Spis Treści
• Test Penetracyjny NESSUS
• Test Penetracyjny BACKBOX
• Test Penetracyjny BASH SHELL
• Test Penetracyjny METASPLOIT
"Certyfikat CISSP jest niezależnym i obiektywnym świadectwem eksperckim w dziedzinie bezpieczeństwa teleinformatycznego. W czerwcu 2004 roku CISSP został pierwszym certyfikatem spełniającym standard ISO 17024:2003 oraz akredytowanym przez ANSI." - Wikipedia
Zend
Test penetracyjny - proces polegający na przeprowadzeniu kontrolowanego ataku na system teleinformatyczny, mający na celu praktyczną ocenę bieżącego stanu bezpieczeństwa tego systemu, w szczególności obecności znanych podatności i odporności na próby przełamania zabezpieczeń. Wikipedia
Laboratorium CCDE
Bank of Jersey
To ostatnie laboratorium praktyczne to moduł "obszaru specjalizacji", który obejmuje określone obszary technologiczne w połączeniu z technologiami modułów podstawowych. Będzie to ostatni egzamin laboratoryjny w sesji popołudniowej, który wybierzesz podczas właściwego egzaminu. Obszary specjalizacji CCDE V3 są następujące:
• Usługi lokalne i w chmurze
• Mobilność siły roboczej
• Sieci wielkoskalowe
To laboratorium praktyczne opiera się na fikcyjnej firmie Bank of Jersey i obejmuje połączenie hostingu lokalnego z badaniem rozwoju usług hostingu za pośrednictwem usług w chmurze.
Ćwicz nawigację w laboratorium
• Przeczytaj, rób notatki i zaznacz podstawowe informacje dotyczące wszelkich istotnych informacji, w tym ograniczeń, które Twoim zdaniem mogą pomóc w podjęciu decyzji projektowej.
• Odpowiedz na każde pytanie, zanim przejdziesz do następnego pytania. Pytania zostały oddzielone od siebie, gdyż w kolejnych pytaniach można podać dodatkowe informacje.
• Po uzupełnieniu pytania nie wracaj do poprzednich pytań, ponieważ nie będziesz mieć takiej możliwości podczas egzaminu laboratoryjnego. Możesz jednak odwołać się do dowolnego poprzedniego eksponatu (e-maila lub diagramu), który został już dostarczony.
• Poświęć trochę czasu na analizę bieżącego środowiska. Musisz wchłonąć obecną pozycję i zwizualizować dowolny cel końcowy, łącząc się ze scenariuszem.
• Nie należy przyjmować założeń, ponieważ wszystkie wymagane informacje zostały podane w celu podjęcia świadomej decyzji.
• Aby podejmować decyzje oparte na faktach, należy wziąć pod uwagę wszystkie informacje zawarte w dokumentacji podstawowej i nowe informacje dostarczone w wiadomościach e-mail.
• Myśl jak architekt, a nie jak CCIE.
• Dlaczego? Skoncentruj się na dlaczego.
• Staraj się ukończyć laboratorium w ciągu dwóch godzin. Jeżeli nie uda Ci się ukończyć laboratorium w zalecanym terminie, zanotuj to gdzie byłeś po dwóch godzinach, aby ocenić swój wynik, a następnie kontynuuj ćwiczenia aż do ich zakończenia. Nie przechodź do sekcji z recenzjami, dopóki nie skończysz, aby uzyskać maksymalne korzyści z doświadczenia w laboratorium praktycznym.
Laboratorium ćwiczeń
Podczas tego laboratorium praktycznego będziesz architektem sieci dla Banku Jersey.
Dokument 1: Podstawowe informacje o firmie
Bank of Jersey został założony w 1905 roku przez założycieli Royal Bank of London w Wielkiej Brytanii. Jersey znajduje się w Kanale La Manche pomiędzy Wielką Brytanią a Francją na Wyspach Normandzkich i zostało wybrane przez założycieli jako lokalizacja, która miała wykorzystać Jersey jako samorządną demokrację parlamentarną uzależnioną od Korony Brytyjskiej. Jersey ma własną niezależną administrację oraz system prawny i finansowy, co pozwala jej działać niezależnie od Wielkiej Brytanii, która jednak zapewnia wyspę obronę. Jersey cieszy się dojrzałym ruchem wolnym od handlu z Wielką Brytanią, co jak dotąd okazało się korzystne dla obu krajów. W ciągu ostatnich 25 lat Bank czerpał korzyści z pobytu na Jersey, stając się jednym z największych na świecie "off-shore" centrów finansowych, podczas gdy Wielka Brytania pełni rolę kanału świadczącego usługi finansowe. Wyspa nie jest oficjalnie "wolna od podatku". Jednakże przed 2008 rokiem podatek od towarów i usług nie obowiązywał w odniesieniu do towarów i usług, co umożliwiło Bankowi pozyskanie znaczących klientów. Klienci skorzystali na skutecznej europejskiej luce prawnej, która umożliwiła im legalny dostęp do ulgi dla przesyłek o niskiej wartości w celu utworzenia na wyspie wolnych od podatku centrów realizacji dostaw. Zjednoczone Królestwo zaszkodziło swoim stosunkom z Bank of Jersey jako całością, gdy w 2012 r. usunięto lukę prawną i wprowadzono na wyspie podatek od wartości dodanej. Można to przypisać 90% głównych klientów opuszczających wyspę, w wyniku czego gospodarka Jersey znacznie ucierpiała. W 2011 roku Bank dokonał znacznych inwestycji w swoje systemy informatyczne, a poważną porażką była utrata wielu klientów tak szybko po inwestycji, która nie osiągnęła zwrotu z inwestycji. Bank czerpał jednak korzyści ze znacznej liczby zamożnych osób niebędących rezydentami, posiadających rachunki wielowalutowe oraz dużej liczby przedsiębiorstw europejskich ze względu na długotrwały status "offshore". Niemniej jednak wzrost w każdym obszarze spadł, a odpływ klientów wzrósł w związku z niedawnym mandatem Unii Europejskiej dotyczącym przejrzystości, zgodnie z którym posiadacze rachunków (zarówno osoby fizyczne, jak i przedsiębiorstwa) zgodnie z prawem muszą deklarować posiadane udziały finansowe niezależnie od położenia geograficznego. Dzięki temu w miejscu zamieszkania osoby fizycznej lub przedsiębiorstwa przestrzegane są lokalne przepisy podatkowe. Bank, w odróżnieniu od niektórych konkurentów, wykazał się wyjątkową współpracą w zakresie realizacji powierzonego mu zadania i swobodnie udostępniał władzom informacje. Dzielenie się informacjami przyczyniło się do załamania działalności do tego stopnia, że dyrektor generalny bezpośrednio stwierdził, że Bank osiągnął obecnie pozycję, w której aby przetrwać, musi dokonać zmian w europejskich bankach i zaoferować innowacyjne, tanie rozwiązania bankowe, aby odzyskać udział w rynku. Dyrektor generalny początkowo chce konkurować z brytyjskimi bankami z głównych ulic, ponieważ rynek brytyjski zapewniłby mniej złożoną penetrację, a następnie przeniósłby się na rynki europejskie ze wszystkimi związanymi z tym zawiłościami związanymi z Brexitem, co w mniejszym stopniu nadal będzie dotyczyło Wysp Normandzkich. Dyrektor generalny przewiduje produkt bankowości internetowej, który znacznie zwiększy przychody poprzez skalowanie do szerokiej bazy, a także mógłby stać się kanałem dla klientów inwestycyjnych o dużej wartości. Dyrektor generalny zapowiedział, że udostępniony zostanie znaczny budżet, aby zapewnić, że systemy informatyczne Banku będą mogły świadczyć niezbędne usługi, ale tylko pod warunkiem, że uda się wykazać zwrot z inwestycji w ciągu jednego roku. Bank niedawno rozszerzył swoją obecność na Wyspach Normandzkich, otwierając wiele oddziałów na Guernsey, sąsiedniej Wyspie Normandzkiej, gdzie przepisy dotyczące handlu finansowego są identyczne. Guernsey posiada również duży kampus z centrum obsługi telefonicznej i zapleczem szkoleniowym oraz, dogodnie, lądowiskiem dla helikopterów zarezerwowanym dla dyrektora generalnego i najważniejszych klientów na zaproszenie.
Dokument 2: Informacje o sieci
Bank of Jersey posiada aktywny DC w St Helier w południowej części wyspy oraz zapasowy DC w Priory Inn, położonym 15 km dalej w północnej części wyspy. Sieć składa się z następujących stref/obszarów:
1. Sieć BankExt do połączeń zewnętrznych z dostawcami usług internetowych i połączeniami B2B innych firm.
2. Sieć BankDMZ do hostowania publicznych systemów bankowych i łączności RAS dla pracowników.
3. Sieć bankowa do hostingu systemów wewnętrznych i łączności z siecią korporacyjną dla pracowników zlokalizowanych w lokalizacjach DC i odległych oddziałach/kampusach.
Usługi są świadczone w warstwie 2 we wszystkich strefach, co pozwala na migrację maszyn wirtualnych i dynamiczne przełączanie awaryjne usług z polityką braku pojedynczych punktów awarii w infrastrukturze sieciowej. Chociaż pierwotnie planowano, że Priory Inn będzie rezerwowym kontrolerem domeny z pełnym przełączaniem awaryjnym systemów i synchroniczną replikacją danych między lokalizacjami, w obu lokalizacjach działają aktywne usługi. Poniższy rysunek szczegółowo opisuje podstawową topologię sieci Bank of Jersey.
Sieć BankExt
Sieć zewnętrzna składa się z sieci publicznej, w której znajdują się routery ISP i routery połączeniowe innych firm, które zapewniają kanały rynkowe i łączność B2B. Przełączniki w sieci należą wyłącznie do warstwy 2 i propagują lokalne sieci VLAN pomiędzy lokalizacjami DC, zapewniając funkcję aktywnego/gotowego działania dla zapór sieciowych korzystających z VRRP i zewnętrznego routingu do stron trzecich korzystających z HSRP. Stan zapory sieciowej i sieci VLAN o wysokiej dostępności są propagowane między lokalizacjami przy użyciu sieci VLAN bez adresu IP. Routing innych firm i B2B jest statyczny od zapory ogniowej do adresów HSRP routerów, a wiele sieci VPN IPsec kończy się na zewnętrznych zaporach ogniowych dla połączeń B2B przez Internet. W poniższej tabeli szczegółowo opisano sieci VLAN używane w sieci BankExt.
Podstawową lokalizacją wszystkich urządzeń w sieci BankExt jest St Helier DC. W przypadku awarii zapory ogniowej w lokalizacji St Helier, zapasowa zapora stanowa przejmuje usługę w Priory Inn DC, routery ISP i routery innych firm obsługujące usługi takie jak SWIFT i Reuters pozostają aktywne w St Helier, a routing między lokacjami jest utrzymywany do czasu przywrócenia zapory. W przypadku awarii całego obiektu w St. Helier wszystkie usługi zostaną dynamicznie przełączone awaryjnie do lokalizacji Priory Inn. Sieci VLAN są połączone z zaporami sieciowymi BankExt za pośrednictwem EtherChannels. Standard 802.1w STP jest wykorzystywany w łączach warstwy 2 o przepustowości 1 Gb/s pomiędzy lokalizacjami DC w domyślnej konfiguracji, aby zapewnić topologię pozbawioną pętli pomiędzy lokalizacjami. Łącze w górę do dostawcy usług internetowych z sieci BankExt wynosi 2 Gb/s z każdej lokalizacji w konfiguracji EtherChannel. W przypadku ruchu wychodzącego z Banku w sieci używana jest trasa domyślna, która wskazuje adres HSRP routerów ISP z aktywnym routerem HSRP ISP zlokalizowanym w St Helier. W przypadku ruchu przychodzącego do Banku dostawca usług internetowych korzysta z oczekującej ścieżki AS na routerze Priory Inn, aby zapewnić, że cały ruch z Internetu jest domyślnie kierowany do St Helier. Polityka bezpieczeństwa stanowi, że połączenia zewnętrzne mogą płynąć wyłącznie do lub przez sieć BankExt do sieci BankDMZ, a nie do sieci Banknet.
Sieć BankDMZ
Przełączniki w sieci BankDMZ działają wyłącznie w warstwie 2 i propagują lokalne sieci VLAN pomiędzy lokalizacjami DC, zapewniając funkcję aktywną/gotową. Topologia kanapkowa zapory sieciowej jest tworzona w sieci BankDMZ z zaporami ogniowymi różnych dostawców z sieci BankExt, ale zapewnia tę samą charakterystykę VRRP i stanu przełączania awaryjnego. Koncentrator VPN usług dostępu zdalnego (RAS) jest zakończony w dedykowanej sieci VLAN w celu umożliwienia pracownikom zdalnego dostępu w obrębie strefy. Sieć BankDMZ obsługuje publiczne usługi produkcyjne i nieprodukcyjne w ramach połączenia usług z równoważeniem obciążenia i bez równoważenia obciążenia z modułów równoważenia obciążenia, które również znajdują się w sieci BankDMZ. Dedykowane sieci VLAN zapewniają łączność VIP typu frontend dla usług z równoważeniem obciążenia. Zaplecze Sieci VLAN zapewniają bezpośredni dostęp do serwerów w przypadku usług bez równoważenia obciążenia oraz łączność dla serwerów zaplecza na potrzeby usług w sieci z równoważeniem obciążenia. Sieci VLAN są połączone z zaporami sieciowymi BankDMZ za pośrednictwem EtherChannels. W domyślnej konfiguracji na łączach warstwy 2 o przepustowości 1 Gb/s stosowany jest protokół STP 802.1w, aby zapewnić topologię pozbawioną pętli między lokalizacjami. Poniższa tabela przedstawia sieci VLAN używane w sieci BankDMZ.
Sieć DC Banknetu
Wewnętrzna sieć DC i DCI to głównie warstwa 2 z technologią Multi Chassis EtherChannel (MEC) ulepszoną ze starszej topologii drzewa opinającego. Usługi są świadczone w warstwie 2 pomiędzy kontrolerami domeny, zapewniając możliwość migracji maszyn wirtualnych i dynamicznego przełączania awaryjnego usług. Sieci LAN DC są połączone za pośrednictwem DCI MEC 20 Gb/s pomiędzy przełącznikami rdzeniowymi. Przełączniki podstawowe zapewniają agregację warstwy 2 dla dostępu serwerów i użytkowników w każdym DC oraz dostęp do wszystkich bram HSRP warstwy 3 pomiędzy lokalizacjami. Wieloobszarowy protokół OSPF jest używany do trasowania między kontrolerami DC za pośrednictwem DCI w przypadku nierozdzielonych sieci VLAN oraz do zapewniania kopii zapasowych między lokalizacjami w przypadku awarii sieci WAN w którejkolwiek lokalizacji DC. W obrębie DC jest używanych około 200 sieci VLAN, przy czym większość sieci VLAN jest rozmieszczona pomiędzy lokalizacjami, a na każdym DC jest ograniczona liczba lokalnych sieci VLAN. Synchroniczna replikacja danych jest stosowana w systemach mainframe Banku działających aktywnie w St Helier i rezerwowych w Priory Inn, podłączonych do oddzielnej sieci SAN, która wymaga czasu RTT 2 ms (milisekundy) lub mniej do pomyślnej replikacji zapisu przy użyciu FCoIP przez sieć Banknet pomiędzy systemami w każdym DC. Środowisko obliczeniowe to przede wszystkim maszyny wirtualne z dużą liczbą starszych serwerów typu bare-metal. Menedżerowie połączeń głosowych IP i oparte na urządzeniach moduły równoważenia obciążenia łączą się bezpośrednio z przełącznikami sieci szkieletowej. Poniższy rysunek przedstawia sieci prądu stałego.
Bankowa sieć WAN
Wewnętrzną sieć WAN zapewnia firma Jerseytel, z pojedynczą siecią VPN MPLS warstwy 3, łączącą wszystkie oddziały i lokalizacje kampusów z lokalizacjami DC. Indywidualne routery CE Jerseytel łączą się z każdą stroną sieci DC LAN za pomocą podwójnych interfejsów 1 Gb/s połączonych w kanale EtherChannel, zapewniając 2 Gb/s do DC w każdej lokalizacji i łącze wysyłające 1 Gb/s do sieci Jerseytel. Prefiksy DC są anonsowane w sieci MPLS przy użyciu eBGP z każdego DC, z ustawionymi wartościami MED, aby zapewnić, że sieć MPLS wysyła cały ruch do prefiksów DC za pośrednictwem aktywnej lokalizacji St Helier DC. Ruch wychodzący z każdego kontrolera domeny z łączonych sieci VLAN do sieci WAN wykorzystuje połączenie WAN St Helier, ponieważ St Helier jest aktywną lokalizacją HSRP dla łączonych sieci VLAN. Zdalne oddziały i kampusy są połączone z siecią WAN MPLS z dwoma adresami, a prędkość połączenia różni się w zależności od rozmiaru i wymagań każdej lokalizacji. Wszystkie łącza są skonfigurowane do podziału obciążenia. QoS jest skonfigurowany w sieci z czterema klasami dla ruchu głosowego, aplikacji o znaczeniu krytycznym, danych transakcyjnych i klasy domyślnej. Sieć WAN zapewnia dostęp do głównej siedziby Guernsey w St Andrew, która pełni funkcję węzła komunikacyjnego dla ruchu na wyspie Guernsey z dwutorowymi obwodami łodzi podwodnych do Jersey. Poniższy rysunek ilustruje sieć WAN.
Lokalizacje oddziałów i kampusów
Na Wyspach Normandzkich znajdują się 22 oddziały, z czego 13 znajduje się na Jersey. Każda gałąź składa się z podwójnych połączeń MPLS, zazwyczaj z połączeniami 10 Mb/s i podwójnych przełączników warstwy 2 połączonych razem bez pojedynczych punktów awarii. Każdy przełącznik oddziałowy zawiera cztery sieci VLAN skonfigurowane z routerem MPLS CE jako DGW dla każdej sieci VLAN z siecią bankomatów, Banknet VLAN dla lokalnych systemów bankowych oraz sieć VLAN dostępu dla pracowników i sieć głosową VLAN dla telefonów VoIP. Lokalizacje kampusowe mają dodatkową przepustowość MPLS (w zależności od liczby pracowników) ze zwiniętym rdzeniem warstwy 3 i przełącznikami warstwy 2 podłączonymi do zwiniętego rdzenia w całym kampusie z PoE. OSPF jest używany w kampusowych lokalizacjach sieci MPLS do trasowania do podwójnych routerów CE i reklamowania lokalnych sieci VLAN.
Zarządzanie siecią
Wszystkie narzędzia do zarządzania, które uzyskują dostęp do infrastruktury, są zlokalizowane w oddzielnej pozapasmowej sieci zarządzania Ethernet, która obejmuje oba DC. Zapory ogniowe są używane pomiędzy narzędziami VLAN i wieloma sieciami VLAN, które łączą się z portami zarządzania infrastruktury. Firewall łączy się z produkcyjną siecią Banknet w celu zapewnienia dostępu do zdalnych lokalizacji WAN. W Banku obowiązuje polityka, zgodnie z którą z infrastrukturą mogą łączyć się wyłącznie hosty narzędzi do zarządzania w oparciu o adres IP i określone protokoły zarządzania.
Dokument 3: Istotne informacje
Sieć i DCI to głównie warstwa 2 z technologią MEC (wirtualne przełączanie z możliwością obsługi EtherChannel w wielu obudowach) zmodernizowaną ze starszej topologii drzewa opinającego, co przypisano poważnej awarii w obu centrach danych w 2018 r. To trafiło na pierwsze strony gazet w międzynarodowej prasie, a zaangażowany był organ nadzoru bankowego, co doprowadziło do inwestycji w infrastrukturę MEC w celu łagodzenia skutków. Po zainstalowaniu technologii MEC nie napotkano żadnych dodatkowych problemów, jednak personel IT nie ma pewności, czy ryzyko warstwy 2 zostało w pełni ograniczone. Bank of Jersey chce umożliwić swoim systemom informatycznym oferowanie rachunku wyłącznie online, jaki planuje dyrektor generalny; jednakże badanie możliwości infrastruktury sieciowej i obliczeniowej wykazało, że w celu niezawodnego wspierania wprowadzenia nowego produktu na rynek konieczna będzie modernizacja systemów informatycznych. Bank niedawno zlecił grupie konsultantów finansowych IT na dwa tygodnie oficjalne zbadanie obecnych systemów informatycznych i wydanie zaleceń mających na celu zwiększenie odporności i dostępności oraz określenie, co będzie wymagane do hostowania nowego, innowacyjnego systemu dostępnego wyłącznie online konta. Ich ustalenia podsumowano w następujący sposób:
1. Istniejący plan ciągłości działania nie obejmuje zdarzeń naturalnych, takich jak powodzie, zmieniające się warunki pogodowe, bezprecedensowe zdarzenia sejsmiczne i ekstremalne powodzie spowodowane podnoszącym się poziomem mórz.
2. Możliwe są zakłócenia w kluczowej działalności biznesowej, w tym w obiektach i przestrzeni roboczej, infrastrukturze i systemach informatycznych oraz łańcuchów dostaw oparty na znalezieniu jednego.
3. Nie istnieje system rozliczania personelu w przypadku klęski żywiołowej.
4. Systemy obliczeniowe instalowane są doraźnie, bez strategii i na minimalną skalę, projekt po projekcie.
5. Systemy przechowywania i replikacji dobiegają końca.
6. Systemy bankomatów obsługują starsze protokoły sieciowe z aplikacjami adresującymi innymi niż DNS.
7. System RAS zapewnia dostęp tylko dla 50% pracowników i jest podłączony tylko do głównego DC.
8. Publiczne zakresy adresów IP zostały wyczerpane.
9. Obecny ISP BW jest nasycony długimi czasami realizacji na BW (co będzie wymagało zwiększenia liczby nowych obwodów).
10. Na połączeniach ISP nie stosuje się czyszczenia pakietów. Poprzedniej awarii DDoS można było zapobiec, instalując odpowiednie systemy.
11. Połączenia stron trzecich mają ograniczone zabezpieczenia.
12. Infrastruktura sieciowa dobiega końca i jej wydajność jest już wyczerpana, co uniemożliwia rozwój lub wydajność wymaganą w przypadku nowych inicjatyw.
13. Nie ma dedykowanego obiektu sieci testowej ani przedprodukcyjnej. Wdrażanie usług bez oddzielnego testowania ich przed dostawą wiąże się z ryzykiem dla sieci produkcyjnej.
14. Rezerwowy kontroler domeny obsługuje aktywne maszyny wirtualne i dlatego nie jest rezerwowym kontrolerem domeny. Ryzyko i nieoptymalny przepływ ruchu są wysoce prawdopodobne.
15. Sieć Banknet jest domyślnie otwarta, a użytkownicy oddziałów mają dostęp do wszystkich zasobów DC i oddziałów zdalnych.
16. Sieć opiera się na starym drzewie rozpinającym w wielu obszarach/strefach.
17. Nie istnieje skuteczny system sprawdzania podatności i etapowania złożonych zmian.
18. Systemy zarządzania konfiguracją są zastrzeżone i kod nie jest utrzymywany.
19. Dane SNMP nie są skutecznie zarządzane i nie ma na to wystarczającej pojemności.
20. Nie istnieją żadne procedury testowe umożliwiające regularne testowanie odpornych usług.
"Witamy na pokładzie. Dołączyłeś do zespołu w ekscytującym momencie i nie możemy się doczekać, aby skorzystać z Twojego doświadczenia. Mamy nadzieję, że przeczytałeś przekazane Ci informacje, aby być na bieżąco. Jak zapewne zauważyłeś, mieliśmy ustalenia opublikowane przez konsultantów z Wielkiej Brytanii Dyrektor ds. technologii spodziewał się pewnych problemów, ale nie był przygotowany na liczbę kwestii, którymi ostatecznie będziemy musieli się zająć. Właśnie odbyłem z nim rozmowę indywidualną i to on będzie się głównie skupiał o pomyślnym zapewnieniu ciągłości działania zgodnie z zaleceniami w celu zbudowania architektury zdolnej do realizacji naszej nowej inicjatywy dotyczącej nowej inicjatywy dotyczącej kont online, którą nazwiemy "Kanałem". Ostatecznie wygląda na to, że będziemy potrzebować nowej lokalizacji w DC i będzie to oznaczać odejście od istniejącego obiektu w Priory Inn (jednak być może będziemy mogli skorzystać z osobnego, nowego, ulepszonego obiektu na obszarze Priory Inn), przy jednoczesnym utrzymaniu obecności w St. Helier. Proszę o pomoc w wyborze najlepszej możliwej nowej lokalizacji. Poniżej znajdują się lokalizacje, które CTO bada pod kątem związanych z nimi kosztów. Zdajemy sobie sprawę, że będzie to duża inwestycja i że taka jest nasza istniejąca technologia raczej nie będzie nadawać się do tego celu, dlatego rozważymy również zapewnienie nowej sieci DCI pomiędzy lokalizacjami, a także nowej sieci LAN DC w każdej lokalizacji. Dyrektor ds. technologii doradził nam, że powinniśmy starać się zapewnić dwukrotnie większą przepustowość między lokalizacjami niż poprzednio Sieć Banknet, która obejmuje replikację systemów. Zatem lokalizacja końcowa A może pozostać w St Helier DC i będziemy nadal korzystać z replikacji synchronicznej w naszych systemach i głównej aplikacji bankowej. Dyrektor generalny nalegał, abyśmy używali Jerseytel łączność (jestem prawie pewien, że gra w golfa z dyrektorem generalnym Jerseytel i współpracuje z nami). Poradzono nam, że będziemy potrzebować co najmniej dwóch różnie poprowadzonych obwodów, aby mieć pewność, że nie będzie pojedynczych punktów awarii (wszystkie obwody będą "tylko przewodami/włóknami" bez infrastruktury SP, z wyjątkiem obwodów MPLS, które będą wyposażone w zarządzaną urządzenie CPE). Zatem, powtórzmy, dotyczy to wyłącznie Banknetu. Po ustaleniu najlepszego sposobu działania dla Banknet uporządkujemy sieci BankExt i BankDMZ. Oto informacje o obwodzie (koszty dotyczą obwodu/kanału)"
To jest mapa Jersey z obszarami St Helier i Priory Inn. Jak wiadomo jest to dość mała wyspa (około 15 km szerokości).
Oto inne opcje w Guernsey (Wyspy Normandzkie) i Portsmouth (Wielka Brytania), wraz z przybliżonymi odległościami
Pytanie 1: Który typ obwodu i nowa lokalizacja DC zapewniają Bankowi najbardziej odpowiednią opcję przy minimalnych kosztach dla nowej lokalizacji DC? (Wybierz jedną opcję z A-D dla typu obwodu i jedną opcję z E-G dla lokalizacji.)
A. Podwójne obwody metropolitalne 100G Ethernet
B. Podwójne obwody metra 40G Ethernet
C. Wiele kanałów 10G DWDM
D. Wiele obwodów 10G MPLS (L2 lub L3 VPN).
E. Priory Inn Jersey
F. Świętego Andrzeja Guernsey
G. Portsmouth w Wielkiej Brytanii
Pytanie 2: Czy istnieją potencjalne problemy związane z używaniem Portsmouth jako lokalizacji zapasowego kontrolera domeny? (Wybierz jeden.)
A. Nadmierne opóźnienia dla wymagań replikacji
B. Suwerenność danych
C. Zarządzanie danymi
D. Wysokie koszty operacyjne, jeśli wymagane są dalsze kanały DWDM
Odpowiedzi
Pytanie 1
C. Wiele kanałów 10G DWDM. Jest to optymalna opcja. Ponieważ jedyne typy obwodów dostępne w Portsmouth to 10 Gb/s, wymagane będą cztery obwody i należy zastosować pewne obliczenia matematyczne, aby upewnić się, że całkowity koszt nie stanowi problemu. 4 kanały DWDM będą kosztować 40 tys. funtów nakładów inwestycyjnych i 60 tys. funtów kosztów operacyjnych w całym okresie (łącznie 100 tys. funtów). Obwody MPLS wyniosłyby w całym okresie nakłady inwestycyjne wynoszące 48 tys. GBP i 56 tys. GBP (łącznie 104 tys. GBP). DWDM jest zatem minimalnie bardziej opłacalny niż MPLS. Ostateczne porównanie mające na celu określenie, które obwody będą optymalne, wymagałoby podwójnego sprawdzenia opcji technologicznych. W tym przypadku kanały DWDM zapewniłyby większą elastyczność z możliwością łączenia łączy VLAN lub trasowania zgodnie z wymaganiami. Sieć MPLS może również świadczyć usługi L2 lub L3, ale należy przyjąć pewne założenia dotyczące dodatkowego opóźnienia, a w celu spełnienia wymagań dotyczących opóźnienia replikacji może być wymagana inżynieria ruchu. DWDM zapewni zatem większą elastyczność i wydaje się spełniać wszystkie określone wymagania. Ostatecznie nie ma istotnego powodu, dla którego miałbyś wybrać droższą ofertę MPLS, która może oferować mniejszą elastyczność.
G. Portsmouth w Wielkiej Brytanii. Portsmouth w Wielkiej Brytanii to optymalny wybór w przypadku lokalizacji fizycznej, zapewniający prawdziwą separację geograficzną, a opóźnienie powyżej 170 km będzie poniżej wymaganego czasu RTT 2 ms, jak szczegółowo opisano wcześniej. Ponieważ jedyne typy obwodów dostępne w Portsmouth to 10 Gb/s, wymagane będą cztery obwody.
Pytanie 2
B. Suwerenność danych. To jest optymalna odpowiedź. Chociaż nie jest to określone ograniczenie, istnieją pewne podstawowe informacje dotyczące sposobu, w jaki Wielka Brytania i Jersey działają na poziomie fiskalnym, ale ostatecznie są to odrębne kraje i mają odrębne rządy. W związku z tym przepisy dotyczące suwerenności danych mogą się różnić, w związku z czym mogą wystąpić problemy w sposobie przechowywania i przetwarzania danych w różnych krajach, dlatego rozsądnie jest sprawdzić, czy rzeczywiście istnieje taki problem.
