Avtale mellom Utviklings- og kompetanseetaten og <Leverandør> Anskaffelse av nettverksutstyr og tilhørende tjenester. Bilag 6: Kundens tekniske plattform Bilag 6 Side 1
INNHOLDSFORTEGNELSE 1. Kundens tekniske plattform 3 1.1. Sentrale komponenter 4 1.2. Lokale komponenter 5 1.3. Managementsystemer 5 Bilag 6 Side 2
1. Kundens tekniske plattform Dette bilaget inneholder en beskrivelse av eksisterende tekniske plattform hos Kunden. Utstyr som anskaffes i rammeavtalen må være kompatibelt med eksisterende tekniske plattform, med mindre det er gjort eksplisitte unntak for dette i bestillingen. For bistand og oppdrag gir oversikten et inntrykk av kompleksiteten i kommunens nettverkssystemer. OK-MAN (konsernnett) Kjernenettet i kommunens Konsernnett har redundant topologi med dobbelt kjernering og seks distribusjonsringer. Kjerneringene knytter sammen to nettsentriske datasenter og ringene er implementert ved 10 Gbps transmisjonsteknikk. Løsningen benytter MPLS (Multi Protocol Label Switching) og 10Gbps Ethernet i kjerne og distribusjon, med ruting helt ut til aksessenhetene. 2 stk. Cisco ASR 9010 benyttes som kjernesvitsjer og 2 stk. Cisco ASR 9001 som route reflectors. I en tidligere kjernenode som har blitt nedgrader til distrubasjonspunkt er det benyttet Cisco Catalyst 6513 for å ta i mot distrubusjonsringene som går til denne. Distribusjonsringene går ut til sentraler/telelosji hvor de enkelte av kommunens virksomheter tilknyttes. Sentralene/telelosjiene terminerer forbindelsene med virksomhetene. Virksomhetene knyttes inn ved hjelp av G.SHDSL, leide linjer eller leide mørke fibre. DSLAM i distribusjonene er Zyxel 3000-serien. Cisco 6500 benyttes til fiberlinjer mot virksomhetene og er tilknyttet fiberringen mellom distribusjonene. Dagens fordeling av aksesser er ca. 600 G.SHDSL (2-8 Mbps), ca. 150 leide samband (2-8 Mbps) og ca. 450 mørk fiber (1 Gbps). I datasenternettverk bruker flere og redundant oppsatt Cisco Nexus i produktseriene 7000/5000/2000/1000V som switcher. Som Internett-routere benyttes per i dag Cisco 7604 rutere, men disse er på vei til å bli ersattet av ASR-9904. 2 stk. F5 Big IP til lastdeling (2400-serien). Citrix Netscaler til lastdeling av Citrix trafikk. Til sammen i datasenternettet er det 4 stk. NX7000, 12 stk. NX5000 og 18 NX2000. Vi benytter 6 stk Cisco Ironport S670 til internett proxy med M670 som management. Til brannmurer benytter vi totalt 4 stk Cisco ASA5585X SSP40/SSP60. Merk at det finnes flere fysiske brannmurer som driftes, men som ikke er en del av datasenternettverket. Fjernarbeidsløsningen bruker virtuelle instanser av RSA som 2-faktor løsning. Klienten er Cisco Anyconnect som knytter seg mot 4 stk Cisco ASA 5585X (pr 31.05.2016 er to av de Cisco ASA 5550 som blir faset ut. Brukerne benytter enten sms eller hardware token. Oslo kommunes sentrale trådløse nett er basert på Cisco 8510 kontrollere i HA-modus. For enkelte formål benyttes frittstående Cisco 5508 kontrollere (testformål, voicekunder, holmenkollen nasjonal anlegg). Det er ca 2600 aksesspunkter. I tillegg er det en egen løsning for skolene som UDE håndterer. Denne løsningen har ca 8500 aksesspunkter. Lokalt nettverk (LAN) er definert som det nettet som er i etterkant av aksessvitsjen til lokasjonen. Standarden på LAN utstyr er alt fra gamle huber til moderne svitsjer med PoE (Power over Ethernet). Størrelsen er alt fra en PC som benytter LAN-portene i aksessvitsjene til store nett med flere bygg og etasjer. En kan ikke regne med at de ulike virksomhetene har dokumentert sine LAN. Drift av lokale nettverk skal tilbys som opsjon. Støttesystemer som benyttes er blant annet Cisco Prime/LMS, Cisco Security Manager, Cisco ACS, Splunk, Nagios (rebrandet til Smarteye hos dagens driftsleverandør), Infoblox (IPAM og DHCP løsning) Bilag 6 Side 3
Det er overvåkning av sentrale komponenter i datasenter, kjerne og distribusjonsnett, samt enkelte aksesser og lokalnett. Kommunens tjenester forutsetter overvåkning og respons 24/365 i sentrale komponenter og i enkelte lokalnett. Det var pr. mai 2016 ca 5400 hoster som ble overvåket. Dette omfatter utstyr på lokasjonene og sentrale komponenter på datasenter, kjerne og distribusjonsnoder. Antall lokasjoner og hoster er i stadig i forandring. OKMAN i dagens form (egenprodusert) er planlagt lagt over til en kjøpt IPVPN-tjeneste de kommende årene (innenfor avtaleperioden til rammeavtalen). Dette betyr at komponenter i forbindelse stamnett-, distribusjon og aksess avvikles. Kjernenett (sentrale datasenterkomponenter), datasenternettverk og LAN videreføres som i dag. Videre detaljering av komponenter Oslo kommune bruker i dag følger nedenfor. 1.1. Sentrale komponenter Oslo kommune bruker blant annet Cisco Prime / LMS til drift av nettverkskomponenter. Cisco Security Manager og Cisco ACS blir brukt i forbindelse med brannmurer og andre sikkerhetsprodukter/områder. Nagios (rebrandet avdagens leverandør Datametrix som SmartEye) blir brukt til overvåkning RSA benyttes til 2-faktor løsning for fjernarbeid. Splunk blir brukt til å håndtere logger og analyse av disse. Datasenternettverk bruker flere og redundant oppsatt Cisco Nexus i produktseriene 7000/5000/2000/1000v som switcher. Cisco ASR 9000 som rutere/core.. Cisco Ironport som proxy servere. Cisco ASA5585X SSP20/SSP30/SSP40/SSP60 sentrale brannmurer Kjernenettverk et består av 4 stk. Cisco ASR 9000-serien Datasenterswitcher (Nexus serien) / Catalyst-serien Utstyr for leverandørtilknytninger (slik at eksterne leverandør kan nå Oslo kommune sitt driftsmiljø, enten som driftsleverandør, applikasjonsleverandør, tjenesteleverandør, etc) Cisco 3800-serien ASA 5500-serien Cisco 3750 / 3925 Drift av fjernarbeidsløsning for OsloFelles og virksomheter utenfor OsloFelles. Cisco ACS, RSA, ASA, AnyConnect Drift av RADIUS autentiseringsservere Cisco ACS Proxy Cisco Ironport serien Videokonferansesystem Cisco/Tandberg Videogateway sentralt for å håndtere ekstern trafikk for videokonferanse systemer IP-telefoni Cisco og Avaya telefonsentraler og tilhørende apparater og utstyr Trådløst LAN Cisco 5508 Series Wireless LAN Controller Cisco 8510 Series Wireless LAN Controller ca 2500 AP med en miks av modeller fra Cisco Aironet 1142 til 2702 serien Bilag 6 Side 4
Utdanningsetaten, (UDE) har i tillegg følgende kompontenter: Cisco Catalyst 6807 med Instant Access FEX og Sup2T + diverse linjekort Nexus 5596UP med B22-FEX til Dell blade-servere Citrix Netscaler (lastdeling) Cisco ISE for autentisering/802.1x Cisco 7206 I tillegg har Utdanningsetaten egne WLAN-kontrollere og aksesspunkter (ca 8500 stk) 1.2. Lokale komponenter Det finnes ca. 1200 tjenestesteder med aksess-switch til OKMAN. Opp mot 800 stk LAN switcher blir i tillegg driftet sentralt. Disse er av Cisco modell fra Catalyst 2960 serien opptil Catalyst 6500. Det største volumet er på ulike modeller av Catalyst 2960. Utdanningsetaten har ytterligere ca 2400 LAN switcher som de har egen drift på. Oslo kommune har stort sett bare rene Cisco-installasjoner, men unntak forekommer. Det finnes et ukjent antall svitsjer som ikke er driftet og som kan være produsert av ulike produsenter. 1.3. Managementsystemer Cisco LMS/Prime, Splunk (tidligere CS Mars) SmartEye (variant av Nagios) SmartGuest gjestenettløsning for trådløse nettverk (kan bli erstattet gjennom KSN anskaffelsen) Cisco CSM InfoBlox (IPAM/DHCP) Cisco ISE (UDE sin løsning) Solarwinds Network Performance Monitor (UDE sin løsning, som egen uavhengig overvåkning) Bilag 6 Side 5
Figur 1 Viser hvordan ulike management systemer henger sammen Bilag 6 Side 6