Развитие корпоративной сети — дело такое же увлекательное и практически бесконечное, как ремонт дома, тюнинг автомобиля или ландшафтный дизайн: сколько этим ни занимайся, всегда можно еще чтото улучшить. Но в этом процессе время от времени происходят «фазовые переходы», когда вносится сразу много изменений, меняется архитектура, концепция, подход. В коммерческом банке «Кольцо Урала» такой переход был стремительным и привел к впечатляющим результатам.
Банк «Кольцо Урала» — один из старейших в уральском регионе, в феврале 2007 года он отметил свое восемнадцатилетие. В 2004-м произошла смена собственников, и новый стратегический партнер банка — Уральская горно-металлургическая компания — поставил задачу его дальнейшего развития, значительного расширения клиентской базы и поддержки масштабных «зарплатных» проектов. В результате резкого увеличения спектра предлагаемых продуктов и услуг, роста числа обслуживаемых клиентов, а также количества филиалов и дополнительных офисов в регионах существенно выросли информационные потоки. В банке была внедрена новая автоматизированная банковская система «ЦФТ-Банк», карточные зарплатные проекты потребовали организовать сеть банкоматов и наладить самостоятельный выпуск пластиковых карт. В октябре 2006 года банк запустил и собственный процессинговый центр, что позволило значительно расширить спектр предоставляемых услуг.
Понятно, что проекты такого класса не могут обходиться без надлежащей сетевой инфраструктуры, но старая инфраструктура уже не могла справиться с растущим количеством операций и документов. В результате параллельно c внедрением бизнес-приложений и созданием вычислительных ресурсов в течение 2005 — 2006 года в банке шел проект построения сети передачи данных, адекватной нынешним задачам и рассчитанной на дальнейший рост.
Выбор решения и поставщика услуг
Прежняя сеть была спроектирована и введена в эксплуатацию более десяти лет назад. Аппаратура 3Com и Motorola работала бесперебойно, но, к сожалению, её функциональные возможности уже не соответствуют современным банковским требованиям. Модернизировать устаревшие устройства не представлялось возможным. Делать гетерогенное решение не хотели: специалисты банка посчитали, что лучше обойтись без интеграции разнородного оборудования и иметь дело с одним вендором, который способен предоставить полную аппаратную линейку. Было принято решение установить абсолютно новое современное оборудование, и выбор остановился на Cisco, тем более что сотрудникам департамента продукция этой компании давно знакома.
И всё же совсем без интеграции обойти не удалось, так как банк использует телефонное решение Avaya (Media Server 8500S с шлюзом G650). «У нас более двухсот IP-телефонов, — рассказывает Михаил Цепаев, заместитель начальника управления информационных технологий банка. — В значительной степени переход на IP-телефонию был инициирован тем, что наши офисы расположены в нескольких зданиях, к тому же у нас постоянные переезды, расширение бизнеса, открытие филиалов; каждый раз перенастраивать аналоговые станции невозможно, поэтому мы стали активно использовать IP-телефонию. Сейчас у нас одно из крупнейших решений такого класса в регионе».
В филиалах установлены шлюзы G250, G350 и IP Office, тем самым для всех подразделений банка организован единый нумерационный план; связь между филиалами ведётся по внутренней IP-сети, что позволяет значительно экономить на междугородных разговорах. Передача мультимедийных данных (например, видеоконференции) вполне возможна, хотя пока не практикуется. Учитывая все это, специалисты банка пришли к выводу, что с точки зрения защиты инвестиций имеет смысл заранее предусмотреть мультимедийные возможности корпоративной сети, даже если они не будут востребованы сразу. Чтобы каналы связи позволяли поддерживать такие сервисы без ущерба для работы других приложений, очень важно, чтобы сеть передачи данных обеспечивала управление пропускной способностью (QOS).
Однако с каналами связи ситуация была неоднозначная. «Там, где есть наземные каналы, проблем практически не бывает, провайдеры очень быстро подключают новые точки, — рассказывает Михаил Цепаев. — В Екатеринбурге практически везде протянута сеть оптоволокна. Ее стоимость аналогична медным кабелям, во многих жилых кварталах в городе уже проложено по два оптоволоконных канала в каждом доме. Но часть населенных пунктов, где размещены банкоматы банка, не имеют наземных каналов связи».
По этой причине на первоначальном этапе в качестве поставщика услуг связи банк выбрал компанию «Эквант» (нынешнее название — Orange Business Services). «Предоставить каналы связи могут почти везде, где нам нужно, кроме некоторых точек на рудниках, — продолжает Михаил Цепаев. — В последнее время мы стали активно сотрудничать с телекоммуникационной компанией "УГМК-Телеком". Нам важно, чтобы провайдер быстро реагировал на наши запросы и своевременно, в рамках SLA, устранял проблемы. Кроме того, вместе с провайдером мы разработали план создания резервных каналов, в том числе и спутниковых. Для спутниковых каналов характерны большие задержки при передаче данных, которые отрицательно влияют на работу клиент-серверных приложений. Однако нам удалось настроить терминальную службу Microsoft на приемлемом уровне». Это долгосрочный проект, который будет закончен к концу 2007 года.
Еще один параметр, повлиявший на выбор решения, — цена простоя бизнес-приложений. Оценить стоимость простоя в банке довольно сложно, тем не менее требования к обеспечению непрерывности бизнеса высоки — не только в силу использования терминальных решений, но и по самому характеру карточных зарплатных проектов. Многие банкоматы размещены на территории предприятий или у проходных, и их бесперебойная работа — важный фактор хорошего психологического климата на заводах.
В связи с этим банку требовался наивысший уровень сервиса, затрагивающий все аспекты работы корпоративной сети — с круглосуточной линией поддержки и возможностью выезда сертифицированных технических специалистов на место возникновения проблемы в течение нескольких часов. Такой сервис банку смог обеспечить золотой партнер Cisco Systems — компания «Открытые технологии». Наконец, серьезное внимание в сетевом проекте было уделено безопасности. Специалисты банка четко сознавали значение этого аспекта: и до установки нового оборудования там действовали внутренние стандарты, ориентированные на рекомендации Банка России, и регулярно проводился внешний аудит. «Корпоративная сеть банка "Кольцо Урала" одной из немногих в стране имеет настолько высокий уровень безопасности», — отметил Андрей Антипинский, директор представительства компании «Открытые технологии» в Екатеринбурге. К поставщику услуг предъявлялись жесткие требования, главное из которых — круглосуточная поддержка и высокий статус вендора. Местный филиал «Открытых технологий» подходил по этим критериям, к тому же и предложенная цена оказалась вполне конкурентной.
Техническое решение
Сеть передачи данных спроектирована по достаточно стандартному модульному принципу и разделена на два сегмента: локальный и внешний. Локальный, в свою очередь разделенный на три зоны (ядрб, пользовательского доступа, серверов), позволяет осуществлять маршрутизацию трафика между виртуальными частными сетями и регулировать его движение с помощью списков доступа, подключать пользователей и серверы организации, а также управлять сетевой безопасностью. Кроме того, каждый коммутатор зон пользовательского доступа и серверов по гигабитному каналу подключается к зоне ядра, что повышает надежность и увеличивает пропускную способность.
Внешний сегмент включает в себя зоны виртуальных частных сетей (VPN), доступа в Интернет, электронной коммерции (процессинговый центр) и демилитаризованную зону, в которой расположены публичные сервисы банка. Это позволяет обеспечить адаптивную безопасность, подключать локальные сети филиалов к инфраструктуре банка, проводить шифрование и фильтрацию трафика, осуществлять доступ пользователей филиалов в Интернет через центральный офис, поддерживать доступ к публичным сервисам банка.
Система обеспечения адаптивной безопасности организована на базе Cisco ASA серии 5500 в режиме резервирования. Это многофункциональное устройство включает систему предотвращения вторжений, высокопроизводительный межсетевой экран и VPN-шлюз и является основным элементом защиты сети передачи данных.
Перспективы
Сейчас корпоративная сеть эксплуатируется уже почти год, и нагрузка на нее продолжает расти. После запуска собственного процессинга банк стал быстро расширять спектр услуг. Кроме того, закончена модернизация почтовой системы. Михаил Цепаев поясняет: «Новая почтовая система на основе Microsoft Exchange, которую внедрила у нас компания "Открытые технологии", дает возможности для эффективной коллективной работы сотрудников, обеспечивает защищенный удаленный доступ с их мобильных устройств к необходимой информации в режиме реального времени. Кроме того, при внедрении полного набора модулей вне офиса сотрудники получили те же возможности, что и на рабочем месте: электронную переписку, синхронизацию адресной книги, персональных данных, календаря и задач с почтовой системой банка». Насколько хватит запаса мощности новой сети, предсказать сложно, но учитывая темпы роста банка, можно быть уверенным, что время её эксплуатации составит не менее трёх лет.
