560 likes | 716 Views
Inicio. 4 Servicio WAN e Internet. Objetivos. Objetivos. Que los participantes reconozcan los elementos aplicables necesarios para implantar las WAN, enfocados en los temas y la funcionalidad de routers (enrutadores) y los fundamentos de protección de perímetros y firewalls (cortafuegos).
E N D
Inicio 4Servicio WAN e Internet
Objetivos Objetivos Que los participantes reconozcan los elementos aplicables necesarios para implantar las WAN, enfocados en los temas y la funcionalidad de routers (enrutadores) y los fundamentos de protección de perímetros y firewalls (cortafuegos).
Agenda Agenda (Ambos Servicios) Descripción Funcionalidad Uso Adecuado Alarmas Riesgos Contingencias Responsabilidades
Descripción Descripción: • El servicio WAN de la red del SENA, comprende el diseño, instalación, operación, administración y gestión de los enlaces para intercomunicar las sedes. • Garantizar el acceso a las sedes del SENA y al centro de datos con el ancho de banda comprometido • El servicio será brindado sobre una base de operación 7x24 y cumplir con los Acuerdos de Nivel de Servicio • Conectividad 183 Sedes a Nivel Nacional (Entregadas lógicamente en el Centro de Datos): • 67 sedes tipo A con canal de respaldo + Acelerador+ BW Internet • 56 sedes tipo B + Acelerador+ BW Internet • 60 sedes tipo C + Acelerador+ BW Internet
Esquema General de Diseño Esquema General del Diseño
Esquema de Sedes tipo “A”. Esquema de sedes tipo “A”
Esquema de Sedes tipo “B” Esquema de sedes tipo “B”
Esquema de Sedes tipo “C” Esquema de sedes tipo “C”
Esquema de Marcado de Paquetes Esquema de Marcado de Paquetes
Monitoreo Monitoreo • Para el servicio de WAN e Internet se estará realizando una gestión de Monitoreo • y control que permitirá determinar el buen funcionamiento del servicio. • Algunos de los parámetros a medir por la Herramienta de Gestión y Monitoreo son: • Jitter en la red WAN e Internet • Delay en la red WAN e Internet • Perdidas de paquetes en la red WAN e Internet • Latencia en la red WAN e Internet • A continuación se anexan algunas impresiones de pantallas donde se puede • Apreciar la Herramienta • Es importante destacar que el SENA no tendrá acceso a dicha herramienta
Herramienta de Monitoreo y Gestión Herramienta de Monitoreo y Gestión
Medición delDelay Herramienta de Monitoreo y Gestión Medición del DelayServicio WAN
Medición de Pérdidas de Paquetes Herramienta de Monitoreo y Gestión Medición de pérdidas de PaquetesServicio WAN
Medición de Latencia Herramienta de Monitoreo y Gestión Medición de la LatenciaServicio Internet
Class Voz Total Wan hggh Uso del Caudal WAN según QoS Class Video Class Management Uso del Caudal WAN según QoS Class Críticos Class Business BW Datos Class Internet (Default) Total WAN BW Internet
Esquema del Marcado de Paquetes Esquema de Marcado de Paquetes
Funcionalidad WAN Funcionalidad 1 El servicio WAN presentada al SENA presenta funcionalidades de inteligencia y optimización de los recursos a lo largo y ancho de la solución, funcionalidades como QoS, enrutamiento dinámico, protocolos que permiten realizar análisis de trafico con el fin de poder identificar el trafico propio de SENA e identificar cambios en el comportamiento y tipo de trafico y optimización del uso de los enlaces WAN mediante tecnología de reducción de ancho de banda son algunas de las funcionalidades mas relevantes del servicio, esto aunado a la capacidad de administración y monitoreo constante bajo normativas ITIL.
Uso Adecuado WAN Uso Adecuado 1 El servicio de red WAN debe ser utilizado de manera apropiada, aprovechando la máxima capacidad trasmisión de los equipos. POLITICA DE SEGURIDAD PARA LOS EQUIPOS QUE CONFORMAN LA SOLUCION DE LA RED WAN • No deben estar expuestos a la intemperie. • No debe estar expuestos al transito de las personas. • Debe estar operando bajo ambiente que respete las especificaciones de operación de los equipos. • Deben estar correctamente instalados en un rack.
Riesgos Riesgos • Incorrecta manipulación de los dispositivos y/o módulos por parte de recursos técnicos o no técnicos que no hayan sido designados por Proa y no sujetos a las mejores prácticas según las disciplinas de ITIL • El acceso no autorizado a personal de mantenimiento o el acceso autorizado de este personal pero sin supervisión en sitio lo cual podría traer consigo accidentes que afecten la continuidad del servicio en alguna medida. 1 2
Descripción I Descripción: El servicio Internet de la red del SENA, comprende el diseño, instalación, administración y gestión de los accesos y restricciones a diversas paginas y recursos en la web. Garantizar el acceso a Internet las sedes del SENA con el ancho de banda comprometido. El servicio será brindado sobre una base de operación 7x24 y cumplir con los Acuerdos de Nivel de Servicio.
Descripción II Descripción: • De acuerdo al anexo 3 (numeral 7.3.1), la propuesta presentada por PROA y adendas; de acuerdo a las cantidades especificadas en el anexo 7 y cumpliendo con los ANS acordados en el anexo 5. Estos son las principales características que presta el servicio de Internet: • La velocidad de los enlaces, debe ser con un reuso 1:1 de las sedes del SENA y centro de datos hasta el Internet Service Provider (ISP). • Disponer de 40 direcciones IP públicas para uso del SENA, estar en capacidad de suministrar las direcciones adicionales que se requieran y realizar el trámite de asignación de una subzona de direcciones IPv6 empresarial dentro del sector gubernamental, según se indique en el plan de migración IPv4 a IPv6. • Dispone de un sistema de gestión del servicio, garantizando el acceso controlado a usuarios del SENA, permitiendo el monitoreo en línea (tiempo real). • Aplica servicio de autenticación y control de los usuarios para el acceso a Internet, filtrado URL, acceso al contenido de páginas Web, Proxy cache. • PROA debe optimizar el acceso a Internet para cada una de las sedes de la Entidad.
Topología Centro de Datos Topología Centro de Datos
Topología Centro de Datos Alterno Topología Centro de Datos Alterno
Funcionalidad Internet Funcionalidad 1 El servicio Internet presentado al SENA introduce funcionalidades de inteligencia y optimización de los recursos a lo largo y ancho de la solución, funcionalidades como QoS, enrutamiento dinámico, protocolos que permiten realizar análisis de trafico con el fin de poder identificar el trafico propio de SENA e identificar cambios en el comportamiento y tipo de trafico y optimización del uso de los enlaces WAN e Internet mediante tecnología de reducción de ancho de banda son algunas de las funcionalidades mas relevantes del servicio, esto aunado a la capacidad de administración y monitoreo constante bajo normativas ITIL.
Funcionalidad Bloqueo URLs Funcionalidad 2 Para dar cumplimiento a la estrategia de INTERNET SANO se implanta el bloqueo de las páginas publicadas por el ministerio TIC y las siguientes páginas a solicitud de la oficina de sistemas del SENA. El procedimiento aún se encuentra en definición con el SENA. La propuesta es que el encargado de sistemas de la sede lo pueda realizar a través de la mesa de servicios de PROA: www.facebook.com www.dropbox.com www.youtube.com www.vineo.com www.badoo.com www.tumblr.com www.dailymotion.com www.ask.com www.ustream.com www.symantecliveupdate.com www.espn.com www.metacafe.com www.ning.com www.nba.com www.justintv.com www.ebay.com www.meebo.com www.netflix.com www.myspace.com www.lastfm.com www.foxsports.com www.orkut.com www.megavideo.com www.opendrive.com www.nfl.com
Uso Adecuado Internet Uso Adecuado 1 El servicio de Internet debe ser utilizado de manera apropiada, aprovechando la máxima capacidad trasmisión de los equipos y respetando las normas de uso El realizar una campaña de concientización con respecto al uso apropiado y respetuoso de Internet generara un uso menos riesgoso para las operaciones de SENA, evitando así el acceso a pornografía o paginas de redes sociales que afectan el rendimiento de los empleados 2
Riesgos Riesgos 1 • Ingreso a paginas mal intencionadas en las cuales los usuarios internos pueden ser victimas de ataques focalizados o incluso brindar un backdoor para ataques o contaminación por virus generales en la red.
Alarmas Alarmas Mediante la gestión de monitoreo 7/24 se consideran 3 tipos de alarmas en el servicio estas son: Normal, Warning y Critical. Cada una de ellas activa un proceso y tipo de atención propio de su nivel de prioridad.
Alarmas por Nivel 1-2 Alarmas Si se detecta una falla en el la red WAN o Internet, el homologo de sistemas debe contactar a la mesa de ayuda (Mail, Teléfono) par que se registre el caso y se de un número de ticket para control seguimiento. 1.1.1Atención de primer nivel En primera instancia se intentará vía remota levantar el servicio, y se contara con el apoyo de los agentes en sitio en caso de ser necesario. 1.2.1Atención de Segundo Nivel En caso de no pode restablecer el servicio se cuenta con personal especializado que vía remota con los agentes en sitio brindaran el soporte necesario para levantar el servicio.
Alarmas por Nivel 3-4 Alarmas 1.3.1Atención especializada en sitio Para estos casos se desplazara personal especializado al sitio para realizar los cambios necesarios para levantar el servicio. 1.4.1Seguimiento y Control a Fallas Par este caso todo los ticket estarán consignados en NNMi y aplicaran los ANS establecidos para el ámbito, tendrán acceso restringido a la herramienta de monitoreo
Continencias Contingencias Los Servicios de Redes WAN e Internet comparte el mismo Router y la intención fue un diseño con esquema de redundancia (sede Tipo A). En el Centro de Datos se cuenta con dos routers ASR 1002 en una modalidad Activo / Pasivo que cumplen con el rol de conexión al proveedor de Internet. Se elaboro el mismo esquema de redundancia en los Routers ASR 1002 que conforman la conexión a la Red WAN, ofreciendo de este modo un camino alterno en caso de falla. También en algunos casos se considero la inclusión de un segundo enlace “Redundante” desde las Sedes Remotas al Data Center
Responsabilidades Responsabilidades
Infraestructura WAN – Índice 1 ROUTER CISCO1905 /K9 ROUTER CISCO2901 /K9 ROUTER CISCO2911 /K9 ROUTER CISCO2911-V /K9 Infraestructura WAN ROUTER CISCO2921 /K9 ROUTERBOARD RB750G MIKROTIK Seleccione uno de los equipos de la derecha para conocer sus características ROUTER VIA SATELITE EVOLUTION X3
ROUTER CISCO1905 /K9 Directory Interaction Infraestructura ROUTER CISCO1905 /K9 Servicio WAN • • Descripción: ROUTER CISCO1905 /K9 • C1905 Router, 2 GE, HWIC-1T, CAB-SS-V35MT, 256F/256D, IPBase • • Funcionalidad: • Conexiones WAN • Listas de acceso • Manejo de tunelesIPSec. Click the Interaction button to edit this interaction
ROUTER CISCO2901 /K9 Directory Interaction Infraestructura ROUTER CISCO2901 /K9 Servicio WAN • • Uso Adecuado: No deben estar expuestos a la intemperie • No debe estar expuestos al transito de las personas • Debe estar operando bajo ambiente que respete las especificaciones de ambiente. • Deben estar correctamente instalados en un rack • • Alarmas: Mediante un registros históricos de los contadores de en las interfaces y los mensajes de estado del sistema. • • Riesgos: Incorrecta manipulación de los dispositivos y/o módulos por parte de recursos técnicos o no técnicos que no hayan sido designados por Proa y no sujetos a las mejores prácticas según las disciplinas de ITIL. • El acceso no autorizado a personal de mantenimiento o el acceso autorizado de este personal pero sin supervisión en sitio lo cual podría traer consigo accidentes que afecten la continuidad del servicio en alguna medida. • • Contingencias: En caso de falla total o de algún componente se debe manejar con la llamada a Proa al 10100 • • Responsabilidades: Totalmente de Proa Click the Interaction button to edit this interaction
ROUTER CISCO2911 /K9 Directory Interaction Infraestructura ROUTER CISCO2911 /K9 Servicio WAN • • Descripción: ROUTER CISCO2911 /K9 • Cisco 2911 w/3 GE,4 EHWIC,2 DSP,1 SM,256MB CF,512MB DRAM,IPB • • Funcionalidad: • Conexiones WAN • Listas de acceso • Manejo de tunelesIPSec. Click the Interaction button to edit this interaction
ROUTER CISCO2911-V /K9 Directory Interaction Infraestructura ROUTER CISCO2911-V /K9 Servicio WAN • • Descripción: ROUTER CISCO2911-V /K9 • Cisco 2911 w/3 GE,4 EHWIC,2 DSP,1 SM,256MB CF,512MB DRAM,IPB • • Funcionalidad: • Conexiones WAN • Listas de acceso • Manejo de tunelesIPSec. • Soporte para tarjetas análogas (FXO/FXS) • Soporte para canales de Voz Digitales (E1) • Soporte para recurso de transcodificaciónDSPs Click the Interaction button to edit this interaction
ROUTER CISCO2921 /K9 Directory Interaction Infraestructura ROUTER CISCO2921 /K9 Servicio WAN • • Descripción: ROUTER CISCO2921 /K9 • Cisco 2921 w/3 GE,4 EHWIC,3 DSP,1 SM,256MB CF,512MB DRAM,IPB • • Funcionalidad: • Conexiones WAN • Listas de acceso • Manejo de túneles IPSec. Click the Interaction button to edit this interaction
ROUTERBOARD RB750G MIKROTIK Directory Interaction Infraestructura ROUTERBOARD RB750G MIKROTIK Servicio WAN • • Descripción: ROUTERBOARD RB750G MIKROTIK • LAN ports 5 • Gigabit Yes • PoE 9-28V • OperatingSystemRouterOS • • Funcionalidad: • Conexiones WAN • Listas de acceso • Manejo de tunelesIPSec. Click the Interaction button to edit this interaction
ROUTER VIA SATELLITE EVOLUTION X3 Directory Interaction Infraestructura ROUTER VIA SATELITE EVOLUTION X3 Servicio WAN • • Descripción: ROUTER VIA SATELITE EVOLUTION X3 • Interfaces de Satélite TxFI: Tipo-F, 950–1700MHz, Potencia combinada +7dBm / -35dBm • RxFI: Tipo-F, 950–2150MHz, Potencia combinada -5dBm / -65dBm • Alimentación para el BUC(IFL)+24V, 85W max. soportando BUCs de hasta 5W (120W PSU) • Alimentación para el LNB (IFL)+19.0V (Nominal) / +14V (Nominal), 300mA • tono DiSEqC de 22KHz • Referencia de 10 MHz Controlado por software en los puertos FI de Tx y Rx • Interface de Datos LAN: 10/100 Ethernet, 802.1q VLAN • Protocolos Soportados TCP, UDP, ACL, ICMP, IGMP, RIP Ver2, BGP*, rutas estáticas, NAT, DHCP, DHCP Helper, Local DNS Caching, cRTP y GRE • • Funcionalidad: • Conexiones WAN Satelital Click the Interaction button to edit this interaction
Infraestructura WAN – Índice 2 STEELHEAD 550-H STEELHEAD 1050-L STEELHEAD 1050-M STEELHEAD 1050-H Infraestructura WAN STEELHEAD 2050-L STEELHEAD 2050-M Seleccione uno de los equipos de la derecha para conocer sus características STEELHEAD 2050-H
STEELHEAD 550-H Directory Interaction Infraestructura STEELHEAD 550-H Servicio WAN • • Descripción: STEELHEAD 550-H • • Funcionalidad: Optimizar el uso de los enlaces WAN. • • Uso Adecuado: No deben estar expuestos a la intemperie • No debe estar expuestos al transito de las personas • Debe estar operando bajo ambiente que respete las especificaciones de ambiente. • • Alarmas: Mediante un registros históricos de los contadores de en las interfaces y los mensajes de estado del sistema Click the Interaction button to edit this interaction
STEELHEAD 1050-L Directory Interaction Infraestructura STEELHEAD 1050-L Servicio WAN • Riesgos: Incorrecta manipulación de los dispositivos y/o módulos por parte de recursos técnicos o no técnicos que no hayan sido designados por Proa y no sujetos a las mejores prácticas según las disciplinas de ITIL. El acceso no autorizado a personal de mantenimiento o el acceso autorizado de este personal pero sin supervisión en sitio lo cual podría traer consigo accidentes que afecten la continuidad del servicio en alguna medida. • Contingencias: En caso de falla total o de algún componente se debe manejar con la llamada a Proa al 10100 • Responsabilidades: Totalmente de Proa Click the Interaction button to edit this interaction
STEELHEAD 1050-M Directory Interaction Infraestructura STEELHEAD 1050-M Servicio WAN • • Descripción: STEELHEAD 1050-M • Appliance de aceleración tipo desktop con 10 Mbps Throughput, 1300 sesiones TCP continuas y 250 GB de espacio en disco • • Funcionalidad: Optimizar el uso de los enlaces WAN • • Uso Adecuado: No deben estar expuestos a la intemperie • No debe estar expuestos al transito de las personas • Debe estar operando bajo ambiente que respete las especificaciones de ambiente. • • Alarmas: Mediante un registros históricos de los contadores de en las interfaces y los mensajes de estado del sistema Click the Interaction button to edit this interaction
STEELHEAD 1050-H Directory Interaction Infraestructura STEELHEAD 1050-L Servicio WAN • • Descripción: STEELHEAD 1050-L • Appliance de aceleración tipo desktop con 8 Mbps Throughput, 800 sesiones TCP continuas y 250 GB de espacio en disco • • Funcionalidad: Optimizar el uso de los enlaces WAN • • Uso Adecuado: No deben estar expuestos a la intemperie • No debe estar expuestos al transito de las personas • Debe estar operando bajo ambiente que respete las especificaciones de ambiente. • • Alarmas: Mediante un registros históricos de los contadores de en las interfaces y los mensajes de estado del sistema Click the Interaction button to edit this interaction
STEELHEAD 2050-L Directory Interaction Infraestructura STEELHEAD 2050-L Servicio WAN • • Descripción: STEELHEAD 2050-L • Appliance de aceleración tipo desktop con 45 Mbps Throughput, 2500 sesiones TCP continuas y 400 GB de espacio en disco • • Funcionalidad: Optimizar el uso de los enlaces WAN • • Uso Adecuado: No deben estar expuestos a la intemperie • No debe estar expuestos al transito de las personas • Debe estar operando bajo ambiente que respete las especificaciones de ambiente. • • Alarmas: Mediante un registros históricos de los contadores de en las interfaces y los mensajes de estado del sistema Click the Interaction button to edit this interaction
STEELHEAD 2050-M Directory Interaction Infraestructura STEELHEAD 2050-L Servicio WAN • Riesgos: Incorrecta manipulación de los dispositivos y/o módulos por parte de recursos técnicos o no técnicos que no hayan sido designados por Proa y no sujetos a las mejores prácticas según las disciplinas de ITIL. El acceso no autorizado a personal de mantenimiento o el acceso autorizado de este personal pero sin supervisión en sitio lo cual podría traer consigo accidentes que afecten la continuidad del servicio en alguna medida. • Contingencias: En caso de falla total o de algún componente se debe manejar con la llamada a Proa al 10100 • Responsabilidades: Totalmente de Proa Click the Interaction button to edit this interaction