Модернизация телекоммуникационной и сетевой...
DESCRIPTION
Модернизация телекоммуникационной и сетевой инфраструктуры Национального банка УкраиныTRANSCRIPT
Модернизация Модернизация телекоммуникационной и сетевой телекоммуникационной и сетевой инфраструктуринфраструктурыы Национального Национального банка Украиныбанка Украины
НАЦНАЦИИОНАЛЬНОНАЛЬНЫЫЙ БАНК УКРАЙ БАНК УКРАИИННЫЫДепартамент Департамент иинформатизацнформатизацииии
Управление телекоммуникационных системУправление телекоммуникационных систем
ДОРУНДЯК ДОРУНДЯК ННиколаиколайй Василь Васильеевичвич
Начальник управленияНачальник управления
Украина, 01601, КиУкраина, 01601, Киеев-8, Тел.:(044)230-19-40в-8, Тел.:(044)230-19-40ул. Институтская, 9 Факс: (044) 230-19-07ул. Институтская, 9 Факс: (044) 230-19-07EE--mailmail: : dnvdnv@@bankbank..govgov..uaua
Телекоммуникационная инфраструктура информационной сети Национального банка Украины:
• телекоммуникационная сеть передачи информации;
• сеть интегрированных услуг электросвязи;
• локальные сети подразделений центрального аппарата, территориальных управлений, структурных единиц, учебных заведений Национального банка;
• система управления информационной сетью;
• узел доступа к ресурсам сети Интернет.
Назначение сетевой инфраструктуры
• Сетевая инфраструктура – базис для построения приложений, услуг и бизнеса
Сетевая инфраструктура
Сервера
ПриложенияУслуги
Бизнес
Анализ текущего состояния
Телефоны
ТфОП
ЦА НБУ
IP-АТС
ЦРП
ТУ
ТфОП
FR/IPсеть
ТфОП
Приложения
ЛВС/Enterasys
Защита / VPN
Сотрудники вне офисов
Passport 8600/Cisco3750
Passport 8600/Cisco3750
Passport 6400/4430
Протоколы: IP, IPXТехнологии: Eth, ATM, FR, SDH,DWDMВендоры: Nortel, Cisco, Enterasys, HP, 3COM
ЛВС/Cisco
Принципы модернизации• Безопасность
• Надежность
• Управляемость
• Модульность
• Масштабируемость
• Совместимость
• Производительность
• Доступность
Главные обьекты модернизации сети НБУГлавные обьекты модернизации сети НБУ
1. Корпоративная сеть передачи данных
- создание управляемой ІР-сети с современными сетевыми сервисами, которая включает центральный аппарат, ЦРП и все территориальные управления НБУ
2. Ведомственная телефонная сеть
- переход к использоваанию ІР-телефонных технологий как на уровне абонентов, так и межузловых соединений
3. Система сетевой защиты
- перестройка комплексной системы защиты информации
Преимущества единой мультисервисной сети
• Единая инфраструктура - упрощает управление и обслуживание
• Экономия на обучении персонала
• Защита инвестиций (возможности роста и развития)
• Масштабируемость, возможность построения распределенной сети
• Эффективное использование сетевых ресурсов
• Внедрение современных бизнес приложений на стыке голоса, видео и данных
Внедрение нового решения
• Главная проблема – минимизация воздействия на существующую сетевую среду
• Для успеха необходим структурированный процесс, включающий планирование, проектирование, сетевое управление и внедрение
• Надежная инфраструктура и каналы связи
• Совместимость приложений и технологий разных вендоров (Nortel, Cisco, Enterasys, 3COM, HP, MS)
• Поддержка механизмов QoS для приложений
• Возможность балансировки неэквивалентных каналов WAN сети
• Организация шифрованных каналов в распределенной сети
Распределение пропускной способности канала в соответствии с классом обслуживания
Категория трафика(Traffic Category)
КласОбслуживания(Service Class)
Тип приложения(Application Type)
Очередь(Queue-Q)
Приоритет очереди
(Queue Type &Priorities)
Распределение полосы пропускания канала
(Bandwidth Distribution)
Critical networkcontrol
КритическийCritical
Critical networkcontrol traffic
Q1 Highestpriority
5% of total bandwidth (BW)
Standardnetwork control
СетевойNetwork
Standard networkcontrol traffic
Real time, delayintolerant, fixedbandwidth
ПервоочередныйPremium
Interhuman communicationsrequiring interaction (such as VoIP)
Q2 Priority queue Shaped by configured rate or 10% of BW
Real time, delaytolerant, low variable bandwidth
ПлатиновыйPlatinum
Interhuman communicationsrequiring interaction with additional minimal delay (such as low-cost VoIP)
Q3 WFQ (weighted fair queuing)
60% of remaining BW after priority queues ([interface rate-(Q1+Q2)]x60%=WFQ3 forwarding rate)
Real time, delaytolerant, highvariablebandwidth
ЗолотойGold
Single humancommunication withno interaction (suchas web site streaming video)
Q4 WFQ 24% of remaining BW
Non-real time,mission critical,interactive
СеребряныйSilver
Transactionprocessing (such asTelnet, web browsing)
Q5 WFQ 10% of remaining BW
Non-real time,mission critical,non-interactive
БронзовыйBronze
For example, e-mail,FTP, SNMP
Q6 WFQ 4% of remaining BW
Non-real time,non-missioncritical
СтандартныйStandard
Bulk transfer (suchas large FTP transfers,after-hours tapebackup)
Q7 WFQ 2% of remaining BW
User Defined Пользовательский User Defined Q8 Lowest Whatever’s left
Ведомственная телефонная сеть:Задачи, которые необходимо решить
• Переход корпоративной сети связи на технологию IP
• Обеспечить работу корпоративной сети связи в условиях модернизации существующей транспортной сети
• Обеспечить интеграцию существующей сети связи с современными системами унифицированных коммуникаций (UC)
• Обеспечить сохранение инвестиций в существующую сеть связи на базе TDM
• Обеспечить возможность гибкого управления абонентской емкостью сети
WAN QoS IP Network
MG
C w
ith DS
P D
BM
GC
with D
SP
DB
CP
PM
Sig
Se
rver
CP
PM
Ca
ll Se
rver
MG
C w
ith D
SP
DB
CP
PM
Sig
Se
rver
CP
PM
Ca
ll Se
rver
MG
C w
ith D
SP
DB
MG
C w
ith DS
P D
BM
GC
with D
SP
DB
T-LAN Subnet E-LAN Subnet
L3 Routing Switch
PSTN
LAN
IP phones
PRI
Аналоговые СЛ
Телефонная сеть
Существующие аналоговые и цифроые абонеты
Communication Server 1000E
Типовой филиал, оснащенный АТС Meridian 11C
Телефонная сеть
PSTNPRI
Аналоговые СЛ
Существующие аналоговые и цифроые абонеты
T-LAN SubnetE-LAN SubnetL3 Routing Switch
IP phones
LAN
Типовой филиал, оснащенный CS1000M SG или Meridian 51C/61C
SIP or H.323 trunks
SIP or H.323 trunks
Архитектура построения сети связи
Важность вопросов безопасности
Любой сетевой объект – это цель для атаки:маршрутизаторы, коммутаторы, хосты, сети, приложения, информация, инструменты управления Новое поколение сетевых атак имеют много векторов и поэтому не могут быть блокированы одним устройствомСетевая безопасность – это интегрируемая система- разделение на логические уровни- безопасность «встраивается» на всех участках сети- безопасность интегрируется в сетевые устройства
Сетевое управление и отчетность должны быть защищены
Безопасность передачи голоса
• Для голосового трафика д.б. создан отдельный защищенный голосовой VLAN
• Трафик должен шифроваться
• Система управления телефонией должна иметь ограниченный доступ
• Попытки несанкционированного доступа и ошибки абонентов должны журналироваться
• FW должны обеспечивать защиту всех сегментов сети IP-телефонии и должны «понимать» голосовой трафик
• Но: шифрование и туннелирование голоса влияют на производительность сети
• Система защиты не должна иметь единую точку отказа!
Требования к модернизации электронной почты Национального банка:
• Совместимость работы новой системы электронной почты с действующей системой электронной почты Национального банка NBUMAIL.
• Возможность достоверной передачи информации с получением данных относительно прохождения ее через транзитные узлы пользователем, который посылает информацию, а также о времени получения этой информации конечным пользователем.
• Для защиты информации от искривления, несанкционированного доступа, подделки во время передачи каналами связи должно использоваться шифрование.
• Для защиты информации от искривления и подделки должна использоваться электронная цифровая подпись (ЕЦП).
• Запуск почтовых программ должен встраиваться как DLL или OBJ.• На случай разрушения основного программно-технического комплекса узла
системы ЭП НБУ должно быть предусмотрено использование резервного узла системы ЭП НБУ.
• Программно-технические средства системы ЭП НБУ должны предотвращать возможность несанкционированного вмешательства обслуживающего персонала в процесс обработки электронных сообщений, внесение изменений и искривлений к почтовым конвертам и технологическим журналам работы системы ЭП НБУ.
• Должен быть обеспечен авторизированный доступ к данным и ресурсам системы ЭП НБУ.
Показатели назначения ЭП НБУ :- Количество абонентов системы ЭП НБУ - 2000.- Количество электронных сообщений, обработанных на одном узле системы ЭП НБУ за день: до 3 млн.;- Максимальный размер файла, который может передаваться, 150 Мбайт.- Должен обеспечиваться режим приоритезации электронных сообщений и продолжения его передачи после возобновления прерванного сеанса связи из последнего успешно переданного бита информации.- Должна выполняться передача электронных сообщений по маске и на группу абонентов.- Должен обеспечиваться авторизированный доступ пользователей к архивам ЭП НБУ с возможностью читать и копировать из него файлы.-Система ЭП НБУ должна иметь шлюз для работы с Интернет-почтой (Е-mail).