Azienda Ospedaliera di Padova
Azienda ULSS16 Padova
“la rete dell'ospedale ”
Sergio Polo
Dipartimento Interaziendale di Information Technology
Venezia 15 maggio 2006
INDICE
•
•
•
•
•
•
•
•
•
Introduzione
Contesto geografico/ambientale
La “Vecchia LAN”
Esigenze applicative esistenti e future
La “Nuova LAN”
Alta disponibiltà
Monitoraggio
Sicurezza
Documentazione
Introduzione
Un po’ di glossario
RETE e’ un insieme costituito da NODI , variamente interconnessi,che
comunicano tra loro
NODO e’ l’elemento intelligente della rete (computer).Puo’ essere
specializzato o general porpuse
CANALE TRASMISSIVO e’ il mezzo sul quale passano le
comunicazioni tra NODI mediante PROTOCOLLI
PROTOCOLLO e’ l’insieme di regole (SW e HW)con le quali si
comunica tra NODI diversi o anche all’interno dello stesso nodo a livelli
paritetici
TOPOLOGIA DI RETE e’ la disposizione geometrica dei NODI e dei
CANALI TRASMISSIVI
MAC (Medium Access Control) e’ il protocollo che regola il controllo
di accesso al mezzo usato dal canale trasmissivo, minimizzando i tempi
di attesa
Introduzione
Tipologia delle reti
Fattori determinanti:distanze, velocita’ in gioco e mezzi trasmissivi
Edificio
100m cavi UTP/STP
fibra ottica
LAN
Comprensorio
1Km
fibra ottica
LAN
Città’
10 Km fibra ottica
MAN
Nazione e oltre
>10Km vari mezzi trasmissivi
WAN
•
•
•
LAN
MAN
WAN
:
:
:
Local Area Network
Metropolitan Area Network
Wide Area Network
Introduzione
Schema grafico
WAN
MAN
MAN
LAN
LAN
LAN
LAN
Introduzione
Perché le LAN
Sviluppo delle tecnologie trasmissive
Necessita’ di condividere risorse costose
Necessita’ di fault tolerance
Possibilita’ di scalare la rete
Semplicita di implementazione
Costi sempre più “sostenibili”
Esplosione di servizi (INTERNET e WWW)
Introduzione
Peculiarità delle LAN
Dislocazione in un’area limitata
Velocita’ trasmissiva elevata
Standardizzazione e interoperabilita’
Facile scalabilita’
Costi sempre piu’ convenienti
Possibilita’ di facile interfaccia con MAN e WAN
ALTRE,UN PO’ MENO BELLE
Problemi di Sicurezza
Problemi di Gestione
Contesto Geografico/Ambientale
Pianta di Padova
Policlinico Ospedaliero
Ospedale S.Antonio
Ospedale “Ai colli”
Sede ULSS
sede Magazzino, Serv. Econ. Fin., ecc.
Pianta della provincia di Padova
25 collegamenti, Distretti e sedi varie,
LAN Padova Sanità:
10000 Utenti
3700 Stazioni di lavoro Azienda Ospedaliera e ULSS
1500 Stazioni di lavoro Università
120 Server
600 Elettromedicali e sistemi di controllo
20000 Prese cablate
400 Apparati di rete
Schema di massima LAN Costruita nel 1998
Piano 2
Piano 1
Backbone
Criticità della rete LAN Costruita nel 1998
Obsolescenza degli apparati
Limitato numero di PC gestiti
Architettura con “limiti”
Elevati tempi di “Convergenza”
Unico dominio di broadcast
Sistema soggetto a “Denaid of service”
DOS da “DHCP”
DOS per elevato Routing
DOS per Virus
Sistema non SPFF (Single Point of Failure Free)
Esigenze Applicative al momento della progettazione
Applicativi client server
Applicativi Web
File Tranfert
Backup in rete
Insomma tutte cose abbastanza semplici
Esigenze Applicative future
Diagnostica per immagini
Streaming on demand
Streaming live
VOIP
Vodeo Sorveglianza
…..
Esigenza Di “Alta disponibiltà e Sicurezza”
I seguenti eventi non dovevano compromette l’efficienza della LAN
•La rottura di un singolo apparato
•La rottura di un singolo Link
•Il taglio di una fibra ottica
•Il numero dei PC connessi e il loro traffico
•Eventuali attacchi e/o DOS
Dovremo avere come valore aggiunto anche quanto segue
•Dividere utenze di natura diversa per motivi di sicurazza
•Avere una gestione molto più granulare delle network della LAN
•Portare in tutta la network qualsiasi VLAN necessaria
•Essere “aperta” a nuove esigenze e tecnologie
Schema “Nuova Lan”
Schema di massima
Schema “Nuova Lan”
Backbone
E’ costituito da due apparati, in backup l’uno all’altro.
Essi operano sia a livello 2 che a livello 3. Le
ridondanze sono gestite con EAPS (livello 2) e
OSPF/ESRP (livello 3). I due apparati sono collegati tra
loro con link separati a livello 2 e a livello 3. Il link di
livello 2 fa passare anche il traffico di livello 3 con un
bassissimo valore di priorità, per dare una ulteriore fault
tolerance in caso di caduta del trunk, le cui interfacce
stanno su una stessa scheda.
L’apparato primario (BD1) e’ installato in OMISSIS e
quello secondario (BD2) e’ installato al OMISSIS.
Schema “Nuova Lan”
Sistema di Edificio
Sono definiti tredici sistemi di edificio, ciascuno
costituito dagli armadi afferenti ad uno o più edifici
distinti, e dotato di due apparati connessi tra loro, in
backup l’uno all’altro. L’apparato primario e’ connesso
a BD1, quello secondario a BD2. Le ridondanze sono
gestite con EAPS (livello 2) e OSPF /ESRP(livello 3).
I modelli usati sono diversi edificio per edificio in
relazione al numero di piani facenti parte del sistema
edificio.
I sistemi di edificio connettono gli armadi di piano
afferenti a quell’edificio.
Schema “Nuova Lan”
Sistema di piano
In ogni armadio di piano e’ installato il sistema di piano, connesso ai due apparati del
sistema di edificio di sua competenza. Il sistema di piano e’ costituito da switch di
livello 2. Viene garantita la ridondanza dei percorsi verso il sistema di edificio.
Sugli switch sono attivate 4 VLAN di livello 3: uni_trust, uni_untrust, azienda,
strumenti. In alcuni armadi sono attivate anche vlan di livello 2(la vlan immagini nella
maggior parte dei casi, ma anche altre come lab-c, telefonia, server-rad etc.). I valori
numerici(tag) delle 4 VLAN di livello 3 sono diversi nell’ambito di ogni edificio.
Nel file NUMERIP-BB sono riportati i dati per edificio e per piano, tra cui i tag delle 4
vlan e gli indirizzi IP usati dalle stesse.
Il monitoraggio della “Nuova Lan”
Monitoraggio
•Schelta strumento
•Open source?
•Prodotto di terze parti?
•Prodotto aderente al marchio del produttore degli
apparati?
Il monitoraggio della“Nuova Lan”
Monitoraggio
•Cosa deve fare
•Gestire inventario apparati
•Gestire gli allarmi
•Visualizzare lo schema fisico (apparati e link)
•Salvare in modo automatico le configurazione
•Aiutare a distribuire i nuovi firmware
•Mandare via mail e sms allarmi e segnalazioni
•Consentire in modo veloce una diagnostica in caso
di problemi
Il monitoraggio della“Nuova Lan”
Monitoraggio
Ci diamo una occhiata?
Sicurezza della “Nuova Lan”
Firewall
Sicurezza della “Nuova Lan”
Altri sistemi per la “sicurezza”
•Sonde IDS / IDP
•Sistema centralizzato gestione antivirus
•Accessi VPN on demand
Documentazione
Cosa bisogna documentare
L’inventario degli apparati (gestito con il software di monitoraggio)
Linventario dei PC e la loro permuta sulla presa a muro(gestito con
Landesk)
La permuuta dei PC a livello di apparato di rete (su fogli excel)
La permuta dei link in fibra (su fogli excel)
La situazione degli armadi di rete, numero prese, Link in fibra,
apparati installati (su fogli excel)
Non è possibile continuare con Excel !!
Documentazione
Documentazione
Armadio 52
Armadio 80
Armadio 7D
Documentazione
Documentazione
Cosa fare per migliorare la documentare
Acquisire un software ?
Non c’è molto mercato software su queste tematiche
Quello che c’è e molto CARO!
Fanno tutto! Anche troppo!
Farselo?
Sviluppare solo quello che ci è strettamente necessario
Costi contenuti
Utilizzo di prodotti open source
RENDERLO UN PRODOTTO OPEN SOURCE
Documentazione
Il prototipo
Fine
Domande?