Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

muenster.de Netzentwicklungskonzept für ein großes Universitätsnetzwerk – Bestandspflege und Erschließung neuer Technologien Raimund Vogl, Markus.

Ähnliche Präsentationen


Präsentation zum Thema: "muenster.de Netzentwicklungskonzept für ein großes Universitätsnetzwerk – Bestandspflege und Erschließung neuer Technologien Raimund Vogl, Markus."—  Präsentation transkript:

1 muenster.de Netzentwicklungskonzept für ein großes Universitätsnetzwerk – Bestandspflege und Erschließung neuer Technologien Raimund Vogl, Markus Speer, Norbert Gietz, Lutz Elkemann DFN-Forum 2010, 26. Mai 2010, Konstanz

2 Die Westfälische Wilhelms-Universität Münster Studierende (WS 2009/2010) Absolventen (2007) 15 Fachbereiche, 7 Fakultäten Über 110 Studienfächer mit 250 Studiengängen 331 Mio Haushalt (2008) Mitarbeiter/-innen (sowie am UKM), davon -565 Professoren / Professorinnen Wissenschaftliche Mitarbeiter/-innen 2

3 –keine Campus-Universität –etwa 210 Gebäude über das gesamte Stadtgebiet verteilt (ohne Klinikum) – m 2 Nutzfläche 3

4 –keine Campus-Universität –etwa 210 Gebäude über das gesamte Stadtgebiet verteilt (ohne Klinikum) – m 2 Nutzfläche 4

5 Das Netzentwicklungskonzept der WWU Münster Letzter DFG Antrag zum LAN-Ausbau: 2002 Formulierung eines neuen LAN-Antrages und Netzentwicklungskonzeptes 2008/2009, DFG Begutachtung 2010 Erneuerung und weiterer Ausbau des Kommunikationssystems der WWU über 7 Jahre - kürzerer Zeitraum wegen Personalressourcen unmöglich Technisches Konzept auch für UKM (Universitätsklinikum) vorgesehen Zahlreiche strategische Entscheidungen für die mittel- und langfristige Entwicklung des Kommunikationssystems (LAN + TK!) Verankerung der Ausbaustrategie für das Kommunikationssystem durch Rektoratsbeschluss 5

6 Schwerpunkte des Netzentwicklungsplans Komplettaustausch der Edge-Switches 1GE mit 10 GE uplinks; 802.1X flächendeckend bis 2016 Housekeeping für Verteilerstandorte (USV/Klima; insbes. für VoIP) Flächendeckend WLAN 11N bis 2015 (ca Accesspoint – 750 bereits vorhanden) Vollständige Umsetzung des teilweise etablierten und bewährten 3-Layer Schemas Core – Midrange – Distribution Umsetzung von (40GE?) 100GE in Core wenn verfügbar; Erneuerung Core-Switches Erneuerung Inter-Core und DFN-Anbindung Spezielle DataCenter Switches (hohe 10GE Aggregation) für 3 DataCenter Standorte Vollständige Migration auf VoIP Telefonie und Ablösung klassische Telefonie bis 2017 Bereitstellung von Unified Communication Services Erneuerung und Erweiterung netzseitiger Sicherheitssysteme: IPS, VPN, FW, Content Filter, NAC Umsetzung von IPv6, MultiCast Erweiterung Netzwerk-Management (zB. Projektstelle für Erweiterung LANBase beantragt) Weiterer LAN-Ausbau um Ports pro Jahr 6

7 Bedarfsbegründung 7

8 8

9 9 Netzkennzahlen WWU KennzahlWert Gebäude212 LWL-Netz229 km (*) Erschlossene Gebäude170 LAN-Verteilerstandorte218 Netz-Anschlussdosen WLAN Access Points750 TK-Nebenstellen8.500 VoIP-Telefone700 (*) (*): WWU + UKM

10 Begriffsklärungen Netzbereiche NetzbereichFunktion eingesetzte Gerätetypen EdgeAnbindung von Endsystemen, nur Layer2-Funktionalität HP, 3Com, Nexans, … (ca ) Distribution 16 Standorte zur Aggregierung von Edge-Devices, nur Layer2- Funktionalität, Einführung dieses Bereiches u.a. um kostengünstig 10GE-Technologie einsetzen zu können, Anbindung von Servern weitgehend Planung: 16 x HP5412zl Midrange 6 Nebenstandorte zur Aggregierung von Distribution-Devices großer Netzbereiche, Anbindung von Data Centern (geplant), Layer3/IP- Funktionalität 6 x Cisco C6509 Core 2 Hauptstandorte zur Kopplung der Midrange-Bereiche, Layer3/IP- Funktionalität, Realisierung zentraler Netzfunktionen (WLAN- Switching, Security-Funktionen: Paketfilter, Firewall-Funktionalität, Intrusion-Prevention, VPN) 7 x Cisco C6509 Inter-Core 2 Standorte zur Layer3-Kopplung von Netzen verschiedener Einrichtungen (WNM-Zugangsnetz: Wissenschaftsnetz Münster) 2 x Cisco C

11 Grundsätze des Netzdesigns Verfügbarkeit Gerätedopplung ab Distribution- Ber. unterschiedliche Standorte sog. A- und B-Zweig im Netz Verzicht auf geräteinterne Redundanz Eingebettete Sicherheit Reduzierung des Gefährdungspotentials für ganze Netzbereiche an zentraler Stelle unabhängig von Maßnahmen auf den Endsystemen, organisatorischen Maßnahmen Paketfilter, Firewall, IPS, VPN, Bypassing Netzzonenkonzept: Endsysteme mit identischem Sicherheitsbedarf Midrange Distribution Edge 11

12 Layer2- und Layer3-Strukturen Layer2 Hoher Virtualisierungsgrad 1049 Endnutzer-VLANs 484 Transfer-VLANs 40 Insel-VLANs 120 VPNSM-VLANs VLANs als Realisierung von Netzzonen Redundanzverfahren: Spanning Tree Fortschreibung des VLAN-Konzepts Layer3 (IP) Erst ab Midrange-Bereich 268 Virtuelle Router (inkl. UKM) zur Anbindung von Subnetzen Hierarchie von VRs für die Realisierung des Sicherheitskonzeptes Redundanzverfahren: HSRP, OSPF, BGP Fortschreibung des Konzepts Management dieser Strukturen mit LANbase ( Folie 20) 12

13 Technologien Netztechnologien Technikfortschreibung: > 10GE Überspringen der 40GE- Technologie, da Angleichung der Kosten an 100GE Netzzugangstechnologien Planung: großflächige Einführung von 802.1X VPN-Zugang in spez. Netzzonen WLAN Laut Nutzerbefragung ist WLAN eines der am stärksten nachgefragten Angebote Erheblicher weiterer Ausbau auf ca Access Points Vollversorgung mit n zumindest für Datenkommunikation Data Center Anforderungen / Entwicklungen: Hohe Dichte an 10GE-Ports DCB-Funktionalität Konvergenz der Protokolle für Daten- und Speichertechnologien (FCoE) Spezielle Data Center Switches Layer3-Kopplung der Data Center an den Midrange-Bereich 13

14 Netzseitige IT-Sicherheitsmaßnahmen - Realisierung Virtualisierung Gründe Technologische Machbarkeit Finanzierbarkeit Administrierbarkeit Virtualisierung von Netzzonen (VLANs) IP-Routern (VRFs) Firewall (Kontexte) IPS (Instanzen) IPsec-VPN ( Ausdehnung einer Netzzone) Mandantenfähige Administration Abbildung von zentraler und dezentraler IT-Verantwortlichkeit Rahmenkonfigurationsmöglichkeiten, Generalfunktionen Mandantenfähigkeit für Einsicht und Konfiguration von Sicherheitsfunktionen Bisher nur in Teilbereichen realisiert Intrusion Prevention System Aktivierung/Deaktivierung von IPsec- VPN-Zugangsmöglichkeiten Teilweise Einsicht in Router-ACLs Grundstrukturen Einbettung von Sicherheitsfunktionen in das Netz (auf den Netzkomponenten) hierarchischer Baum von Netzzonen mit Systemen einheitlichen Sicherheitsbedarfs laufende Justierung der Strukturierung: Betriebssicherheit, neue Technologien (VM, Desktop, DC) 14

15 15

16 CNS - Core Network Services: DNS, DHCP, WINS, RADIUS, NTP Status Produktivsysteme: nicht virtualisiert server-basiert Linux (CentOS) Open Source-basiert Netzdatenbank LANbase Verwaltung von Namen, Adressen, … Provisionierung der Server DHCP/DNS: statische Zuweisung bei Festanschlüssen Planung Weitere Verbesserung der Verfügbarkeit Konsequente Einführung von Service- IP-Adressen IP-Anycast für DNS Doppelte Redundanz (evtl. Tertiärsystem als VM) Verteilung von Teilfunktionen auf verschiedene Server Umfassendes Monitoring (insb. für DNS) 16

17 House-Keeping: USV-Versorgung, Klimatisierung USV-Absicherung primär an Standorten mit struktureller Bedeutung für das Netz abgesehen vom Edge-Bereich möglichst redundante Stromversorgung Große USV-Anlagen an den Hauptnetzstandorten und Server-Standorten Kleinere USV-Anlagen an weiteren Standorten Insg. Versorgung von ca. 30% der Standorte mit USV-Funktion Versorgung mit Power over Ethernet (PoE) für VoIP-Telefone und WLAN-APs Beschaffung und Betrieb der Klimaanlagen durch die Technischen Dienste 17

18 Konvergenz von LAN und TK: Gemeinsame Nutzung von Netzinfrastrukturen und Werkzeugen Organisatorische Zusammenführung von LAN, TK und AVM Anfang 2008 im ZIV Räumliche Zusammenführung Anfang 2010 Bereits vorher enge Zusammenarbeit zwischen TK (Univ-Verw) und LAN (ZIV) Gemeinschaftliche Nutzung des LWL-Netzes Erste VoIP-Installationen (ACD) in 2002 Gemeinschaftliche Nutzung/Installation von Technologien LWL-/Kupferkabelnetz Einsatz von DSL/DLSAM-Technologie VoIP-Installationen (insbesondere neue Liegenschaften und Sanierungen) Aktuell ca. 700 VoIP-Telefone Gemeinschaftliche Nutzung von Tools LANbase: Gerätetypen, VoIP-Installationen Trouble-Ticket-Systems 18

19 Planung der VoIP-Migration für die WWU WWU: ca konventionelle Telefone! Wartung der TK-Anlage bis 2017 gesichert Sanfte Migrationstrategie: VoIP bei Neubauten, Sanierungen, Teilsanierungen Konsequente Orientierung an SIP Betrieb der VoIP-Telefone wie ein fest angeschlossener Rechner Zusätzliche Verkabelung für VoIP Bislang (und vermutl. zukünftig) Verzicht auf QoS Konzeptionelle Berücksichtigung der VoIP-Integration in der IT- Sicherheitsarchitektur Anforderungen an Netzkomponenten Redundante Netzteile PoE 19

20 Netzmanagement: Administration, Überwachung, Betrieb Netzadministration: langjährige Eigenentwicklung LANbase (Oracle- basiert) CMDB-Funktionalität (Configuration Management Database) nach ITIL Gerätedatenbank: einschl. Verkabelung, Anschlüsse, Rangierung, … Endsystemdatenbank IPAM: IP Adress Management, Provisionierung von DNS, DHCP, WINS Verwaltung von Sicherheitsstrukturen: Netzzonen, VLANs, virtuelle Router Zentrale ACL-Verwaltung Voll integriertes Trouble Ticket System NOCase Dokumentenarchiv Kundenportal NIC_online (mandantenfähige Administrationsfunktionen) Kopplung mit Workflow Automation Tool 3Com EMS Netzüberwachung: Einsatz von CA SPECTRUM Anpassungen u.a. zur Überwachung der virtuellen Netzstrukturen, Sicherheitsarchitektur Netzbetrieb: u.a. über Dienstpläne geregelter Betriebsdienst 20

21 Netzadministration: Eigenentwicklung statt Einsatz kommerzieller Produkte Hoher personeller Aufwand für Eigenentwicklungen Kommerzielle Produkte mit vergleichbarem Funktionsumfang extrem kritisch: Hohe Beschaffungskosten wegen großem Mengengerüst Für Teilfunktionen im 6-stelligen Euro-Bereich Pro Jahr 20% Wartungskosten Beschaffung mehrerer Tools notwendig, keine einheitliche Oberfläche Häufig fehlende Multivendor-Fähigkeit Auch hier regelmäßiger Konfigurations-, Pflege-, Wartungs- und Consulting- Aufwand Vorteile der Eigenentwicklung: Möglichkeit der flexiblen Reaktion auf neue Anforderungen (Kundenwünsche, Vorschriften, Regelungen, Workflows, Gerätetypen) 21

22 Und zum Abschluss – die Unsicherheiten: Schwierige Prognose für Technologie im Umbruch Endgeräte-Anbindung: Entwicklung LAN-Ports, 1GE to the desktop, VoIP, WLAN? CAT6 LAN-Ports sind Assett; 1GE für Endgeräte ausreichend und notwendig; 60GHz Funktechnologie? Weiterentwicklung von Ethernet: 100GE, DCB (Konvergenz LAN, SAN, HPC), FCoE? 100GE (nicht 40GE), Skepsis gegenüber FCoE -> Produktentscheidung für Core-Erneuerung (besser noch 2 Jahre warten) Bandbreitenbedarf: Videostreaming, Backups, Desktop-Virtualisierung AVM, Videoconferencing absehbar; IT Strategie sieht Desktop-Virtualisierung vor Netzstrukturierung: VLANs, IP, MPLS? Überdenken des VLAN Paradigmas nötig, aber kein unmittelbarer Handlungsbedarf IPv6: wann, und mit welchen Auswirkungen auf Netzdesign (Zukunft von Layer 2)? Aktivieren von IPv6 im LAN gut vorbereitet; Sicherheitsfunktionen schwierig 22

23 Danke für Ihre Aufmerksamkeit! 23


Herunterladen ppt "muenster.de Netzentwicklungskonzept für ein großes Universitätsnetzwerk – Bestandspflege und Erschließung neuer Technologien Raimund Vogl, Markus."

Ähnliche Präsentationen


Google-Anzeigen