FORSCHUNG & LEHRE IM NEXT GENERATION NETWORK INNOVATION EFFIZIENZ EXZELLENZ. Leitfaden für eine effiziente IT-Versorgung an deutschen Hochschulen

Transkript

1 INNOVATION EFFIZIENZ EXZELLENZ FORSCHUNG & LEHRE IM NEXT GENERATION NETWORK Leitfaden für eine effiziente IT-Versorgung an deutschen Hochschulen Kompetenz-Team Forschung & Lehre, Cisco Deutschland Seite 1 von 39

2 MANAGEMENT SUMMARY Zu den Veränderungen, mit denen sich deutsche Hochschulen gegenwärtig auseinandersetzen müssen, gehört in vielen Fällen auch eine Neubewertung des bisherigen Konzepts der IT-Versorgung. In den vergangenen Jahren wurden IT-Dienstleistungen in der Regel sowohl zentral durch die Hochschulrechenzentren als auch dezentral durch Fakultäts- und Institutsrechenzentren sowie in der Verwaltung angeboten. Die aktuelle Entwicklung deutet nun auf eine Abkehr von dieser Praxis hin, insbesondere aus ökonomischen Gründen. Die IT-Strategiepapiere vieler deutscher Hochschulen propagieren heute eher ein integrativ-kooperatives IT-Versorgungsmodell. Gemeint ist damit eine Rezentralisierung von IT-Dienstleistungen in das Hochschulrechenzentrum sowie die Kooperation mit vorhandenen IT-Dienstleistern an der Universität. Das Kompetenz-Team Lehre und Forschung von Cisco Deutschland GmbH kann und möchte die Akteure bei der Bewältigung der anstehenden Aufgaben unterstützen; der vorliegende Leitfaden für eine effiziente IT-Versorgung an deutschen Hochschulen soll hierzu ein erster Beitrag sein. Dieser Leitfaden will IT-Verantwortlichen an Hochschulen praktische Unterstützung bei der Planung, beim Aufbau und im wirtschaftlichen Betrieb einer netzgestützten IT-Plattform bieten. Gegenstand der Betrachtung sind daher die Dienste-Ebene IT-Infrastruktur sowie die Ebene der Basisdienste letztere im Sinne einer den Empfehlungen der Kommission der Rechenanlagen der DFG entsprechenden Architekturbeschreibung. Konkreten Aufgabenstellungen, denen sich IT-Anbieter an deutschen Hochschulen derzeit stellen müssen, werden konstruktive Vorschläge für praktikable Lösungsansätze gegenübergestellt. Jeder technische Lösungsvorschlag wird durch Hinweise auf weiterführende Informationen ergänzt, etwa auf instruktive Design-Whitepaper oder konkrete Angaben zu entsprechenden Installationen an deutschen Hochschulen. Darüber hinaus bietet diese Handreichung zahlreiche Anregungen für neue Dienstangebote. Den Schwerpunkt bilden drei durch das Kompetenz-Team identifizierte Themenkomplexe: _Im Kapitel Effizienter Campusbetrieb werden Lösungen beschrieben, welche die Voraussetzungen für ein kooperatives Versorgungsmodell mit IT-Diensten schaffen: Durch den Abbau von Redundanzen, durch Virtualisierung und eine Vereinfachung der Strukturen wird der Betrieb optimiert und stabilisiert. _Dem gestiegenen Mobilitätsanspruch von Mitarbeitern und Studenten widmet sich das Kapitel Mobiler Campus. _Durch den Einsatz von Lösungen aus dem Kapitel Innovative Campusdienste stellt die Hochschule Mitarbeitern und Studenten Mittel zur Verfügung, die neue Formen der Zusammenarbeit ermöglichen. Im Zuge einer Umsetzung der vorgeschlagenen Lösungen lassen sich Investitionskosten senken, IT- Dienste flexibler und effizienter anbieten sowie betriebliche Aufwendungen reduzieren. Seite 2 von 39

3 INHALTSVERZEICHNIS Management Summary... 2 Einleitung Effizienter Campusbetrieb Virtualisierung der Netzwerkplattform Mandantenfähige Netze Vereinfachte Netzwerklogik durch Virtualisierung Mandantenfähige Firewall-Dienste Virtualisierung der Ressourcen im Rechenzentrum Mandantenfähiges Loadbalancing Anbindung virtualisierter Server Flexible Bereitstellung von Rechenleistung Mandantenfähiger Speicher Aktives Energiemanagement Moderne Campus-Kommunikation mit Unified Communications Betriebsoptimierung durch Einführung von Unified Communications Eine an den Nutzer angepasste Kommunikationsplattform Skalierung und Schnittstellen Security Mobiler Campus Zugriff auf die Infrastruktur Vorteile einer Controller-basierenden Architektur Skalierbare und offene Architektur für Dienste im WLAN Mehr Bandbreite und bessere WLAN-Abdeckung mit 802.1n Migration bestehender Netze zu n Innovative Campus-Dienste Service-Helpdesk Campus-Informationssystem/Campus-TV Interaktiver Hörsaal Multimedial gestützte Teamarbeit Seite 3 von 39

4 EINLEITUNG Die Entwicklung der modernen Informations- und Kommunikationstechnologie verlangt einen Wandel innerhalb der entsprechenden Infrastrukturen an deutschen Hochschulen. Die IT wird an den Hochschulen zunehmend als ein strategisches Mittel erkannt und in diesem Sinne eingesetzt. Ziel ist es, eine effiziente Versorgung mit Informations- und Kommunikationsdienstleistungen zu organisieren sowie neue IT-gestützte Dienstangebote einzuführen. Deren Spektrum und Reichweite kann durch Absprachen und Arbeitsteilung zwischen den Infrastruktureinrichtungen nachhaltig verbessert und ausgebaut werden. Die Infrastruktur einer Hochschule sollte diesen Zielen schon heute Rechnung tragen und den Grad an Flexibilität bieten, der für die kooperative Zusammenarbeit der Dienstanbieter unerlässlich ist. Darüber hinaus muss sie genügend Leistungsreserven bereitstellen, um den Aufbau neuer, IT-gestützter Dienstleistungen zu ermöglichen. Das Kommunikationsnetzwerk und die Infrastrukturen im Rechenzentrum stellen die Kernbereiche für die Erbringung von Informations- und Kommunikationsdienstleistungen dar. Ausgehend von diesen Kernbereichen werden im Folgenden drei Themenkomplexe behandelt, welche den Schlüssel zu einer modernen IKT-Infrastruktur darstellen einer Infrastruktur, die sowohl den heutigen als auch den kommenden Anforderungen einer leistungs- und konkurrenzfähigen Hochschule gerecht werden kann. Seite 4 von 39

5 1. EFFIZIENTER CAMPUSBETRIEB 1.1 Virtualisierung der Netzwerkplattform Sowohl die Homogenisierung als auch die Virtualisierung der Netzwerkplattform stellen wichtige Voraussetzungen für ihren flexiblen und wirtschaftlichen Betrieb dar. Unabhängig von der Lokalisierung der Endgeräte werden für einzelne Nutzer wie Studenten, Institute, die Verwaltung, Mitarbeiter und Gäste individuelle Umgebungen mit transparenten Netzdiensten angeboten. Die Provisionierung erfordert dank homogener Ausstattung lediglich minimalen Planungs- und Umsetzungsaufwand. Die gemeinsame Nutzung eines abstrahierten Netzwerk-Hardwarepools ermöglicht eine bestmögliche Auslastung und somit Wirtschaftlichkeit Mandantenfähige Netze Es ist heute möglich, eine Infrastruktur aufzubauen und zu betreiben, die viele, beziehungsweise möglichst alle Anwendungen und Dienste parallel, mit höchster Verfügbarkeit und unbeeinflusst voneinander übertragen kann. Ehemals eigenständige Netze für Daten, Sprache, Bildübertragung, Meldetechnik und Überwachung können mit aktuell verfügbaren Systemen und Funktionen (transparente LAN-Dienste) zusammengelegt und gemeinsam betrieben werden. Das entspricht in der Industrie bereits dem heutigen Stand der Technik. Eine Voraussetzung ist, dass die Plattform die geforderten individuellen Dienstgütegrade sowohl für die einzelnen Anwendungen als auch innerhalb der Nutzergruppen (Mandanten) zur Verfügung stellen kann. Die Plattform hat u.a. den transparenten Netzwerkdienst Quality of Service (QoS), aber auch einen einheitlichen Zugangsprozess (Erkennung der Anwendung, Zugangskontrolle und Überwachung sowie Durchsetzung der Regeln) bereitzustellen. Die Anzahl an möglichen Mandanten ist abhängig von der zugrunde liegenden Infrastruktur und der Leistungsfähigkeit des Systems. Für Produkte vom Typ Cisco Catalyst 6500, wie sie im Backbone und im Distributionsbereich heute gebräuchlich sind, liegt das sinnvolle Maximum an Mandanten beispielsweise bei Neben der Versorgung einer bestimmten und ausreichenden Zahl von Mandanten muss das Netzwerk verschiedene Funktionen (transparente LAN-Dienste) individuell zur Verfügung stellen können. Es ist somit wichtig, neben der Übertragung von IPv4 und IPv6 auch über Funktionen zu verfügen, die VRF-aware sind. Beispiele hierfür sind Paketfilter (ACLs) oder PBR (Policy Based Routing), also Funktionen, die individuell für einen Mandanten gesetzt und verändert werden können. Durch die Plattform werden eine homogene Ende-zu-Ende-Funktionalität sowie stets verwendbare Kerndienste (siehe Abb. 1, hellblau dargestellt) zur Verfügung gestellt, wie zum Beispiel Quality of Service (QoS), integrierte Sicherheitsfunktionen und Identity Awareness. Durch die allgemeine Verfübarkeit aller Mandantenanbindungen an jedem Ort entfällt eine Betrachtung von komplizierten Ausnahmen und Sonderfällen. Die örtliche Zuordnung von Ressourcen ist nicht zwingend, so dass für Seite 5 von 39

6 den kooperativen Betrieb Systeme vom Rechenzentrum in den Mandanten- bzw. Institutsbereich verschoben werden können. Der Einsatz von Servervirtualisierung profitiert entsprechend von dieser Freizügigkeit. Abbildung 1: Auf der linken Seite im Campus-Netzwerk befinden sich die Dienstabnehmer, wie Studenten, Professoren und Dozenten, wissenschaftliche Mitarbeiter, Gäste und die Verwaltung kurz: die Mandanten oder Nutzer. Der Zugang erfolgt oft klassisch über ein Kupfermedium, seltener über Licht-Wellen-Leiter (LWL), über einen VPN-Zugang oder zunehmend mobil, d.h. Wireless als Grundlage für den mobilen Campus. Die Netzwerkplattform liefert für jeden Dienstabnehmer (hier vereinfacht Mandant A und Mandant B genannt) eine leistungsfähige, sichere und logisch getrennte Übertragungsstrecke (grüne horizontale Verbindungen) in das Rechenzentrum (RZ = DC DataCenter). Dienste (hellblaue Routersymbole) werden von der Netzwerkplattform ebenfalls virtualisiert, d.h. pro Mandant individuell bereitgestellt. Die Dienstabnehmer in der Software des Clients und des Servers nehmen die zumeist in leistungsfähiger Hardware realisierten Plattformdienste in Anspruch (beispielsweise VRF-aware HSRP/GLBP/VRRP). Primär gibt es zwei Verfahren zur praktikablen Realisierung der Mandantentrennung: 1) MPLS-VPN 2) VRF-Lite Beide Ansätze werden im Folgenden vorgestellt. Die einzelnen Standorte erhalten einen standardisierten Anschluss an den MPLS-Backbone bzw. bilden durch direkte Verbindungen untereinander gleichzeitig einen MPLS-Backbone. Dedizierte MPLS- Backbone-Systeme werden lediglich als Skalierungsstufe benötigt, tragen aber keine neue Funktionalität für die Lösung bei. Als Dienst auf der Basis von MPLS bietet die Plattform die Möglichkeit, beliebig viele Mandanten, wie z.b. die Fakultäten, Gäste, Forschungspartner, Verwaltung etc., logisch voneinander zu trennen und dabei eine einzige Netzwerkinfrastruktur zu nutzen, ein MPLS-VPN. Die Verwendung eines MPLS-VPNs als Grundfunktionalität ist für Umgebungen mit starker Dynamik in der sekundären, autarken Netzstruktur vorteilhaft beispielsweise bei Umzügen von Teilen der Fachbereiche, der Seite 6 von 39

7 Institute oder anderer organisatorischer Gruppen auf dem Campus. Vorteile stellen sich darüber hinaus ein, wenn für die Betreuung beliebig vieler Mandantennetze eine feste Betriebsmannschaft zuständig ist. So gibt es ab einer bestimmten Anzahl von Netzgeräten und Mandaten einen Betriebspunkt, der den Aufwand für die anfängliche Installation rechtfertigt. Neben der Möglichkeit, VPNs auf Schicht 3 anzubieten, können weitere auf MPLS basierende Dienste, wie Schicht-2-VPNs (EoMPLS und VPLS) und eine Auslastungsoptimierung bzw. Fehlertoleranz durch Traffic Engineering (TE), bereitgestellt werden. Abbildung 2: Vorteil eines MPLS-Backbones ist die einfache Bereitstellung eines Netzanschlusses im Tagesbetrieb für einen beliebigen Dienstabnehmer (z.b. Institut, Arbeitsgruppe, Fachbereich) an einem beliebigen Standort. Kommunikationsbeziehungen (Full-Mesh oder Hub-and-Spoke) können statt durch physikalische Verbindungen durch Konfigurationsvorgaben realisiert und beliebig verändert werden. Beispielsweise werden Anschlüsse für Verwaltungsgeräte an den Standorten Nord, West und Ost angeboten. Um eine zusätzliche Unterstützung am Standort Süd zu erhalten, ist keine Änderung der Netzstruktur oder in der Konfiguration von anderen Standorten notwendig. Lediglich die beiden Geräte am Standort Süd werden konfiguriert; im Fall eines VSS-Systems reduziert sich der Aufwand auf die Anpassung einer einzigen Konfiguration. In Umgebungen, die sowohl wenige Mandanten als auch nur eine geringe Anzahl an Standorten (im Extremfall bei einem zentralen Backbone nur einen Gerätesatz) aufweisen, ist der Einsatz einer dynamischen Signalisierung von Informationen, wie sie in MPLS-VPN-Netzen geboten wird, zumeist nicht erforderlich oder gewünscht. Hier sollte der Einsatz einer VRF-Lite-Lösung geprüft werden. Eine VRF-Lite-Lösung bietet sich darüber hinaus an, wenn in Bezug auf Veränderungen eine nur minimale Dynamik gegeben ist oder bereits eine leistungsfähige Provisionierungssoftware eingesetzt wird. Seite 7 von 39

8 Abbildung 3: Für Umgebungen mit einer geringen Anzahl an Mandanten und Geräten oder bei Einsatz einer leistungsfähigen Provisionierungssoftware erfolgt die Pfadisolierung durch IEEE 802.1Q-Trunkverbindungen zwischen den Campusbereichen. Für jeden Mandanten ist auf jedem Netzkonto ein separates Routingprotokoll zu implementieren und zu pflegen. Die Verbindung der Geräte erfolgt, wie in der Grafik dargestellt, durch IEEE 802.1Q-Trunks. Eine Alternative kann die Kopplung durch GRE-Tunnel darstellen. WEITERFÜHRENDE INFORMATIONEN & REFERENZEN Solution Reference Network Design Guides -> Design Zone for Campus Network Virtualization Path Isolation Network Virtualization Guest and Partner Access Deployment Guide Network Virtualization Network Admission Control Deployment Guide System Assurance Guide Referenzen: TU Darmstadt, TU Chemnitz, Universität Bonn, Universität Würzburg, Uniklinikum Eppendorf, Universität Köln Seite 8 von 39

9 1.1.2 Vereinfachte Netzwerklogik durch Virtualisierung Neben den wirtschaftlichen Vorteilen kann eine 2:1-Virtualisierung auch zu einer Vereinfachung der Netzwerklogik sowie zur Erhöhung der Leistungsfähigkeit führen. Als Beispiel für eine 2:1-Virtualisierung wird hier die Clusterung von zwei vormals singulären zu einem logischen System dargestellt. Die Leistungsfähigkeit der Einzelsysteme bleibt vollständig erhalten. Abbildung 4: Durch eine 2:1-Virtualisierung wie die VSS-(Virtual Switching System)-Funktionalität ist eine erhebliche Vereinfachung der Schicht-3-(IP)-Netzlogik zu erzielen. Von den ursprünglich zehn Subnetzen in der linken Darstellung werden ohne Redundanz oder Leistungsverlust nur noch vier benötigt. Wird mehr als ein Kundennetz auf dieser Plattform abgebildet, so lässt sich dieser Vorteil pro Mandant erzielen, wenn z.b. VRF-Lite als zugrunde liegende Funktion gesetzt wird. Als zusätzlicher Nutzen wird der Betrieb durch die Verschmelzung von zwei Konfigurationen und Betriebssystemen zu je einer Instanz entsprechend entlastet. Neben ihrem Einsatz zur Vereinfachung der Schicht 3 (IP) werden diese Systeme für die Lösung von Spanning-Tree-Aufgaben verwendet. Beliebige Geräte, wie Switches, Router und Server, können redundant, d.h. via multi-homing, mittels eines Ethernet-Channels terminierend auf den zwei physikalischen Systemen der 2:1-Virtualisierung angebunden werden. Der besondere Vorteil dieser Lösung besteht darin, dass alle Verbindungen für den Nutzdatentransport, d.h. ohne vom Spanning-Tree gesperrte Ports, zur Verfügung stehen. Das Verfahren erlaubt zudem den standardkonformen Betrieb von LACP-fähigen Geräten. WEITERFÜHRENDE INFORMATIONEN & REFERENZEN VSS-Overview: VSS-Whitepaper: Referenzen: TU Chemnitz, RWTH Aachen, Universität Karlsruhe, TU-Darmstadt, Hochschule Esslingen Seite 9 von 39

10 1.1.3 Mandantenfähige Firewall-Dienste Häufig werden im Hochschulumfeld an diversen Punkten Firewall-Produkte zur Absicherung des Netzzugangs betrieben. Dies dient zum einen dem Schutz gegenüber dem öffentlichen Netz, zum anderen aber auch häufig dazu, um den Zugriff auf die Gesamtheit der Ressourcen im internen Kommunikationsverkehr zu steuern. Solche Abtrennungen schützen zum Beispiel den Wireless- vor dem kabelgebundenen Zugang, das Netz der Verwaltung vor allen anderen Nutzern sowie manche Fachbereiche untereinander. Die Problemstellung liegt nun häufig darin, dass für diese Firewall-Geräte entsprechende Räumlichkeiten (Klimatechnik, Zugangsschutz) und natürlich auch Serviceverträge (vielleicht mit unterschiedlichen Firmen) vorgehalten werden müssen. Darüber hinaus entwickeln sich an machen Stellen die Schulungsund Weiterbildungskosten für die betreuenden Mitarbeiter stetig nach oben, ohne dass es hierzu Alternativen gäbe: Ein Versäumnis im Bereich der Weiterbildungsmaßnahmen zieht ein erhebliches Sicherheitsrisiko nach sich, da die Bedrohungen massiv zunehmen und sich die Halbwertzeit des Sicherheitswissens mehr und mehr verkürzt. All diese Herausforderungen führen teilweise dazu, dass die entsprechende Sicherheitsbetreuung von Instituten oder Fachbereichen nur noch mangelhaft oder teilweise sogar gar nicht mehr durchgeführt werden kann. Abbildung 5: Für Umgebungen mit einer zentralen Implementierung virtueller Firewall-Instanzen Seite 10 von 39

11 Ähnlich wie im Datacenter kann Virtualisierung auch beim Thema Sicherheit zu einer Reduktion des so genannten Total Cost of Ownership führen und zusätzlich die Qualität der Sicherheit erhöhen. Möglich wird dies durch eine bessere Ausnutzung der vorhandenen (oder neuen) Hardware, wobei so genannte virtuelle Firewall-Instanzen (Context) zum Einsatz kommen. Durch die Erhöhung der Ausfallsicherheit bei der Stromnetzabsicherung (Verwendung einer zentralen, unabhängigen Stromversorgung (USV) und/ oder redundanten Stromversorgung), durch Konsolidierung der Firewall-Wartungsverträge und zentral abgesicherten Administratoren-Zugänge sowie durch die Nutzung einer zentralen Klimatechnik können Sicherheit und Verfügbarkeit der Firewall-Technik entscheidend erhöht werden. Welche Voraussetzungen muss die eingesetzte Hardware bieten, um dieses Einsparungspotenzial zu realisieren? Die Virtualisierung muss gewährleisten, dass der übergeordnete Administrator (Super Admin) nur dann Zugriff auf die Inhalte der einzelnen virtuellen Firewalls bekommt, wenn ihm der entsprechende Betreuer diesen auch gewährt. Falls dies notwendig ist, muss die Unabhängigkeit gewahrt werden können. Über eine externe Instanz sollte jeder Zugriff auf die einzelnen virtuellen Firewalls sicher protokollierbar und, wenn notwendig, auch möglichst revisionssicher gespeichert werden können. Idealerweise kann dieses Konstrukt auch noch durch ein ebenfalls zentrales und möglichst mandantenfähiges Sicherheitsmanagement vereinfacht werden. Neben der sichtbaren Reduktion der laufenden Instandhaltungskosten eröffnet dieser Ansatz den Vorteil, dass verschiedene Firewall-Betreuer innerhalb der Institutionen Konfigurations- und Sicherheits-Knowhow austauschen und einander als Backup dienen können, zum Beispiel als Krankheits- oder Urlaubsvertretung. Zusätzlich werden durch die zentrale Platzierung der Firewall in einer abgesicherten Umgebung sowohl die Verfügbarkeit als auch die Lebensdauer der Hardware erhöht. Der physikalische Zugangsschutz wird bei dieser Konstellation quasi automatisch mit erledigt. Und die Virtualisierung der Firewall gestattet es der zentralen IT-Abteilung zudem, den auf dem Campus angesiedelten internen und externen Organisationseinheiten ohne größeren zusätzlichen Aufwand neue Dienstleistungen (Service- Firewall-Betreuung und -Wartung) anzubieten. Die hierdurch erzielten Einnahmen könnten dann beispielsweise auch bei der Refinanzierung oder für Weiterbildungsmaßnahmen Verwendung finden. WEITERFÜHRENDE INFORMATIONEN & REFERENZEN Designzone für Sicherheit: Network Design Guides Generelle Design Guides für Sicherheit in der IT-Infrastruktur: Referenzen: FSU Jena, Universität Leipzig, TU Darmstadt, TU Chemnitz, Universität Giessen, Freie Universität Berlin, TU Dresden, Universität Bonn Seite 11 von 39

12 1.2 Virtualisierung der Ressourcen im Rechenzentrum Das Rechenzentrum bildet im Verbund mit den zentralen Rahmenbedingungen der Gebäudeinfrastruktur, wie physikalische Sicherheit, unterbrechungsfreie Stromversorgung und Kühlung, die Basis für den sicheren und zuverlässigen Betrieb der Anwendung. Teile des Rechenzentrums können für das Serverhosting, Serverhousing oder über das Campus-Netz verlängert bis in einzelne Institute und Fakultäten ausgedehnt werden. Zentrale Anwendungen (Basisdienste) können hochverfügbar vom Rechenzentrum bereitgestellt werden. Diese Plattform ermöglicht es, Serverfarmen und Speicher/Storage virtualisiert zu betreiben. Bis in den virtualisierten Server hinein ist eine homogene Plattform ohne funktionale und administrative Brüche möglich. Anforderungen wie transparente L2-Dienste, wie sie beispielsweise für VMotion gewünscht werden, können einfach umgesetzt werden. Abbildung 6: Die Infrastruktur im Rechenzentrum unterstützt vielfältige Betriebsweisen wie den kooperativen Betrieb, den standardisierten und den individuellen Betrieb von Sonderanwendungen. Die Elemente CPU, Speicher und I/O können zu Pools zusammengefasst werden. Die Grundlage für eine Automatisierung und Provisionierung ist somit gegeben. Externer Speicher kann z.b. über IB, iscsi, FC oder FCoE erreicht werden. FCoE verspricht die Konsolidierung von SAN und LAN in einer Infrastruktur ohne Änderung der Betriebsweise für die SAN-Mannschaft. Seite 12 von 39

13 1.2.1 Mandantenfähiges Loadbalancing Eine Kernaufgabe des Rechenzentrums ist die Lastverteilung von Anfragen auf einzelne Server. Dies sollte durch eine leistungsfähige Hardware in Form eines Loadbalancers erfolgen. Neben der Ausführung als Einzelgerät (Appliance) steht eine Multi-Gigabit-Variante als Einschub (Service-Modul) für den Catalyst 6500 zur Verfügung. Einzelne Leistungsstufen sind durch Lizenzschlüssel zu aktivieren und passen sich somit den realen Bedürfnissen an bzw. wachsen mit. Neben der Lastverteilung werden auch SSL-Terminierung (offload), Access-Listen (ACLs), Adressumsetzung (NAT) und eine auf die Bedürfnisse von Rechenzentren abzielende Absicherung (inspects) angeboten. Für den Einsatz in virtualisierten Umgebungen ist das Modul in logische Kontexte (Partitions) unterteilbar. Jeder Kontext kann einem Mandanten zugewiesen und individuell konfiguriert werden. Reale Ressourcen, wie z.b. Speicher für Access-Listen, können einem logischen Kontext zugewiesen werden. Neben der ökonomischen Umsetzung für viele Mandanten mit einer Hardware kann auch ein mehrstufiges Rechenzentrumsdesign (Access-, Application- und Datenbankserver) mit diesem einen Satz an Loadbalancing-Hardware aufgebaut werden. Abbildung 7: Als Hardware-Ressource werden ACE-Module, z.b. im Catalyst 6500 Switch, für transparente LAN-Dienste wie Loadbalancing, NAT, SSL-Terminierung, ACL und inspects eingesetzt. Diese, für höchste Anforderungen auch mehrfach auslegbaren Module, können in logische Partitions unterteilt werden. Diesen Partitionen können reale Ressourcen zugewiesen werden; somit garantieren sie bestimmte SLAs. Die logischen Partitions können als Dienstleistung zentral, z.b. vom Rechenzentrum, verwaltet oder kooperativ betrieben werden. Für eine verteilte Betriebsführung kann die entsprechende Betriebsmannschaft, z.b. Netzwerk, Sicherheit und Server, über RBAC (Role Based Access Control) jeweils ihre eigenen Konfigurationen innerhalb einer Partition vornehmen. Der Einsatz innerhalb VSS ist gegeben, ebenso wie ein redundanter Betrieb. WEITERFÜHRENDE INFORMATIONEN & RESSOURCEN Virtualized Application Delivery with Cisco Application Control Engine (ACE) aper.html Referenzen: Uni Siegen, TU Chemnitz, TU Berlin, Uni Hamburg, HAW Seite 13 von 39

14 1.2.2 Anbindung virtualisierter Server Einen Trend im Rechenzentrum stellt die Virtualisierung von Servern dar. Mehrere ehemals eigenständige physikalische Server oder Blades, zumeist gering ausgelastet, werden auf einer einheitlichen Hardwareplattform, aber logisch separiert, betrieben. Die Verbindung der einzelnen logischen Maschinen untereinander sowie zur Außenwelt wird durch logische Switches realisiert. Je nach Bedarf und Einsatzzweck können entweder die vom Virtualisierungsanbieter mitgelieferten logischen Switches oder die vom Netzwerkanbieter bereitgestellten Switches verwendet werden. Letztere werden z.b. für VMware ESX-Server 4.0 in der Form des Nexus1000V angeboten. Der Nexus 1000V ergänzt bzw. ersetzt den ehemaligen vswitch und bietet eine Reihe zusätzlicher Funktionen wie z.b. NetFlow und Port-Mirroring. Die Administration kann mit dem Nexus 1000V mithilfe des einheitlichen Betriebssystems NX-OS einheitlich im Rechenzentrum erfolgen. Einen Vorteil stellt die gemeinsame Konfiguration von mehreren virtuellen Switches dar, die dann der eines modularen Switches entspricht. Der einzelne logische Switch (Nexus 1000V) erscheint hierbei als Linekarte in einem virtuellen Gehäuse. Durch den Einsatz des Nexus 1000V wird die Kommunikation zwischen den virtuellen Maschinen wieder kontrollierbar. Die Rechenleistung für den logischen Switch stellen ein oder mehrere CPU-Kerne der Hostmaschine zur Verfügung. Als Alternative, insbesondere für 10GE-Anbindungen, kann ein leistungsfähiger externer Switch z.b. in Form des Nexus 5000 eingesetzt werden, der mit 20 oder 40 non-blocking 10GE Ports ausgestattet ist. Um für diesen Switch ebenfalls die einzelne virtuelle Maschine sichtbar zu machen, kann zwischen dem Server und dem Switch ein VN-Link verwendet werden. Der Nexus 5000 bietet folgende strategische Anwendungsfelder: 1. Schneller 10GE Switch mit konstant geringen Verzögerungen 2. Externer Switch für virtualisierte Umgebungen durch die Verwendung von VN-Link 3. Unified I/O (Phase I zwischen dem Server und dem Nexus 5000), also FCoE 4. Hostsystem (Betriebssystem und Konfiguration) für die Anbindung von bis zu Ports 5. 1GE Top-of-Rack Switches (Nexus 2148) Seite 14 von 39

15 Abbildung 8: Die Infrastruktur ist für eine zukünftige Nutzung von virtualisierten Servern (z.b. VMware ESX-Server), High-Performance-Computing-Clustern (HPC) und für die Anbindung mittels 10GE (perspektivisch 40GE/100GE) auszulegen. Unabhängig von der Anbindungsoption stehen transparente Dienste wie Stateful Firewalling (FW), Loadbalancing (LB), Network Address Translation (NAT) und SSL-Terminierung virtualisiert, d.h. individuell pro Mandant, zur Verfügung. Im oberen rechten Teil wird die Anbindung von realen Servern über bis zu zwölf abgesetzte 48-Port 1GE Top-of-Rack-Switches dargestellt. Der Betrieb wird erheblich vereinfacht, da Softwarewechsel nur auf den zentralen Nexus 5000-Systemen erfolgen, ebenso wie die gesamte Konfiguration. Die Fabric Extender erscheinen als logische Linekarte, wie bei einem modularen System, in der Konfiguration des Hostes. WEITERFÜHRENDE INFORMATIONEN & REFERENZEN Solution Reference Network Design Guides Design Zone for Data Centers VMware Infrastructure 3 in a Cisco Environment Referenzen: Zuse Institut Berlin, TU Chemnitz, Universität Köln, Universität Trier, DESY, RWTH Aachen, DWD, LRZ München Seite 15 von 39

16 1.2.3 Flexible Bereitstellung von Rechenleistung Unter dem Begriff Unified Computing System, oder kurz UCS, wird erstmalig eine Architektur angeboten, die eine einheitliche und effiziente Betriebsführung im Rechenzentrum ermöglicht. Durch UCS werden die Bereiche computing, network, storage access und virtualization in einem System vereint. Abbildung 9: Dargestellt wird ein UCS-System, welches aus zentralen Fabric Interconnects besteht, an denen bis zu 40 Blade Server Chassis mit insgesamt bis zu 320 Real Half-Wide Serverblades betrieben werden können. Neben Half-Wide Blades ist auch der Einsatz von Full-Wide Blades möglich, die über die Memory Expansion-Technologie verfügen. Es ist möglich, ca. 380 GByte auf einem derartigen Blade einzusetzen, um speicherintensive Anwendungen zu unterstützen. Alternativ ist der Einsatz von kleinen, aber kostengünstigen Speicherbausteinen möglich. In den Fabric Interconnects wird das integrierte Management angeboten. Über Service Profile Templates ist eine effiziente Konfiguration von einem bis zu Hunderten realer Server möglich. Die realen Server sind auf eine Virtualisierung aktuell durch VMware ESX vorbereitet. Die realen Server Blades können z.b. mit HBAs von Emulex und Qlogic oder speziell für Virtualisierung entwickelten NICs ausgestattet werden. Seite 16 von 39

17 WEITERFÜHRENDE INFORMATIONEN & REFERENZEN Cisco Unified Computing System Introduction: Cisco new Datacenter at Richardson Mandantenfähiger Speicher Die Auflösung von geschlossenen SAN-Inseln und die Konsolidierung auf einer mandantenfähigen Plattform sichert die optimale Auslastung, Skaleneffekte im Einkauf sowie eine einheitliche, das heißt vor allem sichere Betriebsführung. Modulare und investitionssichere Systeme bieten zusätzlich 8 Gigabit FC- Module, sind 16 Gigabit FC-ready und in der Lage, Service-Application-Module aufzunehmen. Diese können z.b. mit integrierten Gigabit-Ethernetports sowohl Dienste wie iscsi und FCIP anbieten, aber auch Volume Management, also Speichervirtualisierung (z.b. Invista), direkt in der Fabric bereitstellen. Weitere Fabric-Dienste sind die Verschlüsselung in der Fabric beim Schreibvorgang auf den Targets (Storage Media Encyption SME), I/O Acceleration, Data Mobility Manager, SAN-TAP-Applikation (Recovery Point) und das sichere Löschen von Targets (Secure Erase). Die ehemals vereinzelten SAN-Inseln können logisch bestehen bleiben und werden als ein Virtuelles SAN (VSAN) mit eigenen Diensten, wie Nameserver, Domain Controller, Alias Server, Login Server und einem unabhängigen Zoning, zur Verfügung gestellt. Freie Ressourcen (Module oder FC-Ports) der darunter liegenden Plattform können nach Bedarf einem VSAN zugewiesen werden. Die Auslastung und Reservevorhaltung kann entsprechend optimiert werden. Abbildung 10: Eine leistungsfähige Plattform bietet pro Mandant ein komplettes SAN mitsamt allen Diensten und Servern. Die Verbindung zwischen den Switches erfolgt mit ISL (Interswitch-Links), die für die sichere Trennung und Identifizierung ausgelegt sind. Die MDS-Plattform ist 8G FC, 16G FC und auch FCoE-ready und kann nach Bedarf entsprechend erweitert werden. Über IP- Service-Module sind Funktionen wie FCIP oder iscsi-gateways realisierbar. Storage-Service-Module bieten z.b. Virtualisierungsdienste, also Volume Management (z.b. Invista von EMC). Storage-Application-Module bieten beide Dienste kombiniert an und sind in verschiedenen Leistungsklassen erhältlich. Dargestellt ist eine virtualisierte Fabric A von in der Praxis zumeist zwei unabhängigen Einheiten (Fabric A und Fabric B). Seite 17 von 39

18 WEITERFÜHRENDE INFORMATIONEN & REFERENZEN Cisco Solution Reference Network Design Guides: Data Center Advanced SAN Design Using the Cisco MDS 950 Series Multilayer Directors e_paper.html Using VSANs and ZONING Referenzen: Universität Köln, Universität Potsdam, TU Chemnitz, TFH Wildau, Zuse Institut Berlin, HLRS 1.3 Aktives Energiemanagement Entwicklungen wie die stark ansteigenden Energiepreise und die damit verbundenen zunehmenden Kosten treffen die Hochschulen in Form massiver Budgetbelastungen schmerzhaft. Sie müssen auf neu geschaffene gesetzliche Rahmenbedingungen, wie z.b. die EU-Energieffizienzrichtline, reagieren und diese zeitnah umsetzen. Die Debatte um CO2-Emissionen und den Klimawandel ist längst nicht mehr nur politisch motiviert, sondern nachhaltig in der öffentlichen Diskussion angekommen. Öffentlichen Institutionen, also Lehre und Forschunginstitutionen, kommt dabei eine besondere Vorreiterrolle zu, wenn es darum geht, die Öffentlichkeit für Lösungen zu gewinnen und sie zu sensibilisieren. Eine wichtige Folge dieser Entwicklung ist das sichtlich gestiegene Kostenbewusstsein. Bevor bestimmte Kosten allerdings in einem Idealszenario verursacherbezogen verteilt werden können, muss die betroffene Institution zunächst die große Herausforderung meistern, die darin liegt, Transparenz zu schaffen. Dabei könnte Energieeffizienz an Hochschulen durch drei verschiedenartige Maßnahmen relativ einfach adressiert werden: 1. Organisatorische Maßnahmen Wer benutzt was wann? 2. Verhaltensbezogene Maßnahmen Wer benutzt was wie? (Nutzerverhalten) 3. Technische und bauliche Maßnahmen Optimierung technischer Anlagen und der intelligente Einsatz von Mess-, Regelungs- und Steueranlagen Technische und bauliche Maßnahmen sind in der Regel sehr effizient, jedoch zum Teil auch sehr kostenintensiv. Sie beinhalten die Wärmedämmung des Gebäudes, die Optimierung der technischen Anlagen und der Mess-, Steuer- und Regelungstechnik sowie ggf. auch den Austausch von Komponenten wie Pumpen und Leuchten gegen effizientere Bauteile. Seite 18 von 39

19 Organisatorische Maßnahmen sind geeignet, den Energieverbrauch sowie die Energiekosten zu senken, ohne dass Investitionen in größerem Umfang erforderlich werden. Dies kann durch die Optimierung von Betriebsabläufen (Raumbelegung, Geräte- und Anlagennutzung), Nutzer-Schulungen, Institutionalisierung von Aufgaben (Energiebeauftragte) sowie eine verursacherbezogene Abrechnung von Energiekosten geschehen. Verhaltensbezogene Maßnahmen zielen unmittelbar auf die Gebäudenutzer ab. Durch Information, d. h. die Sensibilisierung für Einsparmöglichkeiten und die Verdeutlichung von ungünstigem Verhalten und dessen Auswirkungen, sind Einsparungen mit geringen Investitionen realisierbar. Der Energiebedarf in einem typischen Hochschulumfeld verteilt sich auf die Bereiche Heizung, Klimatisierung und Belüftung (58%), Beleuchtung (11%) und andere Nutzung (6%). Darin geht der Stromverbrauch für IT-Equipment auf, der seinerseits 25% des Gesamtenergiebedarfs ausmacht. Personal Computer, Laptops und Drucker sind dabei mit 55% die größten Stromfresser, gefolgt vom Rechenzentrum mit 35% und dem Netzwerk mit 10%. Wenn also 25% des Energiebedarfs in einem typischen Büroumfeld auf die IT entfallen, wie können die restlichen 75% adressiert werden? Cisco EnergyWise ist ein Rahmenwerk, das netzwerkbasiertes Energiemanagement ermöglicht. Dabei spielen die fortschreitende Konvergenz der IT-Infrastruktur, z.b. auf Basis des Internet Protokolls (IP), sowie das Gebäude- bzw. Facilitymanagement eine bedeutende Rolle. Cisco EnergyWise ist eine Eigenentwicklung, die durch die Akquisition von Richards Zeta Building Intelligences sowie durch starke Kooperationen entschieden vorangebracht wurde; zu den Kooperationspartnern zählen beispielsweise das weltweit renommierte Gebäudemanagement-Unternehmen Schneider Electric sowie weitere führende Größen in der Branche. EnergyWise ist längst keine Vision mehr: Es ist ein dreistufiger Phasenplan, der nicht nur Einsparungen bei den 25% des auf die IT entfallenden Energieverbrauchs adressiert, sondern auch die restlichen 75% angeht. Die erste Phase (seit Anfang 2009) bietet zunächst die Möglichkeit, Cisco Access Switches sowie daran angeschlossene Power-over-Ethernet-(PoE)-Geräte, wie z.b. IP-Telefone, WLAN-Access- Points oder IP-Kameras, energieeffizient zu steuern. In der zweiten Phase (ab Mitte 2009) wird EnergyWise in die bekannten Cisco Managementwerkzeuge integriert sein und die Energiesteuerung von Backbone-Switches, Laptops und PCs ermöglichen. Anfang 2010, zu Beginn der dritten Phase, werden über Kopplungsmechanismen Gebäudemanagementfunktionen integriert werden. Das heißt in der Praxis: Bereiche wie Beleuchtung und HVAC (= Heating, Ventilation & Air Condition) können netzwerkbasiert gesteuert und einem laufenden Monitoring unterzogen werden. Seite 19 von 39

20 Abbildung 11: Das Cisco EnergyWise Energiemanagement WEITERFÜHRENDE INFORMATIONEN & REFERENZEN 1.4 Innovative Company-Wide Energy Management to Improve Green Practices Cisco EnergyWise Business Value Calculator Evaluating and Enhancing Green Practices with Cisco Catalyst Switching Moderne Campus-Kommunikation mit Unified Communications Die technologische Basis der Sprachkommunikation hat sich in den letzten Jahren zu Gunsten von IPbasierten Anlagen verändert. Alle führenden Hersteller setzen im Rahmen ihres strategischen Produktportfolios auf softwarebasierte Sprachvermittlungssysteme. Die Fragestellungen, die den Austausch der an Hochschulen vorhandenen Anlagen begleiten, sind also weniger technologischer Natur, sondern widmen sich vielmehr dem Betriebsaufwand, der Integration in die hochschulspezifischen Arbeitsprozesse sowie der Kopplung mit vorhandenen Anwendungen (z.b. HIS, etc.). Seite 20 von 39

21 Die Nutzung der IP-Infrastruktur als zentrale Plattform schafft nun die Möglichkeit, auf Dienste innerhalb des Netzwerks zuzugreifen, die völlig neue Kommunikationsanwendungen und Synergien ermöglichen. Sämtliche Kommunikationsformen wie Sprache, Video, Chat, Voic , Fax etc. verschmelzen zu einer Anwendung, die zu jeder Zeit und von jedem Ort verfügbar ist Betriebsoptimierung durch Einführung von Unified Communications Einer der entscheidenden Vorteile der IP-Telefonie ist die Optimierung von Betriebsprozessen. Dies wird erreicht über eine einheitliche Infrastruktur, auf der sowohl Daten als auch Sprache aufsetzen. Eine zweite Kabelinfrastruktur für die Telefonie erübrigt sich das spart Kosten und minimiert Brandlasten. Auch die Integration neuer Standorte vereinfacht sich erheblich, da abgesetzte Telefonanlagen entfallen und die vorhandene Netzwerkinfrastruktur die neuen Standorte mit den zentralen Telefon- und Applikationsdiensten versorgen kann. Darüber hinaus vereinfachen sich viele Konfigurationsschritte durch automatisierte Abläufe, was Zeit und somit Betriebskosten spart. Zentrale Identity-Management- Systeme dienen gleichzeitig als Benutzerverwaltung für die Telefonie. Dadurch entfällt auch die Pflege eines separaten, hochschulweiten Telefonbuchs Eine an den Nutzer angepasste Kommunikationsplattform Die Zusammenführung unterschiedlicher Kommunikationsformen (Sprache, Mail und Chat) mit verschiedenen Plattformen (IP-Phone, Soft-Phone, Handy, CTI- und Kollaborations-Anwendungen) erhöht die Effizienz der Benutzer. Mit wenigen Schritten ist das Einleiten von Web-, Video- oder Audiokonferenzen möglich, die entsprechenden Tools sind intuitiv bedienbar. Die Präsenzanzeige gibt Auskunft über die Verfügbarkeit des gewünschten Kommunikationspartners und optimiert so die Auswahl der entsprechenden Kommunikationsform. Mobile Endgeräte werden in die Cisco Unified Communications Plattform integriert. Die Nutzer haben nur noch eine Telefonnummer für Büro-Apparat und Mobiltelefon, unter der sie an jedem Ort erreichbar sind. Der Nutzer kann somit die von ihm bevorzugte und seiner Arbeitsaufgabe entsprechende Kommunikationsart frei wählen. Durch Nutzung von IP als Plattform für Kommunikationsdienste ist es möglich, beliebige Endgeräte in das System zu integrieren. Von kabelgebundenen, IP-basierten Telefonen über Software-Clients auf dem PC bis hin zu mobilen Endgeräten, sei es per WLAN, GSM oder beidem, ist eine Integration möglich. Durch die Service Oriented Network Architecture (SONA) als Netzwerkplattform wird weiterhin gewährleistet, dass alle Teilnehmer Zugang zu den vom Netz bereitgestellten Diensten haben. Seite 21 von 39

22 Mobilität Video Teamwork Conferencing Voic CTI Openness/ IM Federation/ SIP Abbildung 12: Service Oriented Network Architecture Skalierung und Schnittstellen Eine Cisco Unified Communications Lösung skaliert aufgrund ihrer Modularität, die es erlaubt, mehrere Server zu Clustern zu erweitern bis zu mehreren Hunderttausend Endgeräten. Offene Schnittstellen ermöglichen es der Hochschule, eigene, maßgeschneiderte Softwarelösungen für hochschultypische Anwendungen zu erstellen und an solche Systeme anzudocken. Es ist möglich, verschiedene dieser Schnittstellen für die Realisierung von Diensten wie Inventarisierung der Geräte, automatische Raumerkennung, Erstellen von Chef-Sek-Schaltungen, Terminerinnerungen oder Darstellungen von Mensaplänen auf dem Telefon zu verwenden. Das Cisco Unified Application Environment (CUAE) ist ein Framework, das es Entwicklern ermöglicht, schnell und unkompliziert Cisco Unified Communications Applikationen zu erstellen, die Sprach-, Videound Datendienste vereinen. Abbildung 13: Cisco Unified Application Environment (CUAE) Seite 22 von 39

23 1.4.4 Security Das Cisco Unified Communications Security Portfolio umfasst alle Schichten (von der physikalischen bis zur Applikationsebene) und alle beteiligten Systemteilnehmer, wie Endgeräte, Server, Switches oder Router. Signalisierungen und Sprachströme lassen sich verschlüsseln, Zugriffsrechte über IEEE 802.1x einstellen. Somit bietet das vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifizierte System die größtmögliche Sicherheit im Bereich der IP-Telefonie. Die Ziele der Einführung einer Cisco Unified Communications Lösung lassen sich wie folgt zusammenfassen: Senkung der Betriebskosten durch eine zentrale Administration, automatisierte Prozesse und Reduzierung der Wartungszeiten Verkürzte Antwortzeiten für Supportanfragen freie Wahlmöglichkeit der Kommunikationsumgebung durch den Nutzer Vereinfachung der Bedienbarkeit durch Zusammenführung von Tools Hohe Skalierbarkeit bei größtmöglicher Flexibilität Die Gewährleistung von Sicherheit der Daten bei gleichzeitiger Einhaltung der Kostentransparenz nach Dienstvereinbarungen WEITERFÜHRENDE INFORMATIONEN & REFERENZEN Cisco Unified Communications Secure Unified Communications: Cisco Unified Application Environment: Scripting-Beispiele der TU Chemnitz: Referenzen: TU Chemnitz, FU Berlin, Universität Potsdam, Universität Rostock, FHTW Berlin, Universität Bremen, TFH Wildau, Humboldt-Universität Berlin, Universität Passau, Hochschule Anhalt, Uniklinikum Eppendorf, DESY, Hochschule für Künste Bremen, FH Braunschweig, HS Ravensburg-Weingarten Seite 23 von 39

24 2. MOBILER CAMPUS Die Informationsgesellschaft lebt vom Zugriff auf und dem Austausch von Informationen. Der Auf- und Ausbau von Unternehmensnetzen und Internet versetzen Anbieter in die Lage, ihre Informationen in Echtzeit zur Verfügung zu stellen und zu Kommunikationsdiensten auszubauen. Unternehmen und Behörden können durch den Ausbau von IuK-Diensten Arbeitsprozesse verschlanken und dadurch effizienter gestalten. Längst aber sind IuK-Dienste nicht mehr vorrangig auf Unternehmen beschränkt rasant haben sie, z.b. als , soziale Netzwerke, Musiktauschbörsen und Ähnliches, auch den privaten Bereich erobert und verstärken die Forderung der Nutzer danach, always on sein zu können. Der Zugriff auf diese Dienste zu jeder Zeit, von jedem Ort und unabhängig vom jeweiligen Endgerät wird mittlerweile vorausgesetzt und erfolgt immer öfter drahtlos. Für dem Hochschulcampus bedeutet das, dass Mitarbeiter, Studenten, Forscher, Lehrpersonal sowie Gäste Zugang zur vorhandenen Infrastruktur und die darüber angebotenen Dienste wünschen. Zugleich aber erwarten die Nutzer beständige Netz- und Datenverfügbarkeit sowie entsprechende Datensicherheit. Das bedeutet eine echte Herausforderung für jede moderne Hochschule, die heute gezwungen ist, tragfähige Konzepte entwickeln, um den genannten Anforderungen umfassend Rechnung zu tragen. In den folgenden Kapiteln werden mehrere Möglichkeiten erörtert, die es Hochschulen erlauben, diesen unterschiedlichen Forderungen weitestgehend gerecht zu werden. 2.1 Zugriff auf die Infrastruktur Drahtgebundener Zugang Mit Hilfe der LAN-Verkabelung (Kupfertechnologie, die zusätzlich optional Strom für bestimmte Endgeräte zur Verfügung stellen kann) werden Standardarbeitsplätze mit hoher und höchster Zugangsdatenrate realisiert. Die entsprechenden Endgeräte (wie z.b. Laptops) und Access-Switches benötigen für die Zugangskontrolle eine Funktion, die im Standard IEEE 802.1X festgeschrieben ist. Der Standard regelt den Zugang (und nur diesen) in die IT-Infrastruktur (Authentisierung). Als zentrale Authentifizierungsstelle ist ein Radius-Server unerlässlich. Dieser sollte eine Erweiterung über das Protokoll LDAP zur Verfügung stellen, so dass bereits vorhandene Nutzerdatenbanken (Studenten, Mitarbeiter, Lehrpersonal) verwendet werden können. So wird eine Mehrfachpflege der Daten und daraus resultierende Inkonsistenzen vermieden. Sollte die Bereitstellung einer flächendeckenden 802.1x-Infrastruktur nicht möglich sein, können auch alternative Ansätze in Erwägung gezogen werden (Port-Security, MAC-Authentication Bypath). Seite 24 von 39

25 Drahtloser Zugang Im Gegensatz zum drahtgebundenen Zugang sind hier die Problemstellungen in Bezug auf notwendige Software-Clients minimal, da die Kommunikation per Standard zur Authentisierung festgelegt ist. Dieser Standard (Wi-Fi Protected Access WPA) in der Version 2 übernimmt neben der Authentisierung auch die Verschlüsselung der Kommunikation. Ein Radius-Server wird auch hier zwingend benötigt, um eine sichere Kommunikation zu gewährleisten. Alternative bzw. ältere Methoden, um den Zugang und die Verschlüsselung zu steuern, sind nur mit zusätzlichen Kodierungsprotokollen (z.b. IPSec) zu empfehlen. WPA2 hingegen nutzt bereits die Verschlüsselungstechnik, die auch in IPSec zur Anwendung kommt (AES). Mobilität ist durch die drahtlose Verbindung naturgemäß gegeben, jedoch muss der implizite Teil das Vorhandensein identischer Dienste, egal von welchem Ort aus der Zugriff erfolgt zusätzlich Berücksichtigung finden. Die Realisierung dieses Aspektes wird am einfachsten mit Controllerbasierenden Lösungen erreicht. Hierdurch werden in der Infrastruktur zentrale Übergabepunkte geschaffen, die mit entsprechender Technologie (Firewall, Intrusion Prevention System) abgesichert werden und nachfolgend die zugeteilten Dienste ermöglichen. Die entsprechenden Antennen (AccessPoints) werden im Campus, entsprechend der Mobilitätsanforderungen, verteilt. Hierbei kann eine Meshed Struktur notwendig sein, die sowohl die Verbindung zum Campus-LAN als auch den Nutzerzugang über Wireless-Technologie bereitstellt. Die wichtigste Voraussetzung für einen geregelten Zugriff auf die Infrastruktur und die darüber angebotenen Dienste ist die Verfügbarkeit eines AAA-Dienstes. AAA steht hier für Autorisierung, Authentifizierung und Accounting. Dieser AAA-Dienst greift wiederum auf einen Verzeichnisdienst zu. Im Idealfall werden die Identitäten von der Hochschulverwaltung in ein Identitätsmanagement eingepflegt. Die dienstspezifischen Erweiterungen werden dann durch die jeweilige Fachabteilung ergänzt und dem Dienst zur Verfügung gestellt. Eine Mehrfachpflege von Stammdaten entfällt somit, und der Pflegeaufwand für die angeschlossenen Systeme reduziert sich wesentlich. Da sich die Einführung von zentralisierten Identitätsmanagementsystemen an vielen Hochschulen noch im Anfangsstadium befindet, müssen in den Fachabteilungen häufig die Identitäten der Dienstnutzer separat gepflegt werden. Ziel der Hochschulen sollte es in jedem Fall sein, ein zentral durch die Hochschulverwaltung gepflegtes, hochschulweites Identitätenmanagement zu etablieren. Authentisierung Um die gleiche Arbeitsumgebung zu gewährleisten, muss natürlich bekannt sein, wer sich gerade in die Infrastruktur einwählt, um so die entsprechenden Ressourcen zur Verfügung stellen zu können. Natürlich sollte auch eine Möglichkeit gegeben sein, sich anonym Zugang zu bestimmten Dienstleistungen zu verschaffen. Zuvor sollte jedoch eine klare Definition der entsprechenden Dienste vorliegen, die ohne vorherige Authentisierung verwendet werden dürfen. Dies ist notwendig, um unnötige Diskussionen zu

26 vermeiden und vor allem um die Reputation und die Ausfallsicherheit des eigenen Netzes gewährleisten zu können. Ein anonymer Zugang kann als Gastzugang erfolgen und sollte möglichst einfach zu beantragen und zu realisieren sein. Auf alle Fälle sollte eine zeitliche Beschränkung für diese Art Zugang etabliert werden. Hintergrund hierfür sind die vermehrt aus Universitätsnetzen geführten Daten-Angriffe auf Industriedaten. Diese konfrontieren Hochschulen immer häufiger mit der Aufgabe, einen Nachweis der Verbindungsdaten von Universitätsmitarbeitern zu führen (etwa bei Ermittlungen durch den Staatsanwalt). Technisch gesehen erfordert die Authentisierung von Zugangsgeräten (AccessDevices) folgende Funktionen: Kommunikation mit einer zentralen Stelle zum Zweck der Authentisierung Möglichkeit des Sperren des Zugangs bei fehlerhafter Authentisierung Redundanten Zugang zu dieser Authentisierungsstelle Rückfallposition für den Fall, dass die Authentisierungsstelle nicht verfügbar ist Abbildung 14: Aufbau einer controllerbasierten WLAN-Lösung mit Management WEITERFÜHRENDE INFORMATIONEN & REFERENZEN Gastzugangslösungen: Gastzugang auf das Wireless LAN