристика Параметр
Скорость обработки пакетов 350 Kpps
Максимальное число NME и NME-X модулей 2
Максимальное число NMD/NME-XD модулей 1
Максимальное число EVM-HD модулей 1
Максимальное число слотов HWIC (поддержка VIC, VWIC и WIC модулей). 4
Порты Gigabit Ethernet (10/100/1000) 2
Число SFP-слотов 1
Число AIM-слотов 2
Число PVDM-слотов (расширение) 4
Порты USB 1.1 ports (для USB Flash memory, security tokens и off-platform storage of VPN credentials) 2
Управляющий порт (console ports) 1
Auxiliary port (up to 115.2 kbps) 1
Flash memory Default-64 MB, Maximum-256 MB
DDR SDRAM with ECC Default-256 MB, Maximum-1 GB
 
Таблица 3 – характеристики шасси Cisco 3825
 
Характеристика Параметр
Размеры (мм.) 90 x 450 x 378.
Rack Unit (RU) 2
Вес (minimum) 10.4 кг
Rack-mounting 19``
Wall-mounting -
AC-Input voltage 100-240 VAC, auto-ranging
AC-Input frequency 47-63 Hz
AC-Input current 3A (110V) 2A (230V) Startup current 50A maximum (one cycle)
AC-IP-Input current 8A (110V) 4A (230V) Startup current 50A maximum (one cycle)
DC-Input voltage 24-60 VDC, auto-ranging positive or negative
DC-Input current 12A (24V) 5A (60V) Startup current 50A<10 ms
Output AC or DC power supply: 210W for system AC-IP power supply: 210W for system 360W for IP phones (-48V)
Redundant power supply Cisco RPS 675
AC without IP phone support 300W (1025 BTU/hr)
AC with IP phone support - System only 370W (1262 BTU/hr)
AC with IP phone support - IP phones 360W (1128 BTU/hr)
DC 325W (1100 BTU/hr)
Рабочая температура 0° до 40°C
Влажность 5-95% без конденсата
Уровень шума (minimum) 50 dBa typical, 53 dBa maximum
 
В качестве пограничного оборудования удаленных площадок СПД АВО предлагается использовать мультисервисный маршрутизатор Cisco 1841, обладающий следующими характеристиками: (таблица 4)
 
Таблица 4 – Характеристики Cisco 1841
 
Корпус настольный/монтируемый в шкаф-стойку корпус установлено модулей: 0 (макс. 2)
WAN Специальные функции: - 3DES шифрование - AES (Расширенная система шифрования) - DES шифрование
LAN Тип сети: Ethernet, Fast Ethernet Кол-во базовых портов: 2 Скорость передачи по базовым портам: - 10 Мбит/сек. - 100 Мбит/сек. Специальные функции: - 3DES шифрование - AES (Расширенная система шифрования) - DES шифрование Поддерживаемые стандарты: - IEEE 802.3 (Ethernet) - IEEE 802.3u (Fast Ethernet)
Устройство хранения SDRAM 128 МБ (макс. 384 МБ) флэш 32 МБ (макс. 128 МБ)
Интерфейсы 2 x Ethernet 10/100BaseT
RJ-45 console port управление USB CompactFlash Тип I/II Электропитание внутренний блок питания - 100 / 240 В (перемен. ток) - 50 Вт
Размеры, вес 34.3 x 4.8 x 27.4 см
Сертификаты CISPR 22 Class A, CSA-C22.2 No. 60950, EN 55022 Class A, EN 55024, EN 60950, EN 61000-3-2, EN 61000-3-3, EN 61000-4-11, EN 61000-4-2, EN 61000-4-3, EN 61000-4-4, EN 61000-4-5, EN 61000-4-6, UL-60950
 
Оба маршрутизатора имеют сертификаты ФСТЭК на межсетевые экраны по 4 классу и могут быть использованы для построения СПД АВО.

1) Cisco 1841 – сертификат №1415 от 05.07.2007 по 05.07.2010
2) Cisco 3825. – сертификат №1421 от 10.07.2007 по 10.07.2010

Схема подключение Администрации Владимирской области представлена на рисунке 5. Типовая схема подключения удаленных площадок представлена на рисунке 6.
 
 
Рисунок 5 – Схема подключения АВО
 
Рисунок 6 – Типовая схема подключения удаленной площадки
 

Распределение сетевых адресов

Для логической взаимоувязанности предлагается использовать в СПД АВО единый диапазон IPv4 адресов 10.0.0.0.-10.255.255.255. При этом каждой удаленной площадке выделяется подсеть с маской 255.255.0.0 Назначение IPv4 адресов узлам сети может быть проведено статически, или с помощью DHCP серверов. Можно выделить следующие причины разделения сети на подсети:

1)ограничение широковещательных посылок, и оптимизация трафика во внешних каналах связи;
2)повышение живучести сети;
3)упрощение подключения новых компьютеров к сети, путем избежания дублирования IP адресов на различных площадках.
 
Предлагается следующая карта (таблица 4) распределения адресов, участников СПД АВО.
 
Таблица 4 – Карта распределения IPv4 адресов в СПД АВО
 
№ п/п Участник СПД АВО Диапазон
1 Администрация Владимирской области (г. Владимир, пр. Октябрьский, д.21) 10.1.0.0-10.1.255.255
2 Департамент административных органов и общественной безопасности (г.Владимир, Октябрьский пр., д.21) 10.2.0.0-10.2.255.255
3 Департамент внешних экономических связей (г.Владимир, Октябрьский пр., 21) 10.3.0.0-10.3.255.255
4 Департамент развития предпринимательства, торговли и сферы услуг (г.Владимир,ул. Мира, 29) 10.4.0.0-10.4.255.255
5 Департамент лесного хозяйства (г. Владимир, Судогодское шоссе, д.11-б) 10.5.0.0-10.5.255.255
6 Департамент природопользования и охраны окружающей среды (г. Владимир, ул. Гагарина, д. 31.) 10.6.0.0-10.6.255.255
7 Государственная инспекция по охране, контролю и регулированию использования объектов животного мира и среды их обитания (г.Владимир, Луначарского, 3) 10.7.0.0-10.7.255.255
8 Архивный департамент ( г.Владимир, Октябрьский пр., 40-а) 10.8.0.0-10.8.255.255
9 Департамент ЗАГС (г . Владимир, ул. Луначарского, д.3, каб. 305) 10.9.0.0-10.9.255.255
10 Департамент здравоохранения (г .Владимир, Октябрьский пр-т, 14) 10.10.0.0-10.10.255.255
11 Департамент образования (г.Владимир, Октябрьский пр-кт, д.14) 10.11.0.0-10.11.255.255
12 Департамент по труду и занятости (г. Владимир, ул. Фейгина, д. 4) 10.12.0.0-10.12.255.255
13 Государственная служба занятости населения (г.Владимир, ул.Фейгина, д.4) 10.13.0.0-10.13.255.255
14 Департамент социальной защиты населения (г.Владимир, пр-кт Ленина, д. 59) 10.14.0.0-10.14.255.255
15 Департамент по физической культуре, спорту и туризму (г.Владимир, ул. Мира, д. 29) 10.15.0.0-10.15.255.255
16 Департамент по культуре (г.Владимир, ул.Музейная, д.3) 10.16.0.0-10.16.255.255
17 Инспекция по охране объектов культурного наследия (г.Владимир, ул.Музейная, д.3) 10.17.0.0-10.17.255.255
18 Департамент строительства и архитектуры (г. Владимир, ул. Токарева, д.1) 10.18.0.0-10.18.255.255
19 Департамент транспорта и дорожного хозяйства (г.Владимир, Судогодское шоссе, д.5) 10.19.0.0-10.19.255.255
20 Департамент цен и тарифов (г.Владимир ул. Мира, д. 29) 10.20.0.0-10.20.255.255
21 Государственная жилищная инспекция (г.Владимир, ул. Луначарского, д.3) 10.21.0.0-10.21.255.255
22 Департамент жилищно-коммунального хозяйства (г.Владимир, ул.Гагарина, д.6) 10.22.0.0-10.22.255.255
23 Инспекция государственного строительного надзора (г.Владимир, ул. Мира, д. 29) 10.23.0.0-10.23.255.255
24 Департамент сельского хозяйства и продовольствия (г.Владимир, Октябрьский проспект, 21) 10.24.0.0-10.24.255.255
25 Департамент ветеринарии (г .Владимир, ул.Сакко и Ванцетти, 60) 10.25.0.0-10.25.255.255
26 Государственная инспекция по надзору за техническим состоянием самоходных машин и других видов техники – инспекция гостехнадзора Владимирской области (г.Владимир, Ставровская, 4а) 10.26.0.0-10.26.255.255
27 Департамент финансов, бюджетной и налоговой политики (г.Владимир, Октябрьский пр., 21) 10.27.0.0-10.27.255.255
28 Контрольно-ревизионная инспекция (г.Владимир, Октябрьский пр-т, 21) 10.28.0.0-10.28.255.255
29 Департамент имущественных и земельных отношений (г.Владимир, Б.Московская ул., д.68) 10.29.0.0-10.29.255.255
30 Адександровский район - г. Александров, ул. Красной Молодежи, д. 7 10.30.0.0-10.30.255.255
31 Юрьев-Польский район - г. Юрьев-Польский, ул. Шибанкова, д.33 10.31.0.0-10.31.255.255
32 Суздальский район - г. Суздаль, Красная площадь, д. 1 10.32.0.0-10.32.255.255
33 город Суздаль - г. Суздаль, Красная площадь, д. 1 10.33.0.0-10.33.255.255
34 Судогодский район - г. Судогда, ул. Ленина, д.65 10.34.0.0-10.34.255.255
35 Собинский район - г. Собинка, ул. Садовая, д.4 10.35.0.0-10.35.255.255
36 город Собинка - г. Собинка, ул. Димитрова, д. 1 10.36.0.0-10.36.255.255
37 Селивановский район - п. Красная Горбатка, ул. Красноармейская, д.12 10.37.0.0-10.37.255.255
38 ЗАТО город Радужный - г. Радужный, квартал 9, д. 4 10.38.0.0-10.38.255.255
39 Петушинский район - г. Петушки, Советская площадь, д.5 10.39.0.0-10.39.255.255
40 округ Муром - г. Муром, ул. 1100-летия г. Мурома, д. 1 10.40.0.0-10.40.255.255
41 Меленковский район - г. Меленки, ул. Красноармейская, д.102 10.41.0.0-10.41.255.255
42 Кольчугинский район - г. Кольчугино, пл. Ленина, д. 2 10.42.0.0-10.42.255.255
43 Ковровский район - г. Ковров, ул. Дегтярева, д.34 10.43.0.0-10.43.255.255
44 город Ковров - г. Ковров, ул. Краснознаменная, д. 6 10.44.0.0-10.44.255.255
45 Киржачский район - г. Киржач, ул. Серегина, д.7 10.45.0.0-10.45.255.255
46 Камешковский район - г. Камешково, ул. Свердлова, д. 10 10.46.0.0-10.46.255.255
47 Гусь-Хрустальный район - г. Гусь-Хрустальный, ул. Карла Либкнехта, д.6 10.47.0.0-10.47.255.255
48 Город Гусь-Хрустальный - г. Гусь-Хрустальный, ул. Калинина, д. 1 10.48.0.0-10.48.255.255
49 Гороховецкий район - г. Гороховец, ул. Ленина, д. 93 10.49.0.0-10.49.255.255
50 Вязниковский район - г. Вязники, ул. Комсомольская, д. 1 10.50.0.0-10.50.255.255