Netzentwicklungskonzept für ein großes Universitätsnetzwerk – Bestandspflege und Erschließung neuer Technologien Raimund Vogl, Markus Speer, Norbert Gietz, Lutz Elkemann DFN-Forum 2010, 26. Mai 2010, Konstanz
Die Westfälische Wilhelms-Universität Münster 37.000 Studierende (WS 2009/2010) 5.500 Absolventen (2007) 15 Fachbereiche, 7 Fakultäten Über 110 Studienfächer mit 250 Studiengängen 331 Mio € Haushalt (2008) 5.000 Mitarbeiter/-innen (sowie 7.000 am UKM), davon 565 Professoren / Professorinnen 2.700 Wissenschaftliche Mitarbeiter/-innen
– keine Campus-Universität – etwa 210 Gebäude über das gesamte Stadtgebiet verteilt (ohne Klinikum) – 257.000 m2 Nutzfläche
– keine Campus-Universität – etwa 210 Gebäude über das gesamte Stadtgebiet verteilt (ohne Klinikum) – 257.000 m2 Nutzfläche
Das Netzentwicklungskonzept der WWU Münster Letzter DFG Antrag zum LAN-Ausbau: 2002 Formulierung eines neuen LAN-Antrages und Netzentwicklungskonzeptes 2008/2009, DFG Begutachtung 2010 Erneuerung und weiterer Ausbau des Kommunikationssystems der WWU über 7 Jahre - kürzerer Zeitraum wegen Personalressourcen unmöglich Technisches Konzept auch für UKM (Universitätsklinikum) vorgesehen Zahlreiche strategische Entscheidungen für die mittel- und langfristige Entwicklung des Kommunikationssystems (LAN + TK!) Verankerung der Ausbaustrategie für das Kommunikationssystem durch Rektoratsbeschluss
Schwerpunkte des Netzentwicklungsplans Komplettaustausch der Edge-Switches 1GE mit 10 GE uplinks; 802.1X flächendeckend bis 2016 Housekeeping für Verteilerstandorte (USV/Klima; insbes. für VoIP) Flächendeckend WLAN 11N bis 2015 (ca. 2.800 Accesspoint – 750 bereits vorhanden) Vollständige Umsetzung des teilweise etablierten und bewährten 3-Layer Schemas Core – Midrange – Distribution Umsetzung von (40GE?) 100GE in Core wenn verfügbar; Erneuerung Core-Switches Erneuerung Inter-Core und DFN-Anbindung Spezielle DataCenter Switches (hohe 10GE Aggregation) für 3 DataCenter Standorte Vollständige Migration auf VoIP Telefonie und Ablösung klassische Telefonie bis 2017 Bereitstellung von Unified Communication Services Erneuerung und Erweiterung netzseitiger Sicherheitssysteme: IPS, VPN, FW, Content Filter, NAC Umsetzung von IPv6, MultiCast Erweiterung Netzwerk-Management (zB. Projektstelle für Erweiterung LANBase beantragt) Weiterer LAN-Ausbau um 2.000 Ports pro Jahr
Bedarfsbegründung
Netzkennzahlen WWU Kennzahl Wert Gebäude 212 LWL-Netz 229 km (*) Erschlossene Gebäude 170 LAN-Verteilerstandorte 218 Netz-Anschlussdosen 28.300 WLAN Access Points 750 TK-Nebenstellen 8.500 VoIP-Telefone 700 (*) (*): WWU + UKM
Begriffsklärungen „Netzbereiche“ Funktion eingesetzte Gerätetypen Edge Anbindung von Endsystemen, nur Layer2-Funktionalität HP, 3Com, Nexans, … (ca. 1.770) Distribution 16 Standorte zur Aggregierung von Edge-Devices, nur Layer2-Funktionalität, Einführung dieses Bereiches u.a. um kostengünstig 10GE-Technologie einsetzen zu können, Anbindung von Servern weitgehend Planung: 16 x HP5412zl Midrange 6 Nebenstandorte zur Aggregierung von Distribution-Devices großer Netzbereiche, Anbindung von Data Centern (geplant), Layer3/IP-Funktionalität 6 x Cisco C6509 Core 2 Hauptstandorte zur Kopplung der Midrange-Bereiche, Layer3/IP-Funktionalität, Realisierung zentraler Netzfunktionen (WLAN-Switching, Security-Funktionen: Paketfilter, Firewall-Funktionalität, Intrusion-Prevention, VPN) 7 x Cisco C6509 Inter-Core 2 Standorte zur Layer3-Kopplung von Netzen verschiedener Einrichtungen (WNM-Zugangsnetz: Wissenschaftsnetz Münster) 2 x Cisco C6509
Grundsätze des Netzdesigns Verfügbarkeit Gerätedopplung ab Distribution-Ber. unterschiedliche Standorte sog. A- und B-Zweig im Netz Verzicht auf geräteinterne Redundanz Eingebettete Sicherheit Reduzierung des Gefährdungspotentials für ganze Netzbereiche an zentraler Stelle unabhängig von Maßnahmen auf den Endsystemen, organisatorischen Maßnahmen Paketfilter, Firewall, IPS, VPN, Bypassing Netzzonenkonzept: Endsysteme mit identischem Sicherheitsbedarf Midrange Distribution Edge
Layer2- und Layer3-Strukturen Hoher Virtualisierungsgrad 1049 Endnutzer-VLANs 484 Transfer-VLANs 40 Insel-VLANs 120 VPNSM-VLANs VLANs als Realisierung von Netzzonen Redundanzverfahren: Spanning Tree Fortschreibung des VLAN-Konzepts Layer3 (IP) Erst ab Midrange-Bereich 268 Virtuelle Router (inkl. UKM) zur Anbindung von Subnetzen Hierarchie von VRs für die Realisierung des Sicherheitskonzeptes Redundanzverfahren: HSRP, OSPF, BGP Fortschreibung des Konzepts Management dieser Strukturen mit LANbase ( Folie 20)
Technologien Netztechnologien Data Center Netzzugangstechnologien WLAN Technikfortschreibung: > 10GE Überspringen der 40GE-Technologie, da Angleichung der Kosten an 100GE Data Center Anforderungen / Entwicklungen: Hohe Dichte an 10GE-Ports DCB-Funktionalität Konvergenz der Protokolle für Daten- und Speichertechnologien (FCoE) Spezielle Data Center Switches Layer3-Kopplung der Data Center an den Midrange-Bereich Netzzugangstechnologien Planung: großflächige Einführung von 802.1X VPN-Zugang in spez. Netzzonen WLAN Laut Nutzerbefragung ist WLAN eines der am stärksten nachgefragten Angebote Erheblicher weiterer Ausbau auf ca. 2.800 Access Points Vollversorgung mit 802.11n zumindest für Datenkommunikation
Netzseitige IT-Sicherheitsmaßnahmen - Realisierung Grundstrukturen Einbettung von Sicherheitsfunktionen in das Netz (auf den Netzkomponenten) hierarchischer Baum von Netzzonen mit Systemen einheitlichen Sicherheitsbedarfs laufende Justierung der Strukturierung: Betriebssicherheit, neue Technologien (VM, Desktop, DC) Virtualisierung Gründe Technologische Machbarkeit Finanzierbarkeit Administrierbarkeit Virtualisierung von Netzzonen (VLANs) IP-Routern (VRFs) Firewall (Kontexte) IPS (Instanzen) IPsec-VPN (Ausdehnung einer Netzzone) Mandantenfähige Administration Abbildung von zentraler und dezentraler IT-Verantwortlichkeit Rahmenkonfigurationsmöglichkeiten, Generalfunktionen Mandantenfähigkeit für Einsicht und Konfiguration von Sicherheitsfunktionen Bisher nur in Teilbereichen realisiert Intrusion Prevention System Aktivierung/Deaktivierung von IPsec-VPN-Zugangsmöglichkeiten Teilweise Einsicht in Router-ACLs
CNS - Core Network Services: DNS, DHCP, WINS, RADIUS, NTP Status Produktivsysteme: nicht virtualisiert server-basiert Linux (CentOS) Open Source-basiert Netzdatenbank LANbase Verwaltung von Namen, Adressen, … Provisionierung der Server DHCP/DNS: statische Zuweisung bei Festanschlüssen Planung Weitere Verbesserung der Verfügbarkeit Konsequente Einführung von Service-IP-Adressen IP-Anycast für DNS Doppelte Redundanz (evtl. Tertiärsystem als VM) Verteilung von Teilfunktionen auf verschiedene Server Umfassendes Monitoring (insb. für DNS)
House-Keeping: USV-Versorgung, Klimatisierung USV-Absicherung primär an Standorten mit struktureller Bedeutung für das Netz abgesehen vom Edge-Bereich möglichst redundante Stromversorgung Große USV-Anlagen an den Hauptnetzstandorten und Server-Standorten Kleinere USV-Anlagen an weiteren Standorten Insg. Versorgung von ca. 30% der Standorte mit USV-Funktion Versorgung mit Power over Ethernet (PoE) für VoIP-Telefone und WLAN-APs Beschaffung und Betrieb der Klimaanlagen durch die Technischen Dienste
Konvergenz von LAN und TK: Gemeinsame Nutzung von Netzinfrastrukturen und Werkzeugen Organisatorische Zusammenführung von LAN, TK und AVM Anfang 2008 im ZIV Räumliche Zusammenführung Anfang 2010 Bereits vorher enge Zusammenarbeit zwischen TK (Univ-Verw) und LAN (ZIV) Gemeinschaftliche Nutzung des LWL-Netzes Erste VoIP-Installationen (ACD) in 2002 Gemeinschaftliche Nutzung/Installation von Technologien LWL-/Kupferkabelnetz Einsatz von DSL/DLSAM-Technologie VoIP-Installationen (insbesondere neue Liegenschaften und Sanierungen) Aktuell ca. 700 VoIP-Telefone Gemeinschaftliche Nutzung von Tools LANbase: Gerätetypen, VoIP-Installationen Trouble-Ticket-Systems
Planung der VoIP-Migration für die WWU WWU: ca. 8.500 konventionelle Telefone! Wartung der TK-Anlage bis 2017 gesichert Sanfte Migrationstrategie: VoIP bei Neubauten, Sanierungen, Teilsanierungen Konsequente Orientierung an SIP Betrieb der VoIP-Telefone wie ein fest angeschlossener Rechner Zusätzliche Verkabelung für VoIP Bislang (und vermutl. zukünftig) Verzicht auf QoS Konzeptionelle Berücksichtigung der VoIP-Integration in der IT-Sicherheitsarchitektur Anforderungen an Netzkomponenten Redundante Netzteile PoE
Netzmanagement: Administration, Überwachung, Betrieb Netzadministration: langjährige Eigenentwicklung LANbase (Oracle-basiert) CMDB-Funktionalität (Configuration Management Database) nach ITIL Gerätedatenbank: einschl. Verkabelung, Anschlüsse, Rangierung, … Endsystemdatenbank IPAM: IP Adress Management, Provisionierung von DNS, DHCP, WINS Verwaltung von Sicherheitsstrukturen: Netzzonen, VLANs, virtuelle Router Zentrale ACL-Verwaltung Voll integriertes Trouble Ticket System NOCase Dokumentenarchiv Kundenportal NIC_online (mandantenfähige Administrationsfunktionen) Kopplung mit Workflow Automation Tool 3Com EMS Netzüberwachung: Einsatz von CA SPECTRUM Anpassungen u.a. zur Überwachung der virtuellen Netzstrukturen, Sicherheitsarchitektur Netzbetrieb: u.a. über Dienstpläne geregelter Betriebsdienst
Netzadministration: Eigenentwicklung statt Einsatz kommerzieller Produkte Hoher personeller Aufwand für Eigenentwicklungen Kommerzielle Produkte mit vergleichbarem Funktionsumfang extrem kritisch: Hohe Beschaffungskosten wegen großem Mengengerüst Für Teilfunktionen im 6-stelligen Euro-Bereich Pro Jahr 20% Wartungskosten Beschaffung mehrerer Tools notwendig, keine einheitliche Oberfläche Häufig fehlende Multivendor-Fähigkeit Auch hier regelmäßiger Konfigurations-, Pflege-, Wartungs- und Consulting-Aufwand Vorteile der Eigenentwicklung: Möglichkeit der flexiblen Reaktion auf neue Anforderungen (Kundenwünsche, Vorschriften, Regelungen, Workflows, Gerätetypen)
Und zum Abschluss – die Unsicherheiten: Schwierige Prognose für Technologie im Umbruch Endgeräte-Anbindung: Entwicklung LAN-Ports, 1GE to the desktop, VoIP, WLAN? CAT6 LAN-Ports sind Assett; 1GE für Endgeräte ausreichend und notwendig; 60GHz Funktechnologie? Weiterentwicklung von Ethernet: 100GE, DCB (Konvergenz LAN, SAN, HPC), FCoE? 100GE (nicht 40GE), Skepsis gegenüber FCoE -> Produktentscheidung für Core-Erneuerung (besser noch 2 Jahre warten) Bandbreitenbedarf: Videostreaming, Backups, Desktop-Virtualisierung AVM, Videoconferencing absehbar; IT Strategie sieht Desktop-Virtualisierung vor Netzstrukturierung: VLANs, IP, MPLS? Überdenken des VLAN Paradigmas nötig, aber kein unmittelbarer Handlungsbedarf IPv6: wann, und mit welchen Auswirkungen auf Netzdesign (Zukunft von Layer 2)? Aktivieren von IPv6 im LAN gut vorbereitet; Sicherheitsfunktionen schwierig
Danke für Ihre Aufmerksamkeit!