Embed Size (px)
Citation preview
Netzentwicklungskonzept für ein großes Universitätsnetzwerk – Bestandspflege und Erschließung neuer Technologien
Raimund Vogl, Markus Speer, Norbert Gietz, Lutz ElkemannDFN-Forum 2010, 26. Mai 2010, Konstanz
Die Westfälische Wilhelms-Universität Münster
• 37.000 Studierende (WS 2009/2010)
• 5.500 Absolventen (2007)
• 15 Fachbereiche, 7 Fakultäten
• Über 110 Studienfächer mit 250 Studiengängen
• 331 Mio € Haushalt (2008)
• 5.000 Mitarbeiter/-innen (sowie 7.000 am UKM), davon
- 565 Professoren / Professorinnen
- 2.700 Wissenschaftliche Mitarbeiter/-innen
2
– keine Campus-Universität
– etwa 210 Gebäude über das
gesamte Stadtgebiet verteilt
(ohne Klinikum)
– 257.000 m2 Nutzfläche
3
– keine Campus-Universität
– etwa 210 Gebäude über das
gesamte Stadtgebiet verteilt
(ohne Klinikum)
– 257.000 m2 Nutzfläche
4
Das Netzentwicklungskonzept der WWU Münster•Letzter DFG Antrag zum LAN-Ausbau: 2002•Formulierung eines neuen LAN-Antrages und
Netzentwicklungskonzeptes 2008/2009, DFG Begutachtung 2010•Erneuerung und weiterer Ausbau des Kommunikationssystems
der WWU über 7 Jahre - kürzerer Zeitraum wegen Personalressourcen unmöglich
•Technisches Konzept auch für UKM (Universitätsklinikum) vorgesehen
•Zahlreiche strategische Entscheidungen für die mittel- und langfristige Entwicklung des Kommunikationssystems (LAN + TK!)
•Verankerung der Ausbaustrategie für das Kommunikationssystem durch Rektoratsbeschluss
5
Schwerpunkte des Netzentwicklungsplans•Komplettaustausch der Edge-Switches
•1GE mit 10 GE uplinks; 802.1X flächendeckend bis 2016•Housekeeping für Verteilerstandorte (USV/Klima; insbes. für VoIP)
•Flächendeckend WLAN 11N bis 2015 (ca. 2.800 Accesspoint – 750 bereits vorhanden)•Vollständige Umsetzung des teilweise etablierten und bewährten 3-Layer Schemas
•Core – Midrange – Distribution•Umsetzung von (40GE?) 100GE in Core wenn verfügbar; Erneuerung Core-Switches•Erneuerung Inter-Core und DFN-Anbindung•Spezielle DataCenter Switches (hohe 10GE Aggregation) für 3 DataCenter Standorte•Vollständige Migration auf VoIP Telefonie und Ablösung klassische Telefonie bis 2017•Bereitstellung von Unified Communication Services•Erneuerung und Erweiterung netzseitiger Sicherheitssysteme: IPS, VPN, FW, Content Filter,
NAC•Umsetzung von IPv6, MultiCast•Erweiterung Netzwerk-Management (zB. Projektstelle für Erweiterung LANBase beantragt)•Weiterer LAN-Ausbau um 2.000 Ports pro Jahr
6
9
Netzkennzahlen WWU
Kennzahl Wert
Gebäude 212
LWL-Netz 229 km (*)
Erschlossene Gebäude
170
LAN-Verteilerstandorte
218
Netz-Anschlussdosen
28.300
WLAN Access Points
750
TK-Nebenstellen 8.500
VoIP-Telefone 700 (*)
(*): WWU + UKM
Begriffsklärungen „Netzbereiche“
Netzbereich Funktion eingesetzteGerätetypen
Edge Anbindung von Endsystemen, nur Layer2-FunktionalitätHP, 3Com, Nexans, …(ca. 1.770)
Distribution16 Standorte zur Aggregierung von Edge-Devices, nur Layer2-Funktionalität, Einführung dieses Bereiches u.a. um kostengünstig 10GE-Technologie einsetzen zu können, Anbindung von Servern
weitgehend Planung:16 x HP5412zl
Midrange6 Nebenstandorte zur Aggregierung von Distribution-Devices großer Netzbereiche, Anbindung von Data Centern (geplant), Layer3/IP-Funktionalität
6 x Cisco C6509
Core
2 Hauptstandorte zur Kopplung der Midrange-Bereiche, Layer3/IP-Funktionalität, Realisierung zentraler Netzfunktionen (WLAN-Switching, Security-Funktionen: Paketfilter, Firewall-Funktionalität, Intrusion-Prevention, VPN)
7 x Cisco C6509
Inter-Core 2 Standorte zur Layer3-Kopplung von Netzen verschiedener Einrichtungen (WNM-Zugangsnetz: Wissenschaftsnetz Münster) 2 x Cisco C6509
10
Grundsätze des NetzdesignsVerfügbarkeit
•Gerätedopplung ab Distribution-Ber.
•unterschiedliche Standorte•sog. A- und B-Zweig im Netz•Verzicht auf geräteinterne
Redundanz
Eingebettete Sicherheit•Reduzierung des Gefährdungspotentials
für ganze Netzbereiche an zentraler Stelle•unabhängig von Maßnahmen auf den
Endsystemen, organisatorischen Maßnahmen
•Paketfilter, Firewall, IPS, VPN, Bypassing•Netzzonenkonzept: Endsysteme mit
identischem Sicherheitsbedarf
Midrange
Distribution
Edge
11
Layer2- und Layer3-Strukturen
Layer2•Hoher Virtualisierungsgrad
•1049 Endnutzer-VLANs•484 Transfer-VLANs•40 Insel-VLANs•120 VPNSM-VLANs
•VLANs als Realisierung von Netzzonen
•Redundanzverfahren: Spanning Tree•Fortschreibung des VLAN-Konzepts
Layer3 (IP)•Erst ab Midrange-Bereich•268 Virtuelle Router (inkl. UKM)
•zur Anbindung von Subnetzen•Hierarchie von VRs für die
Realisierung des Sicherheitskonzeptes
•Redundanzverfahren: HSRP, OSPF, BGP
•Fortschreibung des Konzepts
Management dieser Strukturen mit LANbase ( Folie 20)
12
TechnologienNetztechnologien
•Technikfortschreibung: > 10GE•Überspringen der 40GE-
Technologie, da Angleichung der Kosten an 100GE
Netzzugangstechnologien•Planung: großflächige Einführung
von 802.1X•VPN-Zugang in spez. Netzzonen
WLAN•Laut Nutzerbefragung ist WLAN
eines der am stärksten nachgefragten Angebote
•Erheblicher weiterer Ausbau auf ca. 2.800 Access Points
•Vollversorgung mit 802.11n zumindest für Datenkommunikation
Data Center• Anforderungen / Entwicklungen:
•Hohe Dichte an 10GE-Ports•DCB-Funktionalität•Konvergenz der Protokolle für
Daten- und Speichertechnologien (FCoE)
•Spezielle Data Center Switches• Layer3-Kopplung der Data
Center an den Midrange-Bereich
13
Netzseitige IT-Sicherheitsmaßnahmen - Realisierung
Virtualisierung• Gründe
•Technologische Machbarkeit•Finanzierbarkeit•Administrierbarkeit
• Virtualisierung von•Netzzonen (VLANs)•IP-Routern (VRFs)•Firewall (Kontexte)•IPS (Instanzen)•IPsec-VPN (Ausdehnung einer
Netzzone)
Mandantenfähige Administration
• Abbildung von zentraler und dezentraler IT-Verantwortlichkeit
•Rahmenkonfigurationsmöglichkeiten, Generalfunktionen
•Mandantenfähigkeit für Einsicht und Konfiguration von Sicherheitsfunktionen
• Bisher nur in Teilbereichen realisiert•Intrusion Prevention System
•Aktivierung/Deaktivierung von IPsec-VPN-Zugangsmöglichkeiten
•Teilweise Einsicht in Router-ACLs
Grundstrukturen• Einbettung von Sicherheitsfunktionen in das Netz (auf den
Netzkomponenten)• hierarchischer Baum von Netzzonen mit Systemen einheitlichen
Sicherheitsbedarfs• laufende Justierung der Strukturierung: Betriebssicherheit, neue
Technologien (VM, Desktop, DC)
14
CNS - Core Network Services:DNS, DHCP, WINS, RADIUS, NTP
Status• Produktivsysteme:
•nicht virtualisiert•server-basiert•Linux (CentOS)•Open Source-basiert
• Netzdatenbank LANbase•Verwaltung von Namen,
Adressen, …•Provisionierung der Server
• DHCP/DNS: statische Zuweisung bei Festanschlüssen
Planung• Weitere Verbesserung der
Verfügbarkeit• Konsequente Einführung von
Service-IP-Adressen• IP-Anycast für DNS• Doppelte Redundanz (evtl.
Tertiärsystem als VM)• Verteilung von Teilfunktionen auf
verschiedene Server• Umfassendes Monitoring (insb.
für DNS)
16
House-Keeping: USV-Versorgung, Klimatisierung
• USV-Absicherung primär an Standorten mit struktureller Bedeutung für das Netz
• abgesehen vom Edge-Bereich möglichst redundante Stromversorgung• Große USV-Anlagen an den Hauptnetzstandorten und Server-Standorten• Kleinere USV-Anlagen an weiteren Standorten• Insg. Versorgung von ca. 30% der Standorte mit USV-Funktion• Versorgung mit Power over Ethernet (PoE) für VoIP-Telefone und WLAN-APs• Beschaffung und Betrieb der Klimaanlagen durch die Technischen Dienste
17
Konvergenz von LAN und TK: Gemeinsame Nutzung von Netzinfrastrukturen und Werkzeugen
• Organisatorische Zusammenführung von LAN, TK und AVM Anfang 2008 im ZIV
•Räumliche Zusammenführung Anfang 2010•Bereits vorher enge Zusammenarbeit zwischen TK (Univ-Verw) und LAN
(ZIV)•Gemeinschaftliche Nutzung des LWL-Netzes•Erste VoIP-Installationen (ACD) in 2002
• Gemeinschaftliche Nutzung/Installation von Technologien•LWL-/Kupferkabelnetz •Einsatz von DSL/DLSAM-Technologie•VoIP-Installationen (insbesondere neue Liegenschaften und Sanierungen)
•Aktuell ca. 700 VoIP-Telefone• Gemeinschaftliche Nutzung von Tools
•LANbase: Gerätetypen, VoIP-Installationen•Trouble-Ticket-Systems
18
Planung der VoIP-Migration für die WWU
• WWU: ca. 8.500 konventionelle Telefone!• Wartung der TK-Anlage bis 2017 gesichert• Sanfte Migrationstrategie: VoIP bei Neubauten, Sanierungen,
Teilsanierungen• Konsequente Orientierung an SIP• Betrieb der VoIP-Telefone wie ein fest angeschlossener Rechner• Zusätzliche Verkabelung für VoIP• Bislang (und vermutl. zukünftig) Verzicht auf QoS• Konzeptionelle Berücksichtigung der VoIP-Integration in der IT-
Sicherheitsarchitektur• Anforderungen an Netzkomponenten
•Redundante Netzteile•PoE
19
Netzmanagement: Administration, Überwachung, Betrieb
• Netzadministration: langjährige Eigenentwicklung LANbase (Oracle-basiert)
•CMDB-Funktionalität (Configuration Management Database) nach ITIL•Gerätedatenbank: einschl. Verkabelung, Anschlüsse, Rangierung, …•Endsystemdatenbank•IPAM: IP Adress Management, Provisionierung von DNS, DHCP, WINS•Verwaltung von Sicherheitsstrukturen: Netzzonen, VLANs, virtuelle
Router•Zentrale ACL-Verwaltung•Voll integriertes Trouble Ticket System NOCase•Dokumentenarchiv•Kundenportal NIC_online (mandantenfähige
Administrationsfunktionen)•Kopplung mit Workflow Automation Tool 3Com EMS
• Netzüberwachung: Einsatz von CA SPECTRUM•Anpassungen u.a. zur Überwachung der virtuellen Netzstrukturen,
Sicherheitsarchitektur
• Netzbetrieb:•u.a. über Dienstpläne geregelter Betriebsdienst
20
Netzadministration: Eigenentwicklung statt Einsatz kommerzieller Produkte
• Hoher personeller Aufwand für Eigenentwicklungen• Kommerzielle Produkte mit vergleichbarem Funktionsumfang extrem
kritisch:•Hohe Beschaffungskosten wegen großem Mengengerüst•Für Teilfunktionen im 6-stelligen Euro-Bereich•Pro Jahr 20% Wartungskosten•Beschaffung mehrerer Tools notwendig, keine einheitliche
Oberfläche•Häufig fehlende Multivendor-Fähigkeit•Auch hier regelmäßiger Konfigurations-, Pflege-, Wartungs- und
Consulting-Aufwand• Vorteile der Eigenentwicklung:
•Möglichkeit der flexiblen Reaktion auf neue Anforderungen (Kundenwünsche, Vorschriften, Regelungen, Workflows, Gerätetypen)
21
Und zum Abschluss – die Unsicherheiten:Schwierige Prognose für Technologie im Umbruch
• Endgeräte-Anbindung: Entwicklung LAN-Ports, 1GE to the desktop, VoIP, WLAN?
•CAT6 LAN-Ports sind Assett; 1GE für Endgeräte ausreichend und notwendig; 60GHz Funktechnologie?
• Weiterentwicklung von Ethernet: 100GE, DCB (Konvergenz LAN, SAN, HPC), FCoE?
•100GE (nicht 40GE), Skepsis gegenüber FCoE -> Produktentscheidung für Core-Erneuerung (besser noch 2 Jahre warten)
• Bandbreitenbedarf: Videostreaming, Backups, Desktop-Virtualisierung•AVM, Videoconferencing absehbar; IT Strategie sieht Desktop-Virtualisierung
vor• Netzstrukturierung: VLANs, IP, MPLS?
•Überdenken des VLAN Paradigmas nötig, aber kein unmittelbarer Handlungsbedarf
• IPv6: wann, und mit welchen Auswirkungen auf Netzdesign (Zukunft von Layer 2)?
•Aktivieren von IPv6 im LAN gut vorbereitet; Sicherheitsfunktionen schwierig
22
