Nutzergesteuerte Netzwerkverwaltung. C. Ritter, T. Hildmann, M. Flachsel tubit IT Service Center 8. DFN Forum 2015

Größe: px

Ab Seite anzeigen:

Download "Nutzergesteuerte Netzwerkverwaltung. C. Ritter, T. Hildmann, M. Flachsel tubit IT Service Center 8. DFN Forum 2015"

Lennart Baumgartner
vor 8 Jahren
Abrufe

1 Nutzergesteuerte Netzwerkverwaltung C. Ritter, T. Hildmann, M. Flachsel tubit IT Service Center 8. DFN Forum 2015

2 Inhalt - Motivation - Grundlagen - Umsetzung - Ausblick und Fazit Seite 2

3 Motivation Stark zunehmende Nutzung mobiler Arbeitsgeräte Flexible Netzwerkinfrastruktur flächendeckend, zuverlässig verfügbar schnell auf ändernde Anforderungen (neue Geräte, neue Ports, andere Räume,...) reagieren Meist eigene Subnetze für Forschungsumgebungen erwünscht sollten schnell erweiterbar sein möglichst überall zur Verfügung stehen, wo gerade benötigt => Hohes Änderungsaufkommen - Masse verursacht Verzögerung der Abarbeitung - Häufig führen fehlende oder fehlerhafte Informationen zu weiteren Verzögerungen. Die Auslagerung von Teilen der Netzwerkverwaltung direkt in die Einrichtungen verspricht eine starke Beschleunigung sowie eine größere Flexibilität. Seite 3

..) reagieren Meist eigene Subnetze für Forschungsumgebungen erwünscht sollten schnell erweiterbar sein möglichst überall zur Verfügung stehen, wo gerade benötigt =>

4 Grundlagen / Größen TU Netzwerkversorung: Nutzer 60 Gebäude Access Points mehrere Hundert Einheiten mit zumeist eigenen Subnetzen Netzwerk- Grundversorgung im LAN- und WLAN-Bereich durch tubit, den zentralen IT Dienstleister Vorortbetreuung der Nutzer und Arbeitsplätze durch dezentrale Netzwerkverwalter Selbstbedienungswerkzeuge, die über das Web-Portal bereitgestellt werden, zur Reduktion der täglichen Arbeiten in der Netzwerkbetreuung Seite 4

WLAN-Bereich durch tubit, den zentralen IT Dienstleister Vorortbetreuung der Nutzer und Arbeitsplätze durch

5 Voraussetzungen - Identitätsmanagement Eindeutige Identifikation aller Mitglieder der Universität mit allen Befugnissen Kontexten (Status) (Studierender, Mitarbeiter) Rolle (Dekan, FG-Leiter, Abteilungsleiter, ) oder Studiengang -> möglichst einfacher, einheitlicher, ortsunabhängiger Zugang zu allen relevanten Diensten ermöglichen Seite 5

Rolle (Dekan, FG-Leiter, Abteilungsleiter, ) oder Studiengang -> möglichst

6 Identitätsmanagement an der TU rollenbasiertes Autorisierungssystem TUBIS eigene Entwicklung integriert sich in bestehende Infrastruktur der Campusmanagementsysteme überwacht die Identitäten während des gesamten Lebenszyklus zwischen Eintritt und Ausscheiden Berücksichtigung der Lebens- und Funktionszyklen der Personen als auch die der Einrichtungen dezentrale Rechteverwaltung webbasierte Selbstbedienungsfunktionen Web-Services zur Bereitstellung von Diensten für Module der Campusmanagementsysteme Seite 6

Ausscheiden Berücksichtigung der Lebens- und Funktionszyklen der Personen als auch die der Einrichtungen dezentrale

7 Voraussetzungen Campus Lifecycle Seite 7

8 Voraussetzungen - Orgname - Pendant zum Provisioning von Personen - Vergeben für eine Einheit an der Universität - Voraussetzung zur Nutzung eines Großteils der Selbstbedienungsanwendungen - maximal 20 Zeichen lange Kurzbezeichnung der Einrichtung - Wird als Subdomain unterhalb von tu-berlin.de eingerichtet - Verwendung: - Auftritt im Contentmanagement- System - Vergeben von aliasen - Einrichtung von Mailinglisten - Gruppen in Verzeichnisdiensten - AFS-Verzeichnissen Seite 8

Einrichtung - Wird als Subdomain unterhalb von tu-berlin.

9 Voraussetzungen - Netzwerkumgebung 60 Gebäude an drei Standorten zentraler Betrieb des Netzwerkes durch tubit mehrstufiges Konzept zum Betrieb des Netzwerkes über MPLS eingeführt - 11 MPLS-Knoten als Kernnetz (Backbone), davon 2 als Übergang zum Internet per BGP - Kernnetzknoten erschließen die Flächen der TU, gleichzeitig Distribution-Layer - Routing innerhalb des Backbone durch OSPF - mind. zwei der Knoten in Maschenform direkt verbunden - Terminierung des Layer-2-Traffics innerhalb der Knoten - Firewallinfrastruktur für in den Knoten geroutete Netze Seite 9

Kernnetzknoten erschließen die Flächen der TU, gleichzeitig Distribution-Layer - Routing innerhalb des Backbone durch OSPF - mind.

10 Voraussetzungen organisatorische Zuordnungen Endkundennetze organisatorisch einer Einrichtung zugeordnet durch dezentralen Betreuer verwaltet Technisch separate VLANS in den jeweiligen MPLS-Knoten Jedem VLAN ist ein eigenes Subnetz innerhalb der Class-B-Netze der TUB zugeordnet Zur Zeit ca. 500 verschiedene Endkundennetze Netzwerkverwalter der Endkunden-Netze können gewünschte initiale Firewall-, DNS- und DHCP-Settings beantragen Seite 10

eigenes Subnetz innerhalb der Class-B-Netze der TUB zugeordnet Zur Zeit ca.

11 Voraussetzungen Mobiles Arbeiten Mobil auf dem Campus - flächendeckende Controller-basierte WLAN-Lösung Mobil von unterwegs - VPN-Cluster zur Einwahl in das eigene Subnetz Seite 11

12 DIE REALISIERUNG Seite 12

13 Umsetzung - Teilkomponenten Seite 13

14 Dezentrales IPAM Infoblox Appliance - redundanter DNS/DHCP-Server - Webservice-Schnittstelle zur Anbindung der Portal-Anwendung Funktionen: neue Subnetze beantragen bestehende Netze erweitern oder entfernen Verwalten von IP-Adressen Definition von Hosts und DHCP-Scopes Seite 14

Funktionen: neue Subnetze beantragen bestehende Netze erweitern oder

15 Schalten des eigenen Netzes Mögliche Szenarien: Einrichtung besitzt mehrere Subnetze und viele verschiedene Räume Einrichtung zieht um Einrichtung baut um Einrichtung reorganisiert sich Zusammenspiel von Flächenmanagement, verteilten Netzwerkkomponenten und zentralem IDM ermöglicht es durch dezentrale Betreuer die Netzwerkdosen direkt zu beschalten Seite 15

reorganisiert sich Zusammenspiel von Flächenmanagement, verteilten Netzwerkkomponenten

16 Funktionsweise der Netzwerkverwaltung Navigation von Gebäude -> Etage -> Raum Darstellung des IST-Zustandes der Dosen / Beschaltung Wahl der gewünschten Aktion aus: Dose mit Telefon verkabeln Dose mit Netzwerk verbinden VLAN wechseln Dose auf Ausgangszustand setzen Durchführung der Aktion bei Telefon oder Verkabelung: Antrag sonst sofortiges Schalten des VLAN Option zur Meldung von Fehlern Seite 16

Dose mit Netzwerk verbinden VLAN wechseln Dose auf Ausgangszustand setzen Durchführung der Aktion

17 Ablauf - technisch 1. Anmeldung am TU-Portal -> Feststellen der Berechtigung zum Starten der Anwendung 2. Auswahl der Rolle für eine Einrichtung 3. Start der Anwendung 4. Abfrage der Netze zur gewählten Kostenstelle 5. Abfrage Gebäude, Etagen und Räume zu Kostenstelle 6. Auswahl Raum 7. Abrufen der Informationen zu vorhandenen Netzwerkdosen 8. Änderungen in GUI festlegen 9. Direktes Setzen der gewählten Werte in: Switch (Skript) Router (Skript) Verwaltungstool (direkter DB-Zugriff) (FNT-Command) oder Beantragung per (z.b. Telefon) Seite 17

Abfrage Gebäude, Etagen und Räume zu Kostenstelle 6. Auswahl Raum 7. Abrufen der Informationen zu vorhandenen Netzwerkdosen 8.

18 Mobile Nutzung Wunsch nach Nutzung eigener Drucker Server Freigaben Lizenzserver Erweiterung der Selbstbedienungsfunktionen für Einrichtungen ermöglicht Subnetze für WLAN und / oder VPN freizugeben! Seite 18

Selbstbedienungsfunktionen für Einrichtungen

19 Verfahren 1. Netzwerkverwalter einer Einrichtung beantragt die Freischaltung eines Subnetzes für WLAN2VLAN oder WLAN2VPN 2. anschließend wird definiert wer dieses Netz über die entsprechende Methode nutzen darf (alle Mitglieder der HS stehen zur Auswahl) Seite 19

20 Verfahren 3. Jeder an der TU Berlin provisionierte Nutzer kann in seinem Profil einstellen, in welchem Netz er bei der Nutzung von WLAN oder VPN arbeiten möchte. Auch diese Einstellungen können jederzeit geändert werden und sind sofort wirksam. Seite 20

21 Technische Umsetzung Grundfunktionalität durch flächendeckendes WLAN als Overlay-Netz Cisco Thin-AP mit einer controllerbasierten zentralen Verwaltung dezentral geroutete Layer-2 Netze werden durch EoMPLS zu den zentralen Controllerstandorten übertragen WLAN-Controller besitzen in dezentralen Netzen eigene IP sowie ein Interface Regelwerk im zentralen RADIUS-Server (Cisco ACS) prüft auf Gruppenmitgliedschaften (AD) der jeweiligen Nutzer und übergibt dem WLAN-Controller das VLAN des Nutzers Tunnel je Nutzer in das gewählte Netz VPN-Nutzung durch gleiche Technik Cluster aus Cisco, der auf die gleichen Regelsätze im RADIUS zurückgreift wie die WLAN-Lösung Seite 21

22 Ausblick offene Punkte Manuelle Prozesse ablösen oder optimieren: - die Beantragung der Orgnamen / Internetnamen - Erstellung der Subnetze Erfahrungen aus dem Betrieb: - Setzen bestimmter DHCP-Attribute fehlt - unklare Raum- oder Verantwortungszuordnungen Hauptproblem: Netzwerkverwaltung ist hauptsächlich Datensenke von Daten aus der zentralen Universitätsverwaltung Nutzen bisher nur über die Rückmeldungen durch Netzwerkbetreuer über (vermeintlich) falsch zugeordnete Räume Seite 22

23 Ausblick - Potentiale Reporting mit Kenndaten wie Verpatchungsgrad und Qualität/Modernität der Netzwerkkomponenten Einbeziehung der Telefonie in die Selbstbedienungsfunktion dezentrale Steuerung von Firewallregeln ermöglichen Seite 23

24 Zusammenfassung / Fazit Eine geeignete Auswahl von Produkten und deren Integration ermöglicht auch in einem großen Forschungsnetzwerk eine schnelle und flexible Gestaltung auf Basis von dezentralen Administratoren. Im Web-Portal integrierte Anwendungen ermöglichen den Zugriff jeder Zeit von nahezu überall, mit direkter Interaktion und direktem Ergebnis. Das Identitäts- und Rollenmanagement stellt sicher, dass nur autorisierte Personen Zugriff auf die Konfiguration des Netzwerkes bekommen. Selbst Vertretungsregelungen können dabei ohne Zutun der zentralen IT geregelt werden. Mit der direkten Kopplung an das Identitätsmanagement können auch Workflows für das Ausscheiden eines Nutzers oder dem Wechsel der Einrichtung realisiert werden. Seite 24

25 Fragen...??? Vielen Dank für die Aufmerksamkeit! Kontakt: Christopher Ritter (christopher.ritter(at)tu-berlin.de) Dr. Thomas Hildmann (thomas.hildmann(at)tu-berlin.de) Michael Flachsel (michael.flachsel(at)tu-berlin.de) Seite 25

Ähnliche Dokumente

How-to: Webserver NAT. Securepoint Security System Version 2007nx

How-to: Webserver NAT. Securepoint Security System Version 2007nx Securepoint Security System Inhaltsverzeichnis Webserver NAT... 3 1 Konfiguration einer Webserver NAT... 4 1.1 Einrichten von Netzwerkobjekten... 4 1.2 Erstellen von Firewall-Regeln... 6 Seite 2 Webserver