Netzentwicklungskonzept für ein großes Universitätsnetzwerk Bestandspflege und Erschließung neuer Technologien Raimund Vogl, Markus Speer, Norbert Gietz, Lutz Elkemann 53. DFN-Betriebstagung, 27. Oktober 2010, Berlin
2 Das Netzentwicklungskonzept der WWU Münster 2002: Letzter DFG Antrag zum LAN-Ausbau 2008/09: Formulierung eines neuen LAN-Antrages und Netzentwicklungskonzeptes durch das ZIV Erneuerung und weiterer Ausbau des Kommunikationssystems der WWU über 7 Jahre - kürzerer Zeitraum wegen Personalressourcen nicht möglich Technisches Konzept auch für UKM (Universitätsklinikum) vorgesehen Zahlreiche strategische Entscheidungen für die mittel- und langfristige Entwicklung des Kommunikationssystems (LAN + TK!) 2009: Rektoratsbeschluss : Verankerung der Ausbaustrategie für das Kommunikationssystem 2010: DFG Begutachtung
Die Westfälische Wilhelms-Universität Münster 3 37.000 Studierende 5.500 Absolventen 15 Fachbereiche, 7 Fakultäten Über 110 Studienfächer in 250 Studiengängen 331 Mio Haushalt 5.000 Mitarbeiter/-innen (sowie 7.000 am UKM), davon 565 Professoren / Professorinnen 2.700 Wissenschaftliche Mitarbeiter/-innen Stand: 2008
4 Bedarfsbegründung
5
6 Netzkennzahlen WWU Kennzahl Wert Gebäude 212 Nutzfläche 257.000 m 2 LWL-Netz 229 km (*) Erschlossene Gebäude 176 LAN-Verteilerstandorte 218 Netz-Anschlussdosen 29.000 WLAN Access Points 850 TK-Nebenstellen 8.500 VoIP-Telefone 730 (*) Stand: Oktober 2010 (*): WWU + UKM
Begriffsklärungen Netzbereiche Netzbereich Edge Distribution Midrange Core Inter-Core Funktion Anbindung von Endsystemen, nur Layer2-Funktionalität 16 Standorte zur Aggregierung von Edge-Devices, nur Layer2- Funktionalität, zukünftig auch Layer3?, Einführung dieses Bereiches u.a. um kostengünstig 10GE-Technologie einsetzen zu können, Anbindung von Servern 6 Nebenstandorte zur Aggregierung von Distribution-Devices großer Netzbereiche, Anbindung von Data Centern (geplant), Layer3/IP-Funktionalität 2 Hauptstandorte zur Kopplung der Midrange-Bereiche, Layer3/IP- Funktionalität, Realisierung zentraler Netzfunktionen (WLAN- Switching, Security-Funktionen: Paketfilter, Firewall-Funktionalität, Intrusion-Prevention, VPN, Web-Security (geplant)) 2 Standorte zur Layer3-Kopplung von Netzen verschiedener Einrichtungen (WNM-Zugangsnetz: Wissenschaftsnetz Münster) eingesetzte Gerätetypen 1.800 x HP, 3Com, Nexans weitgehend Planung: 16 x HP5412zl 6 x Cisco C6509 7 x Cisco C6509 2 x Cisco C6509 7
Grundsätze des Netzdesigns Verfügbarkeit Gerätedopplung ab Distribution-Ber. unterschiedliche Standorte sog. A- und B-Zweig im Netz Verzicht auf geräteinterne Redundanz Midrange Eingebettete Sicherheit Reduzierung des Gefährdungspotentials für ganze Netzbereiche an zentraler Stelle unabhängig von Maßnahmen auf Endsystemen, organisatorischen Maßnahmen Paketfilter, Firewall, IPS, VPN, Bypassing Netzzonenkonzept: Endsysteme mit identischem Sicherheitsbedarf 8 Distribution Edge
Layer2- und Layer3-Strukturen 9 Layer2 Hoher Virtualisierungsgrad 1110 Endnutzer-VLANs 487 Transfer-VLANs 40 Insel-VLANs 133 VPNSM-VLANs VLANs als Realisierung von Netzzonen Redundanzverfahren: Spanning Tree Fortschreibung des VLAN-Konzepts mit Beschränkung der Ausdehnung von VLANs Vermehrt Layer3-Trennung Layer3 (IP) Erst ab Midrange-Bereich (C6509) Zukünftig evtl. auch im Distribution- Bereich 272 Virtuelle Router (inkl. UKM) zur Anbindung von Subnetzen Hierarchie von VRs für die Realisierung des Sicherheitskonzeptes Redundanzverfahren: HSRP, OSPF, BGP Fortschreibung des Konzepts Management dieser Strukturen mit LANbase ( Folie 18)
Technologien 10 Netztechnologien Technikfortschreibung: > 10GE 40 / 100 GE-Technologie Netzzugangstechnologien VPN-Zugang in spez. Netzzonen Planung: großflächige Einführung von 802.1X WLAN Laut Nutzerbefragung eines der am stärksten nachgefragten Angebote Erheblicher weiterer Ausbau auf ca. 2.800 Access Points Vollversorgung mit 802.11n zumindest für Datenkommunikation Data Center (Planung) Anforderungen / Entwicklungen: Hohe Dichte an 10GE-Ports DCB-Funktionalität Konvergenz der Protokolle für Datenund Speichertechnologien (FCoE) Spezielle Data Center Switches (DCB) Layer3-Kopplung der Data Center an den Midrange-Bereich
Netzseitige IT-Sicherheitsmaßnahmen - Realisierung 11 Grundstrukturen Einbettung von Sicherheitsfunktionen in das Netz (auf den Netzkomponenten) hierarchischer Baum von Netzzonen mit Systemen einheitlichen Sicherheitsbedarfs laufende Justierung der Strukturierung: Betriebssicherheit, neue Technologien (VM, Desktop, DC) Virtualisierung Gründe Technologische Machbarkeit Finanzierbarkeit Administrierbarkeit Virtualisierung von Netzzonen (VLANs) IP-Routern (VRFs) Firewall (Kontexte) IPS (Instanzen) IPsec-VPN (Ausdehnung e. Netzzone) Mandantenfähige Administration Abbildung von zentraler und dezentraler IT-Verantwortlichkeit Rahmenkonfigurationsmöglichkeiten, Generalfunktionen Mandantenfähigkeit für Einsicht und Konfiguration von Sicherheitsfunktionen Bisher nur in Teilbereichen realisiert Intrusion Prevention System Aktivierung/Deaktivierung von IPsec- VPN-Zugangsmöglichkeiten Teilweise Einsicht in Router-ACLs
MPI FH WiN RAS 12 ISPA ISPB (exemplarily and incomplete) UKM UNIA UNIB ACL ACL Core-Bereich VPN ACL VPN-Zugang Virtuelles IPS Virtuelle Firewall Router-ACL Virtueller Router ACL ACL Phys. Router Hints: L2 links not included L2 distribution area per VLAN as small as possible UKM net similar to UNI not all L3 links included! ACL ACL Midrange-Bereich Router-Chassis VLAN VLANs für Endsysteme
13 CNS - Core Network Services: DNS, DHCP, WINS, RADIUS, NTP Status Produktivsysteme: nicht virtualisiert server-basiert Linux (CentOS) Open Source-basiert Netzdatenbank LANbase (IPAM) Verwaltung von Namen, Adressen, Provisionierung der Server DHCP/DNS: statische Zuweisung bei Festanschlüssen Planung Weitere Verbesserung der Verfügbarkeit Konsequente Einführung von Service-IP- Adressen IP-Anycast für DNS Doppelte Redundanz (evtl. Tertiärsystem als VM) Verteilung von Teilfunktionen auf verschiedene Server Umfassendes Monitoring (insb. für DNS)
14 House-Keeping: USV-Versorgung, Klimatisierung USV-Absicherung primär an Standorten mit struktureller Bedeutung für das Netz abgesehen vom Edge-Bereich möglichst redundante Stromversorgung Große USV-Anlagen an den Hauptnetzstandorten und Server-Standorten Kleinere USV-Anlagen an weiteren Standorten Insg. Versorgung von ca. 30% der Standorte mit USV-Funktion Versorgung mit Power over Ethernet (PoE) für VoIP-Telefone und WLAN-APs Beschaffung und Betrieb der Klimaanlagen durch die Technischen Dienste
15 Konvergenz von LAN und TK: Gemeinsame Nutzung von Netzinfrastrukturen und Werkzeugen Organisatorische Zusammenführung von LAN, TK und AVM Anfang 2008 im ZIV Räumliche Zusammenführung Anfang 2010 Bereits vorher enge Zusammenarbeit zwischen TK (Univ-Verw) und LAN (ZIV) Gemeinschaftliche Nutzung des LWL-Netzes Erste VoIP-Installationen (ACD) in 2002 Gemeinschaftliche Nutzung/Installation von Technologien LWL-/Kupferkabelnetz Einsatz von DSL/DLSAM-Technologie VoIP-Installationen (insbesondere neue Liegenschaften und Sanierungen) Aktuell ca. 730 VoIP-Telefone Gemeinschaftliche Nutzung von Tools LANbase: Gerätetypen, VoIP-Installationen Trouble-Ticket-Systems
16 Planung der VoIP-Migration für die WWU WWU: ca. 8.500 konventionelle Telefone! Wartung der TK-Anlage (NEC Philips Sopho is 3000) bis 2017 gesichert Sanfte Migrationstrategie: VoIP bei Neubauten, Sanierungen, Teilsanierungen Konsequente Orientierung an SIP VoIP-Telefone: größtenteils Polycom Betrieb der VoIP-Telefone wie ein fest angeschlossener Rechner Zusätzliche Verkabelung für VoIP Bislang (und vermutl. zukünftig) Verzicht auf QoS (Außnahme: WLAN) Konzeptionelle Berücksichtigung der VoIP-Integration in der IT-Sicherheitsarchitektur Anforderungen an Netzkomponenten Redundante Netzteile PoE
17 Netzmanagement: Administration Netzadministration: langjährige Eigenentwicklung LANbase (Oracle-basiert) CMDB-Funktionalität (Configuration Management Database) nach ITIL Gerätedatenbank: einschl. Verkabelung, Anschlüsse, Rangierung, Endsystemdatenbank IPAM: IP Adress Management, Provisionierung von DNS, DHCP, WINS Verwaltung von Sicherheitsstrukturen: Netzzonen, VLANs, virtuelle Router Zentrale ACL-Verwaltung Voll integriertes Trouble Ticket System NOCase Dokumentenarchiv Kundenportal NIC_online (mandantenfähige Administrationsfunktionen) Kopplung mit Workflow Automation Tool 3Com EMS
18 Netzadministration: Eigenentwicklung statt Einsatz kommerzieller Produkte Hoher personeller Aufwand für Eigenentwicklungen Kommerzielle Produkte mit vergleichbarem Funktionsumfang extrem kritisch: Hohe Beschaffungskosten wegen großem Mengengerüst Für Teilfunktionen im 6-stelligen Euro-Bereich Pro Jahr 20% Wartungskosten Beschaffung mehrerer Tools notwendig, keine einheitliche Oberfläche Häufig fehlende Multivendor-Fähigkeit Auch hier regelmäßiger Konfigurations-, Pflege-, Wartungs- und Consulting- Aufwand Vorteile der Eigenentwicklung: Möglichkeit der flexiblen Reaktion auf neue Anforderungen (Kundenwünsche, Vorschriften, Regelungen, Workflows, Gerätetypen)
19 Netzmanagement: Überwachung, Betrieb Status Überwachung Einsatz von CA SPECTRUM Überwachung sämtlicher IP-basierten Netz-Komponenten Insg. Ca. 2.300 Geräte: Router, Switches, Firewall, CNS, Überwachung von Geräteerreichbarkeit Physikalischen Verbindungen CNS Betriebsparameter von Netz- Komponenten: CPU, Anpassungen zur Überwachung der virtuellen Netzstrukturen, Sicherheitsarchitektur Anbindung an Trouble-Ticket-System Pflege des zu überwachenden Gerätebestands in Betriebsabläufe eingebunden Planung Überwachung Ständige Erweiterungen an Überwachung zusätzlicher / neuer Technologien IP-Routing-Protokolle Virtualisierung Umfassendes Netzreporting systematische Erfassung von Netznutzungskennzahlen Proaktive Erkennung von Engpässen Überwachung von Dienstqualitäten Kundenportal für Netzüberwachungsinformation Netzbetrieb über Dienstpläne geregelter Betriebsdienst: Präsenzdienst, Rufbereitschaft
20 Mediennetze, AVM (Audiovisuelle Medien) Status Standardisierung der Medientechnik Einheitliches Benutzerinterface für Dozenten in Hörsälen, Seminarräumen In einigen Gebäuden Möglichkeit der Übertragung von Veranstaltungen Bereits weitgehende Ausstattung der AVM-Anlagen mit LAN-Anschlüssen Weitere Entwicklungen Zukünftige Vernetzung der AVM-Anlagen für Überwachung, Betreuung, Überwachung (z.b. Betriebsstunden bei Beamerlampen), zeitliche Steuerung für Vermeidung unnötiger Standbyzeiten Veranstaltungsübertragung über das LAN als Standardservice: Beschaffung von Encoder- und Decoder-Technologie erforderlich
21 Schwerpunkte des Netzentwicklungsplans Komplettaustausch der Edge-Switches 1GE Endnutzerports mit 10 GE Uplinks; 802.1X flächendeckend bis 2016 Housekeeping für Verteilerstandorte (USV/Klima; insbes. für VoIP) Flächendeckend WLAN 802.11n bis 2015 (ca. 2.800 Accesspoint 850 bereits vorhanden) Vollständige Umsetzung des teilweise etablierten und bewährten 3-Layer Schemas Core Midrange Distribution Umsetzung von 40GE/100GE in Core wenn verfügbar; Erneuerung Core-Switches Erneuerung Inter-Core und DFN-Anbindung Spezielle DataCenter Switches (hohe 10GE Aggregation, DCB) für 3 DataCenter-Standorte Vollständige Migration auf VoIP-Telefonie und Ablösung klassische Telefonie bis 2017 Bereitstellung von Unified Communication Services Erneuerung und Erweiterung netzseitiger Sicherheitssysteme: IPS, VPN, FW, Web-Security Umsetzung von IPv6, Multicast Erweiterung Netzmanagement: Administration, Betrieb, Überwachung Weiterer LAN-Ausbau um 2.000 Ports pro Jahr
22 Und zum Abschluss die Unsicherheiten: Schwierige Prognose für Technologie im Umbruch Endgeräte-Anbindung: Entwicklung LAN-Ports, 1GE to the desktop, VoIP, WLAN? Cat6 LAN-Ports sind Assett; 1GE für Endgeräte ausreichend und notwendig Weiterentwicklung von Ethernet: 100GE, DCB (Konvergenz LAN, SAN, HPC), FCoE? 100GE (40GE?); Skepsis gegenüber FCoE; Produktentscheidung für Core- Erneuerung (besser noch 2 Jahre warten) Bandbreitenbedarf: Videostreaming, Backups, Desktop-Virtualisierung AVM, Videoconferencing absehbar; IT Strategie sieht Desktop-Virtualisierung vor Netzstrukturierung: VLANs, IP, MPLS? Überdenken des VLAN-Paradigmas evtl. nötig IPv6: wann, und mit welchen Auswirkungen auf Netzdesign? Aktivieren von IPv6 im LAN gut vorbereitet; Sicherheitsfunktionen schwierig
23 Vielen Dank für Ihre Aufmerksamkeit!