PREMESSA 1. PAL IN FIBRA OTTICA 1.1. Interfacce dati

ALLEGATO TECNICO
SERVIZI DI ACCESSO ALLA RETE LEPIDA
PREMESSA
Il presente allegato tecnico descrive le modalità di accesso alla rete Lepida e le tipologie di servizi
accessori che LEPIDA S.p.A. concede al CLIENTE in virtù del contratto per i servizi di accesso
alla rete privata a banda larga delle Pubbliche Amministrazioni “Lepida”.
Nel documento sono altresì riportati i livelli di servizio che LEPIDA S.p.A. garantisce al CLIENTE
in virtù delle Convenzioni di Servizio attualmente in vigore e stipulate dalla Regione EmiliaRomagna con le Aziende Multiservizi per la gestione della rete Lepida nei territori di competenza.
I livelli di servizio garantiti sulla rete Lepida saranno oggetto di ridefinizione alla scadenza delle
Convenzioni di Servizio sopra citate.
L’accesso alla rete privata a banda larga delle Pubbliche Amministrazioni “Lepida” può essere
fornito al CLIENTE secondo diverse modalità tecnologiche.
Nei paragrafi che seguono vengono dettagliate le caratteristiche tecniche dei punti di accesso locale
(PAL) in fibra ottica e HDSL con i rispettivi livelli di servizio.
1. PAL IN FIBRA OTTICA
1.1. Interfacce dati
La rete Lepida è realizzata in fibra ottica monomodale (rispondente allo standard ITU-T G 652 B).
LEPIDA S.p.A. rende disponibili, presso i PAL in fibra ottica, servizi dati erogati tramite interfacce
ethernet standard IEEE 802.3, alla velocità nominale di 100 o 1000 Mbit/s, in funzione della banda
disponibile sul PAL, con una delle seguenti interfacce fisiche:
•
100baseTX, connettori RJ45.
•
1000baseLX/SX/ZX, connettori SC-PC,o SC-LC;
•
100/1000baseTX, con connettore RJ45 su specifica richiesta del CLIENTE.
Le interfacce 100baseTX vengono di norma configurate full-duplex, ma in casi particolari possono
essere richieste con configurazione half-duplex o autonegoziante, eventualmente anche per quanto
riguarda la velocità. Le interfacce 1000baseLX/SX/ZX sono sempre in modalità full-duplex.
1/9
LEPIDA S.p.A. rende disponibili per ciascun punto di accesso locale il numero di interfacce dati
indicato nella seguente tabella:
Tipo punto di accesso
100baseTX
PAL primario
1000baseLX
o
1000baseTX
4
PAL secondario
4
-
PAL End-Point
3
-
Il CLIENTE richiederà a LEPIDA S.p.A. la configurazione di una o più interfacce, secondo le
proprie esigenze, attraverso l’invio della relativa modulistica.
Ogni interfaccia potrà essere configurata su connettività IP on-net oppure su servizi di Rete Privata
Virtuale (VPN) a livello 2, oppure ancora per servizi di connettività VPN IP a livello 3 (vedi
paragrafo 3).
Il CLIENTE potrà richiedere a LEPIDA S.p.A. interfacce situate presso il punto di accesso,
aggiuntive rispetto a quanto previsto nella tabella sopraindicata; o interfacce remotizzate all’interno
della propria sede o area di competenza. Le condizioni economiche delle interfacce aggiuntive
saranno oggetto di specifica proposta da parte di LEPIDA S.p.A. al CLIENTE.
La banda complessiva messa a disposizione del CLIENTE sul PAL andrà distribuita, in modo
coerente con le necessità dell’ente, tra le varie interfacce da configurare, così come l’eventuale
banda Internet garantita.
1.2. Livelli di servizio PAL in fibra ottica
I servizi di connettività IP on-net, VPN livello 2 e 3 sono caratterizzati da obiettivi (micro) di
servizio comuni, illustrati nelle prossime tabelle.
Obiettivi di servizio micro per interfacce con connettività IP on-net e VPN L2 e L3
Parametro
Obiettivo
Tasso di perdita datagrammi
< 0,1%
Banda garantita
> 90% della banda configurata per l'interfaccia
2/9
Obiettivi di servizio (macro) per tutte le interfacce dei PAL in fibra ottica
Tipo
Parametro
Definizione
Obiettivo
1
Tempo
indisponibilità
dell'interfaccia
2
Tempo risoluzione L'interfaccia è in disservizio Nei capoluoghi di provincia
disservizio
quando il tasso di perdita < 2 ore solari nel 95% dei casi e
datagrammi o la banda garantita ad esclusione dei guasti sui
non rientrano nei parametri portanti di rilegamento e di
previsti, come segnalato dal NOC interconnessione
o dall'utente tramite help desk.
< 6 ore solari in tutti i casi
di L'interfaccia è disponibile quando Nei capoluoghi di provincia:
il tasso di perdita datagrammi e la < 6 ore solari/anno (disponibilità
banda garantita rientrano nei 99,93%)
parametri previsti.
Nelle altre aree comunali:
<
10
ore
solari/anno
(disponibilità 99,89%)
Nelle altre aree comunali:
< 3,5 ore solari nel 95% dei casi e
ad esclusione dei guasti sui
portanti di rilegamento, di
interconnessione e di dorsale non
ridondati
< 10 ore solari in tutti i casi
1.3. Manutenzione programmata
Le operazioni di manutenzioni programmate sulle apparecchiature e sugli impianti fuori dalle sedi
degli utenti e dai punti di accesso locali, con conseguente disservizio, saranno eseguite nella fascia
oraria dalle 0:00 alle 6:00, dietro preavviso di almeno 3 giorni lavorativi al CLIENTE, ed avendo
cura di evitare notti associate a particolari eventi di rilevanza per i CLIENTI stessi (elezioni, etc).
Operazioni di manutenzione programmata nelle sedi degli utenti e nei PAL dovranno essere
concordate con il CLIENTE interessato.
Ciascuna interfaccia non potrà essere interessata da più di 3 interventi di manutenzione
programmata per ciascun anno solare.
1.4. Variazioni di configurazione
Il CLIENTE potrà richiedere a LEPIDA S.p.a., variazioni delle configurazioni dei servizi dati
realizzati in fase iniziale, rimanendo nell'ambito dei servizi dati descritti in questo allegato.
I CLIENTI potranno richiedere fino a due di questi cambi di configurazione per ciascun anno solare
per ciascuna interfaccia ethernet della rete.
3/9
I costi relativi alle richieste superiori alle due per interfaccia per anno saranno a carico del
CLIENTE. Ulteriori richieste di implementazioni che esulano dai servizi dati qui descritti verranno
valutate in base alla complessità ed al tempo di realizzazione necessario.
2. PAL HDSL
2.1. Interfacce dati
In questo caso il CLIENTE viene connesso alla Rete privata delle Pubbliche Amministrazioni
tramite un collegamento HDSL oppure SHDSL a 2Mb/s, realizzato tra la rete di raccolta di un
operatore di telecomunicazioni e la rete Lepida.
I parametri prestazionali garantiti su ciascun accesso HDSL o SHDSL verso la rete Lepida sono:
-
MCR (Banda minima garantita): 1 Mbps;
-
PCR (Banda di picco): superiormente limitato dalla velocità fisica della porta (2
Mbit/s). Il PCR è accessibile solo se disponibile e non viene garantito.
Il servizio HDSL è consegnato presso la sede del CLIENTE completo di modem.
Il servizio prevede inoltre la fornitura di un apparato di routing connesso al modem HDSL,
installato in sede d’utente, gestito e mantenuto.
2.2. Servizi Dati
Il CLIENTE avrà a sua disposizione sul router una sola interfaccia ethernet standard IEEE 802.3, di
tipo 100baseTX, con connettori RJ45.
Su questa interfaccia potranno essere erogati servizi di connettività IP on net, o anche connettività
verso VPN di livello 2 o 3 (vedi paragrafo 3).
2.3. Servizio di back up ISDN
Il servizio di back up in modalità ISDN è un servizio opzionale, che interviene automaticamente in
caso di indisponibilità del collegamenti HDSL. Il reinstradamento del traffico risulta del tutto
trasparente al CLIENTE, fatta eccezione per la velocità del collegamento. Non appena il
collegamento è ristabilito a normale funzionamento, il router automaticamente abbatte la
connessione di back up ed instrada nuovamente il traffico sulla porta principale HDSL. La linea
ISDN presso la sede d’utente e il costo dell’eventuale traffico telefonico ISDN di back up,
dipendente dalla durata della connessione, sono a carico del CLIENTE.
4/9
2.4. Livelli di servizio PAL HDSL
Il servizio HDSL è caratterizzato dagli obiettivi "micro" di servizio, che definiscono i criteri
secondo i quali il collegamento viene ritenuto funzionante oppure no, illustrati nella prossima
tabella.
Obiettivi di servizio "micro" per interfacce HDSL
Parametro
Obiettivo
Tasso di perdita datagrammi
< 0,2%
Banda garantita
> 900 kbit/s
Il collegamento è funzionante quando ambedue i parametri della tabella 1 rientrano nei limiti
previsti.
Obiettivi di servizio macro per il servizio di collegamento via xDSL
Parametro
Obiettivo
Disponibilità media annua unitaria del singolo accesso, (da >=99,95 % su anno solare
router al punto di interconnessione alla Rete privata delle
Pubbliche Amministrazioni)
Tempo di ripristino del servizio dalla segnalazione all’help desk < 8 ore nell’85% dei casi
Eccedenza rispetto al tempo di ripristino sull’intera rete
5/9
< 2 ore * numero di
terminazioni
attive
(compresa
l'interconnessione) su anno
solare
3. SERVIZI FORNITI SULLA RETE LEPIDA
3.1. Connettività IP on-net
Il servizio consiste nel rendere visibile, tramite il protocollo IP, la sede d'utente in cui si trova il
PAL a tutte le altre sedi d'utente della Rete privata delle Pubbliche Amministrazioni che siano
collegate a interfacce analogamente configurate per connettività IP on-net. La totalità di queste
interfacce così configurate costituisce la Community Network delle Pubbliche Amministrazioni
dell'Emilia-Romagna (CN-ER), ai sensi del Sistema Pubblico di Connettività (SPC). Attraverso la
CN-ER gli enti possono accedere alla rete Internet o pubblicare su di essa servizi a disposizione del
pubblico.
Nel caso la banda Internet fornita sul PAL non fosse sufficiente per le esigenze dell’ente, il
CLIENTE potrà richiedere a LEPIDA S.p.A. banda aggiuntiva. Le condizioni economiche della
banda aggiuntiva saranno oggetto di specifica proposta da parte di LEPIDA S.p.A. al CLIENTE.
Analogamente, attraverso la connettività IP on-net ciascuno degli enti potrà accedere ai servizi
pubblicati su SPC da altri enti pubblici ad essa connessi, o pubblicare servizi d’interesse di altre
pubbliche amministrazioni connesse ad SPC.
3.1.1. Configurazione delle interfacce e connettività
Le interfacce su IP on-net vengono configurate con una sottorete di numerazione IP pubblica
assegnata da LEPIDA S.p.A., con funzionalità di solo routing, senza alcuna funzionalità di
switching di livello 2.
La rete esegue traduzioni di tipo NAT/PAT solo negli apparati d'utente e previa richiesta a LEPIDA
S.p.A. da parte del CLIENTE. I singoli CLIENTI sono incoraggiati a dotarsi di firewall per gestire
autonomamente le politiche di sicurezza e le traduzioni NAT/PAT.
LEPIDA S.p.a. fornisce, su ogni interfaccia configurata per connettività IP, servizi volti a eliminare
la falsificazione (spoofing) degli indirizzi IP di sorgente. In particolare:
•
i datagrammi trasmessi dall'utenza su una interfaccia della rete, aventi indirizzi IP di
mittente che non ricadono nello spazio assegnato a tale interfaccia, vengono scartati;
•
Inoltre:
•
i datagrammi trasmessi da altre entità collegate alla rete (Centro servizi, Internet, ecc.)
ed aventi indirizzi IP di mittente che risultano assegnati ad altre interfacce, oppure
indirizzi privati come da RFC 1918, vengono scartati.
i datagrammi destinati ad indirizzi privati come da RFC 1918 vengono sempre scartati.
3.1.2 Spazio di indirizzamento IP
LEPIDA S.p.A. assegnerà al CLIENTE gli indirizzi per connettività IP all’interno dell’Address
Space assegnato alla CN-ER.
6/9
Su richiesta del CLIENTE è possibile la suddivisione dello spazio di indirizzamento di
un'interfaccia in più sottoreti IP, con l'impostazione di route statiche dirette verso apparati del
CLIENTE (ad esempio per la realizzazione di DMZ con numerazione pubblica, oppure per la
suddivisione degli indirizzi tra più entità ricondotte alla stessa interfaccia fisica). Tale suddivisione
dovrà rispettare le consuete regole per il subnetting IP.
Il DNS inverso per lo spazio di numerazione assegnato sarà gestito da LEPIDA S.p.A., oppure sarà
delegato al CLENTE, su sua richiesta, con la tecnica della RFC 2317.
Gli indirizzi IP possono essere cambiati, previo accordo con il CLIENTE, su motivata richiesta da
parte di LEPIDA S.p.A.
3.1.3. Connettività verso Internet
Il servizio consiste nel servizio di connettività IP on-net, precedentemente descritto, con l'aggiunta
di una banda garantita da e verso Internet, sia nazionale che internazionale, assegnata all'interfaccia
in oggetto.
Il servizio consiste nell'accesso da e verso la rete Internet, sia nazionale che internazionale, dai punti
di gateway alla rete Lepida.
La connettività verso Internet viene caratterizzata da una banda garantita, simmetrica e full-duplex
nelle due direzioni.
Il CLIENTE potrà richiedere a LEPIDA S.p.A. banda Internet aggiuntiva rispetto a quanto già
fornito sul PAL. Le condizioni economiche della banda aggiuntiva saranno oggetto di specifica
proposta da parte di LEPIDA S.p.A. al CLIENTE.
I CLIENTI indicheranno a LEPIDA S.p.A: come effettuare la ripartizione della banda Internet tra
quelle interfacce del punto di accesso che sono configurate per connettività IP on-net. In ogni caso
la banda Internet viene garantita a ciascuna interfaccia, ma non è allocata in modo stretto e rigido,
nel senso che quando una interfaccia non usa la tutta la banda Internet ad essa garantita tale banda
può essere utilizzata dalle altre interfacce della rete, sia da quelle nello stesso punto di accesso che
anche da altre interfacce della rete in fibra ottica. La banda Internet assegnata ad un punto di
accesso fa parte della banda garantita assegnata tra quel punto di accesso e la dorsale. Non va quindi
ad incrementare la banda garantita dal punto di accesso alla dorsale.
I CLIENTI potranno scegliere di non configurare nessuna interfaccia del PAL per accesso ad
Internet.
3.2. Servizi di Rete Privata Virtuale (VPN) a livello 2
Il servizio consiste nella connettività ethernet trasparente a livello 2 tra un insieme di interfacce.
L'interfaccia è configurata come una porta di bridge, che riceve e trasmette trame ethernet da e
verso l'utenza collegata, inoltrando le trame da e verso le altre porte in base agli indirizzi MAC di
mittente e destinatario secondo l'algoritmo del bridge IEEE 802.1d.
Ciascuna interfaccia configurata in questo modo fa parte di una VPN (rete privata virtuale), ossia un
gruppo chiuso di utenti. Ogni interfaccia appartiene ad una sola VPN, non sono implementate
soluzioni con VPN sovrapposte.
Una stessa VPN può avere più interfacce nello stesso punto di accesso o anche in diversi punti di
accesso, e può avere interfacce a diverse velocità. L'algoritmo del bridge IEEE 802.1d viene
eseguito separatamente per ciascuna VPN, le trame vengono inviate solo tra interfacce che
appartengono alla stessa VPN e gli indirizzi MAC hanno significato solo nell'ambito della VPN cui
7/9
appartiene l'interfaccia (è quindi possibile utilizzare lo stesso MAC in VPN distinte in modo del
tutto indipendente).
Non è quindi possibile alcuna comunicazione diretta a livello ethernet tra interfacce associate a
distinte VPN di livello 2, né tra tali interfacce e interfacce configurate in altro modo. La
comunicazione è possibile ai livelli superiori con i servizi aggiuntivi di firewall.
L'algoritmo IEEE 802.1d prevede che il bridge memorizzi l'associazione tra indirizzi MAC e
l'interfaccia fisica. La rete memorizzerà 5 indirizzi MAC per ciascuna interfaccia fisica. Il
CLIENTE potrà quindi collegare 5 distinti apparati in visibilità MAC all'interfaccia così
configurata.
Ciascuna interfaccia trasmette e riceve trame ethernet prive di tag 802.1q. Non è definito il
comportamento dell'interfaccia in caso di ricezione di trame con tag 802.1q.
Le VPN a livello 2 non devono essere usate dall'utenza per estendere domini Spanning Tree tra
diverse sedi. Le interfacce configurate come VPN di livello 2 non trasmettono BPDU verso l'utenza
ed il loro comportamento in caso di ricezione di BPDU accidentalmente trasmesse da parte
dell'utenza sarà determinato da LEPIDA S.p.a., con l'obiettivo primario di garantire il
funzionamento globale della Rete.
Le altre trame ethernet multicast o broadcast (escluse cioè le BPDU) che la rete riceve su una
interfaccia sono inoltrate a tutte le altre interfacce che fanno parte della stessa VPN e solo a quelle.
Il CLIENTE, potrà chiedere a LEPIDA S.p.a. la configurazione di un'interfaccia in modalità VPN
di livello 2 su una nuova VPN, che verrà creata contestualmente all'attivazione della nuova
interfaccia.
In caso di VPN esistente, la richiesta dovrà essere effettuata congiuntamente dal CLIENTE che
richiede l'interfaccia e dal CLIENTE, ovvero dal terzo se non CLIENTE, che ha creato
inizialmente la VPN.
3.3. Servizi di Rete Privata Virtuale (VPN) IP a livello 3
Il servizio consiste nella connettività IP tra un insieme di interfacce ethernet, su uno spazio di
numerazione indipendente. Tra queste interfacce si realizza una VPN analogamente a quanto
descritto sopra per il livello 2, ma con funzionalità di routing IP.
Configurazione interfacce e connettività
L'interfaccia è configurata come una porta di router, avendo un indirizzo IP per il quale risponde
all'ARP, accettando trame ethernet contenenti datagrammi IP diretti verso altre interfacce della
stessa VPN e trasmettendo trame ethernet contenenti i datagrammi IP provenienti da altre interfacce
della stessa VPN e diretti verso la sottorete assegnata.
La numerazione IP è assegnata da LEPIDA S.p.a. in accordo con il CLIENTE che richiede la VPN.
Non ci sono particolari vincoli sulla numerazione; l'utilizzo di numerazione privata come da RFC
1918 è consigliato al CLIENTE ma non è obbligatorio. Gli spazi di indirizzamento IP delle diverse
VPN sono tra loro completamente indipendenti, essendo possibili sovrapposizioni tra due VPN, o
anche sovrapposizioni tra una VPN e lo spazio globale di numerazione pubblico di Internet. Gli
spazi di indirizzamento IP assegnati alle diverse interfacce di una stessa VPN devono invece essere
distinti.
IL CLIENTE potrà richiedere anche l'impostazione dei seguenti servizi sulle interfacce della VPN
della quale è titolare:
•
antispoofing: l'interfaccia scarta i pacchetti che come mittente IP hanno un numero non
compreso nello spazio specificato;
8/9
•
routing statico: route statiche impostate su una certa interfaccia e rese note anche alle
altre interfacce della VPN;
•
routing dinamico: adiacenze OSPF o BGP tra l'interfaccia della rete e dispositivi
dell'utente. Le route che il dispositivo d'utente annuncia all'interfaccia della rete
vengono propagate anche alle altre interfacce della VPN ed agli altri eventuali
dispositivi d'utente ivi adiacenti;
•
relay BOOTP/DHCP dall'interfaccia verso uno o più indirizzi specificati dall'Ente
stesso.
Di norma non è possibile alcuna comunicazione diretta a livello IP tra interfacce associate a distinte
VPN di livello 3, né tra tali interfacce e interfacce configurate in altro modo. La comunicazione è
possibile, eventualmente tramite NAT/PAT, con i servizi aggiuntivi di firewall.
4. SERVIZI DI HELP DESK
LEPIDA S:p.a. garantisce ai CLIENTI:
•
un servizio Clienti per l'erogazione di informazioni di carattere generale sui servizi
erogati sulla Rete Privata delle Pubbliche Amministrazioni. Il servizio Clienti è
disponibile ad un numero telefonico concordato, dal lunedì al venerdì dalle 8:00 alle
19:00, e il sabato dalle 9:00 alle 14:00, con esclusione dei giorni festivi.
•
un servizio di help desk tecnico per la richiesta da parte dei CLIENTI di informazioni di
carattere tecnico sui servizi, per la segnalazione da parte dei CLIENTI di eventuali
disservizi e per la comunicazione ai CLIENTI sulle attività di manutenzione effettuate
dal gestore sulla rete. L'help desk è disponibile ad un numero telefonico concordato, 24
ore su 24 per 365 giorni all'anno.
In caso di malfunzionamento del servizio, l'intervento è effettuato da remoto o presso la sede
d'utente, in funzione della tipologia del guasto. Il servizio di intervento presso la sede del CLIENTE
è attivo dalle 08:00 alle 22:00 dal lunedì al venerdì dei giorni lavorativi.
9/9