Технические требования к программно-аппаратного комплексу DNS и DHCP
Москва, 2017
Технические требования к ПАК DNS
Требование | Описание |
| Общие требования | Предлагаемая система должна быть выполнена в виде программно-аппаратного комплекса(ПАК). |
Полное решение по обеспечению потребностей компании в кэширующих серверах DNS должно включать в себя надежную аппаратную платформу и программное обеспечение, отвечающее современным требованиям и поддерживающее возможность дальнейшей модернизации и расширения. | |
Программно-аппаратный комплекс должен иметь примеры практических внедрений у операторов связи, предоставляющих услуги ШПД для частных пользователей и корпоративных клиентов. | |
Поставщик программно-аппаратного комплекса должен иметь в России квалифицированных специалистов, развитую партнерскую сеть (как минимум три партнера, предлагающих решения поставщика), обширную базу знаний и на этой основе предоставлять услуги по локализации сложных, нетиповых проблем, требующих глубокой экспертной проработки, а так же осуществлять техническую поддержку решения на русском языке. | |
Решение должно занимать лидирующие позиции в области предоставления сервисов DNS. Эта должно подтверждаться независимыми исследовательскими компаниями на протяжении нескольких лет. | |
Поставщик программно-аппаратного комплекса должен обеспечить географическое резервирование системы. | |
Поставщик должен предоставить 3 программно-аппаратных географически зарезервированных комплекса, решающих след. задачи: - Кэширующий DNS. -Авторитативный DNS. -Локальный DNS, совмещающий функции кэширующего и авторитативного. | |
| Требования к аппаратному обеспечению | Предлагаемая система должна быть построена на специализированной аппаратной платформе. |
Предлагаемое решение должно иметь возможность построения отказоустойчивой системы с полным резервированием HA (high availability) для всего набора функций. | |
Программно-аппаратный комплекс должен иметь встроенный аппаратный ускоритель обработки кэшированных DNS-записей (cache acceleration card), позволяющий обеспечить очень высокую скорость и малую задержку обработки DNS-запросов. | |
Программно-аппаратный комплекс должен быть выполнен с резервированием по блокам питания, вентиляторам и дискам. | |
Аппаратная платформа программно-аппаратного комплекса должна быть укомплектована резервным блоком питания. Блоки питания должны работать от источника переменного напряжения 220В. | |
Программно-аппаратный комплекс должен обеспечивать возможность монтажа в коммуникационной 19-ти дюймовой стойке | |
Высота программно-аппаратного комплекса должна быть не более 2RU | |
Должна быть предусмотрена возможность работы блоков питания программно-аппаратного комплекса от источников постоянного тока | |
Программно-аппаратный кэширующий комплекс должен иметь возможность одновременно открывать и поддерживать не менее 64-х тысяч сокетов для установления соединений с внешними узлами. При этом должна поддерживаться возможность динамической настройки данного параметра. | |
Программно-аппаратный кэширующий комплекс должен иметь не менее двух 10G интерфейсов с возможностью объединения их в Etherchannel. Все ПАК должны иметь отдельные интерфейсы управления. |
| Требования к функционалу | Система должна обеспечивать минимальное время ответа на клиентские dns запросы (не более 5мс для данных из кэша, не более 200 мс, для запросов, требующих recursion) в равной степени как и минимальное время трансфера зон. |
Программно-аппаратный комплекс должен поддерживать Anycast для BGPv6, BGPv4,VLAN, работа в VPN окружении. | |
Система должна поддерживать протокол DNSSEC | |
Система должна поддерживать динамически настраиваемый размер кэша. | |
Программно-аппаратный кэширующий комплекс должен быть в состоянии обрабатывать не менее 1 000 000 DNS-запросов в секунду на одном сервере. Авторитативный и локальный ПАК должен обеспечивать скорость обработки не менее 50000 запросов в секунду. | |
Программно-аппаратный комплекс должен предоставлять статистику по следующим параметрам: · DNS Cache Hit Ratio (CHR) · DNS query rate · Типам запросов (query type A, MX, SOA …) · Типам ответов (answer type) · Времени ответа (reply time) · Установленным флагам (query flags) · Очереди (DNS Queue) · Кол-ву открытых/закрытых сокетов · Используемой памяти, процессорному времени, размеру кэша, температуры (системы, cpu). · Вся предоставляемая статистика должна быть доступна по snmp (v2/v3), через web-интерфейс и в виде текстовых файлов. | |
Программно-аппаратный кэширующий и локальний комплекс должен поддерживать не менее 6-ти экземпляров зоны DNS (DNS View) и не менее 6 DNS ZONE Для авторитативных ПАК не менее десяти тысяч прямых и обратных зон и не менее 100 view. | |
Система должна поддерживать все, существующие типы записей DNS: · A Record · AAAA Record · TXT Record · И другие | |
Программно-апаратный комплекс должен поддерживать протоколы snmp версии 2 и snmp версии 3, с возможностью получения по этим протоколам максимального количества рабочих характеристик и значений по элементам запущенных на системе сервисов. | |
Программно-аппаратный комплекс должен поддерживать следующую функциональность IPv6: · DNS через IPv6 · IPv6 address на loopback интерфейсе · Доступ к CLI (SSH) через IPv6 · Доступ к GUI через IPv6 · Отсылка SNMP traps/info через IPv6 · Работа с запросами SNMP через IPv6 · Отсылка сообщений на внешний сервер syslog через IPv6 · Email relay через IPv6 · BGPv6 · Статические IPv6 маршруты | |
· Программно-аппаратный комплекс должен поддерживать NXDOMAIN Redirection | |
Программно-аппаратный комплекс должен поддерживать следующую функциональность IPv4: · DNS через Ipv4 · IPv4 address на loopback интерфейсе · Доступ к CLI (SSH) через IPv4 · Доступ к GUI через IPv4 · Отсылка SNMP traps/info через IPv4 · Работа с запросами SNMP через IPv4 · Отсылка сообщений на внешний сервер syslog через IPv4 · Email relay через Ipv4 · Статические Ipv4 маршруты · BGPv4 | |
Программно-аппаратный кэширующий и авторитативный комплекс должен иметь защиту от следующих атак: · “Man-in-the-Middle” · “Cache Poisoning” · Distributed Denial of Service (DDoS) · DNS amplification · Reflection attack · Reconnaissance attack · Protocol anomalies · DNS tunnel attack · DNS hijacking · Phantom domain | |
Программно-аппаратный комплекс должен иметь защиту, реализованную на аппаратном уровне, от следующих DDOS атак: · TCP-SYN Flood · TCP-ACK Flood · FIN/RST Flood · TCP fragment FloodUDP Flood · UDP fragment Flood · ICMP Flood · Spoofed Source Addresses · Land Attack | |
Программно-аппаратный комплекс должен позволять добавлять доменные имена в черный список (blacklist). Система должна иметь простой web/cli интерфейс для реализации данного функционала. | |
Программно-аппаратный комплекс должен поддерживать блокировку доступа к сервису DNS для определенных IP-адресов(ACL) | |
Программно-аппаратный комплекс должен позволять осуществлять перенаправление для ряда URL-адресов на адрес страницы блокировки для выполнения требований федеральных законов -ФЗ и -ФЗ. Система должна иметь простой механизм загрузки списка этих адресов для автоматизации процесса. | |
Программно-аппаратный комплекс должен обеспечивать обнаружение вредоносного ПО и, по необходимости, ограничение доступа по скомпрометированным DNS-именам и IP-адресам. Список скомпрометированных узлов должен обновляться автоматически из публичных источников или источников предлагаемых поставщиком решения. | |
Программно-аппаратный комплекс должен обеспечивать (по необходимости) ограничение доступа по URL и IP адресам центров управления бот-сетями. Список адресов центров управления должен обновляться автоматически не реже чем раз в 24 часа | |
Программно-аппаратный комплекс должен иметь возможность отслеживать аномалии в поведении отдельных пользователей и реагировать на них, частично или полностью ограничивая доступ к DNS | |
Программно-аппаратный комплекс должен вести логирование клиентских DNS запросов, с возможностью настройки параметров логирования (более подробно/ менее подробно), настройки ротации логов, должен иметь достаточный запас дискового пространства для хранения логов без сжатия. | |
Система должна поддерживать кириллические домены. Администрирование кириллических зон должно осуществляться с использованием символов кириллицы, а не в формате Punycode. | |
Система должна уметь функционировать в multi-vpn окружении с пересекающимися адресными пространствами. | |
Система должна уметь осуществлять форвардинг зон. | |
ПАК должен уметь поддерживать отнешение Master Slave между Name Серверами, осуществлять трансфер зон, накладывать ограничения на трансфер как в IPv4 так и в IPv6 адресном пространствах. | |
| Администрирование системы | Система должна поддерживать следующие типы зон: прямые, обратные; следующие виды зон: master, slave, forwarding |
Система должна иметь систему автоматической миграцию зон с существующих DNS серверов (BIND, INFOBLOX), а так же иметь удобный пользовательский интерфейс для автоматического заведения прямых и обратных зон по маске. | |
Система должна поддерживать скриптовые языки языки программирования (shell, awk, sed, python, tcl, expect) для обеспечения возможности автоматизации управления и настройки, в частности заведения прямых и обратных зон. | |
Управление данными и сервисами ПАК всех видов должно осуществляться через одинаковый графический интерфейс. Также должна быть возможность управления и конфигурации системы через cli по протоколу ssh версии 2, с возможностью просмотра и редактирования конфигурационных файлов, вывода на дисплей всех текущих настроек, рабочих параметров и параметров запущенных на системе сервисов. | |
Система должна поддерживать передачу логов на несколько внешних серверов хранения. | |
Передача логов должна поддерживаться не только по UDP, но и по TCP протоколу. | |
Система должна уметь осуществлять контроль за действиями администратора с записью событий в логах. | |
Система не должна допускать наличия обезличенного суперпользователя с неограниченными правами | |
Удаленное управление системой и обмен данными между разными элементами системы должно осуществляться по шифрованному каналу. | |
Система должна иметь парольную защиту. | |
Система должна позволять создание пользователей с различными правами доступа. | |
Управление правами доступа должно быть ограничено только для авторизованных пользователей. Только пользователи с правами администратора должны иметь доступ к управлению правами. | |
Система должна фиксировать в журнале все действия пользователей, связанные с изменением конфигурации. | |
Графический интерфейс должен обеспечивать разные уровни доступа, в том числе для пользователей с правами создавать/модифицировать учетные записи пользователей Системы | |
| Интеграция с другими системами и устройствами | Система должна активно развиваться, периодичность выхода новых версий (минорных или мажорных) должна быть не менее 2 раз в год. Производитель должен предоставить планы по развитию системы на 2017-2018 год. |
Система должна поставляться вместе с API, чтобы системные администраторы могли производить необходимые настройки системы для интеграции с существующим оборудованием. API должен быть хорошо документирован и содержать примеры работы. Поставщик должен продемонстрировать возможности API. | |
В предложении должны быть учтены трансиверы для сетевого оборудования МГТС, необходимые для соединения c ПАК DNS | |
Система должна иметь возможность расширения функционала при помощи установки дополнительных лицензий. |
Технические требования к ПАК DHCP
Требование | Описание |
1. Общие требования | Предлагаемая система должна быть выполнена в виде программно-аппаратного комплекса(ПАК). |
Полное решение по обеспечению потребностей компании в кэширующих серверах DHCP должно включать в себя надежную аппаратную платформу и программное обеспечение, отвечающее современным требованиям и поддерживающее возможность дальнейшей модернизации и расширения. | |
Программно-аппаратный комплекс должен иметь примеры практических внедрений у операторов связи, предоставляющих услуги ШПД для частных пользователей и корпоративных клиентов. | |
Поставщик программно-аппаратного комплекса должен иметь в России квалифицированных специалистов, развитую партнерскую сеть (как минимум три партнера, предлагающих решения поставщика), обширную базу знаний и на этой основе предоставлять услуги по локализации сложных, нетиповых проблем, требующих глубокой экспертной проработки, а так же осуществлять техническую поддержку решения на русском языке. | |
Решение должно занимать лидирующие позиции в области предоставления сервисов DHCP. Эта должно подтверждаться независимыми исследовательскими компаниями на протяжении нескольких лет. | |
Поставщик программно-аппаратного комплекса должен обеспечить географическое резервирование системы. | |
Поддержка DHCPv4/DHCPv6 | |
2. Требования к аппаратному обеспечению | Предлагаемая система должна быть построена на специализированной аппаратной платформе. |
Предлагаемое решение должно быть построено отказоустойчивой системы с полным географическим резервированием HA (high availability) для всего набора функций. Процесс переключения с основного на резервный не должен оказывать влияния на работоспособность клиентов. | |
Программно-аппаратный комплекс должен быть выполнен с резервированием по блокам питания, вентиляторам и дискам. | |
Аппаратная платформа программно-аппаратного комплекса должна быть с резервированным блоком питания. Блоки питания должны работать как от источника постоянного напряжения (диапазон 36-72В), так и источника переменного напряжения 220В. | |
Программно-аппаратный комплекс должен обеспечивать возможность монтажа в коммуникационной 19-ти дюймовой стойке | |
Высота программно-аппаратного комплекса должна быть не более 2RU | |
Программно-аппаратный комплекс должен иметь не менее двух интерфейсов с возможностью объединения их в Etherchannel, а также иметь отдельный интерфейс для управления. |
3. Требования к функционалу | Система должна обеспечивать минимальное время ответа на клиентские dhcp запросы не более 200мсек |
Поддержка DHCPv6/DHCPv4 опций в частности ipv4 option 82;ipv6 option 17,37 | |
Предлагаемая система должна характеризоваться минимальным гарантированным количеством выдаваемых клиентам адресов в секунду, которое выдерживается при любой интенсивности запросов, вплоть до исчерпания пропускной способности физического интерфейса. Это значение должно быть не менее 500 lease в секунду. | |
Программно-аппаратный комплекс должен иметь возможность одновременно работать не менее чем с 10 VPN. | |
ПАК должен поддерживать не менее 96 тыс пулов и 128 тыс lease. | |
Программно-аппаратный комплекс должен предоставлять статистику по следующим параметрам: Скользящим окном в 1мин, 5мин,1 час, 24часа,1 неделя,1 месяц,1 год с разбивкой по пулам, по VPN, по типам клиентских устройств, по группам пулов, по группам VPN. · Количество принятых пакетов DISCOVERY (общее, среднее в секунду, максимальное в секунду) · Количество посланных пакетов OFFER (общее, среднее в секунду, максимальное в секунду) · Количество принятых пакетов Request (общее, среднее в секунду, максимальное в секунду) · Количество посланных пакетов ACK (общее, среднее в секунду, максимальное в секунду) · Количество посланных пакетов NAK (общее, среднее в секунду, максимальное в секунду) · Времени ответа на OFFER (общее, среднее в секунду, максимальное в секунду) · Времени ответа на Request (общее, среднее в секунду, максимальное в секунду) · Времени ответа NAK (общее, среднее в секунду, максимальное в секунду) · Количестве выданных адресов с разбивкой по пулам, VPN, типам клиентских устройств (максимальное за окно, среднее за окно, максимальное в секунду) · Используемой памяти, процессорному времени, размеру кэша, температуры (системы, cpu). · Вся предоставляемая статистика должна быть доступна по snmp (v2/v3), через web-интерфейс и в виде текстовых файлов. | |
ПАК должен поддерживать VLAN на физических интерфейсах | |
ПАК должен соответствовать всем относящимся к DHCPv4/DHCPv6 стандартам в частности RFC 2131,3396,3633,3315,2132,2485,2563,2610,2937,3004,3011,3046 | |
Программно-апаратный комплекс должен поддерживать протоколы snmp версии 2 и snmp версии 3, с возможностью получения по этим протоколам максимального количества рабочих характеристик и значений по элементам запущенных на системе сервисов. | |
Программно-аппаратный комплекс должен поддерживать следующую функциональность IPv6: · Доступ к CLI (SSH) через IPv6 · Доступ к GUI через IPv6 · Отсылка SNMP traps/info через IPv6 · Работа с запросами SNMP через IPv6 · Отсылка сообщений на внешний сервер syslog через IPv6 · Email relay через IPv6 · Статические IPv6 маршруты · BGPv6 | |
Работа с Relay агентами включенными по схеме резервирования на основе протокола HSRP/VRRP | |
Программно-аппаратный комплекс должен поддерживать следующую функциональность IPv4: · Доступ к CLI (SSH) через IPv4 · Доступ к GUI через IPv4 · Отсылка SNMP traps/info через IPv4 · Работа с запросами SNMP через IPv4 · Отсылка сообщений на внешний сервер syslog через IPv4 · Email relay через Ipv4 · Статические Ipv4 маршруты · BGPv4 · | |
ПАК должен поддерживать защиту от атак. | |
Настраиваемая сетевая проверка не занятости ip адреса перед выдачей нового адреса(DHCP Ping) | |
Программно-аппаратный комплекс должен поддерживать блокировку доступа к сервису DHCP для определенных IP и MAC адресов для каждого VPN. | |
Программно-аппаратный комплекс должен иметь возможность отслеживать аномалии в поведении отдельных пользователей и реагировать на них.(block, hold) | |
Программно-аппаратный комплекс должен вести логирование клиентских DHCP запросов, с возможностью настройки параметров логирования (более подробно/ менее подробно), настройки ротации логов, должен иметь достаточный запас дискового пространства для хранения логов без сжатия. | |
Система должна уметь функционировать в multi-vpn окружении с пересекающимися адресными пространствами. | |
4. Администрирование системы | |
Система должна поддерживать скриптовые языки языки программирования (shell, awk, sed, python, tcl, expect) для обеспечения возможности автоматизации управления и настройки, в частности. | |
Управление данными и сервисами системы должно осуществляться через одинаковый графический интерфейс. Также должна быть возможность управления и конфигурации системы через cli по протоколу ssh версии 2, с возможностью просмотра и редактирования конфигурационных файлов, вывода всех на дисплей текущих настроек, рабочих параметров и параметров запущенных на системе сервисов. | |
Система должна поддерживать передачу логов на несколько внешних серверов хранения. | |
Передача логов должна поддерживаться не только по UDP, но и по TCP протоколу. | |
Система должна уметь осуществлять контроль за действиями администратора с записью событий в логах. | |
Система не должна допускать наличия обезличенного суперпользователя с неограниченными правами | |
Удаленное управление системой и обмен данными между разными элементами системы должно осуществляться по шифрованному каналу. | |
Система должна иметь парольную защиту. | |
Система должна позволять создание пользователей с различными правами доступа. | |
Управление правами доступа должно быть ограничено только для авторизованных пользователей. Только пользователи с правами администратора должны иметь доступ к управлению правами. | |
Система должна фиксировать в журнале все действия пользователей, связанные с изменением конфигурации. | |
Система должна обладать графическим интерфейсом | |
Графический интерфейс должен обеспечивать разные уровни доступа, в том числе для пользователей с правами создавать/модифицировать учетные записи пользователей Системы | |
5. Интеграция с другими системами и устройствами | Система должна активно развиваться, периодичность выхода новых версий (минорных или мажорных) должна быть не менее 2 раз в год. Производитель должен предоставить планы по развитию системы на 2016-2017 год. |
Система должна поставляться вместе с API, чтобы системные администраторы могли производить необходимые настройки системы для интеграции с существующим оборудованием. API должен быть хорошо документирован и содержать примеры работы. Поставщик должен продемонстрировать возможности API. | |
В предложении должны быть учтены трансиверы для сетевого оборудования МГТС, необходимые для соединения c ПАК DHCP | |
Система должна иметь возможность расширения функционала при помощи установки дополнительных лицензий. |
