ОБЛАСТНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ПРОФЕССИОНАЛЬНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ СРЕДНЕГО
ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ
ТОМСКИЙ ТЕХНИКУМ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ
Специальность 090202 «Компьютерные сети»
ОТЧЕТ
ПО
ПРОИЗВОДСТВЕННОЙ ПРАКТИКЕ
ДПП.18.090202.151.8
Студент группы 151: ____________________ Дудник П.А.
(подпись)
Проверил: ____________________ Миняев А.В.
(оценка и подпись)
Томск 2018
Содержание
| Введение | |
| Используемая терминология | |
| 1. ОБЩАЯ ЧАСТЬ | |
| 1.1 О предприятии | |
| 1.1.1. Технологическое оборудование отдела связи | |
| 1.1.2. Технический проект МЧС | |
| 2. СПЕЦИАЛЬНАЯ ЧАСТЬ | |
| 2.1. Подсистема сетевой инфраструктуры | |
| 2.1.1. План IP-адресации | |
| 2.2. Политика маршрутизации | |
| 2.2.1. Маршрутизация в главном управлении МЧС | |
| 2.2.2. Маршрутизация в пожарном гарнизоне | |
| 2.2.3. Обеспечение качества обслуживания | |
| 2.2.4. Классификация и маркировк | |
| 2.2.5. Кондиционирование трафика | |
| 2.2.6. Предотвращение перегрузок | |
| 2.3. Подсистемы | |
| 2.3.1. Подсистема электронной почты | |
| 2.3.2. Общая структура подсистемы | |
| 2.3.3. Подсистема IP-телефонии | |
| 2.3.4. Подсистема мониторинга температуры и влажности | |
| 2.3.5. Подсистема видеоконференц-связи | |
| 2.3.6. Подсистема обеспечения безопасности информации | |
| 2.3.6.1. Настройка оборудования ГУ для подключения нижестоящих ПГ на базе оборудования ViPNetCoordinator | |
| 2.3.6.2. Подключение ПГ при отсутствии ПОБИ в ГУ на базе оборудования ViPNet | |
| 2.3.6.3. Подключение мобильных клиентов в РЦ | |
| 2.4. Описание настроек оборудования | |
| 2.4.1. Настройка оборудования ViPNetCoordinator в ПГ | |
| 2.4.2. Настройка криптошлюза ГУ/РЦ |
Введение
Данный дипломный проект посвящен установке и настройке защищённой сети с криптомаршрутизацией между Главным Управлением МЧС и пожарными гарнизонами, её ввод в эксплуатацию, настройка и отказоустойчивости.
Актуальность работы
Криптография касается самых разных сторон жизни. Любой человек сталкивался с такими словами, как «шифр», «криптограмма» или «ключ». Главными задачами криптографии является сохранить конфиденциальность данных, не потеряв их. Практическое применение криптографии стало неотъемлемой частью жизни современного общества — её используют в таких отраслях как электронная коммерция, электронный документооборот, телекоммуникации и других. Особенно развитию криптографии повлияли не только новые технические возможности, но и сравнительно широкое распространение криптографии для использования частными лицами.
Цель работы
Изучить систему криптошифрования ПАК VIPNet, установить и настроить её на автоматизироованных рабочих станциях МЧС ПГ, обеспечивающую безопасное соединение между сетями.
Задачи
1) Изучить технический проект МЧС ПГ, ознакомиться с общей структурой ПГ;
2) Проложить сеть, настроить работу пограничных криптомаршрутизаторовHW-100;
3) Установить клиентское программное обеспечение на устройствах и подключить их к криптомаршрутизатору.
Используемая терминология
| Термин | Определение |
| AD | Active Directory Domain Services (Система сетевого каталога Microsoft) |
| DC | Domain Controller (Контроллер домена AD) |
| DHCP | Dynamic Hosts Configuration Protocol (Протокол динамической конфигурации хоста) |
| DNS | DomainNameSystem (Система доменных имен) |
| DSCP | Differentiated Services Code Point - поле в заголовке IP пакета, которое используется для классификации информации. |
| FTP | File Transfer Protocol (Протокол передачи файлов) |
| GRE | Generic Routing Encapsulation — протоколтуннелированиясетевыхпакетов |
| GSM | Global System for Mobile Communications —цифровойстандартмобильнойсотовойсвязи |
| HP | Hewlett-Packard (Компания Хьюлет-Паккард) |
| HTTP | Hypertext Transfer Protocol (Протокол передачи гипертекста) |
| HTTPS | Secure http (Безопасный протокол передачи гипертекста) |
| IMAP4 | Internet Message Access Protocol (Протокол доступа к электронной почте Интернета) |
| IP | Internet Protocol (Межсетевой протокол) |
| IPS | Intrusion Prevention Systems – система предотвращения сетевых атак |
| NBNS | NetBIOS Name Service (Сервисразрешенияимён NetBIOS) |
| NETBIOS | Network Basic Input/Output System (Интерфейс сеансового уровня и транспортный протокол) |
| OU | Organizational Unit (Организационная единица) |
| OWA | OutlookWebAccess (Система Web-доступа к почтовым ящикам) |
| POP3 | PostOfficeProtocolVersion 3 (Протокол почтового отделения версии 3) |
| QoS | Quality of Service — качествообслуживания |
| SMTP | SimpleMailTransferProtocol (Протокол передачи электронной почты) |
| TCP | Transmission Control Protocol (Протокол управления передачей) |
| VLAN | Virtual Local Area Network (Виртуальная локальная сеть) |
| VPN | Virtual Private Network – виртуальная частная сеть |
| WINS | Windows Internet Naming Service (Сервис разрешения имен Windows) |
| АРМ | Автоматизированное рабочее место |
| АТС | Автоматическая телефонная станция |
| ВКС | Видеоконференцсвязь |
| ГУ | Главное управление |
| ИС МЧС | Информационная система МЧС России |
| ИГПС | Институт государственной противопожарной службы МЧС России |
| ЛВС | Локальная вычислительная сеть |
| МСЭ | Межсетевой экран |
| МЧС | Министерство Российской Федерации по делам гражданской обороны, чрезвычайным ситуациям и ликвидации последствий стихийных бедствий |
| НЦУКС | Национальный Центр управления в кризисных ситуациях |
| ОК | Объектовый комплекс |
| ОС | Операционная система |
| ПАК ЭП | Программно-аппаратный комплекс «Электронная почта» МЧС России |
| ПГ | Пожарный гарнизон |
| ПК | Персональный компьютер |
| ПО | Программное обеспечение |
| ПОБИ | Подсистема обеспечения безопасности информации |
| РЦ | Региональный центр |
| ТП | Технический проект |
| ЦССИУ МЧС | Цифровая сеть связи с интеграцией услуг МЧС России |
| ЦУКС | Центр управления в кризисных ситуациях |
1. ОБЩАЯ ЧАСТЬ
1.1. О предприятии
Местом прохождения практики было Главное Управление МЧС России по Томской области в качестве системного администратора в отделе связи ЦУКС (Центр Управления в Кризисных Ситуациях). Министерство Российской Федерации по делам гражданской обороны, чрезвычайным ситуациям и ликвидации последствий стихийных бедствий (МЧС России) - федеральное министерство, одна из аварийно-спасательных служб России. Техническим заданием было организовать автоматизированную систему криптошифрования компьютерных сетей.
1.1.1. Технологическое оборудование отдела связи:
В таблице 1 представлен состав основного активного оборудования пожарного гарнизона.
| № | Тип устройства | Производитель и модель | Кол-во |
| Маршрутизатор | Cisco 891 | ||
| Криптошлюз | Инфотекс Vipnet HW100C | ||
| АРМ | DEPO Neos 260, монитор ASUS VS197DE | ||
| АРМ ВКС | DEPONeos 260, монитор ASUSVS197DE, видеокамера Logitech C920, гарнитура LogitechH130, акустические системы GeniusSP-S350, ПО ВКС PolycomTelepresenceM100 | ||
| IP телефон | Cisco IP Phone 6921 | ||
| Модем | Zyxel OMNI 56k DUO |
Таблица 1 – Состав оборудования узла пожарного гарнизона
В зависимости от наличия/отсутствия существующей сетевой инфраструктуры различаются 2 типовые схемы подключения на узлах:
- узел пожарного гарнизона 1-го типа;
- узел пожарного гарнизона 2-го типа.
1.1.2 Технический проект МЧС
· Для адресация проектируемого оборудования в НЦУКС, РЦ и ГУ выделяются свободные IP адреса из существующих пулов.
· Для подключения криптошлюзов в ГУ из существующего пула выделяются подсети с маской /29, подключение осуществляется в vlan 110, vlan 111.
· Выделение IP адресов для АРМ осуществляется по протоколу динамической конфигурации DHCP.
· Поскольку в пожарных гарнизонах используется сервисы со специфическими требованиями (задержки, потери, джиттер), должны быть настроены механизмы обеспечения качества обслуживания.
· Обеспечение качества обслуживания (QoS)
Все проектируемое активное оборудование подключается к криптошлюзу Vipnet HW100C в маршрутизируемые порты Ethernet1 – Ethernet4. Подключение АРМ осуществляется через коммутируемые порты IP телефонов. Маршрутизация между проектируемыми сегментами ЛВС узла осуществляется на криптошлюзе Vipnet HW100C. Криптошлюз подключается к маршрутизатору портом Eth0.
Подключение к оператору связи осуществляется через маршрутизатор портом Fe7. Для криптошлюза настраивается статическая трансляция публчиного IP адреса. Подключение узла к ЦУКС ГУ осуществляется через публичную сеть Интернет, с использованием шифрованного туннеля.
Для удаленного доступа к маршрутизатору в случае чрезвычайной ситуации в пожарном гарнизоне устанавливается модем ZyxelOMNIDUO 56k. Модем подключается к консольному порту маршрутизатора.
2. СПЕЦИАЛЬНАЯ ЧАСТЬ
2.1.Подсистема сетевой инфраструктуры
2.1.1. План IP-адресации
Для адресация проектируемого оборудования в НЦУКС, РЦ и ГУ выделяются свободные IP адреса из существующих пулов. Подключение оборудования осуществляется в существующие VLAN.
Для подключения криптошлюзов в ГУ из существующего пула выделяются подсети с маской /29, подключение осуществляется в vlan 110, vlan 111. В случае пересечения с существующими vlan, номера vlan определяются в процессе пуско-наладки. Подсеть терминируется на подинтерфейсе маршрутизатора ГУ. Для мобильных клиентов в ЦУКС ГУ и РЦ, где устанавливаются криптошлюзы выделяется отдельных подсети IP адресов из ведомственной пула. Данная адресация присваивается мобильным клиентам в момент подключения к криптошлюзу.
Проектом предусматривается выделение для каждого пожарного гарнизона новой подсети с маской /27, для адресации активного оборудования.
Выделение IP адресов для АРМ осуществляется по протоколу динамической конфигурации DHCP. Выделение IP адресов для IP телефонов осуществляется также по протоколу DHCP с полем option 150, в данном поле указывается IP адрес TFTP сервера с конфигурацией телефонов, в данном случае ip адрес IP АТС в вышестоящем РЦ МЧС.
Для АРМ ВКС выделяется отдельная подсеть с маской /30, IP адрес на АРМ ВКС настраивается статически, в качестве шлюза по умолчанию указывается маршрутизатор Cisco 891.
В пожарных гарнизонах выделяется две подсети с масками /28 (для адресации активного оборудования) и /30 (транспортная подсеть между криптошлюзом и маршрутизатором). Выделение IP адресов для АРМ осуществляется по протоколу динамической конфигурации DHCP. DHCP сервер установлен в вышестоящем ЦУКС ГУ, распространение DHCP запросов через криптошлюзы осуществляется с использованием функции DHCP Relay. На IP телефонах настраивается статическая ip адресация, шлюзом по умолчанию является криптошлюз, в качестве TFTP сервера указывается IP адрес маршрутизатор Cisco 3925, установленного в ЦУКС ГУ.
2.2. Политика маршрутизации
2.2.1. Маршрутизация в главном управлении МЧС
На каждую из выделенных пожарным гарнизонам подсетей на существующем маршрутизаторе ЦУКС ГУ настраивается статический маршрут через вновь проектируемый криптошлюз. Трафик из ЛВС ЦУКС ГУ вначале маршрутизируется через криптошлюз, после шифрования адрес назначения сетевых пакетов, содержащих зашифрованные данные, меняется на адрес критошлюза в соответствующем пожарном гарнизоне.
2.2.2. Маршрутизация в пожарном гарнизоне
На маршрутизаторе Cisco 891 настраиваются два статических маршрута на сети 10.0.0.0/8 и 172.16.0.0/12 через криптошлюз. На криптошлюзе настраивается статический маршрут через оператора связи на подсети подключения внешних интерфейсов (интерфейсы подключения к операторам связи) криптошлюза установленного в ГУ.
2.2.3. Обеспечение качества обслуживания (QoS)
Поскольку в пожарных гарнизонах используется сервисы со специфическими требованиями (задержки, потери, джиттер), должны быть настроены механизмы обеспечения качества обслуживания (QualityofServices, QoS).
Настоящим проектом предусматривается реализация обеспечения QoS на основе модели дифференцированных сервисов (DiffServModel).
Основными функциями обеспечения QoS являются следующие:
- Классификация и маркировка (classification, marking);
- Кондиционирование трафик (policing);
- Управление и предотвращение перегрузок (congestion management and avoidance).
2.2.4.Классификация и маркировка
Проектом предусматривается дифференциация всего трафика на три класса. Трафик, классифицируется на основе листов контроля доступа (access control list), маркируется по полю DSCP заголовка IP.
Классификация и маркировка IP-трафика выполняется принудительно на маршрутизаторе доступа Cisco 891. Ввиду того, что подключение пожарных гарнизонов возможно через разных операторов связи, в зависимости от типа узла на маршрутизаторе производится перемаркировка значений поля DSCP в согласованные с оператором значения. Согласование значений полей DSCP производится на этапе пуско-наладки.
Для корректной работы QoS на криптошлюзе включается функция DSCPmaping.
Таблица 2 содержит классы трафика, а также параметры классификации и маркировки.
| № | Приложение | Маркировка по полю DSCP | Класс трафика |
| Трафик IP телефонии | EF | voice | |
| Трафик видеоконференций | CS3 | video | |
| Трафик данных, некритичных к задержкам и потерям при передаче | BE | default |
Таблица 2– Параметры классификации и маркировки QoS
В пожарных гарнизонах весь трафик исходящий от криптошлюза маркируется по полю DSCP EF.
2.2.5.Кондиционирование трафика
Механизмы кондиционирования трафика являются своего рода контрольно-пропускными пунктами, которые проверяют трафик на входе коммутатора или формируют трафик на его выходе.
Кондиционирование трафика выполняется на маршрутизаторе Cisco 891, на интерфейсе подключения к криптошлюзу (в московской области на интерфейсе подключения к оператору связи).
Кондиционирование трафика выполняется согласно профилю трафика на порту, подключения к оператору связи. Профиль трафика – комбинация классов трафика в определенной пропорции по полосе от общей полосы пропускания. При превышении выделенной на класс полосы в зависимости от направления и класса выполняется либо сброс трафика, либо обслуживание по умолчанию Best Effort. Для классов трафика Voice и Video при превышении выделенной классу полосы пропускания производится перенос пакетов в очередь BestEffort. Для класса Default при превышении выделенной классу полосы пропускания производится сброс пакетов.
Перечень и состав профилей трафика уточняется Заказчиком на стадии пусконаладочных работ.
Таблица 3 содержит типовой профиль трафика.
| Класс трафика | Voice | Video | Default |
| Полоса пропускания, % |
Таблица 3 – Распределение полосы пропускания между классами
В пожарных гарнизонах для класса Voicе выделяется 90% от общей полосы пропускания, и 10% для класса Default, класс Video не используется.
2.2.6. Предотвращение перегрузок
Избежание перегрузок (congestion avoidance) выполняется за счет отбрасывания пакетов класса трафика, менее требовательного к потерям, в пользу классов, критичных к потерям (IP-телефония). Данная функция предотвращает ситуацию полного использования всего ресурса полосы пропускания канала связи, начиная сброс пакетов по достижении определенного порога.
При превышении порога наполнения очереди применяется механизм сброса. Используются следующие механизмы сброса трафика в очередях:
- Taildrop – поверхностный сброс пакетов, превышающих пороги наполнения во всех очередях, начиная с низкоприоритетного трафика;
- Weightedrandomearlydetection drop (WRED) – предварительный выборочный (для небольшой группы потоков) сброс пакетов в очередях с менее приоритетным трафиком.
Для класса Default наиболее предпочтительным является механизм WRED, поскольку позволяет еще до наступления переполнения очереди выполнять предварительный сброс низкоприоритетного трафика. Для классов Voice, Video ввиду критичности к потере пакетов предпочтительным является механизм Taildrop.
2.3. Подсистемы
2.3.1.Подсистема электронной почты
В проектируемую подсистему электронной (далее – «Подсистема») входят компоненты программно-аппаратного комплекса «Электронная почта» МЧС России (далее – «ПАК ЭП»). ПАК ЭП – это распределенная информационно-вычислительная система, узлы которой расположены в объектовых комплексах ИС МЧС. С точки зрения места в структуре ПАК ЭП Подсистема охватывает объектовые комплексы (ОК) следующих уровней:
- ОК межрегионального уровня – Региональные центры МЧС России (РЦ), располагающиеся в центрах федеральных округов РФ;
- ОК регионального уровня – Главные управления МЧС России (ГУ), располагающиеся в центрах субъектов Федерации;
- ОК нижнего уровня – гарнизоны пожарной охраны (ПГ).
Подсистема включает в себя:
- технические средства (серверы, рабочие станции);
- системное программное обеспечение.
Подсистема предоставляет приложениям и пользователям ПГ следующие сетевые и информационные сервисы:
а) сервис единого сетевого каталога;
б) сервис электронной почты;
в) сетевые сервисы:
a. сервис разрешения имен объектов сети (DNS);
b. сервис разрешения Netbios-имен объектов сети (WINS).
2.3.2. Общая структура подсистемы
Подсистема имеет распределённую структуру; в неё входит несколько узлов – ОК разных уровней.
В ОК межрегионального уровня – РЦ располагаются сервисы единого сетевого каталога, электронной почты и разрешения имён объектов сети, предоставляемых пользователям и приложениям нижележащих ОК (ГУ и ПГ). В РЦ имеются контроллеры домена MicrosoftWindowsServer версий 2003 и 2008, на которых размещены сервисы единого сетевого каталога и разрешения имён объектов сети, а также сервер электронной почты Microsoft Exchange Server 2003.
В ОК нижнего уровня – ПГ находятся пользователи и рабочие станции, которым предоставляются сервисы и ресурсы вышестоящих ОК (РЦ и ГУ). Рабочие станции пользователей ПГ включаются в домен РЦ и соответственно на контроллерах домена РЦ создаются учетные записи этих пользователей и рабочих станций, а на сервере электронной почты в РЦ для сотрудников ПГ создаётся почтовый ящик (см. также примечание ниже).
В рамках данного проекта предусматривается:
- построение в ПГ компонентов ПАК ЭП;
- создание в РЦ и / или ГУ всех необходимых для Подсистемы ресурсов.
В результате пользователи ПГ должны быть обеспечены доступом ко всем сервисам и ресурсам Подсистемы.
Примечание – Согласно техническому проекту «Создание программно-аппаратного комплекса «Электронная почта» Министерства Российской Федерации по делам гражданской обороны, чрезвычайным ситуациям и ликвидации последствий стихийных бедствий» (в дальнейшем «ТП ПАК ЭП») в ГУ должны быть развернуты сервер электронной почты и контроллер домена. В настоящий момент часть проекта, относящаяся к ГУ, реализована не во всех ГУ МЧС РФ, поэтому во многих ГУ отсутствуют вышеуказанные серверы. Поэтому в таких ГУ в качестве почтового сервера для хранения почтового ящика сотрудников ПГ задействуется сервер электронной почты РЦ, а выполнение аутентификации пользователей осуществляют контроллеры домена, расположенные в РЦ.
Решения настоящего проекта предполагают следующее:
- после того как будут установлены серверы в ГУ, необходимо перенести почтовый ящик с сервера электронной почты в РЦ на почтовый сервер в ГУ;
- если в ГУ уже имеется сервер электронной почты, предусмотренный ТП ПАК ЭП, почтовые ящики для ПГ должны создаваться сразу на нем;
- если в ГУ имеется домен третьего уровня леса ADmchs.ru и входящий в организацию MCHS сервер электронной почты MicrosoftExchangeServer версии не ниже 2003, то учетные записи для ПГ должны создаваться в домене ГУ, в почтовые ящики для ПГ – на почтовом сервере ГУ.
Рисунок 3 изображает схему функциональной структуры Подсистемы.
Сетевые настройки рабочие станции получают от DHCP-сервера, установленного на маршрутизаторе Cisco 891 (см. раздел 6.4). Помимо стандартных настроек, таких как IPaddress, Subnetmask, Router (DefaultGateway), DHCP-сервер передаёт на рабочие станции дополнительные параметры (опции), приведённые в следующей таблице 4.
| Код | Название опции | Определение | Устанавливаемое значение |
| DNS servers | Список IP-адресов DNS серверов в домене в порядке предпочтительности | Контроллеров домена РЦ либо ГУ | |
| Domain name | Суффикс имени домена, используемый клиентом при разрешении DNS-имен | Пример: szrc.mchs.ru | |
| WINS/NBNS servers | Список IP-адресов WINS серверов | IP-адреса WINS-серверов РЦ либо ГУ | |
| WINS/NBT node type | Устанавливает тип узла NetBIOS over TCP/IP, где 1=b-node, 2=p-node, 4=m-node, and 8=h-node | 8 (h-node) |
Таблица 4 – Параметры DHCP-сервера ПГ
Если аутентификация пользователей ПГ осуществляется контроллерами домена, расположенными в РЦ, то с целью обнаружения пользователем ПГ контроллера домена РЦ, как ближайшего контроллера для выполнения входа в сеть, необходимо добавить подсеть ПГ в сайт вышестоящего РЦ. В некоторых ПГ используется сетевая трансляция адресов. Для таких ПГ в сайт вышестоящего РЦ добавляется подсеть, включающая IP-адрес, в который транслируются адреса рабочих станций ПГ.
Примечание – В случае последующей инсталляции в ГУ согласно ТП ПАК ЭП контроллера домена и создании отдельного сайта AD, включающего в себя все локальные сети (VLAN) ГУ и нижележащих ПГ, необходимо удалить подсеть ПГ из сайта вышестоящего РЦ и добавить её в созданный сайт ГУ.
2.3.3. Подсистема IP-телефонии
В рамках настоящего проекта предусматривается поставка абонентских терминалов (IP-телефонов) Cisco 7942 в ЦУКС ГУ и РЦ, Cisco 6921 в пожарные гарнизоны.
Подключение абонентских терминалов не требует произведения каких-либо настроек непосредственно на самих аппаратах. После подключения аппарата к ЛВС и сети электропитания телефон получает динамический IP-адрес по протоколу DHCP. Также он получает два адреса TFTP-серверов, которые передаются в опции 150 протокола DHCP. Адреса TFTP-серверов должны соответствовать IP-адресам серверов Publisher и Subscriber-1 кластера CUCM соответствующего РЦ. Затем телефон обращается на один из этих серверов, скачивает оттуда свой конфигурационный файл по протоколу TFTP и осуществляет загрузку с полученными параметрами.
Все настройки телефона выполняются на кластере CUCM РЦ. Параметры для настройки IP-телефонов приведены в таблицах 5 и 6. Для остальных параметров необходимо оставить значения по-умолчанию.
| Параметр | Значение |
| Phone Type | Cisco 6921 |
| MAC Address | MAC адрес телефона |
| Description | <код узла><№> |
| Device Pool | DP-<код узла> |
| Phone Button Template | Standard 6921 SCCP |
| Calling Search Space | CSS-<код узла> |
| User Locale | Русский |
| Device Security Profile | Cisco 6921 – Standard SCCP Non-Secure Profile |
Таблица 5 – Параметры IP-телефонов
| Параметр | Значение |
| Directory Number | Номер телефона, в соответствии с планом нумерации |
| Route Partition | Part-<код узла> |
| Description | <код узла><№> |
| Alerting Name | Имя абонента русскими буквами |
| ASCII Alerting Name | Имя абонента латинскими буквами |
| Display (Internal Caller ID) | Имя абонента русскими буквами |
| ASCII Display (Internal Caller ID) | Имя абонента латинскими буквами |
Таблица 6 – Параметры линии IP-телефонов
Поставляемые IP телефоны Cisco 7942 в ГУ регистрируются на УАТС CiscoUnifiedCommunicationManagerExpress (CME), установленной на в ЦУКС ГУ, настройки телефона выполняется на CME через интерфейс командной строки.
2.3.4. Подсистема мониторинга температуры и влажности
Подсистема мониторинга температуры и влажности выполняет задачи мониторинга параметров окружающей среды в телекоммуникационных шкафах с установленным, поставляемым оборудованием по данному проекту.
В состав подсистемы выходят сервер системы мониторинга с установленным ПО EatonIntelligentPower® Manager (для ПО приобретается лицензия на неограниченное количество хостов), расположенный в НЦУКС и ИБП Eaton 9130 с внешними датчиками температуры установленными в ГУ и РЦ. В ИБП устанавливается сетевая плата SNMP/WEB Adapter, плата предоставляет доступ к ИБП по протоколу HTTP, Telnet, а так же SNMP.
Сбор информации сервером осуществляется с использованием протокола SNMP, в качестве пароля(community) используется «public». Так же на ИБП настраивается параметр SNMPsysLocation в текстовом виде, в котором указывается текущее местоположение ИБП. Формат записи sysLocation: <Сокарщенное название РЦ>-<Город>.
Все поставляемые ИБП добавляются в систему мониторинга по IP адресу, параметры ИБП, система определяет автоматически. Для группировки ИБП, в систему добавляются пользователи для каждого РЦ, с правами доступа User. Для каждого пользователя РЦ, во фрейме Views создается лист Sub-View From, с фильтром Location для соответствующего РЦ. Фильтр Location настраивается с оператором «contains», равным сокращенному наименованию соответсвующего РЦ.
2.3.5. Подсистема видеоконференц-связи
Подсистема видеоконференцсвязи (ВКС) – комплекс программно-технических средств и организационных мероприятий, обеспечивающий возможность оперативного обмена между удаленными абонентами всеми типами медиаинформации (визуальной и звуковой) в режиме реального времени. Процедура обмена информацией в Системе в дальнейшем называется видеоконференцией.
В рамках данного проекта производится расширение системы, созданной по техническому проекту «Создание технической инфраструктуры системы оперативного управления силами ФПС», шифр 1127МТ/01/11.
По проекту производится внедрение следующих технических средств:
- в РЦ:
· программный терминал ВКС (ПО CiscoJabberVideo) на базе АРМ-ВКС;
- в ГУ:
· сервер ВКС MCU Cisco TelePresence 4200 (5320 в ГУ МЧС Ростовской обл.);
· программный терминалы ВКС (ПО CiscoJabberVideo) на базе АРМ-ВКС;
· групповой терминал ВКС Cisco TelePresenceQuickSetSX20 для модернизации зала совещаний в ГУ Забайкальского края;
- в ПГ:
· программный терминал ВКС (ПО Polycomm100) на базе АРМ начальника;
- в ИГПС
· комплект ВКС включающий групповой терминал ВКС Cisco TelePresenceQuickSetSX20 и LED-панель SamsungMD55B на напольной стойке SMSFlatscFHMT2000 A/SEU.
Программные терминалы ВКС (ПО ВКС) устанавливаются на АРМы, подключенные к ЦССИУ МЧС России, регистрируются на контроллере зон и позволяют принять участие в видеоконференции одному (двум) участникам. Для обеспечения работы ПО ВКС к ПК АРМа подключаются: web-камера Logitech C920, гарнитура Plantronics Audio 310(в РЦ и ГУ) или гарнитура Logitech H130 (в ПГ) для конфиденциального общения, акустические системы Genius SP-S350(в ПГ).
ПО ВКС Cisco Jabber Video является клиентским приложением, работу которого обеспечивает сервер контроллер зоны Cisco TelePresence VCS. Контроллер зоны уровня НЦУКС обеспечивает работу Cisco Jabber Video в ГУ, контроллер зоны уровня РЦ обеспечивает работу Cisco Jabber Video в РЦ. Авторизацию пользователей и лицензии для работы Cisco Jabber Video обеспечивает сервер контроля и управления TMS. Параметры подключения ПО ВКС определяются на этапе пусконаладочных работ.
Видеосерверное оборудование (MCU) представлено видеосервером CiscoTelePresence серии 42хх или 53xx – устройством, предназначенным для организации сеансов многоточечной видеоконференцсвязи между абонентами системы.
Видеосерверное оборудование устанавливается в ГУ МЧС РФ, подключается к ЦССИУ МЧС России и регистрируется на контроллере зон. В адресные книги MCU заносятся все терминалы ВКС данного ГУ и терминалы ВКС подчиненных ПЧ и ПГ.
Групповой терминал ВКС CiscoTelePresenceQuickSetSX20 в ГУ Забайкальского края устанавливается взамен устаревшего терминала, обеспечивающего работу зала совещаний. Параметры настройки терминала SX20 должны повторять параметры заменяемого терминала.
Комплект ВКС ИГПС представляет собой законченное решение для организации ВКС в учебном классе или зале совещаний.
Основой комплекта является групповой терминал ВКС Cisco TelePresence QuickSet SX20. Терминал оснащен видеокамерой и микрофоном, подключаемым кабелями входящими в состав терминала. Терминал подключается к LED-панели Samsung MD55B штатным кабелем HDMI. LED-панель вешается на напольную стойку SMS Flatsc FH MT2000 A/S EU. Терминал устанавливается на полку напольной стойки. Видеокамера устанавливается на полку из комплекта терминала, закрепляемую на кромке LED-панели. Микрофон размещается на столе.
Терминалы ВКС настраиваются для регистрации на контроллере зоны в соответствии с планом нумерации. Все вызовы в сети СВКС МЧС России производятся путём выбора абонента из адресной книги терминала или ввода полного номера, содержащего признак сети, префикс местоположения и абонентский номер. Абонентская нумерация определяется на этапе пуско-наладки.
2.3.6. Подсистема обеспечения безопасности информации
2.3.6.1. Настройка оборудования ГУ для подключения нижестоящих ПГ на базе оборудования ViPNetCoordinator
Передача данных между пожарными гарнизонами и ГУ осуществляется через криптотуннели, устанавливаемые между криптошлюзом (криптошлюзами) ГУ и криптошлюзом ПГ. Передача данных между мобильными пользователями и ГУ осуществляется через криптотуннели, устанавливаемые между криптошлюзом ГУ и АРМ мобильных групп, на которые установлены программные VPN-клиенты – ViPNet Client 3.x. Аутентификация участников защищенной сети (криптошлюзов, программных VPN-клиентов) осуществляется по ключевым наборам и уникальным идентификаторам узлов сети, которые формируются на этапе создания сети ViPNet в Центре управления сетью ViPNetAdministrator в соответствующем РЦ.
При наличии в ГУ Подсистемы обеспечения безопасности информации (далее - ПОБИ) компоненты ПОБИ настраиваются в соответствии с проектом на создание ПОБИ. Логическая схема подключения ПГ и АРМ мобильных пользователей при наличии ПОБИ ГУ представлена на рисунке 4.
2.3.6.2. Подключение ПГ при отсутствии ПОБИ в ГУ на базе оборудования ViPNet
Передача данных между пожарными гарнизонами и ГУ осуществляется через криптотуннели, устанавливаемые между криптошлюзом (криптошлюзами) ГУ и криптошлюзом ПГ. Передача данных между мобильными пользователями и ГУ осуществляется через криптотуннели, устанавливаемые между криптошлюзом ГУ и АРМ мобильных групп, на которые установлены программные VPN-клиенты – ViPNet Client 3.x. Аутентификация участников защищенной сети (криптошлюзов, программных VPN-клиентов) осуществляется по ключевым наборам и уникальным идентификаторам узлов сети, которые формируются на этапе создания сети ViPNet в Центре управления сетью ViPNetAdministrator в соответствующем РЦ.
Логическая схема установки криптошлюза в ГУ и подключения ПГ при отсутствии ПОБИ приведена на рисунке 5.
2.3.6.3. Подключение мобильных клиентов в РЦ
Передача данных между мобильными пользователями и РЦ осуществляется через криптотуннели, устанавливаемые между криптошлюзом ГУ и АРМ мобильных групп, на которые установлены программные VPN-клиенты – ViPNet Client 3.x. Аутентификация участников защищенной сети (криптошлюзов, программных VPN-клиентов) осуществляется по ключевым наборам и уникальным идентификаторам узлов сети, которые формируются на этапе создания сети ViPNet в Центре управления сетью ViPNetAdministrator в соответствующем РЦ.
Логическая схема установки криптошлюза в РЦ и подключения мобильных клиентов приведена на рисунке 6.
Логическая схема установки криптошлюза в РЦ и подключения мобильных клиентов приведена при отсутствии межсетевого экрана на рисунке 7.
2.4. Описание настроек оборудования
2.4.1. Настройка оборудования ViPNetCoordinator в ПГ
2.4.2.
На криптошлюзе ViPNetCoordinatorHW100, устанавливаемом в ПГ, проводятся следующие настройки:
- импортируется дистрибутив ключевых баз;
- настраиваются сетевые интерфейсы;
- настраивается маршрут по умолчанию, указывающий на адрес подинтерфейса маршрутизатора Cisco 891, подключенного к внешнему интерфейсу криптошлюза;
- настраивается статический маршрут, указывающий что подсети ЛВС ПГ находятся за адресом подинтерфейса маршрутизатора Cisco 891, подключенного к внутреннему интерфейсу криптошлюза;
- настраивается криптотуннель к криптошлюзу ГУ.
На АРМы ПГ устанавливается ПО Антивирус Касперского. При наличии в вышестоящем ГУ средства управления KasperskyAdministrationKit к нему подключается установленное ПО.
2.4.3. Настройка криптошлюза ГУ/РЦ
Перед непосредственной настройкой криптошлюза, необходио выполнить следующие подготовительные действия:
- отформатировать USB-флэш носитель в одну из файловых систем: FAT32 или ext2;
- в ViPNet Administrator (ЦУС, УКЦ) сформировать и выгрузить дистрибутивы ключевых баз (abn_XXXX.dst) на USB-флэш носитель;
- подключите к криптошлюзу монитор и клавиатуру.
Далее включите криптошлюз и на приглашение консоли командного интерпретатора введите логин “vipnet” и пароль “vipnet”. В соответствии с инструкцией, в полноэкранном графическом интерфейсе проведите процедуру первоначальной инициализации дистрибутива ключевых баз и базовую настройку сетевых интерфейсов.
Заключение:
В ходе развёртывания мной криптошифрованной сети на основе программно-аппаратного комплекса VipNet, мною были произведены работы по прокладке сетей, установке и настройке оборудованияHW 1000, подключение его к модемам беспроводной сети и проводной, настройка безотказности связи в случае отключения от сети, фильтрация трафика, установка программного обеспечения, в том числе клиентской части ПАК VipNet и ключей на автоматизированных рабочих станциях.
Список использованных источников
1. ПАК ViPNet Coordinator HW Руководство администратора, 1991 – 2011 ОАО «ИнфоТеКС», Москва, Россия;
2. Технический проект МЧС ПГ;
3. https://habrahabr.ru/company/billing/blog/260415/.
Приложение А:
Подключение к маршрутизатору происходит по следующей схеме: