W nowej architekturze sieci rozległej poszczególne placówki są podłączone do oddziałów banku, a te z kolei - do centrali. Centrala dysponuje również połączeniem z sieciami partnerów banku, np. Krajową Izbą Rozliczeniową, biurem maklerskim BGŻ i Internetem. "Jeszcze w ub.r. produkcyjna sieć bankowa galwanicznie była oddzielona od sieci umożliwiającej dostęp do Internetu. Po rozbudowie WAN i zastosowaniu w centrali kilkupoziomowego systemu ochrony firewall i IDS zdecydowaliśmy się zintegrować tę komunikację w ramach jednej sieci. Było to również wymagane ze względu na konieczność dostępu do rachunków bankowych Integrum przez Internet" - wyjaśnia Tadeusz Rubin.

Zarówno w filiach banku, jak i oddziałach działają routery Cisco (odpowiednio linii 1700 i 2600) przepro- wadzające szyfrowanie w sposób programowy. "To, czy routery te radzą sobie z całkowicie programowo realizowanym szyfrowaniem, determinowane jest pośrednio przepustowością łączy, z których korzystają. W przypadku, gdy szyfrowanie programowe zbyt obciąża router, jest ono wspomagane przez instalację dedykowanego modułu szyfrującego" - mówi Piotr Michalak.

Komunikacja w sieci WAN odbywa się z wykorzystaniem dedyko- wanych traktów cyfrowych. "Nie zdecydowaliśmy się oprzeć sieci na technologii Frame Relay, w przypadku której w polskich warunkach trud- no nawet ustalić, czy w danej chwili dysponuje się przepustowością, za którą się płaci, czy nie" - stwierdza Tadeusz Rubin.

Inaczej do problemu musiano podejść w centrali banku, która jest głównym punktem terminowania połączeń VPN. "Tu zdecydowaliśmy się zastosować dwie ÇbaterieČ routerów: brzegowe Cisco 7500 i dedykowane routery szyfrujące Cisco 7100, później 7200. To pozwala nam optymalnie rozkładać obciążenie sesja- mi komunikacyjnymi" - mówi Piotr Michalak.

Kontrola nad awariami

Równolegle z budową podstawowej sieci rozległej informatycy BGŻ opracowywali plan sieci zapasowej, na którą jest przełączana transmisja w razie awarii pojedynczych routerów, łączy czy oddziałów. Bank dysponuje też awaryjnym centrum przetwarzania, do którego może zostać skierowana komunikacja w przypadku przerwy w pracy centrum podstawowego.

Łącza zapasowe są realizowane z wykorzystaniem technologii ISDN i komunikacji radiowej, przy czym przy konstrukcji sieci podstawowej zadbano o to, by łącza zapasowe były zestawiane do innych routerów w centrali niż łącza podstawowe.

W sieci wykorzystującej szyfrowanie całej komunikacji szczególnie istotne było właściwe zaplanowanie sposobu przełączenia transmisji na łącza zapasowe w razie większej awarii. "Problem polega na tym, że w przypadku zerwania w godzinach szczytu komunikacji na łączach podstawowych następuje lawinowe inicjowanie połączeń IPSec na łączach zapasowych, co może doprowadzić do przeciążenia routerów szyfrujących. Zbudowaliśmy jednak taki system, że nie obawiamy się tej sytuacji" - wyjaśnia Piotr Michalak. Informatycy BGŻ przekonali się jednak, że przełączenie transmisji w przypadku awarii na łącza zapasowe jest tak samo ważne jak właściwe przeprowadzenie procedury odwrotnej - powrotu do komunikacji na łączach podstawowych, gdy staną się one ponownie dostępne. "Wykorzystywane przez nas protokoły nie oferują w tym zakresie tak zaawansowanych mechanizmów, jak specjalizowane rozwiązania telekomunikacyjne. Niemniej udało nam się wspólnie ze specjalistami Ster-Projektu i Cisco dopracować sposób powrotu na łącza podstawowe dopiero w momencie, gdy istnieje pewność, że pracują one poprawnie, a nie natychmiast po ich uaktywnieniu, gdy mogą one pracować jeszcze z charakterystycznym "szarpaniem" - mówi Piotr Michalak.

W najbliższym czasie, jako dodatkowy sposób komunikacji placówek z centralą, BGŻ zamierza umożliwić wykorzystanie na 1-2 stanowiskach w każdej placówce transmisji HSCSD lub GPRS za pośrednictwem telefonów komórkowych. Rozwiązanie takie byłoby stosowane w przypadku, gdy zawiodą inne media.

Pomocne priorytety

W całej sieci WAN BGŻ SA jest realizowana priorytetyzacja pakietów. "Skonfigurowaliśmy obsługę priorytetów również na łączach zapasowych. Oczywiście jest ona realizowana wg innych algorytmów niż na podstawowych łączach WAN" - twierdzi Piotr Michalak. Rozróżnianie pakietów i możliwość faworyzowania określonych rodzajów transmisji będą miały kluczowe znaczenie po zakończeniu wdrożenia scentralizowanego systemu bankowego. Pierwsze korzyści z jej zastosowania bank odnosi już dzisiaj. "Z naszej infrastruktury WAN korzysta biuro maklerskie BGŻ, któremu wydzieliliśmy w naszej sieci dedykowany kanał o gwarantowanej przepustowości. Możliwe jest również jej dynamiczne zwiększenie w razie potrzeby, o ile tylko pozwala na to niższe w danej chwili natężenie ruchu "w naszej" części łącza" - dodaje Tadeusz Rubin.