Securizarea reţelei şi Comunicaţii unificate la CE ROVINARI

Complexul Energetic Rovinari avea nevoie de o soluţie care să crească eficienţa operaţională organizaţiei, să reducă costurile operaţionale şi nu în ultimul rând să securizeze fluxul informaţional, devenit critic.

Situaţia iniţială:

În 2006, Complexul Energetic Rovinari dispunea de o infrastructură de comunicaţii şi date insuficient dezvoltată pentru a acoperi nevoile compananiei. 

La Sediul Termocentralei exista o reţea de date structurată, certificată Cat5e ce asigura numărul de porturi pentru conectarea tuturor calculatoarelor. Comunicaţiile de voce erau asigurate prin intermediul unei centrale telefonice digitale Alcatel 4400. Numărul de porturi de rezervă era extrem de mic, fiind disponibile doar porturi digitale ce necesitau o conexiune pe patru fire şi numai pentru telefoane Alcatel. Accesul la Internet se făcea prin intermediul unui server pe care rula un proxy şi un firewall.

Pe de altă parte, la sediul EM Rovinari (exploatarea minieră) exista o reţea structurată, încărcată la maxim. Legătura între acest sediu şi reteau din cadrul termocentralei se făcea prin intermediul unei fibre optice. Comunicaţiile de voce erau asigurate de o centrală GoldStar, de generaţie 1995. Şi în cazul acesteia numărul de porturi de rezervă era extrem de redus, iar accesul la Internet se făcea prin intermediul unui server pe care rula un proxy şi un firewall

 Toate carierele din cadrul EM Rovinari şi anume: Pinoasa, Poiana (Rovinari Est), Gârla, Tismana I, Tismana II şi sectorul de Benzi magistrale, aveau câte o reţea de date minimală, iar comunicaţiile de voce erau asigurate de câte o centrală telefonică de capacitate mică. Nici una din aceste locaţii nu avea acces la Internet.

 In plus, legăturile telefonice între toate entităţile enumerate mai sus se făceau prin intermediul Romtelecom, neexistând niciun fel de interconexiune directă, acest lucru generând costuri importante şi îngreunând foarte mult gestionarea şi managementul sistemului de comunicaţii.

 Soluţia

După un studiul al pieţei, managmentul CE Rovinari a constatat că numai o soluţie bazată pe tehnologia Cisco putea răspunde complet cerinţelor lor, atât din punctul de vedere al nevoilor de business, cât şi al celor de conectare cu echipamentele existente pe care doreau să le păstreze. Partenerul de implementare a fost ales CRESCENDO, Cisco Silver Partner.

Soluţia, perfect adaptabilă nevoilor în continuă schimbare a Complexului Rovinari, a fost implementată în mai multe etape, după cum urmează:  

  • Securizarea accesului între locaţiile complexului – Componenta de VPN
  • Securizarea şi controlul accesului la Internet al utilizatorilor
  • Creşterea productivităţii angajaţilor – Componenta de Comunicaţii Unificate

ETAPA 1: Securizarea accesului între locaţiile complexului – Componenta de VPN (Virtual Private Network) 

Pentru a rezolvă problema lipsei interconexiunilor directe dintre locaţii, cu impact direct asupra costurilor şi asupra managementului sistemului de comunicaţii, s-a optat pentru o soluţie ce asigură posibilitatea interconectării sigure a locaţiilor CE Rovinari cu site-ul central, în scopul schimbului de informaţii în interiorul companiei. Totodată, soluţia asigură posibilitatea conectării sigure a utilizatorilor mobili, care pot efectua operaţiuni utilizând o conexiune Internet, ca şi cum ar fi în reţeaua locală.

 Iar pentru a creşte disponibilitatea legăturilor dintre locaţii s-a implemenat o soluţie WAN redundantă, folosind două medii de transmisie: mediul wireless pentru reţeaua proprie şi fibră optică prin reţeaua Vodafone.

  • Interconectarea locaţiilor – Site-to-site VPN

 Site-to-site VPN este o alternativă la liniile închiriate pentru interconectarea mai multor reţele LAN printr-o reţea publică, asigurând securitatea comunicaţiilor dintre acestea. Conexiunea dintre reţelele locale şi reţeaua publică se realizează prin echipamente dedicate de reţea Gateway VPN. 

 Comunicaţia între reţele are loc prin intermediul unor canale virtuale stabilite între echipamentele VPN, conectate la un furnizor de servicii Internet, traficul VPN asociat unei conexiuni de tip “site-to-site” constând de fapt în comunicaţii între reţelele locale protejate prin protocolul IPSec, utilizând “Encapsulated Security Payload (ESP)”. Pentru a asigura o securitate ridicată cu afectarea minimă a performanţei s-au utilizat ca protocoale de criptare, 3DES/AES şi SHA-NMAC pentru setarea parametrilor IKE şi IPSec. 

  •  Conectarea utilizatorilor mobili – Remote Access VPN

 Pentru conectarea utilizatorilor mobili s-a implementat pe echipamentul cu funcţia de VPN Gateway de la CE Rovinari (ASA5510 Firewall) un sistem de conectare de tip VPN Concentrator, ce asigură criptarea datelor, bazat pe autentificare extinsă (XAUTH) cu conturi RADIUS de pe serverul AD intern.

 Acum, utilizând o simplă conexiune de Internet (dialup, CDMA, GPRS, 3G etc.), utilizatorii mobili cu software Cisco VPN Client se pot conecta la CE Rovinari. Soluţia cuprinde şi posibilitatea conectării la serviciile interne fără a fi nevoie de un soft de tipul Cisco VPN Client (client-less VPN), ci doar utilizând un browser de Internet. Prin intermediul tehnologiei WebVPN, utilizatorii se pot conecta din orice locaţie fără a fi nevoie de un VPN Client instalat, existând posibilitatea conectării a maxim două sesiuni simultane (cu drept de upgrade).

 După realizarea conexiunii VPN, folosind Cisco IP Communicator, utilizatorul se conectează la centrală de telefonie IP şi primeşte numărul interior alocat lui. Astfel se creează premisele conceptului de “mobile office”. Practic, utilizatorul poate colabora cu colegii de serviciu sau partenerii de afaceri de oriunde s-ar afla cu posibilitatea folosirii tuturor uneltelor interne companiei (inclusiv interior/număr DID alocat).

 ETAPA 2: Securizarea si controlul accesului la Internet al utilizatorilor. Componenta Firewall

Pentru securizarea şi controlul accesului la Internet al utilizatorilor s-a optat pentru Cisco ASA5510 Firewall, care combină securitatea şi serviciile VPN cu arhitectura inovatoare bazată pe tehnologia Cisco de identificare şi stopare adaptivă a atacurilor (Cisco Adaptive Identification and Mitigation – AIM). Scopul lui este protejarea atât a reţelei interne, cât şi a DMZ- ului şi reţelei Extranet împotriva intruziunilor sau atacurilor rău intenţionate venite din Internet.

 Utilizatorii interni CE Rovinari au acum acces la Internet în condiţii de maximă securitate, iar reţeaua internă, DMZ-ul şi Extranet-ul sunt protejate împotriva atacurilor de tip “denial-of-service” (DoS) sau a altor forme de acces neautorizat. În plus, prin funcţii de Antivirus, “Anti-Spyware”, Anti-Spam, “Anti-Phishing”, “Real-Time Protection for Web Access, Mail and File Transfers”, “Full URL Filtering Capability with Categories, Scheduling and Caching”, şi “Mail Content Filtering” a fost securizat accesul şi la nivel de servicii (email şi Web Acces) fără afectarea perfomanţei.

ETAPA 3. Soluţie de Comunicaţii Unificate cu grad înalt de disponibilitate

După asigurarea interconectării site-urilor şi securizarea infrastructurii de date şi comunicaţii, mai era un singur pas, şi anume, integrarea tuturor canalelor de comunicaţii.   Soluţia de comunicaţii Cisco Unified Communications implementată la CE Rovinari crează un mediu unificat, integrând comunicaţiile IP, video şi/sau audio, cu restul aplicaţiilor într-un singur sistem, cu grad înalt de disponibilitate. Faţă de soluţiile clasice, în care serviciile de telefonie, de teleconferinţă, de videoconferinţă, sau aplicaţiile de date sunt oferite separat, şi nu într-un context unificat, Cisco Unified Communication determină reducerea timpilor de răspuns şi de lucru.

 Din punct de vedere funcţional, soluţia prezintă următoarele componente:

  •  Servere de procesare a apelurilor – Cisco Unified Communications Manager

Cisco Unified Communications Manager, componenta de procesare a apelurilor, permite utilizatorilor să fie mai eficienţi şi mai rapizi în cadrul activităţilor efectuate. Totodată, creează un spaţiu de lucru unificat ce include aplicaţiile, echipamentele, reţeaua de date şi sistemele de operare. Fiind un sistem scalabil, cu capabilităţi de distribuire şi redundanţă ridicată, Cisco Unified Communications Manager poate oferi simultan servicii de voce şi video.Pentru a putea atinge obiectivele de disponibilitate impuse de cerinţele actuale din domeniu, sistemul de telefonie IP a permis implementarea unui design ce oferă redundanţă de tip 1 la 1, într-un sistem de tip cluster. Acest design a presupus existenţa unui server primar şi a unui server secundar de back-up, amândouă aparţinând aceluiaşi grup, fapt ce a determinat funcţionarea la parametri normali a serverelor, chiar şi în cazul în care numărul de apeluri creşte considerabil. Apelurile telefonice sunt distribuite între cele 2 servere, funcţie de încărcare, evitând rejectarea apelurilor în cazul în care unul dintre ele este suprasaturat. 

Redundanţa este prezentă şi la nivel de bază de date. În contextul cluster-ului creat cu ajutorul celor 2 servere Publisher şi Subscriber, cel din urmă are rolul de a prelua din sarcinile serverului primar, în eventualitatea apariţiei unor probleme. În acest sens, în cazul în care telefoanele, înregistrate la serverul primar, pierd conectivitatea cu acesta, ele vor comută pe cel de-al doilea server. Acest lucru este posibil datorită configuraţiei efectuate pe serverele ce aparţin grupului de CallManager. Configuraţia efectuată pe serverul de back-up (Subscriber) o reflectă pe cea efectuată pe serverul primar (Publisher), oferind atfel gradul înalt de redundanţă şi balansare a încărcării apelurilor uniform pe cele 2 servere.

Designul de implementare ales este unul de tip “multi-site” cu procesarea apelurilor centralizată. Astfel, toate locaţiile remote (Tismana1, Tismana2, Poiana, Gârla etc.) beneficiază de toate serviciile aduse de sistemul unificat de comunicaţii (telefonie IP, transmisii de date, aplicaţii, videoconferinte), chiar dacă nu se situează geografic în aceeaşi zonă cu clusterul de servere CallManager.

Telefoanele situate în orice locaţie se înregistrează la serverul de la Centru, având ca server de backup pe cel situat în locaţia EMC Rovinari. Telefoanele pot beneficia astfel de toate facilităţile configurate pe servere, fără a se afla în acelaşi loc cu ele.

În cazul în care legătura prin fibră optică dintre Publisher şi Subscriber se pierde, soluţia implementată permite efectuarea în continuare a apelurilor. Pentru a atinge acest grad de disponibilitate ridicată au fost efectuate o serie de modificări pe serverele aparţinâd clusterului, creându-se 2 grupuri, alcătuite din câte un server. Astfel, un grup conţine serverul Publisher, iar celălalt conţine serverul Subscriber.

În situaţia în care comunicaţia dintre servere s-a pierdut, grupul ce are în alcătuire Publisherul, situat la centru, va servi telefoanele aflate atât la centru cât şi în restul locaţiilor remote. Grupul alcătuit din serverul Subscriber va servi doar telefoanele din EMC Rovinari. În acest fel serviciile de comunicaţie funcţionează în continuare fără nici un fel de impedimente. 

  •  Routere de voce

Routerele de voce reprezintă o altă componentă importantă a soluţiei de comunicaţii unificate. Acestea îndeplinesc următoarele roluri:

  •  
    • Conectează echipamentele tradiţionale de voce;
    • Convertesc semnalele analogice la semnale digitale şi invers;
    • Încapsulează semnal vocal digital în pachete de date;
    • Realizează compresia vocii pentru transmisie în reţeaua de date; 
    • Oferă resurse DSP pentru realizarea conferinţelor şi a transcodărilor între diverse codecuri. 

În locaţia centrală a CE Rovinari s-a utilizat un Voice Gateway din seria Cisco ISR 2800. Arhitectura acestei platforme permite evoluţia locaţiilor remote, asigurând colaborare de tip “rich media”, precum şi virtualizare, minimizând în acelaşi timp costurile. Seria Cisco ISR G1 are la bază procesoare multi-core, oferă suport pentru DSP (Procesoare de Semnal Digital) de mare capacitate pentru facilitarea furnizării de servicii de voce şi video îmbunătăţite, modularitate crescută, capabilităţi de switching Gigabit Ethernet cu standard POE. În toate locaţiile CE Rovinari au fost instalate echipamente Cisco VG224, echipamente care oferă posibilitatea conectării a 24 de echipamente analogice de voce la reţeaua de telefonie IP. 

  • Telefoane IP 

Telefoanele IP folosite în cadrul soluţiei de comunicaţii de la CE Rovinari fac parte din familia de telefoane Cisco 7940, având următoarele caracteristici: 

  •  
    • Ecran de 5 inch (322×222 pixels), monocrom cu afişare grayscale pe 4 biţi 
    • Suport nativ pentru o varietate de codec-uri (G.711, G.729) inclusiv noile codec-uri G.722 wideband şi iLBC 
    • Speakerphone full-duplex cu funcţionalitate de eliminare automată a ecoului 
    • Butoane dedicate pentru funcţii precum Messages, Directories, Settings şi Services 
    • Switch integrat de tip 10/100 Ethernet ce permite conectarea unui PC, reducând nevoia unei cablări suplimentare 
    • Port dedicat pentru conectarea unor căşti 
    • Control dedicat al volumului 
    • Suport pentru conectarea unor module pentru extensie 

  

Beneficii 

În urmă implementării, CE Rovinari beneficiază de: 

  • Interconectarea locaţiilor şi conectarea tuturor calculatoarelor într-o reţea structurată 
  • Utilizatorii au acum acces la Internet, Intranet şi la reţeaua internă de servicii în condiţii de maximă securitate 
  • Soluţia permite definirea şi aplicarea unor politici de securitate ce satisfac cerinţele beneficiarului 
  • Îmbunătăţirea colaborării şi productivităţii echipelor prin: 
    • Orice membru al echipei CE Rovinari are acum flexibilitatea necesară pentru a intra în contact cu alte persoane (clienţi, colegi, parteneri de afaceri) de care are nevoie pentru a fi mai productiv având la dispoziţie o combinaţie de aplicaţii de voce, video, date, dar şi mobilitate (de oriunde s-ar afla, atât în ţară, cât şi în străinătate, de acasă, de la birou sau din maşină, săli de conferinţă, aeroporturi etc.
    • Optimizarea interacţiunilor dintre echipe: reunirea dinamică a persoanelor, a grupurilor de lucru virtuale şi a echipelor
    • Accesarea şi partajarea informaţiilor pe desktop, în călătorii şi la cerere într-o manieră la fel de simplă că efectuarea unui apel telephonic
    • Acces convenabil pe mai multe dispozitive: transformarea dispozitivelor mobile în extensii ale reţelei de companie pentru sporirea productivităţii angajaţilor în orice locaţie
  • Reducerea costurilor: 
    • Costuri de telefonie şi conferinţe: Prin telefonia VoIP se elimină costurile mari pentru apeluri interurbane şi/sau internaţionale precum şi tarifele pentru linii închiriat
    • Costuri aferente deplasărilor: Şedinţele / training-urile se pot desfăşura acum fără ca toate persoanele implicate să se mai adune la o oră anume, într-o sală anume Deplasările mai scurte, mai puţine dar mai productive vor avea un impact notabil asupra contului de profit şi pierderi al organizaţiei, atât prin creşterea veniturilor, cât şi prin reducerea costurilor
    •  Costuri de administrare a infrastructurii IT&C: Reţeaua consolidată pentru comunicaţii de voce şi de date reduce costurile aferente mutării, adăugării şi modificării echipamentelor

  

Despre compania client 

Societatea Comercială “Complexul Energetic Rovinari S.A.”, înfiinţată la data de 1 aprilie 2004 prin reorganizarea Societăţii Comerciale de Producere a Energiei Electrice şi Termice “Termoelectrica  S.A.” şi a Companiei Naţionale a Lignitului “Oltenia” S.A., are ca misiune producerea de energie electrică şi termică prin utilizarea ca şi combustibil primar a cărbunelui, precum şi desfăşurarea întregii game de procese tehnice şi tehnologice în condiţii de maximă siguranţă, eficienţă economică, grijă faţă de oameni şi mediul înconjurător. 

Activitatea se desfăşoară în 5 perimetre de exploatare a lignitului energetic grupate în 3 cariere: Rovinari (perimetrele Gîrla şi Rovinari-Est), Tismana (perimetrele Tismana I şi Tismana II) şi Cariera Pinoasa.