Zarządzanie WAN - Integracja sieci LAN, perspektywa i wytyczne dla jednostek PSZ Wiktor Zgodziński Inżynier Systemowy, Sygnity S.A. Kwiecień 2014 r.
Do czego służy łącze/usługi WAN PSZ Bezpieczny dostęp do aplikacji/systemów centralnych Podstawowy dostęp do Internetu Sieć podkładowa pod nowe/kolejne usługi Kompletna usługa umożliwiająca realizację zadań MPiPS
Elementy składowe usługi WAN PSZ Router Cisco serii 29xx w jednostce PSZ Łącze dostępowe do sieci MPLS Szyfrowane połączenie do infrastruktury CPD Infrastruktura centralna w CPD Zarządzanie i monitorowanie usługą 24h/7/365
Odpowiedzialność w ramach usług centralnych Urządzenia są zarządzane centralnie Nie mogą służyć do realizowania innych połączeń Łącze WAN może być zakończone na w/w urządzeniu Odpowiedzialność tylko do interfejsu routera Podstawowy dostęp do internetu HTTP/HTTPS/FTP
Rekomendacja dla konfiguracji sieci LAN w PSZ Separacja sieci WAN i LAN poprzez własne urządzenie bezpieczeństwa Segmentacja sieci LAN (VLAN), np.: PC/Serwery/Voice Stosowanie zarządzalnych urządzeń sieciowych (Cisco, Juniper, HP, Fortigate) Zabezpieczenie serwisu urządzeń z gwarancją SLA
Procedury testowe: 1 Weryfikacja w lokalnej sieci LAN <adresacja lokalna> 2 Weryfikacja routera WAN <adresacja przydzielona> 3 Weryfikacja łączności do serwera DNS 172.16.11.10 4 Weryfikacja łączności do Internetu 8.8.8.8*
Kiedy należy zgłosić problem do HDS? 1 Weryfikacja w lokalnej sieci LAN <adresacja lokalna> 2 Weryfikacja routera WAN <adresacja przydzielona> 3 Weryfikacja łączności do serwera DNS 172.16.11.10 4 Weryfikacja łączności do Internetu 8.8.8.8*
Architektura sieciowa w CPD Podwójne łącza do sieci WAN oraz INTERNET Podwójne urządzenia WAN oraz INTERNET Klaster urządzeń bezpieczeństwa Przełączniki pracujące w stosie lub vpc Połączenia skośne pomiędzy pomiędzy warstwami Centralne systemy monitorowania
Schemat sieci CPD (WAN, INTERNET)
Schemat sieci CPD (serwery)
Monitorowanie infrastruktury Każde zdarzenie, także z routerów brzegowych jednostek PSZ jest logowane i archiwizowane. Statystyki są zbierane dla każdego urządzenia Cyklicznie generowane raporty pokazują trendy w infrastrukturze oraz wąskie gardła Monitoring Infrastruktury odbywa się przez 24h/dobę
Ciekawostki ponad 300 sesji (TCP+UDP) na sekundę ponad 16GB ruchu do macierzy ponad 700 interfejsów sieciowych monitorowanych nowoczesne rozwiązania FCoE, VPC sprzęt dla tego projektu w CPD waży ponad 2Tony
Dziękujemy za uwagę Sygnity S.A. Kopernik Office Building Al. Jerozolimskie 180 02-486 Warszawa tel. (+48 22) 290 88 00 www.sygnity.pl info@sygnity.pl Centrum Obsługi Klienta tel. (+48 81) 749 55 88 hd.infrastruktura@sygnity.pl www.hd.sygnity.pl