5.1Общо описание на услугата
НАМДА IP VPN услугата трябва да бъде управляема мрежова услуга, която да предоставя сигурно IP мрежово свързване, което да осъществява свързването между множество правителствени институции и организации в среда всеки-със-всеки чрез използването на IP превключване. Стандартната топология за IP VPN мрежите е ‘всеки-със-всеки’ връзка, което позволява на всяко правителствено звено или организация в рамките на VPN да комуникира с всяко друго правителствено звено от страна в същата VPN. Освен ако не е определено или конфигурирано друго, IP VPN мрежата не позволява правителствени звена в различни VPN да комуникират един с друг.
5.2Стандартни елементи на услугата
Стандартните елементи на НАМДА IP VPN услугата трябва да включват следното:
-
Пропускателна способност за всяко правителствено звено или организация
-
Специфично за звеното обслужване и управление на трафика чрез Категории механизми на обслужване (COS), даващи възможност за приоритизация на изискваните приложения в едно ниво на приоритет за гласов трафик, едно ниво приоритет за видео и три нива на приоритет за трафика на данни съгласно избрания тип услуга за всеки достъп
-
Сигурната VPN се осигурява чрез технологията Multi Protocol Label Switching (MPLS) (механизъм за пренос на данни)
-
Наета линия за достъп, включително осигуряването и наблюдението й (по избор)
-
Периодично докладване за начина на работа на VPN (показатели за качество на услугата)
-
Управление на мрежата и управление на недостатъците за всички елементи на IP VPN услугата, които могат да бъдат осигурени на база 7x24
5.3Осигуряване на канал с гарантирана скорост на достъп
Представлява достъп до НАМДА IP VPN, при който се изисква IP пропускателна способност и конфигуриране за правителствен офис/ звено, на база на техните изисквания. Осигуряването на канал с гарантирана скорост на достъп се определя от:
-
Физически достъп – зависи от наличната пропускателна способност на обекта, който ще се свързва. Зоната на пропускателната способност трябва да отразява средносрочните до дългосрочните мужди за пропускателна способност на съответното правителствено звено.
-
IP пропускателна способност – подразделение на обектовата пропускателна способност, IP пропускателната способност представя краткосрочните пропускателни нужди на звеното. Този чисто логически параметър е гъвкав и позовлява на НАМДА да обновява IP пропускателната способност при поизкване от правителственото звено. Този параметър е ограничен в рамките на зоновата пропускателна способност.
-
Тип услуга – препоръчва се IP VPN услугата да е категоризирана съгласно видовете услуги, например сребърна, златна, платинена. Тези видове услуги определят достъпа на правителственото звено до и управлението на трафика приложения. Всеки тип услуга трябва да е подробно описана от гледна точка на ниво на обслужване.
-
Профил на мястото – всяко правителствено звено трябва по подразбиране да може да комуникира с всяко друго правителствено звено. Но за определени обстоятелства правителственото звено или организация трябва да може да избере даден профил, който да ограничава комуникацията между звената от цялата страна.
5.4Управление на маршрутизатори
Като задължителен компонент на IP VPN услугата, НАМДА ще управлява операторски крайни устройства (маршрутизатори или превключватели). В допълнение НАМДА ще управлява крайните устройства на правителствените звена (маршрутизатори или превключватели – CE) и ще осигурява всички изисвани обновявания на устройства на операционната система (IOS).
5.5Сигурност на НАМДА IP VPN
Посоченото тук представлява резюме на аспектите по сигурността на IP VPN услугата и за това как те се управляват в рамките на обхвата на IP VPN услугата:
-
Физическа сигурност – всички устройства, важни за поддържане логическата сигурност на MPLS-VPN, трябва да бъдат разположени и физически защитени в помещенията на НАМДА.
-
Свързване към мрежови устройства – достъпът до мрежови устройства посредством SNMP или посредством Telnet е позволен за определен брой станции за управление, разположени е защитената административна зона. В допълнение и двете сесии, SNMP и Telnet, са контролират чрез пароли.
-
Отделни маршрутни таблици за VPN – устройството на правителственото звено поддържа една VPN маршрутна специална таблица (VRF) за един клиент. Всеки PE-CE под-интерфейс е назначен към VRF чрез PE конфигурация и всяка VRF съдържа само маршрутите на клиентската VPN. Всяка VPN принадлежи към уникален идентификатор (напр., целеви маршрутен атрибут BGP), който се използва от мрежата за насочване и за отделно филтриране на индивидуалния трафик на клиента.
-
Устройство на правителствено звено – устройството на правителственото звено не поддържа VPN дефиниция, логически определена на НАМДА крайно устройство (маршрутизатор или превключвател), което е физически защитетно в помещенията на НАМДА. Следователно, ако конфигурацията на крайното устройство на правителственото звено (маршрутизатор или превключвател) е застрашена, то логическите характеристики на сигурността за MPLS-VPN не са изложени на риск.
-
Сигурност на клиента – MPLS-VPN осигурява известна защита на сигурността и изолация на VPN в рамките на обслужването. При заплащане на допълнителна такса, правителственото звено може да разшири параметъра на сигурността чрез използването на други по сигурността (напр., firewall, IPSec.) за защита на IP VPN мрежата срещу вътрешни атаки.
5.6IP VPN услуги 5.6.1Видове услуги
IP VPN обслужването за всеки обект трябва да бъде разграничено на следните типове услуги – сребърна, златна или платинена. Тези видове услуги ще позволят на правителствените звена да поръчат най-подходящото IP VPN обслужване за звеното или организацията съобразно трафик нуждите, крайните потребители и приложения. Трите вида услуги трябва да имат следните характеристики за ниво на обслужване:
-
Сребърна – Сребърната услуга трябва да представлява основния тип обслужване за НАМДА IP VPN услугата. Тя позволява на правителствените звена да започнат с IP VPN решение за получаване на сребърен тип услуга всеки-със-всеки, която не осигурява мултипротоколно комутиране на пакети данни или приорититизация на приложенията.
-
Златна – златния тип обслужване позволява на правителствените звена да управляват приложния трафик чрез използването на стандартни профили за управление на категориите услуги (КУ), които разпределят и разпространяват пропускателната способност в случай на претоварване на трафика, и осигурява много протоколно управление. Правителствените звена могат да класифицират всяко от своите приложения данни в една от трите категории по приоритет, като всяка една е директно свързана към една от трите различни категории услуги.
-
Платинена – в допълнение към много протоколното управление и управлението на трафика на приложения с данни, платиненият тип обслужване осигурява два допълнителни избора за категории услуги, като по този начин предоставя на правителствените звена общо пет IP VPN категории услуги. Това дава възможност на правителствените звена да изберат приоритет за гласовия или видео трафика или и за двата трафика.
Основните критерии, които трябва да се имат предвид, когато правителственото звено избира вида обслужване, трябва да са следните:
-
Цялостни IP SLA изисквания – дали правителственото звено се нуждае от цялостно IP изпълнение на SLA за изпратен/ получен трафик от звеното;
-
Изисквания за приложения – дали правителственото звено изисква приоритетизация на трафика за определените за звеното приложения;
-
Интеграция за ммултимедия – дали правителственото звено се нуждае от гласово или видео комбиниране с данни за една физическа връзка на това звено.
5.6.2Категории услуги
Основното предназначение на IP КУ(QoS) е въвеждането на подхода за управление на трафика, който включва познаване на приложенията, така че претоварването на трафика да бъде правилно адресирано при появата му. НАМДА трябва да предложи пет КУ и ако трите КУ са предназначени за трафика на данни с принципи за разпределение и приоритетизация на трафика данни, една КУ да е предназначена за видео трафика с отчитане на специфичното видео изпълнение и една КУ ще е за гласовия трафик с отчитане управлението на трафика в реално време.
Трите КУ за трафика на данни, както и КУ, предназначени за управление видео пропускателната способност и принципите на приоритизация, които имат ‘относителна тежест’ за правилното споделяне на пропускателната способност между четирите КУ при възникване на претоварване на достъпа за правителственото звено. Този механизъм позволява избягването на претоварване чрез предварително откриване на нуждите извън капацитета и осигурява управление на натоварването, ако капацитетните нужди надхвърлят буферния капацитет на инсталирания маршрутизатор и достъп.
КУ са категоризирани както следва:
-
Данни 1 (D1) – категория D1 е с най-висок приоритет за трафика на данни и използва най-високата пропускателна способност за трафика на данни в случай на претоварване. Правителствените звена трябва да използват тази категория за своите най-важни приложения, който се нуждаят от най-високо ниво на обслужване относно изпълнението и наличието на пропускателна способност.
-
Данни 2 (D2) – категория D2 е със средно ниво на приоритет. Тази категория се използва за трафика на 'стандартни работни' приложения, който изисква високо ниво на изпълнение и надеждност на обслужването.
-
Данни 3 (D3) – категория D3 е с най-нисък приоритет. Обикновено се използва за управление на всички други приложения, които не са критични за работата. Тази категория ползва същото ниво на обслужване като другите КУ за данни; но D3 трафика се забавя в случай на претоварване на достъпа, за да може да се осигурят другите две КУ за данни с максималната налична пропускателна способност и по-висок приоритет. Всяка КУ за данни може да позлва цялата налична IP пропускателна способност за достъп до 100% от конфигурираната IP пропускателна способност.
-
RT-Vi (Видео категория) –RT-Vi използва определена категоризация, механизми за определяне на реда и се възползва от гарантираната пропускателна способност в случай на претоварване. Тази категория се използва за пренос на видеоконферентни приложения, които изискват изпълнение и наличие на пропускателна способност. Целият трафик, надхвърлящ разпределената пропускателна способност, според определеното от скоростта и броя на едновременните видео сесии, които трябва да се поддръжат, се пренасочва за защита на КУ Данни.
-
RT-Vo (Гласова категория) –RT-Vo използва приоритетен механизъм ‘в реално време’ за управление на гласовия трафик по IP мрежата. Този механизъм позволява осигуряването на специфични комутатори за изпълнение и свързаните SLA за колебанията, които са основния показател за качество за гласовите услуги. Гласовите КУ имат приоритет пред трите КУ за данни, но са ограничени до максималната пропускателна способност, която се определя от определен брой конфигурирани гласови канали (според изискването на клиента), умножени по броя kbps на каналите (напр., 11 kbps до 21 kbps в зависимост от новото компресия на звука). Максималната пропускателна способност за Гласови КУ е ограничена за всички случаи до 75% от IP пропускателната способност.
Сподели с приятели: |
