Модернизация телекоммуникационной и сетевой...

Модернизация Модернизация телекоммуникационной и сетевой телекоммуникационной и сетевой инфраструктуринфраструктурыы Национального Национального банка Украиныбанка Украины

НАЦНАЦИИОНАЛЬНОНАЛЬНЫЫЙ БАНК УКРАЙ БАНК УКРАИИННЫЫДепартамент Департамент иинформатизацнформатизацииии

Управление телекоммуникационных системУправление телекоммуникационных систем

ДОРУНДЯК ДОРУНДЯК ННиколаиколайй Василь Васильеевичвич

Начальник управленияНачальник управления

Украина, 01601, КиУкраина, 01601, Киеев-8, Тел.:(044)230-19-40в-8, Тел.:(044)230-19-40ул. Институтская, 9 Факс: (044) 230-19-07ул. Институтская, 9 Факс: (044) 230-19-07EE--mailmail: : dnvdnv@@bankbank..govgov..uaua

Телекоммуникационная инфраструктура информационной сети Национального банка Украины:

• телекоммуникационная сеть передачи информации;

• сеть интегрированных услуг электросвязи;

• локальные сети подразделений центрального аппарата, территориальных управлений, структурных единиц, учебных заведений Национального банка;

• система управления информационной сетью;

• узел доступа к ресурсам сети Интернет.

Назначение сетевой инфраструктуры

• Сетевая инфраструктура – базис для построения приложений, услуг и бизнеса

Сетевая инфраструктура

Сервера

ПриложенияУслуги

Бизнес

Анализ текущего состояния

Телефоны

ТфОП

ЦА НБУ

IP-АТС

ЦРП

ТУ

ТфОП

FR/IPсеть

ТфОП

Приложения

ЛВС/Enterasys

Защита / VPN

Сотрудники вне офисов

Passport 8600/Cisco3750

Passport 8600/Cisco3750

Passport 6400/4430

Протоколы: IP, IPXТехнологии: Eth, ATM, FR, SDH,DWDMВендоры: Nortel, Cisco, Enterasys, HP, 3COM

ЛВС/Cisco

Принципы модернизации• Безопасность

• Надежность

• Управляемость

• Модульность

• Масштабируемость

• Совместимость

• Производительность

• Доступность

Главные обьекты модернизации сети НБУГлавные обьекты модернизации сети НБУ

1. Корпоративная сеть передачи данных

- создание управляемой ІР-сети с современными сетевыми сервисами, которая включает центральный аппарат, ЦРП и все территориальные управления НБУ

2. Ведомственная телефонная сеть

- переход к использоваанию ІР-телефонных технологий как на уровне абонентов, так и межузловых соединений

3. Система сетевой защиты

- перестройка комплексной системы защиты информации

Преимущества единой мультисервисной сети

• Единая инфраструктура - упрощает управление и обслуживание

• Экономия на обучении персонала

• Защита инвестиций (возможности роста и развития)

• Масштабируемость, возможность построения распределенной сети

• Эффективное использование сетевых ресурсов

• Внедрение современных бизнес приложений на стыке голоса, видео и данных

Внедрение нового решения

• Главная проблема – минимизация воздействия на существующую сетевую среду

• Для успеха необходим структурированный процесс, включающий планирование, проектирование, сетевое управление и внедрение

• Надежная инфраструктура и каналы связи

• Совместимость приложений и технологий разных вендоров (Nortel, Cisco, Enterasys, 3COM, HP, MS)

• Поддержка механизмов QoS для приложений

• Возможность балансировки неэквивалентных каналов WAN сети

• Организация шифрованных каналов в распределенной сети

Распределение пропускной способности канала в соответствии с классом обслуживания

Категория трафика(Traffic Category)

КласОбслуживания(Service Class)

Тип приложения(Application Type)

Очередь(Queue-Q)

Приоритет очереди

(Queue Type &Priorities)

Распределение полосы пропускания канала

(Bandwidth Distribution)

Critical networkcontrol

КритическийCritical

Critical networkcontrol traffic

Q1 Highestpriority

5% of total bandwidth (BW)

Standardnetwork control

СетевойNetwork

Standard networkcontrol traffic

Real time, delayintolerant, fixedbandwidth

ПервоочередныйPremium

Interhuman communicationsrequiring interaction (such as VoIP)

Q2 Priority queue Shaped by configured rate or 10% of BW

Real time, delaytolerant, low variable bandwidth

ПлатиновыйPlatinum

Interhuman communicationsrequiring interaction with additional minimal delay (such as low-cost VoIP)

Q3 WFQ (weighted fair queuing)

60% of remaining BW after priority queues ([interface rate-(Q1+Q2)]x60%=WFQ3 forwarding rate)

Real time, delaytolerant, highvariablebandwidth

ЗолотойGold

Single humancommunication withno interaction (suchas web site streaming video)

Q4 WFQ 24% of remaining BW

Non-real time,mission critical,interactive

СеребряныйSilver

Transactionprocessing (such asTelnet, web browsing)

Q5 WFQ 10% of remaining BW

Non-real time,mission critical,non-interactive

БронзовыйBronze

For example, e-mail,FTP, SNMP

Q6 WFQ 4% of remaining BW

Non-real time,non-missioncritical

СтандартныйStandard

Bulk transfer (suchas large FTP transfers,after-hours tapebackup)

Q7 WFQ 2% of remaining BW

User Defined Пользовательский User Defined Q8 Lowest Whatever’s left

Ведомственная телефонная сеть:Задачи, которые необходимо решить

• Переход корпоративной сети связи на технологию IP

• Обеспечить работу корпоративной сети связи в условиях модернизации существующей транспортной сети

• Обеспечить интеграцию существующей сети связи с современными системами унифицированных коммуникаций (UC)

• Обеспечить сохранение инвестиций в существующую сеть связи на базе TDM

• Обеспечить возможность гибкого управления абонентской емкостью сети

WAN QoS IP Network

MG

C w

ith DS

P D

BM

GC

with D

SP

DB

CP

PM

Sig

Se

rver

CP

PM

Ca

ll Se

rver

MG

C w

ith D

SP

DB

CP

PM

Sig

Se

rver

CP

PM

Ca

ll Se

rver

MG

C w

ith D

SP

DB

MG

C w

ith DS

P D

BM

GC

with D

SP

DB

T-LAN Subnet E-LAN Subnet

L3 Routing Switch

PSTN

LAN

IP phones

PRI

Аналоговые СЛ

Телефонная сеть

Существующие аналоговые и цифроые абонеты

Communication Server 1000E

Типовой филиал, оснащенный АТС Meridian 11C

Телефонная сеть

PSTNPRI

Аналоговые СЛ

Существующие аналоговые и цифроые абонеты

T-LAN SubnetE-LAN SubnetL3 Routing Switch

IP phones

LAN

Типовой филиал, оснащенный CS1000M SG или Meridian 51C/61C

SIP or H.323 trunks

SIP or H.323 trunks

Архитектура построения сети связи

Важность вопросов безопасности

Любой сетевой объект – это цель для атаки:маршрутизаторы, коммутаторы, хосты, сети, приложения, информация, инструменты управления Новое поколение сетевых атак имеют много векторов и поэтому не могут быть блокированы одним устройствомСетевая безопасность – это интегрируемая система- разделение на логические уровни- безопасность «встраивается» на всех участках сети- безопасность интегрируется в сетевые устройства

Сетевое управление и отчетность должны быть защищены

Безопасность передачи голоса

• Для голосового трафика д.б. создан отдельный защищенный голосовой VLAN

• Трафик должен шифроваться

• Система управления телефонией должна иметь ограниченный доступ

• Попытки несанкционированного доступа и ошибки абонентов должны журналироваться

• FW должны обеспечивать защиту всех сегментов сети IP-телефонии и должны «понимать» голосовой трафик

• Но: шифрование и туннелирование голоса влияют на производительность сети

• Система защиты не должна иметь единую точку отказа!

Требования к модернизации электронной почты Национального банка:

• Совместимость работы новой системы электронной почты с действующей системой электронной почты Национального банка NBUMAIL.

• Возможность достоверной передачи информации с получением данных относительно прохождения ее через транзитные узлы пользователем, который посылает информацию, а также о времени получения этой информации конечным пользователем.

• Для защиты информации от искривления, несанкционированного доступа, подделки во время передачи каналами связи должно использоваться шифрование.

• Для защиты информации от искривления и подделки должна использоваться электронная цифровая подпись (ЕЦП).

• Запуск почтовых программ должен встраиваться как DLL или OBJ.• На случай разрушения основного программно-технического комплекса узла

системы ЭП НБУ должно быть предусмотрено использование резервного узла системы ЭП НБУ.

• Программно-технические средства системы ЭП НБУ должны предотвращать возможность несанкционированного вмешательства обслуживающего персонала в процесс обработки электронных сообщений, внесение изменений и искривлений к почтовым конвертам и технологическим журналам работы системы ЭП НБУ.

• Должен быть обеспечен авторизированный доступ к данным и ресурсам системы ЭП НБУ.

Показатели назначения ЭП НБУ :- Количество абонентов системы ЭП НБУ - 2000.- Количество электронных сообщений, обработанных на одном узле системы ЭП НБУ за день: до 3 млн.;- Максимальный размер файла, который может передаваться, 150 Мбайт.- Должен обеспечиваться режим приоритезации электронных сообщений и продолжения его передачи после возобновления прерванного сеанса связи из последнего успешно переданного бита информации.- Должна выполняться передача электронных сообщений по маске и на группу абонентов.- Должен обеспечиваться авторизированный доступ пользователей к архивам ЭП НБУ с возможностью читать и копировать из него файлы.-Система ЭП НБУ должна иметь шлюз для работы с Интернет-почтой (Е-mail).