VTB Feb 6 2019 at 11:15

Как безопасно объединить сетевые сегменты трех крупных банков: делимся хитростями

13 min

13K

ВТБ corporate blogIT Infrastructure*Information Security*Network hardwareNetwork technologies*

+36

Comments 13

excentro Feb 6 2019 at 11:34

Коллеги, а продакш-сеть это что за сеть? :)

TimsTims Feb 7 2019 at 08:31

2 варианта:
1) своя отдельная vlan.
2) отдельный домен, со сквозной сетевой связанностью.

Pas Feb 8 2019 at 11:55

У меня такое предположение: большие дядьки не разбираются, что такое бэкбон, вилан и эмпиэлэс, им надо «чтоб работало». Вот это абстрактное «чтоб работало» выделено во что-то наиболее зарезервированное и контролируется наиболее серьёзно. Публичный сегмент с банкингами, обвязка банкоматов, процессинг, основной интранет, где работают информационные сервисы для бранчей.

Ghool Feb 6 2019 at 12:10

Такая прорва работы, геммороя, подводных камней — что мне от одного заголовка стало страшно

С другой стороны, решив такую задачищу, с другими справляешься легче :))

Спасибо за подробный материал

Henry7 Feb 6 2019 at 23:58

Благодарим за материал.
С большим интересом ждем продолжения.

sterid Feb 7 2019 at 11:20

В целом обычные будни кровавого энтерпрайза при поглощении и слиянии. После 2-3 раза процесс встает на лыжи и миграция идет проще.

maiketa Feb 7 2019 at 12:45

Очень просится в данном случае решение cisco sd-access, sd-wan, dna. Но они вендороориентированные.

Pas Feb 8 2019 at 11:48

Vendor-lock опасная дорожка. И весьма дорогая. Более того, подозреваю, что системообразующему банку настойчиво порекомендовали импортозаместить по максимуму по мере появления «правильного» железа на рынке.

nvv Feb 11 2019 at 08:27

Как выбирали/распределяли адреса в объединённой сети? С ростом масштаба задача усложняется не линейно.
В простом случае (пока не пришлось объединять, а филиалы только открываются) не редко используют шаблон
10.регион._типсети.*

elenissimo Feb 11 2019 at 17:42

На текущий момент единые принципы IP-адресации ещё находятся в разработке.
Временно обеспечено отсутствие пересечения адресных пространств с помощью перенумерации отдельных пересекающихся подсетей.
Иерархичные системы адресации, наподобие «10.<код региона>.*» хороши для стабильной структуры, но плохо масштабируются и не обладают достаточной гибкостью, которая требуется при объединениях. В настоящий момент мы склоняемся к принципу последовательного выделения блоков IP-адресов из общего непрерывного диапазона, наподобие того, как это реализовано в глобальной сети Интернет. Текущий уровень развития сетевого оборудования уже менее требователен к суммаризации маршрутных префиксов, поэтому такой подход считаем оправданным для больших инфраструктур.

nvv Feb 11 2019 at 19:53

Если это не будет ком.тайной, расскажите какое решение выберете, чтобы совместить гибкость и наглядности.

elenissimo Feb 12 2019 at 15:47

Решение будет выбрано позже в ходе проекта. Сейчас мы пока в начале пути. Оставайтесь с нами на Хабре, будем держать вас в курсе! :)

Filex Jul 3 2019 at 11:18

А почему платежи через банкоматы ВТБ так долго поступают на счет клиента?