Neues vom DV-Netzwerk in Hamburg

1Technisches Seminar DESY Zeuthen 07.05.2002

Kars Ohrenberg, IT

Neues vomDV-Netzwerk in Hamburg


Kars Ohrenberg, IT

Inhalt

Ñ Das DESY HH DatennetzÑ Design, Status

Ñ ServicesÑ dynamic VLANs, DHCP, WLAN, VPNÑ Remote Access

Ñ Netzwerk ManagementÑ QIP, SPECTRUM, Network Health, Cisco Works

Ñ Zukunft


Kars Ohrenberg, IT

Die Herausforderung

Ñ Verfügbarkeit und Sicherheit

Ñ Steigender Bandbreitenbedarf (Gigabit, �)

Ñ MultimediadiensteÑ Voice over IP, Videokonferenzen, ...

Ñ Daten-, Sprach- und Video-Integration

Ñ Echtzeitfähigkeit, Quality of Service

Ñ Mobiles Computing


Kars Ohrenberg, IT

Das DESY-HH Datennetz

G-WiN(DFN)

DESY131.169.0.0/16

AS 1754

WAN-Router

VPN-Gateway

Firewall

DESY-EXT192.76.172.0/24

AS 1754

EMBL192.109.31.0/24

AS 1754

Rußland194.67.223.232/32

AS 8756

155 MBit/sOC-3/STM-1

Analog/ISDN/GSM(S2M)

Analog/ISDN/GSM(S2M)

Analog/ISDN (S0)


Kars Ohrenberg, IT

Modulares Netzwerk Design

AccessLayer

L2 Switch

Campus Backbone


Kars Ohrenberg, IT


Ñ Load Balancing und Redundanz zum Verteiler

AccessLayer

DistributionLayer

L3 Switch, Router

L2 Switch

Campus Backbone


Kars Ohrenberg, IT



AccessLayer

DistributionLayer

L3 Switch, Router

L2 Switch

Campus Backbone


Kars Ohrenberg, IT



Ñ Scalable Trunking FE, FEC, GE, GEC

AccessLayer

DistributionLayer

L3 Switch, Router

L2 Switch

Campus Backbone


Kars Ohrenberg, IT




Ñ Fast Failover mit HSRP

AccessLayer

DistributionLayer

L3 Switch, Router

L2 Switch

Campus Backbone


Kars Ohrenberg, IT




Ñ Fast Failover mit HSRP

AccessLayer

DistributionLayer

L3 Switch, Router

L2 Switch

Campus Backbone


Kars Ohrenberg, IT

L3 Switch = Router

Backbone

Server Farm

ServerDistribution

L3 Switch = Router

L2 Switch

Modulares Netzwerk Desing

AccessLayer

DistributionLayer

L2 Switch

Backbone


Kars Ohrenberg, IT

Status Datennetz DESY-HH

Ñ Migration nahezu abgeschlossenÑ 5274 10/100 PortsÑ 287 GE - Ports (235 SX, 52 LX)Ñ 8 GE - Kupferports

Ñ Spezialanwendung, nicht im Büroumfeld vorgesehen

Ñ Nächste MigrationenÑ UniversitätsinstituteÑ TTF


Kars Ohrenberg, IT

'Besonderheiten' im Datennetz DESY-HH

Ñ Dynamische VLANsÑ zentrale Registrierung aktiver KomponentenÑ ermöglichen Gästenetzwerk

Ñ Fokus auf MobilitätÑ Nutzung Dynamischer VLANsÑ Alle linken Anschlussdosen sind aktiv/gepatcht

und laufen im dynamischen ModusÑ Rechte Anschlussdosen werden nach Bedarf

geschaltet


Kars Ohrenberg, IT

Virtual LANs (VLANs)

Ñ In klassischen Datennetzwerken wird das Subnetz über die physikalische Topologie festgelegt

Router


Kars Ohrenberg, IT

Virtual LANs (VLANs)

Ñ In geswitchten Netzwerken erfolgt die Subnetzzugehörigkeit über eine logische Segmentierung

Ñ Standard IEEE 802.1Q

Ñ VLAN Zuweisung überÑ Switch Port (Layer 1)Ñ MAC Address (Layer 2)Ñ Protocol Type (Layer 2)Ñ IP Subnet Address (Layer 3)Ñ Application (Layer 4)

Router

Switch


Kars Ohrenberg, IT

Mobile User

Ñ Über DHCPÑ IP-Adresse des Gerätes

ändert sichÑ Einfach zu

implementierenÑ Security Policies schwer

umzusetzen

Router

Switch

131.169.1.33


Kars Ohrenberg, IT

Mobile User




umzusetzen

Router

Switch

131.169.2.222


Kars Ohrenberg, IT

Mobile User




umzusetzen

Router

Switch

131.169.1.111


Kars Ohrenberg, IT

Mobile User

Ñ Über Dynamic VLANsÑ IP-Adresse ist statischÑ Filter auf IP-Ebene

können angewandt werden

Router

Switch

131.169.1.111


Kars Ohrenberg, IT

Mobile User

Ñ Über Dynamic VLANsÑ IP-Adresse ist statischÑ Filter auf IP-Ebene

können angewandt werden

Ñ Erfordert Registrierung von Geräten

Ñ 'Zugangskontrolle'Ñ Unregistrierte Geräte

bekommen 'Default VLAN' -> Gästesubnetz

Router

Switch

131.169.1.111


Kars Ohrenberg, IT

Mobilität, dVLANs

Ñ Produktiv seit Februar 2001

Ñ Beste Erfahrungen, keine Ausfälle

Ñ Zentrale Datenbank mit registrierten MAC-Adressen, 2 Server (Switches)

Ñ Policies möglich, bisher nicht im EinsatzÑ Wichtige Dienste werden über statische

Ports gefahrenÑ Alle linken Anschlussdosen aktiv

Ñ VLAN Modus ist pro Port definierbar


Kars Ohrenberg, IT

DHCP

Ñ Zunächst im Gästenetzwerk eingesetzt

Ñ Produktionsbetrieb auf allen Netzen seit 1.5.Ñ Mobile Geräte leichter zu administrieren

Ñ Verwaltung erfolgt über QIP

Ñ Bisher nur Statisches DHCP erlaubt

Ñ DHCP Template beinhaltetÑ Domain, DNS-Server, WINS-Server, Netzmaske,

Gateway, Broadcast AdresseÑ Mailsserver, Timeserver, etc bisher nicht

berücksichtigt


Kars Ohrenberg, IT

WLANs @ DESY

Ñ Bisher abgedeckte BereicheÑ Seminarräume 1bÑ Hörsaal inklusive Foyer

Ñ Produktionsbetrieb seit 1.4.2002

Ñ Kartenausleihe über UCOÑ Unterschrift des AccountsupervisorÑ Zeitliche Befristung der Ausleihe (1 Monat)Ñ Generelle Beschaffung über BAs


Kars Ohrenberg, IT

WLANs @ DESY

Ñ Technische DetailsÑ 802.11b Standard (6 - 7 MBit/s effektiv)Ñ Je 2 Accesspoints entsprechend 2er Netze

Ñ Gästenetzwerk, keine Registrierung, keine 'SSID',IP-Adresse über DHCP

Ñ Subnet 12, Registrierung erforderlich, 'SSID',IP-Adresse über DHCP

Ñ keine Verschlüsselung

Ñ Nächste BereicheÑ Phase 1:Öffentliche SeminarräumeÑ Phase 2: Experimentierhallen


Kars Ohrenberg, IT

WLANs @ DESY

Ñ Kantine (3x)Ñ Lab. 1 (Kopfbau, Direktorium, 292)Ñ Seminarraum 2Ñ RZÑ Videokonferenzräume (2x)Ñ 30b (4. + 5. Stock)Ñ 30 5.StockÑ HASYLAB (25f-456, 25b-113, 25f Foyer)Ñ 55-204, 55a-110Ñ TTF Reinraum


Kars Ohrenberg, IT

Virtual Private Networking (VPN)

Ñ Problem: DESY IP-Adressen sind nicht überall verfügbar, damit auch nicht immer Zugriff auf DESY-Intranet möglich (T-DSL)

Ñ Lösung: Virtual Private NetworksÑ Gerät bekommt virtuelle DESY IP-AdresseÑ sicherer verschlüsselter Tunnel über das

Internet zum VPN-GatewayÑ Tunnelprotokoll IPSec (IPSec Group nötig)

Ñ Autorisierung gegenüber Radius-Server (DESY RAS Account)


Kars Ohrenberg, IT

Virtual Private Networking (VPN)

Internet

DESY

WAN-Router

VPN-RouterPC z.B. Via T-DSL

FirewallRadius

DESY- EXT


Kars Ohrenberg, IT

IP-Tunnel und VPNs

Ñ Idee: Ein IP Paket wird in einem weiteren Paket 'verpackt'

Data

Address 1

Data

Address 1Address 1

Data

Address 2

Address 1

Data

Address 2

Tunnel EntryRewriting Header

PublicNetwork

Tunnel Endpoint,Stripping ofrewritten header


Kars Ohrenberg, IT

IP-Tunnel und VPNs

Ñ Ein VPN ist sehr einfach zu benutzen:Ñ Gerät anschalten und

IP Adresse konfiguriere (z.B. über DHCP, ...)

Ñ VPN Client Software starten und Authentifizierung durchführen

Ñ That�s it!


Kars Ohrenberg, IT

DESY-HH VPN

Ñ IT-interner Testbetrieb seit Anfang April

Ñ VPN Client Software + RAS Account nötig

Ñ Das öffentliche Netz wird als Erweiterung des privaten Netzes genutzt

Ñ Ein VPN bietet zusätzliche Sicherheit durch Ñ AuthentifizierungÑ AutorisierungÑ Verschlüsselung

Ñ IPv6 beinhaltet Mobile IP !!!


Kars Ohrenberg, IT

Remote Access Technologie

Ñ Große Anzahl unterschiedlichster Technologien verfügbar um IP-Verbindungen herzustellenÑ ISDN, Analog, GSM, ISP, ...Ñ Unterschiedlich bezüglich

Ñ GeschwindigkeitÑ AdressraumÑ KostenÑ Sicherheit


Kars Ohrenberg, IT

ISDN, Analog

" Was wird benötigt� Modem� Remote Access Account (z.B. am DESY)

" Username, Passwort, Telefonnummer

" Geschwindigkeit:� Analog: 56 kBit/s (~10 Sekunden für www.desy.de)� ISDN: 64/128 kBit/s (~10/5 seconds)

" Kosten:� 0,01-0,02 €/min, unabhängig vom Volumentransfer


Kars Ohrenberg, IT

ISDN, Analog (2)

" IP Adresse:� 131.169.X.X möglich, innerhalb DESY

" Sicherheit� Datenpakete werden über das öffentliche Telefonnetz

und nicht das öffentliche Internet gesendet� Calling Line Identification (CLID)

" Andere Vorteile:� Access Service kann und wird am DESY angeboten� Callback möglich� Weltweite Verfügbarkeit, ein Telefonanschluss genügt


Kars Ohrenberg, IT

DSL

" Was wird benötigt:� DSL Modem� DSL-Provider (z.B. German Telekom)� ISP Account (z.B. T-Online)

" Geschwindigkeit:� 128 kBit/s upstream (< 1 Sekunde)� 768 kBit/s downstream (< 1 Sekunde)

" Kosten� Flatrate ~ 25 €/Monat oder 0,01 � 0,02 €/Min


Kars Ohrenberg, IT

DSL (2)

Ñ IP AdresseÑ x.x.x.x, außerhalb DESY

Ñ Sicherheit:Ñ Daten werden über öffentliches Netz gesendet

Ñ Bemerkungen:Ñ Es wird keine Möglichkeit geben diesen Dienst

am DESY anzubieten!


Kars Ohrenberg, IT

GSM, HSCSD

Ñ Was wird benötigtÑ Mobiltelefon + Vertrag (T-D1, Vodafone, ...)Ñ Remote Access Account (z.B. DESY)

Ñ GeschwindigkeitÑ GSM: 9.6 kBit/s (~ 75 Sekunden)Ñ HSCSD (High Speed Circuit Switched Data)

Ñ �GSM Kanalbündelung�Ñ 14.4 kBit/s pro verfügbarem Kanal,

typisch 3-4 mit modernen Geräten = 57,6 kBit/s


Kars Ohrenberg, IT

GSM, HSCSD (2)

" Kosten:� 0,15 €/Min (GSM, z.B. D1), HSCSD vergleichbar

" IP Adresse� 131.169.x.x möglich, innerhalb DESY

" Sicherheit:� Vergleichbar mit Analog oder ISDN Zugängen

" Bemerkungen:� Access Service wird vom DESY angeboten� Kein HSCSD von T-D1 verfügbar


Kars Ohrenberg, IT

GPRS(Global Packet Radio Service)

Ñ Was wird benötigtÑ GPRS fähiges MobiltelefonÑ Vertrag (z.B. T-D1, Vodafone, ...)Ñ ISP Account

Ñ SpeedÑ 9,05/13.4/15,6/21,4 kBit/s pro Kanal (3-4)

Ñ Kosten:Ñ 0,01 €/kBytes (www.desy.de = 1 €)


Kars Ohrenberg, IT

GPRS (2)

Ñ IP Adresse:Ñ x.x.x.x, außerhalb DESY

Ñ SicherheitÑ Vergleichbar DSL

Ñ BemerkungenÑ Packet Switched NetworkÑ Bezahlung pro transferiertem Volumen, nicht

über Verbindungsdauer, "always on�Ñ Trigger für IPv6


Kars Ohrenberg, IT

Internet Service Provider

Ñ Was wird benötigt:Ñ Account (z.B. AOL, T-Online, ...)

Ñ Speed:Ñ Abhängig von Verbindungstechnologie

Ñ Kosten:Ñ 1-2 Cent/Min, Flatrates


Kars Ohrenberg, IT

Internet Service Provider (2)

Ñ IP Adresse:Ñ x.x.x.x, definitiv außerhalb DESY

Ñ Sicherheit:Ñ Da das eigenen Gerät verwendet wird

Ñ Kontrolle über installierte SoftwareÑ Benötigte Software kann installiert werdenÑ Volle Konfigurationsmöglichkeit

Ñ IP Traffic läuft über öffentliche Netze


Kars Ohrenberg, IT

Internet Cafe, Konferenz

Ñ Vergleichbar mit ISP aberÑ Unbekannte Gerät

Ñ Welche Software ist verfügbar?

Ñ Nicht alles konfigurierbarÑ Sicherheit:

Ñ Browser behält Historie besuchter WebseitenÑ Was bleibt in den Caches (Passwörter, Mails, etc.)Ñ Tastatur Logging?


Kars Ohrenberg, IT

RAS Technologie Vergleich

x.x.x.xNo2,5 � 5 €/hUnterschiedlichCafe

x.x.x.xNo0,01 � 0,02UnterschiedlichISP

x.x.x.xNo0,01 €/kBytes< 53,6GPRS

131.169.x.xYes0,159,6 GSM< 57,6 HSCSD

GSM, HSCSD

x.x.x.xNo0,01 � 0,02

25€/Monat

128 Upstream768 Downstream

DSL

131.169.x.xYes0,01 � 0,0256 Analog64/128 ISDN

Analog/ISDN

IP AdresseAm DESY verfügbar

Kosten (€/Min)Speed (kBit/s)


Kars Ohrenberg, IT

RAS Technologien

Ñ Unterschiedlichste Technologien für IP-Zugänge verfügbar Ñ Geringe Bandbreite bei hoher MobilitätÑ Hohe Bandbreite bei geringer Mobilität

Ñ Generelles Problem: Die benutzte IP-Adresse ist nicht im DESY Intranet

Ñ Die beste Lösung für mobile Geräte ist ein VPN welches sich am DESY in der Testphase befindet


Kars Ohrenberg, IT

QIP

Ñ Managementwerkzeug zur Verwaltung des IP-Adressraums benötigtÑ ca. 12.000 IP-Adressen in BenutzungÑ ca. 80 Segmentadministratoren verwalten

Subnetze, macht Zugriffskontrolle nötigÑ Altes System nicht mehr wartbarÑ Wahl viel auf QIP von Lucent Technologies


Kars Ohrenberg, IT

QIP

Ñ QIP seit 11.12.2001 produktivÑ Support für DDNS

Ñ bisher nicht aktiv für desy.deÑ Tests laufen auf win2k.desy.de

Ñ erlaubt Verwaltung und Konfiguration desDHCP-Services

Ñ Registrierung der MAC-Adressen durch Segmentadministratoren


Kars Ohrenberg, IT

SPECTRUM

Ñ Seit vielen Jahren im Einsatz

Ñ Überwachung (Ping, SNMP) der zentralen Netzwerk und RZ-Komponenten

Ñ Alarmierungssystem für das Operating

Ñ Wird nicht mehr allen Anforderungen gerecht

Ñ DienstüberwachungÑ WartungszeitenÑ Eskalationen

Ñ Status: Service wird eingefroren


Kars Ohrenberg, IT

Network Health

Ñ SPECTRUM hat unbefriedigendes Reporting

Ñ Wahl viel auf NetworkhealthÑ Produktiv seit Mitte 2001

Ñ Regelmäßiges Polling aller wichtigen Ports(RZ, Backbone) (> 1000), und CPUs

Ñ Unbekannte Geräte werden innerhalb von 90 Tagen aufgenommen

Ñ 'Intelligenz' innerhalb der Health ReportsÑ Trendreports, TrendanalysenÑ 'Situations to Watch'


Kars Ohrenberg, IT

Cisco Works

Ñ Interessant für Konfigurations- und SoftwaremanagementÑ Zentrale SW KonfigurationÑ Backup aller KonfigurationenÑ Software-/KonfigurationsverteilungÑ User Tracking

Ñ MAC, IP, Switchport, Wann gesehen?

Ñ Userinterface unbrauchbar (Java, WWW)Ñ langsam, instabil

Ñ Abgeschaltet, warten auf neue Version


Kars Ohrenberg, IT

Zukünftige Themen

Ñ FirewallÑ Umstieg auf Cisco PIX

Ñ VPN HH <-> Zeuthen

Ñ Konsolidierung NMSÑ Standalone Werkzeuge, Integration zwingend

Ñ IP Telefone

Ñ Accounting !Ñ POF

Ñ IPv6

Documents

Neues vom DV-Netzwerk in Hamburg