Схема подключения сети ЕСПД к сети Оптиком
Настройка оборудования ESR-10 для интеграции с сетью ЕСПД и сетью Оптиком (ESR-20)
Для подготовки файла конфигурации для ESR-10 необходимо взять исходный файл конфигурации ESR-10 для соответствующего объекта ЦОС.
Инструкция с примером конфигурации:
Исходный конфиг ESR-10 с комментариями под интеграцию с Оптиком
Файл соответствие школ Оптиком с кодами ЕСПД
Итоговый файл конфигурации ESR-10 для интеграции с сетью Оптиком
После того, как будет сконфигурирован ESR-10 под школы Оптиком назначения портов следующие:
interface gigabitethernet 1/0/1 Порт №1 в сторону оборудования Оптиком (ESR-20) interface gigabitethernet 1/0/2 Порт №2 в сторону оборудования ЦОС interface gigabitethernet 1/0/3 Порт №3 в сторону оборудования ЦОС interface gigabitethernet 1/0/4 Порт №4 в сторону оборудования КШ interface gigabitethernet 1/0/5 Порт №5 оптический в сторону оборудования ЦОС interface gigabitethernet 1/0/6 Порт №6 оптический в сторону оборудования ЦОС
Если на объекте подрядчиком построена инфраструктура ЦОС, то необходимо проложить кабель UTP от шкафа, где размещается оборудование ESR-10 до оборудования Облцит/Оптиком ESR-20.
Инструкция по настройке АРМ под сеть ЕСПД
ЕСПД и ЦОС.
ЕСПД – это виртуальная частная сеть обеспечивающая доступ социально-значимых объектов к информационным системам и к сети Интернет, а также передачу данных при предоставлении доступа к информационным системам и к сети Интернет, развернутая в соответствии с проектом в части Модели угроз безопасности информации с федеральными органами, уполномоченными в области безопасности и защиты информации. Простым языком ЕСПД – это сеть для обеспечения доступа в Интернет. К сети ЕСПД в СОШ подключаются: 1. АРМ (стационарные ПК, ноутбуки), расположенных в учебных классах и участвующих в образовательном процессе с доступом к ним учеников образовательного учреждения через криптомаршрутизатор установленный в учреждении. АРМ расположенные в учебных классах функционируют с компонентом «контент-фильтрации». 2. АРМ административно-хозяйственного и педагогического состава без компонента «контент-фильтрации». 3. АРМ – закрытого сегмента для работы с персональными данными.
В ЕСПД (классической) используется статическая IP-адресация, где за каждым АРМ закреплен постоянный IP-адрес. На всех АРМ подключенных к сети ЕСПД должен быть настроен строго статический IP-адрес из выделенного диапазона открытого сегмента. Чтобы открыть доступ к необходимым заблокированным ресурсам на АРМ/устройств СЗО, со стороны СЗО необходимо направить заявку в техническую поддержку ЕСПД на электронную почту оперативного дежурного СЦ Министерства цифрового развития mcszo@digital.gov.ru. В заявке требуется указать: адрес СЗО, IP-адреса ресурсов, протоколы и порты назначения, до которых должен быть предоставлен доступ без контент-фильтрации.
Важно! В соответствии с ГК, в рамках предоставления услуги ЕСПД, не предусматривается открытие свободного доступа из сети Интернет к ресурсам СЗО, в связи с чем возможны случаи, когда работа тех или иных систем через сеть ЕСПД невозможна (например: СКУД).
ЦОС (Ростелеком)= ИТ-инфраструктура (Минцифра НСО) – это услуга по обеспечению функционирования Оборудования ранее сформированной ИТ-инфраструктуры в государственных и муниципальных общеобразовательных организациях, реализующих программы общего образования. Простым языком – ЦОС - это сеть Wi-Fi (авторизация ЕСИА) + камеры на входные группы, с хранением данных на локальный носитель(регистратор).
ЦОС является дальнейшим развитием проекта ЕСПД. В рамках ЦОС обеспечивается создание в образовательных учреждениях инфраструктуры из Wi-Fi точек доступа с авторизацией пользователей через портал Гос. услуг (ЕСИА) и системы видеонаблюдения входных групп. При этом для передачи данных используются каналы ЕСПД. Указанные сервисы полностью совместимы, т.к. являются частью единого технического решения.
1. АРМ (стационарные ПК, ноутбуки), расположенных в учебных классах и участвующих в образовательном процессе с доступом к ним учеников образовательного учреждения через криптомаршрутизатор установленный в учреждении. АРМ расположенные в учебных классах функционируют с компонентом «контент-фильтрации». В сети ЦОС при настройке АРМ настраивается статический IP адрес из подсети LAN открытого сегмента, орг.технике и устройствах не поддерживающих получение IP-адресов по DHCP. Если устройства поддерживают получение IP-адреса, устройства могут быть настроены автоматически от сервера DHCP. Сервер DHCP должен быть единственным в сети СОШ.
2. АРМ административно-хозяйственного и педагогического состава без компонента «контент-фильтрации». В сети ЦОС при настройке АРМ административно-хозяйственного и педагогического состава, настраивается статический IP адрес из подсети LAN открытого сегмента, орг.технике и устройствах не поддерживающих получение IP-адресов по DHCP. Обязательная авторизоваться через ЕСИА. При открытии браузера пользователя перенаправляет на сайт ЕСИА, где ему необходимо ввести свои данные учётной записи. Учётная запись должна быть верифицирована (должна быть подтверждена и привязана в ЕСИА к ОО через ОГРН ОО), в противном случае пользователь получит ошибку. Чтобы открыть (получить) доступ к необходимым заблокированным ресурсам на АРМ/устройств СЗО, со стороны СЗО необходимо направить заявку в техническую поддержку ЕСПД на электронную почту оперативного дежурного СЦ Министерства цифрового развития mcszo@digital.gov.ru . В заявке требуется указать: адрес СЗО, IP-адреса ресурсов, протоколы и порты назначения, до которых должен быть предоставлен доступ без контент-фильтрации.
Важно! В соответствии с ГК, в рамках предоставления услуги ЕСПД, не предусматривается открытие свободного доступа из сети Интернет к ресурсам СЗО, в связи с чем возможны случаи, когда работа тех или иных систем через сеть ЕСПД невозможна (например: СКУД).
3. АРМ – закрытого сегмента для работы с персональными данными, аналогично работе в сети ЕСПД.
Схема подключения СЗО к ЕСПД (без ЦОС)
Схема подключения СОШ к ЕСПД (с ЦОС)
Закрытый сегмент ЕСПД
Согласно технического решения по созданию закрытого сегмента сети ЕСПД (аттестованного сертификатами ФСБ/ФСТЭК) смешивать в одном коммутаторе закрытый и открытый сегмент нельзя. Сети закрытого и открытого сегмента должны быть физически разделены. Схема подключения АРМ закрытого сегмента представлена на схеме. Для подключения более одного АРМ к закрытому сегменту сети ЕСПД требуется установка отдельно коммутатора, который подключается к закрытому сегменту.
Ресурсы закрытого сегмента ЕСПД
Ресурсы на площадке МинЦифры НСО:
| Имя ресурса | IP-адрес |
|---|---|
| upu.nso.espd. A | 10.236.128.65 |
| detsad.nso.espd. A | 10.236.128.70 |
| sadik.nso.espd. A | 10.236.128.71 |
| regsadik.nso.espd. A | 10.236.128.72 |
| school.nso.espd. A | 10.236.128.80 |
| regschool.nso.espd. A | 10.236.128.81 |
| mais2.nso.espd. A | 10.236.128.90 |
| ris-gmp.nso.espd. A | 10.236.128.100 |
| mis.egisz.nso.espd. A | 10.236.128.110 |
| sedd.nso.espd. A | 10.236.128.120 |
| sedd-cm.nso.espd. A | 10.236.128.121 |
Назначение VLAN в сети ЕСПД
Вопросы ответа:
Вопрос: Можно один АРМ с двумя сетевыми картами подключить к открытому и закрытому сегментам сети ЕСПД. Ответ: Нет нельзя, это нарушение модели угроз. АРМ под закрытый сегмент должен быть отдельно выделенный.
Вопрос: Имеется ли доступ к ФИС ГИА и ФИС ФРДО из закрытого сегмента ЕСПД. Ответ: Эти системы используются во всех существующих школ. Работает в настоящее время через «открытый» сегмент с использованием программных клиентов VipNet. Перевод в «закрытый» сегмент находится в работе с Рособрнадзором и Минцифрой РФ. Срок решения не определен, решение будет за Минцифрой РФ и МинОбр РФ. Система в данный момент полностью работоспособна в открытом сегменте ЕСПД через программные VipNetы обслуживаемые Рособрнадзором самостоятельно.