Upload
others
View
2
Download
0
Embed Size (px)
Citation preview
2Technisches Seminar DESY Zeuthen 07.05.2002
Kars Ohrenberg, IT
Inhalt
Ñ Das DESY HH DatennetzÑ Design, Status
Ñ ServicesÑ dynamic VLANs, DHCP, WLAN, VPNÑ Remote Access
Ñ Netzwerk ManagementÑ QIP, SPECTRUM, Network Health, Cisco Works
Ñ Zukunft
3Technisches Seminar DESY Zeuthen 07.05.2002
Kars Ohrenberg, IT
Die Herausforderung
Ñ Verfügbarkeit und Sicherheit
Ñ Steigender Bandbreitenbedarf (Gigabit, �)
Ñ MultimediadiensteÑ Voice over IP, Videokonferenzen, ...
Ñ Daten-, Sprach- und Video-Integration
Ñ Echtzeitfähigkeit, Quality of Service
Ñ Mobiles Computing
4Technisches Seminar DESY Zeuthen 07.05.2002
Kars Ohrenberg, IT
Das DESY-HH Datennetz
G-WiN(DFN)
DESY131.169.0.0/16
AS 1754
WAN-Router
VPN-Gateway
Firewall
DESY-EXT192.76.172.0/24
AS 1754
EMBL192.109.31.0/24
AS 1754
Rußland194.67.223.232/32
AS 8756
155 MBit/sOC-3/STM-1
Analog/ISDN/GSM(S2M)
Analog/ISDN/GSM(S2M)
Analog/ISDN (S0)
5Technisches Seminar DESY Zeuthen 07.05.2002
Kars Ohrenberg, IT
Modulares Netzwerk Design
AccessLayer
L2 Switch
Campus Backbone
6Technisches Seminar DESY Zeuthen 07.05.2002
Kars Ohrenberg, IT
Modulares Netzwerk Design
Ñ Load Balancing und Redundanz zum Verteiler
AccessLayer
DistributionLayer
L3 Switch, Router
L2 Switch
Campus Backbone
7Technisches Seminar DESY Zeuthen 07.05.2002
Kars Ohrenberg, IT
Modulares Netzwerk Design
Ñ Load Balancing und Redundanz zum Verteiler
AccessLayer
DistributionLayer
L3 Switch, Router
L2 Switch
Campus Backbone
8Technisches Seminar DESY Zeuthen 07.05.2002
Kars Ohrenberg, IT
Modulares Netzwerk Design
Ñ Load Balancing und Redundanz zum Verteiler
Ñ Scalable Trunking FE, FEC, GE, GEC
AccessLayer
DistributionLayer
L3 Switch, Router
L2 Switch
Campus Backbone
9Technisches Seminar DESY Zeuthen 07.05.2002
Kars Ohrenberg, IT
Modulares Netzwerk Design
Ñ Load Balancing und Redundanz zum Verteiler
Ñ Scalable Trunking FE, FEC, GE, GEC
Ñ Fast Failover mit HSRP
AccessLayer
DistributionLayer
L3 Switch, Router
L2 Switch
Campus Backbone
10Technisches Seminar DESY Zeuthen 07.05.2002
Kars Ohrenberg, IT
Modulares Netzwerk Design
Ñ Load Balancing und Redundanz zum Verteiler
Ñ Scalable Trunking FE, FEC, GE, GEC
Ñ Fast Failover mit HSRP
AccessLayer
DistributionLayer
L3 Switch, Router
L2 Switch
Campus Backbone
11Technisches Seminar DESY Zeuthen 07.05.2002
Kars Ohrenberg, IT
L3 Switch = Router
Backbone
Server Farm
ServerDistribution
L3 Switch = Router
L2 Switch
Modulares Netzwerk Desing
AccessLayer
DistributionLayer
L2 Switch
Backbone
12Technisches Seminar DESY Zeuthen 07.05.2002
Kars Ohrenberg, IT
Status Datennetz DESY-HH
Ñ Migration nahezu abgeschlossenÑ 5274 10/100 PortsÑ 287 GE - Ports (235 SX, 52 LX)Ñ 8 GE - Kupferports
Ñ Spezialanwendung, nicht im Büroumfeld vorgesehen
Ñ Nächste MigrationenÑ UniversitätsinstituteÑ TTF
13Technisches Seminar DESY Zeuthen 07.05.2002
Kars Ohrenberg, IT
'Besonderheiten' im Datennetz DESY-HH
Ñ Dynamische VLANsÑ zentrale Registrierung aktiver KomponentenÑ ermöglichen Gästenetzwerk
Ñ Fokus auf MobilitätÑ Nutzung Dynamischer VLANsÑ Alle linken Anschlussdosen sind aktiv/gepatcht
und laufen im dynamischen ModusÑ Rechte Anschlussdosen werden nach Bedarf
geschaltet
14Technisches Seminar DESY Zeuthen 07.05.2002
Kars Ohrenberg, IT
Virtual LANs (VLANs)
Ñ In klassischen Datennetzwerken wird das Subnetz über die physikalische Topologie festgelegt
Router
15Technisches Seminar DESY Zeuthen 07.05.2002
Kars Ohrenberg, IT
Virtual LANs (VLANs)
Ñ In geswitchten Netzwerken erfolgt die Subnetzzugehörigkeit über eine logische Segmentierung
Ñ Standard IEEE 802.1Q
Ñ VLAN Zuweisung überÑ Switch Port (Layer 1)Ñ MAC Address (Layer 2)Ñ Protocol Type (Layer 2)Ñ IP Subnet Address (Layer 3)Ñ Application (Layer 4)
Router
Switch
16Technisches Seminar DESY Zeuthen 07.05.2002
Kars Ohrenberg, IT
Mobile User
Ñ Über DHCPÑ IP-Adresse des Gerätes
ändert sichÑ Einfach zu
implementierenÑ Security Policies schwer
umzusetzen
Router
Switch
131.169.1.33
17Technisches Seminar DESY Zeuthen 07.05.2002
Kars Ohrenberg, IT
Mobile User
Ñ Über DHCPÑ IP-Adresse des Gerätes
ändert sichÑ Einfach zu
implementierenÑ Security Policies schwer
umzusetzen
Router
Switch
131.169.2.222
18Technisches Seminar DESY Zeuthen 07.05.2002
Kars Ohrenberg, IT
Mobile User
Ñ Über DHCPÑ IP-Adresse des Gerätes
ändert sichÑ Einfach zu
implementierenÑ Security Policies schwer
umzusetzen
Router
Switch
131.169.1.111
19Technisches Seminar DESY Zeuthen 07.05.2002
Kars Ohrenberg, IT
Mobile User
Ñ Über Dynamic VLANsÑ IP-Adresse ist statischÑ Filter auf IP-Ebene
können angewandt werden
Router
Switch
131.169.1.111
20Technisches Seminar DESY Zeuthen 07.05.2002
Kars Ohrenberg, IT
Mobile User
Ñ Über Dynamic VLANsÑ IP-Adresse ist statischÑ Filter auf IP-Ebene
können angewandt werden
Ñ Erfordert Registrierung von Geräten
Ñ 'Zugangskontrolle'Ñ Unregistrierte Geräte
bekommen 'Default VLAN' -> Gästesubnetz
Router
Switch
131.169.1.111
21Technisches Seminar DESY Zeuthen 07.05.2002
Kars Ohrenberg, IT
Mobilität, dVLANs
Ñ Produktiv seit Februar 2001
Ñ Beste Erfahrungen, keine Ausfälle
Ñ Zentrale Datenbank mit registrierten MAC-Adressen, 2 Server (Switches)
Ñ Policies möglich, bisher nicht im EinsatzÑ Wichtige Dienste werden über statische
Ports gefahrenÑ Alle linken Anschlussdosen aktiv
Ñ VLAN Modus ist pro Port definierbar
22Technisches Seminar DESY Zeuthen 07.05.2002
Kars Ohrenberg, IT
DHCP
Ñ Zunächst im Gästenetzwerk eingesetzt
Ñ Produktionsbetrieb auf allen Netzen seit 1.5.Ñ Mobile Geräte leichter zu administrieren
Ñ Verwaltung erfolgt über QIP
Ñ Bisher nur Statisches DHCP erlaubt
Ñ DHCP Template beinhaltetÑ Domain, DNS-Server, WINS-Server, Netzmaske,
Gateway, Broadcast AdresseÑ Mailsserver, Timeserver, etc bisher nicht
berücksichtigt
23Technisches Seminar DESY Zeuthen 07.05.2002
Kars Ohrenberg, IT
WLANs @ DESY
Ñ Bisher abgedeckte BereicheÑ Seminarräume 1bÑ Hörsaal inklusive Foyer
Ñ Produktionsbetrieb seit 1.4.2002
Ñ Kartenausleihe über UCOÑ Unterschrift des AccountsupervisorÑ Zeitliche Befristung der Ausleihe (1 Monat)Ñ Generelle Beschaffung über BAs
24Technisches Seminar DESY Zeuthen 07.05.2002
Kars Ohrenberg, IT
WLANs @ DESY
Ñ Technische DetailsÑ 802.11b Standard (6 - 7 MBit/s effektiv)Ñ Je 2 Accesspoints entsprechend 2er Netze
Ñ Gästenetzwerk, keine Registrierung, keine 'SSID',IP-Adresse über DHCP
Ñ Subnet 12, Registrierung erforderlich, 'SSID',IP-Adresse über DHCP
Ñ keine Verschlüsselung
Ñ Nächste BereicheÑ Phase 1:Öffentliche SeminarräumeÑ Phase 2: Experimentierhallen
25Technisches Seminar DESY Zeuthen 07.05.2002
Kars Ohrenberg, IT
WLANs @ DESY
Ñ Kantine (3x)Ñ Lab. 1 (Kopfbau, Direktorium, 292)Ñ Seminarraum 2Ñ RZÑ Videokonferenzräume (2x)Ñ 30b (4. + 5. Stock)Ñ 30 5.StockÑ HASYLAB (25f-456, 25b-113, 25f Foyer)Ñ 55-204, 55a-110Ñ TTF Reinraum
26Technisches Seminar DESY Zeuthen 07.05.2002
Kars Ohrenberg, IT
Virtual Private Networking (VPN)
Ñ Problem: DESY IP-Adressen sind nicht überall verfügbar, damit auch nicht immer Zugriff auf DESY-Intranet möglich (T-DSL)
Ñ Lösung: Virtual Private NetworksÑ Gerät bekommt virtuelle DESY IP-AdresseÑ sicherer verschlüsselter Tunnel über das
Internet zum VPN-GatewayÑ Tunnelprotokoll IPSec (IPSec Group nötig)
Ñ Autorisierung gegenüber Radius-Server (DESY RAS Account)
27Technisches Seminar DESY Zeuthen 07.05.2002
Kars Ohrenberg, IT
Virtual Private Networking (VPN)
Internet
DESY
WAN-Router
VPN-RouterPC z.B. Via T-DSL
FirewallRadius
DESY- EXT
28Technisches Seminar DESY Zeuthen 07.05.2002
Kars Ohrenberg, IT
IP-Tunnel und VPNs
Ñ Idee: Ein IP Paket wird in einem weiteren Paket 'verpackt'
Data
Address 1
Data
Address 1Address 1
Data
Address 2
Address 1
Data
Address 2
Tunnel EntryRewriting Header
PublicNetwork
Tunnel Endpoint,Stripping ofrewritten header
29Technisches Seminar DESY Zeuthen 07.05.2002
Kars Ohrenberg, IT
IP-Tunnel und VPNs
Ñ Ein VPN ist sehr einfach zu benutzen:Ñ Gerät anschalten und
IP Adresse konfiguriere (z.B. über DHCP, ...)
Ñ VPN Client Software starten und Authentifizierung durchführen
Ñ That�s it!
30Technisches Seminar DESY Zeuthen 07.05.2002
Kars Ohrenberg, IT
DESY-HH VPN
Ñ IT-interner Testbetrieb seit Anfang April
Ñ VPN Client Software + RAS Account nötig
Ñ Das öffentliche Netz wird als Erweiterung des privaten Netzes genutzt
Ñ Ein VPN bietet zusätzliche Sicherheit durch Ñ AuthentifizierungÑ AutorisierungÑ Verschlüsselung
Ñ IPv6 beinhaltet Mobile IP !!!
31Technisches Seminar DESY Zeuthen 07.05.2002
Kars Ohrenberg, IT
Remote Access Technologie
Ñ Große Anzahl unterschiedlichster Technologien verfügbar um IP-Verbindungen herzustellenÑ ISDN, Analog, GSM, ISP, ...Ñ Unterschiedlich bezüglich
Ñ GeschwindigkeitÑ AdressraumÑ KostenÑ Sicherheit
32Technisches Seminar DESY Zeuthen 07.05.2002
Kars Ohrenberg, IT
ISDN, Analog
" Was wird benötigt� Modem� Remote Access Account (z.B. am DESY)
" Username, Passwort, Telefonnummer
" Geschwindigkeit:� Analog: 56 kBit/s (~10 Sekunden für www.desy.de)� ISDN: 64/128 kBit/s (~10/5 seconds)
" Kosten:� 0,01-0,02 €/min, unabhängig vom Volumentransfer
33Technisches Seminar DESY Zeuthen 07.05.2002
Kars Ohrenberg, IT
ISDN, Analog (2)
" IP Adresse:� 131.169.X.X möglich, innerhalb DESY
" Sicherheit� Datenpakete werden über das öffentliche Telefonnetz
und nicht das öffentliche Internet gesendet� Calling Line Identification (CLID)
" Andere Vorteile:� Access Service kann und wird am DESY angeboten� Callback möglich� Weltweite Verfügbarkeit, ein Telefonanschluss genügt
34Technisches Seminar DESY Zeuthen 07.05.2002
Kars Ohrenberg, IT
DSL
" Was wird benötigt:� DSL Modem� DSL-Provider (z.B. German Telekom)� ISP Account (z.B. T-Online)
" Geschwindigkeit:� 128 kBit/s upstream (< 1 Sekunde)� 768 kBit/s downstream (< 1 Sekunde)
" Kosten� Flatrate ~ 25 €/Monat oder 0,01 � 0,02 €/Min
35Technisches Seminar DESY Zeuthen 07.05.2002
Kars Ohrenberg, IT
DSL (2)
Ñ IP AdresseÑ x.x.x.x, außerhalb DESY
Ñ Sicherheit:Ñ Daten werden über öffentliches Netz gesendet
Ñ Bemerkungen:Ñ Es wird keine Möglichkeit geben diesen Dienst
am DESY anzubieten!
36Technisches Seminar DESY Zeuthen 07.05.2002
Kars Ohrenberg, IT
GSM, HSCSD
Ñ Was wird benötigtÑ Mobiltelefon + Vertrag (T-D1, Vodafone, ...)Ñ Remote Access Account (z.B. DESY)
Ñ GeschwindigkeitÑ GSM: 9.6 kBit/s (~ 75 Sekunden)Ñ HSCSD (High Speed Circuit Switched Data)
Ñ �GSM Kanalbündelung�Ñ 14.4 kBit/s pro verfügbarem Kanal,
typisch 3-4 mit modernen Geräten = 57,6 kBit/s
37Technisches Seminar DESY Zeuthen 07.05.2002
Kars Ohrenberg, IT
GSM, HSCSD (2)
" Kosten:� 0,15 €/Min (GSM, z.B. D1), HSCSD vergleichbar
" IP Adresse� 131.169.x.x möglich, innerhalb DESY
" Sicherheit:� Vergleichbar mit Analog oder ISDN Zugängen
" Bemerkungen:� Access Service wird vom DESY angeboten� Kein HSCSD von T-D1 verfügbar
38Technisches Seminar DESY Zeuthen 07.05.2002
Kars Ohrenberg, IT
GPRS(Global Packet Radio Service)
Ñ Was wird benötigtÑ GPRS fähiges MobiltelefonÑ Vertrag (z.B. T-D1, Vodafone, ...)Ñ ISP Account
Ñ SpeedÑ 9,05/13.4/15,6/21,4 kBit/s pro Kanal (3-4)
Ñ Kosten:Ñ 0,01 €/kBytes (www.desy.de = 1 €)
39Technisches Seminar DESY Zeuthen 07.05.2002
Kars Ohrenberg, IT
GPRS (2)
Ñ IP Adresse:Ñ x.x.x.x, außerhalb DESY
Ñ SicherheitÑ Vergleichbar DSL
Ñ BemerkungenÑ Packet Switched NetworkÑ Bezahlung pro transferiertem Volumen, nicht
über Verbindungsdauer, "always on�Ñ Trigger für IPv6
40Technisches Seminar DESY Zeuthen 07.05.2002
Kars Ohrenberg, IT
Internet Service Provider
Ñ Was wird benötigt:Ñ Account (z.B. AOL, T-Online, ...)
Ñ Speed:Ñ Abhängig von Verbindungstechnologie
Ñ Kosten:Ñ 1-2 Cent/Min, Flatrates
41Technisches Seminar DESY Zeuthen 07.05.2002
Kars Ohrenberg, IT
Internet Service Provider (2)
Ñ IP Adresse:Ñ x.x.x.x, definitiv außerhalb DESY
Ñ Sicherheit:Ñ Da das eigenen Gerät verwendet wird
Ñ Kontrolle über installierte SoftwareÑ Benötigte Software kann installiert werdenÑ Volle Konfigurationsmöglichkeit
Ñ IP Traffic läuft über öffentliche Netze
42Technisches Seminar DESY Zeuthen 07.05.2002
Kars Ohrenberg, IT
Internet Cafe, Konferenz
Ñ Vergleichbar mit ISP aberÑ Unbekannte Gerät
Ñ Welche Software ist verfügbar?
Ñ Nicht alles konfigurierbarÑ Sicherheit:
Ñ Browser behält Historie besuchter WebseitenÑ Was bleibt in den Caches (Passwörter, Mails, etc.)Ñ Tastatur Logging?
43Technisches Seminar DESY Zeuthen 07.05.2002
Kars Ohrenberg, IT
RAS Technologie Vergleich
x.x.x.xNo2,5 � 5 €/hUnterschiedlichCafe
x.x.x.xNo0,01 � 0,02UnterschiedlichISP
x.x.x.xNo0,01 €/kBytes< 53,6GPRS
131.169.x.xYes0,159,6 GSM< 57,6 HSCSD
GSM, HSCSD
x.x.x.xNo0,01 � 0,02
25€/Monat
128 Upstream768 Downstream
DSL
131.169.x.xYes0,01 � 0,0256 Analog64/128 ISDN
Analog/ISDN
IP AdresseAm DESY verfügbar
Kosten (€/Min)Speed (kBit/s)
44Technisches Seminar DESY Zeuthen 07.05.2002
Kars Ohrenberg, IT
RAS Technologien
Ñ Unterschiedlichste Technologien für IP-Zugänge verfügbar Ñ Geringe Bandbreite bei hoher MobilitätÑ Hohe Bandbreite bei geringer Mobilität
Ñ Generelles Problem: Die benutzte IP-Adresse ist nicht im DESY Intranet
Ñ Die beste Lösung für mobile Geräte ist ein VPN welches sich am DESY in der Testphase befindet
45Technisches Seminar DESY Zeuthen 07.05.2002
Kars Ohrenberg, IT
QIP
Ñ Managementwerkzeug zur Verwaltung des IP-Adressraums benötigtÑ ca. 12.000 IP-Adressen in BenutzungÑ ca. 80 Segmentadministratoren verwalten
Subnetze, macht Zugriffskontrolle nötigÑ Altes System nicht mehr wartbarÑ Wahl viel auf QIP von Lucent Technologies
46Technisches Seminar DESY Zeuthen 07.05.2002
Kars Ohrenberg, IT
QIP
Ñ QIP seit 11.12.2001 produktivÑ Support für DDNS
Ñ bisher nicht aktiv für desy.deÑ Tests laufen auf win2k.desy.de
Ñ erlaubt Verwaltung und Konfiguration desDHCP-Services
Ñ Registrierung der MAC-Adressen durch Segmentadministratoren
47Technisches Seminar DESY Zeuthen 07.05.2002
Kars Ohrenberg, IT
SPECTRUM
Ñ Seit vielen Jahren im Einsatz
Ñ Überwachung (Ping, SNMP) der zentralen Netzwerk und RZ-Komponenten
Ñ Alarmierungssystem für das Operating
Ñ Wird nicht mehr allen Anforderungen gerecht
Ñ DienstüberwachungÑ WartungszeitenÑ Eskalationen
Ñ Status: Service wird eingefroren
48Technisches Seminar DESY Zeuthen 07.05.2002
Kars Ohrenberg, IT
Network Health
Ñ SPECTRUM hat unbefriedigendes Reporting
Ñ Wahl viel auf NetworkhealthÑ Produktiv seit Mitte 2001
Ñ Regelmäßiges Polling aller wichtigen Ports(RZ, Backbone) (> 1000), und CPUs
Ñ Unbekannte Geräte werden innerhalb von 90 Tagen aufgenommen
Ñ 'Intelligenz' innerhalb der Health ReportsÑ Trendreports, TrendanalysenÑ 'Situations to Watch'
49Technisches Seminar DESY Zeuthen 07.05.2002
Kars Ohrenberg, IT
Cisco Works
Ñ Interessant für Konfigurations- und SoftwaremanagementÑ Zentrale SW KonfigurationÑ Backup aller KonfigurationenÑ Software-/KonfigurationsverteilungÑ User Tracking
Ñ MAC, IP, Switchport, Wann gesehen?
Ñ Userinterface unbrauchbar (Java, WWW)Ñ langsam, instabil
Ñ Abgeschaltet, warten auf neue Version