· Web viewЕдиный Installation-Wizard для установки системы. Средняя, требуется обязательная настройка и ... ИКСРФ

1

УТВЕРЖДАЮДиректор Федерального

государственного унитарного предприятия НИИ «Восход», Главный

конструкторГАС «Выборы»

Л.А. Юхневич

«___» _________2009 г.

РАЗВИТИЕ ГОСУДАРСТВЕННОЙ АВТОМАТИЗИРОВАННОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ «ВЫБОРЫ» ДО 2012 ГОДА

Пояснительная записка к техническому проекту. Часть 9 Подсистема связи и передачи данных

ИРЦВ.42 5100 5.001.П2-9

Заместитель директора ФГУП НИИ «Восход»

А.В. Митрохин

«___» _________2009 г.

Руководитель НИЦ ИКТФГУП НИИ «Восход»

В.В. Шулепин

«___» _________2009 г.

2

2009

3

Содержание 1 Введение..................................................................................................32 Общие положения..................................................................................43 Описание организационной структуры и территориально-пространственное построение ПСПД.....................................................54 Каналы и сети связи, используемые для организации связи между КСА ГАС «Выборы»..........................................................85 Выбор перспективной аппаратно-программной платформы ПСПД...................................................................................................................116 Основные направления развития ПСПД............................................267 Проектные решения по развитию узлов ПСПД................................428 Технические предложения по развертыванию в региональных фрагментах ПСПД ГАС «Выборы» цифровых каналов связи c целью в перспективе полного отказа от использования коммутируемых каналов для передачи данных ГАС «Выборы»....................................579 Технические предложения по использованию системы нештатного удалённого доступа и управления ГАС «Выборы»………………….84Приложение 1..........................................................................................78Приложение 2..........................................................................................91Приложение 3..........................................................................................93Приложение 4..........................................................................................95Приложение 5..........................................................................................97

4

1 Введение

1.1 Настоящий документ является частью технического проекта на развитие Государственной автоматизированной системы Российской Федерации «Выборы» ИРЦВ.42 5100 5.001 (далее по тексту – ГАС «Выборы») до 2012 года и содержит проектные решения по развитию подсистемы связи и передачи данных (далее по тексту – ПСПД).

Полный состав технического проекта на развитие ГАС «Выборы» приведён в ИРЦВ.42 5100 5.001.ТП Развитие Государственной автоматизированной системы Российской Федерации «Выборы» до 2012 года. Ведомость технического проекта.

5

2 Общие положения

2.1 Объектом настоящего документа является подсистема связи и передачи данных Государственной автоматизированной системы Российской Федерации «Выборы».

2.2 Основанием для проведения работ является Концепция развития ГАС «Выборы» до 2012 года, одобренная постановлением ЦИК России от 25 сентября №132/966-5.

2.3 Начало работ – декабрь 2008 г., окончание работ – 15 августа 2011 г.

2.4 Подсистема связи и передачи данных ГАС «Выборы» обеспечивает оперативную передачу данных между КСА ЦИК ИРЦВ.42 5100 5.002, КСА ИКСРФ ИРЦВ.42 5100 5.003, КСА ТИК ИРЦВ.42 5100 5.005, (далее по тексту - КСА) ГАС «Выборы», а также обмен голосовой, факсимильной и видео информацией между избирательными комиссиями Российской Федерации (РФ) в соответствии с имеющимися потребностями пользователей.

6

3 Описание организационной структуры и территориально-пространственное построение ПСПД

3.1 Описание организационной структуры ПСПД

3.1.1 Организационная структура ПСПД представлена на рисунке 1 .

Рисунок 1 - Организационная структура ПСПД ГАС «Выборы»

3.1.2 Основой ПСПД ГАС «Выборы» является мультисервисная транспортная сеть (МСТС), которая является единой транспортной средой для разного рода трафика. Она представляет собой совокупность цифровых каналов связи, узлов коммутации и узлов доступа, обеспечивающих все требуемые типы информационного обмена между различными КСА. Наземные и спутниковые каналы связи, используемые в составе МСТС, арендуются у межрегиональных операторов: ОАО «Ростелеком», ФГУП «Космическая связь» (для местности, в которой

7

отсутствуют наземные линии связи), межрегиональных компаний и их региональных филиалов. По состоянию на сегодняшний день к МСТС подключены КСА ЦИК, все КСА ИКСРФ и, частично, КСА ТИК. КСА ТИК, не подключенные к цифровым каналам связи, взаимодействуют с КСА ГАС «Выборы», подключенными к МСТС, через телефонную сеть общего пользования (ТфОП).

3.1.3 Телефонная сеть ГАС «Выборы» использует в качестве транспортной среды МСТС. Телефонная сеть обеспечивает ведение местных и междугородних разговоров по ведомственной сети связи с собственным планом нумерации и возможностью использования сокращенного набора номера, разграничением предоставляемых услуг по группам, а также выход на местные ТфОП. Телефонная сеть ГАС «Выборы» предоставляет возможность ведения телефонных разговоров как для руководящего состава, так и для остальных сотрудников ГАС «Выборы». Телефонная сеть работает с применением компрессии речи до 8 кбит/с.

3.1.4 Электронная почта (ЭП) использует в качестве транспортной среды МСТС. В свою очередь ЭП является транспортом для работы прикладных задач ГАС «Выборы». ЭП базируется на модернизируемых серверах ЭП ДИОНИС (далее по тексту - ЭП ДИОНИС).

3.1.5 Аудио и видеоконференцсвязь также используют в качестве транспортной среды МСТС. Для экономии средств их объединили в одну комбинированную систему, позволяющую одновременно одной части участников использовать узкополосную видеоконференцию, а другой -аудиоконференцсвязь.

3.1.6 Оборудование контроля и управления обеспечивает централизованное управление ресурсами и топологией всей ПСПД, отображение состояния технических средств, оперативное оповещение об аварийных и сбойных ситуациях, а также получение статистики о работе устройств.

3.1.7 Система электропитания является сервисной системой, которая обеспечивает сохранение работоспособности элементов ПСПД в случае сбоев по электропитанию зданий, где размещены КСА ГАС «Выборы».

8

3.2 Территориально-пространственное построение ПСПД

3.2.1 Территориально-пространственное построение ПСПД представлено на рисунке 2.

Рисунок 2 - Территориально-пространственное построение ПСПД

3.2.2 Точки объединения межрегиональной и региональных сетей передачи данных в единую транспортную сеть могут располагаться как на площадках операторов связи, так и на площадках ИКСРФ.

9

4 Каналы и сети связи, используемые для организации связи между КСА ГАС «Выборы»

4.1 Каналы и сети связи, используемые для организации связи между КСА ЦИК и КСА ИКСРФ

4.1.1 Верхний уровень ПСПД построен на базе постоянно выделенных каналов связи. Для 76 КСА ИКСРФ связь с КСА ЦИК осуществляется по выделенным высокоскоростным (512 кбит/с) наземным цифровым каналам. В семи КСА ИКСРФ установлены земные станции спутниковой связи. Пропускная способность спутниковых каналов – 64 кбит/с.

Учитывая более высокое качество, обеспечиваемое наземными линиями передачи данных, в ГАС «Выборы», по возможности, осуществляется постепенный переход со спутниковых каналов связи на наземные.

Исходя из данных, представленных операторами связи и особенностей географического расположения центров коммутации наземных сетей России, организация связи между КСА ЦИК и КСА ИКСРФ ГАС «Выборы» осуществляется по радиально-узловому принципу (рисунок 3). Введение транзитных узлов коммутации, концентрирующих трафик близлежащих регионов, по сравнению с централизованной радиальной топологией с одним центральным узлом в г. Москве дает возможность сократить эксплуатационные расходы по аренде магистральных каналов связи от 20% до 30%.

10

Рисунок 3 - Топология сети связи ГАС «Выборы» между КСА ЦИК и КСА ИКСРФ

4.2 Каналы и сети связи, используемые для организации связи между КСА ИКСРФ и КСА ТИК

4.2.1 Для подключения КСА ТИК к КСА ИКСРФ на территории 28 субъектов Российской Федерации используются цифровые каналы связи. Пропускная способность цифровых каналов – 64 кбит/с на каждом направлении. По цифровым каналах связи обеспечивается передача данных, сообщений электронной почты, факсимильных сообщений и телефонная связь. В остальных субъектах Российской Федерации связь между КСА ТИК и КСА ИКСРФ осуществляется по коммутируемым внутризоновым каналам телефонной сети общего пользования.

4.3 Каналы и сети связи, используемые для привязки КСА к узлам операторов связи

4.3.1 Цифровые междугородные каналы связи, организуемые

11

операторами связи, заканчиваются в технологических помещениях, принадлежащих этим операторам связи (как правило, это помещения, в которых размещаются междугородние телефонные станции). Поэтому производится привязка КСА ИКСРФ и КСА ТИК к технологическим объектам эксплуатации, на которых заканчиваются междугородные каналы связи посредством внутригородских каналов связи («последняя миля»).

12

5 Выбор перспективной аппаратно-программной платформы ПСПД

5.1 Выбор перспективной аппаратно-программной платформы телекоммуникационного оборудования

5.1.1 По состояния на сегодняшний день существует ряд производителей телекоммуникационного оборудования предназначенного для построения корпоративных сетей: Nortell, Huawei Technologies, Cisco Systems и т.д. Тем не менее, одна из указанных компаний - Cisco Systems обладает большими конкурентными преимуществами по сравнению с другими.

5.1.2 Защита инвестиций

5.1.2.1 В области защиты инвестиций компания Cisco Systems показывает следующие результаты:

а) Доля мирового рынка компании Cisco Systems в предлагаемых ею решениях для мультисервисных сетей составляет более 70%.

б) Ежегодные расходы на НИОКР и капитализация компании Cisco Systems составляют 4,5 млрд. и 108 млрд. долларов США соответственно.

в) Компания Cisco Systems имеет собственные технологические разработки, продукты и решения практически во всех областях информационных технологий – от абонентских устройств до оборудования спектрального оптического уплотнения. Линейка продукции Cisco Systems практически не имеет равных.

г) На базе технологического фундамента, построенного на решении компании Cisco Systems можно в дальнейшем легко модернизировать сеть, включая внедрение системы спектрального уплотнения, гибкое расширение и модернизацию узлов, внедрение IP-телефонии, видео-конференцсвязи, IPTV, систем распределенного хранения информации, беспроводного доступа, видеонаблюдения, системы информационной безопасности, управления и мониторинга, интегрированные между собой и обеспечивающие поддержку от одного производителя.

Данные показатели свидетельствуют в пользу решения Cisco Systems, которое позволяет быть уверенным в завтрашнем дне, в

13

стабильности выбранного поставщика и дальнейшей поддержке оборудования, возможности дальнейшей модернизации и сервисного обслуживания.

5.1.3 Общая стоимость владения

5.1.3.1 Существенный вклад в общую (совокупную) стоимость владения сложным IT-оборудованием вносит сервисная поддержка. В области сервиса решения на оборудовании Cisco Systems имеют решительные преимущества, основанные на следующих факторах:

a) Количество российских партнеров Cisco Systems составляет более чем 1200 компаний, число локальных сотрудников Cisco в России и СНГ превысило 600 человек. Ни одна другая компания не представлена таким числом партнеров, оказывающих услуги по реализации проектов, а так же авторизованную сервисную поддержку.

б) Наличие квалифицированных российских специалистов и учебных центров. Только в Москве существует более 15 авторизованных учебных центров для подготовки специалистов по работе с оборудование Cisco. Кроме того, при более чем 170-ти ВУЗах открыты и действуют Сетевые Академии Cisco Systems, в которых студенты в процессе обучения получают специальные навыки и знания по сетевым технологиям, протоколам и оборудованию Cisco. Отсутствие учебных центров, литературы, обучающих программ у многих компаний-конкурентов в России обуславливается стратегией по формированию ценовой политики этих компаний – на начальном этапе строительства сетей такие компании предлагают заказчикам низкие цены, а разницу в цене производитель покрывает за счет затрат заказчика в процессе эксплуатации и модернизации оборудования. Поскольку затраты на обучение специалистов и сервис от таких компаний гораздо выше, зачастую в целом решение оказывается экономически невыгодным.

в) Сервисная поддержка. У компании Cisco существует глобальный центр технической поддержки, работающий 24 часа в сутки, 365 дней в году. Данный центр имеет 5 офисов, расположенных в разных часовых поясах, в которых работают более 1400 специалистов со стажем 8-10 лет и которые готовы проконсультировать по любым вопросам на русском языке, в течение 4-х часов доставить новое оборудование взамен вышедшему из строя (сервис Smartnet). Подобного уровня поддержки у

14

компаний-конкурентов просто не существует.Зачастую, отсутствие русскоговорящих инженеров в сервисной

поддержке, критически малое количество специалистов и компаний на российской рынке, которые готовы обслуживать, настраивать и устранять неполадки в оборудовании других производителей, ставит перед любым заказчиком вопрос о возможности и стоимости приобретения и переподготовки специалистов, что, в свою очередь, влияет на общую стоимость владения оборудованием.

5.1.4 Соответвие Российскому законодательству

5.1.4.1 Компания Cisco Systems особое внимание уделяет соответствию своей продукции требованиям Российского Законодательства и проводит сертификацию своей продукции в Минсвязи, ФСТЭК, ФСБ. На данный момент существует более 260 сертификатов ФСТЭК. Процесс сертификации идет непрерывно, в т.ч. и по ГОСТ Р ИСО/МЭК 15408. Сертифицированы межсетевые экраны, средства предотвращения вторжений, средства управления, маршрутизаторы, коммутаторы, операционные системы. Сертификация проходит в рамках сертификации единичных экземпляров и больших партий продукции. Заказчик может быть уверен в сертификации оборудования и предлагаемого решения.

Отсутствие необходимых сертификатов и разрешений Минсвязи, ФСТЭК, ФСБ у других производителей ведет к увеличению затрат на сертификацию, и как вывод, увеличение общей стоимости владения оборудованием. Иногда принципиальная невозможность сертификации оборудования делает проект не возможным к полному его осуществлению или затрудняет (делает не возможным) его модернизацию.

5.1.5 Учитывая значительное количество уже установленных устройств производства Cisco Systems, поставленного на предыдущих этапах построения ГАС «Выборы», выбор платформы этого производителя позволит обеспечить максимальную совместимость опорных устройств ПСПД, уменьшить расходы на обучение персонала, унифицировать контракты сервисного обслуживания и обеспечить наиболее полный охват и удаленное управление системами автоматизированного мониторинга и администрирования.

15

5.2 Выбор программной платформы системы мониторинга и управления сетевыми устройствами.

5.2.1 Передовые концепции построения систем сетевого управления исходят из того, что управление информационной инфраструктурой должно осуществляться как управление функциональными со-ставляющими рабочего процесса: сетью, телекоммуникационным оборудованием, компьютерными системами, приложениями и элементами защиты. При этом система должна объединять в себе функциональность управления неисправностями с управлением производительностью сетевой инфраструктуры. Т.е. приобретается не просто система для мониторинга сети, но в первую очередь продукт позволяющий показать, как сеть влияет на предоставление услуг в целом, какие услуги затронуты сбоем оборудования, сколько пользователей от этого пострадало и на основе этой информации оперативно уведомить данных пользователей о времени разрешения проблемы.

5.2.2 По состоянию на сегодняшний день существует три основные широко распространенные системы мониторинга и управления сетевыми устройствами, которые наиболее полно реализуют вышеназванный принцип. Анализ функционала указанных систем приведен в нижеследующей таблице 1.

Таблица 1 – Характеристики систем мониторингаФункциональные

возможностиCA Spectrum IBM Tivoli Netcool HP Invent

Быстрота развертываниясистемы.

Высокая, все функциональныевозможности пользователь получаетсразу после установки.Единый Installation-Wizard дляустановки системы.

Средняя, требуетсяобязательная настройка имодификация на уровнередактированияконфигурационных файлов.Компоненты системыинсталлируются по отдельности.

Высокая

Используемая СУБД в основе работы системы.

MySQL SyBase – Netcool OMNIbus;MySQL – Precision IP

Postgres (встроена), Oracle

16

Разграничение пользовательских полномочий и прав доступа

Да

Стандартная функция

Да


Да


Консоль аварийных сообщений.

Да


Да


Да


Графическое отображениесостояния сетевогооборудования.

ДаСтандартная функция.Очень наглядное представлениесостояния сетевого оборудования

ДаСхематичное отображение прииспользовании модуля IP Precision и WebTop.

ДаСтандартно поддерживается визуализация только на Layer2. В рамках продукта нет возможности увидеть всю сеть целиком

Графическое отображениесетевой топологии.

ДаСтандартная функцияПолнофункциональный графический интерфейс пользователя SpectrumOneClick. Возможно автоматическоеи ручное расположение сетевых элементов на карте сети.

ДаПри использовании модуля IPPrecision.

ДаНовый блок информации предоставляется в отдельном окне, нарушая целостность восприятия. Отображение аварийных сообщений и уведомлений не является первоприоритетным. Оператор вынужден принудительно переключаться.

Использование графическойподложки (изображений) приотображении сетевой

ДаПоддержка графическихизображений .png, .jpg, .bmp, и использование их в единоминтерфейсе Spectrum.

ДаПри использовании WEBинтерфейса пользователя.

Да

17

топологии и оборудования.

OneClick.

Эскалация аварийныхсообщений.

ДаПоддержка как автоматической, так иручной эскалации проблем.

ДаИспользование функциональныхвозможностей OMNIbus Server.

Да

Электронный журнал.

ДаИспользование поля Notes для записи информации.

ДаИспользование средств OMNIbusCosnsole Journal.

Да

Назначение проблем наоператора (операторов).

ДаСтандартная функция.



Поддержка «тонкого» клиента, WEB интерфейс.

ДаОсновной, полнофункциональныйграфический интерфейс оператора Spectrum OneClick, на основе Java Applet.Вся работа происходит в одном окне.

ДаПоддержка WEB интерфейса cбазовыми функциямиуправления. ИспользуетсяWEBTOP Server.

ДаMDI интерфейс. Оператор постоянно вынужден переключаться между окнами. Контекстные меню как таковых нет, используется концепция тулбаров.Все действия через меню. Для выполнения операции требуется 3-4 клика, поэтому оператор вынужден терять фокус внимания.

Система ДаОчень быстрый механизм

ДаПодсистема DISCO в

Да

18

IP Auto-Discovery. поиска судобным и понятным интерфейсомпользователя. Позволяетмаксимально гибко настраиватьпроцесс поиска и параметрыDiscovery (Seed Router, IP-lists,Include/Exclude Networks, Protocol ит.д.)

составе IPPrecision осуществляетавтоматический поискоборудования.

Настройки параметровмониторинга оборудования.

ДаВозможно изменение настроек с помощью графического интерфейса.Изменять можно параметры дляотдельных сетевых элементов.

ДаВсе параметры меняются спомощью файлов конфигурации.

ДаИзменение настроек через графический интерфейс, в томчисле для отдельных сетевых элементов.

Определение первопричины неисправностей (Root Cause Analysis).

ДаНа основе виртуальных моделей устройств, на основе правил итопологии сети L2/L3.

ДаНа основе правил, требуетглубоких знаний продуктаOMNIbus.RCA на основе моделейподдерживается в подсистеме IP Precision.

ДаНет анализа влияния сбоя (Impact,Нет возможности коррекции RCA.

Корреляция аварийныхсообщений.

ДаАвтоматизированная системакорреляции (Condition Correlationtechnology) с

ДаБольшие возможности пореализации механизмовкорреляции на основе правил.

ДаНе поддерживаются расширенные возможности корреляции.

19

возможностью гибкойнастройки и расширенияосновывается на изменении всостоянии объектов мониторинга(move/add/change)

Требуется обязательнаяразработка алгоритмов дляработы корреляции.

Анализ влияниянеисправности на работусервисов для пользователей(Impact Analysis).

ДаСтандартная возможность

ДаИспользование программногомодуля Impact

Нет

Средства уведомленияоператоров при нарушении вработе сетевогооборудования.

ДаВизуальное, аудио оповещениеподдержка уведомления поэлектронной почте и SMS

ДаВизуальное, аудио оповещениеподдержка уведомления поэлектронной почте.

ДаВизуальное, аудио оповещениеподдержка уведомления поэлектронной почте

Возможность моделированиясервисов.

ДаПрограммный модуль SpectrumService Manager

ДаИспользование программногомодуля RAD и Netcool ServiceQuality Manager

Нет

Система мониторингасоглашений об уровнепредоставления услуг (SLA Monitoring)

ДаПрограммный модуль SpectrumService Manager.

ДаИспользование программногомодуля RAD и Netcool ServiceQuality Manager

Нет

Построение распределеннойархитектуры.

ДаИспользование технологииDistributed Spectro SERVER (DSS)

ДаПостроение иерархическойсхемы OMNIbus

Да

20

серверов, сиспользованиемдополнительныходнонаправленных шлюзов (Uni-directional Gateway).

Построениеотказоустойчивых схем.

ДаНаличие стандартной системы SPECTRUM Fault Tolerance.

ДаПостроение связанных системOMNIbus серверов с использованиемдополнительныхдвунапрвленных шлюзов (Bi-directional Gateway).

Да

Мониторинг отклика систем,сервисов и приложений.

ДаПрограммный модуль Spectrum Service Performance Manager

ДаПри использованиидополнительных проактивныхагентов мониторинга (ISM, ASM,SSM, WSM. USM)

Нет

Система управлениямониторинга рабочихпараметровпроизводительностиоборудования.

ДаOut-of-The-Box на уровневиртуальных моделей оборудования.Дополнительно возможностирасширяются программным модулемWatch Manager

Да ДаТребуется модуль Performance Management.

Визуализация рабочихпараметровпроизводительности оборудования.

ДаГрафическое и табличноепредставление утилизацииинтерфейсов, ошибок на порту и др.в реальном времени.

Нет ДаТребуется модуль Performance Management.

21

Система управленияконфигурацией оборудования.

ДаПрограммный модуль Spectrum Configuration Manager.

Нет Нет

Интеграция с системамиTrouble-Ticketing, ServiceDesk,Performance Management,Inventory и др.

ДаПоддержка интеграции с подсистемами CA Health, CA ServiceDesk, Nortel MDM, Microsoft MOM, BMC Remedy, HP и др.

ДаПоддержка интеграции сподсистемами BMC Remedy, HPGranite, Cramer. Smal World и др.с использованиемдополнительных шлюзов (Gateways) и модуля Impact.

Да

Средства инструментальнойразработки и модификации.

ДаLevel 1 ToolkitSouthbound Gateway ToolkitModeling Gateway Toolkit TL1 Gateway ToolkitReport Gateway ToolkitCORBA API Toolkit

Нет Да

Интеграционные интерфейсы,API.

ДаCORBA API, SQL, XML, Command Line.

ДаИмеется множествоинтерфейсов интеграции, однакокаждый из этих вариантов требует определенной настройкии использованиядополнительных шлюзов(Gateways).

Да

Система формирования, и генерации

ДаПрограммный модуль Spectrum Report Manager,

ДаДля построения отчетности

ДaДополнительный программный

22

пользовательскихотчетов

в основе используется продукт BusinessObjects XI (BOXI)

используется программныймодуль Netcool Reporter(требуется дополнительнаяСУБД).

модуль

5.2.3 В связи с вышеизложенным можно сделать вывод о том, что наиболее оптимальной программной платформой для системы мониторинга и управления сетью, предназначенной для использования в ГАС «Выборы», является платформа CA Spectrum предоставляющая наиболее полные функциональные возможности. При этом аппаратная конфигурация выбирается исходя из требуемой производительности (зависит от числа пользователей, используемых серверов и т.д.).

Подтверждением вышеизложенного служат выводы сделанные исследовательской компанией Bloor Research проводившей исследование тройки ведущих производителей программного обеспечения в области Fault Management.

Компания высоко оценивает лидеров в этой области (CA, IBM, HP) в части поддержки конечных пользователей продукта. Наиболее продвинутым в плане технологий представлен продукт компании СА, отмечается возможность управления устройствами, не поддерживающими SNMP, отличная интеграция с продуктами по мониторингу производительности VoIP сетей и правильное направление развития продукта. В качестве положительных сторон компании СА так же ставится прозрачная лицензионная политика, внятный TCO, мониторинг серверов и приложений без использования проприетарных агентов, наличие модуля управления конфигурациями интегрированного с механизмами поиска первопричины. В отличие от HP и IBM, отмечается в отчете, СА ориентирована только на разработку программных продуктов, что позволяет говорить о независимости компании от производителей аппаратного обеспечения, а следовательно, о равной поддержке всех представленных на рынке производителей.

5.3 Выбор перспективной аппаратно-программной платформы электронной почты.

23

5.3.1 Выбор системы электронной почты, необходимой и достаточной, является не простым делом. Обилие на рынке значительного числа разнородных систем обусловлено во многом историческими факторами развития компьютерной индустрии в целом. Однако все существующие системы электронной почты можно условно разделить на несколько классов, в зависимости от стандартов, на которых они базируются:

− системы на базе X.400;− системы на базе SMTP;− системы на основе частных стандартов (MS Mail, cc:Mail);− гибридные системы (MS Exchange Server).

5.3.2 При этом гибридные системы являются системами нового поколения, сочетающими в себе лучшие элементы своих предшественников и добавляющих к ним множество новых функциональных возможностей. В области электронной почты наилучшим примером такой системы может служить Microsoft Exchange Server.

В основу данного продукта положены с одной стороны удобство и простота использования, характерные для коммерческих систем, и мощные средства коммуникации, опирающиеся на общепризнанные стандарты, такие как X.400 и SMTP, с другой. Широкий базовый набор возможностей сервера позволяет ему выполнять роль универсального связующего звена между разнородными почтовыми системами и предоставлять услуги электронной почты и групповой работы пользователям, применяющим различные протоколы доступа и клиентские программы. Так, например, пользователи cc:Mail, использующие IPX/SPX для доступа к своему серверу NetWare, могут свободно переписываться с коллегами, имеющими адреса в Internet или SPRINT. Кроме того, шлюзы сопрягаемых почтовых систем становятся взаимно доступными в каждой из них.

Использование стандарта UNICODE на уровне хранилища позволяют поддерживать множество языков на одном сервере, а поддержка OLE-объектов - хранить и предавать любые сложные документы.

На рисунке 4 приведена схема, поясняющая принципы работы системы управления сообщениями на базе сервера Exchange.

Для обеспечения прозрачной интеграции с системами на базе X.400

24

сервер Exchange поддерживает набор спецификаций на протокол взаимодействия между агентами передачи сообщений (MTA), в редакциях 1984 и 1988 годов, и транспортные протоколы TP0/TCP, TP0/X.25 поверх синхронных и асинхронных линий и TP4/CLNP. При пересылке сообщений через сети X.400 Exchange Server выполняет автоматическое преобразование из внутреннего формата к стандартам P2 или P22.

Рисунок 4 - Схема MHS на базе Exchange Server 5.0.

На уровне протокола SMTP полностью поддерживается набор стандартных и ряд расширенных (ESMTP) функций сервера, таких как уведомление о доставке (DNR) и согласование предельного размера передаваемых сообщений (SIZE). Поддерживается маршрутизация входящей почты и фильтрация входящих соединений на основании IP-адресов. На уровне формата сообщений поддерживается UUENCODE и MIME и широкий набор национальных кодировок, который при необходимости может быть расширен. Преобразования и перекодировки могут выполняться на основе анализа почтового адреса получателя. При соединении по SMTP серверов Exchange дополнительно можно выполнять их взаимную аутентификацию.

Прозрачная интеграция с системой MS Mail 3.x обеспечивается за счет использования метода "теневого" почтового отделения (shadow post office), подключение к которому со стороны соответствующей системы выполняется стандартным образом. Кроме того, на упомянутое почтовое отделение могут быть установлены и сохранять работоспособность все существующие шлюзы MS Mail. Дополнительно Exchange Server может

25

выполнять роль MS Mail MTA (программы EXTERNAL) для передачи сообщений между несколькими локальными и удаленными почтовыми отделениями MS Mail. В случае сопряжения с Lotus cc:Mail эмулирует работу MTA (cc:Mail Router) при помощи утилит EXPORT и IMPORT из стандартного комплекта этой почтовой системы.

Доступ пользователей к своим почтовым ящикам организован по принципу клиент-сервер. В качестве протоколов доступа поддерживаются:

− "родной" протокол на основе удаленного вызова процедур (Remote Procedure Calls или RPC) поверх любого транспортного протокола, поддерживаемого Windows NT;

− протокол POP3; − протокол HTTP, через набор сценариев (Active Server Pages

или ASP) сервера IIS 3.0.Для осуществления доступа по HTTP браузер клиента должен

поддерживать исполнение Java-апплетов.5.3.3 Согласно пункту 4.3.2.4 «Концепции развития Государственной

автоматизированной системы Российской Федерации «Выборы» до 2012 года» (далее Концепции), в составе электронной почты ГАС «Выборы» необходимо выделить два сегмента:

− сегмент внутренней переписки; − сегмент передачи информации непосредственно связанной с

подготовкой и проведением выборов, референдума (далее сегмент Выборы);

При выборе платформы для обоих сегментов следует учитывать тот факт, что все специальное программное обеспечение (далее ПО), применяемое в настоящее время в ГАС «Выборы» ориентировано на электронную почту «Дионис». Таким образом, внедрение другой системы электронного документооборота приведет к необходимости переработки всего специального ПО, что в свою очередь, будет противоречить пункту 4.3.2.1 Концепции требующему «обеспечить проведение технической проверки новых типов средств на совместимость с программной платформой ГАС «Выборы».

В связи с этим, в целях сохранения существующей архитектуры обмена информацией необходимо провести модернизацию электронной почты ГАС «Выборы» в целях существенного повышения её производительности и отказоустойчивости на основе аппаратно-программной платформы «Дионис».

26

При этом, рекомендуется до 15 августа 2011 года провести соответствующие мероприятия (внесение изменений в СПО с апробированием на стенде Главного конструктора, а также в опытной зоне) в целях разработки плана мероприятий, для следующего этапа развития ГАС «Выборы», с целью осуществления постепенного перехода с платформы «Дионис» на платформу MS Exchange Server, в связи с тем, что последняя обладает наиболее полными функциональными возможностями.

5.4 Выбор перспективной аппаратно-программной платформы оборудования мультиплексирования используемого в КСА ЦИК, КТС ПСПД М9, КТС ПСПД М10.

5.4.1 На основе анализа аппаратно-программной платформы оборудования мультиплексирования используемого в КСА ЦИК, КТС ПСПД М9, КТС ПСПД М10 можно сделать следующие выводы:

− в 2006 году была осуществлена модернизация указанного оборудования на современные мультиплексоры сроки эксплуатации которых истекают после окончания сроков реализации Концепции развития Государственной автоматизированной системы Российской Федерации «Выборы» до 2012 года;

− производительность указанного оборудования на порядок превышает потребности избирательной системы в передаче информации.

На основании вышеизложенного можно сделать вывод об отсутствии необходимости развития аппаратно-программной платформы оборудования мультиплексирования используемого в КСА ЦИК, КТС ПСПД М9, КТС ПСПД М10.

27

6 Основные направления развития ПСПД

6.1 Основные направления развития телекоммуникационного оборудования

6.1.1 Развитие телекоммуникационного оборудования КСА ЦИК

6.1.1.1 В связи с истечением срока полезного использования существующих маршрутизаторов Cisco 3662 с ПО IP-шлюз рекомендуется заменить указанные маршрутизаторы с ПО на оборудование нового поколения – Cisco 2821, с обеспечением «горячего» резервирования указанного оборудования.

6.1.1.2 В связи с истечением срока полезного использования существующих маршрутизаторов Cisco 3662 с ПО Гэйткипер рекомендуется заменить указанные маршрутизаторы на оборудование нового поколения – Cisco 3825, с обеспечением «горячего» резервирования указанного оборудования. При этом, в целях повышения отказоустойчивости оборудования управления телефонными соединениями, необходимо дополнить КСА ЦИК двумя маршрутизаторами Cisco 3825, выполняющих функцию Главных Гэйткиперов, управляющих другими Гэйткиперами.

6.1.1.3 В связи с истечением срока полезного использования существующих серверов Cisco MCS-7815 с ПО CallManager, а также, учитывая, что в процессе работы, отмечались сбои в работе оборудования, рекомендуется заменить указанные сервера с ПО на оборудование нового поколения – Cisco MCS-7825H3, с обеспечением «горячего» резервирования указанного оборудования. При этом, в целях оптимизации затрат на развитие оборудования управления телефонными соединениями, проектом предусмотрен перенос функций управления IP-телефонами, расположенными в КСА ИКСРФ, которые обмениваются данными с КСА ЦИК посредством транзитных узлов коммутации, с серверов с ПО CallManager, входящих в состав КТС ПСПД ТУК на сервера с ПО CallManager входящих в состав КСА ЦИК.

6.1.1.4 В целях обеспечения возможности оперативного восстановления в день голосования и последующий за ним день сети передачи данных между КСА ЦИК и КСА ИКСРФ, а также между КСА ЦИК и КСА ТИК, в случае возникновения неисправностей на цифровых

28

каналах передачи данных требуется ввести в состав КСА ЦИК маршрутизатор Cisco 2811 с модемным модулем на 16 портов.

6.1.1.5 В связи с истечением срока полезного использования существующих коммутаторов Cisco Catalyst 2950-24 рекомендуется заменить указанные коммутаторы на оборудование нового поколения – Cisco Catalyst 2960-24TT-L.

6.1.2 Развитие телекоммуникационного оборудования КСА ИКСРФ

6.1.2.1 В связи с истечением срока полезного использования существующих маршрутизаторов Cisco 2620 рекомендуется заменить указанные маршрутизаторы на оборудование нового поколения – Cisco 3825. Для КСА ИКСРФ, на территории которых уже установлены маршрутизаторы Cisco 3825 в качестве технических средств ПСПД РУК, рекомендуется доустановить в указанные маршрутизаторы голосовые модули с переносом всех функций пограничного маршрутизатора КСА ИКСРФ (в т.ч. аналоговых телефонов, используемых для IP-телефонии) с Cisco 2620 в Cisco 3825. При этом, рекомендуется оставить маршрутизаторы Cisco 2620 в телекоммуникационных стойках в качестве «холодного» резерва.

6.1.2.2 В связи с истечением срока полезного использования существующих маршрутизаторов Cisco 2610 рекомендуется заменить указанные маршрутизаторы на оборудование нового поколения – Cisco 2811. При этом проектом предусматривается использование указанных маршрутизаторов в качестве средств обмена данными с КСА ТИК в регионах, использующих в качестве среды передачи данных сети X.25.

6.1.2.3 В связи с истечением срока полезного использования существующих коммутаторов Cisco Catalyst 2950-24 рекомендуется заменить указанные коммутаторы на оборудование нового поколения – Cisco Catalyst 2960-24-S.

6.1.3 Развитие телекоммуникационного оборудования КСА ТИК

6.1.3.1 При переводе КСА ТИК с использования коммутируемых внутризоновых каналов ТФОП для передачи данных на цифровые каналы связи в качестве оборудования маршрутизации и IP-телефонии рекомендуется использовать оборудование нового поколения Cisco 2811.

29

Для КСА ТИК уже использующих для передачи данных цифровые каналы связи, но в которых установлены другие модели маршрутизаторов рекомендуется заменить установленные маршрутизаторы на указанную модель, в связи с тем, что они не отвечают современным требованиям, предъявляемым к ПСПД ГАС «Выборы». Помимо этого к 25.08.2011 года на большинство установленных моделей истекут сроки полезного использования.

6.1.4 Развитие телекоммуникационного оборудования КТС ПСПД ТУК

6.1.4.1 В связи с истечением срока полезного использования существующих маршрутизаторов Cisco 7507 рекомендуется заменить указанные маршрутизаторы на оборудование нового поколения – Cisco 7206.

5.1.4.2 В связи с истечением срока полезного использования существующих маршрутизаторов Cisco 3662 с ПО Гэйткипер рекомендуется заменить указанные маршрутизаторы с ПО на оборудование нового поколения – Cisco 3825, с обеспечением резервирования указанного оборудования.

5.1.4.3 В связи с истечением срока полезного использования, а также в связи с отсутствием необходимости дальнейшего использования рекомендуется удалить из состава КТС ПСПД ТУК сервера Cisco MCS-7825 с ПО CallManeger, после выполнения действий указанных в п. 6.1.1.3. При этом, рекомендуется ввести в состав КТС ПСПД ТУК маршрутизаторы Cisco 2821 с функцией SRST, в целях осуществления резервного управления IP-телефонами, расположенными в КСА ИКСРФ, которые обмениваются данными с КСА ЦИК посредством транзитных узлов коммутации, в случае возникновения аварии на линии связи КТС ПСПД ТУК - КСА ЦИК.

6.1.5 Развитие телекоммуникационного оборудования КТС ПСПД РУК

6.1.5.1 В связи с истечением срока полезного использования существующих маршрутизаторов Cisco 3662 являющихся основой КТС ПСПД РУК рекомендуется заменить указанные маршрутизаторы на

30

оборудование нового поколения – Cisco 3825. В случаях, если региональный оператор связи располагает технической возможностью агрегации трафика со всеми КСА ТИК региона в единый выделенный канал связи, подключенный к ИКСРФ, рекомендуется исключить КТС ПСПД РУК из состава регионального фрагмента ПСПД, который, при этом, должен модернизироваться в соответствии со Схемами №2, №3 организации регионального фрагмента ПСПД (см. Главу 7).

6.2 Основные направления развития электронной почты ГАС «Выборы»

6.2.1 В связи с истечением срока полезного использования существующих серверов электронной почты рекомендуется обновить аппаратно-программную платформу серверов электронной почты ГАС «Выборы» в составе КСА ЦИК и КСА ИКСРФ. При этом будет сохранена существующая архитектура обмена информацией и обеспечено:

− отказоустойчивость дисковой подсистемы серверов электронной почты за счет перехода на новую аппаратную платформу с встроенным RAID-массивом;

− установка современной операционная система (специализированная UNIX-подобная операционная система).

повышение производительности работы файловой системы, сетевых процессов и обработки внутрисистемных процессов;

более высокая надежность работы файловой системы, в том числе высокая вероятность ее восстановления на уровне операционной системы в случае сбоев;

возможность развития операционной системы; поддержка RAID-массивов на уровне операционной системы.− увеличение максимального количества портов для работы

абонентов и межхостовых соединений с 64-х до 128, что позволит одновременно обслуживать все регионы и обработчики без отказа в подключении;

При переходе на современную аппаратно-программную платформу будет обеспечиваться перенос настроек сервера и данных почтовых ящиков на новые сервера.

6.2.2 В составе электронной почты ГАС «Выборы» рекомендуется выделить отдельный сегмент для обеспечения электронного

31

документооборота между ЦИК России и ИКСРФ с целью исключения влияния информационных потоков, непосредственно связанных с проведением избирательных кампаний, от информационных потоков связанных с повседневной деятельностью избирательных комиссий. Данную задачу невозможно решить на одной аппаратно-программной платформе, в связи с наличием у сервера ЭП ДИОНИС только одного почтового ящика, что делает невозможным разделение информационных потоков электронной почты на два сегмента. В связи с этим для отдельного сегмента электронного документооборота должны быть:

установлены дополнительные серверы электронной почты в КСА ЦИК и КСА ИКСРФ в конфигурации, достаточной для существующего и планируемого в перспективе документооборота; в конфигурации серверов предусмотрены компоненты архивирования всей проходящей через сервер корреспонденции;

определена топология допустимых информационных потоков сообщений как в изолированном сегменте, так и при взаимодействии с другими сегментами передачи сообщений;

определен состав абонентов для отдельного сегмента электронного документооборота (определяется ФЦИ при ЦИК России).

6.2.3 Вся информация, передаваемая через сервера ЭП должна проверяться антивирусными и антиспамовыми программами. При этом, в новых серверах ЭП ДИОНИС реализована принципиальная возможность запуска, как внутренних, так и внешних по отношению к почтовому серверу приложений антивирусных и антиспамовых программ, которая может быть реализована после соответствующей доработки и испытаний.

6.2.4 Согласно испытаниям, проведённым на стенде Главного конструктора, производительность сервера ЭП ДИОНИС аналогичного уже установленному в КСА ЦИК составила 108 тыс. сообщений общим объемом 145 Мбайт принятых в течении 10 часов 30 минут. Как показывает практика, реальная нагрузка на сервер ЭП, установленный в КСА ЦИК, в выборный период составляет приблизительно 70% от указанной нагрузки, при ограничении числа межхостовых соединений не более 50. По данным компании «Фактор» производительность предлагаемого на замену сервера ЭП ДИОНИС примерно в два раза выше, чем у уже установленного в КСА ЦИК, что позволит увеличить количество одновременных межхостовых соединений до 83, без превышения порога допустимой нагрузки на сервер. Также, установка дополнительного

32

сервера ЭП для повседневной деятельности поможет избежать возникновения «пиковых» перегрузок в выборные периоды. Соответственно, предлагаемые технические решения для ИКСРФ, в области электронной почты, будут вполне достаточны по производительности, т.к. нагрузка на указанные сервера гораздо ниже, чем на сервера ЭП КСА ЦИК.

6.3 Основные направления развития системы мониторинга и управления ГАС «Выборы»

6.3.1 В целях повышения эффективности и надежности ПСПД необходимо осуществить переход от системы мониторинга ПСПД к системе централизованного мониторинга и управления, позволяющей осуществлять оперативный сбор, анализ и представление статистических данных о техническом состоянии, критичных проблемах функционирования, показателях надежности и готовности ПСПД ГАС «Выборы» с целью сокращения времени выработки и принятия оперативных решений на всех уровнях управления, предупреждения возникновения возможных отказов.

6.3.2 Предлагаемое техническое решение по реализации вышеуказанной задачи объединяет в себе основные функциональные возможности, указанные в таблице 6 и архитектурно базируется на основе программного обеспечения CA SPECTRUM Network Fault Manager.

Таблица 2.Основные функциональные возможности

CA SPECTRUM Network Fault ManagerСистема обеспечивает функционал мониторинга сетевой инфраструктуры: Обнаружение и визуализация сетевой топологии на уровне L2; Обнаружение и визуализация сетевой топологии на уровне L3; Визуализация событий об изменении статуса контролируемых объектов – на

консоли оператора и с помощью сообщений электронной почты; Отображение в цвете изменение статуса контролируемых объектов; Фильтрация и корреляция событий с указанием причины возникновения

проблемы; Возможность создания собственных правил фильтрации (корреляции)

событий; Сбор данных о параметрах работы сетевого оборудования;

33

Предоставление стандартного (преднастроенного) набора мониторов; Визуализация оперативных отчетов за исторический период в графической и

табличной форме; Возможность создания собственных мониторов; Графический интерфейс оператора и администратора и также веб-интерфейс

оператора; Функционал оперативного мониторинга серверов, приложений: Визуализация дерева информационных сервисов в рамках контролируемых

серверов и приложений; Визуализация событий об изменении статуса контролируемых объектов – на

консоли оператора и с помощью сообщений электронной почты; Визуальный анализ (представление) причины возникновения сбоя и влияния

этого сбоя на предоставляемые информационные сервисы; Визуализация оперативных отчетов за исторический период в графической и

табличной форме; Возможность создания собственных отчетов и представлений;

Возможность интеграции с ПО автоматизации службы технической поддержки.

Выявление нештатных ситуаций производится посредством программных агентов, установленных на объекты управления (серверы), либо посредством встроенных аппаратно snmp-агентов (для активного сетевого оборудования), при этом каждый агент настраивается на опрос параметров мониторинга с заданной периодичностью в соответствии с принятыми политиками мониторинга. Информация о нештатной ситуации пересылается агентом на сервер управления в виде сообщения.

Осуществление оповещения и эскалации по работе серверного оборудования. Возможность автоматической эскалации зарегистрированных событий, а также возможность оповещения сотрудников, ответственных за функционирование серверного оборудования, по электронной почте.

Графическое отображение дерева сервисов. Система обеспечивает отображение в графическом интерфейсе оператора в виде карты взаимосвязанных объектов всех элементов ИТ среды (сеть, серверы, приложения).

Возможность визуального поиска корневых причин (root cause) проблем с использованием дерева взаимосвязанных сервисов и привязки их к компонентам ИТ среды. Система обеспечивает различный уровень графического представления информации для персонала, в зависимости от его роли в процессе мониторинга.

Генерация отчетов о работе ИТ-инфраструктуры. Система имеет встроенную подсистему отчетности. Отчетность представлена в виде собственно отчетов (в форме таблиц или текстов), либо в форме графов (графическое представление показателей функционирования объектов мониторинга). Данные отчетов хранятся на сервере системы и доступны за любой период с

34

начала функционирования системы. В подсистеме отчетности реализованы следующие группы отчетности:

по процессорам – использование процессорных мощностей на всех объектах мониторинга, вплоть до загрузки каждого процессора выбранного объекта управления;

по памяти – использование памяти объектами мониторинга по ключевым метрикам памяти, включая доступность памяти, использование физической и виртуальной памяти, страничные операции и пр.;

по сетевым интерфейсам – использование сети, включая статистику обмена данными между клиентской и серверной сторонами;

по сетевому оборудованию – состояние контролируемых портов, степень загруженности портовой емкости;

по операционным системам – наличие в системных журналах предупреждений и сообщений об ошибках, нарушении безопасности и пр.

Система обеспечивает сбор и накопление в своей локальной базе данных информации о работе объекта мониторинга согласно определенному набору политик мониторинга

Система обеспечивает Сервисный режим (для проведения обслуживания, реконфигурации и пополнения системы управления новыми компонентами).

Предлагаемое решение по внедрению Системы Network Fault Management выходит за рамки стандартного управления неисправностями. Выход из строя или сбой в работе оборудования позволит увидеть, на какие сервисы он повлиял, какие пользователи были затронуты сбоем в работе, соответственно уведомить их о времени простоя. Таким образом на единой карте можно представить качество работы подразделений в общем виде.

Появляется возможность отображать сервисы и связывать их с пользователями, для которых этот сервис предоставляется. При этом можно описать правила, по которым определяется состояние сервиса в зависимости от значения атрибутов моделей. CA SPECTRUM Manager опрашивает атрибуты, и по ним контролирует состояние моделируемых сервисов. Предоставляются следующие возможности в управлении сервисами:

Оценка уровня доступности сервисов в режиме реального времени и степени воздействия возникающих неисправностей на работу пользователей;

Получение тревожных сообщений модели SLA, различной степени критичности, которые вырабатываются при превышении

35

пороговых значений, устанавливаемых соглашением или при наличии предпосылок для преодоления порога;

Анализ основных причин, приводящих к деградации сервисов; Определение периодов плановых перерывов в предоставлении

услуг или проведения профилактических работ; Исключение определенных перерывов в предоставлении услуг при

оценке соблюдения условий SLA; Создание моделей сервисов, пользователей, правил мониторинга,

SLA, гарантийных обязательств и периодов плановых остановок в виде файлов конфигурации XML, с их дальнейшим импортом/экспортом.

Лицензирование CA SPECTRUM Network Fault Manager производится по количеству программных модулей и не зависит от количества и типов объектов мониторинга. CA SPECTRUM Network Fault Manager не лицензируется по количеству операторов Системы.

CA SPECTRUM Network Fault Manager предоставляет инструментарий мониторинга SLA в реальном времени. Мониторинг в реальном времени применяется для выявления проблем на ранних стадиях до того, как они приобретут серьезный характер. Он открывает возможность решить проблему, прежде чем условия соглашения будут нарушены. Последующий анализ тенденций позволяет проверить уровень сервиса за определенный период, а также выявить тенденции общего характера, способные привести к проблемам в будущем.

Инструменты мониторинга SLA CA SPECTRUM Network Fault Manager — нечто большое, чем просто механизмы для установления факта нарушения соглашения. Помимо измерения QoS они могут помочь при диагностировании потенциальных проблем на ранних стадиях, прежде чем те примут серьезный характер, и тем самым сократить время решения проблемы.

CA SPECTRUM Network Fault Manager позволяет производить настройку индикаторов уровня сервиса для определения пороговых значений соглашений об уровне сервиса (SLA) для отображения аварийного состояния при недостижении должного уровня сервиса.

CA SPECTRUM Network Fault Manager используется и для проверки провайдеров каналов связи, осуществляя непрерывный мониторинг функционирования сети как с точки зрения конечного пользователя, так и в отношении параметров работы внутренних механизмов.

36

CA SPECTRUM Network Fault Manager обеспечивает сквозной мониторинг приложений, сети и сервисов на всех семи уровнях модели OSI.

CA SPECTRUM Network Fault Manager позволяет составлять плановые отчеты о выполнении соглашений об уровне сервиса (Service Level Agreement, SLA) по запросу или в реальном времени для сетевого оборудования и серверов, локальных и глобальных сетей, серверов и приложений.

6.3.3 Система основанная на CA SPECTRUM Network Fault Manager выполняет задачи автоматического обнаружения сетевой топологии на L2/L3, приема аварийных сообщений (snmp traps) их обработки и корреляции, опроса сетевого оборудования по протоколу snmp, сбора и агрегации статистики за длительные промежутки времени.

Система основанная на CA SPECTRUM Network Fault Manager даст возможность, быстро и правильно определить проблему на сети еще до того момента, как конечный пользователь ощутит снижение качества предоставляемой телекоммуникационной услуги.

Система основанная на CA SPECTRUM Network Fault Manager для выполнения функциональных требований реализуется в за счет функциональности комбинированного пакета CA SPECTRUM NFM CA SPECTRUM NFM Standard Suite и дополнительных модулей:

CA SPECTRUM Network Fault Manager Standard Suite; CA SPECTRUM Network Fault Manager MPLS VPN Manager; CA SPECTRUM Network Fault Manager Service Manager; CA SPECTRUM Network Fault Manager Report Manager; CA SPECTRUM Network Fault Manager Data Manager with Report

Gateway; CA SPECTRUM Network Fault Manager QoS Manager.6.3.4 CA SPECTRUM Network Fault Manager поддерживает

технологии MPLS, QoS, IP SLA, Multicast, ATM, Frame Relay и др.CA SPECTRUM Network Fault Manager поддерживает серверные ОС

Solaris, Windows, Linux.CA SPECTRUM Network Fault Manager использует метод корреляции

событий на основе моделирования (model-based reasonig - MBR), в то время как большинство других Систем подобного класса используют метод корреляции на основе правил (rule-based reasoning - RBR).

При корреляции событий на основе моделирования (MBR) для

37

каждого сетевого элемента CA SPECTRUM Network Fault Manager создает программную копию (модель) а также задает взаимодействие между моделями. Таким образом, за счет взаимодействия моделей, при поступлении аварийного сообщения осуществляется корреляция событий, определяется корневая причина неисправности и подавляются вторичные сообщения. Дополнительным способом осуществления корреляции в CA SPECTRUM Network Fault Manager является использование модуля и Event Correlation Editor, построенного с использованием принципов RBR, что расширяет возможности MBR-метода SPECTRUM Network Fault Manager.

CA SPECTRUM Network Fault Manager использует общую информационную модель для Централизованного хранения данных всех программных компонент

CA SPECTRUM Network Fault Manager использует централизованное управление данными, поступающими от всех программных компонент, которое осуществляется через единый интерфейс

CA SPECTRUM Network Fault Manager имеет встроенный механизм поддержки большого количества моделей оборудования всех известных производителей, что облегчает быстрый ввод системы в эксплуатацию.

6.3.5 При этом, в целях экономии денежных средств, установку новой системы мониторинга и управления рекомендуется проводить в два этапа.

На первом этапе, в период апробирования новых технических решений на стенде Главного конструктора и в опытной зоне рекомендуется установить упрощенный пакет ПО CA Spectrum:

CA Spectrum Network Fault Manager Foundation Suite;CA Spectrum Network Fault Manager Report Manager;CA Spectrum Network Fault Manager Network Configuration Manager;CA Spectrum Network Fault Manager Service Manager;В данном пакете CA Spectrum Network Fault Manager Foundation Suite

способен осуществлять основные функции по управлению неисправностями на сетевой и серверной инфраструктуре.

В случае проведения успешных испытаний новой системы управления и мониторинга рекомендуется, на втором этапе, провести модернизацию CA Spectrum Network Fault Manager Foundation Suite на CA Spectrum Network Fault Manager Standard Suite, а также, при необходимости, доустановить другие модули, перечисленные в п. 6.3.3.

6.3.6 В связи с тем, сто пакет ПО CA Spectrum не имеет

38

лицензионных ограничений по количеству сетевых устройств, которые необходимо мониторить, данный пакет может быть использован, также для управления и мониторинга сетевых устройств, не относящихся к ПСПД, без дополнительных финансовых затрат.

6.4 Основные направления развития системы видеоконференцсвязи ГАС «Выборы»

6.4.1 По результатам эксплуатации существующей подсистемы аудио- и видеоконференцсвязи ГАС «Выборы» в настоящем проекте предлагается следующий план развития подсистемы, основанный как на опыте эксплуатации, так и на истечении срока полезного использования элементов существующей подсистемы.

6.4.2 Окончание срока полезного использования существующего сервера управления многоточечными видеоконференциями Polycom MGC-100 приходится на 2009 год. Учитывая, что в процессе работы, отмечались сбои в работе оборудования, рекомендуется дополнить этот сервер оборудованием нового поколения – сервером TANDBERG Codian MSE-8000 с портовой ёмкостью 100 видео портов, из них 20 HD-портов и 80 SD-портов в режиме «Постоянное присутствие» и «Транскодирование». Данный сервер также обеспечивает поддержку в многоточечной видеоконференции разрешений, вплоть до Full HD 1080p (1920x1080) или SD w448p (768x448) на низкоскоростных каналах связи. При этом сервер TANDBERG Codian MSE-8000 обеспечивает постепенный переход без замены элементов сервера на технологию HD по мере развития системы ВКС. Он имеет пределы расширения до 160 HD абонентов или 720 SD абонентов.

Сервер будет являться основным, собирающим на себе каскадированные соединения и выступающих участников видеоконференции, а сервер Polycom MGC-100 рекомендуется сохранить в составе ВКС в качестве резервного.

6.4.3 Окончание срока полезного использования видеотерминалов Polycom SP 128, установленных приблизительно в половине ИКСРФ, также истекает в 2009 году. В конце 2009 года полностью прекращается поддержка этих систем производителем оборудования. В связи с этим, рекомендуется в 2010 году заменить все системы Polycom SP 128. В качестве адекватной замены предлагаются видеотерминалы нового

39

поколения TANDBERG Edge 85 с NPP, обеспечивающие более чем 4х кратное улучшение качества изображения (поддержка разрешения до HD 720p (1280x720p) против 352х288 точек) на низкоскоростных каналах связи. Данная мера позволит резко повысить качество изображения, при этом, пропускная способность магистральных каналов связи ПСПД ГАС «Выборы» может оставаться неизменной по сравнению с существующей (512 Кбит/с). Для отображения получаемого лучшего по качеству видеоизображения также рекомендуется заменить существующие средства отображения (29˝ CRT-мониторы) на 32˝ ЖК-мониторы с разрешением не менее 1366х768 точек.

6.4.4 Существующее оборудование видеоконференцсвязи на спутниковых каналах связи (Polycom VSX 6000) также рекомендуется заменить на TANDBERG Edge 85 с NPP. Использование новой аппаратно-программной платформы позволяет получать полноценный видеопоток при скорости соединения 64 Кбит/с. Качество видео при такой скорости соединения соответствует тому, которое достигается сейчас видеотерминалами Polycom VSX 6000 на скорости 256 Кбит/с. Таким образом, расширение спутниковых каналов связи может проводиться лишь до 128 Кбит/с для получения качества изображения, сравнимого с существующим. Для отображения получаемого лучшего по качеству видеоизображения также рекомендуется заменить существующие средства отображения (29˝ CRT-мониторы) на 32˝ ЖК-мониторы с разрешением не менее 1366х768 точек.

6.4.5 Окончание срока полезного использования видеотерминалов Polycom VSX 6000, установленных во время второго этапа развития подсистемы аудио- и видеоконференцсвязи истекает в 2010 году, в связи с чем также рекомендуется их замена к этому сроку на TANDBERG Edge 85 с NPP, для обеспечения однородной конфигурации системы видеоконференцсвязи и получения одинаково качественного видеоизображения от всех точек видеоконференцсвязи. Для отображения получаемого лучшего по качеству видеоизображения также рекомендуется заменить существующие средства отображения (29˝ CRT-мониторы) на 32˝ ЖК-мониторы с разрешением не менее 1366х768 точек.

6.4.6 Для трансляции качественного видео в ИКСРФ из Зала заседаний ЦИК России, в первую очередь, рекомендуется заменить установленные системы Polycom VSX 8000 на видеотерминалы для больших помещений TANDBERG C90, а так же заменить существующие

40

камеры (а вместе с ними усилители и квадраторы), передающие видео по композитному сигналу на камеры с разрешением Full HD 1080p (1920x1080), обеспечивающие максимально возможное на сегодня в индустрии качество передаваемого сигнала по коаксиальному кабелю HD-SDI, что резко повысит качество изображения.

6.4.7 Окончание срока полезного использования регионального серверного сегмента подсистемы аудио- и видеоконференцсвязи приходится на 2011 год. Не позднее этого срока необходимо перейти на преимущественное использование центрального сервера TANDBERG Codian MSE-8000 путем простого расширения лицензий на соединения, что позволит обеспечить передачу видеоизображения с улучшенным более чем в 4 раза качеством видеоизображения во все ИКСРФ, работающие по наземным каналам связи во время трансляции всероссийских видеоконференций.

6.4.8 Для улучшения оперативности в решении возникающих вопросов рекомендуется поставить каждому Председателю ИКСРФ персональную настольную систему видеоконференцсвязи TANDBERG Centric 1700 MXP, включающую 20˝ широкоэкранный монитор, который может использоваться в качестве дисплея для персонального компьютера, и встроенную клавиатуру видеотерминала. Данная система обеспечивает приём и передачу видеоизображения с разрешением HD 720p (1280x720) точек по существующим низкоскоростным каналам связи. При этом легко обеспечивается приватность руководителей, т.к. в любой момент может быть закрыта камера данного видеотерминала и выключен микрофон. Таким образом, просмотр и прослушивание руководителя становится невозможным без его согласия.

6.4.9 С целью документирования проводимых сеансов ВКС необходимо предусмотреть устройство записи, хранения и экспорта записанного контента в различные ползовательские видеоформаты и для обеспечения трансляции по сети передачи данных в режиме реального времени и ранее записанных сеансов ВКС. Рекомендуется использовать устройство TANDBERG Content Server, поддерживающее одновременно до 5 параллельных сеансов записи с разрешением до HD w576p и трансляции в режимах броадкаст и мультикаст.

6.4.10 Для обеспечения корректной работы по имеющимся каналам связи, обеспечения приоритезации абонентов и обеспечения взаимной совместимости с SIP системами телефонии необходимо предусмотреть

41

современный GateKeeper видеоконференцсвязи. Учитывая необходимость модернизации имеющегося в настоящее время программного GateKeeper от Polycom Path Navigator, необходимо предусмотреть установку TANDBERG VCS Control Application.

6.4.11 C целью обеспечения оперативной диагностики системы ВКС, а так же управления ею, получения отчетов о совершенных видеозвонках, планирования коференций и управления общими и групповыми LDAP записными книжками необходимо предусмотреть использование специального сервера управления системой ВКС. Рекомендуется использовать TANDBERG Management Suite (TMS).

6.5 Обеспечение безопасности информации передаваемой посредством ПСПД и оборудования ПСПД

6.5.1 От несанкционированного доступа должны быть защищены управляющие интерфейсы оборудования ПСПД, конфигурационная информация, данные удаленного мониторинга, образы программного обеспечения сетевого оборудования, посредством применения средств межсетевого экранирования и средств криптозащиты.

6.5.2 Все навесные/напольные шкафы, предназначенные для установки телекоммуникационного оборудования, должны иметь стеклянную дверцу с запирающим на ключ замком. Во время эксплуатации оборудования ПСПД должна быть исключена возможность доступа к аппаратуре с любой другой стороны, за исключением дверцы.

6.5.3 Должна быть исключена возможность доступа к каналообразующему оборудованию, установленному в КСА ЦИК и на площадках ОАО "Ростелеком" для привязки к сети общей связи с посторонних станций управления.

6.5.4 На активном сетевом оборудовании, расположенном как на площадках избирательных комиссий, так и размещаемого на площадях операторов связи, должны быть отключены незадействованные порты и сервисы.

6.5.5 При конфигурировании маршрутизаторов из состава КСА ЦИК, КСА ИКСРФ, КСА ТИК, КТС ПСПД ТУК, КТС ПСПД РУК должна использоваться только статическая маршрутизация.

6.5.6 При построении региональных фрагментов ПСПД ГАС «Выборы» на пограничных маршрутизаторах РУК и ТИК предусмотрены

42

межсетевые экраны, обеспечивающие защиту коммуникационного оборудования и сетей ТИК, ИКСРФ и ЦИК от НСД со стороны оператора связи (провайдера) и ЛВС местных администраций. Указанные межсетевые экраны должны быть сертифицированы по требованиям безопасности информации ФСТЭК России по классу не ниже 4-го.

6.5.7 Фильтрация входящего и исходящего трафика должна осуществляться в соответствии со следующим правилом: разрешение для передачи через граничные маршрутизаторы КСА ИКСРФ и КСА ТИК трафика ЛВС местных администраций только между областной администрацией (в КСА ИСКРФ) и районными администрациями (в КСА ТИК).

6.5.8 Управление маршрутизаторами (в т.ч. средствами межсетевого экранирования) ИКСРФ, ТИК и РУК должно осуществляться только с сервера или АРМ управления находящихся в защищенном сегменте КСА ЦИК и защищено с использованием сертифицированных средств криптографической защиты информации.

6.5.9 Для всех видов региональных сетей передачи данных (в т. ч. ТФОП и Х.25) должно осуществляться защищенное соединение (посредством криптошлюзов) ЛВС КСА ТИК с сервером ЭП ДИОНИС, расположенным в КСА ИКСРФ.

6.5.10Для обоих видов соединений на линии КСА ИКСРФ-КСА ЦИК (как основного, посредством цифровых каналов связи, так и резервного соединения, посредством ТФОП), также должно устанавливаться защищенное (посредством криптошлюзов) соединение между серверами ЭП КСА ИКСРФ и КСА ЦИК.

6.5.11В период проведения избирательных компаний должно быть запрещено удалённое управление оборудованием мультиплексирования, расположенным на территории ЦИК, а также на территории ММТС-9 и ММТС-10. В данный период управление указанным оборудованием должно осуществляться посредством мобильной станции управления.

43

7 Проектные решения по развитию узлов ПСПД

7.1 Центральный узел ПСПД

7.1.1 Центральный узел ПСПД - это территориально-распределенный узел, размещенный на площадях ЦИК России, объектах эксплуатации ОАО «Ростелеком» в г. Москве ММТС-9 и ММТС-10, на которых сходятся наземные и спутниковые междугородные каналы связи.

7.1.2 Распределенный центральный узел представлен на рисунке 5.

Рисунок 5 - Распределенный центральный узел ПСПД

7.1.3 В состав ПСПД КСА ЦИК после модернизации должно входить следующее оборудование ПСПД:

− два мультиплексора ECI XDM 100;

44

− два маршрутизатора Cisco7206 с ПО IOS;− два маршрутизатора Cisco 2821 с программным обеспечением

(ПО) IP-шлюза;− маршрутизатор Cisco 2811 с модемным модулем на 16 портов;− четыре маршрутизатора Cisco 3825 с ПО гейткипера;− два сервера Cisco MCS-7825H3 с ПО CallManager;− два коммутатора Cisco Catalyst 2960-24TT-L (вместо

коммутаторов Cisco Catalyst 2950SX-24);− четыре волоконно-оптических модема (три модема RAD FOM,

1 модем Watson 4);− cервер Sun Blade 150 с ПО eNM Light Soft предназначенный

для управления мультиплексорами ECI XDM 100;− сервер HP ProLiant DL360 с ПО CA Spectrum предназначенный

для управления телекоммуникационным оборудованием (вместо предыдущего);

− два АРМ администратора ПСПД предназначенных для управления телекоммуникационным оборудованием;

− два сервера электронной почты: ЭП 1 ДИОНИС (основной) и ЭП 2 ДИОНИС (резервный);

− дополнительный сервер ЭП Д ДИОНИС повседневной деятельности;

− АРМ администратора ПСПД предназначенный для управления электронной почтой;

− сервер многоточечной видеоконференцсвязи TANDBERG Codian MSE-8000;

− сервер многоточечной видеоконференцсвязи MGC-100;− сервер управления видеоконференцсвязью TMS;− терминал видеоконференцсвязи TANDBERG C90;− GateKeeper видеоконференцсвязи TANDBERG VCS Control

Application;− устройство записи сеансов ВКС TANDBERG Content Server;− АРМ администратора ПСПД по аудио и видеоконференцсвязи;− коммутатор Cisco Catalyst 3750G-24T-S; − коммутатор Cisco Catalyst 2960-24TT-L (вместо коммутатора

Cisco Catalyst 2950SX-24);− два источника бесперебойного питания (ИБП) АРС Symmetra

3000VA Rack Mount.

45

7.1.4 Центральная станция коммутации ведомственной телефонной сети УПАТС MD 110 при помощи четырех потоков Е1 должна подключаться к двум маршрутизаторам Cisco 2821 (предусмотренных настоящим проектом вместо маршрутизаторов Cisco 3662), интерфейсные модули которых выполняют функции шлюзов мультисервисной транспортной сети с телефонной сетью. Взаимодействие между MD НО и интерфейсными модулями осуществляется с использованием сигнализации цифровой сети с интеграцией служб.

7.1.5 Предусмотренный настоящим проектом маршрутизатор Cisco 2811 встроенным модемным модулем на 16 портов подключается к ТФОП и интерфейсом 10/100Base-TX к коммутатору Cisco Catalyst 2960-24TT-L Switch. Маршрутизатор Cisco 2811 обеспечивает возможность приема данных из КСА ИКСРФ по коммутируемым телефонным каналам при аварии на цифровых каналах.

7.1.6 Гейткипер выполняет функции управления зоной сети IP-телефонии, в которую входят шлюзы (пограничные маршрутизаторы КСА ИКСРФ и КСА ТИК) зарегистрированные в этом гейткипере. Гейткипер, установленный в центральном узле, должен быть реализован на двух устройствах Cisco 3825 (предусмотренных настоящим проектом вместо маршрутизаторов Cisco 3662), объединенных в кластер. При этом, в целях полноценной и надежной интеграции ведомственной IP-телефонии в единую телефонную сеть, предусмотрено дооснащение КСА ЦИК двумя дополнительными маршрутизаторами Cisco 3825 – Главными Гейткиперами, управляющими работой остальных Гейткиперов.

7.1.7 Устройства CallManager обеспечивает централизованное управление IP-телефонами Cisco IP Phone серии 7940. Cisco CallManager совместно с гейткипером поддерживают расширенный набор дополнительных услуг и обеспечивают разделение всей телефонной части ПСПД на виртуальные и территориальные подсети с требуемым планом нумерации. CallManager должен быть реализован на двух устройствах Cisco MCS-7825H3 (предусмотренных настоящим проектом вместо Cisco MCS-7815), объединенных в кластер.

7.1.8 Предусмотренный настоящим проектом сервер видеоконференцсвязи TANDBERG Codian MSE-8000 (в дополнение к уже установленным MGC-100) вместе с сервером управления видеоконференцсвязью TMS и Гейткипером видеоконференцсвязи позволят проводить одну или несколько многоточечных аудио и

46

видеоконференций с поддержкой разрешений, вплоть до Full HD 1080p (1920x1080) или SD w448p (768x448) на низкоскоростных каналах связи. Кроме серверного оборудования видеоконференцсвязи, на центральном узле размещается терминальное оборудование для проведения групповой видеоконференцсвязи, а также устройство записи сеансов ВКС.

7.1.9 Для обеспечения бесперебойной работы ЭП в состав оборудования центрального узла включены основной и резервный серверы ЭП ДИОНИС. Настоящим проектом предусмотрена замена указанных серверов на современный аппаратно-программный комплекс. Также, в целях выделения отдельного сегмента повседневной деятельности проектом предусмотрен дополнительный сервер ЭП Д ДИОНИС.

7.1.10 Все перечисленные выше устройства подключаются к магистральному оборудованию МСТС - маршрутизаторам Cisco 7206 по интерфейсу 10/100Base-TX через коммутаторы локальных сетей Cisco Catalyst 2960-24TT-L и через локальную сеть КС А ЦИК.

7.1.11 Магистральные маршрутизаторы Cisco 7206 обеспечивают подключение оборудования ПСПД КСА ЦИК к транспортной сети по оптическим интерфейсам STM-1 через мультиплексоры ECI XDM 100.

7.1.12 На объектах эксплуатации ОАО «Ростелеком» ММТС-9 и ММТС-10 размещены соответственно КТС ПСПД М9 ИРВЦ.42 5790 8.047 и КТС ПСПД M-10 ИРЦВ.42 5790 8.048 с оборудованием цифровой транспортной системы связи ECI XDM 100, выполняющим функции по мультиплексированию приходящих из регионов потоков каналов связи в один поток STM-4 и передачу его в КСА ЦИК по оптическим одномодовым кабелям.

7.1.13 Для повышения надежности функционирования транспортной сети ПСПД ГАС «Выборы» мультиплексоры ECI XDM 100 центрального узла объединены в кольцо волоконно-оптическими кабелями.

7.2 Узел связи КТС ПСПД ТУК

7.2.1 Транзитные узлы коммутации предназначены для концентрации трафика близлежащих регионов.

7.2.2 Транзитный узел коммутации представлен на рисунке 6.

47

Рисунок 6 - Транзитный узел коммутации

7.2.3 В состав КТС ПСПД РУК после модернизации должно входить следующее оборудование ПСПД:

− маршрутизатор Cisco7206 с ПО IOS;− два маршрутизатора Cisco 3825 с ПО гейткипера;− маршрутизатор Cisco 2821 с SRST;− сервер многоточечной видеоконференцсвязи MGC-50.7.2.4 Основным оборудованием КТС ПСПД ТУК является

магистральный маршрутизатор Cisco 7206, предусмотренный настоящим проектом вместо маршрутизатора Cisco 7507. К портам V.35/E1 маршрутизатора подключаются цифровые каналы, соединяющие КТС ПСПД ТУК с КСА ЦИК, КТС ПСПД РУК и оборудованием ПСПД в КСА ИКСРФ. Число интерфейсных портов и их тип (V.35 или Е1) в магистральных маршрутизаторах Cisco 7206 переменное и подбирается для каждого ТУК индивидуально, в соответствии с топологией сети верхнего уровня ПСПД (см. приложение 4).

Для обеспечения отказоустойчивости рекомендуется ввести в состав КТС ПСПД ТУК резервный маршрутизатор Cisco 7206, подключаемый к

48

основному маршрутизатору посредством портов управления. При любом изменении настроек основного маршрутизатора его обновлённая конфигурация должна копироваться на резервный маршрутизатор администратором ПСПД. В случае отказа в работе основного маршрутизатора ответственным лицом должно быть осуществлено переключение информационных кабелей с данного маршрутизатора на резервный.

7.2.5 Гейткипер выполняет функции управления зоной сети IP-телефонии (для регионов, подключенных к данному ТУК), в которую входят шлюзы (пограничные маршрутизаторы КСА ИКСРФ и КСА ТИК), зарегистрированные в этом гейткипере. Гейткипер, установленный в КТС ПСПД ТУК, должен быть реализован на двух устройствах Cisco 3825 (предусмотренных настоящим проектом вместо маршрутизаторов Cisco 3662), объединенных в кластер.

7.2.6 Маршрутизатор Cisco 2821 с функцией SRST осуществляет резервное управление IP-телефонами, расположенными в КСА ИКСРФ, которые обмениваются данными с КСА ЦИК посредством транзитных узлов коммутации, в случае возникновения аварии на линии связи КТС ПСПД ТУК - КСА ЦИК.

7.2.7 Сервер видеоконференцсвязи MGC-50 позволяет оптимизировать использование ресурсов транспортной сети ПСПД ГАС «Выборы» и расширяет технические возможности системы аудио и видеоконференцсвязи.

7.2.8 Все оборудование узла ТУК размещается в монтажном шкафу и снабжено источником бесперебойного питания, рассчитанным на использование системы гарантийного питания объектов предприятий электросвязи, на площадях которых располагаются эти узлы.

7.3 Построение региональных фрагментов ПСПД

7.3.1 При организации регионального фрагмента ПСПД используются четыре типовых варианта построения схемы связи, обусловленных спецификой услуг, предоставляемых операторами связи в каждом отдельном регионе.

7.3.2 Типовые схемы организации регионального фрагмента ПСПД ГАС «Выборы» с использованием выделенных синхронных приведены на рисунках 14 и 15.

49

В случае, если региональный оператор связи располагает технической возможностью агрегации трафика со всеми КСА ТИК региона в единый выделенный канал связи, подключенный к ИКСРФ, тогда региональный фрагмент ПСПД рекомендуется организовывать по Схеме № 2. В противном случае региональный фрагмент ПСПД рекомендуется организовывать по Схеме № 1, согласно которой функцию агрегации указанного трафика выполняет КТС ПСПД РУК, размещаемый на площадях оператора связи. Также, Схема № 2 может использоваться для построения пакетных сетей передачи данных, за исключением сетей TCP/IP (сети на основе виртуальных каналов ATM, Frame Relay, сети VPN/MPLS и т.д.).

Рисунок 7 – Схема № 1 организации регионального фрагмента ПСПД.

50


51

7.3.3 Типовая схема организации регионального фрагмента ПСПД ГАС «Выборы» с использованием пакетной сети передачи данных (сети на основе виртуальных каналов ATM, Frame Relay, IP-VPN на базе общедоступной TCP/IP-сети, сети VPN/MPLS) приведена на рисунке 9.

Рисунок 9 – Схема № 3 организации регионального фрагмента.

52

7.3.4 Типовая схема организации регионального фрагмента ПСПД ГАС «Выборы» с использованием коммутируемых внутризоновых ТфОП приведена на рисунке 10.


7.3.5 Типовая схема организации регионального фрагмента ПСПД ГАС «Выборы» с использованием пакетных сетей передачи данных Х.25 приведена на рисунке 11.

53


7.3.6 Узел связи КТС ПСПД РУК

7.3.6.1 Региональный узел коммутации (РУК) КТС ПСПД РУК обеспечивает концентрацию нагрузки передачи информации и размещается на площадях предприятий электросвязи.

7.3.6.2 В состав модернизированного или вновь созданного КТС ПСПД РУК должно входить следующее оборудование ПСПД:

− маршрутизатор Cisco 3825 с ПО IOS;− модем цифровой ASMI-52;7.3.6.3 Основным оборудованием КТС ПСПД РУК

(устанавливаемым или модернизируемым) является маршрутизатор Cisco 3825 и модем цифровой. Это оборудование обеспечивает подключение к магистральной сети оборудования ПСПД КСА ИКСРФ через внутригородское продление, а также связь с КСА ТИК, расположенными

54

на территории субъекта РФ, по выделенным цифровым каналам. Количество портов установленных на маршрутизаторе и их номенклатура должны соответствовать количеству арендованных с этой целью каналов (см. приложение 5).

7.3.6.4 Оборудование КТС ПСПД РУК монтируется в шкафу монтажном RITTAL и снабжено источником бесперебойного питания, рассчитанным на использование системы гарантийного питания объектов электросвязи, на площадях которых располагаются эти узлы.

7.3.7 Оборудование ПСПД КСА ИКСРФ

7.3.7.1 В состав ПСПД КСА ИКСРФ после модернизации должно входить следующее оборудование ПСПД:

− маршрутизатор Cisco 3825 с ПО IOS и межсетевым экраном;− маршрутизатор Cisco 2811;− коммутатор Cisco Catalyst 2960-24-S;− три телефонных аппарата Cisco IP Phone 7940;− сервер электронной почты ЭП ДИОНИС;− дополнительный сервер ЭП Д ДИОНИС повседневной

деятельности;− видеотерминал TANDBERG Edge 85 с NPP или TANDBERG

Edge 75(для спутниковых каналов связи);− модем ZyXEL U-336E Plus;− модем цифровой ASMI-52;− ИБП Smart UPS on-line 1000 VA, дистанционно управляемый

посредством интегрированной сетевой карты.7.3.7.2 Маршрутизатор Cisco 3825 (предусмотренный настоящим

проектом вместо маршрутизатора Cisco 2620) предназначен для маршрутизации информации между сетью оператора (операторов) связи и локальной вычислительной сетью (ЛВС) КСА ИКСРФ. Дополнительно, основной маршрутизатор содержит голосовой модуль, обеспечивающий подключение до 16 аналоговых телефонных/факсимильных аппаратов по интерфейсу FXS. Также, указанный маршрутизатор выполняет функцию Гейткипера для региональной IP-телефонии.

Число интерфейсных портов маршрутизатора Cisco 3825 и их тип, подбирается для каждого ИКСРФ индивидуально, в соответствии с топологией сети ПСПД (см. приложение 2).

55

7.3.7.3 Маршрутизатор Cisco 2811 (предусмотренный настоящим проектом вместо маршрутизатора Cisco 2610) обеспечивает доступ КСА ТИК по коммутируемым каналам сети ТФОП. Маршрутизатор Cisco 2811 содержит 8 аналоговых модемов, подключаемых к сети ТФОП по 2-х проводным абонентским линиям.

7.3.7.4 Для подключения оборудования ПСПД КСА ИКСРФ к КТС ПСПД РУК, КТС ПСПД ТУК, КСА ЦИК, в зависимости от используемой в регионе схемы организации связи, (см. п. 5.3.2 – 5.3.4) по 2-х или 4-х проводной физической соединительной линии на скоростях до 2048 кбит/с используется модем ASMI-52 (в случае, если указанное подключение к оператору связи производится по волоконно-оптической линии вместо модема ASMI-52 применяется оптический модуль на Cisco 3825).

7.3.7.5 Аналоговый модем ZyXEL U-336E Plus обеспечивает возможность передачи данных между КСА ИКСРФ и КСА ЦИК по коммутируемому соединению через ТФОП во время аварии на цифровом канале.

7.3.7.6 Для обеспечения работы ЭП в состав оборудования КСА ИКСРФ включен сервер ЭП ДИОНИС. Настоящим проектом предусмотрена замена указанного сервера на современный аппаратно-программный комплекс. Также, в целях выделения отдельного сегмента повседневной деятельности проектом предусмотрен дополнительный сервер ЭП Д ДИОНИС.

Следует отметить, что АПКШ «Континент» с СД не располагает свободным интерфейсом для подключения дополнительного сервера ЭП. В связи с этим рекомендуется производить физическое подключение вышеуказанных серверов ЭП и выделенного под электронную почту интерфейса АПКШ «Континент» к коммутатору закрытого сегмента с выделением соответствующих портов коммутатора в отдельный VLAN.

7.3.7.7 Видеотерминал TANDBERG Edge (предусмотренный настоящим проектом вместо видеотерминалов Polycom SP 128, Polycom VSX 6000) обеспечивает возможность проведения видеоконференций с КСА ЦИК.

7.3.7.8 Оборудование ПСПД КСА ИКСРФ устанавливается в стойке размещения телекоммуникационного оборудования RITTAL, снабженной ИБП Smart UPS on-line 1000VA.

7.3.7.9 Подключение ЛВС администрации производится через порт FastEthernet маршрутизатора Cisco 3825.

56

7.3.8 Оборудование ПСПД КСА ТИК

7.3.8.1 Оборудование ПСПД КСА ТИК может подключаться к региональному фрагменту ПСПД как цифровыми каналами связи, использующими различные технологии, так и посредством ТФОП (см. п. 7.3.2 – 7.3.4).

7.3.8.2 В состав ПСПД КСА ТИК после модернизации, при условии подключения к региональному фрагменту ПСПД посредством цифровых каналов связи, должно входить следующее оборудование ПСПД:

− маршрутизатор Cisco 2811 с ПО IOS и межсетевым экраном;− ИБП Smart UPS on-line 1000VA, дистанционно управляемый

посредством интегрированной сетевой карты;− модем ZyXEL U-336E Plus.

7.3.8.3 При подключении КСА ТИК к КСА ИКСРФ по коммутируемым каналам ТФОП в состав ПСПД КСА ТИК входит только модем ZyXEL U-336E Plus.

7.3.8.4 Маршрутизатор Cisco 2811 (предусмотренный настоящим проектом вместо маршрутизаторов Cisco 1751, Cisco 1760) предназначен для маршрутизации информации между сетью оператора связи и локальной вычислительной сетью (ЛВС) КСА ТИК. Дополнительно, основной маршрутизатор содержит голосовой модуль, обеспечивающий подключение до 4 аналоговых телефонных/факсимильных аппаратов по интерфейсу FXS.

Число интерфейсных портов маршрутизатора Cisco 2811 и их тип, подбирается для каждого ТИК индивидуально, в соответствии с топологией сети ПСПД (см. приложение 3).

7.3.8.5 В составе ЛВС КСА размещены АРМ, на которых установлено клиентское ПО ЭП.

7.3.8.6 Аналоговый модем ZyXEL U-336E Plus обеспечивает возможность передачи данных между КСА ИКСРФ и КСА ЦИК по коммутируемому соединению через ТФОП.

7.3.8.7 Оборудование ПСПД КСА ТИК устанавливается в стойке размещения телекоммуникационного оборудования и СЗИ RITTAL, снабженной ИБП Smart UPS on-line 1000VA RM.

7.3.8.8 Подключение ЛВС администрации производится через порт FastEthernet маршрутизатора Cisco 2811.

57

58

8 Технические предложения по развертыванию в региональных фрагментах ПСПД ГАС «Выборы» цифровых каналов связи c целью в перспективе полного отказа от использования коммутируемых каналов для передачи данных ГАС «Выборы»

8.1 По состояния на сегодняшний день в ПСПД ГАС «Выборы» используются сети передачи данных всех типов:

− сети, построенные с использованием выделенных каналов связи;− сети, построенные с использованием коммутации каналов;− сети, построенные с использованием коммутации пакетов;

В связи с этим, в целях выбора перспективных технологий построения сети передачи данных ГАС «Выборы» в настоящем проекте проведён краткий обзор (см. ниже) существующих технических решений, используемых в современных телекоммуникационных сетях всех трёх типов.

8.1.1 Выделенные каналы

8.1.1.1 Выделенные (или арендуемые - leased) каналы можно получить у телекоммуникационных компаний, которые владеют каналами дальней связи (таких, например, как «РОСТЕЛЕКОМ»), или от телефонных компаний, которые обычно сдают в аренду каналы в пределах города или региона.

Использовать выделенные линии можно двумя способами. Первый состоит в построении с их помощью территориальной сети определенной технологии, например frame relay, в которой арендуемые выделенные линии служат для соединения промежуточных, территориально распределенных коммутаторов пакетов.

Второй вариант - соединение выделенными линиями только объединяемых локальных сетей или конечных абонентов другого типа, например мэйнфреймов, без установки транзитных коммутаторов пакетов, работающих по технологии глобальной сети. Второй вариант является наиболее простым с технической точки зрения, так как основан на использовании маршрутизаторов или удаленных мостов в объединяемых локальных сетях и отсутствии протоколов глобальных технологий, таких как Х.25 или frame relay. По глобальным каналам передаются те же пакеты сетевого или канального уровня, что и в локальных сетях.

59

Именно второй способ использования глобальных каналов получил специальное название «услуги выделенных каналов», так как в нем действительно больше ничего из технологий собственно глобальных сетей с коммутацией пакетов не используется.

Выделенные каналы очень активно применялись совсем в недалеком прошлом и применяются сегодня, особенно при построении ответственных магистральных связей между крупными локальными сетями, так как эта услуга гарантирует пропускную способность арендуемого канала. Однако при большом количестве географически удаленных точек и интенсивном смешанном трафике между ними использование этой службы приводит к высоким затратам за счет большого количества арендуемых каналов.

Сегодня существует большой выбор выделенных каналов - от аналоговых каналов тональной частоты с полосой пропускания 3,1 кГц до цифровых каналов технологии SDH с пропускной способностью 155 и 622 Мбит/с.

8.1.2 Сети с коммутацией каналов

8.1.2.1 Сегодня для построения глобальных связей в корпоративной сети доступны сети с коммутацией каналов двух типов - традиционные аналоговые телефонные сети и цифровые сети с интеграцией услуг ISDN. Достоинством сетей с коммутацией каналов является их распространенность, что характерно особенно для аналоговых телефонных сетей. В последнее время сети ISDN во многих странах также стали вполне доступны корпоративному пользователю, а в России это утверждение относится пока только к крупным городам.

Известным недостатком аналоговых телефонных сетей является низкое качество составного канала, которое объясняется использованием телефонных коммутаторов устаревших моделей, работающих по принципу частотного уплотнения каналов (FDM-технологии). На такие коммутаторы сильно воздействуют внешние помехи (например, грозовые разряды или работающие электродвигатели), которые трудно отличить от полезного сигнала. Правда, в аналоговых телефонных сетях все чаще используются цифровые АТС, которые между собой передают голос в цифровой форме. Аналоговым в таких сетях остается только абонентское окончание. Чем больше цифровых АТС в телефонной сети, тем выше качество канала, однако до полного вытеснения АТС, работающих по принципу FDM-

60

коммутации, в нашей стране еще далеко. Кроме качества каналов, аналоговые телефонные сети также обладают таким недостатком, как большое время установления соединения, особенно при импульсном способе набора номера, характерного для нашей страны.

Телефонные сети, полностью построенные на цифровых коммутаторах, и сети ISDN свободны от многих недостатков традиционных аналоговых телефонных сетей. Они предоставляют пользователям высококачественные линии связи, а время установления соединения в сетях ISDN существенно сокращено.

Однако даже при качественных каналах связи, которые могут обеспечить сети с коммутацией каналов, для построения корпоративных глобальных связей эти сети могут оказаться экономически неэффективными. Так как в таких сетях пользователи платят не за объем переданного трафика, а за время соединения, то при трафике с большими пульсациями и, соответственно, большими паузами между пакетами оплата идет во многом не за передачу, а за ее отсутствие. Это прямое следствие плохой приспособленности метода коммутации каналов для соединения компьютеров.

Тем не менее при подключении массовых абонентов к корпоративной сети, например сотрудников предприятия, работающих дома, телефонная сеть оказывается единственным подходящим видом глобальной службы из соображений доступности и стоимости (при небольшом времени связи удаленного сотрудника с корпоративной сетью).

8.1.3 Сети с коммутацией пакетов

8.1.3.1 В 80-е годы для надежного объединения локальных сетей и крупных компьютеров в корпоративную сеть использовалась практически одна технология глобальных сетей с коммутацией пакетов - Х.25. Сегодня выбор стал гораздо шире, помимо сетей Х.25 он включает такие технологии, как frame relay и АТМ, использующих оригинальную технику маршрутизации пакетов основанную на понятии «виртуальный канал» и обеспечивающую эффективную передачу долговременных устойчивых потоков данных. Кроме этих технологий, разработанных специально для глобальных компьютерных сетей, можно воспользоваться услугами территориальных сетей TCP/IP, которые доступны сегодня как в виде недорогой и очень распространенной сети Internet, качество транспортных

61

услуг которой пока практически не регламентируется и оставляет желать лучшего, так и в виде коммерческих глобальных сетей TCP/IP, изолированных от Internet и предоставляемых в аренду телекоммуникационными компаниями.

8.1.4 Не вдаваясь в подробный анализ современных технологий построения корпоративных сетей (такой анализ потребует отдельной работы) можно сделать вывод о предпочтительности постепенного перехода в ПСПД ГАС «Выборы» на использование пакетных сетей, в связи с высокими затратами на аренду выделенных каналов и плохими перспективами развития сетей ISDN в России (см. выше).

При этом наиболее перспективной технологией в области пакетных сетей является технология VPN MPLS, сочетающая в себе защищенность VPN на базе виртуальных каналов и гибкость VPN на базе общедоступной IP-сети, о чем более подробно будет сказано ниже.

8.1.5 MPLS - магистральная технология нового века

8.1.5.1 MPLS стала магистральной технологией нового века. Она позволяет эффективнее передавать большие объемы трафика в магистральных сетях и рассматривается как основа для конвергенции услуг и фундамент для построения мультисервисных сетей следующего поколения.

В сфере будущих телекоммуникаций MPLS уготована роль ведущей технологии. Она рассматривается в качестве фундамента для инфраструктуры сетей следующего поколения и предоставления новых услуг. Обладая целым рядом преимуществ, она была призвана дополнить «мир IP» достоинствами унаследованных инфраструктур frame relay, ATM и TDM, а также способствовать внедрению протокола IP как универсального транспорта для всех видов приложений. В случае применения MPLS в качестве базового механизма коммутации можно упростить развитие операторских сетей IP, объединить разные технологии доступа, повысить масштабируемость маршрутизации IP и сделать сети IP столь же пригодными для передачи голоса и видео, как сети ATM, где обеспечение качества и резервирование ресурсов для передачи разнородного трафика заложены на протокольном уровне.

При том, что операторы достаточно взвешенно подходят к

62

технологии MPLS, популярность ее растет. Многопротокольная коммутация информационных потоков в соответствии с метками (Multiprotocol Label Switching, MPLS) рассматривается как перспективная, хотя и не единственная основа для конвергенции услуг и построения мультисервисных сетей следующего поколения (NGN), в которых станет возможна передача разнородного трафика через интегрированную телекоммуникационную инфраструктуру вместо нескольких различных сетей. Принятие MPLS в качестве унифицирующей, замещающей технологии должно привести к значительному упрощению сетевых инфраструктур и управления ими.

Чтобы придать сетям IP свойства сетей ATM, сделать их более пригодными для критичных ко времени сервисов и разных видов трафика, потребовалась такая протокольная надстройка, как MPLS. Функция MPLS Fast Reroute обеспечивает быстрое (в пределах 50 мс) переключение на резервный маршрут в случае отказа, а MPLS Traffic Engineering — управление потоком трафика и пропускной способностью с возможностью гибкой программной настройки выделяемой пропускной способности в реальном времени. Однако технология ATM еще далека от того, чтобы стать достоянием истории. Она наиболее отработана для построения мультисервисных сетей, позволяет обеспечивать качество обслуживания (QoS) и согласованный уровень сервиса (SLA), в которых нуждаются как внутренние приложения операторов, так и коммерческие клиенты.

Сегодня инфраструктура ATM отвечает за передачу около трех четвертей мирового межсетевого трафика. Операторы предпочли не торопиться с переводом на MPLS приносящего значительную прибыль голосового трафика, что даже заставило аналитиков говорить о возрождении интереса к ATM/FR. Между тем, хотя операторские сети, построенные на базе ATM, уже имеют необходимую функциональность для гарантированного качества и надежности услуг, обеспечение при помощи протокола MPLS «сквозного» качества в неоднородных сетях, охватывающих сети доступа и транспортные сети разных операторов, оказывается весьма востребованным.

MPLS и ATM обычно рассматривают как дополняющие друг друга технологии. По мнению специалистов компании «РУСЛАН Коммуникейшнз», MPLS дает возможность наилучшим образом использовать преимущества ATM, а ATM — наиболее эффективно применять MPLS. Механизмы взаимодействия сетей ATM и MPLS

63

(например, ATM-MPLS Network Interworking), включая явное отображение служб ATM в MPLS, методы сопряжения с сетями ATM на уровне сигнализации, маршрутизации и PNNI (Private Network-to-Network Interface), продолжают развиваться.

Уступая ATM в средствах резервирования ресурсов и обеспечения качества услуг, гибкая технология MPLS объединяет в себе достоинства коммутации АТМ и маршрутизации IP. По сравнению с IP основным преимуществом MPLS является коммутация по меткам и разделение управляющей составляющей трафика с транспортной. Коммутация по меткам позволяет создавать сервисы, которые трудно или невозможно реализовать на базе IP, и в общем случае она имеет более низкую стоимость на единицу объема трафика по сравнению с ATM. Кроме того, ATM обладает высокой избыточностью (соотношение полезной и служебной информации), хотя для современных приложений IP с высокой степенью инкапсуляции нередко верно обратное.

MPLS рассматривается как эффективная и экономичная основа для мультисервисного транспорта. Современные коммутирующие маршрутизаторы способны одновременно (и с одинаковой производительностью) обрабатывать трафик ATM, IP и MPLS. По данным аналитиков, конвергентная сеть MPLS, поддерживающая разные типы трафика (IP, frame relay, ATM, MPLS) и сложные политики QoS, по капитальным затратам (CAPEX) почти на 25% дешевле ATM, а объединение в единую инфраструктуру разнородных сетей IP, ATM и frame relay открывает возможности для существенного сокращения операционных расходов (OPEX), хотя выбор технологии для конкретного проекта всегда предполагает индивидуальный подход. Совершенствование сетевого оборудования и технологий нацелено на то, чтобы решения MPLS обеспечивали уровень обслуживания, свойственный технологии ATM.

Операторы стремятся развивать услуги IP — доступ в Internet, виртуальные частные сети, различные сервисы пакетной телефонии (VoIP, IP Centrex). MPLS не зависит от транспортной среды (хотя обычно используется в сетях IP), а для построения сети предлагается широкий спектр оборудования, что позволяет оператору выбрать оптимальную для его задачи модель. Это является важным стимулом перехода на технологию MPLS.

О том, что операторы постепенно переводят свою инфраструктуру на IP/MPLS, свидетельствует, в частности, рост продаж магистральных

64

маршрутизаторов с поддержкой IP/MPLS. Аналитики интерпретируют ситуацию как стремление провайдеров обеспечить рост бизнеса и увеличить прибыль за счет упрощения и консолидации своих сетей на основе MPLS, создать новые источники дохода путем внедрения качественных пакетных услуг и усилить свои конкурентные позиции. Производители, в свою очередь, разрабатывают новые продукты, отличающиеся более высокой масштабируемостью и надежностью, применение которых помогает снизить TCO и упростить развертывание новых услуг.

Внедрение MPLS позволяет повысить уровень сервиса, предоставлять востребованные услуги на базе IP (с гарантированным уровнем качества) и услуги конвергентных сетей для корпоративных клиентов, включая создание виртуальных частных сетей (VPN) и передачу голоса поверх IP (VoIP). Инфраструктура MPLS VPN дает возможность соединять узлы по схеме «любой с любым» независимо от технологии доступа (frame relay, выделенная линия, DSL или Ethernet), повышает производительность, масштабируемость IP и надежность маршрутизации в приложениях Triple Play (голос, данные, видео). С MPLS хорошо сочетается Ethernet — благодаря такой комбинации открывается возможность экономичного предоставления целого комплекса услуг и внедрения широкополосных приложений в городских сетях и сетях доступа.

Уже принятые стандарты обеспечивают прозрачный пропуск через ядро сети IP/MPLS протоколов второго уровня (Ethernet, frame relay, ATM), а Metro Ethernet Forum (MEF) работает над стандартизацией взаимодействия сетей MPLS и Ethernet. Технология ATM не поспевает за темпами увеличения скорости Ethernet и снижения стоимости портов, а потому использование сетей MPLS и услуг VPN для создания «прозрачных» локальных сетей обладает рядом достоинств.

Не случайно технология MPLS становится основой сотрудничества производителей операторских систем. Так, в начале 2006 года Lucent и Juniper представили совместное решение Lucent Juniper Networks Multiservice MPLS Core Solution для реализации услуг ATM и frame relay в сети MPLS. Основанное на коммутаторах Lucent CBX 500 и GX 550 и маршрутизаторах Juniper серии E, M и T, оно позволяет организовать в ядре сети IP/MPLS туннели для трафика ATM и frame relay. При этом ПО поддерживает требуемые характеристики QoS и CoS и управление

65

трафиком ATM. Цель решения — обеспечить переход от сетей ATM к MPLS без потери качества услуг и средств управления трафиком ATM.

Полный спектр функций MPLS поддерживают в своей продукции компании Alcatel, Cisco Systems, Huawei Technologies, Marconi, Nortel Networks. Производители магистрального и пограничного сетевого оборудования (в частности, мультисервисных медиа-шлюзов и пограничных маршрутизаторов) рассматривают MPLS как основу для предоставления услуг и обеспечения качества сервиса. Поставщики маршрутизирующих коммутаторов связывают с коммутацией MPLS ближайшее будущее магистрального оборудования, интегрируют маршрутизацию ATM, MPLS и IP в рамках единой платформы, предлагают возможности поэтапного перехода от ATM/FR к общей инфраструктуре MPLS (с сохранением существующих служб) и взаимодействию различных пакетных сетей (АТМ/IP/MPLS).

В линейке маршрутизаторов ведущих производителей просматривается тенденция к расширению поддержки различных сервисов MPLS и ее интеграции в оборудование младшего класса. Так, у Cisco Systems поддержка MPLS встроена в основные коммутирующие платформы, вплоть до коммутаторов младшего уровня. Сегодня функциональность MPLS PE (Provider Edge) поддерживается в широком спектре маршрутизаторов Cisco.

Анонсированное в конце 2005 года дополнение к ПО MPLS для ОС Cisco IOS 12.0 (IOS MPLS Bandwidth-Assured Layer 2 Services) позволяет выделять в ядре сети MPLS пропускную способность для трафика второго уровня, поддерживать Any Transport over MPLS (AToM), управление пропускной способностью (Traffic Engineering, TE) и функции быстрой ремаршрутизации (Fast Reroute) для постоянных виртуальных каналов AToM. При этом реализуется сквозное QoS независимо от протокола доступа в сеть MPLS. Фактически новое ПО эмулирует среду ATM/FR в сетях IP/MPLS для предоставления услуг аналогичного уровня.

В архитектуре Alcatel, Cisco Systems и Juniper Networks, наряду со стандартной коммутацией, в качестве протокола маршрутизации и сигнализации используется протокол Generalized MPLS (GMPLS) — реализация MPLS на оптическом уровне. Решение Alcatel Core Node Solution можно развертывать поэтапно, реализуя возможности GMPLS в новых и в унаследованных сетях с включением в единую инфраструктуру систем DWDM, мультисервисных узлов и шлюзов SDH, а также

66

коммутаторов ядра сети с поддержкой GMPLS.Мультисервисные коммутаторы Alcatel, Cisco, Juniper и Nortel

Networks поддерживают VPN L2/L3, причем для создания VPN L2 можно использовать различные протоколы, например ATM/FR. С помощью уровня управления MPLS обеспечивается сквозная реализация услуг в сети (прозрачность сервисов ATM и Ethernet), резервирование маршрутов, выделение ресурсов канала для приоритетного трафика (VoIP или видео) средствами MPLS TE с качеством обслуживания, свойственным сетям SDH/ATM. По существу, MPLS дает возможность упростить управление сетью, перенеся сервисы SDH и ATM на более высокий сетевой уровень. Современное оборудование с поддержкой этой технологии предусматривает программируемое перенаправление трафика (MPLS Reroute) в случае отказа канала, а функция Fast Reroute позволяет переключиться на резервный маршрут в течение 50 мс, что соответствует стандартам SDH.

Внедрение MPLS стало важным этапом в распространении сервиса виртуальных частных сетей. IP VPN рассматриваются как следующий эволюционный шаг для пользователей услуг FR, ATM VPN или выделенных линий. Заказчик получает интегрированное решение для передачи различных видов трафика между удаленными узлами, например территориально распределенными офисами. Мотивация же провайдеров — в реализации различных дополнительных услуг, например организации доступа по VPN к точкам беспроводного доступа (Wi-Fi) и многоадресной доставки видео по VPN (multicasting).

В последнее десятилетие для создания VPN применялись разные технологии, включая выделенные каналы, frame relay, ATM, L2TP, IPSec. В сети MPLS для этого создаются оптимизируемые в режиме реального времени защищенные логические маршруты. Поскольку привязка к выделенным маршрутам отсутствует, число узлов в IP VPN может легко наращиваться. Управление трафиком средствами TE позволяет снизить издержки по обслуживанию сети и предложить оптимальный уровень услуг с точки зрения пропускной способности и задержки, а механизмы динамической адаптации повышают отказоустойчивость опорной сети.

Число операторов, предлагающих сервис MPLS VPN, растет и за рубежом, и в России. Во многих российских регионах появляются современные оптические линии связи для передачи трафика IP/MPLS, что позволяет поднять качество услуг на более высокий уровень. Именно

67

развитые возможности IP VPN способствовали широкой поддержке MPLS в отрасли и признанию ее ведущей технологией для сетей IP. С помощью таких средств, как MPLS Label Stacking, организуются разнообразные «многоуровневые» VPN (в случае использования ATM возможно всего два уровня) с прозрачной передачей протоколов. Развитые механизмы добавления/удаления меток и создания иерархических VPN (H-VPLS) поддерживаются, в частности, в оборудовании Alcatel. Кроме того, MPLS позволяет легко увеличивать число узлов и соединений VPN.

По существу, операторская сеть в VPN L3 играет роль виртуального маршрутизатора. Виртуальные маршрутизаторы хранят таблицы маршрутизации клиента, а BGP обеспечивает его взаимодействие с пограничным маршрутизатором сети MPLS и трансляцию меток VPN, освобождая маршрутизаторы ядра от обработки информации VPN. В результате увеличивается масштабируемость. К недостаткам VPRN относятся поддержка одного протокола (IP), сложность координации взаимодействия пограничных маршрутизаторов провайдера и корпоративного клиента, что приводит к росту эксплуатационных издержек и может сказываться на производительности.

В локальных сетях стандартной технологией второго уровня является Ethernet, а потому возникает задача объединения удаленных офисов в единую многоузловую «прозрачную» корпоративную сеть Ethernet. Такого рода услуги VPN L2 называются Ethernet Trasparent LAN Services (TLS) или Ethernet Virtual Private LAN, а в терминологии IETF именуются виртуальными частными локальными сетями (Virtual Private LAN Services, VPLS). Архитектура VPLS обладает высокой масштабируемостью (по числу узлов и пропускной способности) и обеспечивает соединения произвольного числа узлов в VPN. VPN L2 прозрачны с точки зрения сетевого уровня, а сеть оператора выглядит в этом случае как виртуальный коммутатор/ мост.

VPLS рассматриваются в качестве следующего этапа эволюции VPN. Рабочая группа IETF L2VPN продолжает работу над VPLS. В значительной степени технологии VPLS уже опробованы и проверены, однако спецификации VPN для сетей MPLS пока далеки до включения в стандарты. В настоящее время особенностям MPLS посвящено около десятка документов уровня RFC и более двух десятков регулярно обновляемых проектов (draft); в то же время для ATM существует небольшое число тщательно проработанных стандартов. В области VPLS

68

работа идет в основном над определением конкретных системных функций наподобие тиражирования пакетов, поэтому, вполне возможно, IETF дополнит VPLS какими-то нововведениями на системном уровне. С развитием MPLS будут совершенствоваться также технологии TE (для обеспечения таких параметров качества сервиса, как величина задержки и процент потери пакетов) и средства повышения надежности услуг.

Одним из важных преимуществ VPLS и MPLS VPN L3 для провайдера считается перемещение «интеллекта» на границу сети, что упрощает интеграцию MPLS с существующей инфраструктурой ядра и сетями доступа, ограничивает нагрузку на ядро. Пограничные маршрутизаторы должны выполнять различные функции VPLS системного уровня: тиражирование пакетов, распознавание и ведение MAC-адресов для каждого клиента. В этом случае ядро сети не обязательно должно поддерживать MPLS, однако ее реализация в маршрутизаторах ядра предоставляет дополнительные возможности, в частности TE и Fast Reroute. На уровне доступа в VPLS можно применять такие технологии, как Ethernet, Ethernet-over-SONET/SDH, 802.17 RPR, EPON, Ethernet-over-DSL. Для предоставления услуг с разными характеристиками QoS (и стоимостью) провайдер может сформировать в ядре сети разные наборы туннелей и использовать для управления трафиком механизмы очередей (Class-Based Queueing, CBQ). Выпускаемое производителями оборудование и ПО предусматривает управление SLA по различным критериям (адреса пакетов, маркеры QoS, физические или логические порты), развитые алгоритмы буферизации и сбора статистики, инструменты диагностики.

VPN на базе MPLS ориентированы на тех корпоративных клиентов, кому требуются защищенные виртуальные соединения между удаленными локальными сетями с большими объемами трафика. В числе преимуществ сервиса — экономичное использование ресурсов «последней мили» (гибкое выделение пропускной способности), гибкое масштабирование (расширение и модернизация VPN), гарантированная доступность сервиса и QoS. По данным аналитиков, по сравнению с frame relay создание корпоративных сетей IP VPN на базе MPLS сберегает около 20% бюджета за счет эффективного использования каналов связи.

VPN L2 и L3 применяются разными провайдерами в зависимости от инфраструктуры и размера сетей, модели бизнеса, пакета услуг и круга клиентов. VPN L3 обычно востребованы в протяженных сетях, поскольку

69

позволяют реализовывать разнообразные топологии, однако ведение таблиц маршрутов создает большую нагрузку на пограничное оборудование. Пользователь должен предоставить оператору план маршрутизации (routing plan) и согласовать с ним изменения конфигурации VPN. В случае неполадок неисправность трудно локализовать и выяснить, откуда она исходит — со стороны оператора или пользователя. В крупных топологиях с большим числом узлов при применении VPN L3 можно одновременно работать почти со всеми технологиями доступа и средами передачи.

VPN L2 полностью прозрачны, просты в применении и считаются очень перспективным сервисом в городских сетях (Metro). В обоих случаях MPLS позволяет провайдерам поддерживать качество сервиса (QoS), безопасность и предлагать ряд дополнительных функций. Как отмечают специалисты Cisco Systems, в настоящее время практически все операторы, предоставляющие услуги VPN L3, планируют развитие сетей с учетом услуг VPN L2, что во многом связано с распространением городских сетей. Потребность в таких услугах, особенно «сквозного Ethernet» на базе MPLS, будет только нарастать. Они обеспечивают подключение любых оконечных систем с интерфейсом Ethernet и используют простой стек протоколов. Подобный сервис предоставляется и российскими провайдерами.

Начавшееся три-четыре года назад строительство сетей MPLS активно продолжается и сегодня. Сети MPLS развернули сотни провайдеров всего мира, включая семь крупнейших компаний США. Лучшими европейскими поставщиками услуг MPLS считаются «Эквант» и BT. Практически все ведущие мировые операторы уже предоставляют услуги MPLS. Сетями MPLS располагают AT&T, BT, Cable & Wireless, Deutsche Telekom, Equant, Infonet, TeliaSonera, Worldcom, а также более десятка операторов и провайдеров, работающих в России, включая «Зенон», «Караван», «Комстар», «Раском», «Сонера Рус», «Ростелеком», «Таттелеком», «Транстелеком», «Эквант» и др. Услугами сетей MPLS пользуются МНС, Ингосстрах, МЧС России. Внедрение этой технологии в сетях операторов федерального уровня позволяет предоставлять операторам связи и корпоративным заказчикам новые услуги, в том числе построение защищенных корпоративных сетей VPN и передачу мультимедийного трафика.

Многие российские операторы строят свои мультисервисные сети

70

MPLS на оборудовании компании Cisco Systems. Помимо таких достоинств маршрутизаторов Cisco Systems, как разнообразная и «обкатанная» функциональность IP/MPLS в ОС IOS, широкий выбор интерфейсных модулей, использование единого операционного окружения (благодаря чему персонал быстрее осваивает новую функциональность), Cisco IOS обеспечивает такие возможности, как выделение пропускной способности для различных типов трафика, уменьшение потери пакетов в сети, управление перегрузками, ограничение скорости трафика, задание его приоритетов.

Конечно, продукция Cisco — не единственный вариант построения крупных сетей MPLS, тем более что российские операторы широко используют в своих сетях устройства Alcatel, Huawеi, Nortel Networks и ряда других производителей. В ближайшие месяцы будет объявлено о завершении нескольких крупных российских проектов MPLS на базе оборудования других известных поставщиков. Операторская сеть MPLS, предназначенная для передачи значительных объемов данных, может строиться на маршрутизаторах Avici с агрегированием услуг, на оборудовании Nortel Passport и Shasta, решениях Juniper/Lucent, Alcatel, Marconi и др.

Как правило, ввод в строй мультисервисных сетей MPLS позволяет снизить себестоимость услуг, увеличить скорость доступа, предложить услуги VoIP, видео поверх IP (в том числе группового вещания — multicast), VPN и др. Одним из побудительных мотивов применения MPLS в сети оператора становится необходимость внедрения системы управления услугами на основе соглашения об уровне сервиса (SLA). В результате клиенты получают услуги с добавленной стоимостью, что повышает привлекательность оператора. Запросы клиентов, как правило, невозможно удовлетворить в границах сети одного оператора, и внедрение MPLS помогает поддерживать «сквозные SLA» для неоднородных сетей нескольких операторов. Сети IP/MPLS с широким спектром технологий доступа (xDSL ETTx, коммутируемые линии и др.) позволяют региональным компаниям предоставлять услуги передачи данных, голоса и видео корпоративным и частным пользователям, провайдерам и альтернативным операторам.

Одними из первых услуги IP VPN на базе MPLS в России стали предоставлять «Раском», «Эквант» и «ТрансТелеКом», сеть MPLS которой функционирует уже три года (она была построена в сотрудничестве с

71

компанией «Микротест» на базе оборудования Cisco Systems). Эта сеть (один из крупнейших проектов Cisco в России) позволяет посредством VPN объединить удаленные офисы клиента и создать защищенную корпоративную сеть с поддержкой выбранного класса обслуживания (CoS). Реализуемые на ее основе мультисервисные корпоративные сети поддерживают передачу данных, телевизионного сигнала, цифровую телефонию, видеоконференц-связь.

План поэтапного перевода сети на MPLS/VPN реализует крупнейший российский провайдер Ростелеком. На большинстве узлов мощной магистральной сети Ростелеком, охватывающей все регионы России, уже используется технология MPLS. Она позволила предоставлять сервис более высокого уровня, включая услуги IP с гарантированным качеством для операторов связи, сервис VPN и VoIP для корпоративных клиентов, услуги аренды приложений (ASP). Благодаря MPLS в IP, VPN обеспечивается качество сервиса (QoS и CoS). Компания рассматривает построение VPN на базе MPLS как перспективное направление инвестиций, ожидая значительного роста спроса на эти услуги. Свою магистральную сеть MPLS она развивает на основе оборудования Cisco, делая акцент на опережающем внедрении IP VPN и VoIP.

Провайдер «Зенон Н.С.П.» построил мультисервисную сеть IP/MPLS (на оборудовании Cisco Systems) для высокоскоростного доступа в Internet, передачи голоса и видео по IP, а также для создания VPN. Применение IP и MPLS позволило снизить стоимость услуг, увеличив скорость подключения. В «Сонера Рус» (дочерней структуре финской Sonera Telecom) MPLS применяется для организации IP VPN и высокоскоростного корпоративного доступа в Internet в Москве, Санкт-Петербурге, Твери и Великом Новгороде. Услуги IP VPN на базе MPLS получают также клиенты сети «Комстар», где установлено оборудование Cisco Systems и Riverstone Networks. «Комстар» предлагает в своей сети NGN услуги VPN второго (VPLS) и третьего уровней, используя для защиты от отказов технологии RPR и MPLS Fast Reroute, а для управления потоком трафика и пропускной способностью — MPLS TE. Московский провайдер «МТУ-Интел» (торговая марка «Точка Ру») посредством VPN L3 объединяет офисы клиентов в корпоративные сети. Все подключения терминируются на уровне IP/MPLS на виртуальных маршрутизаторах. Доступ в сеть обеспечивает ADSL.

С помощью MPLS соединены основные технические площадки

72

провайдера «Караван», включая узел на MSK-IX и центр данных. Эта сеть эксплуатируется в течение года и построена с применением Cisco 6509 и Cisco 7400. Пользователями ее услуг (MPLS VPN) могут быть как операторы связи, так и корпоративные клиенты, однако число их пока невелико, так как MPLS пока находится в стадии внедрения. Как отмечают специалисты компании, технология дает возможность гибко настраивать приоритеты для разных потоков трафика (что повышает надежность услуг, требовательных к качеству канала), осуществлять централизованное администрирование. В планах компании — перевод на MPLS всей сети и увеличение числа клиентов.

Россия практически не отстает от развитых стран мира по внедрению MPLS, однако далеко не все крупные российские операторы спешат с коммерческим внедрением MPLS. В частности, «оператор для операторов» «Межрегиональный ТранзитТелеком» (MTT) исходит из того, что выбор той или иной технологии для магистрали определяется набором услуг, а услуги на основе сетей с пакетной передачей данных будут более востребованы с развитием сетей 3G. Сейчас в МТТ рассматриваются различные альтернативные технологии, позволяющие строить полнофункциональные сети нового поколения, в том числе и MPLS. Окончательный выбор технологии для NGN компания сделает после утверждения требований к транзитным сетям третьего поколения, разрабатываемых «Ассоциацией 3G».

Как считают специалисты РУСЛАН Коммуникейшнз, пока российский рынок недостаточно готов к широкому внедрению MPLS, однако технология открывает неплохие перспективы для продажи услуги VPN, видеоконференций, а также для заказа необходимой пропускной способности на требуемое время с соответствующей системой оплаты. В России у этого вида услуг неплохие перспективы, и увеличение объемов трафика в корпоративных сетях будет способствовать росту спроса.

Многие российские операторы «переступили через ATM» и построили сети, позволяющие реализовать услуги IP VPN, однако при этом они столкнулись с проблемами мониторинга и обеспечения качества обслуживания. Это должно ускорить внедрение MPLS как технологии, упрощающей управление трафиком и повышающей эффективность использования сети. Однако MPLS по-прежнему остается дорогой технологией и применяется главным образом крупными операторами, у которых имеются собственные разветвленные магистральные сети. На

73

темпы развития сетей MPLS будет влиять рост спроса на услуги VPN, видеоконференций, видео по требованию (VoD), VoIP, высокоскоростного доступа в Internet. Впрочем, в России этот рынок только начинает развиваться, да и повсюду доходы от услуг с добавленной стоимостью пока составляют лишь небольшую часть от общего дохода провайдеров.

8.2 Исследование технической возможности по оснащению ТИК (УИК), находящихся в отдаленных или труднодоступных местностях, спутниковыми средствами связи

8.2.1 Рассматривая только технические аспекты, можно констатировать, что спутниковые системы связи и передачи данных (СССПД) являются наиболее универсальным решением ряда проблем, изложенных в “Концепции развития Государственной автоматизированной системы Российской Федерации «Выборы» до 2012 года ”, поскольку они в состоянии покрыть полностью или почти полностью территорию РФ, обеспечивая, в интересах дальнейших этапов развития“ ГАС Выборы” необходимый перечень услуг: передачу речи, данных и коротких сообщений для стационарных и подвижных объектов “ГАС Выборы”, а также, при необходимости, навигационную привязку тех или иных мобильных операций модернизированной “ГАС Выборы”, выполняемых в условиях отдаленных или труднодоступных местностей Российской Федерации и за её пределами.

Далее, будут рассмотрены некоторые характеристики спутниковой системы VSAT, которая может представлять интерес на дальнейших этапах развития “ГАС Выборы”.

8.2.2 Спутниковая сеть VSAT Приоритетного Национального проекта ”Образование”

8.2.2.1 В декабре 2007г. на территории РФ завершился первый этап Национального проекта Образование, в рамках которого 52322 общеобразовательных учреждения получили широкополосный доступ в Интернет.

Проект предусматривает объединение всех школ в единую виртуальную частную сеть (VPN) «Образование» с организацией

74

контролируемых точек выхода в сеть Интернет в каждом субъекте Российской Федерации, защищенных межсетевыми экранами.

VPN «Образование» реализуется с использованием ресурсов общенациональной сети IP MPLS ОАО «РТКомм.РУ» (далее – РТКОММ). Подключение к VPN «Образование» обеспечивается путем организации каналов связи от образовательных учреждений до ближайшего узла доступа к сети Интернет РТКОММ.

Для организации каналов доступа к VPN на скорости 128 кбит/сек. предусматривается использование сетей широкополосного абонентского доступа по технологии xDSL, при отсутствии таковых сетей - выделенных цифровых каналов, а в регионах с отсутствующей или недостаточно развитой наземной инфраструктурой связи – спутниковых цифровых каналов.

Из общего числа 7284 школы были подключены с помощью VSAT-терминалов спутниковой связи. Большинство из этих школ находились в труднодоступных местах, прежде всего севера и горных районах.

Первоначально для подключения школ рассматривался вариант использования наряду с интерактивными VSAT, упрощённых однонаправленных VSAT применительно к отдельным школам, в которых возможна организация обратного канала средствами телефонной связи. Однако в итоге был выбран вариант использования только двунаправленных интерактивных VSAT

SkyEge-IP и DW7000 производства компаний Gilat Sattellit Networks и Hughes Network Systems.

Для представления требуемой пропускной способности ФГУП ГПКС выделил необходимые полосы частот на спутниках Экспресс в орбитальных позициях 40, 80градусов восточной широты 140. В связи с утерей спутника Экспресс АМ-11, часть ресурсов арендовалось на спутнике Газком Ямал-200. в основном использовались с антеннами 1,2м.. В северных районах устанавливались антенны 1,8м.

В случае качественных каналов схема доступа в сеть имеет вид:

75

Рисунок 12 - Схема подключения образовательного учреждения к пограничному маршрутизатору VPN по наземному каналу

Средства VPN предотвращают несанкционированный доступ в образовательную сеть и получение нежелательного контента её абонентами.

VSAT подключались по спутниковому каналу к Узловой Земной станции по звездообразной схеме типа изображённоё ниже.

Рисунок 13 - Пример звездообразной сети VSAT.

Узловые станции объединяются в национальную сеть по изображенному ниже принципу

“ЭКСПРЕСС-А

”

,80гра

д.в.д.

Ku-

диапазон

76

Узловые станции присоединяются к пограничным маршрутизаторам наземной сети оператора связи Ростелеком для организации доступа в Интернет.

Поскольку процедура оплаты услуг оператора чётко не была определена, в отдельных регионах в 2008г. имели место отключения школ от сети. С учетом надвигающегося кризиса можно предположить, что вариант кооперативного использования доступа в Интернет из УИК, расположенных в образовательных школах может оказаться взаимоприемлимым. Однако для практической реализации этого варианта потребуется привлечение операторской компании Ростелеком. С помощью Ростелеком могут быть организованы каналы IP MPLS между УИК и ТИК. Механизмы IP MPLS VPN позволяют организовывать такие каналы с их работой по расписанию, что может существенно сократить плату за их содержание. Подобные каналы, в принципе, могут быть созданы и в любых образовательных учреждениях, в которых размещаются избирательные комиссии (в том числе, подключаемые к сети РТКОММ и по наземным каналам связи. В этом случае можно говорить о создании своеобразных, работающих по расписанию, региональных сетях доступа "ГАС Выборы", "наложенных" на образовательную сеть.

Рисунок 14 - Распределение узловых станций доступа.

77

Таким образом возможны два варианта доставки документов из УИК в труднодоступных школах в ТИК:

Доставка документа стандартными средствами сети Интернет (например, электронной почтой) на автономный компьютер и после контрольных операций перенос его на КСА ТИК с помощью дискеты.

Прямая доставка в КСА ТИК по IP MPLS маршруту (что требует подключения КСА ТИК к IP MPLS VPN РТКОММ).

СССПД Globalstar

8.3 Требования к каналам связи, используемым в ПСПД

8.3.1 Требования к каналам связи, используемым на направлениях связи ЦИК-ИКСРФ

8.3.1.1 Для каждой ИКСРФ должен обеспечиваться выделенный синхронный цифровой канал между КСА ИКСРФ (в административном центре субъекта) и КСА ЦИК.

Пропускная способность цифрового канала связи между КСА ЦИК и каждым из узлов ИКСРФ должна быть не менее 512 Кбит/сек.

8.3.2 Требования к каналам связи, используемым на направлениях связи КСА ИКСРФ - КСА ТИК

8.3.2.1 Требования к качеству каналов связи при использовании выделенных синхронных цифровых каналов связи.

Для каждого КСА ТИК должен обеспечиваться выделенный синхронный цифровой канал между узлом ТИК (в райцентре субъекта) и узлом РУК (в административном центре субъекта).

Пропускная способность цифрового канала между узлом РУК и каждым из узлов ТИК должна быть не менее 64 Кбит/с.

8.3.2.2 Требования к каналам связи при использовании пакетных сетей передачи данных (по технологиям IP-VPN, IP-VPN/MPLS).

Данная услуга предполагает построение оператором связи выделенной IP VPN сети для всех узлов ПСПД.

Минимальная гарантированная пропускная способность по направлениям КСА ТИК – КТС ПСПД РУК - не менее 64Кбит/с.

78

Сеть IP-VPN должна обеспечивать приоритетное обслуживания аудио трафика (real-time трафика) между КСА ТИК и КТС ПСПД РУК на основе механизмов IP QoS.

Сеть IP-VPN должна удовлетворять следующим основным требованиям:

− задержка прохождения пакетов - не более 150 мс в каждом направлении;

− неравномерность получения пакетов - не более 40 мс;− потери пакетов - не более 2%.8.3.2.3 Требования к каналам связи при использовании цифровых

каналов по технологии АТМ, Frame Relay. Для каждого КСА ТИК должен обеспечиваться постоянный выделенный виртуальный цифровой канал между узлом ТИК (в райцентре субъекта) и узлом РУК (в административном центре субъекта).

Каналы должны удовлетворять требованиям:− пропускная способность выделенного виртуального цифрового

канала между КТС ПСПД РУК и каждым из КСА ТИК не менее 64 Кбит/сек;

− задержка прохождения пакетов - не более 150 мс в каждом направлении;

− неравномерность получения пакетов - не более 40 мс;− потери пакетов - не более 2,25%.8.3.2.4 Требования к коммутируемым внутризоновым каналам

телефонной сети общего пользования, а также к сети передачи данных по протоколу Х.25.

Каналы должны удовлетворять требованиям:− пропускная способность коммутируемого внутризонового

канала между КСА ИКСРФ и каждым из КСА ТИК должна составлять не менее 10 кбит/сек;

− время задержки прохождения сигнала - не более 400 мс.

8.4 Резюме

8.4.1 Наилучшим решением для построения региональных фрагментов ПСПД является технология VPN MPLS, сочетающая в себе защищенность VPN на базе виртуальных каналов и гибкость VPN на базе общедоступной IP-сети.

79

8.4.2 Приемлемым решением для построения региональных фрагментов ПСПД являются сети VPN с поддержкой виртуальных каналов (Frame Relay, ATM) поскольку данные технологии обеспечивают надёжную защиту передаваемого трафика, при относительно-гарантированной пропускной способности.

8.4.3 Использование VPN в общедоступных IP-сетях является допустимым, только при условии предоставления оператором качества обслуживания (QoS) гарантирующего надежную передачу голоса (возможно видео). При этом, в связи с отсутствием надежной защиты передаваемого трафика особую актуальность приобретает использование СЗИ на КСА избирательных комиссий.

8.4.4 Аренда выделенных синхронных каналов связи является нежелательной. Несмотря на гарантированное качество передачи данных, аренда таких каналов, в России, как правило, требует размещения дополнительного оборудования на площадях оператора связи. В этом случае невозможно, в полном объеме, обеспечить требования по безопасности, в части защиты оборудования ПСПД ГАС «Выборы» от несанкционированного доступа.

8.4.5 Рекомендуется постепенно отказываться от использования в региональных фрагментах ГАС «Выборы» аналоговых сетей передачи данных, а также цифровых сетей X.25, поскольку указанные сети обладают низкими техническими характеристиками и, как правило, не позволяют использовать IP-телефонию.

8.4.6 В целях оснащения ТИК, находящихся в отдаленных или труднодоступных местностях, спутниковыми средствами связи может использоваться система спутниковой связи VSAT.

9 Технические предложения по использованию системы нештатного удалённого доступа и управления ГАС «Выборы».

80

9.1 Сегодня основные потребности администрирования оборудования реализованы через доступ по сети, с использованием протокола TCP/IP. Однако, до сих пор существуют тонкие места, где данный подход реализуется не полностью, не существует единого стандарта или это требует решения отдельной задачи, вне традиционных средств управления инфраструктурой с помощью таких систем управления как HP Open View, IBM Tivoli, Unicenter CA и других подобных. Вот эти возможные ситуации:

- доступ к портам RS-232 для перенастройки устройств и управления оборудованием, сетевые устройства, АТС, ИБП, сервера Unix ;

- доступ на уровень BIOS сервера, который невозможен с применением сетевых средств администрирования, так как доступ в BIOS реализуется до загрузки сервера в сеть;

- удаленная перезагрузка по питанию сервера в случае «зависания» ОС;

- удаленный доступ к несетевым программам, установленным на сервере;

-требуемый уровень безопасности данных не допускает привлечения для обслуживания сторонних организаций на местах;

При этом данные проблемы, даже при их небольшом видимом количестве возникают регулярно и являются причиной как простоев критичного оборудования, так и неэффективной работы IT-служб, вынужденной отвлекать ресурсы на затратные и длительные поездки к удаленным вычислительным узлам или заключать сервисные договора по обслуживанию такого рода с внешними организациями, что заведомо понижает информационную безопасность организации. Именно эти потери позволяют говорить об эффективности применения систем нештатного удаленного доступа для решения данной задачи или группы задач.

Также иногда таким решающим аргументом применения системы нештатного доступа является аспект информационной безопасности. Дело в том, что сегодня не любые действия ИТ-службы можно контролировать и протоколировать из центрального офиса, действия администраторов в ситуациях системных сбоев, как правило, никак не отслеживаются. В системе нештатного доступа ни один системный администратор не может что-либо сделать без протокола и регламента с использованием прав доступа к оборудованию и авторизации на каждую операцию. Подобное

81

протоколирование может выявить не только выявить нарушение системы безопасности, но также и отразить уровень некомпетентности специалиста.

По состоянию на сегодняшний день ведущими производителями оборудования для нештатного доступа являются компании Aten, Raritan и Avocent.

Обрудование производителей Aten, Raritan предназначено для небольших компаний и банков, и не предназначено для крупных корпоративных сетей. Данные производители не имеют единой системы управления из единого центра и имеют возможности управления удаленным системным администратом, поэтому они не могут применяться в крупных корпоративных сетях, управляемых из единого центра. Кроме того, производители Aten, Raritan не имеют представительства в России, а также не имеют единого локального центра сервиса и поддержки.

Оборудование Авосент занимает 80% пользователей крупных корпоративных сетей, ее ОЕМ обрудование используется крупнейшими производителями HP, IBM, Fujitsu-Siemens, Dell, APC.

Авосент имеет российское представительство, работающее в России более 5-ти лет.

Оборудование нештатного доступа Авосент имеет единую систему управления крупных корпоративных сетей и дополнительные возможности централизованного управления телекоммуникационного оборудования:

Система управления Авосент (DS View3) построена по технологии Hub и Spoke (по принципу, аналогичному распределению ролей контроллеров домена Microsoft Windows NT – Primary Domen Controller и Backup Domen Controller). Hub – центральнaя SQL-база данных, содержащая информацию о топологии сети, пользователях, их правах доступа, индивидуальных настройках каждого пользователя. Spoke – зеркальная реплика Hub, обновляющаяся в реальном времени. Такое построение ситемы управления придает дополнительную степень надежности, поскольку случае отказа центральной системы(Hub пользователь может работать через любой резервный центр(Spoke).

Аутентификация пользователя. Проводится при вводе индивидуальных пользовательских данных (user name & password) на предмет соответствия локальной базе данных или Active Directory, NT Domain, LDAP, RADIUS, TACACS;

Сертификация – выдача сертификата стандарта x509 на осуществление сессии работы 1 пользователя с одним устройством;

82

Организация соединения пользователя с удаленным устройством;SNMP Server – отправка SNMP traps по заданным событиям;SMTP Server – отправка e-mail по заданным событиям;Ведение log file – регистрация всех событий в специальном файле;Создание отчетов, экспортируемых в MS Excel;Создание макросов клавиатуры пользователей удаленных серверов;Поддержка интерфейса IPMI 1.5;Удаленная перезагрузка питания подключенных серверов;Шифрование передачи информации – DES, 3DES, 128 bit SSL или

SSH для serial ;Организация firmware upgrade всех подключенных устройств

Avocent по сети;Exit Macros – автоматическое завершение удаленных активных

сессий и закрытие открытых приложений при некорректном завершении сессии пользователем или разрыве соединения;

Поддержка функции Virtual Media:Возможность передачи файла на удаленный сервер непосредственно

со своего рабочего местаВозможность загрузки ОС удаленного сервера через USB 2.0 порт с

носителя, подключенного к локальному рабочему месту администратораВ связи с вышеизложенным можно сделать вывод о том, что

наилучшей платформой системы нештатного доступа, предназначенной для использования в ГАС «Выборы», является аппаратно-программная платформа Avocent, предоставляющая наиболее полные технические и функциональные возможности.

Применение аппаратно-программного комплекса нештатного управления ПСПД Avocent позволяет решить следующие задачи:

- не требуется подбор квалифицированных ИТ-специалистов на местах;

- отпадает необходимость держать квалифицированного специалиста рядом с региональными центрами и филиалами;

- существенно сокращается время, необходимое для определения неисправности и ее устранения, поскольку зачастую специалист должен выехать на место и только там выяснить причину неисправности;

- сокращается время критичного для функционирования ГАС «Выборы» простоя, что особенно важно во время проведения избирательных компаний;

83

9.2 Помимо этого указанная компания имеет ряд дополнительных организационных преимуществ:

а) Наличие квалифицированных российских специалистов и учебных центров. В Москве существует учебный центр для подготовки специалистов по работе с оборудование Авосент. Два раза в год производится бесплатное обучение партнеров и заказчиков приглашенными специалистами Авосент из головного офиса.

в) Сервисная поддержка. У компании Avocent существует глобальный центр технической поддержки, работающий 24 часа в сутки, 365 дней в году. Данный центр имеет 3 офисa, расположенных в разных часовых поясах, в которых работают более 50 специалистов со стажем 8-10 лет и которые готовы проконсультировать по любым вопросам. Подобного уровня поддержки у компаний-конкурентов просто не существует.

г) Соответвие Российскому законодательству. Компания Avocent периодически проводит сертификацию своей продукции в Минсвязи, ФСТЭК. Сертификация проходит в рамках сертификации единичных экземпляров и больших партий продукции. Заказчик может быть уверен в сертификации оборудования и предлагаемого решения.

9.3 В связи с вышеизложенным рекомендуем провести испытание на стенде Главного конструктора системы нештатного удалённого доступа и управления. По результатам испытания принять решение о целесообразности использования указанной системы в ГАС «Выборы».

Приложение 1

Состав телекоммуникационного оборудования КСА ЦИК

84

Наименование ПТС

Кол-во

Состав ПТСПримеча

ниеКод

производителяОписание ПТС

Кол-во

Маршрутизатор Cisco 2821 с ПО IP-шлюза

2

CISCO2821-V/K9

2821 Voice Bundle,PVDM2-32,SP Serv,64F/256D

1

PVDM2-32U64PVDM2 32-channel to 64-channel factory upgrade

1

PVDM2-64 64-Channel Packet Voice/Fax DSP Module 1

VWIC2-2MFT-T1/E1

2-Port 2nd Gen Multiflex Trunk Voice/WAN Int. Card - T1/E1

1

Маршрутизатор Cisco 3825 с ПО гейткипера

4

CISCO38253825 w/AC PWR, 2GE,1SFP, 2NME, 4HWIC, IP Base, 64F/256D

1

S382IVS-12423Cisco 3825 INT VOICE/VIDEO, IPIP GW, TDMIP GW

1

MEM3800-256U512D

256 to 512MB DRAM (single DIMM) Factory upgrade for 3800

1

FL-INTVVSRV-3825

Cisco 3825 Integrated VoiceVideo License: Gatekeeper IPIP GW

1

Кластер серверов

Cisco MCS-7825H3 с ПО CallManager

1

MCS7825H3-K9-CMC1

HW/SW MCS 7825-H3 Unified CM 7.0 Appliance

2

LIC-CM7.0-7825=

License CM 7.0 7825 Appliance, 1,000 seats

2

Лицензии на подключение к UCM 250 телефонов Cisco 7940

100 LIC-CM-DL-10 Unified CM Device License - 10 units 1

85

Коммутатор Cisco Catalyst 2960-24TT-L

3WS-C2960-24TT-L

Cisco Catalyst 2960 24 10/100 + 2 1000BT LAN Base Image (WS-C2960-24TT-L)

1

Маршрутизатор

Cisco7206 с ПО IOS

2

7206VXR/NPE-G2

7206VXR with NPE-G2 includes 3GigE/FE/E Ports and IP SW

1

PWR-7200/2Cisco 7200 Redundant AC Power Supply Option (280W)

1

PA-MC-STM-1MM

1 port multichannel STM-1multimode port adapter

1

PA-GE Gigabit Ethernet Port Adapter 1

CON-SNT-MCSTM1MM

8x5xNBD Svc, 1 port multichannel STM-1 multi mode

1

Маршрутизатор Cisco

2811 с модемным модулем на 16 портов

1

CISCO28112811 w/ AC PWR,2FE,4HWICs,2PVDMs,1NME,2AIMS,IP BASE,64F/256D

1

NM-16AM-V216 port Analog Modem Network Module with V.92

1

Сервер ЭП ДИОНИС

2

Аппаратная платформа RAMEC 4U (CPU 3,4Ghz, ОЗУ 1Gb, RAID 2x180, LAN 3x10/100)

1

Обновление программногно обеспечения ДИОНИС, включая операционную систему DiOS 1

Сервер ЭП Д ДИОНИС

1

Аппаратная платформа RAMEC 4U (CPU 3,4Ghz, ОЗУ 1Gb, RAID 2x180, LAN 3x10/100) 1

Программное обеспечения сервера электронной почты ДИОНИС

1

86

Сервер управления

ПСПД1

HP 470064-623 ProLiant

DL360R05 E5410

Rack1U XeonQC2.33Ghz(12Mb)/2x4Gb/E200iwBBWC(128Mb/RAID1/0/5)/2x146Gb10kHDD(4active(6w/P400i))SFF/DVDRWnoFDD/iLO2std/2xGigEth

CA SPECTRUM Network Fault Manager Standard Suite

CA SPECTRUM Network Fault Manager MPLS VPN Manager

CA SPECTRUM Network Fault Manager Service Manager

CA SPECTRUM Network Fault Manager Report Manager

CA SPECTRUM Network Fault Manager Data Manager with Report Gateway

CA SPECTRUM Network Fault Manager QoS Manager

Сервер управления

SDH1

Аппаратная платформа Sun Blade 150 1

программное обеспечение eNM Light Soft

1

ИБП Symmetra

3000VA Rack Mount

2Symmetra

3000VA Rack Mount

ИБП Symmetra 3000VA Rack Mount 1

87


Состав телекоммуникационного оборудования КСА ИКСРФ для сетей построенных согласно Схемам №1, №3 организации регионального

фрагмента

Наименование ПТСКол-

во

Состав ПТСПриме-чание

Код производите

ляОписание ПТС

Кол-во

Маршрутизатор CISCO3825 c ПО

МЭ Cisco IOS сертифицированное

ФСТЭК России

1

C3825-VSEC-CUBE/K9

3825 VSEC Bundle w/PVDM2-64,FL-CUBE-300,AVS,128F/512D

1

EVM-HD-8FXS/DID

High density voice/fax extension module - 8 FXS/DID

1

EM3-HDA-8FXS/DID

8-port voice/fax expansion module - FXS and DID

1

WIC-1T 1-Port Serial WAN Interface Card

1

HWIC-4ESWFour port 10/100 Ethernet switch interface card

1

Маршрутизатор CISCO2811

1

CISCO2811

2811 w/ AC PWR,2FE,4HWICs,2PVDMs,1NME,2AIMS,IP BASE,64F/256D

1

NM-8AM-V2или

NM-16AM-V2

8 Port Analog Modem Network Module with v.92

или16 port Analog Modem Network Module with V.92

1

Коммутатор CISCO Catalyst 2960 24

1WS-C2960-24-S

Catalyst 2960 24 10/100 LAN Lite Image

1

Сервер ЭП ДИОНИС

1

Аппаратная платформа RAMEC 4U (CPU 2Ghz, ОЗУ 1Гб, RAID 2x80, LAN 3x10/100)

1

Обновление программногно обеспечения ДИОНИС, включая операционную систему DiOS

1

88

Сервер ЭП Д ДИОНИС

1

Аппаратная платформа RAMEC 4U (CPU 2Ghz, ОЗУ 1Гб, RAID 2x180, LAN 3x10/100)

1

Программное обеспечения сервера электронной почты ДИОНИС

1

Источник бесперебойного

питания Smart UPS On-Line 1000VA, SNMP Network

MGMT Card Ex, rails

1

SURT1000XLI

Smart-UPS On-Line 1000VA Extended-run, Black, Rack/Tower convertible with PowerChute

1

AP9617

Network Management Card EX 10/100BaseT Auto-sensing LAN Connection

1

Модем ZyXEL U-336E Plus

1ZyXEL U-336E Plus

ZyXEL U-336E PLUS EXT 56K (RTL) Rus V.90 АОН

1

Модем ASMI-52 1

ASMI-52/V35/2W

RAD ASMI-52/V35/2W Advanced SNMP master SHDSL ,V35, 2W

1

Для 2-х проводной линии

(ASMI-52/V35/4W)

(RAD ASMI-52/V35/2W Advanced SNMP master SHDSL ,V35, 4W)

(для 4-х проводной линии)

Примечание: Для сетей организованных согласно Схеме № 2 организации

регионального фрагмента в состав ПСПД КСА ИКСРФ должно быть добавлено следующее оборудование:

1. Модем ASMI-52/V35/2W для двухпроводной линии или ASMI-52/V35/4W для четырехпроводной линии – 1 шт.

2. Модуль для маршрутизатора Cisco 3825: HWIC-1CE1T1-PRI (1 port channelized T1/E1 and PRI HWIC) – 1 шт., для подключения к региональному оператору связи по интерфейсу Е1, или вместо модуля HWIC-1T (1-Port Serial WAN Interface Card) должен устанавливаться модуль HWIC-2T (2-Port Serial WAN Interface Card), для подключения к региональному оператору связи по интерфейсу V.35.

Для сетей организованных согласно схеме № 5 в состав маршрутизатора Cisco 2811 добавляется модуль HWIC-1T (1-Port Serial WAN Interface Card).

89


Состав телекоммуникационного оборудования КСА ТИК для сетей организованных согласно Схеме №3 организации регионального

фрагмента

Наименование ПТС Кол-воСостав ПТС

Код производителя

Описание ПТС Кол-во

Маршрутизатор CISCO2811 c ПО

МЭ Cisco IOS сертифицированное

ФСТЭК России

1

C2811-VSEC/K9

2811 Voice Security Bundle,PVDM2-16,Adv IP Serv,64F/256D

1

HWIC-4ESWFour port 10/100 Ethernet switch interface card

1

VIC3-4FXS/DID

Four-Port Voice Interface Card - FXS and DID

1

Источник бесперебойного

питания Smart UPS On-Line 1000VA, SNMP Network MGMT Card

Ex, rails

1

SURT1000XLI

Smart-UPS On-Line 1000VA Extended-run, Black, Rack/Tower convertible with PowerChute

1

AP9617

Network Management Card EX 10/100BaseT Auto-sensing LAN Connection

1

Модем ZyXEL U-336E Plus 1

ZyXEL U-336E Plus

ZyXEL U-336E PLUS EXT 56K (RTL) Rus V.90 АОН

1

Примечание: Для выделенных цифровых каналов связи (Схемы № 1 и № 2

организации регионального фрагмента) в состав ПСПД КСА ТИК должно

90

быть добавлено следующее оборудование:1. Модуль для маршрутизатора Cisco 2811: HWIC-1T (1-Port Serial

WAN Interface Card) – 1 шт.2. Модем: ASMI-52/V35/2W (RAD ASMI-52/V35/2W Advanced

SNMP master SHDSL ,V35, 2W) – 1 шт.

91


Состав КТС ПСПД ТУК


Кол-во

Состав ПТСПримечаниеКод

производителяОписание ПТС

Кол-во

Маршрутизатор Cisco 3825 с

ПО гейткипера2

CISCO3825

3825 w/AC PWR, 2GE,1SFP, 2NME, 4HWIC, IP Base, 64F/256D

1

S382IVS-12423Cisco 3825 INT VOICE/VIDEO, IPIP GW, TDMIP GW

1

MEM3800-256U512D

256 to 512MB DRAM (single DIMM) Factory upgrade for 3800

1

FL-INTVVSRV-3825

Cisco 3825 Integrated VoiceVideo License: Gatekeeper IPIP GW

1

Маршрутизатор CISCO2821 с

SRST1

CISCO2821-SRST/K9

2821 Voice Bundle w/ PVDM2-32,FL-SRST-50,SP Serv,128F/256D

1

Маршрутизатор Cisco7206 с ПО

IOS2

7206VXR/NPE-G2

7206VXR with NPE-G2 includes 3GigE/FE/E Ports and IP SW

1

PWR-7200/2

Cisco 7200 Redundant AC Power Supply Option (280W)

1

PA-MCX-8TE18 port MIX-enabled multichannel T1/E1 with CSU/DSU

1

PA-2FE-TX

2-портовый Fast Ethernet 100Base TX Port Adapter

2

92

Примечание: В состав КТС ПСПД ТУК, расположенного в г. Новосибирске

должно быть добавлено следующее оборудование:1. Модуль для маршрутизатора Cisco 7206: PA-8T-V35 (8-Port Serial,

V.35 Port Adapter) – 1 шт.2. Кабель: CAB-OCT-V35-MT (8 Lead Octal Cable and 8 Male V35

DTE Connectors) – 1 шт.

93


Ориентировочный состав КТС ПСПД РУК


Кол-во

Состав ПТСПримечаниеКод

производителяОписание ПТС Кол-во

Маршрутизатор Cisco 3825

1

CISCO3825-SEC/K9

3825 Security Bundle,Advanced Security,64F/256D

1

NM-8CE1T1-PRI

8 port channelized T1/E1 and PRI network module

До 1

HWIC-1CE1T1-PRI

1 port channelized T1/E1 and PRI HWIC

До 4

HWIC-2CE1T1-PRI

2 port channelized T1/E1 and PRI HWIC До 4

HWIC-2T2-Port Serial WAN Interface Card До 4

HWIC-4T4-Port Serial HWIC До 4

CAB-SS-V35MT

V.35 Cable, DTE Male to Smart Serial, 10 Feet

По количеству

интерфейсов V.35

CAB-E1-RJ45BNC

E1 Cable RJ45 to Dual BNC (Unbalanced) До 1

Примечание: 1. В данной таблице указаны модули, которые могут

94

устанавливаться в маршрутизатор, в зависимости от специфики каналов регионального оператора связи.

2. Количество портов установленных на маршрутизаторе и их номенклатура подбираются в индивидуальном порядке для каждого региона и должны соответствовать количеству арендованных с этой целью каналов.

Documents

· Web viewЕдиный Installation-Wizard для установки системы. Средняя, требуется обязательная настройка и ... ИКСРФ