PREMESSA 1. PAL IN FIBRA OTTICA 1.1. Interfacce dati
Transcript
PREMESSA 1. PAL IN FIBRA OTTICA 1.1. Interfacce dati
ALLEGATO TECNICO SERVIZI DI ACCESSO ALLA RETE LEPIDA PREMESSA Il presente allegato tecnico descrive le modalità di accesso alla rete Lepida e le tipologie di servizi accessori che LEPIDA S.p.A. concede al CLIENTE in virtù del contratto per i servizi di accesso alla rete privata a banda larga delle Pubbliche Amministrazioni “Lepida”. Nel documento sono altresì riportati i livelli di servizio che LEPIDA S.p.A. garantisce al CLIENTE in virtù delle Convenzioni di Servizio attualmente in vigore e stipulate dalla Regione EmiliaRomagna con le Aziende Multiservizi per la gestione della rete Lepida nei territori di competenza. I livelli di servizio garantiti sulla rete Lepida saranno oggetto di ridefinizione alla scadenza delle Convenzioni di Servizio sopra citate. L’accesso alla rete privata a banda larga delle Pubbliche Amministrazioni “Lepida” può essere fornito al CLIENTE secondo diverse modalità tecnologiche. Nei paragrafi che seguono vengono dettagliate le caratteristiche tecniche dei punti di accesso locale (PAL) in fibra ottica e HDSL con i rispettivi livelli di servizio. 1. PAL IN FIBRA OTTICA 1.1. Interfacce dati La rete Lepida è realizzata in fibra ottica monomodale (rispondente allo standard ITU-T G 652 B). LEPIDA S.p.A. rende disponibili, presso i PAL in fibra ottica, servizi dati erogati tramite interfacce ethernet standard IEEE 802.3, alla velocità nominale di 100 o 1000 Mbit/s, in funzione della banda disponibile sul PAL, con una delle seguenti interfacce fisiche: • 100baseTX, connettori RJ45. • 1000baseLX/SX/ZX, connettori SC-PC,o SC-LC; • 100/1000baseTX, con connettore RJ45 su specifica richiesta del CLIENTE. Le interfacce 100baseTX vengono di norma configurate full-duplex, ma in casi particolari possono essere richieste con configurazione half-duplex o autonegoziante, eventualmente anche per quanto riguarda la velocità. Le interfacce 1000baseLX/SX/ZX sono sempre in modalità full-duplex. 1/9 LEPIDA S.p.A. rende disponibili per ciascun punto di accesso locale il numero di interfacce dati indicato nella seguente tabella: Tipo punto di accesso 100baseTX PAL primario 1000baseLX o 1000baseTX 4 PAL secondario 4 - PAL End-Point 3 - Il CLIENTE richiederà a LEPIDA S.p.A. la configurazione di una o più interfacce, secondo le proprie esigenze, attraverso l’invio della relativa modulistica. Ogni interfaccia potrà essere configurata su connettività IP on-net oppure su servizi di Rete Privata Virtuale (VPN) a livello 2, oppure ancora per servizi di connettività VPN IP a livello 3 (vedi paragrafo 3). Il CLIENTE potrà richiedere a LEPIDA S.p.A. interfacce situate presso il punto di accesso, aggiuntive rispetto a quanto previsto nella tabella sopraindicata; o interfacce remotizzate all’interno della propria sede o area di competenza. Le condizioni economiche delle interfacce aggiuntive saranno oggetto di specifica proposta da parte di LEPIDA S.p.A. al CLIENTE. La banda complessiva messa a disposizione del CLIENTE sul PAL andrà distribuita, in modo coerente con le necessità dell’ente, tra le varie interfacce da configurare, così come l’eventuale banda Internet garantita. 1.2. Livelli di servizio PAL in fibra ottica I servizi di connettività IP on-net, VPN livello 2 e 3 sono caratterizzati da obiettivi (micro) di servizio comuni, illustrati nelle prossime tabelle. Obiettivi di servizio micro per interfacce con connettività IP on-net e VPN L2 e L3 Parametro Obiettivo Tasso di perdita datagrammi < 0,1% Banda garantita > 90% della banda configurata per l'interfaccia 2/9 Obiettivi di servizio (macro) per tutte le interfacce dei PAL in fibra ottica Tipo Parametro Definizione Obiettivo 1 Tempo indisponibilità dell'interfaccia 2 Tempo risoluzione L'interfaccia è in disservizio Nei capoluoghi di provincia disservizio quando il tasso di perdita < 2 ore solari nel 95% dei casi e datagrammi o la banda garantita ad esclusione dei guasti sui non rientrano nei parametri portanti di rilegamento e di previsti, come segnalato dal NOC interconnessione o dall'utente tramite help desk. < 6 ore solari in tutti i casi di L'interfaccia è disponibile quando Nei capoluoghi di provincia: il tasso di perdita datagrammi e la < 6 ore solari/anno (disponibilità banda garantita rientrano nei 99,93%) parametri previsti. Nelle altre aree comunali: < 10 ore solari/anno (disponibilità 99,89%) Nelle altre aree comunali: < 3,5 ore solari nel 95% dei casi e ad esclusione dei guasti sui portanti di rilegamento, di interconnessione e di dorsale non ridondati < 10 ore solari in tutti i casi 1.3. Manutenzione programmata Le operazioni di manutenzioni programmate sulle apparecchiature e sugli impianti fuori dalle sedi degli utenti e dai punti di accesso locali, con conseguente disservizio, saranno eseguite nella fascia oraria dalle 0:00 alle 6:00, dietro preavviso di almeno 3 giorni lavorativi al CLIENTE, ed avendo cura di evitare notti associate a particolari eventi di rilevanza per i CLIENTI stessi (elezioni, etc). Operazioni di manutenzione programmata nelle sedi degli utenti e nei PAL dovranno essere concordate con il CLIENTE interessato. Ciascuna interfaccia non potrà essere interessata da più di 3 interventi di manutenzione programmata per ciascun anno solare. 1.4. Variazioni di configurazione Il CLIENTE potrà richiedere a LEPIDA S.p.a., variazioni delle configurazioni dei servizi dati realizzati in fase iniziale, rimanendo nell'ambito dei servizi dati descritti in questo allegato. I CLIENTI potranno richiedere fino a due di questi cambi di configurazione per ciascun anno solare per ciascuna interfaccia ethernet della rete. 3/9 I costi relativi alle richieste superiori alle due per interfaccia per anno saranno a carico del CLIENTE. Ulteriori richieste di implementazioni che esulano dai servizi dati qui descritti verranno valutate in base alla complessità ed al tempo di realizzazione necessario. 2. PAL HDSL 2.1. Interfacce dati In questo caso il CLIENTE viene connesso alla Rete privata delle Pubbliche Amministrazioni tramite un collegamento HDSL oppure SHDSL a 2Mb/s, realizzato tra la rete di raccolta di un operatore di telecomunicazioni e la rete Lepida. I parametri prestazionali garantiti su ciascun accesso HDSL o SHDSL verso la rete Lepida sono: - MCR (Banda minima garantita): 1 Mbps; - PCR (Banda di picco): superiormente limitato dalla velocità fisica della porta (2 Mbit/s). Il PCR è accessibile solo se disponibile e non viene garantito. Il servizio HDSL è consegnato presso la sede del CLIENTE completo di modem. Il servizio prevede inoltre la fornitura di un apparato di routing connesso al modem HDSL, installato in sede d’utente, gestito e mantenuto. 2.2. Servizi Dati Il CLIENTE avrà a sua disposizione sul router una sola interfaccia ethernet standard IEEE 802.3, di tipo 100baseTX, con connettori RJ45. Su questa interfaccia potranno essere erogati servizi di connettività IP on net, o anche connettività verso VPN di livello 2 o 3 (vedi paragrafo 3). 2.3. Servizio di back up ISDN Il servizio di back up in modalità ISDN è un servizio opzionale, che interviene automaticamente in caso di indisponibilità del collegamenti HDSL. Il reinstradamento del traffico risulta del tutto trasparente al CLIENTE, fatta eccezione per la velocità del collegamento. Non appena il collegamento è ristabilito a normale funzionamento, il router automaticamente abbatte la connessione di back up ed instrada nuovamente il traffico sulla porta principale HDSL. La linea ISDN presso la sede d’utente e il costo dell’eventuale traffico telefonico ISDN di back up, dipendente dalla durata della connessione, sono a carico del CLIENTE. 4/9 2.4. Livelli di servizio PAL HDSL Il servizio HDSL è caratterizzato dagli obiettivi "micro" di servizio, che definiscono i criteri secondo i quali il collegamento viene ritenuto funzionante oppure no, illustrati nella prossima tabella. Obiettivi di servizio "micro" per interfacce HDSL Parametro Obiettivo Tasso di perdita datagrammi < 0,2% Banda garantita > 900 kbit/s Il collegamento è funzionante quando ambedue i parametri della tabella 1 rientrano nei limiti previsti. Obiettivi di servizio macro per il servizio di collegamento via xDSL Parametro Obiettivo Disponibilità media annua unitaria del singolo accesso, (da >=99,95 % su anno solare router al punto di interconnessione alla Rete privata delle Pubbliche Amministrazioni) Tempo di ripristino del servizio dalla segnalazione all’help desk < 8 ore nell’85% dei casi Eccedenza rispetto al tempo di ripristino sull’intera rete 5/9 < 2 ore * numero di terminazioni attive (compresa l'interconnessione) su anno solare 3. SERVIZI FORNITI SULLA RETE LEPIDA 3.1. Connettività IP on-net Il servizio consiste nel rendere visibile, tramite il protocollo IP, la sede d'utente in cui si trova il PAL a tutte le altre sedi d'utente della Rete privata delle Pubbliche Amministrazioni che siano collegate a interfacce analogamente configurate per connettività IP on-net. La totalità di queste interfacce così configurate costituisce la Community Network delle Pubbliche Amministrazioni dell'Emilia-Romagna (CN-ER), ai sensi del Sistema Pubblico di Connettività (SPC). Attraverso la CN-ER gli enti possono accedere alla rete Internet o pubblicare su di essa servizi a disposizione del pubblico. Nel caso la banda Internet fornita sul PAL non fosse sufficiente per le esigenze dell’ente, il CLIENTE potrà richiedere a LEPIDA S.p.A. banda aggiuntiva. Le condizioni economiche della banda aggiuntiva saranno oggetto di specifica proposta da parte di LEPIDA S.p.A. al CLIENTE. Analogamente, attraverso la connettività IP on-net ciascuno degli enti potrà accedere ai servizi pubblicati su SPC da altri enti pubblici ad essa connessi, o pubblicare servizi d’interesse di altre pubbliche amministrazioni connesse ad SPC. 3.1.1. Configurazione delle interfacce e connettività Le interfacce su IP on-net vengono configurate con una sottorete di numerazione IP pubblica assegnata da LEPIDA S.p.A., con funzionalità di solo routing, senza alcuna funzionalità di switching di livello 2. La rete esegue traduzioni di tipo NAT/PAT solo negli apparati d'utente e previa richiesta a LEPIDA S.p.A. da parte del CLIENTE. I singoli CLIENTI sono incoraggiati a dotarsi di firewall per gestire autonomamente le politiche di sicurezza e le traduzioni NAT/PAT. LEPIDA S.p.a. fornisce, su ogni interfaccia configurata per connettività IP, servizi volti a eliminare la falsificazione (spoofing) degli indirizzi IP di sorgente. In particolare: • i datagrammi trasmessi dall'utenza su una interfaccia della rete, aventi indirizzi IP di mittente che non ricadono nello spazio assegnato a tale interfaccia, vengono scartati; • Inoltre: • i datagrammi trasmessi da altre entità collegate alla rete (Centro servizi, Internet, ecc.) ed aventi indirizzi IP di mittente che risultano assegnati ad altre interfacce, oppure indirizzi privati come da RFC 1918, vengono scartati. i datagrammi destinati ad indirizzi privati come da RFC 1918 vengono sempre scartati. 3.1.2 Spazio di indirizzamento IP LEPIDA S.p.A. assegnerà al CLIENTE gli indirizzi per connettività IP all’interno dell’Address Space assegnato alla CN-ER. 6/9 Su richiesta del CLIENTE è possibile la suddivisione dello spazio di indirizzamento di un'interfaccia in più sottoreti IP, con l'impostazione di route statiche dirette verso apparati del CLIENTE (ad esempio per la realizzazione di DMZ con numerazione pubblica, oppure per la suddivisione degli indirizzi tra più entità ricondotte alla stessa interfaccia fisica). Tale suddivisione dovrà rispettare le consuete regole per il subnetting IP. Il DNS inverso per lo spazio di numerazione assegnato sarà gestito da LEPIDA S.p.A., oppure sarà delegato al CLENTE, su sua richiesta, con la tecnica della RFC 2317. Gli indirizzi IP possono essere cambiati, previo accordo con il CLIENTE, su motivata richiesta da parte di LEPIDA S.p.A. 3.1.3. Connettività verso Internet Il servizio consiste nel servizio di connettività IP on-net, precedentemente descritto, con l'aggiunta di una banda garantita da e verso Internet, sia nazionale che internazionale, assegnata all'interfaccia in oggetto. Il servizio consiste nell'accesso da e verso la rete Internet, sia nazionale che internazionale, dai punti di gateway alla rete Lepida. La connettività verso Internet viene caratterizzata da una banda garantita, simmetrica e full-duplex nelle due direzioni. Il CLIENTE potrà richiedere a LEPIDA S.p.A. banda Internet aggiuntiva rispetto a quanto già fornito sul PAL. Le condizioni economiche della banda aggiuntiva saranno oggetto di specifica proposta da parte di LEPIDA S.p.A. al CLIENTE. I CLIENTI indicheranno a LEPIDA S.p.A: come effettuare la ripartizione della banda Internet tra quelle interfacce del punto di accesso che sono configurate per connettività IP on-net. In ogni caso la banda Internet viene garantita a ciascuna interfaccia, ma non è allocata in modo stretto e rigido, nel senso che quando una interfaccia non usa la tutta la banda Internet ad essa garantita tale banda può essere utilizzata dalle altre interfacce della rete, sia da quelle nello stesso punto di accesso che anche da altre interfacce della rete in fibra ottica. La banda Internet assegnata ad un punto di accesso fa parte della banda garantita assegnata tra quel punto di accesso e la dorsale. Non va quindi ad incrementare la banda garantita dal punto di accesso alla dorsale. I CLIENTI potranno scegliere di non configurare nessuna interfaccia del PAL per accesso ad Internet. 3.2. Servizi di Rete Privata Virtuale (VPN) a livello 2 Il servizio consiste nella connettività ethernet trasparente a livello 2 tra un insieme di interfacce. L'interfaccia è configurata come una porta di bridge, che riceve e trasmette trame ethernet da e verso l'utenza collegata, inoltrando le trame da e verso le altre porte in base agli indirizzi MAC di mittente e destinatario secondo l'algoritmo del bridge IEEE 802.1d. Ciascuna interfaccia configurata in questo modo fa parte di una VPN (rete privata virtuale), ossia un gruppo chiuso di utenti. Ogni interfaccia appartiene ad una sola VPN, non sono implementate soluzioni con VPN sovrapposte. Una stessa VPN può avere più interfacce nello stesso punto di accesso o anche in diversi punti di accesso, e può avere interfacce a diverse velocità. L'algoritmo del bridge IEEE 802.1d viene eseguito separatamente per ciascuna VPN, le trame vengono inviate solo tra interfacce che appartengono alla stessa VPN e gli indirizzi MAC hanno significato solo nell'ambito della VPN cui 7/9 appartiene l'interfaccia (è quindi possibile utilizzare lo stesso MAC in VPN distinte in modo del tutto indipendente). Non è quindi possibile alcuna comunicazione diretta a livello ethernet tra interfacce associate a distinte VPN di livello 2, né tra tali interfacce e interfacce configurate in altro modo. La comunicazione è possibile ai livelli superiori con i servizi aggiuntivi di firewall. L'algoritmo IEEE 802.1d prevede che il bridge memorizzi l'associazione tra indirizzi MAC e l'interfaccia fisica. La rete memorizzerà 5 indirizzi MAC per ciascuna interfaccia fisica. Il CLIENTE potrà quindi collegare 5 distinti apparati in visibilità MAC all'interfaccia così configurata. Ciascuna interfaccia trasmette e riceve trame ethernet prive di tag 802.1q. Non è definito il comportamento dell'interfaccia in caso di ricezione di trame con tag 802.1q. Le VPN a livello 2 non devono essere usate dall'utenza per estendere domini Spanning Tree tra diverse sedi. Le interfacce configurate come VPN di livello 2 non trasmettono BPDU verso l'utenza ed il loro comportamento in caso di ricezione di BPDU accidentalmente trasmesse da parte dell'utenza sarà determinato da LEPIDA S.p.a., con l'obiettivo primario di garantire il funzionamento globale della Rete. Le altre trame ethernet multicast o broadcast (escluse cioè le BPDU) che la rete riceve su una interfaccia sono inoltrate a tutte le altre interfacce che fanno parte della stessa VPN e solo a quelle. Il CLIENTE, potrà chiedere a LEPIDA S.p.a. la configurazione di un'interfaccia in modalità VPN di livello 2 su una nuova VPN, che verrà creata contestualmente all'attivazione della nuova interfaccia. In caso di VPN esistente, la richiesta dovrà essere effettuata congiuntamente dal CLIENTE che richiede l'interfaccia e dal CLIENTE, ovvero dal terzo se non CLIENTE, che ha creato inizialmente la VPN. 3.3. Servizi di Rete Privata Virtuale (VPN) IP a livello 3 Il servizio consiste nella connettività IP tra un insieme di interfacce ethernet, su uno spazio di numerazione indipendente. Tra queste interfacce si realizza una VPN analogamente a quanto descritto sopra per il livello 2, ma con funzionalità di routing IP. Configurazione interfacce e connettività L'interfaccia è configurata come una porta di router, avendo un indirizzo IP per il quale risponde all'ARP, accettando trame ethernet contenenti datagrammi IP diretti verso altre interfacce della stessa VPN e trasmettendo trame ethernet contenenti i datagrammi IP provenienti da altre interfacce della stessa VPN e diretti verso la sottorete assegnata. La numerazione IP è assegnata da LEPIDA S.p.a. in accordo con il CLIENTE che richiede la VPN. Non ci sono particolari vincoli sulla numerazione; l'utilizzo di numerazione privata come da RFC 1918 è consigliato al CLIENTE ma non è obbligatorio. Gli spazi di indirizzamento IP delle diverse VPN sono tra loro completamente indipendenti, essendo possibili sovrapposizioni tra due VPN, o anche sovrapposizioni tra una VPN e lo spazio globale di numerazione pubblico di Internet. Gli spazi di indirizzamento IP assegnati alle diverse interfacce di una stessa VPN devono invece essere distinti. IL CLIENTE potrà richiedere anche l'impostazione dei seguenti servizi sulle interfacce della VPN della quale è titolare: • antispoofing: l'interfaccia scarta i pacchetti che come mittente IP hanno un numero non compreso nello spazio specificato; 8/9 • routing statico: route statiche impostate su una certa interfaccia e rese note anche alle altre interfacce della VPN; • routing dinamico: adiacenze OSPF o BGP tra l'interfaccia della rete e dispositivi dell'utente. Le route che il dispositivo d'utente annuncia all'interfaccia della rete vengono propagate anche alle altre interfacce della VPN ed agli altri eventuali dispositivi d'utente ivi adiacenti; • relay BOOTP/DHCP dall'interfaccia verso uno o più indirizzi specificati dall'Ente stesso. Di norma non è possibile alcuna comunicazione diretta a livello IP tra interfacce associate a distinte VPN di livello 3, né tra tali interfacce e interfacce configurate in altro modo. La comunicazione è possibile, eventualmente tramite NAT/PAT, con i servizi aggiuntivi di firewall. 4. SERVIZI DI HELP DESK LEPIDA S:p.a. garantisce ai CLIENTI: • un servizio Clienti per l'erogazione di informazioni di carattere generale sui servizi erogati sulla Rete Privata delle Pubbliche Amministrazioni. Il servizio Clienti è disponibile ad un numero telefonico concordato, dal lunedì al venerdì dalle 8:00 alle 19:00, e il sabato dalle 9:00 alle 14:00, con esclusione dei giorni festivi. • un servizio di help desk tecnico per la richiesta da parte dei CLIENTI di informazioni di carattere tecnico sui servizi, per la segnalazione da parte dei CLIENTI di eventuali disservizi e per la comunicazione ai CLIENTI sulle attività di manutenzione effettuate dal gestore sulla rete. L'help desk è disponibile ad un numero telefonico concordato, 24 ore su 24 per 365 giorni all'anno. In caso di malfunzionamento del servizio, l'intervento è effettuato da remoto o presso la sede d'utente, in funzione della tipologia del guasto. Il servizio di intervento presso la sede del CLIENTE è attivo dalle 08:00 alle 22:00 dal lunedì al venerdì dei giorni lavorativi. 9/9