Komunikační infrastruktura síť CESNET2 Václav Novák, Petr Adamec a Josef Verich oddělení síťové infrastruktury CESNET, z. s. p. o. Služby e-infrastruktury CESNET 18.10.2013
CESNET2 základní optická topologie
IP/MPLS vrstva sítě CESNET2
Dohled sítě CESNET2
Dohled sítě CESNET2
Komunikace s klientem Správci sítě znají možnosti technologie, kterou používají. Klient ví, čeho chce dosáhnout. Pouze při společné diskuzi a společném hledání je možné najít optimální řešení.
Tři příklady za všechny Projekt Národní digitální knihovna Projekt Housing systému SAP pro více univerzit Připojení FZÚ AV ČR k síti LHCONE
Projekt Národní digitální knihovna
Spolupracující organizace Národní knihovna České republiky Moravská zemská knihovna v Brně Ústav výpočetní techniky Masarykovy univerzity v Brně CESNET, z. s. p. o.
Co bylo na počátku Pracovníci Národní knihovny a Moravské zemské knihovny hledali nejvhodnější možnost přenosu dat digitalizovaných knih z Brna na datová úložiště v Praze řešení odolné proti výpadku linky nebo zařízení Síť Národní knihovny byla připojena jednou linkou o kapacitě 1Gb/s z Klementina do sítě CESNET2. Centrální depozitář v Hostivaři byl ve výstavbě a nebyl nezávisle připojen. Síť Moravské zemské knihovny v Brně byla do sítě CESNET2 připojena prostřednictvím sítě MUNI linkou o kapacitě 1Gb/s.
Připojení zařízení s různou bezpečnostní politikou v NK R92 PC pro post-processing NK Klementinum Servery NDK Te3/2.4029 Te3/2.4030 R92 - VRF NK-NDK R92 - VRF NK-NDK-SCAN VRF NK-NDK VRF NK-NDK-SCAN PC pro post-processing Scannery Scannery
Připojení zařízení s různou bezpečnostní politikou v MZK ICS-SRV ICS-SRV - global ICS-SRV - VRF CESNET-Zakaznici ICS-SRV - VRF CESNET-NDK.253 Gi2/24.xxx(native) VRF CESNET-Zakaznici.253 ICS-SRV - VRF Gi2/24.xxx CESNET-NDK-SCAN HSRP priority 110 VLAN DMZ.253 Gi2/24.xxx HSRP priority 200 HSRP priority 110 VRF CESNET-NDK CPS-SRV C-CPS - global VLAN NDK CPS-SRV - VRF CESNET-Zakaznici Te6/2.xxx(native) HSRP priority 200.254 HSRP priority 110 VRF CESNET-NDK-SCAN CPS-SRV - VRF CESNET-NDK Te6/2.xxx.254 VLAN NDK-SCAN CPS-SRV - VRF CESNET-NDK-SCAN Te6/2.xxx.254 HSRP priority 200 MUNI MZK
Propojení mezi sítěmi CESNET2 a MUNI Global R98 R98 - global R98 - VRF NK-NDK.1 Te2/4.249 Te2/4.3911 195.178.87.0/30 2001:718:800:1::/64 195.178.86.248/30 Te2/4.2 C-ICS C-ICS - global C-ICS - VRF CESNET-Zakaznici Te2/4.3911.250 Global R98 - VRF NK-NDK-SCAN.9 Te2/4.3916.137 Te2/4.3917 Te2/4.3916.10 C-ICS - VRF CESNET-NDK C-ICS - VRF CESNET-NDK-SCAN Te2/4.3917.138 VRF CESNET-Zakaznici VRF NK-NDK VRF NK-NDK-SCAN R121 R121 - global.5 Te0/7/3/0.253 Te0/7/3/0.4021 R121 - VRF NK-NDK R121 - VRF NK-NDK-SCAN.13 Te0/7/3/0.4026.141 Te0/7/3/0.4027 195.178.87.4/30 2001:718:800:2::/64 195.178.86.252/30 Te3/2.6 C-CPS C-CPS - global C-CPS - VRF CESNET-Zakaznici Te3/2.4021.254 Te3/2.4026.14 Te3/2.4027.142 C-CPS - VRF CESNET-NDK C-CPS - VRF CESNET-NDK-SCAN VRF CESNET-NDK VRF CESNET-NDK-SCAN CESNET MUNI
Propojení pro projekt Národní digitální knihovna NK Klementinum 802.1Q Te3/2 R92 VRF NK-NDK MPLS CESNET R98 VRF NK-NDK-SCAN Te2/4 Te2/4 802.1Q C-ICS MPLS MUNI ICS-SRV VRF CESNET-NDK VRF CESNET-NDK-SCAN Gi2/24 802.1Q MZK NK Hostivař 802.1Q Te R84 R121 Te0/7/3/0 802.1Q Te3/2 C-CPS CPS-SRV Te6/2 802.1Q
Vytvoření zálohy pro L2 sítě rozložené přes obě lokality NK NK Hostivař VLAN A VLAN B VLAN C VLAN D NK Klementinum 802.1Q 802.1Q Te R84 Nx L2VPN R92 Te3/2 MPLS CESNET
Projekt Housing systému SAP pro více univerzit
Spolupracující organizace Univerzita Palackého v Olomouci Vysoké učení technické v Brně Vysoká škola báňská Technická univerzita Ostrava Univerzita Tomáše Bati ve Zlíně Mendelova univerzita v Brně Janáčkova akademie múzických umění v Brně CESNET, z. s. p. o.
Co bylo na počátku Domluva šesti univerzit o umístění serverů pro systém SAP na výpočetních centrech Univerzity Palackého v Olomouci a Vysokého učení technického v Brně. Ne zcela jednotný názor na způsob propojení. Různá pravidla pro přístup uživatelů k dosavadním serverům systému SAP v různých organizacích. Možnost použití VPN pro vzdálený přístup uživatelů do své mateřské sítě ve všech organizacích.
Logické propojení sítí pomocí L3 VPN Globální provoz Vše kromě směru na SAP Servery Vše, včetně směru na univerzity A až... Globální provoz SAP_VPN Pouze směr SAP Servery Univerzita A VUT SAP_VPN Globální provoz SAP Servery (Kounicova) CESNET SAP_VPN Univerzita B Globální provoz propoj mezi datacentry Globální provoz Univerzita C UPOL SAP Servery Globální provoz SAP_VPN VRF SAP UPOL Servery Univ_D Univ_A SAP_VPN Univerzita D Pouze směr na univerzity A až... Globální provoz SAP_VPN Univerzita...
Požadovaná komunikace Servery UPOL 2852:1101 2852:1101 Klienti UPOL Servery VŠB-TUO 2852:1102 2852:1102 Klienti VŠB-TUO Servery UTB 2852:1105 2852:1105 Klienti UTB Servery MENDELU 2852:1103 2852:1130 Klienti MENDELU Brno Servery JAMU 2852:1104 2852:1131 Klienti MENDELU Lednice Společná síť 2852:1103 2852:1104 2852:1102 2852:1105 2852:1101 2852:1104 Klienti JAMU
Připojení sítě se servery Servery UPOL Globální provoz Servery VŠB-TUO Servery UTB Připojení UPOL/SAP EBGP sítě se servery UPOL Gi0/5/2/1.2951 Gi0/5/2/1.2952 EBGP VŠB-TUO Export/Import 2852:1101 Export/Import 2852:1102 Servery MENDELU EBGP EBGP Gi0/5/2/1.2955 UTB Export/Import 2852:1105 Servery JAMU EBGP Gi0/5/2/1.2953 Export/Import 2852:1103 MENDELU Import 2852:1130, 2852:1131 Společná síť Gi0/5/2/1.2954 JAMU Export/Import 2852:1104
Výhody použití L3 VPN Omezení možných útoků na minimum. Útok může být proveden pouze ze sítě připojené do L3 VPN. To umožňuje relativně jednoduché řešení incidentů. Drtivou většinu nežádoucího provozu zahazuje směrovač na základě záznamů ve směrovací tabulce díky směrování neznámého provozu na NULL rozhraní a použití příkazu verify unicast source na IP rozhraních. Vynucení pravidel pro přístup do sítě. Není nutné pořizovat další síťové prvky.
Připojení FZÚ AV ČR k síti LHCONE
Spolupracující organizace Fyzikální ústav Akademie věd ČR GÉANT CESNET, z. s. p. o.
Co bylo na počátku Celosvětová síť LHC Open Network Environment (LHCONE), která propojuje významná počítačová centra gridu Worldwide LHC Computing Grid (WLCG). Požadavek FZÚ AV ČR na připojení výpočetního centra do sítě LHCONE. Linka mezi sítěmi CESNET2 a FZÚ AV ČR osazená pasivním DWDM.
Schéma směrování provozu mezi sítěmi LHCONE a FZÚ AV ČR LHCONE routes Tier2 routes LHCONE routes FZU routes Globální provoz GÉANT3 Praha EBGP LHCONE EBGP FZU 10GE 10GE Po100.111 Te7/2 DWDM 1550.12 GÉANT3 AS20965 VPN LHCONE CESNET AS2852 VPN LHCONE FZU AS65001 Tier2
Schéma fyzického projení mezi sítěmi LHCONE a FZÚ AV ČR PoP Praha_1 FZÚ GÉANT3 Praha 10Gbase-LR Po100.111 CESNET VPN LHCONE Te7/2 FZU 10GE DWDM 1550.12 10GE DWDM 1550.12 G.652, 26 km, 13 db
Statistika provozu na lince do sítě LHCONE
???
Děkuji za pozornost Služby e-infrastruktury CESNET 18.10.2013