Komunikační infrastruktura - síť CESNET2

18.10.2013 Služby e-infrastruktury CESNET

Komunikační infrastruktura –

síť CESNET2

Václav Novák, Petr Adamec a Josef Verich oddělení síťové infrastruktury

CESNET, z. s. p. o.

CESNET2 – základní optická topologie


IP/MPLS vrstva sítě CESNET2


Dohled sítě CESNET2


Dohled sítě CESNET2


Komunikace s klientem

Správci sítě znají možnosti technologie, kterou používají.

Klient ví, čeho chce dosáhnout. Pouze při společné diskuzi a společném hledání je

možné najít optimální řešení.


Tři příklady za všechny

Projekt „Národní digitální knihovna“

Projekt „Housing systému SAP pro více univerzit“

Připojení FZÚ AV ČR k síti LHCONE


Projekt

„Národní digitální knihovna“


Spolupracující organizace

Národní knihovna České republiky

Moravská zemská knihovna v Brně

Ústav výpočetní techniky Masarykovy univerzity v Brně

CESNET, z. s. p. o.


Co bylo na počátku

Pracovníci Národní knihovny a Moravské zemské knihovny hledali

• nejvhodnější možnost přenosu dat digitalizovaných knih z Brna na datová úložiště v Praze

• řešení odolné proti výpadku linky nebo zařízení Síť Národní knihovny byla připojena jednou linkou o kapacitě 1Gb/s

z Klementina do sítě CESNET2. Centrální depozitář v Hostivaři byl ve výstavbě a nebyl nezávisle připojen.

Síť Moravské zemské knihovny v Brně byla do sítě CESNET2 připojena

prostřednictvím sítě MUNI linkou o kapacitě 1Gb/s.


Připojení zařízení s různou bezpečnostní politikou v NK


NK

Klementinum

R92

VRF

NK-NDK

VRF

NK-NDK-SCAN

Te3/2.4029

Te3/2.4030Servery NDK Scannery

PC pro

post-processing

Scannery

PC pro

post-processing

R92 - VRF

NK-NDK-SCAN

R92 - VRF

NK-NDK

Připojení zařízení s různou bezpečnostní politikou v MZK


MZKMUNI

CPS-SRV

ICS-SRV

VRF

CESNET-NDK

VRF

CESNET-NDK-SCAN

VRF

CESNET-Zakaznici

HSRP priority 110

.253

Gi2/24.xxx(native)

HSRP priority 200

.254

Te6/2.xxx(native) HSRP priority 200

.254

Te6/2.xxx

HSRP priority 200

.254Te6/2.xxx

HSRP priority 110

.253

Gi2/24.xxx

HSRP priority 110

.253

Gi2/24.xxx

VLAN DMZ

VLAN NDK

VLAN NDK-SCAN

CPS-SRV - VRF

CESNET-NDK-SCAN

CPS-SRV - VRF

CESNET-NDK

CPS-SRV - VRF

CESNET-Zakaznici

C-CPS - global

ICS-SRV - VRF

CESNET-NDK-SCAN

ICS-SRV - VRF

CESNET-NDK

ICS-SRV - VRF

CESNET-Zakaznici

ICS-SRV - global

Propojení mezi sítěmi CESNET2 a MUNI


MUNICESNET

C-CPS

C-ICSR98

R121

VRF

NK-NDK

VRF

CESNET-NDK-SCAN

Te2/4 .22001:718:800:1::/64

195.178.87.0/30.1 Te2/4

C-CPS - VRF

CESNET-NDK-SCAN

Te2/4.3911 .250195.178.86.248/30

.249 Te2/4.3911

Te2/4.3916 .10

.9 Te2/4.3916

Te2/4.3917 .138

.137 Te2/4.3917

Te3/2 .6

2001:718:800:2::/64

195.178.87.4/30

.5 Te0/7/3/0

Te3/2.4021 .254195.178.86.252/30.253 Te0/7/3/0.4021

Te3/2.4026 .14

.13 Te0/7/3/0.4026

Te3/2.4027 .142

.141 Te0/7/3/0.4027

Global

VRF

CESNET-Zakaznici

VRF

CESNET-NDK

VRF

NK-NDK-SCAN

Global

C-ICS - VRF

CESNET-NDK-SCAN

C-ICS - VRF

CESNET-NDK

C-ICS - VRF

CESNET-Zakaznici

C-ICS - global

C-CPS - VRF

CESNET-NDK

C-CPS - VRF

CESNET-Zakaznici

C-CPS - global

R98 - VRF

NK-NDK-SCAN

R98 - VRF

NK-NDK

R98 - global

R121 - global

R121 - VRF

NK-NDK-SCAN

R121 - VRF

NK-NDK

Propojení pro projekt „Národní digitální knihovna“


MPLS

MUNI

MPLS

CESNET

NK

Klementinum

VRF

CESNET-NDK VRF

CESNET-NDK-SCAN

VRF

NK-NDK VRF

NK-NDK-SCAN

R98R92

C-CPS

C-ICS

R121

MZK

Te3/2

802.1Q

Te3/2

802.1Q

Te0/7/3/0

Te2/4

802.1Q

Te2/4

802.1QTe6/2

802.1Q

Gi2/24

NK

HostivařTe

802.1Q

ICS-SRV

CPS-SRVR84

Vytvoření zálohy pro L2 sítě rozložené přes obě lokality NK


MPLS

CESNET

NK

Klementinum

R92Te3/2

802.1Q

NK

Hostivař

Te

802.1Q

R84

VLAN A

VLAN B

VLAN C

VLAN D

Nx L2VPN

Projekt

„Housing systému SAP

pro více univerzit“



Univerzita Palackého v Olomouci

Vysoké učení technické v Brně

Vysoká škola báňská – Technická univerzita Ostrava

Univerzita Tomáše Bati ve Zlíně

Mendelova univerzita v Brně

Janáčkova akademie múzických umění v Brně

CESNET, z. s. p. o.



Domluva šesti univerzit o umístění serverů pro systém SAP na výpočetních centrech Univerzity Palackého v Olomouci a Vysokého učení technického v Brně.

Ne zcela jednotný názor na způsob propojení. Různá pravidla pro přístup uživatelů k dosavadním serverům systému

SAP v různých organizacích. Možnost použití VPN pro vzdálený přístup uživatelů do své mateřské sítě

ve všech organizacích.


Logické propojení sítí pomocí L3 VPN


VUT

CESNET

Globální provoz

Univerzita A

Univerzita B

Univerzita C

Univerzita D

Univerzita ...

UPOL

VRF SAP

SAP Servery

Globální provoz

SAP_VPN

Globální provoz

SAP_VPN

Globální provoz

SAP_VPN

Globální provoz

SAP_VPN

Globální provoz

SAP_VPN

Globální provoz

SAP_VPN

Pouze směr

SAP Servery

Vše kromě

směru na

SAP Servery

Vše, včetně směru

na univerzity A až ...

Pouze směr na

univerzity A až ...

SAP Servery

(Kounicova)

propoj mezi

datacentry

UPOL

Univ_A

ServeryUniv_D

Požadovaná komunikace


Servery

UPOL

Servery

VŠB-TUO

Servery

UTB

Servery

MENDELU

Servery

JAMU

Společná síť

Klienti

UPOL

Klienti

VŠB-TUO

Klienti

UTB

Klienti

JAMU

2852:1101 2852:1101

2852:1102

2852:1105

2852:1104

2852:1102

2852:1105

2852:1130

2852:11042852:1104

2852:1101

2852:1102

2852:1105

2852:1103

2852:1103

Klienti

MENDELU Lednice

Klienti

MENDELU Brno

2852:1131

Připojení sítě se servery


Připojení sítě se servery

Globální provoz

Export/Import 2852:1101

UPOL

Servery

UPOL

Servery

VŠB-TUO

Servery

UTB

Servery

MENDELU

Servery

JAMU

Společná síť

UPOL/SAPExport/Import 2852:1102

VŠB-TUO


UTB

Import 2852:1130, 2852:1131


MENDELU


JAMU

EBGP

Gi0/5/2/1.2951

EBGP

Gi0/5/2/1.2955

EBGP

Gi0/5/2/1.2954

EBGP

Gi0/5/2/1.2953

EBGPGi0/5/2/1.2952

Výhody použití L3 VPN


Omezení možných útoků na minimum. Útok může být proveden pouze ze sítě připojené do L3 VPN. To umožňuje relativně jednoduché řešení incidentů.

Drtivou většinu nežádoucího provozu zahazuje směrovač na

základě záznamů ve směrovací tabulce díky směrování neznámého provozu na NULL rozhraní a použití příkazu „verify unicast source“ na IP rozhraních.

Vynucení pravidel pro přístup do sítě. Není nutné pořizovat další síťové prvky.

Připojení FZÚ AV ČR

k síti LHCONE



Fyzikální ústav Akademie věd ČR

GÉANT

CESNET, z. s. p. o.



Celosvětová síť LHC Open Network Environment (LHCONE), která propojuje významná počítačová centra gridu Worldwide LHC Computing Grid (WLCG).

Požadavek FZÚ AV ČR na připojení výpočetního centra do sítě LHCONE. Linka mezi sítěmi CESNET2 a FZÚ AV ČR osazená pasivním DWDM.


Schéma směrování provozu mezi sítěmi LHCONE a FZÚ AV ČR


Globální provoz

VPN LHCONE

AS20965

GÉANT3

VPN LHCONE

AS2852

CESNET

Tier2

AS65001

FZU

LHCONEGÉANT3

Praha FZU

Po100.111

10GE

Te7/2

10GE

DWDM 1550.12

EBGPEBGP

LHCONE

routes

Tier2

routes

LHCONE

routes

FZU

routes

Schéma fyzického projení mezi sítěmi LHCONE a FZÚ AV ČR


FZÚPoP Praha_1

CESNET

VPN LHCONEGÉANT3

Praha FZU

Po100.111

10Gbase-LR

Te7/2

10GE

DWDM 1550.12

10GE

DWDM 1550.12

G.652, 26 km, 13 dB

Statistika provozu na lince do sítě LHCONE


???



Děkuji za pozornost

Technology

Komunikační infrastruktura - síť CESNET2