Upload
cesnet
View
117
Download
1
Embed Size (px)
DESCRIPTION
Prezentace z Velkého semináře o komplexu služeb e-infrastruktury CESNET
Citation preview
18.10.2013 Služby e-infrastruktury CESNET
Komunikační infrastruktura –
síť CESNET2
Václav Novák, Petr Adamec a Josef Verich oddělení síťové infrastruktury
CESNET, z. s. p. o.
CESNET2 – základní optická topologie
18.10.2013 Služby e-infrastruktury CESNET
IP/MPLS vrstva sítě CESNET2
18.10.2013 Služby e-infrastruktury CESNET
Dohled sítě CESNET2
18.10.2013 Služby e-infrastruktury CESNET
Dohled sítě CESNET2
18.10.2013 Služby e-infrastruktury CESNET
Komunikace s klientem
Správci sítě znají možnosti technologie, kterou používají.
Klient ví, čeho chce dosáhnout. Pouze při společné diskuzi a společném hledání je
možné najít optimální řešení.
18.10.2013 Služby e-infrastruktury CESNET
Tři příklady za všechny
Projekt „Národní digitální knihovna“
Projekt „Housing systému SAP pro více univerzit“
Připojení FZÚ AV ČR k síti LHCONE
18.10.2013 Služby e-infrastruktury CESNET
Projekt
„Národní digitální knihovna“
18.10.2013 Služby e-infrastruktury CESNET
Spolupracující organizace
Národní knihovna České republiky
Moravská zemská knihovna v Brně
Ústav výpočetní techniky Masarykovy univerzity v Brně
CESNET, z. s. p. o.
18.10.2013 Služby e-infrastruktury CESNET
Co bylo na počátku
Pracovníci Národní knihovny a Moravské zemské knihovny hledali
• nejvhodnější možnost přenosu dat digitalizovaných knih z Brna na datová úložiště v Praze
• řešení odolné proti výpadku linky nebo zařízení Síť Národní knihovny byla připojena jednou linkou o kapacitě 1Gb/s
z Klementina do sítě CESNET2. Centrální depozitář v Hostivaři byl ve výstavbě a nebyl nezávisle připojen.
Síť Moravské zemské knihovny v Brně byla do sítě CESNET2 připojena
prostřednictvím sítě MUNI linkou o kapacitě 1Gb/s.
18.10.2013 Služby e-infrastruktury CESNET
Připojení zařízení s různou bezpečnostní politikou v NK
18.10.2013 Služby e-infrastruktury CESNET
NK
Klementinum
R92
VRF
NK-NDK
VRF
NK-NDK-SCAN
Te3/2.4029
Te3/2.4030Servery NDK Scannery
PC pro
post-processing
Scannery
PC pro
post-processing
R92 - VRF
NK-NDK-SCAN
R92 - VRF
NK-NDK
Připojení zařízení s různou bezpečnostní politikou v MZK
18.10.2013 Služby e-infrastruktury CESNET
MZKMUNI
CPS-SRV
ICS-SRV
VRF
CESNET-NDK
VRF
CESNET-NDK-SCAN
VRF
CESNET-Zakaznici
HSRP priority 110
.253
Gi2/24.xxx(native)
HSRP priority 200
.254
Te6/2.xxx(native) HSRP priority 200
.254
Te6/2.xxx
HSRP priority 200
.254Te6/2.xxx
HSRP priority 110
.253
Gi2/24.xxx
HSRP priority 110
.253
Gi2/24.xxx
VLAN DMZ
VLAN NDK
VLAN NDK-SCAN
CPS-SRV - VRF
CESNET-NDK-SCAN
CPS-SRV - VRF
CESNET-NDK
CPS-SRV - VRF
CESNET-Zakaznici
C-CPS - global
ICS-SRV - VRF
CESNET-NDK-SCAN
ICS-SRV - VRF
CESNET-NDK
ICS-SRV - VRF
CESNET-Zakaznici
ICS-SRV - global
Propojení mezi sítěmi CESNET2 a MUNI
18.10.2013 Služby e-infrastruktury CESNET
MUNICESNET
C-CPS
C-ICSR98
R121
VRF
NK-NDK
VRF
CESNET-NDK-SCAN
Te2/4 .22001:718:800:1::/64
195.178.87.0/30.1 Te2/4
C-CPS - VRF
CESNET-NDK-SCAN
Te2/4.3911 .250195.178.86.248/30
.249 Te2/4.3911
Te2/4.3916 .10
.9 Te2/4.3916
Te2/4.3917 .138
.137 Te2/4.3917
Te3/2 .6
2001:718:800:2::/64
195.178.87.4/30
.5 Te0/7/3/0
Te3/2.4021 .254195.178.86.252/30.253 Te0/7/3/0.4021
Te3/2.4026 .14
.13 Te0/7/3/0.4026
Te3/2.4027 .142
.141 Te0/7/3/0.4027
Global
VRF
CESNET-Zakaznici
VRF
CESNET-NDK
VRF
NK-NDK-SCAN
Global
C-ICS - VRF
CESNET-NDK-SCAN
C-ICS - VRF
CESNET-NDK
C-ICS - VRF
CESNET-Zakaznici
C-ICS - global
C-CPS - VRF
CESNET-NDK
C-CPS - VRF
CESNET-Zakaznici
C-CPS - global
R98 - VRF
NK-NDK-SCAN
R98 - VRF
NK-NDK
R98 - global
R121 - global
R121 - VRF
NK-NDK-SCAN
R121 - VRF
NK-NDK
Propojení pro projekt „Národní digitální knihovna“
18.10.2013 Služby e-infrastruktury CESNET
MPLS
MUNI
MPLS
CESNET
NK
Klementinum
VRF
CESNET-NDK VRF
CESNET-NDK-SCAN
VRF
NK-NDK VRF
NK-NDK-SCAN
R98R92
C-CPS
C-ICS
R121
MZK
Te3/2
802.1Q
Te3/2
802.1Q
Te0/7/3/0
Te2/4
802.1Q
Te2/4
802.1QTe6/2
802.1Q
Gi2/24
NK
HostivařTe
802.1Q
ICS-SRV
CPS-SRVR84
Vytvoření zálohy pro L2 sítě rozložené přes obě lokality NK
18.10.2013 Služby e-infrastruktury CESNET
MPLS
CESNET
NK
Klementinum
R92Te3/2
802.1Q
NK
Hostivař
Te
802.1Q
R84
VLAN A
VLAN B
VLAN C
VLAN D
Nx L2VPN
Projekt
„Housing systému SAP
pro více univerzit“
18.10.2013 Služby e-infrastruktury CESNET
Spolupracující organizace
Univerzita Palackého v Olomouci
Vysoké učení technické v Brně
Vysoká škola báňská – Technická univerzita Ostrava
Univerzita Tomáše Bati ve Zlíně
Mendelova univerzita v Brně
Janáčkova akademie múzických umění v Brně
CESNET, z. s. p. o.
18.10.2013 Služby e-infrastruktury CESNET
Co bylo na počátku
Domluva šesti univerzit o umístění serverů pro systém SAP na výpočetních centrech Univerzity Palackého v Olomouci a Vysokého učení technického v Brně.
Ne zcela jednotný názor na způsob propojení. Různá pravidla pro přístup uživatelů k dosavadním serverům systému
SAP v různých organizacích. Možnost použití VPN pro vzdálený přístup uživatelů do své mateřské sítě
ve všech organizacích.
18.10.2013 Služby e-infrastruktury CESNET
Logické propojení sítí pomocí L3 VPN
18.10.2013 Služby e-infrastruktury CESNET
VUT
CESNET
Globální provoz
Univerzita A
Univerzita B
Univerzita C
Univerzita D
Univerzita ...
UPOL
VRF SAP
SAP Servery
Globální provoz
SAP_VPN
Globální provoz
SAP_VPN
Globální provoz
SAP_VPN
Globální provoz
SAP_VPN
Globální provoz
SAP_VPN
Globální provoz
SAP_VPN
Pouze směr
SAP Servery
Vše kromě
směru na
SAP Servery
Vše, včetně směru
na univerzity A až ...
Pouze směr na
univerzity A až ...
SAP Servery
(Kounicova)
propoj mezi
datacentry
UPOL
Univ_A
ServeryUniv_D
Požadovaná komunikace
18.10.2013 Služby e-infrastruktury CESNET
Servery
UPOL
Servery
VŠB-TUO
Servery
UTB
Servery
MENDELU
Servery
JAMU
Společná síť
Klienti
UPOL
Klienti
VŠB-TUO
Klienti
UTB
Klienti
JAMU
2852:1101 2852:1101
2852:1102
2852:1105
2852:1104
2852:1102
2852:1105
2852:1130
2852:11042852:1104
2852:1101
2852:1102
2852:1105
2852:1103
2852:1103
Klienti
MENDELU Lednice
Klienti
MENDELU Brno
2852:1131
Připojení sítě se servery
18.10.2013 Služby e-infrastruktury CESNET
Připojení sítě se servery
Globální provoz
Export/Import 2852:1101
UPOL
Servery
UPOL
Servery
VŠB-TUO
Servery
UTB
Servery
MENDELU
Servery
JAMU
Společná síť
UPOL/SAPExport/Import 2852:1102
VŠB-TUO
Export/Import 2852:1105
UTB
Import 2852:1130, 2852:1131
Export/Import 2852:1103
MENDELU
Export/Import 2852:1104
JAMU
EBGP
Gi0/5/2/1.2951
EBGP
Gi0/5/2/1.2955
EBGP
Gi0/5/2/1.2954
EBGP
Gi0/5/2/1.2953
EBGPGi0/5/2/1.2952
Výhody použití L3 VPN
18.10.2013 Služby e-infrastruktury CESNET
Omezení možných útoků na minimum. Útok může být proveden pouze ze sítě připojené do L3 VPN. To umožňuje relativně jednoduché řešení incidentů.
Drtivou většinu nežádoucího provozu zahazuje směrovač na
základě záznamů ve směrovací tabulce díky směrování neznámého provozu na NULL rozhraní a použití příkazu „verify unicast source“ na IP rozhraních.
Vynucení pravidel pro přístup do sítě. Není nutné pořizovat další síťové prvky.
Připojení FZÚ AV ČR
k síti LHCONE
18.10.2013 Služby e-infrastruktury CESNET
Spolupracující organizace
Fyzikální ústav Akademie věd ČR
GÉANT
CESNET, z. s. p. o.
18.10.2013 Služby e-infrastruktury CESNET
Co bylo na počátku
Celosvětová síť LHC Open Network Environment (LHCONE), která propojuje významná počítačová centra gridu Worldwide LHC Computing Grid (WLCG).
Požadavek FZÚ AV ČR na připojení výpočetního centra do sítě LHCONE. Linka mezi sítěmi CESNET2 a FZÚ AV ČR osazená pasivním DWDM.
18.10.2013 Služby e-infrastruktury CESNET
Schéma směrování provozu mezi sítěmi LHCONE a FZÚ AV ČR
18.10.2013 Služby e-infrastruktury CESNET
Globální provoz
VPN LHCONE
AS20965
GÉANT3
VPN LHCONE
AS2852
CESNET
Tier2
AS65001
FZU
LHCONEGÉANT3
Praha FZU
Po100.111
10GE
Te7/2
10GE
DWDM 1550.12
EBGPEBGP
LHCONE
routes
Tier2
routes
LHCONE
routes
FZU
routes
Schéma fyzického projení mezi sítěmi LHCONE a FZÚ AV ČR
18.10.2013 Služby e-infrastruktury CESNET
FZÚPoP Praha_1
CESNET
VPN LHCONEGÉANT3
Praha FZU
Po100.111
10Gbase-LR
Te7/2
10GE
DWDM 1550.12
10GE
DWDM 1550.12
G.652, 26 km, 13 dB
Statistika provozu na lince do sítě LHCONE
18.10.2013 Služby e-infrastruktury CESNET
???
18.10.2013 Služby e-infrastruktury CESNET
18.10.2013 Služby e-infrastruktury CESNET
Děkuji za pozornost