La rete dell'ospedale Sergio Polo Dipartimento Interaziendale di Information Technology Venezia 15...
-
Upload
celso-bernardi -
Category
Documents
-
view
215 -
download
0
Transcript of La rete dell'ospedale Sergio Polo Dipartimento Interaziendale di Information Technology Venezia 15...
“la rete dell'ospedale ”
Sergio PoloDipartimento Interaziendale di Information Technology
Venezia 15 maggio 2006
Azienda Ospedaliera di PadovaAzienda ULSS16 Padova
INDICE
• Introduzione• Contesto geografico/ambientale• La “Vecchia LAN”• Esigenze applicative esistenti e future• La “Nuova LAN”• Alta disponibiltà• Monitoraggio• Sicurezza• Documentazione
RETE e’ un insieme costituito da NODI , variamente interconnessi,che comunicano tra loro NODO e’ l’elemento intelligente della rete (computer).Puo’ essere specializzato o general porpuseCANALE TRASMISSIVO e’ il mezzo sul quale passano le comunicazioni tra NODI mediante PROTOCOLLI PROTOCOLLO e’ l’insieme di regole (SW e HW)con le quali si comunica tra NODI diversi o anche all’interno dello stesso nodo a livelli pariteticiTOPOLOGIA DI RETE e’ la disposizione geometrica dei NODI e dei CANALI TRASMISSIVIMAC (Medium Access Control) e’ il protocollo che regola il controllo di accesso al mezzo usato dal canale trasmissivo, minimizzando i tempi di attesa
Un po’ di glossario
Introduzione
Fattori determinanti:distanze, velocita’ in gioco e mezzi trasmissivi
Edificio 100m cavi UTP/STPfibra ottica LAN
Comprensorio 1Km fibra ottica LAN
Città’ 10 Km fibra ottica MAN
Nazione e oltre >10Km vari mezzi trasmissivi WAN
• LAN : Local Area Network• MAN : Metropolitan Area Network • WAN : Wide Area Network
Tipologia delle reti
Introduzione
WAN
MAN
MAN
LAN LAN LAN
LAN
Schema grafico
Introduzione
Sviluppo delle tecnologie trasmissiveNecessita’ di condividere risorse costoseNecessita’ di fault tolerancePossibilita’ di scalare la reteSemplicita di implementazioneCosti sempre più “sostenibili”Esplosione di servizi (INTERNET e WWW)
Perché le LAN
Introduzione
Introduzione
Dislocazione in un’area limitataVelocita’ trasmissiva elevataStandardizzazione e interoperabilita’Facile scalabilita’Costi sempre piu’ convenientiPossibilita’ di facile interfaccia con MAN e WAN
ALTRE,UN PO’ MENO BELLE
Problemi di SicurezzaProblemi di Gestione
Peculiarità delle LAN
Contesto Geografico/Ambientale
Pianta di PadovaPoliclinico OspedalieroOspedale S.AntonioOspedale “Ai colli”Sede ULSS sede Magazzino, Serv. Econ. Fin., ecc.
Pianta della provincia di Padova25 collegamenti, Distretti e sedi varie,
LAN Padova Sanità:10000 Utenti3700 Stazioni di lavoro Azienda Ospedaliera e ULSS1500 Stazioni di lavoro Università120 Server600 Elettromedicali e sistemi di controllo20000 Prese cablate400 Apparati di rete
Schema di massima LAN Costruita nel 1998
Backbone
Piano 1
Piano 2
Criticità della rete LAN Costruita nel 1998
Obsolescenza degli apparatiLimitato numero di PC gestitiArchitettura con “limiti”
Elevati tempi di “Convergenza”Unico dominio di broadcastSistema soggetto a “Denaid of service”
DOS da “DHCP”DOS per elevato RoutingDOS per Virus
Sistema non SPFF (Single Point of Failure Free)
Esigenze Applicative al momento della progettazione
Applicativi client serverApplicativi WebFile TranfertBackup in rete
Insomma tutte cose abbastanza semplici
Esigenze Applicative future
Diagnostica per immaginiStreaming on demandStreaming liveVOIPVodeo Sorveglianza…..
Esigenza Di “Alta disponibiltà e Sicurezza”
I seguenti eventi non dovevano compromette l’efficienza della LAN
•La rottura di un singolo apparato•La rottura di un singolo Link•Il taglio di una fibra ottica•Il numero dei PC connessi e il loro traffico•Eventuali attacchi e/o DOS
Dovremo avere come valore aggiunto anche quanto segue
•Dividere utenze di natura diversa per motivi di sicurazza•Avere una gestione molto più granulare delle network della LAN•Portare in tutta la network qualsiasi VLAN necessaria•Essere “aperta” a nuove esigenze e tecnologie
Schema “Nuova Lan”
Schema di massima
Schema “Nuova Lan”
BackboneE’ costituito da due apparati, in backup l’uno all’altro. Essi operano sia a livello 2 che a livello 3. Le ridondanze sono gestite con EAPS (livello 2) e OSPF/ESRP (livello 3). I due apparati sono collegati tra loro con link separati a livello 2 e a livello 3. Il link di livello 2 fa passare anche il traffico di livello 3 con un bassissimo valore di priorità, per dare una ulteriore fault tolerance in caso di caduta del trunk, le cui interfacce stanno su una stessa scheda.L’apparato primario (BD1) e’ installato in OMISSIS e quello secondario (BD2) e’ installato al OMISSIS.
Schema “Nuova Lan”
Sistema di Edificio
Sono definiti tredici sistemi di edificio, ciascuno costituito dagli armadi afferenti ad uno o più edifici distinti, e dotato di due apparati connessi tra loro, in backup l’uno all’altro. L’apparato primario e’ connesso a BD1, quello secondario a BD2. Le ridondanze sono gestite con EAPS (livello 2) e OSPF /ESRP(livello 3).I modelli usati sono diversi edificio per edificio in relazione al numero di piani facenti parte del sistema edificio.I sistemi di edificio connettono gli armadi di piano afferenti a quell’edificio.
Schema “Nuova Lan”
Sistema di piano
In ogni armadio di piano e’ installato il sistema di piano, connesso ai due apparati del sistema di edificio di sua competenza. Il sistema di piano e’ costituito da switch di livello 2. Viene garantita la ridondanza dei percorsi verso il sistema di edificio.Sugli switch sono attivate 4 VLAN di livello 3: uni_trust, uni_untrust, azienda, strumenti. In alcuni armadi sono attivate anche vlan di livello 2(la vlan immagini nella maggior parte dei casi, ma anche altre come lab-c, telefonia, server-rad etc.). I valori numerici(tag) delle 4 VLAN di livello 3 sono diversi nell’ambito di ogni edificio. Nel file NUMERIP-BB sono riportati i dati per edificio e per piano, tra cui i tag delle 4 vlan e gli indirizzi IP usati dalle stesse.
Il monitoraggio della “Nuova Lan”
Monitoraggio
•Schelta strumento•Open source?•Prodotto di terze parti?•Prodotto aderente al marchio del produttore degli apparati?
Il monitoraggio della“Nuova Lan”
Monitoraggio
•Cosa deve fare•Gestire inventario apparati•Gestire gli allarmi•Visualizzare lo schema fisico (apparati e link)•Salvare in modo automatico le configurazione•Aiutare a distribuire i nuovi firmware•Mandare via mail e sms allarmi e segnalazioni•Consentire in modo veloce una diagnostica in caso di problemi
Il monitoraggio della“Nuova Lan”
Monitoraggio
Ci diamo una occhiata?
Sicurezza della “Nuova Lan”
Firewall
Sicurezza della “Nuova Lan”
Altri sistemi per la “sicurezza”
•Sonde IDS / IDP
•Sistema centralizzato gestione antivirus
•Accessi VPN on demand
Documentazione
Cosa bisogna documentare
L’inventario degli apparati (gestito con il software di monitoraggio)Linventario dei PC e la loro permuta sulla presa a muro(gestito con Landesk)La permuuta dei PC a livello di apparato di rete (su fogli excel)La permuta dei link in fibra (su fogli excel)La situazione degli armadi di rete, numero prese, Link in fibra, apparati installati (su fogli excel)
Non è possibile continuare con Excel !!
Documentazione
Documentazione
Armadio 52Armadio 7DArmadio 80
Documentazione
Documentazione
Cosa fare per migliorare la documentare
Acquisire un software ?Non c’è molto mercato software su queste tematicheQuello che c’è e molto CARO! Fanno tutto! Anche troppo!
Farselo?Sviluppare solo quello che ci è strettamente necessarioCosti contenutiUtilizzo di prodotti open sourceRENDERLO UN PRODOTTO OPEN SOURCE
Documentazione
Il prototipo
Fine
Domande?