Bilag 3: Beskrivelse av eksisterende løsninger

Like dokumenter
Bakgrunnsinformasjon for Øyeren IKT prosjekter Målgruppe: leverandører

Løsninger. Truls Løkholm Bergli Teknisk konsulent

Bilag 3: Beskrivelse av det som skal driftes

Tjenestebeskrivelse Internett Ruter Innhold

UA Tjenestebeskrivelse Nett

Bilag 3: Kundens tekniske plattform

Avtale mellom Utviklings- og kompetanseetaten og <Leverandør> Anskaffelse av nettverksutstyr og tilhørende tjenester.

Dialogkonferanse plattform. Gardermoen, 10. juni 2015 Odd Ruud Adm. dir. Digitale Gardermoen

NY STYRINGSMODELL ØRU/DGI

Vedlegg G - Kundens tekniske plattform

Vedlegg 4 til konkurransegrunnlaget Oppdragsgivers tekniske plattform

Avtale for kjøp av driftstjenester MASKINVARE, INFRASTRUKTUR OG PROGRAMVARE. Kundens tekniske plattform. Bilag 3 til Driftsavtalen

Rammeavtale for kjøp av vannmålere

Rammeavtale for anskaffelse av ny tra dløs løsning for Ryfylke IT Samarbeid

Konkurransegrunnlag Del 3

KONKURRANSEGRUNNLAG. Bilag 4 Prosedyre A63-V01 Krav til ekstern driftsleverandør

Bilag til kjøpsavtalen for. Antivirusløsning. K Bilag 3 - Kundens tekniske plattform

KONKURRANSEGRUNNLAG. Bilag 1 Kravspesifikasjon

Design Active Directory/Citrix lisensiering Vågan kommune. Del dokument om Nettverk og Microsoft Active Directory. Side 1 av 9

Fremtidsrettet leveranseplattform for levering av digitale tjenester

Bilag til kjøpsavtalen for Transportadministrasjon K Bilag 3 - Kundens tekniske plattform

IKT Seminar, Tromsø Jan-Tore Ovesen

Styret Sykehuspartner HF 10. april 2019 PROGRAM FOR STANDARDISERING OG IKT-INFRASTRUKTURMODERNISERING (STIM)

Active Directory Design Lofoten

Hva er 802.1X - EAPoL?

TI GRUNNLEGGENDE TILTAK FOR SIKRING AV EGNE NETTVERK MED ET SPESIELT FOKUS PÅ MACSEC

Kort om prosjektene i IMP


Redundante linjer fra BKK. Frokostmøte 25. januar 2011 Terje Henneli, BKK Marked

Anskaffelse av forbedret distribusjonsløsning for SCCM 2012

Strategi for IT-tjenester pa pedagogisk nett i MRFK

Hemit i front. - med effektiv og innovativ IKT for liv og helse. Geir Reset Simonsen Virksomhetsutvikling - Arkitektur

Vedlegg 3 Tekniske krav til IKT-løsninger i Kongsbergregionen

Tekniske krav til portal med publiseringsløsning (fase 1)

Sikkerhets- og samhandlingsarkitektur ved intern samhandling

TJENESTEBESKRIVELSE INTERNETT FRA BKK

Produktvilkår Transmisjon

Tjenester i skyen. 19. desember

A TEKNISK BESKRIVELSE, SERVICE OG VEDLIKEHOLD

TEKNISK BESKRIVELSE, SERVICE OG VEDLIKEHOLD SKEDSMO KOMMUNE

PaloAlto Networks hos Møre og Romsdal fylkeskommune. Kreative brukere

Svein Bjarne Brandtsgård, seniorkonsulent IKT, campus Stord

Skytjenester (Cloud computing)

Extreme Fabric Connect / Shortest Path Bridging

Overordnet it-arkitekturdokument. Dato:

Bilag 7 Vedlegg 2 - Tjenestekatalog med standardpriser

To-kampus: En visjon i sør

Møte i styre for Inn-Trøndelag IKT

JULI 2016 FIBERBREDBÅND BRUKERVEILEDNING

Veiledning i bruk av Fjernaksess

Vedlegg 1 - Bakgrunnsinformasjon. Vedlegg 1 STRATEGIDOKUMENT

Beskrivelse av informasjonssystemet

IKT Drift. Presentasjon av virksomhet Q1-2010

Fremtiden er lys - fremtiden er fiber!

Bachelor E. Theodor Rove Nordgård, Chris Sonko HIST DRIFT AV DATASYSTEMER

Revisjonstabell. Laget av Dato Orginal plassering fil. Johnny Andre Sunnarvik

Velferdsteknologiske løsninger for Oslo kommunes sykehjem

Ny IT infrastruktur på HIL.

Hafslunds satsning på Wimax

Innhold: Hva skjer med driftskontroll når n r IT blir en tjeneste i skyen? Innhold: IT vs Driftskontrollsystemer:

Huldt & Lillevik Ansattportal. - en tilleggsmodul til Huldt & Lillevik Lønn. Teknisk beskrivelse

Teknisk hjørne RiskManager

Veileder for bruk av tynne klienter

Revisjonstabell. Laget av Dato Orginal plassering fil. Datakommunikasjon September

LAB-IT-PROSJEKTET - TEKNISKE LØSNINGER IT-FORUM 2017

Rammeavtale IKT utstyr og tilhørende tjenester. Bilag 3. Oppdragsgivers tekniske plattform

netsense...making sense of IT

Spørsmå l 1-41 Råmmeåvtåle nettverk og servere

Erfaringer med IPv6 hos HiOA

Den Nettverksintegrerte Tjeneste Geir Førlie

Programmering, oppsett og installasjonsløsninger av LIP-8000 serien IP apparater

Grunnleggende om datanett. Av Nils Halse Driftsleder Halsabygda Vassverk AL IT konsulent Halsa kommune

Agenda. Mulige gevinster ved å samarbeide om løsninger. Tjenesteorientert arkitektur for UH sektoren. Kontekst for arkitekturarbeid

AirLink 1000AC avansert oppsett

Våre tekniske konsulenter kan bistå slik at din bedrift får en best mulig tilpasset Handyman installasjon ut fra deres infrastruktur.

Tiril Konsulentsamling 9.juni 2009

Unified Communication

For Spydeberg og Trøgstad avhenger bytte til ny Exchange løsning av ny telefoniløsning blir implementert i kommunene.

Teknologi. som kjerneprosess. Hvordan benytte teknologi som en 1 av 4 kjerneprosesser. for å skape vekst og økt lønnsomhet på kort og lang sikt?

Datacenter Appliance hva moren din IKKE fortalte deg om effektiv infrastruktur i datasenteret Sven Ole Skrivervik Direktør Kundetjenester Proact IT

NÅSITUASJONSBESKRIVELSE

Ikt-enheten. 6,8 årsverk 7 personer + 1 lærling

Broadnet CloudAccess Tjenestebeskrivelse

Teknologi. som kjerneprosess. Hvordan benytte teknologi som en 1 av 4 kjerneprosesser. for å skape vekst og økt lønnsomhet på kort og lang sikt?

TELIA NORWAY - TRANSPORT NETWORK V2.0. Mobil Agenda 12.juni 2018 Robert Halvorsen Head of Transmission Telia NO

Anbefalt IKT-sikkerhetsar kitek tur i UH-sektoren

IPv6 hvem, hva, hvor(dan)

EGA Svar på spørsmål, oppdatert pr

Velkommen til Breakfast Club Gjør det smartere med Citrix som helhetlig driftsplattform

2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 1

Installasjonen krever en Windows 2008 server innmeldt i domene.

Oppsett av brannmur / router 1.0. Innholdsfortegnelse

17. april GoOpen Slik har vi gjort det - Erfaring med innføring av fri programvare og standardisert drift

Fra informasjonssystemer til informasjonsinfrastrukturer

Årsmelding 2014 for IKT Inn-Trøndelag

Kundens tekniske plattform

PRODUKTBESKRIVELSE INFRASTRUKTUR. NRDB Lokal Node (VPN)

Kommunetilknytninger til helsenett. Leif-Petter Strømme

Konkurransegrunnlag - Drift og support av IT-systemer. Vedlegg 1 Beskrivelse av løsningen som skal driftes

Transkript:

Bilag 3: Beskrivelse av eksisterende løsninger Side 1 av 9

1. Generell informasjon... 3 1.1. IKT-arkitektur... 3 2. Nettverksinfrastruktur... 5 2.1. Kommunikasjon og WAN... 5 2.2. Trådløst... 6 2.3. IP-adressering... 6 2.4. Internett... 6 3. Sikkerhetstopologi... 7 3.1. Topologi og prinsipper... 7 3.2. Soneinndeling... 8 3.2.1. Internett-tjenester (DMZ)... 8 3.2.2. Sikker sone... 8 3.2.3. Intern sone... 8 3.2.4. Skole-sone... 8 3.2.5. Sentral driftssone/facility... 8 3.2.6. Offentlig sone... 8 3.2.7. Print-sone... 8 4. Datasenter... 9 4.1. Fjernaksess... 9 Side 2 av 9

1. Generell informasjon Dette bilaget gir en teknisk beskrivelse av DGIs driftsmiljø med funksjoner som kan være relevante for leveranse av nye løsninger. 1.1. IKT-arkitektur ØRU-kommunenes visjoner, strategier og omgivelser har gitt de grunnleggende føringene og rammene for utvikling av IKT-arkitekturen slik den eksiterer i dag. Lover, forskrifter og regler, på alle nivåer fra internasjonale via nasjonale til virksomhetsinterne har gitt ytterligere rammer. Teknologiske muligheter og forventede utviklingstrekk har også vært med på å forme dagens IKT-arkitektur. Fra eierkommunene i 2005 besluttet å sentralisere den lokale IT driften i rådhusene inn til en felles driftsorganisasjon har selskapet jobbet målrettet for standardisering på alle nivåer. Grunnprinsippene for arkitektur har sine utgangspunkt i St. meld Nr. 19 (2008-2009) "En forvaltning for demokrati og fellesskap", og omfatter Tjenesteorientering og lagdeling av løsningene. Interoperabilitet i løsningene for å muliggjøre gjenbruk og samhandling både på et teknisk-, et organisatorisk- og et informasjonsnivå (felles begrepsoppfattelse). Tilgjengelighet: Riktig og nødvendig informasjon og tjenester skal gjøres tilgjengelig for de som trenger denne både internt hos kundene og hos publikum/næringsliv. Sikkerhet: Informasjon og tjenester skal tilfredsstille kravene til konfidensialitet, integritet og tilgjengelighet. Åpenhet: Tjenestene skal kunne tas i bruk uten spesielle krav til teknologi. Det skal søkes bruk av åpne standarder og at tjenestenes innhold og virkemåte kan redegjøres for. Fleksibilitet: IKT løsningene skal etableres og utvikles slik at de er forberedt på endringer i bruk, innhold, organisering, eierskap og infrastruktur. Skalerbarhet: IKT løsningene skal være forberedt på endring i antall brukere, datamengde og levetid på løsningen. Med en strategi om å ta utgangspunkt i kommunenes forretningsprosesser for alle løsninger, har man i samarbeidet søkt å etablere felles og like systemer for kommunene. Ved å etablere en sentralisert brukerflate som utgangspunkt for alle brukertjenestene har man gjennom årene kontinuerlig søkt å få flest mulig løsninger publisert ut gjennom denne. Det er jobbet målrettet med konsolidering og utfasing av løsninger for å oppnå stordriftsfordeler av sluttbrukerapplikasjoner. Følgende har blitt gjort for felles løsninger og arkitektur: Standardisering av plattform for virtuelle servere og et prinsipp om at alt i utgangspunktet skal søkes etablert på virtuell plattform. Standardisering og harmonisering av benyttede operativsystemer for å oppnå stordriftsfordeler både på server- og klientside. Standardisering av kommunikasjonsløsninger, herunder felles fibernett for alle lokasjoner og IP telefoni-løsning. Standardisering av publiseringsløsninger for tjenester og informasjon. Standardisering av løsninger og teknologi for driftsstøtte. Følgende har blitt gjort for data, informasjon og integrasjon: Standardisering av integrasjonsarkitektur. Side 3 av 9

Standardisering av lagringsarkitektur og database hoteller Følgende har blitt gjort for sikkerhet: Standardisering av sikringsmekanismer og komponenter som inngår i sikkerhetsregimet. Elementer som inngår er sikkerhetsbarrierer, sonemodell, autentisering, autorisering, SSO, PKI og logging. Tilgang og rettigheter i fagsystemene tilfører ytterligere sikkerhetsnivåer. Sikkerhetskopiering og gjenopprettingsmekanismer. Side 4 av 9

2. Nettverksinfrastruktur 2.1. Kommunikasjon og WAN DGI har etablert et felles nettverk for alle kommunene som dekker ca. 180 lokasjoner med over 18.000 potensielt faste brukere (ansatte, lærere og elever). I tillegg kommer gjestebrukere med ca. 6.000 unike brukere daglig. Det er gjort et prinsippvedtak om at alle lokasjoner skal kobles til nettet med fiber. Dette nettverket er bærer av alle tjenester fra sentralt driftsmiljø. Nettverket består av følgende hovedkomponenter: Kjernenett bestående av MPLS-rutere fra Cisco. Kjernenettet leverer MPLS/VPN-tjenester. Hovednodene er koblet sammen i to ringer med 2 par fiber. Disse kjører i dag 1gbps per link, men er klargjort for 10gbps. Alle hovednodene er tilkoblet UPS som leverer strøm i 3-4 timer. En hovednode kan falle ut uten at brukerne mister nettilgang. Distribusjonsnettet består av 22 lag 2-ringer tilknyttet to hovednoder hver. Det er opptil 10 lokasjoner koblet inn i hver ring. Hver lokasjon har en Cisco 24-port PoE gig-switch som kantswitch inn i ringen. Det er standardisert på singlemodus fiber i ringene. Figur 1 nedenfor viser en prinsippskisse over distribusjonsnettet. Aksessnettene på lokasjonene består av Cisco-switcher. Disse kobles til kantswitch eller andre aksessswitcher etter behov. I all hovedsak velges Cisco 24-port PoE gig-switcher såfremt det ikke er utfordringer med plass. Hurdal Nannestad Dal Eidsvoll Datasenter Gjerdrum Ullensaker Nes Figur 1 Prinsippskisse over distribusjonsnettet Side 5 av 9

2.2. Trådløst DGI leverer trådløse nett på litt over 120 lokasjoner (til sammen ca. 1250 aksesspunkter). Det er standardisert på to AP gjennom hele nettet (tidligere Aerohive AP230, nå AP250) for forenklet drift. Det leveres opptil fem nett på hver lokasjon: DGI-Gjestenett Gir tilgang til internett ved autentisering via mobil/sms. Elevsone Gir tilgang til elevnettet på den aktuelle lokasjon gjennom maskinautentisering (802.1x). DGI Gir tilgang til intern-nettet på den aktuelle lokasjon gjennom PKI/maskinautentisering, eller gjestenettet ved brukerautentisering (unik bruker kun for trådløst). AWe1 Gir tilgang til elevnettet på den aktuelle lokasjon med WPA2 distribuert gjennom AirWatch MDM. AWg1 Gir tilgang til gjestenettet på den aktuelle lokasjon med WPA2 distribuert gjennom AirWatch MDM. Det er gjort et prinsippvedtak at brukere på trådløst må kunne identifiseres slik at alle brukere må autentiseres på en eller annen måte. 2.3. IP-adressering Adressering er basert på RFC1918-adresser. Det er i all hovedsak benyttet 10.0.0.0/8-adresser Ytre sikkerhetsbarriere (se kapittel 3.1) NATer all trafikk ut på internett. Spesifikke tjenester som DNS, Epost og lignende NATes toveis til dedikert adresse, gjestenettene NATes til 194.60.75.123 og andre klienter til 194.60.75.2. DGI sin offentlige adresse er 194.60.75.0/24. DGI har per i dag ingen IPv6 adresser registrert. 2.4. Internett Internett leveres redundant med linje fra TDC (900Mbps), og linje fra Broadnet (1000Mbps). Side 6 av 9

3. Sikkerhetstopologi 3.1. Topologi og prinsipper Topologien i nettet er delt opp i flere soner, og hver sone er igjen delt opp i flere IP-nett for å få til en granulert sikkerhetstopologi. Disse sonene/nettene skilles med to nivåer med brannmurer: en ytre sikkerhetsbarriere (YS) og en indre sikkerhetsbarriere (IS). På ytre sikkerhetsbarriere kjører kun DMZ-tjenester som er eksponert mot internett. Internett DMZ YS VPN INTERN Reverse-proxy IS SIKKER Figur 4 Sikkerhetstopologi All intern tjenesteproduksjon skjer i nett tilknyttet IS. Prinsippet er at all trafikk skal trigges fra høyt sikkerhetsnivå mot lavt sikkerhetsnivå. Det tillates ikke trafikk fra internett og inn til nett på IS. Der det er behov for trafikk utenfra og inn benyttes reverse proxy eller liknende, såfremt dette vurderes som forsvarlig av DGIs Sikkerhetsansvarlig. IS er delt inn i flere virtuelle brannmurer (VS) på bakgrunn av forretningsmessig behov, eller sikkerhetsmessige behov/vurderinger. Side 7 av 9

3.2. Soneinndeling 3.2.1. Internett-tjenester (DMZ) På ytre sikkerhetsbarriere finnes kun internett-relaterte tjenester, som webservere, epost, Lync Edge, ADFS, offentlig DNS, VPN og løsninger for sikker autentisering inn mot Kundens AD (SAML). 3.2.2. Sikker sone Sikker sone er delt i server- og klientnett. I datasenteret er det nett for tjenester/applikasjoner og nett for terminalservere. For hver lokasjon er det definert et eget, lukket nett for klienter. Det er ingen tilgang til internett i sikker sone. Tilganger til spesifikke tjenester styres på AD-nivå. 3.2.3. Intern sone Intern sone er delt i server- og klientnett. I datasenteret er det nett for tjenester/applikasjoner og nett for terminalservere. Det er ett dedikert klientnett for intern sone ute på hver lokasjon. Det er sperret for kommunikasjon mellom lokasjonene. Tilganger til spesifikke tjenester styres på AD-nivå. Ute på lokasjonene leveres intern sone både på kabel og trådløst. Alle klientene havner i samme subnett på en lokasjon. 3.2.4. Skole-sone Skolesone er delt i server- og klientnett. I datasenteret er det nett for tjenester/applikasjoner mens det ute på lokasjonene er et dedikert klientnett for skole. Ute på lokasjonene leveres skole-sone både på kabel og trådløst. Alle klientene havner i samme subnett på en lokasjon. 3.2.5. Sentral driftssone/facility Sentral driftssone, også kjent som facilitysone, benyttes til løsninger som adgangskontroll, ventilasjonsanlegg og lignende. Hver kommune har et dedikert servernett i datasenteret og lukkede IP-nett ute mot lokasjonene. Det benyttes ett subnett per kjede. Det er også besluttet at alle servere som prinsipp skal stå i datasenteret, og at kun prober og tilsvarende tjenester skal stå igjen i nettene ute. Det ble besluttet at all administrasjon skal skje via Digitalt Vindu (terminalserver i datasenteret). Ikke alle kommuner er fullt ut over på denne løsninger p.t. men alle nye løsninger følger denne modellen. 3.2.6. Offentlig sone Offentlig sone benyttes for klienter/løsninger som ikke trenger kontakt med noen kommunale tjenester. Hver lokasjon har ett nett/vlan for offentlig sone hvor publikums-klienter plasseres. I tillegg plasseres annet utstyr uten behov for tilgang til kommunale tjenester, i dette nettet (klokker med NTP-synk o.l.). Foruten driftsansvar for publikums-klienter har ikke DGI driftsansvar for enheter i dette nettet. Det er ingen sperringer i nettet, noe som åpner for TeamViewer og lignende for fjernsupport. På lokasjoner med trådløst samband vil brukere tilkoblet WIFI-gjestenett benytte Offentlig sone, men uten tilgang til andre enheter i samme subnett. 3.2.7. Print-sone Print-sone benyttes utelukkende til skrivere og skannere. Printere er tilgjengelig fra printservere i de forskjellige sonene beskrevet over. Side 8 av 9

4. Datasenter Fra sentralt datasenter leveres alle tjenester og støttefunksjoner. Det er gjort et prisnippvedtak på at alle servere skal plasseres i datasenteret. Ute i nettverket står kun klienter og henter tjenester/data fra datasenteret. Støttefunksjonene er i all hovedsak basert på Microsoft sine løsninger og inkluderer: Active Directory o ADFS for federering mot eksterne tjenester DNS DHCP Microsoft Exchange NTP MsSQL Alle tjenester realiseres på et virtuelt miljø, p.t. VMWare. Alle tjenester publiseres mot brukerne i kommunene på terminalservere/citrix. I datasenter termineres også all eksterne linjer og VPN-oppkoblinger (L2L) mot andre. Alle tjenester levert fra datasenter planlegges migrert til nytt datasenter i løpet av første halvår 2017. Det vil trolig medføre endringer i måten enkelte tjenester leveres fra datasenteret. 4.1. Fjernaksess Med unntak av Gjestenett er fjernaksess til forskjellige komponenter i utgangspunktet sperret. Fjerntilgang oppnås gjennom oppkobling mot Citrix-plattformen, eller eventuelt via Cisco SSL VPN inn til datasenteret. Side 9 av 9

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding