Министерство на правосъдието агенция по вписванията

Приложение към обществена поръчка с предмет:

1. 
   Описание на комуникационните системи
   

• 
  Virtual Local Area Network (VLAN);
  
• 
  Simple Network Management Protocol (SNMP);
  
• 
  Network Time Protocol (NTP);
  
• 
  Rapid Spanning-Tree Protocol (RSTP);
  
• 
  Access Control Lists (ACLs);
  
• 
  Cisco Discovery Protocol (CDP);
  
• 
  Auxiliary Voice VLAN.
  

• 
  Virtual Routing and Forwarding (VRF);
  
• 
  Enhanced Interior Gateway Routing Protocol (EIGRP);
  
• 
  Static routing (статична маршрутизация);
  
• 
  GRE (Generic Routing Encapsulation) Tunneling;
  
• 
  VPN IPSec (IP Security);
  
• 
  Path MTU Discovery.
  

В Агенцията се използват 3 маршрутизатора (два Cisco 7604 и един Cisco 7206), които изпълняват ролята на централни точки във VPN и Routing топологията на корпоративната мрежа. Основен е маршрутизатора в Министерство на правосъдието, който е резервиран от аналога му в РИЦ и информацията се предава към маршрутизатора в ИЦ. Всички отдалечени точки имат криптиран VPN тунел до тях. Това гарантира сигурността и надежността в изградената корпоративна мрежа. Част от офисите на АВ на територията на страната са с резервирана физическа свързаност, което осигурява наличност на предлаганите услуги, дори в случаите на комуникационни проблеми.

За сигурността на мрежата от външното Internet пространство се грижат по две Cisco ASA 5520 устройства във всеки от информационните центрове. Те работят в Active/Standby режим, което гарантира резервираността им. Мрежовата свързаност между основният (ИЦ) и резервния (РИЦ) изчислителни центрове се обслужва от сдвоени Cisco 3750 комутатори на двата изчислителни центръра, които формират Core нивото в L2 топологията на мрежата. За Access нивото се използват Cisco 2960 комутатори свързани към агрегиращ комутатор. За да е възможно активиране на динамичен маршрутизиращ протокол, който да обменя информация за всички мрежи по градовете с ИЦ и РИЦ е активиран GRE тунел, който да енкапсулира и тунелира този протокол през преносната среда на доставчика. Това е изпълнено по hub-and-spoke топология (топология звезда), в която всеки spoke изгражда по 1 (или повече) тунели до hub устройствата (Cisco 7604 маршрутизаторите в ИЦ и РИЦ), след което чрез активиране на EIGRP протокол анонсира локалните мрежи, за които отговаря, а получава от hub-а само default route през въпросния тунел (трафикът между spoke устройства е минимален, което прави излишно активирането на spoke-to-spoke трафик).

Между двата изчислителни центръра, основен (ИЦ) и резервен (РИЦ), е изградена директна некомутируема връзка. Тя се осъществява по общо 4 Dark fiber (Unlit fiber) влакна наети от БТК и СпектърНЕТ. Влакната са разпределени функционално по следният начин:

• 
  две влакна се използват за директна връзка Fibre Channel (FC) между сървърите;
  
• 
  едно влакно се ползва за Ethernet между всеки от Stackable switch комутаторите (Cisco Catalyst 3750-series) в двата центъра;
  
• 
  едно влакно за резерв.
  

Двата Ethernet trunk портa са обединени в Port channel с агрегиращ протокол LACP. Допълнително посредством L3 свързаност през Metropolitan area network (MAN) мрежата на БТК, са резервирани всички регионални служби, както и Ethernet комуникацията между двата информационни центъра, в случай на отпадане на Dark fiber (Unlit fiber) влакната. Тази високата степен на резервиране е необходима за правилното синхронизиране на Oracle RAC в режим Active-Active.

Oт съображения за сигурност външната връзка към Internet се терминира на граничен комутатор (който няма IP адрес) и от него се прехвърля до граничен маршрутизатор (Cisco 3825). Cisco Firewall ASA инспектира целия публичен трафик и прави статична транслация на адресите към вътрешни сървъри, които трябва да бъдат видими в Internet. Външните интерфейси и на двете ASA устройства, работещи във LAN Failover режим, са свързани към граничен комутатор, през който имат връзка към периметър маршрутизатора.

Всички WAN връзки влизат в Core маршрутизатора Cisco 7604 като по този начин публичните устройства се отделят напълно от вътрешните. Същият маршрутизатор е свързан чрез Etherchannel група към Core комутаторите Cisco 3750. Те от своя страна свързват вътрешните интерфейси на Cisco ASA устройствата, както и BLADE комутаторите.

Адресите на вътрешните мрежи за отделните Служби по вписванията се получават чрез разделянето на няколко class B адресни пространства (за различните VLAN-и) на отделни подмрежи. Принципът, по който се осъществява разделянето на class B мрежите на подмрежи във всички офиси на АВ е едновременно йерархичен и по азбучен ред, като се започва от най-високото ниво. Център за мрежата и най-високо ниво се явява София. След това по азбучен ред се подреждат останалите окръжни градове. Следват всички останали градове, в които службата се намира в същата сграда, в която се намира и Окръжен Съд.

В мрежата на АВ е имплементирана IP телефонна система, базирана на решението на Cisco за Unified Communications. Използвано е централизирано решение с Unified Call Manager Cluster версия 5.1 като основния (Publisher) сървър е позициониран в ИЦ, а резервния (Subscriber) в РИЦ. Всички телефони, както в централното управление, така и по службите в страната, са регистрирани и управлявани централизирано от клъстера. Разговори, насочени към PSTN мрежата в София и локално по градове се обработват от предназначени за това гласови маршрутизатори и ISDN PRI и BRI модули.

Cisco Unified Communications сървърът може да прекъсне нормалната си работа по няколко причини – софтуерни и хардуерни проблеми, актуализации, проблеми със захранването или мрежата. Поради тази причина е реализирано резервирането му в клъстер и двойно резервиране чрез SRST функционалността на IOS маршрутизатора. Ако отпадне основният Publisher сървър, нормалната оперативна работа се поема от резервния Subscriber, като конфигурационна работа не е възможна до възстановяване на Publisher. Ако и двата сървъра от клъстера не са оперативни, или са недостъпни поради мрежов проблем, основната телефонна услуга се поема от маршрутизатори на всеки сайт и се включва SRST функционалността – възможни са обаждания към PSTN мрежата и оттам към локалните телефони във всеки сайт.

В IP телефонна система на Агенцията по Вписвания се използват IP телефонни апарати на Cisco модели 7911G, 7912G, 7920, както и софтуера Cisco IP Communicator.

За изграждане на комуникационната свързаност на клоновата структура на Агенция по вписванията се използва два типа схема на свързване:

АВ използва съвместно оборудване с Министерството на правосъдието. Използва се един маршрутизатор от серията Cisco 1760 или Cisco 2651, както един или повече комутатори от сериите Catalyst 2950 и/или Catalyst 2960 (по изключение). Комутаторите осигуряват LAN свързаност на потребителите като разделението между ведомствата се получава на базата на VLAN-и. При наличие на повече от два комутатора се използва кръгова топология на свързване. Маршрутизаторът свързва потребителските VLAN-и към мрежите на АВ и Министерството на правосъдието чрез криптирани GRE/IPSEC тунели. Използвана е топология звезда с повече от един център за резервиране. Разделението на ведомствата се получава на базата на филтрация на IP трафика. Като маршрутизиращ протокол се използва EIGRP протокол.

Част от маршрутизаторите Cisco 1760 изграждат два тунела съответно към Cisco 7206VXR намиращ се в Министерството на правосъдието и Cisco 7604 намиращ се в РИЦ на АВ. Тунелът към Cisco 7206VXR е основен и за двете ведомства. Основен доставчик за междуградската свързаност е БТК АД. Останалата част от Cisco 1760 маршрутизаторите изграждат три тунела съответно към Министерство на правосъдието, РИЦ на АВ и ИЦ на АВ.

В областните градове са локирани маршрутизатори Cisco 2651, чиято цел е да изграждат по три тунела - съответно един към 7206VXR намиращ се в Министерството на правосъдието и изграждане по един тунел към двата Cisco 7604 намиращи се в ИЦ и РИЦ на АВ. Тунелът към Тунелът към Cisco 7206VXR е основен и за двете ведомства. В този случай доставчик за връзката към Cisco 7206VXR е Националната мрежа на държавната администрация (НАМДА), а за останалите два тунела се ползва за доставчик БТК.

В този случай АВ използва самостоятелно оборудване. Използват се един маршрутизатор от серията Cisco 2821, както един или повече комутатори от сериите Catalyst 2950 и/или Catalyst 2960. При наличието на повече от два комутатора се използва кръгова топология на свързване. Маршрутизаторът се свързва с ИЦ и РИЦ на АВ чрез криптирани GRE/IPSEC тунели. Използваната топология е тип звезда с повече от два центъра за резервиране. Като маршрутизиращ протокол се използва EIGRP протокол.

Връзката към ИЦ е дублирана през два доставчика: ЕСМИС (основна) и БТК (вторична). Връзката към РИЦ на АВ е през БТК и се използва само при отпадането на първите две.
3. Резервираност на регионалните офиси

Резервирането на свързаността между отдалечените офиси и централните точки се осъществява според типа на офиса и неговия приоритет.

Съществуват три типа:

3.1. Офиси на Агенция по Вписванията, висок приоритет

Резервираността е изпълнена посредством три тунела, изградени към двете централни точки на АВ – ИЦ и РИЦ. За основна преносна среда се ползва мрежата на ЕСМИС, а мрежата на БТК – за вторична преносна среда. Тунелите са конфигурирани с различен приоритет според преносната среда и централната точка, в която се терминират.

Резервираността е изпълнена посредством три тунела, изградени към трите централни точки – МП, ИЦ и РИЦ. Тунелите са конфигурирани с различен приоритет според преносната среда и централната точка, в която се терминират.

За Окръжните съдилища, които използват НМДА мрежата за доставчик на свързаност, резервирането се осъществява чрез включването на БТК като втори доставчик

За Окръжните съдилища, които използват БТК за доставчик на свързаност и имат допълнителна връзка през БТК – независимо трасе от основното.

Резервираността е изпълнена посредством два тунела, изградени към две от централните точки – МП и РИЦ, през една основна преносна среда. Тунелите са конфигурирани с различен приоритет спрямо централната точка, в която се терминират.

В Агенция по вписванията се използват инсталирани устройства на производителя на комуникационно оборудване Cisco Systems.