La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Roma, 12 aprile 2007 Sistema Pubblico di Connettività QXN (Qualified eXchange Network) Mauro Mascagna (Dir. Tecnico QXN s.c.p.a.) Meeting Consorzio NAMEX.

Presentazioni simili


Presentazione sul tema: "Roma, 12 aprile 2007 Sistema Pubblico di Connettività QXN (Qualified eXchange Network) Mauro Mascagna (Dir. Tecnico QXN s.c.p.a.) Meeting Consorzio NAMEX."— Transcript della presentazione:

1 Roma, 12 aprile 2007 Sistema Pubblico di Connettività QXN (Qualified eXchange Network) Mauro Mascagna (Dir. Tecnico QXN s.c.p.a.) Meeting Consorzio NAMEX – Roma 12 aprile

2 Pag 2 Qualified EXchange Network La società Gli obiettivi Gli obiettivi La rete La rete I servizi I servizi Gli sviluppi futuri Gli sviluppi futuri

3 Pag 3 Società Consortile per Azioni Costituzione: 10 luglio 2006 I Soci: Possibili futuri Soci : i Fornitori di servizi di connettività che: Siano iscritti negli elenchi di cui allart 11 del D.Lgs. 42/2005 Abbiano sottoscritto contratti di fornitura di servizi di connettività con la PA >= 1 M Abbiano sottoscritto laccordo parasociale La Società Consortile QXN La Società Consortile QXN (60%) (10%) (5%) (25%)

4 Pag 4 rete QXN di interconnessione Progettazione, Realizzazione, Esercizio ed Evoluzione della rete QXN di interconnessione tra le reti di tutti i Fornitori SPC Accesso ai servizi erogati da QXN (housing, porte di accesso, banda garantita) da parte di tutti i Fornitori SPC Medesime condizioni di accesso ai servizi sia ai Soci che agli altri Fornitori SPC Gli obiettivi

5 Pag 5 La centralità della Rete Network : QXN

6 Pag 6 La centralità della QXN Centralità nella gestione Centralità nella gestione Centralità nella tecnologia e nei servizi Centralità nella tecnologia e nei servizi Centralità nella sicurezza Centralità nella sicurezza Centralità negli sviluppi Centralità negli sviluppi

7 Pag 7 La centralità nella gestione La SC-QXN, attraverso il funzionamento dei suoi organi societari (CdA e Comitato Tecnico), costituisce un punto fondamentale di confronto ed aggregazione fra i Soci, con la partecipazione del CNIPA, ed al tempo stesso di coordinamento tra i fornitori SPC, costituendo quindi uno strumento di controllo e governo a disposizione del CNIPA, il quale, data la natura multifornitore del SPC, ha la necessità di svolgere una costante ed attenta azione di presidio e di indirizzo.

8 Pag 8 La centralità nella tecnologia e nei servizi Il ruolo centrale della QXN è insito nel fatto che essa costituisce un elemento nodale che abilita lo scambio di flussi informativi tra tutti i soggetti afferenti al SPC (i Fornitori SPC e le Amministrazioni Centrali e Locali), assicurando elevati livelli di qualità, sicurezza ed affidabilità di servizio. Al riguardo è da osservare che le reti dei primi Fornitori SPC, gli aggiudicatari della gara e soci di QXN, sono caratterizzate da tecnologie, qualità di servizi e strategie di sviluppo differenti fra loro ed è solo la presenza della QXN che ne consente unefficace integrazione, realizzando di fatto virtualmente ununica rete nellambito del SPC che assicura la fornitura di servizi di qualità uniforme alle PA utilizzatrici finali.

9 Pag 9 La centralità nella sicurezza SC-QXN ha realizzato gli impianti della rete QXN presso i siti del MIX (Milano) e Namex (Roma), curando specificamente gli aspetti di sicurezza in conformità con quanto previsto dal Capitolato Tecnico di Gara: sicurezza fisica dei siti per la sicurezza fisica dei siti sicurezza tecnica degli impianti per la sicurezza tecnica degli impianti, installando apparecchiature specializzate per proteggere il traffico dal rischio di intrusioni

10 Pag 10 La centralità negli sviluppi La QXN ben si presta inoltre per la realizzazione al suo interno di nuovi servizi centralizzati da mettere a disposizione delle Pubbliche Amministrazioni. Un primo caso, dintesa con il CNIPA, è stato già realizzato. Si tratta del servizio DNS SPC : tutti gli indirizzi di rete sono presenti nel sistema DNS che è parte integrante della QXN.

11 Pag 11 I servizi offerti (1) Interconnessione OPA Interconnessione OPA Interconnessione OPO Interconnessione OPO (solo tra Fastweb e gli altri fornitori assegnatari della Gara SPC) DNS SPC DNS SPC (sistema federato di DNS) Generazione tempo ufficiale SPC Generazione tempo ufficiale SPC (NTP server) Network Operation Center Network Operation Center (Gestione dei servizi con presidio dedicato h.24x365) DNS= Domain Name System NTP= Network Time Protocol

12 Pag 12 Traffico gestito dalla QXN Infranet – OPA*Infranet – tra PA differenti che aderiscono al contratto SPC (modalità OPA*), con fornitori SPC (Q-ISP) differenti; Intranet modalità OPO*Intranet – tra sedi di una stessa PA, in parte direttamente connesse al Q-ISP assegnatario di riferimento della PA (Wind / B.T./ T.I.) ed in parte connesse in modalità OPO* sulla rete del Q-ISP aggiudicatario (FASTWEB); Traffico da e verso RUPATraffico da e verso RUPA (attraverso il PIR), al fine di consentire la comunicazione tra le PA già migrate su SPC con le rimanenti ancora attestate alla RUPA OPA = Offerta per le Amministrazioni OPO = Offerta per gli Operatori

13 Pag 13 I servizi offerti – Interconnessione OPA Rete Fornitore SPC A Rete Fornitore SPC B NODO QXN ROMA ROMA MILANO MILANO BRqxn BRqxn BRqxn BRqxn PA m PA 1 PA 3 PA 2 INTERNET

14 Pag 14 Servizi Offerti – Interconnessione OPO FWQISP VPN PA1 (clt QISP) Sedi in OPA QXN ROMA QXN MILANO VLAN1 IP subnet1 (/30) VLAN2 IP subnet2 (/30) VLAN3 IP subnet3 (/30) VLAN4 IP subnet4 (/30) RM-Bropo-FWRM-BRopo-QISP RM-BRqxn1 RM-BRqxn2 MI-BRqxn1 MI-BRqxn2 MI-BRopo-QISP MI-BRopo-FW VPN PA1 (clt QISP) VPN PA1 (clt QISP) Sedi in OPO VPN PA1 (clt QISP)

15 Pag 15 Larchitettura della rete (1) Due nodiinterconnessi con link trasmissivi ad alta velocitàed affidabilità Due nodi - Roma e Milano - interconnessi con link trasmissivi ad alta velocità (2x100 Mbps SDH, scalabili fino a 1 Gbps) ed affidabilità (ridondanza di apparati e differenziazione dei percorsi trasmissivi) Ogni nodo è composto: una coppia di router Cisco 7609 una coppia di router Cisco 7609 (BRqxn – Border Routers QXN) interconnessi tra loro e verso la coppia di BRqxn del nodo remoto; sistema di sonde (Cisco 2811) un sistema di sonde (Cisco 2811) per la rilevazione dei parametri di qualità della rete (One Way Delay, Packet Loss); sistemi di Firewall e Intrusion Detection System sistemi di Firewall e Intrusion Detection System a protezione della sicurezza logica delle informazioni che transitano attraverso la QXN infrastrutture (rack) per housing infrastrutture (rack) per housing degli apparati dei fornitori in housing Gli apparati (BR – Border Routers) con cui i fornitori SPC interconnettono le proprie reti alla QXN sono colocati in housing allinterno delle infrastrutture (rack) predisposte da SC-QXN nei due nodi di Roma e Milano

16 Pag 16 Larchitettura della rete (2) Rete Fornitore SPC A Rete Fornitore SPC B NODO QXN ROMA ROMA MILANO MILANO BRqxn BRqxn BRqxn BRqxn PA 2 PA n PA m PA 1 RUPA PIR AS QXN41407 AS QXN = Range IP: / / / /24 AS QXN41407 AS QXN = Range IP: / / / /24 INTERNET INTERNET

17 Pag 17 Le caratteristiche della QXN Nodi dislocati presso i NAP (Neutral Access Point) di Roma (NAMEX) e Milano (MIX) Nodi dislocati presso i NAP (Neutral Access Point) di Roma (NAMEX) e Milano (MIX) Elevati livelli di Sicurezza Elevati livelli di Sicurezza (fisica e logica) della rete Service Level Agreement (SLA) Disponibilità = 99,99% Tempo di attraversamento della rete (OWD) <= 20 Ms Percentuale di Perdita di pacchetti (PL) <= 0,05% Regole tecniche per linterconnessione Regole tecniche per linterconnessione alla rete dei Q-ISP Piano di realizzazione: Piano di realizzazione: pronto al collaudo entro aprile2007 Avvio esercizio prevedibile da giugno 2007

18 Pag 18 Routing sulla QXN Simmetricità del traffico che attraversa la QXNSimmetricità del traffico che attraversa la QXN Ciascun Q-ISP deve garantire che il traffico generato o diretto verso una PA (o un gruppo di PA) attestata sulla propria rete venga consegnato/ricevuto sempre presso un unico nodo QXN (es. Roma o Milano). Impiego di CommunitiesImpiego di Communities per definire la priorità degli annunci BGP dei prefissi delle PA sulla QXN Bilancianciamento del trafficoBilancianciamento del traffico allinterno di ciascun nodo del QXN tra BRqx e la coppia di BRQXN; Il traffico proveniente dalla rete del Q-ISP viene bilanciato (per sessione) dal BRqx su entrambi i BRQXN di ciascun nodo Routing BGPRouting BGP Internal BGP fully-meshedInternal BGP fully-meshed tra i 4 BRQXN distribuiti sui due nodi di Roma e Milano; External BGPExternal BGP tra i BRQXN e i BRQx di ciascun Q-ISP; lAS del QXN funge da transitolAS del QXN funge da transito per gli AS dei Q-ISP afferenti al QXN; ciascun Q-ISP si presenterà verso QXN con il proprio AS

19 Pag 19 Routing sulla QXN Communities BGPCommunities BGP Per determinare univocamente verso quale BRqx debba essere instradato il traffico proveniente dalla rete QXN (originato dalle PA afferenti agli altri Provider), i BRqx di ciascun Q-ISP devono annunciare i propri aggregati con communities diverse, determinandone univocamente il percorso preferenziale. garantire la simmetria del traffico allinterno della QXN.Indispensabili per garantire la simmetria del traffico allinterno della QXN. ASn_QXN:LPUtilizzate allinterno dei nodi QXN con il seguente formato: ASn_QXN:LP Dove: ASn_QXNASn_QXN corrisponde allAS number del QXN (AS 41407). LPLP corrisponde al valore della Local Preference settata allinterno del QXN per lannuncio specifico (LP = 130; LP = 120; LP = 110). community 41407:130 = Setta la LP a 130 allinterno del QXNcommunity 41407:130 = Setta la LP a 130 allinterno del QXN community 41407:120 = Setta la LP a 120 allinterno del QXNcommunity 41407:120 = Setta la LP a 120 allinterno del QXN community 41407:110 = Setta la LP a 110 allinterno del QXNcommunity 41407:110 = Setta la LP a 110 allinterno del QXN community 41407:100 = Setta la LP a 100 allinterno del QXNcommunity 41407:100 = Setta la LP a 100 allinterno del QXN no community = DROP del trafficono community = DROP del traffico I Q-ISP hanno visibilità delle communities associate agli annunci provenienti dagli altri Q- ISP tramite QXN, poiché questultima gira senza modificare le communities BGP ricevute.

20 Pag 20 Routing sulla QXN – interconnessione OPA Rete Fornitore SPC A Rete Fornitore SPC B NODO QXN ROMA ROMA MILANO MILANO BRqxn BRqxn BRqxn BRqxn Prefix sede PA1 LP100 Prefix sede PA1 LP110 PA 1 Prefix sede PA1 LP120 Prefix sede PA1 LP130 PA 2 X X X Prefix sede PA2 LP130 Prefix sede PA2 LP120 Prefix sede PA2 LP110 Prefix sede PA2 LP100 X

21 Pag 21 Routing sulla QXN – scenari di fault (interconnessione OPA) Funzionamento normaleFunzionamento normale Ciascun nodo QXN funge da master per un pool di reti (aggregati /24 o meno specifici) e da backup o eventualmente Disaster Recovery per altre. Il traffico proveniente da ciascun Q-ISP è bilanciato dai BRQx verso entrambi i BRQXN, i quali, lo instradano verso il BRQx di destinazione. Indisponibilità dellintero nodo QXN principaleIndisponibilità dellintero nodo QXN principale Tutto il traffico Infranet, tra due o più PA afferenti a Q-ISP differenti, passa sul nodo QXN secondario. Il reinstradamento del traffico è soggetto ai tempi di convergenza dei backbone di ciascun Provider. Guasto di entrambi i BRQx del Q-ISPA afferenti al nodo QXN principaleGuasto di entrambi i BRQx del Q-ISPA afferenti al nodo QXN principale Il traffico in uscita dal Q-ISPA, previa riconvergenza del routing BGP intra Provider, è reinstradato verso i BRQx attestati al nodo QXN di backup e, da questi, è bilanciato verso la coppia di BRQXN; il traffico in uscita dagli altri Q-ISP, destinato alle PA assegnate al Q-ISPA, segue il percorso normale fino alla coppia di BRQXN del nodo principale, in funzione della soluzione di bilanciamento Intra-Provider scelta; da questi, è instradato verso la coppia di BRQXN sul nodo di backup, i quali lo inoltrano sul BRQx di destinazione.

22 Pag 22 Routing sulla QXN – scenari di fault -(interconnessione OPA) (2) Guasto di un BRQXNGuasto di un BRQXN Il traffico viene instradato dai BRQx verso laltro BRQXN, senza alcuna riconvergenza. Guasto di un BRQx del Q-ISPAGuasto di un BRQx del Q-ISPA solo il traffico in uscita dal Q-ISPA, per il quale il BRQx guasto è il gateway principale, è affetto dal disservizio. Tale traffico, previa riconvergenza del routing BGP intra Provider, è reinstradato sullaltro BRQx del Q-ISPA e da questo è bilanciato sulla coppia di BRQXN, i quali, inoltrano sul BRQx di destinazione. Guasto di un link tra il BRQx del Q-ISPA un BRQXNGuasto di un link tra il BRQx del Q-ISPA un BRQXN Il traffico in uscita dal Q-ISPA, che attraversa il BRQx affetto dal disservizio, è instradato solo verso il BRQXN raggiungibile, senza alcuna riconvergenza; il traffico in uscita dal Q-ISPA, che attraversa laltro BRQx, non è in alcun modo affetto da tale disservizio. Guasto contemporaneo del BRQx del Q-ISPA e di un BRQXNGuasto contemporaneo del BRQx del Q-ISPA e di un BRQXN solo il traffico in uscita dal Q-ISPA, per il quale il BRQx guasto è il gateway principale, è affetto dal disservizio. Tale traffico, previa riconvergenza del routing BGP intra Provider, è reinstradato sullaltro BRQx del Q-ISPA e da questo è inoltrato verso lunico BRQXN disponibile, il quale lo inoltra verso il BRQx di destinazione.

23 Pag 23 Servizi Offerti – Interconnessione OPO FWQISP VPN PA1 (clt QISP) Sedi in OPA QXN ROMA QXN MILANO VLAN1 IP subnet1 (/30) VLAN2 IP subnet2 (/30) VLAN3 IP subnet3 (/30) VLAN4 IP subnet4 (/30) RM-Bropo-FWRM-BRopo-QISP RM-BRqxn1 RM-BRqxn2 MI-BRqxn1 MI-BRqxn2 MI-BRopo-QISP MI-BRopo-FW VPN PA1 (clt QISP) VPN PA1 (clt QISP) Sedi in OPO VPN PA1 (clt QISP)

24 Pag 24 Routing sulla QXN – interconnessione OPO BRopoIl fornitori SPC si interconnettono alla QXN mediante apparati denominati BRopo che possono essere, o meno, fisicamente distinti dai BRqx utilizzati per linterconnessione OPA; porte di interconnessione alla QXN fisicamente distinteI BRopo utilizzano porte di interconnessione alla QXN fisicamente distinte da quelle utilizzate per linterconnessione OPA I BRqxn operano ai fini OPO come L2 switches.Linterconnessione tra i BRopo di ciascun QISP assegnatario (Wind, British Telecom, Telecom Italia) e il BRopo del Q-ISP aggiudicatario (FastWeb) non è diretta, ma realizzata tramite i BRqxn della rete QXN, utilizzando sempre tecnologia Ethernet. I BRqxn operano ai fini OPO come L2 switches. modalità trunk (IEEE 802.1q)Il collegamento è configurato in modalità trunk (IEEE 802.1q) per il trasporto di un numero di VLAN pari al numero di PA che richiedono connettività Intranet in accordo con lofferta OPO. possibilità di monitoraggio e visibilità del traffico OPO delimitare univocamente il confine di ciascun operatoreTale modalità di interconnessione offre la possibilità di monitoraggio e visibilità del traffico OPO da parte CNIPA ai fini della misurazione degli SLA, oltre a delimitare univocamente il confine di ciascun operatore alla porta del BRqxn.

25 Pag 25 Routing sulla QXN - Interconnessione OPO FWQISP PA1 (clt QISP) VPN1 -Sede A (in opo) PA1 (clt QISP) VPN1 - Sede B QXN ROMA QXN MILANO VLAN1 IP subnet1 (/30) VLAN2 IP subnet2 (/30) VLAN3 IP subnet3 (/30) VLAN4 IP subnet4 (/30) RM-Bropo-FWRM-BRopo-QISP RM-BRqxn1 RM-BRqxn2 MI-BRqxn1 MI-BRqxn2 MI-BRopo-QISP MI-BRopo-FW VLAN : assegnate da QXN IPsubnet : assegnate da QISP Nodo principale di interconnessione Nodo di back-up di interconnessione X X

26 Pag 26 Architettura di rete – network & SLA management Sonda

27 Pag 27 Sistema di misurazione SLA

28 Pag 28 Il DNS SPC sistema federato di DNSE un sistema federato di DNS costituito da: DNS delle PA connesse ad SPCDNS delle PA connesse ad SPC DNS dei fornitori SPCDNS dei fornitori SPC DNS QXNDNS QXN Lobiettivo è quello di fare in modo che tutto il traffico inerente alla risoluzione dei domini delle PA appartenenti ad SPC resti confinato allinterno di SPC stesso. In questo modo si assicura un elevato livello di sicurezza alle applicazioni che le PA intendono esporre solo in ambito SPC (es. protocollo informatico) e che utilizzano domini e/o host che non devono essere raggiunti, nè debbono essere visibili da soggetti esterni ad SPC.

29 Pag 29 DNS SPC – il modello di funzionamento I singoli DNS delle PA I singoli DNS delle PA, interni o in hosting presso loperatore (QISP), replicano tutte le proprie zone verso un DNS (DNS QISP dedicato alle PA) che i QISP mettono a disposizione per le PA a loro collegate sono configurati per avere come forwarder il DNS che il rispettivo QISP ha dedicato alle PA I DNS istituzionali dei QISPI DNS istituzionali dei QISP espongono le zone pubblichedelle PA su Internet I DNS dei QISP dedicati alle PAI DNS dei QISP dedicati alle PA sono slave dei DNS delle PA afferenti al QISP sono autoritativi per tutti i domini delle PA afferenti al QISP replicano tutte le zone delle PA di loro pertinenza sul DNS QXN sono configurati per avere il DNS QXN come forwarder Il DNS QXNIl DNS QXN : È slave di tutti i DNS dei QISP dedicati alle PA E autoritativo per tutti i domini di tutte le PA connesse ad SPC È collegato via Internet ai root nameserver per permettere la risoluzione dei domini non appartenenti a PA connesse ad SPC (ma non risponde a query provenienti da Internet) Tutte le query DNS generate da una PA rimangono così confinate nellambito SPC ed in particolare interessano il DNS QXN se:Tutte le query DNS generate da una PA rimangono così confinate nellambito SPC ed in particolare interessano il DNS QXN se: sono relative alla risoluzione di un dominio di PA connesse ad altri QISP; sono relative a domini non SPC.

30 Pag 30 Internet QXN ISP 1 ISP 2 PA 1PA 2PA 3 DNS_QISP1_PA (dedicato alle PA) DNS_QISP2_PA (dedicato alle PA) DNS PA DNS_QXN Slave Replica zone Query DNS client PA 3 per Consultazione www PA 1 Query DNS client internet DNS QISP1 DNS QISP2 Replica zone PA esposte su Internet Risoluzione Query DNS client per Risoluzione Consultazione DNS SPC – il modello di funzionamento (2)

31 Pag 31 Gli utilizzatori dei servizi Attuali Fornitori assegnatari della Gara SPC (BT, TI, Wind, Fastweb) CG-SPC Prossimi NIV Centro Coop. Applicazione Futuri Fornitori di servizi di connettività e sicurezza qualificati e certificati (elenchi art. 11 DL 42/2005) Estensione dellaccesso alle PAL ed alle Reti Territoriali (QCN : Qualified Community Networks)


Scaricare ppt "Roma, 12 aprile 2007 Sistema Pubblico di Connettività QXN (Qualified eXchange Network) Mauro Mascagna (Dir. Tecnico QXN s.c.p.a.) Meeting Consorzio NAMEX."

Presentazioni simili


Annunci Google