SERVICEBESCHREIBUNG Wide Area Network Datum: 09.10.2015 Dokument: Servicebeschreibung: Wide Area Network
INHALTSVERZEICHNIS Seite 1 EINLEITUNG 3 2 SERVICEBESCHREIBUNG 4 2.1 Basisdienst 4 2.2 Optionen 5 2.2.1 DHCP Service 5 2.2.2 Link Balancing 6 2.2.3 Gästezone 7 2.2.4 Partner-VPN 8 2.2.5 Traffic Shaping 8 2.2.6 Link-Management 9 3 WEITERFÜHRENDE DOKUMENTE 11 4 DISCLAIMER 11 Copyright United Security Providers AG Seite 2/11
1 EINLEITUNG Dieses Dokument beschreibt den Managed Service "USP Wide Area Network" mit allen Optionen, wie er von USP erbracht werden kann. Dieses Dokument bildet zusammen mit dem vereinbarten Service Level Agreement die verbindliche Grundlage für die Erbringung des Managed Services. Anwendungsgebiet Unternehmen sind oftmals über mehrere Standorte, vielfach sogar über mehrere Kontinente verteilt. Zwischen den Standorten findet ein reger Datenausrausch statt. Neben der Kommunikation zwischen den Mitarbeitenden müssen die Angestellten eines Standorts oft auch auf Ressourcen zugreifen, die sich an einem anderen Ort befinden. Der Wide Area Network Service bietet eine einfache und sichere Möglichkeit für Firmen, ein auf ihre Bedürfnisse zugeschnittenes, standortübergreifendes Datennetzwerk aufzubauen. Der Wide Area Network Service ist unabhängig von ISPs und Übertragungstechnologien. Dadurch kann an jedem Standort die bestmögliche Internetleitung mit dem besten Preis-/Leistungsverhältnis gewählt werden. Unsere Kunden profitieren so von einer hohen Qualität zu einem günstigen Preis. Gleichzeitig können verschiedene Leitungstechnologien verwendet werden. Unsere Kunden erhalten so eine bestmögliche Performance ihrer Services. Gleichzeit profitieren sie von einer sehr hohen Verfügbarkeit des gesamten Netzwerks. USP agiert als Single Point of Contact für alle Belange ihres Wide Area Netzwerks. Unsere Kunden profitieren so von einem einzigen Ansprechpartner, der stets das gesamte Netz im Auge behält und so schnell und effizient Probleme global lösen kann. Copyright United Security Providers AG Seite 3/11
2 SERVICEBESCHREIBUNG 2.1 Basisdienst Der USP Wide Area Network Service bietet eine flexible und effiziente Vernetzung von Standorten. Name des Services Serviceabkürzung Wide Area Network MSS-WAN Serviceversion 2.0 Status Betriebszeiten Operativ OH1: Montag Freitag, 08:00 18:00 CET OH2: Montag Samstag, 07:00 21:00 CET OH3: Montag Sonntag, 0:00 23:59 OH4: Montag Freitag, 08:00 18:00 local time Verfügbarkeitsgarantie ACA: Best Effort ACB: 99.5% Verfügbarkeit während der Betriebszeit ACC: 99.7% Verfügbarkeit während der Betriebszeit ACD: 99.9% Verfügbarkeit während der Betriebszeit Der Service wird anhand der Anzahl Site-to-Site-Verbindungen bemessen. Der Wide Area Network Service verbindet Standorte über sichere IP-VPN- Tunnels. Unabhängig vom Medium, mit welchem der Internet Service Provider (ISP) die Daten zum Standort bringt, wird mit dem Wide Area Network Service ein Firmennetzwerk basierend auf statischen IPSec-VPN- Tunnels realisiert. Alle Endpunkte werden durch das USP Security Operations Center rund um die Uhr überwacht. Bei einem Problem im Netzwerk reagieren unsere Mitarbeiter proaktiv. Das USP Security Operations Center tritt als Single Point of Contact auf und übernimmt Interaktionen mit den ISPs. An allen Standorten können die Internetleitungen von lokalen Providern bezogen werden, so dass ein optimales Preis-/Leistungsverhältnis erreicht wird. Dadurch wird die Leistung des gesamten WANs verbessert. Gleichzeitig können Leitungskosten gespart werden. USP agiert als Single Point of Contact. Bei Verbindungsproblemen übernimmt USP die Koordination mit den verschiedenen Providern. Das Problem wird ganzheitlich betrachtet, wodurch schnell und effizient eine Lösung gefunden werden kann. Neben der schnellen Problemlösung Copyright United Security Providers AG Seite 4/11
profitiert der Kunde davon, dass er einen Ansprechpartner für alle Belange hat und sich nicht um das oft langwierige Management der verschiedenen Parteien kümmern muss. Key Performance Indicators (KPIs) Die Einhaltung der SLA Parameter wird anhand der Verfügbarkeit der Serviceinfrastruktur gemessen. Die folgenden servicespezifischen Werte werden im monatlichen ausgewiesen: - Auslastung der Service Infrastruktur - Datenvolumen gesamthaft und pro Standort - Auslastung der Bandbreite Um den Service zu überwachen, werden die folgenden überwacht: - CPU/RAM-Auslastung der Serviceinfrastruktur - Erreichbarkeit des ISP Routers - Verfügbarkeit der Internet Links - ein- und ausgehendes Datenvolumen pro Standort Für Verfügbarkeitsgarantien, die höher als ACA sind, muss die Serviceinfrastruktur redundant ausgelegt sein. Ein redundanter Setup erfordert die Vergabe statischer privater IP-Adressen. Der Service erfordert eine gültige Fortiguard oder Forticare Subscription der Infrastruktur. Das USP Security Operations Center muss beim ISP als Change-berechtigt hinterlegt werden. 2.2 Optionen 2.2.1 DHCP Service Die Service Infrastruktur agiert als DHCP Server oder leitet DHCP Nachrichten in ein Zielsegment weiter. DHCP Service MSS-WAN-DHCP Die Serviceoption wird anhand der Grösse des Adressranges bemessen. DHCP Relaying wird fix bemessen Damit Clients Netzwerkressourcen verwenden können, müssen sie über eine gültige Adresse verfügen. Diese Adressen werden entweder statisch gesetzt oder dynamisch durch einen DHCP-Server vergeben. Wird diese Option aktiviert, agiert die WAN-Serviceinfrastruktur als DHCP-Server. Dabei werden zwei verschiedene Ausprägungen unterstützt. Entweder fungiert die Infrastruktur für eines oder mehrere interne Segmente als DHCP-Server. Oder alternativ dazu werden die Adressen von einem entfernten Server von der Serviceinfrastruktur entgegengenommen und in das interne Segment weitergeleitet. Copyright United Security Providers AG Seite 5/11
An kleineren Standorten ist oftmals kein DHCP-Server verfügbar. Dadurch, dass die WAN Service Infrastruktur die Rolle des DHCP Servers übernimmt, wird keine zusätzliche Infrastruktur benötigt. Sind die Clients eines Segments nicht bekannt und wechseln häufig, beispielsweise in Gästenetzen, ist eine statische Adressierung nicht möglich. Anstelle des Einsatzes eines dedizierten Servers und somit zusätzlicher Infrastruktur kann diese Aufgabe von der vorhanden Serviceinfrastruktur übernommen werden. Key Performance Indicators (KPIs) Die Einhaltung des SLA wird anhand der KPIs des Basisservices ermittelt. Das wird um die folgenden Daten erweitert: - Anzahl vergebener Adressen pro Tag - gleichzeitig vergebener Adressen Die Anzahl gleichzeitig vergebener Adressen wird überwacht. Die Option wird für Segmente mit höchstens 50 geschützten IP-Adressen oder für Gästesegmente angeboten. 2.2.2 Link Balancing Verfügt ein Standort über mehrere Internetlinks, können diese mit dieser Option gemeinsam genutzt werden. Link Balancing MSS-WAN-LB Die Serviceoption wird anhand der Grösse des Basisservices bemessen. Mit dieser Option wird der Datenverkehr auf die zur Verfügung stehenden Links verteilt. Dabei können verschiedene Strategien genutzt werden: - Source IP-based: Standard, Links werden nach dem Round-Robin- Verfahren abwechslungsweise gewählt, je nach Source IP. - Weighted Load Balance: basierend auf der konfigurierten Gewichtung der Links. - Spillover: Zweiter Link wird erst gewählt, wenn eine bestimmte Bandbreite auf dem ersten Link überschritten wird. Bei diesen Setups wird in der Regel Equal Cost Multipath Routing (ECMP) eingesetzt. Alternativ zur Verwendung beider Links kann eine Leitung auch als reine Backup-Leitung genutzt werden. Als Alternative zu den oben aufgeführten Strategien ist es auch möglich, die Lastverteilung anhand vordefinierter Regeln zu definieren. Die Anbindung an das Internet ist für viele Firmen von enormer Wichtigkeit. Dabei ist die reine Verfügbarkeit ebenso wichtig wie die Performance der Anbindung. Durch diese Option wird eine Verbesserung der Performance erreicht, indem die Last auf mehrere Links verteilt wird. Copyright United Security Providers AG Seite 6/11
Durch die Verwendung mehrerer Links kann eine sehr hohe Verfügbarkeit erreicht werden. Fällt ein Link aus, wird der komplette Datenstrom von den verbleibenden Links übernommen, so dass die Konnektivität sichergestellt ist und sie von einer ständigen Verbindung mit dem Internet profitieren. Key Performance Indicators (KPIs) Die Einhaltung der SLA wird anhand der KPIs des Basisservices ermittelt. Das wird um die folgenden Daten erweitert: - Verfügbarkeit der Internet Links - Auslastung der Internet Link Die Verfügbarkeit der Links wird überprüft, indem Pings abgesetzt werden. Zusätzlich werden die jeweiligen Interfaces der WAN-Serviceinfrastruktur sowie die ISP-Router überwacht. Die Internetlinks werden vom Kunden zur Verfügung gestellt und sind nicht Bestandteil der Serviceoption. Um Changes und Incidents möglichst rasch und effizient zu behandeln, empfiehlt USP das USP Security Operations Center beim ISP als Changeberechtigt zu hinterlegen. 2.2.3 Gästezone Durch diese Option wird eine weitere Zone betrieben, die für den Gästezugang ins Internet genützt werden kann. Network Segmentation MSS-WAN-NS Die Serviceoption wird anhand der Grösse des Basisservices bemessen. Mit dieser Option wird ein zusätzliches Netzwerk Segment betrieben. Das Segment wird auf der WAN-Serviceinfrastruktur terminiert. Diese zusätzliche Zone ist von der internen Zone komplett isoliert. Es gibt keine Firewallregeln, die einen Zonenübergang erlauben. Durch die Trennung von den Netzwerkzonen für Mitarbeitende und Gästesegmente, ist es Gästen nicht möglich, auf Ressourcen des internen Netzes zuzugreifen. Die Sicherheit der Unternehmensdaten wird dadurch markant erhöht. Da die Gäste die bereits bestehende Internetleitungen mitverwenden können, entstehend keine zusätzlichen ISP-Kosten. Der bestehende Report wird um den ein- und ausgehenden Datenverkehr des Gäste Segmentes ergänzt. Das ein- und ausgehende Datenvolumen wird gemessen. Es gelten die Nutzungsbestimmungen des Basisservices. Copyright United Security Providers AG Seite 7/11
Gäste müssen eindeutig identifiziert und der Datenverkehr gemäss den geltenden Gesetzen geloggt werden. Die entsprechenden Komponenten sind nicht Teil dieser Serviceoption. Sie müssen entweder vom Kunden bereitgestellt oder als Service von USP bezogen werden. 2.2.4 Partner-VPN Mit dieser Option können Standorte, welche nicht durch USP betrieben werden, an das Firmennetz angebunden werden. Partner VPN MSS-WAN-PVPN Die Serviceoption wird unabhängig vom Basisservice pauschal bemessen. Mit dieser Option wird eine Site-to-Site-Verbindung zu einer anderen Firma oder zu Partnern betrieben. Die Verbindung wird von der WAN- Serviceinfrastruktur als IPSec-VPN-Tunnel aufgebaut. Die Verbindungen werden so eingeschränkt, dass die Benutzer lediglich auf die Ressourcen zugreifen können, welche sie für die Arbeit benötigen. Die Tunnels können weiter eingeschränkt werden. So lässt sich beispielsweise der Zugriff auf die Bürozeiten beschränken. Oftmals wird Datenkommunikation zu Geschäftspartnern ausserhalb des Firmennetzes benötigt. Die Partner-VPN-Verbindungen erlauben eine einfache und kostengünstige Möglichkeit, Partner in die Kommunikation einzubinden. Und dies ohne dabei das Risiko einzugehen, dass diese auf sensitive Daten, die nicht für Externe bestimmt sind, zugreifen können. USP hat grosse Erfahrung im Umgang mit solchen Partner-VPN- Verbindungen und kann praktisch zu jedem Gateway einen entsprechenden VPN-Tunnel aufbauen. Dadurch muss nicht zusätzlich teure Infrastruktur eingekauft werden. Der bestehende Report wird um den ein- und ausgehenden Datenverkehr des Tunnels erweitert. Die Verfügbarkeit des Tunnels wird überwacht. Es gelten die Nutzungsbestimmungen des Basisservices. Unabhängig von der Verfügbarkeitsgarantie des Basisservices werden Partner-VPN-Tunnel immer mit Best Effort betrieben, da USP nur bedingten Einfluss auf die Gegenseite nehmen kann. 2.2.5 Traffic Shaping Mit dieser Option lassen sich die Daten unterschiedlich priorisieren. Quality of Service Copyright United Security Providers AG Seite 8/11
MSS-WAN-QoS Die Serviceoption wird anhand der Grösse des Basisservices bemessen. Mit dieser Option wird der Datenverkehr in bis zu drei Klassen aufgeteilt. Den Klassen wird eine maximale Bandbreite zugewiesen. Wird die gesamte zur Verfügung stehende Bandbreite nicht vollständig ausgenützt, können die Klassen die Bandbreiten überschreiten. Wird jedoch die gesamte Bandbreite verwendet, sind die Klassen auf ihre jeweilige Bandbreite limitiert. Die Aufteilung des Datenverkehrs wird anhand von verschiedenen Merkmalen durchgeführt: - Ausgangsadresse - Ausgangsport - Zieladresse - Zielport - Protokoll In der Regel wird eine Default-Klasse definiert, welche alle Datenpakete aufnimmt, die nicht explizit einer anderen Klasse zugeordnet sind. Immer öfters werden Business-Applikationen zentral zur Verfügung gestellt und die Benutzer greifen aus aller Welt auf diese Applikationen zu. Dank der Option Quality of Service kann der wichtige Datenverkehr prioritär übermittelt werden. Dadurch wird das Arbeiten mit den Business- Applikationen angenehmer, ohne dass Geld für mehr Bandbreite ausgegeben werden muss. Datenverkehr, welcher nicht zeitkritisch ist, beispielsweise Backupdaten, können niedriger priorisiert werden als die übrigen Daten. Dadurch brauchen Sie keine dedizierten Leitungen, sondern können die bestehenden Leitungen weiterverwenden. Die monatlichen Reports werden um die Auslastungen der einzelnen Klassen erweitert. Zusätzlich werden die verworfenen Pakete ausgewiesen. Die Anzahl verworfener Pakete wird gemessen. Es gelten die Nutzungsbestimmungen des Basisservices. Änderungen der Bandbreiten haben einen starken Einfluss auf diese Option und müssen den USP Security Operations Center möglichst frühzeitig mitgeteilt werden. Eine Priorisierung auf Applikationsebene (Layer 7) ist mit dieser Option nicht vorgesehen, kann aber mit dem Service MSS-WP-AC realisiert werden. 2.2.6 Link-Management USP übernimmt das komplette Vertragsmanagement der Internetleitungen. Management Link A, Management Link B, Management MPLS Link Copyright United Security Providers AG Seite 9/11
MSS-WAN-LINK_A, MSS-WAN-LINK_B, MSS-WAN-MPLS Die Serviceoption wird anhand der Bandbreite des jeweiligen Links bemessen. Der primäre Internet Link wird immer der Option Management Link A (MSS-WAN-LINK_A) zugeordnet, entsprechend der zweite Link Management Link B (MSS-WAN-LINK_B). MPLS-Leitungen werden der Option Management MPLS Link (MSS-WAN-MPLS) zugeordnet. Mit dieser Option agiert USP als vertraglicher Ansprechpartner gegenüber den Internetprovidern. USP vermietet die Leitungen an den Kunden weiter. Sämtliche Verträge mit den ISPs werden regelmässig überprüft und neu evaluiert. Es wird regelmässig überprüft, ob die Bandbreiten noch den Anforderungen entsprechen. Falls nicht, werden diese in Absprache mit den Kunden angepasst. Die Latenzzeiten zwischen den Standorten werden ebenfalls überwacht. Sollten diese nicht den Anforderungen genügen, wird der ISP neu evaluiert. Die Evaluation von ISPs ist besonders im Ausland oftmals eine zeitraubende und mühsame Aufgabe. USP übernimmt diese Aufgabe, so dass unsere Kunden viel Aufwand und letztendlich Geld sparen. Der gesamte WAN-Service wird aus einer Hand bezogen. Der Kunde hat so eine durchgängige SLA und einen einzigen dafür verantwortlichen Partner, der sich zuverlässig darum kümmert, dass Incidents zeitnah und professionell im Sinne des Kunden behoben werden. Die Verfügbarkeit des WANs steigt dadurch insgesamt markant an. Es werden keine zusätzlichen Daten in den monatlichen Reports ausgewiesen. Die Latenzzeit vom USP Security Operations Center zu den jeweiligen Standorten wird gemessen. Es gelten die Nutzungsbestimmungen des Basisservices. Diese Option ist in einigen Ländern nicht erhältlich, da der Vertragsnehmer zwingend ein Sitz im Inland haben muss. Copyright United Security Providers AG Seite 10/11
3 WEITERFÜHRENDE DOKUMENTE Das vorliegende Dokument beschreibt den Funktionsumfang des Wide Area Network Services von USP. Allgemeine Informationen zum Service Level Agreement und zum Betrieb sind in den weiterführenden Dokumenten enthalten. Service Management und SL- Katalog Leistungskatalog Preisliste Dieses Dokument enthält alle Informationen zu den Parametern des Service Level Agreement. So sind neben Betriebszeiten und Verfügbarkeitsgarantien beispielsweise auch die Supportprozesse und Mitwirkungspflichten definiert. Im Leistungskatalog sind die Operation Tasks sowie die Standard Changes definiert. Das Dokument beschreibt auch die Prozesse, wie die entsprechenden Changes qualifiziert ausgelöst werden können. Die Preise zu allen Services und Optionen sind in der Preisliste definiert. 4 DISCLAIMER Dieses Dokument ist geistiges Eigentum USP AG und darf ohne ihre Einwilligung weder kopiert, vervielfältigt, weitergegeben noch zur Ausführung benützt werden. Unbefugte Verwertung ist gemäss Art. 23 in Verbindung mit Art. 5, UWG, strafbar. Das Werk ist urheberrechtlich geschützt. Die dadurch begründeten Rechte, insbesondere der Übersetzung, des Nachdrucks, der Entnahme von Abbildungen, der Weitergabe auf fotomechanischem oder ähnlichem Weg sowie der Speicherung in Datenverarbeitungsanlagen bleiben, auch bei auszugsweiser Verwertung, vorbehalten. Die in dieser Dokumentation beschriebenen Funktionen, Daten und Darstellungen gelten unter dem Vorbehalt, dass eine Änderung jederzeit möglich ist. Sie dienen dem besseren Verständnis der Materie, ohne im Detail Anspruch auf Vollständigkeit und Richtigkeit zu erheben. Die darin beschriebenen Programme werden nur aufgrund eines gültigen Lizenzvertrages mit USP AG überlassen und können nur in Übereinstimmung mit dem im Lizenzvertrag aufgestellten Bestimmungen verwendet werden. Sofern nichts vorrangig geregelt ist gelten die Allgemeinen Geschäftsbedingungen von USP. Copyright United Security Providers AG. Alle Rechte vorbehalten. Copyright United Security Providers AG Seite 11/11