Departement Industriële Wetenschappen en Technologie Opleiding Bachelor in de elektronica-ICT Afstudeerrichting ICT
Het ontwerp van een ideaal LAN
Eindwerk aangeboden tot het behalen van het diploma van Bachelor in de elektronica-ICT door Thomas Calcoen Thomas Quartier
o.l.v. Tom Cordemans, KHBO Gert Jacobs, ADMB
Academiejaar 2011 - 2012
KHBO Campus Oostende ● Zeedijk 101 ● B-8400 Oostende ● Tel. +32 59 56 90 00 ● Fax +32 59 56 90 01 ● www.khbo.be
Voorwoord Bij dezen willen we graag een aantal belangrijke mensen bedanken die direct of indirect invloed hebben gehad op het resultaat van dit eindwerk. Als eerste onze buitenpromotor Gert Jacobs voor alle raad, begeleiding en opvolging tijdens onze stage. IT directeur Koen Van Loo, die ons de kans gaf om ons eindwerk met de hulp van ADMB te realiseren. De leden van het netwerk team waar we altijd terecht konden met onze technische vragen en in het bijzonder Bruno Himpens. Verder willen we het KHBO en binnenpromotor Tom Cordemans bedanken voor alle ondersteuning op zowel organisatorisch als technisch vlak. Graag hadden we ook alle leerkrachten bedankt die ons geholpen hebben bij het uitbreiden van onze kennis in de afgelopen 3 jaar. Ten slotte willen we ook onze dank uiten aan onze ouders die het voor ons mogelijk maakten om deze opleiding te kunnen volgen.
Samenvatting Deze eindwerk verhandeling bespreekt het ontwerp van een ideaal LAN voor het bedrijf ADMB. ADMB is een HR groep die een gespecialiseerde informatica dienst heeft in Brugge heeft. Binnen ADMB informatica wordt deze opdracht gemaakt voor het Netwerk en Telefonie Team. Dit team houdt zich vooral bezig met het onderhoud en beheer van de gehele netwerk infrastructuur en de datacenters. Het eerste deel van dit eindwerk is het ontwerpen van een ideaal LAN zonder rekening te houden met specifieke noden van een bedrijf en de financiële kant. Hierbij werden de verschillende mogelijkheden grondig bekeken, voor- en nadelen vergeleken en een concept gemaakt van hoe volgens ons het ideale LAN eruit ziet. Van dit concept werd ook een financieel plan opgesteld waaruit de Return on Investment afgeleid werd. Hierna wordt een proof of concept gemaakt van de ideale LAN. Het is echter niet haalbaar om een volledig netwerk na te bouwen in de praktijk. Hierdoor zijn er verschillende methodes gebruikt om het concept te testen. Er zijn zowel virtuele simulatie/emulatie testen gedaan, als testen met fysieke toestellen. Dit ideale LAN is financieel echter niet te verantwoorden en bevat teveel, veelal kostelijke, elementen die voor een bedrijf niet van toepassing zijn. Vanuit het ideale LAN werd dus gekeken naar een praktische oplossing, waarbij ook rekening werd gehouden met de bestaande infrastructuur en eventuele structurele beperkingen, om tot een haalbare oplossing te komen. Opnieuw werd hiervan een Return on Investment berekend om zeker te zijn dat deze oplossing wel als haalbare oplossing kon worden voorgesteld. Een bedrijf is echter niets met enkel een plan en wat uitleg om hun gehele netwerk te veranderen. Deze migratie moet een zo klein mogelijke impact hebben op de productie en moet gestructureerd kunnen verlopen. Hiervoor werd een migratieplan opgesteld waarmee met zo weinig mogelijk downtime de huidige structuur kan worden omgezet naar de praktische oplossing die we voorstellen.
Summary This thesis dissertation discusses the design of an ideal LAN for the company ADMB. ADMB is a HR group that has a specialized IT department in Bruges. This thesis was created for the Network and Telephony Team within the IT department of ADMB. This team is mainly concerned with the maintenance and management of the entire network infrastructure and it’s datacenters. The first part of this thesis is to design an ideal LAN without taking into account the specific needs of a business and the financial side. We carefully analyze the various possibilities, advantages and disadvantages and compare them. This led to a concept of which we believe is how the ideal LAN looks like. A financial plan was created of which a Return on Investment was derived. Next we created a proof of concept of this ideal LAN. However it’s not feasible to build the entire network itself. As a result we used virtualization and emulation techniques combined with some physical devices to test the various methods and techniques we use for our ideal LAN. This ideal LAN however isn’t financially feasible and contains to many, often costly, elements that do not apply for this company. With this ideal LAN concept in mind we looked for a practical solution, also taking into account the existing infrastructure and possible structural constraints, to arrive at a solution that could be proposed. A company is nothing with just a plan and some explanation of how it should work. We also created a migration plan of how the current network could be morphed into our practical concept with the least amount of downtime and impact to the production side of the company.
Inhoudsopgave Voorwoord ...................................................................................................................... Samenvatting ................................................................................................................. Summary ....................................................................................................................... Inhoudsopgave ............................................................................................................. 5 Inleiding ....................................................................................................................... 9 1
2
Theoretische achtergrond........................................................................................ 10 1.1
Rol van een netwerk in een bedrijf .................................................................... 10
1.2
Huidige eisen van een bedrijfsnetwerk ............................................................... 10
1.2.1
Beschikbaarheid ........................................................................................ 10
1.2.2
Internet traffic .......................................................................................... 10
1.2.3
VoIP ........................................................................................................ 11
1.2.4
Video ....................................................................................................... 11
Ideale LAN-infrastructuur ........................................................................................ 12 2.1
Inleiding ........................................................................................................ 12
2.2
TCP/IP-model ................................................................................................. 12
2.2.1
Network access layer ................................................................................. 12
2.2.1.1
Hardware & bekabeling ........................................................................ 12
2.2.1.1.1
Soorten bekabeling.......................................................................... 12
2.2.1.1.2
Form factors ................................................................................... 15
2.2.1.1.3
Power supply .................................................................................. 15
2.2.1.1.4
Hot-swappable ................................................................................ 16
2.2.1.1.5
Power over Ethernet ........................................................................ 16
2.2.1.2
Vlan .................................................................................................. 16
2.2.1.3
Trunk ................................................................................................ 17
2.2.1.4
STP ................................................................................................... 17
2.2.1.5
Link aggregation ................................................................................. 18
2.2.2
Internet Layer .......................................................................................... 19
2.2.2.1
Routing .............................................................................................. 19
2.2.2.1.1
RIPv2 ............................................................................................ 19
2.2.2.1.2
EIGRP ............................................................................................ 19
2.2.2.1.3
OSPF ............................................................................................. 20
2.2.2.1.4
Besluit ........................................................................................... 21
2.2.2.2
Redundant gateway ............................................................................. 21
2.2.2.3
IPv4 / IPv6 ......................................................................................... 22
2.2.3
Transportation Layer ................................................................................. 25
2.2.3.1
UDP, TCP en poorten ........................................................................... 25
2.2.4
Application Layer ...................................................................................... 27
2.2.4.1
Proxy-servers ..................................................................................... 27
2.2.4.1.1
Proxy ............................................................................................. 27
2.2.4.1.2
Reverse Proxy ................................................................................. 27
2.2.4.2
DNS .................................................................................................. 27
2.2.4.3
DHCP................................................................................................. 28
2.2.4.4
Email / SMTP ...................................................................................... 28
2.2.4.1
Webservers ........................................................................................ 29
2.2.4.2
Andere .............................................................................................. 29
2.3
Quality Of Service ........................................................................................... 30
2.4
Wireless ......................................................................................................... 31
2.5
VoIP .............................................................................................................. 33
2.6
Lan-design ..................................................................................................... 34
2.6.1
Three tier Enterprise design........................................................................ 34
2.6.1.1
Layer 3 core ....................................................................................... 34
2.6.1.2
Layer 2 core ....................................................................................... 34
2.6.2
Collapsed backbone ................................................................................... 35
2.6.3
Besluit ..................................................................................................... 35
2.7
Datacenter ..................................................................................................... 36
2.7.1
DMZ / Security ......................................................................................... 36
2.7.2
Storage.................................................................................................... 36
2.7.2.1
SAS ................................................................................................... 37
2.7.2.2
Fiber ................................................................................................. 37
2.7.2.3
iSCSI ................................................................................................. 38
2.7.3
2.8
Virtualisatie .............................................................................................. 39
2.7.3.1
Soorten ............................................................................................. 39
2.7.3.2
Redundancy ....................................................................................... 40
Internet Edge ................................................................................................. 41
2.8.1
DMZ ........................................................................................................ 41
2.8.1.1
Security ............................................................................................. 41
2.8.1.2
Load balancing & High Availability ......................................................... 42
2.8.1.3
Caching ............................................................................................. 42
2.8.1.4
DMZ mogelijkheden............................................................................. 42
2.8.2
Firewall .................................................................................................... 43
2.8.2.1
Soorten ............................................................................................. 43
2.8.2.1.1
Type van filteren ............................................................................. 43
2.8.2.1.2
State ............................................................................................. 43
2.8.3 2.9
Management................................................................................................... 44
2.9.1
Monitoring ................................................................................................ 44
2.9.2
Back-up ................................................................................................... 44
2.9.3
Apparatuur onderhoud ............................................................................... 45
2.10
Detailed Design ............................................................................................... 46
2.10.1
De ideale LAN ........................................................................................... 46
2.10.2
Core ........................................................................................................ 46
2.10.3
Access Layer ............................................................................................ 47
2.10.4
IPv6 ........................................................................................................ 47
2.10.4.1
NAT64 & DNS64.................................................................................. 47
2.10.4.2
IPv6 tunnel ........................................................................................ 48
2.10.5
Routing .................................................................................................... 48
2.10.6
Vlans ....................................................................................................... 49
2.10.7
VoIP ........................................................................................................ 50
2.10.8
Firewall & VPN .......................................................................................... 50
2.10.9
Datacenter ............................................................................................... 50
2.10.9.1
Storage & Virtualisatie ......................................................................... 50
2.10.9.2
Demilitarized Zone .............................................................................. 51
2.10.9.3
Interne Servers .................................................................................. 51
2.10.10
Management ......................................................................................... 51
2.10.11
Back-up ................................................................................................ 52
2.10.12
Proof of concept ..................................................................................... 52
2.11
3
VPN ......................................................................................................... 43
2.10.12.1
Simulatie & Emulatie .......................................................................... 52
2.10.12.2
Virtual Switching ............................................................................... 53
2.10.12.3
IPv6-tunnel, DNS64 en NAT64 ............................................................ 55
2.10.12.3.1
Ubuntu Gateway .......................................................................... 56
2.10.12.3.2
Windows 2k8 r2 ........................................................................... 59
2.10.12.3.3
Windows 7 client.......................................................................... 59
2.10.12.3.4
Snelheidstest .............................................................................. 59
Financieel ....................................................................................................... 62
2.11.1
Kosten ..................................................................................................... 62
2.11.2
Opbrengst ................................................................................................ 63
2.11.3
ROI ......................................................................................................... 64
2.11.4
Besluit ..................................................................................................... 65
Praktische LAN- infrastructuur ................................................................................. 66 3.1
Algemeen ....................................................................................................... 67
3.2
Datacenter 1 .................................................................................................. 68
3.3
Datacenter 2 .................................................................................................. 69
3.4
Distribution racks ............................................................................................ 70
3.5
Financieel ....................................................................................................... 71
4
3.5.1
Kosten ..................................................................................................... 71
3.5.2
Opbrengst ................................................................................................ 72
3.5.3
ROI ......................................................................................................... 72
3.5.4
Besluit ..................................................................................................... 72
Migratie ................................................................................................................ 73 4.1
Algemeen ....................................................................................................... 73
4.2
Besluit ........................................................................................................... 75
Lijst van afkortingen .................................................................................................... 76 Bibliografie ................................................................................................................. 78 Bijlagen...................................................................................................................... 81 1.
Bijlage I ............................................................................................................ 81
2.
Bijlage II ........................................................................................................... 89
Inleiding Informatica systemen zijn tegenwoordig niet meer weg te denken in bedrijven. Hoe groter het bedrijf wordt hoe groter het computernetwerk wordt. Meestal begint men met enkele Pc’s onderling te verbinden om toegang tot het internet te delen, hierna komt er een printer bij, dan een server voor netwerkopslag, ... Deze natuurlijke groei van computernetwerken gebeurt meestal zonder echte structuur waardoor het netwerk na verloop van tijd 1 grote soep wordt van switches, routers, kabels en computers zonder enige vorm van hiërarchie of controle. Dit zal veel gevolgen met zich meebrengen: 1 apparaat valt uit en een gehele tak valt zonder connectiviteit, trage en slechte verbindingen, overbelasting van het netwerk, ... Uiteindelijk beslist men dan ooit om de infrastructuur aan te passen zodat deze niet alleen stabiel en altijd beschikbaar is maar ook nog steeds onder houdbaar blijft. Wanneer gezocht wordt naar mogelijke oplossingen komt men al snel tot de conclusie dat er zoveel technologieën, ontwikkelingen en mogelijkheden zijn, waardoor men snel door het bos de bomen niet meer ziet. Onze opdracht was het zoeken naar een ideale LAN-infrastructuur in één nieuw gebouw waarbij niet alleen rekening moest gehouden worden met VoIP-, management-, back-up, storage- en productie trafiek maar ook uitbreidbaarheid en IPv4/ IPv6 migratie. Hierbij moesten we advies leveren voor zowel de hardware- als software-configuratie van switches, servers, firewalls en bekabeling.
9
1 Theoretische achtergrond 1.1 Rol van een netwerk in een bedrijf De laatste jaren wordt een bedrijfsnetwerk niet enkel meer gebruikt om computers met het internet te verbinden en printers te kunnen delen. Het netwerk dient nu meer als een Unified Communications Platform (UCP). Naast traditioneel netwerkverkeer heb je nu ook Voice over IP trafiek en video trafiek voor bijvoorbeeld conferencing, ... Daarnaast kan met behulp van diverse applicaties de mobiliteit van de werknemer verbeterd worden. Vertegenwoordigers kunnen vanop hun laptop, smart Phone of tablet rechtstreeks met de bedrijfsservers communiceren en zo veel vlotter en accurater zijn tegenover de klant. Via diverse andere oplossingen kunnen medewerkers eventueel zelf vanop afstand verbinding maken met het netwerk en vervolgens van thuis uit werken op het netwerk zoals ze dit kunnen in het bedrijf zelf.
1.2 Huidige eisen van een bedrijfsnetwerk Vroeger werd telefonie en video conferencing niet beschouwd als onderdeel van het LAN. Bedrijven willen tegenwoordig echter overgaan naar een Unified Communications systeem. Dit houdt in dat zowel intern computerverkeer, communicatie met het internet, telefonie en video conferencing allemaal van hetzelfde netwerk gebruik zullen maken. Al deze toepassingen hebben elk hun specifieke eisen en behoeftes. Met deze behoeftes en eisen moet dus rekeningen gehouden worden.
1.2.1 Beschikbaarheid Doordat steeds meer werknemers afhankelijk worden van dit netwerk, is het niet toegestaan dan het uitvallen van 1 netwerkapparaat of het wegvallen van een power supply zorgt voor het uitvallen van meerdere services. Redundancy is dus zeer belangrijk geworden. Zowel op vlak van hardware als software als alle lagen ertussen.
1.2.2 Internet traffic Toegang tot het internet is bijna niet meer weg te denken, deze moet dus zeker voor handen zijn. Al moet dit verkeer geen rechtstreekse bedreiging te zijn voor de integriteit van het netwerk. Het volstaat niet om 1 enkele firewall te plaatsen om alle andere systemen te beveiligen. Het internetverkeer mag ook niet alle beschikbare bandbreedte op souperen. Een werknemer die aan het surfen is mag niet als gevolg hebben dat de gehele afdeling hiervan gevolgen ondervind.
10
1.2.3 VoIP Een telefoongesprek is een stroom van kleine, snel op elkaar volgende data-pakketjes. Deze pakketjes moeten zo snel mogelijk van punt A naar punt B gebracht worden, het liefst met zo weinig mogelijk pakketjes die hun eindbestemming niet bereiken. Doordat de pakketjes zich over het netwerk verplaatsen, is een vertraging (latency) tussen het versturen en ontvangen onvermijdelijk. Deze mag echter niet te hoog zijn op een netwerk. De vertraging door het routeren van deze voice pakketjes moet zo snel mogelijk gebeuren en deze vertraging moet ook constant zijn. Als het ene pakketjes 10ms onderweg is maar de volgende 200ms en dan die daarna weer maar eens 20ms zal het gesprek zeer moeilijk gereconstrueerd kunnen worden. Met een constante latency kan rekening worden gehouden. Wanneer de latency nagenoeg constant is kan na een kortere periode rekening worden gehouden met eventueel verloren geraakte pakketjes terwijl bij een variabele latency dit wachten alvorens een pakketje als verloren kan worden beschouwd veel langer is.
1.2.4 Video Video trafiek bestaat uit een stroom van grotere datapakketjes. Deze bevatten alle informatie over de veranderingen van het beeld in functie van de tijd. Hoe groter deze pakketjes kunnen zijn en hoe sneller ze over het netwerk gaan, hoe beter de kwaliteit zal zijn van een videostream. Bij video is dus de snelheid van het routeren en de bandbreedte zeer belangrijk.
11
2 Ideale LAN-infrastructuur 2.1 Inleiding Om zeker te zijn dat we bij het ontwerp van een ideale LAN-infrastructuur alle facetten aan bod laten komen wilden we gebruik maken van een bepaald model. Onze eerste keuze viel op het OSI-model. Dit is een gestandaardiseerd referentie-model die communicatie tussen 2 systemen beschrijft. Het OSI-model bestaat uit 7 lagen gaande van de fysieke hardware laag, de bekabeling en apparatuur, tot de applicatie laag, de programma’s en services op een apparaat. Dit model is echter te algemeen en verschillende toepassingen vallen moeilijk te plaatsen in 1 enkele laag. Om het geheel wat overzichtelijker te houden hebben we ons gebaseerd op het TCP/IP-model. TCP/IP is een verzamelnaam voor verschillende protocollen die communicatie mogelijk maken over een netwerk. Het TCP/IP-model is onderverdeeld in 4 lagen.
Fig. 2.1 TCP/IP-model versus OSI-model
2.2 TCP/IP-model TCP/IP is eigenlijk een verzamelnaam van een reeks protocollen die voor een grote meerderheid van de communicatie tussen netwerkapparatuur staan. De TCP/IP-protocol stack wordt officieel onderverdeeld in 4 lagen met elk hun functionaliteit.
2.2.1 Network access layer 2.2.1.1 Hardware & bekabeling 2.2.1.1.1 Soorten bekabeling De bekabeling in een netwerk verbindt de verschillende netwerkcomponenten met elkaar. Bij de keuze van de bekabeling moeten we met enkele factoren rekening houden zoals: snelheid, afstand, omgeving, elektromagnetische straling, … We maken eerst de vergelijking tussen de meest gebruikte soorten bekabeling. Coax Een coaxiale kabel is een kabel voor het geleiden van hoogfrequente signalen. Een coax kabel bestaat uit een binnengeleide in het midden van de kabel en een cilindervormige buitengeleider daaromheen. De 'kern' (binnenste koperen geleider) en de 'mantel' (omhullende buitenste geleider)
12
zijn de twee stroom voerende verbindingen. Doordat de assen van beide geleiders samenvallen, heffen de elektrische en magnetische velden van binnen- en buitengeleider elkaar buiten de kabel vrijwel op, waardoor weinig tot geen stoorsignalen naar binnen of naar buiten kunnen lekken. Kenmerken: Een coaxkabel heeft enkele specifieke kenmerken zoals een karakteristieke impedantie, verliezen, reflecties en een bepaalde demping. Deze kenmerken hebben ervoor gezorgd dat coaxkabels niet meer gebruikt worden in lokale netwerken. Enkel voor distributie van televisie, telefoon en internet aan consumenten wordt de bestaande infrastructuur in België nog gebruikt door Telenet. Twisted Pair Een twisted pair kabel is een veel voorkomende kabel waarbij de aders per twee rond elkaar zijn gewonden. De bedoeling is elektromagnetische interferentie ("crosstalk") te vermijden. De werking van een getwist paar berust op het principe dat een dergelijke kabel in een (homogeen) elektromagnetisch stoorveld gemiddeld geen lus oppervlakte heeft en het stoorveld dus geen stoorspanning kan induceren. De inductiespanning die in één lus wordt opgewekt wordt tegengewerkt door die van de volgende halve winding, waar de aders precies andersom liggen. Ook wordt het signaal vaak differentieel verstuurd, zodat ook capacitieve storing geëlimineerd wordt. Het aantal windingen per meter maakt deel uit van de specificaties van een type kabel. Hoe groter het aantal windingen, hoe minder men last heeft van crosstalk. We kunnen Twisted Pair kabels onderscheiden aan de hand van enkele criteria.
Soorten: o Unshielded twisted pair of afgekort UTP is de meest gebruikte kabel van allemaal. Deze kabel heeft geen elektromagnetische afscherming, de kabel bestaat dus enkel uit de draden en een omhulsel. o Foiled twisted pair (FTP) kabel is een UTP kabel omringd door een folie waardoor de bescherming tegen elektromagnetische interferentie toeneemt. o Shielded twisted pair (STP) heeft een elektromagnetische afscherming per ader paar, en heeft daardoor het minste last van elektromagnetische interferentie.
13
Categorieën o Twisted pair kabel worden ingedeeld volgens categorieën, de kenmerken per categorie zijn vastgelegd door verschillende normeringorganisaties. Hier staan de kenmerken van de meest voorkomende twisted pair kabels. o cat5 100MHz 10BASE-T (4 draden) 100BASE-TX Ethernet (2 paren) 1000BASE-T Ethernet (4 paren) o cat5e 100MHz Enhanced Cat5 Een verbeterde versie van cat5 o cat6 250MHz Standaard voor Gigabit ethernet backward compatible met Category 5/5e utp kabel Verbeterde specificaties voor crosstalk en system noise in vergelijking met cat5/5e 10BASE-T Max. 100m 100BASE-TX Fast Ethernet Max. 100m 1000BASE-T/1000BASE-TX Gigabit Ethernet Max. 100m 10GBASE-T 10-Gigabit Ethernet Max. 55m Max. 37m in een omgeving die onderhevig is aan elektromagnetische straling. o cat6e een pre-standaard voor utp cat6a. o cat6a 600MHz een verbeterde versie van cat6, waarbij de maximum afstand 100m is bij 10-Gigabit Ethernet.
Fiber/Glasvezel Bij glasvezel kabels worden signalen onder de vorm van licht verstuurd van de ene naar de andere plaats. Het licht wordt verstuurd door lange vezels van een optisch zeer helder glas. Het signaal wordt aan de ene zijde van de kabel omgezet in licht en door de kabel verstuurd. Het licht wordt dan langs de andere zijde terug opgevangen en omgezet in het oorspronkelijk signaal. In glasvezel zal het licht onder een zeer kleine hoek botsen op de mantel van de kabel waardoor reflectie in de vezel gegarandeerd is, Hierdoor kunnen signalen betrouwbaar en met hoge snelheid over grote afstanden verstuurd worden. Enkele belangrijke eigenschappen van fiber kabel zijn: Hoge treksterkte, onbrandbaar, sterk en buigzaam, geen storingen van buitenaf en niet af te luisteren met
14
elektromagnetische middelen. Voor datacommunicatie kunnen we fibers verdelen in twee soorten: Multimode- en singlemode lichtgeleiders, deze onderverdeling wordt niet gedaan op basis van eigenschappen maar op basis van de verschillen in golflengte van het gebruikte licht.
Multimode o De diameter van de kern is groter, hierdoor kunnen de zender en ontvanger minder nauwkeurig zijn en dus ook goedkoper. o Deze grotere lichtdispersie heeft deze connectie een minder hoge bandbreedte als gevolg, ook de afstand tussen de verzender en ontvanger kan niet zo groot zijn als bij Single mode fiber Singlemode o Kern is dunner waardoor de apparatuur nauwkeuriger moet zijn en dus ook duurder zal zijn. o Door de kleinere lichtdispersie verkrijgen we een grotere bandbreedte en kan ook de afstand groter zijn. o Hogere betrouwbaarheid
2.2.1.1.2 Form factors Wanneer we een switch moeten kiezen moeten we met heel wat factoren rekening houden, een van deze factoren is de vorm van de switch. Er zijn hier verschillende mogelijkheden met elk hun voor- en nadelen. Als eerste hebben we de keuze tussen een switch met een vaste configuratie- of een modulaire switch. De switch met vaste configuratie kun je niet aanpassen; je kunt er geen extra poorten bijplaatsen of geen fast ethernet poort vervangen door een gigabit ethernet poort. Deze switches zijn over het algemeen wel goedkoper dan modulaire switches waarbij je wel aanpassingen kan doen. Modulaire switches bestaan uit een chassis waarbij je aan de hand van Line kaarten poorten aan deze switch kunt toevoegen. Afhankelijk van de grote van het chassis kun je meer of minder poorten toevoegen. Een tweede belangrijke factor waar we rekening mee moeten houden is de keuze tussen stackable of non-stackable switches. Een stackable switch is een switch die op zichzelf kan werken maar waarbij ook de mogelijkheid bestaat om meerdere switches te bundelen tot een groep van switches. Deze functioneert als een enkele standalone switch maar het aantal poorten kan verhoogd worden wanneer meerdere switches gekoppeld worden. De verbinding tussen deze switches kan, afhankelijk van de fabrikant zowel met een speciale backbone kabel als met gewone utp of fiber kabels. 2.2.1.1.3 Power supply Een groot aantal switches, routers, servers en andere netwerkapparatuur kan verkregen worden met 1 of 2 voedingen. Wanneer we kiezen om met 2 voedingen te werken heeft dit grote voordelen op vlak van redundantie. Wanneer er maar 1 voeding aanwezig is hebben we te maken met een single point of failure. Er zijn verschillende soorten redundante voedingen mogelijk afhankelijk van de fabrikant.
15
2.2.1.1.4 Hot-swappable Bij heel wat netwerk apparatuur is het mogelijk om bepaalde elementen te vervangen terwijl het toestel blijft aan staan. Wanneer dit het geval is heeft dit een voordeel op het vlak van “High Availability” in een netwerk. Voorbeelden van elementen die Hot swappable kunnen zijn:
koelers Power Supply Netwerk kaarten Harddisk (bij servers)
2.2.1.1.5 Power over Ethernet Bij power over ethernet kunnen toestellen gevoed worden via de Ethernet kabel. Hierbij moeten minder kabels gelegd worden naar de verschillende toestellen. Het vermogen dat via een ethernet kabel kan getransporteerd worden is echter wel beperkt. Power over Ethernet kunnen we toepassen bij verschillende apparatuur zoals: wireless acces points, IP telefoons, webcams en switches. Er zijn twee manieren om Power over ethernet te implementeren:
PoE enabled ethernet switch
Hierbij levert de switch zelf de voeding voor het apparaat. Switches zijn verkrijgbaar met of zonder deze mogelijkheid, zo is het bijvoorbeeld niet nodig om een switch in een datacenter, die verbonden is met servers, te voorzien van deze feature.
PoE injector
Hier wordt een apart toestel gebruikt om PoE in de Ethernetkabel te injecteren, zonder dat de switch hiermee belast word.
2.2.1.2 Vlan VLAN’s geven de mogelijkheid om logische groepen te maken die handelen alsof al deze groepen hun eigen onafhankelijke netwerk zouden hebben, ook als deze groepen dezelfde infrastructuur delen. Dit kan gebruikt worden om een netwerk te scheiden in bepaalde groepen (volgens functies, departementen, projecten, …). Een van de grote voordelen bij het gebruik van vlans is de mogelijkheid om dezelfde infrastructuur te gebruiken voor verschillende netwerken. Doordat de verschillende vlans logisch gescheiden zijn is het dus niet mogelijk om te communiceren tussen verschillende netwerken zonder gebruik te maken van een toestel die werkt op laag 3. Wanneer we op een switch de vlans willen instellen hebben we twee mogelijkheden. Het is mogelijk om de switchpoorten zo te configureren dat ze behoren tot een bepaald vlan. De tweede mogelijkheid is het gebruik van een VLAN Membership Policy Server. Deze server controleert het MAC adres van het toestel die op een bepaalde poort aangesloten is, en aan de hand van dit adres zal de VMPS bepalen in welke VLAN de poort op de switch moet komen.
16
Het gebruik van vlans kent enkele voordelen:
Security
Je kunt netwerken opsplitsen aan de hand van verschillende vlans. Deze vlans kunnen op laag 2 niet met elkaar communiceren, de enige mogelijkheid om dat wel te laten gebeuren is door gebruik te maken van een toestel die kan routeren. In dit toestel kun je dan gebruik maken van ACL's om communicatie tussen verschillende netwerken wel of niet toe te laten.
reduceren van kosten
Wanneer we verschillende netwerken over dezelfde apparatuur laten werken hebben we minder apparatuur en bekabeling nodig, waardoor ook de kosten dalen.
Hogere performance
Wanneer netwerken opgesplitst worden zal het broadcast domein verkleinen. Hierdoor zal de performance toenemen.
2.2.1.3 Trunk Er bestaat een mogelijkheid om verschillende vlans over dezelfde link te laten communiceren op laag 2. Wanneer dit niet mogelijk zou zijn, zouden we tussen twee verschillende switches minimum 1 link per vlan moeten leggen en die interface dan instellen in die bepaalde vlan. Wanneer we wel meerdere vlans over 1 link willen laten communiceren, moeten we gebruik maken van een trunk. Wanneer een pakket van een bepaalde vlan over een trunk wordt gestuurd, zal dat pakket gemarkeerd worden met het vlan ID. Op die manier kan het toestel die het pakket ontvangt weten in welke vlan het pakket hoort. Er zijn twee verschillende protocollen mogelijk: IEEE 802.1q en ISL (Inter Switch Link). ISL is Cisco gebonden terwijl 802.1q een IEEE standaard is. Cisco is ondertussen zelf al afgestapt van ISL, en raadt aan om 802.1q te gebruiken.
2.2.1.4 STP In een ideaal netwerk is redundantie een belangrijke factor, dit verhoogt namelijk de beschikbaarheid van het netwerk. Deze redundantie hebben we het liefst in elke laag, ook in de network access layer. Dit betekent veelal dat er fysieke lussen worden gemaakt tussen de apparaten. Deze fysieke lussen kunnen problemen veroorzaken op laag 2, vooral bij broadcasts. Broadcasts worden door de switches ontvangen op 1 poort en doorgestuurd naar alle poorten die in dezelfde vlan zitten en alle poorten die als trunk geconfigureerd zijn. Een broadcast op laag 2 bevat geen ‘time to live’-timer zoals je op laag 3 wel hebt. Hierdoor zullen broadcast-pakketten zullen dus oneindig veel keer vermenigvuldigd en doorgestuurd worden in deze lus en het netwerk zodoende verzadigen. Dit zal grote gevolgen hebben op het gebied van performantie. Om deze lussen te vermijden kunnen we gebruik maken van het Spanning Tree Protocol (STP). STP zorgt ervoor dat er maar 1 pad bestaat tussen alle bestemmingen in het netwerk door redundante verbindingen te blokkeren, op die manier kunnen er ook geen lussen voorkomen. STP zorgt er tevens voor dat we een automatisch back-up path hebben wanneer er redundante verbindingen aanwezig zijn. Wanneer een netwerk wordt opgestart waarin STP ingeschakeld is, zullen alle switches beginnen met BPDU (Bridge Protocol Data Unit) pakketten te versturen naar alle andere
17
switches die direct verbonden zijn. Door deze pakketten te versturen zal elke switch de topologie van het netwerk leren kennen. Binnen een laag 2 netwerk wordt altijd 1 root bridge verkozen. De root bridge dient als een referentie punt voor alle spanning-tree berekeningen om uit te maken welke redundante paden geblokkeerd moeten worden. Na het verkiezen van de root bridge wordt in elke switch het beste pad naar de root bridge verkozen. Het beste pad is het pad met de laagste kost, deze kost wordt berekend door alle individuele poort kosten op te tellen van de verbinding tussen de switch en de root bridge. Afhankelijk van het beste pad naar de root bridge worden dan alle back-up paden geblokkeerd. Wanneer nu een link of een switch uitvalt, zal STP opnieuw alle beste paden berekenen, en dus ook een back-up route inschakelen.
2.2.1.5 Link aggregation Bij de meeste leveranciers van hardware apparatuur is het mogelijk om meerdere netwerk interfaces samen te voegen tot een channel. Hiermee wordt zowel de redundantie als de doorvoersnelheid verhoogd. De redundantie wordt verhoogd doordat we met meerdere links tussen twee netwerk toestellen werken. Wanneer 1 van die links uitvalt, blijft de andere gewoon verder werken. De bandbreedte wordt verhoogd tot de som van de bandbreedte van alle gebonden links. De meeste fabrikanten hebben elk hun eigen toepassing van het 'link aggregation'principe. Zo gebruikt Cisco Etherchannel en het port aggregation protocol, terwijl Nortel Multi-link trunking gebruikt, ZTE heeft Smartgroup en Huawei heeft EtherTrunk. Er bestaan ook software gebaseerde implementaties zoals BSD’s lagg-package en Linux bonding driver. Link aggregation biedt redundantie maar is gelimiteerd tot het uitvallen van een link. Wanneer een volledige switch uitvalt, kan dit niet opgelost worden door gebruik te maken van link aggregation.
18
2.2.2 Internet Layer 2.2.2.1 Routing Om communicatie tussen apparaten op verschillende sub netten mogelijk te maken moeten er routers aanwezig zijn op het netwerk. Deze routers moeten van elkaar bepaalde routes naar externe netwerken kunnen ‘leren’. Hierdoor kan een router dan een route tabel opbouwen waardoor deze dan optimaal datapakketten kan rondsturen zodat ze snel op de juiste plaats terecht komen. Er zijn verschillende routingprotocollen beschikbaar die deze taak op zich nemen. De 3 recentste zijn RIP versie 2 (RIPv2), EIGRP en OSPF. Elk protocol heeft zijn voor en nadelen. Afhankelijk van de noden, omvang en eisen van het netwerk moet worden beslist welke gebruikt moet worden. 2.2.2.1.1 RIPv2 RIPv2 staat voor Routing Information Protocol versie 2. Dit is de verbeterde versie van RIP versie 1. RIP is een distance vector protocol die zeer eenvoudig en zeer snel te implementeren is op het netwerk. De router houdt voor zichzelf bij hoe ver (aantal hops) een bepaald subnet ligt voor hem. Deze informatie stuurt hij opnieuw door naar alle andere routers. Het is niet ongewoon dat een bepaalde router van meerdere andere routers een update krijgt met een manier om hetzelfde subnet te bereiken. De route die het minste aantal hops verwijderd is van het doel zal uiteindelijk in de route tabel komen te staan. Elke router stuurt dus standaard elke 30 seconden een volledige update van zijn huidige route tabel door naar alle andere apparaten waarop hij is aangesloten. Wanneer een bepaalde link wegvalt, kan het soms dus meerdere tientallen seconden duren alvorens alle routers opnieuw een up-to-date route tabel hebben. Het is dus zeker mogelijk dat tijdens deze overgangsperiode data verloren gaat en een netwerk onbereikbaar is. Wanneer een netwerk meer dan 16 hops ver ligt wordt de route door een router gezien als ‘onbereikbaar’. De 2 routers die logisch gezien het verst van elkaar verwijderd zijn mogen dus maximum 16 routers van elkaar verwijderd zijn, dit kan dus een limiterende factor zijn voor het netwerk. Om te zorgen dat er geen lussen en verkeerde informatie terecht komen op het netwerk zorgt de router ervoor dat RIP updates op een bepaalde interface geen routes bevatten welke hij leerde via die interface, dit heet split horizon en voorkomt lussen in het netwerk. RIP updates zijn overigens ook allemaal broadcasts en gebeuren periodisch, dit is een extra belasting op het netwerk waarmee rekening moet gehouden worden. 2.2.2.1.2 EIGRP EIGRP staat voor Enhanched Interior Gateway Routing Protocol en is de verbeterde versie van IGRP. Het is een Cisco gebonden protocol wat onmiddellijk ook het eerste, en grootste, nadeel met zich meebrengt, het draait enkel op Cisco apparatuur, al het routerend materiaal zal dus Cisco apparatuur moeten zijn. Het is een Advanced Distance-Vector protocol die geoptimaliseerd is om eventuele instabiliteit van een verandering in topologie op te vangen maar ook de resources van het netwerk zo weinig mogelijk te belasten (CPU & bandbreedte). 19
EIGRP maakt gebruik van een successor & een feasible successor. Een successor is de route die gegarandeerd de kleinste afstand naar de destinatie is en geen onderdeel van een routing loop. De feasible successor is niet de kleinste afstand maar wel geen lid van een routing loop. Deze dient als back-up wanneer de successor zou falen. Bij EIGRP is de afstand naar een netwerk. De reported distance is de totale metric van een destinatie zoals de router deze kreeg van de neighbour. De feasible distance is de reported distance + de kost van de link naar die router (en dus de werkelijke cost van de gehele route). EIGRP maakt gebruik van 3 tabellen. Als eerste wordt een Neighbour tabel opgemaakt, hierin zal hij alle informatie opslaan over zijn directly connected neighbours. Vervolgens sturen alle routers hun neighbour tabels rond en maken ze aan de hand van deze tabels een topology tabel. Hierin zullen alle EIGRP routers staan van het netwerk met de verbindingen naar elkaar en informatie over de metrics naar elk netwerk die ze kunnen bereiken. Indien deze bestaan zal er ook de successor en de feasible successor bijgeplaatst zijn. Elke topologie zal gekenmerkt worden als passief of actief. Passief betekend dat de topologie stabiel is en actief betekend dat er net een verandering was en het netwerk bezig is dit op te vangen. Als laatste wordt dan aan de hand van de topologie tabel de route tabel aangemaakt. Hierin wordt de werkelijke route informatie naar alle mogelijke destinaties met hun bijbehorende successor & feasible successor geplaatst (next hop adres). EIGRP is event driven, wanneer een adjacensie (link met buur) neergaat zal deze zijn topologie aanpassen en deze doorsturen naar de buren. Deze zullen dan op hun beurt net hetzelfde doen waardoor het netwerk zeer snel en enkel wanneer het nodig is zal ingrijpen. 2.2.2.1.3 OSPF OSPF staat voor Open Shortest Path First en is een standaard. Dit wil zeggen dat alle fabrikanten dit protocol zouden moeten ondersteunen. OSPF routers verzamelen informatie over de links die andere routers hebben. Dit kan het gehele netwerk zijn of enkel binnen 1 OSPF area. Door middel van deze OSPF area’s kan een groter netwerk in meerdere logische stukken opgedeeld worden. Voor elke area dat een router behoort, bouwt hij een link state database (LSDB) met informatie over de verschillende links die de routers in dat area kennen. Uit die database wordt dan een shortest path tree gebouwd waaruit dan de route tabel kan worden gehaald. Deze LSDB wordt periodiek (standaard 30min) samen met de shortest path tree doorgestuurd naar alle naburige routers. Het gebruik van area’s kan de route tabellen op de verschillende routers vereenvoudigen. De border router, de router die 2 area’s met elkaar verbindt, zal de routes van de ene area proberen samen te vatten alvorens deze in de andere area te injecteren. Area’s zorgen niet alleen voor kleinere route tabellen maar ook bij een verandering van topologie moeten enkel de routers binnen de area waarin de verandering zich voordeed updates krijgen. Alle andere routers zullen er niets van merken. Dit kan het convergeren van een netwerk versnellen en zal het netwerk minder belasten.
20
2.2.2.1.4 Besluit Om de 3 routingprotocollen te kunnen vergelijken zetten we de voornaamste eigenschappen in een tabel naast elkaar. Tabel 2.1 Vergelijking routingprotocollen
Implementatie Uitbreidbaarheid Fabrikant onafhankelijk Belasting op netwerk Overzichtelijkheid Convergentietijd Reactietijd Stabiliteit
RIPv2 ++ + ++ (IEEE standaard) (Veel updates) (Plat netwerk) -(Tot 30sec) +
OSPF ++ ++ (IEEE standaard) + (Weinig updates) + (Opdeling in area’s) + + ( < 1ms) ++
EIGRP + + -(Cisco only) ++ (Enkel bij wijziging) (Plat netwerk) ++ ++ (< 0.25 ms) ++
Hieruit is duidelijk af te leiden dat RIPv2 niet echt een keuze is voor een netwerk waarop VoIP is geïmplementeerd. Wanneer we dan kijken naar OSPF en EIGRP zien we dat EIGRP iets sneller is op gebied van reactietijd en convergentietijd. Het grootste nadeel is dat EIGRP enkel wordt ondersteund door Cisco apparatuur, dit is meteen ook de reden waarom we kiezen voor OSPF.
2.2.2.2 Redundant gateway Om een hoge redundantie te verkrijgen binnen een netwerk is het nodig om bepaalde toestellen zoals belangrijke servers en access switches aan verschillende bovenliggende switches te koppelen. Een server kun je bijvoorbeeld aan twee access switches koppelen, en elke access switch kun je dan met 2 core switches verbinden. Wanneer dan 1 van de switches uitvalt, zal alles blijven werken via de redundante switch.
Fig. 2.2 Redundant gateway
Wanneer we nu echter bij deze redundante switches de overgang maken van layer 2 switches naar layer 3 routeren hebben we een probleem bij het instellen van een gateway. Wanneer we niet redundant werken stellen we gewoon de interface van de switch of router in als gateway en is er geen probleem, maar wanneer we wel redundant werken hebben we meerdere mogelijke gateways in dat netwerk. In een end device kunnen we echter maar 1 gateway instellen. De oplossing hier is het gebruik van een redundant gateway protocol zoals HSRP, GLBP en VRRP. Deze protocollen werken met 21
een virtuele gateway die geldig is binnen het netwerk. De verschillende protocollen regelen dan welke interface wel of niet luistert naar het virtueel gateway adres.
HSRP
Het Hot Stand-by Router Protocol is het Cisco fabrikant gebonden redundantie protocol dat in 1994 ontwikkeld werd. Het protocol kiest 1 default gateway, die al het verkeer zal transporteren en alle andere gateways komen in een back-up staat. HSRP maakt gebruik van een framework tussen routers of layer 3 switches om te ontdekken wanneer de default gateway down gaat. Er worden multicast pakketten verstuurd tussen de verschillende HSRP routers, waarbij de prioriteit vastgelegd wordt. De primaire router met de hoogste prioriteit zal alle pakketten routeren en antwoorden op ARP requests naar het virtueel IP-adres. Wanneer de primaire router faalt, zal de router met de tweede hoogste prioriteit overnemen na een bepaalde tijd afhankelijk van de Hello timer en de Hold timer. Standaard is de Hello timer 3 seconden en de Hold timer 10 seconden.
VRRP
Het Virtual Router Redundancy Protocol is een niet priopritair redundantie protocol ontwikkeld bij IEFT in 1999. Het principe is hetzelfde als bij HSRP, er wordt 1 gateway verkozen, en alle andere zijn back-up gateways. Standaard is de Hello timer hier 1 seconde, en de Hold timer 3 seconden. HSRP en VRRP gebruiken maar 1 gateway, en zijn dus niet efficiënt wanneer. Alle andere gateways blijven in de back-up state en worden dus niet gebruikt. Om dit te verbeteren kunnen we gebruik maken van GLBP (zie verder) of kunnen we de HSRP of VRRP prioriteit per vlan anders instellen zodat niet 1 gateway gebruikt wordt voor alle vlans, maar dat we per vlan een andere gateway kiezen.
GLBP
Gateway Load Balancing Protocol is een Cisco gebonden protocol die een verbetering is van HSRP. Zoals de naam zegt kun je met dit protocol de netwerkpakketten balanceren tussen verschillende fysieke gateways. Bij GLBP wordt 1 Active virtual gateway (AVG) verkozen afhankelijk van de prioriteit van de router. Deze AVG is verantwoordelijk om op alle ARP requests te antwoorden in het netwerk. Deze verdeelt de belasting op de mogelijke gateways, door gericht te antwoorden op ARP-requests met de verschillende mac-adressen. Er kunnen tot 4 verschillende gateways gebruikt worden om te load balanceren. Wanneer de AVG faalt, zal een andere router deze taak overnemen afhankelijk van de prioriteit.
2.2.2.3 IPv4 / IPv6 Doordat het internet steeds groter wordt raken de 4,3 miljard IPv4-adressen uitgeput. Dit komt door factoren zoals de bevolkingsgroei en het toenemende aantal mobiele toestellen die op het internet aangesloten zijn. Op 3 februari 2011 heeft IANA (Internet Assigned Numbers Authority) de laatste IPv4-adres blokken toegewezen. Bij het ontwerpen van een netwerk is het dus noodzakelijk om rekening te houden met het feit dat we binnenkort de overgang naar IPv6 moeten maken. Het grootste voordeel van IPv6 en de reden waardoor het noodzakelijk is, is het aantal beschikbare adressen. IPv6 is een bijna onuitputtelijke bron waarmee elke bewoner van de aarde 50 quadriljoen adressen beschikbaar heeft. IPv6 heeft ook nog andere voordelen dan enkel het hogere aantal beschikbare IP adressen zoals betere routing, netwerk-autoconfiguratie, het overbodig 22
maken van NAT (network address translation), gegevensbeveiliging op IP niveau, betere Quality of Service mogelijkheden en de ondersteuning van mobiele nodes. Een IPv6-adres bestaat uit 128 bits waarbij elk LAN een /64 netwerk toegewezen krijgt, er zijn dus 264 mogelijke adressen per netwerk. Een bedrijf krijgt een /48 netwerk toegewezen, dit maakt het mogelijk om de bits 49 tot 64 te gebruiken om het bedrijfsnetwerk op te delen in meerdere segmenten. Een 128-bits IPv6-adres wordt voorgesteld door hexadecimale getallen waarbij 8 groepen van 4 getallen gemaakt worden en deze groepen worden gescheiden door een dubbelpunt “:”. Vroeg of Laat zullen alle bedrijven de overgang moeten maken naar IPv6. De vraag is hoe deze overgang het best gemaakt kan worden. Het is niet zo dat iedereen van de ene op de andere dag de overgang maakt, er zal een hele tijd dual stack gewerkt worden op het internet. Zolang niet alles via IPv6 toegankelijk is, moeten we gebruik maken van enkele methodes om zowel over IPv4 als IPv6 bereikbaar te blijven. Heel wat methodes zijn beschreven door de IETF organisatie. Binnen het bedrijf kunnen we kiezen om volledig IPv4-only, volledig IPv6-only of dual stack te werken. Dual Stack Wanneer dual stack wordt geïmplementeerd in een netwerk, werken IPv4 en IPv6 parallel. Netwerkapparatuur moet in staat zijn om zowel IPv4 als IPv6 pakketten te verwerken. Het is dan de bedoeling dat alle end devices op het netwerk ook beide protocollen ondersteunen. Wanneer dit niet het geval is, is er nog steeds nood aan een vertalingsmechanisme (zie verder) zodat alles met zowel IPv4 als IPv6 in het lokaal netwerk en op het internet kan communiceren. Wanneer tijdens communicatie tussen verschillende toestellen beide versies ondersteund worden, dan wordt de voorkeur gegeven aan IPv6. Netwerk apparatuur kan de IP versie eenvoudig herkennen aan de hand van het IP versienummer die zowel in de IPv4 als in de IPv6 header voorkomen. Tunneling Wanneer we gebruik maken van tunneling is het mogelijk om tussen meerdere netwerken die met dezelfde IP versie werken te communiceren over een netwerk die met een andere IP versie werkt. Zo is het mogelijk om IPv4 netwerken te laten communiceren via een IPv6 tunnel en omgekeerd. Een tunnel kan manueel ingesteld worden bijvoorbeeld tussen verschillende kantoren van hetzelfde bedrijf. Maar het is ook mogelijk om deze tunnels dynamisch te laten maken tijdens de communicatie. Een mogelijk toepassing is wanneer je gebruik maakt van een IPv6 toestel, en je wilt over het internet verbinding maken met een IPv6 server. Terwijl de route op internet nog niet overal IPv6 ondersteund. Er bestaan verschillende methodes om dit principe te gebruiken:
4in6 o o 6in4 o o 6to4
IPv4 communicatie over een IPv6 netwerk IPv4 pakketten worden ingepakt in en IPv6 header IPv6 communicatie over een IPv4 netwerk IPv6 pakketten worden ingepakt in een IPv4 header
23
o o o
Eenvoudigste manier om IPv4-only hosts te laten communiceren over een IPv6 netwerk Laat automatische IPv6 naar IPv4 vertaling toe Behandeld het netwerk als een groot non-broadcast Multi access (NBMA)netwerk in plaats een verzameling onafhankelijke tunnels Het adres prefix "2002:" is gereserveerd voor 6to4 adressen.
o 6over4 o IPv6 communicatie over een IPv4 netwerk o Maakt gebruik van multicast enabled netwerk o IPv4 wordt gebruik als een virtuele Data Link Layer om waarover IPv6 kan communiceren. o Voor gebruik binnen een organisatie o Deze techniek is minder goed ontwikkeld doordat IPv4 multicast weinig wordt gebruikt ISATAP o Intra-Site Automatic Tunnel Addressing Protocol o Bedoeld om IPv6 pakketten tussen dual stack nodes over een IPv4 te versturen o In tegenstelling tot 6 over 4 wordt het IPv4 netwerk hier gezien als een virtual non-broadcast multiple-access network (NBMA) data link layer. Hierdoor is het niet nodig dat het IPv4 netwerk multicast ondersteunt.
Translation Wanneer we willen communiceren tussen verschillende IP versies is het noodzakelijk om een vertaling te maken. Deze vertaling gebeurt in de netwerk-, transport- en applicatielaag van het TCP/IP model
24
2.2.3 Transportation Layer 2.2.3.1 UDP, TCP en poorten Om een operationeel netwerk draaiende te houden zullen diverse services met elkaar communiceren. Deze services doen dit doormiddel van UDP en/of TCP pakketten. In de firewall zullen sommige van deze services moeten worden tegengehouden terwijl andere onder bepaalde voorwaarden toch moeten worden doorgelaten. Dit kan afhankelijk zijn van de source of destinatie van het pakketje, de inhoud ervan of specifieke regels. Wanneer 2 applicaties op verschillende apparaten een verbinding met elkaar opzetten gebeurt wordt een virtuele tunnel aangemaakt. Deze tunnel begint van een poort op het ene apparaat naar een poort op de andere. Dit zijn softwarematige poorten en worden door het besturingssysteem beheerd. Wanneer een ethernet pakket toekomt op de netwerkinterface weet het besturingssysteem aan de hand van deze poort voor welke service of applicatie het pakket bedoeld is. Als een gebruiker nu bijvoorbeeld meerdere verbindingen met verschillende servers heeft, zal het besturingssysteem van de gebruiker door deze poorten precies weten elk toegekomen pakketje aan welke service moet bezorgd worden. Er zijn 65536 mogelijke TCP- of UDP-poorten. Dit zijn dus 65536 mogelijke gaten in een netwerk. Toegang tot een systeem, via een poort, mag niet zomaar worden toegestaan. Het netwerkverkeer moet dus gecontroleerd worden op de verschillende poorten. Poort 0 tot 1023 zijn poorten die gebruikt worden door fundamentele applicaties en worden toegekend door IANA. Deze poorten mogen enkel door de applicaties gebruikt worden waaraan ze zijn toegekend. Poort 1024 tot 49151 worden gebruikt door applicaties en kunnen geregistreerd worden ook door IANA. Poort 49151 tot 65535 kunnen dynamisch worden toegekend voor de duur van een bepaalde sessie en mogen door het besturingssysteem of de programma’s vrij gebruikt worden op een systeem.
25
Vaak gebruikte poorten zijn:
20/TCP: File Transfer Protocol (FTP) 21/TCP: FTP Control 22/TCP: Secure Shell (SSH) 23/TCP: Telnet 25/TCP: Simple Mail Transfer Protocol (SMTP) 53/UDP: Domain Name System (DNS) 67/TCP: DHCP Server 68/TCP: DHCP Client 69/UDP: Trivial File Transfer Protocol (TFTP) 80/TCP: Hypertext Transfer Protocol (HTTP) 110/TCP: Post Office Protocol (POP3) 119/TCP: Network News Transfer Protocol (NNTP) 137/TCP: Net BIOS Name Service 139/TCP: Net BIOS Datagram Service 143/TCP: Internet Message Access Protocol (IMAP) 389/TCP: Lightweight Directory Access Protocol (LDAP) 443/TCP: SSL/HTTPS 569/TCP: Multiple Subscriber Number (MSN) 993/TCP: IMAP protocol over TLS/SSL 995/TCP: POP3 protocol over TLS/SSL 3389/TCP: Remote Desktop Protocol (RDP) 5800/TCP: Virtual Network Computing (VNC) 5900/TCP: Virtual Network Computing (VNC)
De lokale firewall op een apparaat kan deze poorten blokkeren of toelaten. Het toelaten van een bepaalde poort is als het ware een gat maken in de firewall. Dit kan dus een beveiligingsrisico zijn. Vooral op servers is het dus belangrijk dat enkel de poorten open staan die moeten open staan en dat de rest geblokkeerd wordt. Hoe minder poorten open zijn, hoe moeilijker het wordt om vanop afstand kan geprobeerd worden om binnen te geraken.
26
2.2.4 Application Layer 2.2.4.1 Proxy-servers 2.2.4.1.1 Proxy Een proxyserver is een server die werkt als een buffer tussen het interne netwerk en het internet. Wanneer een interne gebruiker naar een locatie op het internet wil surfen of verbinding wil maken met een ftpserver bijvoorbeeld. Dan zal dit via deze proxyserver gebeuren. Het gebruik van een proxyserver heeft verschillende voorbeelden. Zo kan er caching toegepast worden. Pagina’s die regelmatig en door meerdere gebruikers worden bezocht kunnen worden opgeslagen in het geheugen. Hierdoor moet niet telkens een aanvraag gestuurd worden naar de website. De proxyserver zal gewoon de data vanuit het geheugen laden en de gebruiker zal dus rapper de opgevraagde data toegestuurd krijgen. Proxyservers kunnen ook ingesteld worden om authenticatie te vragen. Een gebruiker kan dat niet zomaar toegang krijgen tot het internet via deze server. Hij dient eerst zichzelf kenbaar te maken en aantonen dat hij toegang heeft alvorens de proxyserver de aanvraag zal doorsturen naar het internet. Het laatste voordeel is dat de proxyserver alle aanvragen en gebeurtenissen kan opslaan in logfiles. Hiermee kan eventuele problemen en gebeurtenissen steeds worden opgevraagd. 2.2.4.1.2 Reverse Proxy Een reverse proxyserver werkt ongeveer op dezelfde manier als de proxyserver alleen zal deze externe gebruikers toegang verschaffen aan interne servers, in plaats van interne gebruikers toegang te verschaffen tot het internet en servers op het internet. Hiermee kunnen deze interne servers beveiligd worden en ook een stuk ontlast worden door de caching mogelijkheid van de server. Door de logging mogelijkheid kan ook indien er regelmatig problemen of onregelmatigheden zijn eenvoudig uitzoeken wat er precies gebeurd.
2.2.4.2 DNS DNS staat voor Domain Name Service en is een client-serversysteem. Een aanvraag gebeurt steeds van de gebruiker naar de server. De service zorgt voor de vertaling van een FQDN (Fully Qualified Domain Name) naar een IP-adres en omgekeerd. Dit vertalen is eigenlijk gewoon opzoeken in een tabel naar de overeenkomstige waarde. Wanneer een naam moet worden omgezet in een IP-adres heet dit een look-up, wanneer een IP-adres moet worden vertaald naar een naam heet dit een reverse look-up. Een waarde in een tabel waar een naam gelinkt wordt aan een IP-adres heet een record. Dit IP-adres kan een IPv4-adres zijn of een IPv6-adres. Een A-record is het vertalen van een naam naar een IPv4-adres terwijl een AAAA-record een vertaling is van een naam naar een IPv6-adres. De reverse look-up maakt gebruikt van PTR-records (pointers), deze zijn als het ware records van IP-adressen die verwijzen naar een naam.
27
Voor IPv4 wordt dit PTR-record opgebouwd uit het omgekeerde van het IP-adres met daarachter .ipv4.in-arpa. Voor IPv6 gebeurt net hetzelfde maar wordt elk getal op zich gelezen en niet per stuk zoals bij IPv4. 51.50.49.48 heeft als PTR-record dus 48.49.50.51.in-addr.arpa. en 2001:db8:1::1 (2001:0db8:0001:0000:0000:0000:0000:0001) heeft als PTR-record 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.1.0.0.0.8.b.d.0.1.0.0.2.ip6.arpa. Het grote voordeel is dat hiermee een apparaat een bepaalde naam kan krijgen terwijl het IP-adres steeds kan veranderen. Zolang de records maar in orde zijn op alle DNSservers van het domein zal de gebruiker steeds het juiste IP-adres krijgen.
2.2.4.3 DHCP DHCP staat voor Dynamic Host Configuration Protocol. Dit is een netwerkprotocol dat instaat voor het configureren van clients en het uitdelen van IP-adressen uit een bepaalde range (of ranges). Wanneer een PC wordt aangezet zal deze een DHCPDiscover netwerkpakket uitsturen. Alle apparaten in hetzelfde ethernet-segment zullen dit pakket ontvangen. Enkel de DHCP-servers horen hierop te reageren, de rest zal dit pakket negeren. Wanneer in dat segment zich een DHCP-server staat zal deze DHCPoffer pakket sturen. Wanneer de gebruiker dit pakket ontvangt weet hij nu precies van wie hij een IP-adres zal krijgen en stuurt naar dat het IP-adres van de DHCP-server een unicast DHCP-request. De server zal vervolgens reageren met een DHCP-ack (acknowledge = bevestiging) en zal de overige netwerkinstellingen doorsturen. Dit kunnen het gateway adres, netmask en het adres van de DNS-servers zijn. Wanneer meerdere DHCP-servers zich bevinden op het netwerk, zal de gebruiker onderhandelen met de eerste DHCP-server van wie hij een DHCP-offer krijgt. Bij een fout in de transactie zal de DHCP-server een DHCP-nak pakket sturen (Not aknowledged = niet bevestigd). Er bestaat ook een DHCPv6 protocol, deze is gemaakt voor het verdelen van IPv6adressen maar niet uitsluitend daarvoor. Wanneer men gebruik maakt van de autoconfig mogelijkheid kan DHCPv6 ook gebruikt worden om de gebruiker van overige configuratie waarden te voorzien (DNS-servers & gateway).
2.2.4.4 Email / SMTP Email is tegenwoordig niet meer weg te denken uit onze cultuur. Elk bedrijf zal meestal elke gebruiker een eigen emailadres geven. Dit emailadres is als het ware een verwijzing naar een inbox op een email server. Om e-mails te kunnen ontvangen en verzenden moet het bedrijf POP3- of IMAP-servers voorzien en SMTP-servers. De POP3- of IMAPservers kunnen uit veiligheidsoverwegingen enkel vanaf het interne netwerk bereikt worden door de gebruikers. Alle toegang van buitenaf is dus af te raden. De SMTP-server zal mails ontvangen die bestemd zijn voor de emailadressen van het bedrijf. Andere emailservers zullen deze server dus moeten kunnen bereiken. Het is dus opnieuw aangeraden om deze twee soorten servers fysiek gescheiden te houden van elkaar.
28
2.2.4.1 Webservers Webservers zijn servers die via het netwerk een http-request zal ontvangen en documenten naar de gebruikers zal sturen. Deze webservers kunnen ondersteuning bieden aan verschillende serverside programmeertalen zoals PHP en ASP.net. Deze programmeertalen kunnen op hun beurt communiceren met databases en zullen de opgevraagde documenten dynamischer maken. De bedrijfswebsite zal op zo’n webserver staan en moet vanaf het internet toegankelijk zijn. Er zijn echter ook steeds meer interne webservers die toegang tot het bedrijfsportaal voorzien aan de interne gebruikers. Deze interne portaalsites bevatten alle nodige informatie van het bedrijf zoals veiligheidsvoorschriften, telefoonnummers, emails,… maar kunnen ook dienen als uitwisseling van informatie tussen de verschillende collega’s. De webserver waarop de bedrijfswebsite staat moet vanaf het internet bereikbaar zijn. Deze kan dus een potentieel doelwit zijn van hackers, het is dus aangeraden om de webserver voor de website en de webserver voor de interne portaalsite gescheiden te houden van elkaar.
2.2.4.2 Andere Er zijn nog verschillende andere soorten applicaties en services die een bedrijf nodig heeft. Wanneer men zo’n service wil aanbieden moet het bedrijf zeer voorzicht tewerk gaan. Welke gebruikers moeten toegang hebben tot deze service en hoe kan ik deze zo veilig mogelijk verschaffen zonder het gehele netwerk in gevaar te brengen hiermee.
29
2.3 Quality Of Service Wanneer we in een netwerk te maken hebben met kritische data zoals VoIP en video wordt Quality of Service belangrijk. Wanneer de QoS niet voldoet in een netwerk kan dit diverse oorzaken hebben:
Low throughput Wanneer de netwerk performance niet voldoet en het netwerk dus overbelast wordt, is het mogelijk dat sommige real-time toepassingen niet of nauwelijks werken. Dropped packets Routers en andere netwerk apparatuur kunnen falen om sommige pakketten te leveren. Deze pakketten worden dan gedropt als de TTL (Time To Live) verstreken is. Errors Pakketten die over een netwerk vloeien kunnen tijdens het transport ervan errors opnemen. Het pakket dat bij de ontvanger aankomt, is dan niet gelijk aan het pakket dat oorspronkelijk verzonden is. Deze errors kunnen veroorzaakt worden door bit-fouten ten gevolge van factoren zoals noise en interferentie. Het TCP/IP protocol vermijdt dat slechte pakketten verder gestuurd worden aan de hand van een error-check. Latency Dit is de tijd die verstrijkt tussen het verzenden en ontvangen van een pakket. Jitter Dit is de variatie van de latency, wanneer de jitter groot is wil dat zeggen dat he ene pakket veel trager aankomt dan het andere.
Een goede QoS kan bereikt worden aan de hand van een groot aantal technologieën en technieken. Door gebruik te maken van deze technologieën en technieken kunnen we bepaalde soorten netwerk verkeer, gebruikers of applicaties voorrang geven op andere. Een eerste belangrijke punt is de capaciteit van het netwerk. Wanneer dit niet voldoende is zal het bijvoorbeeld wel mogelijk zijn om het VoIP verkeer voorrang te geven, maar dit zal ten koste gaan van ander verkeer. Het is dus belangrijk dat de capaciteit van het netwerk voldoende is. Zonder dit is het onmogelijk om al het verkeer voldoende QoS te geven. Wanneer de capaciteit van het netwerk veel groter is dan nodig (Overprovisioning) en het netwerk is stabiel, dan zal al het verkeer vlot over het netwerk gaan en is het niet nodig om nog veel QoS in te stellen. Deze oplossing is toepasbaar voor netwerken met een voorspelbare en lichte belasting. Voor zwaar belaste netwerken wordt dit principe te duur en is het beter om gebruik te maken van QoS technologieën. Wanneer we QoS van dichter bekijken kunnen we dat op twee manieren benaderen:
Integrated Services (IntServ), hierbij maken de applicaties gebruik van het (resource reservation protocol) om bandbreedte te reserveren langs het volledige netwerk. Differentiated Services (DiffServ), hier worden pakketten individueel gekwalificeerd en gemarkeerd. Alle beslissingen worden individueel per node in hen netwerk gemaakt.
Tegenwoordig word DiffServ het meest gebruikt, pakketten worden gemarkeerd afhankelijk van de service die ze nodig hebben. Daarna worden ze door routers en
30
switches individueel in wachtrijen geplaatst en verzonden in een volgorde die afhankelijk is van de markeringen. Op de IP laag kunnen we gebruik maken van “Differentiated services code point” (DSCP) die gebruik maakt van de 6 bits in de IP header om pakketten te markeren. Daarnaast kunnen we op de MAC layer gebruik maken van het 3 bit 802.1p veld in de 802.1Q VLAN header om pakketten te markeren. Routers en switches kunnen verschillende mechanismes gebruiken om de forward beslissingen te nemen op basis van de markering van een pakket.
2.4 Wireless Door het toenemende gebruik van draadloze toestellen is het belang van een goed draadloos netwerk belangrijk in bedrijven toegenomen. Bij het design moeten we extra aandacht besteden aan security, een draadloos netwerk wordt namelijk niet begrensd door een muur of het einde van een bedrijfsterrein. Hierdoor zijn aanvallen van buitenaf mogelijk, zo kunnen hackers binnendringen in het bedrijfsnetwerk. Een eerste keuze die we kunnen maken bij de implementatie van een draadloos netwerk is: laten we draadloze gebruikers op het intern bedrijfsnetwerk toe of geven we de draadloze gebruikers enkel toegang tot internet. Het is bijvoorbeeld mogelijk om een volledig aparte internet connectie bij de ISP aan te vragen en daar een volledig gescheiden draadloos netwerk mee te verbinden. Op deze manier is er geen risico dat hackers via het draadloze netwerk inbreken op het bedrijfsnetwerk. Daarnaast kunnen de gebruikers die dit wensen toch via een VPN verbinding via het internet verbinding maken met het bedrijfsnetwerk. Wanneer we de eerste optie kiezen, dus het draadloos netwerk volledig geïntegreerd in het bedrijfsnetwerk dan moet de beveiliging veel strenger zijn. De data die draadloos verstuurd en ontvangen gaat door de ether, hierdoor kan iedereen binnen een bepaald bereik deze data sniffen of capteren. Het is dus belangrijk om gebruik te maken van encryptie wanneer we draadloos communiceren.
MAC filtering Een van de eenvoudigste beveiligingstechnieken is MAC filtering. Hierbij wordt enkel toegang toegestaan tot eind toestellen met een gekend MAC adres. Dit is geen beveiliging tegen sniffen en een MAC adres kan vrij eenvoudig nagebootst worden (MAC spoofing).
802.11 o WEP Wired Equivalent Privacy encryptie is de originele standaard voor draadloze netwerken. WEP gebruikt een vaste sleutel met een lengte van 128 tot 256 bits, hoe langer de code hoe moeilijker het is om de versleuteling te breken. WEP kent ondertussen al heel wat gebreken en kan met behulp van de nodige software in enkele minuten gekraakt worden. WEP wordt ondertussen als verouderd beschouwd. o WPAv1 De eerste versie van het Wi-Fi Protected Access protocol werd ontworpen als een tussenliggende oplossing om de gebreken van WEP te verhelpen. WPAv1 wordt gezien als een deel van de 802.11i standaard. Het gebruikt 31
in tegenstelling tot WEP een sleutel die constant verandert. WPA is een software/firmware verbetering tegen over WEP. Draadloze netwerk toestellen die WEP ondersteunen kunnen dus na een firmware update ook WPA ondersteunen. WPA is bedoeld om gebruikt te worden met een 802.1x authenticatie server (WPA Enterprise) maar kan ook gebruikt worden met een Pre-Sharedkey (PSK) (WPA personal). 802.11i o WPAv2 De tweede generatie van het WPA security protocol is een verbeterde versie van WPAv1 en heeft de 802.11i standaard volledig geïmplementeerd. 802.11i maakt gebruik van het “Advanced Encryption Standard block cipher” terwijl WEP en WPAv1 gebruik maken van “RC4 stream cipher”. Hierdoor wordt de encryptie nog verbeterd tegenover de vorige standaard. o Toevoegingen aan WPAv1 en WPAv2: TKIP TKIP staat voor Temporal Key Integrity Protocol, dit is een deel van de IEEE802.11i standaard. TKIP implementeert per-packet key mixing met een re-keying systeem en voorziet ook een message integrity check. EAP De verbetering die WPA met zich meebrengt tegenover de IEEE 802.1X standaard heeft de authenticatie en autorisatie al verbeterd van zowel bekabelde als draadloze netwerken. Er zijn toch nog enkele extra toevoegingen zoals het “Extensible Authentication Protocol” (EAP) die de security nog verbetert. EAP maakt gebruik van een authenticatie server. In 2002 zijn enkele tekortkomingen gevonden van EAP waarna nog verbeterde versies van EAP uitgekomen zijn met de naam Extended EAP. Hiervan bestaan heel wat versies zoals LEAP, EAP-FAST en EAP-TTLS. PEAP PEAP staat voor “Protected Extensible Authentication Protocol” en is ontwikkeld door Cisco, Microsoft en RSA Security. PEAP laat het veilig transporteren van data, encryptie sleutels en paswoorden toe zonder het gebruik van een certificaatserver. Er bestaan nog andere types die gebaseerd zijn op EAP framework, deze versies zullen we hier niet bespreken. WPA personal WPA personal, ook WPA-PSK genoemd maakt men gebruik van WPA zonder authenticatieserver. WPA personal maakt gebruik van een vooraf ingestelde PreSharedkey. Dit is aangeraden voor thuisgebruik en gebruik in kleine bedrijven. WPA Enterprise WPA Enterprise is ontworpen voor gebruik in Enterprise netwerken. Hier maakt men gebruik van WPA met radius authenticatieserver. Een authenticatieserver maakt gebruik van het Extensible Authentication Protocol (EAP) die in verschillende versies bestaat. End-to-End encryptie Om data communicatie nog veiliger te maken kunnen we gebruik maken van encryptie en autorisatie in de applicatie laag door gebruik te maken van technologieën zoals SSL, SSH, PGP, … 32
Naast verschillende beveiligingstechnieken hebben we ook een keuze tussen verschillende systemen om een draadloos netwerk te implementeren. Als eerste hebben we de autonomous access points, hierbij gebeurt het management van elke access point afzonderlijk. Ook de security wordt per access point geconfigureerd en beheert. Wanneer we gebruik maken van deze optie is de aankoopprijs niet zo hoog, maar het onderhoud wordt een zeer dure zaak. Een tweede optie die we hebben is het implementeren van een controller-based draadloos systeem. Hier wordt het instellen en beheren gecentraliseerd op een controller die in verbinding staat met alle access points. Op deze manier moeten de access point minder geavanceerd zijn dan wanneer we kiezen voor de eerste optie. Ook is het installeren van een wireless intrusion prevention systeem eenvoudiger dan bij de eerste optie. Wanneer we dit systeem willen implementeren is de aankoopprijs over het algemeen hoger, maar dit wordt dan gecompenseerd door het vereenvoudigen en dus ook goedkoper maken van het onderhoud. Als laatste kunnen we ook kiezen voor access points die gebruik maken van een losse voeding of via Power Over Ethernet. Wanneer we PoE gaan gebruiken is de prijs van de switch duurder, maar hebben we heel wat minder bekabeling en stopcontacten nodig in het bedrijf.
2.5 VoIP Bij Voice over IP of VoIP wordt het internet of een ander IP-netwerk gebruikt om spraak te transporteren. Dit heeft als grote voordeel dat telefonie niet langer via een apart netwerk moeten gebeuren. Er is slechts 1 infrastructuur meer nodig. De term “VoIP” wordt vaak verkeerd gebruikt om de eigenlijke overdracht van geluid te wijzen in plaats van het protocol ervan.
Voordelen Het bedrijfs-telefoonnummer kan gekoppeld worden aan een IP-adres of een gebruikersnaam en wachtwoord. Het geheel is dus zeer flexibel en locatie onafhankelijk. Vooral wanneer men VoIP implementeert in een groot gebouw is de kost die je kunt uitsparen door het voice-verkeer en dataverkeer over dezelfde infrastructuur te laten lopen.
Nadelen Het klassieke datanetwerk zijn oorspronkelijk niet ontworpen om spraak te transporteren. Voor spraaktransport zijn enkele strenge eisen die voldaan moeten worden. Vooral de vertraging is een hinderlijke factor om te zorgen dat het een ‘vloeiend gesprek’ kan zijn. Om te zorgen dat de vertraging zo klein mogelijk is en dat de betrouwbaarheid zo groot mogelijk is, moet men gebruik maken van Quality of Service. Dit impliceert dus dat alle switches in het netwerk waar VoIP passeert dit mechanisme moet ondersteunen. Toestellen die VoIP ondersteunen hebben vaak een eigen stroomvoorziening nodig. Dit kan vooral een probleem vormen voor alarmlijnen. Als de stroom wegvalt, is er een telefonie meer mogelijk. Er bestaan echter VoIP toestellen die beschikken over Power over Ethernet (PoE). Hierbij wordt de netwerkkabel gebruikt als stroomvoorziening. De netwerkapparatuur waaraan deze VoIP-telefoons worden aangesloten moeten in dat geval dus PoE ondersteunen, wat een invloed is op de prijs.
33
2.6 Lan-design 2.6.1 Three tier Enterprise design 2.6.1.1 Layer 3 core Hier bestaat de core-laag uit switches die eveneens kunnen routeren. Ze werken dus op zowel laag 2 als laag 3. De verbindingen tussen de core en distribution laag bestaat uit point-to-point verbindingen. Dit heeft als voordeel dat netwerkverkeer zeer gericht kan worden gestuurd van 1 punt naar de andere zonder dat elke distribution switch er last van krijgt. Ook worden broadcast domeinen beperkt van de Pc’s tot aan de distribution switch. Core switches zullen nooit last hebben van broadcasts. Het gebruik van layer 3 core en distribution switches ontlast ook het gehele netwerk en zorgt voor een veel hogere redundancy. Het netwerk steunt niet langer op 1 of 2 apparaten voor alle routering maar alle core en distribution switches op zich kunnen de pakketten routeren.
Fig. 2.3 Enterprise design with L3 core
Naast redundancy en ontlasting van het netwerk stijgt ook de uitbreidbaarheid. Wanneer een nieuwe tak moet worden toegevoegd moet men dit gewoon zien als een nieuwe distribution-tak. Een verbinding naar elke core-switch is het enige wat er in principe nodig is om ervoor te zorgen dat het nieuwe gedeelte toegang krijgt tot het netwerk. Een bijkomend voordeel van het gebruik van routerende apparatuur in de distributie laag is dat wanneer de volledige core wegvalt, de pc’s lokaal wel nog steeds tussen de verschillende vlans zullen kunnen communiceren doordat de distribution switches nog steeds het routerende werk kunnen uitvoeren. Hierdoor zullen eventueel lokale servers nog steeds beschikbaar kunnen zijn. Servers kunnen rechtstreeks op de core switches worden aangesloten i.p.v. er distributie switches nog tussen te plaatsen waarmee de snelheid bij client – server connecties iets sneller wordt.
2.6.1.2 Layer 2 core Hier zit alle routerende logica in de distributie. De core dient enkel en alleen om snel pakketten van de ene naar de andere locatie te vervoeren. Dit heeft als voordeel dat de verbinding tussen verschillende distributielagen sneller is dan de voorgaande oplossing. Dit wil echter wel zeggen dat elke verschillende locatie duurdere distributie switches zal moeten hebben. Hier zal de core wel veel meer broadcasts te verwerken krijgen.
Fig. 2.4 Enterprise model with L2 core
34
2.6.2 Collapsed backbone De core en distributie laag zijn in deze oplossing worden gezien als 1 geheel. Er wordt gebruik gemaakt van het Multi Chassis – Link aggregation principe. Link aggregation is het samennemen van 2 of meer poorten en deze gebruiken als 1 logische poort met een hogere bandbreedte en redundancy als gevolg. Het Multi Chassis principe stelt 2 of meer switches in staat elkaars poorten te gebruiken voor deze Link aggregation. Hierdoor krijg je nog een extra laag redundancy bij. Als een van de apparaten sneuvelt, sneuvelen enkel de poorten van de LAG op die ene switch. Voor de andere apparaten zullen deze 2 switches gezien worden als 1 geheel.
Fig. 2.5 Collapsed core/distribution
Het nadeel is dat dit principe nog geen officiële standaard is en de implementatie per fabrikant verschillend is. Hierdoor moeten alle core switches van dezelfde fabrikant zijn. Alle routerende logica zit in deze core verpakt hierdoor is het zeer belangrijk dat deze switches een grote throughput hebben anders creëer je op dit punt een bottleneck die het gehele netwerk zal beïnvloeden. Het voordeel is dat om de Pc’s te verbinden met deze core goedkopere access switches volstaan. Ook het aantal apparaten vermindert waardoor er minder onderhoud nodig zal zijn.
2.6.3 Besluit Alle 3 de mogelijkheden hebben elk hun voordelen en nadelen. De beste oplossing hieruit halen is onmogelijk doordat de keuze afhankelijk zal zijn van netwerk tot netwerk. Voor een enkel gebouw kan men beter gebruik maken van een collapsed backbone terwijl een groter bedrijf met meerder gebouwen dan beter gebruikt maakt van het Enterprise model met een layer 3 core. Het Enterprise model met een layer 2 core kan gebruikt worden wanneer men over een netwerk van 2 of 3 gebouwen die geografisch niet te ver van elkaar liggen. Andere factoren kunnen de eisen zijn die gesteld worden aan het netwerk alsook het budget en het aantal gebruikers.
35
2.7 Datacenter Het datacenter is de plaats waar de meeste bedrijf kritische componenten staan zoals interne servers, vanaf internet toegankelijke servers, firewall, storage, backbone en routers voor de connectie met het internet en de remote offices. De verbinding tussen alle delen van het netwerk komt samen op de backbone switches in het datacenter. In het datacenter is up time een zeer belangrijke factor. Om een hoge up-time te kunnen bereiken moeten heel wat componenten redundant uitgevoerd worden zoals voedingen van netwerkapparatuur, switches, server, firewall, koeling, airco. Ook het voorzien van een UPS en een back-up generator is belangrijk om een stroompanne tegen te gaan.
2.7.1 DMZ / Security In het datacenter komen de vanaf internet toegankelijke servers te staan. Het is onveilig om deze servers rechtstreeks in het bedrijfsnetwerk te plaatsen. We kunnen gebruik maken van een of meerdere DMZ’s (Demilitarized Zones) om deze delen van het netwerk te scheiden. Een DMZ is een zone die gescheiden is van de rest van het netwerk door een of meerdere firewalls. Naast de connectie met de DMZ is de firewall ook verbonden met het intern bedrijfsnetwerk en het internet. Wanneer we gebruik maken van een DMZ om de vanaf internet toegankelijke servers in te plaatsen is het mogelijk om deze servers te vervangen door reverse proxy’s. De vanaf internet toegankelijke servers kunnen we dan in het intern netwerk of in een tweede DMZ plaatsen. Het voordeel wanneer we reverse proxy servers gebruiken is dat de server waar waardevolle data op staat niet rechtstreeks toegankelijk is vanaf internet. De reverse proxy is in dan in staat om aanvragen voor een service te valideren en dan al dan niet verder af te handelen. We kunnen ook gebruik maken van een proxy server om toegang tot internet aan de gebruikers van het intern netwerk te beveiligen. Op die manier is dus ook geen rechtstreeks verkeer mogelijk tussen het intern netwerk en het internet wat de beveiliging ten goed komt. Het nadeel wanneer we gebruik maken van proxy server is de mogelijke vertraging maar dit is afhankelijk van de snelheid van alle netwerk apparatuur.
2.7.2 Storage Een Storage Attached Network is in grote bedrijven niet meer weg te denken. Waar vroeger elke server een eigen harde schijf had, hebben we tegenwoordig te maken met een netwerk waar alle data opgeslagen wordt, en waar alle servers toegang tot kunnen hebben. Door de opslag in een datacenter te centraliseren werden heel wat factoren verbeterd zoals schaalbaarheid, onder houdbaarheid en beschikbaarheid. Vroeger:
Fig. 2.6 SAN vroeger
Tegenwoordig zijn er enkele verschillende keuzes wanneer we en storage netwerk bouwen: SAS, Fiber channel en ISCSI. 36
2.7.2.1 SAS Serial Attached SCSI is de opvolger van de parallel SCSI technologie. SAS maakt het mogelijk om meerdere servers te verbinden met een Disk Array. Hier kunnen we nog niet spreken van een storage network, maar wel van een shared storage. SAS heeft enkele voor- en nadelen:
Fig. 2.7 SAS
Voordelen: o Vrij goedkoop o Eenvoudige oplossing, er zijn geen switches zoals bij een storage network. o Performance is goed o Link aggregation Nadelen: o Gelimiteerd bereik tot 8 meter o Het aantal connecties naar servers hang af van het aantal beschikbare poorten Disk Array
2.7.2.2 Fiber Het fiber channel protocol is een belangrijke standaard voor het gebruik van SAN’s. De techniek is voor het eerst in 1988 ontwikkeld, maar ken ondertussen al verschillende standaarden waarbij de snelheid het grootste verschil is tussen verschillende standaarden. Zoals de naam zegt communiceert dit protocol over glasvezel waarbij zeer hoge snelheden bereikt kunnen worden. Het fiber channel protocol biedt de mogelijkheid om gebruik te maken van Fiber switches om alle toestellen in het Storage netwerk met elkaar te verbinden. Servers moeten voorzien zijn van een host bus adapter om te aangesloten te kunnen worden op de SAN. In 1994 werd de eerste standaard ingevoerd die een snelheid van 1Gbps kon bereiken. Tegenwoordig is het mogelijk om snelheden van 16Gbps en 20Gbps bereiken. Fiber channel kan een P2P verbinding maken maar kan ook in een swiched netwerk functioneren. Door het gebruik van meerdere switches kunnen we zorgen voor redundancy in het SAN netwerk.
37
Wanneer over grote afstand gewerkt word kun je gebruik maken van een leased fiber of kun je gebruik maken van het fiber channel over ethernet protocol.
Voordelen o Snelste oplossing, het fiber channel protocol is geoptimaliseerd voor gebruik in een SAN. o Gebruik maken van switches: redundant en uitbreidbaar o Kleine overhead Nadelen o Duurste oplossing o Complexer o Moeilijker om data over grote afstanden te versturen.
Fig. 2.8 Fiber SAN
2.7.2.3 iSCSI iSCSI maakt gebruik van SCSI commando’s om over een TCP/IP netwerk te communiceren binnen een SAN. Deze commando’s kunnen gebruikt worden om data te versturen over: LAN’s, WAN’s en over het internet. Via dit protocol kunnen clients (initiators) SCSI commando’s versturen naar storage toestellen (target) op verschillende servers. Dit protocol kan gebruikt worden op bestaande netwerk infrastructuur en kan over grote afstanden werken, wat niet het geval is bij fiber channel. Vroeger was iSCSI veel trager dan Fiber, maar met de netwerk apparatuur van nu is deze kloof veel kleiner geworden. Tegenwoordig is 10Gbps ethernet al in gebruik, en dit is voor de meeste toepassingen voldoende. Maar het blijft moeilijk om de snelheid van fiber channel te evenaren aangezien het fiber channel protocol ontworpen is om in storage netwerken te functioneren en het TCP/IP protocol niet. Voordelen
Goedkoper dan Fiber Gebruik van switches: redundant en uitbreidbaar TCP/IP protocol is over het algemeen beter gekend door administrators dan het fiber channel protocol. Kan gebruikt worden over bestaande netwerk infrastructuur
38
Nadelen
Iets trager dan Fiber channel, IP-protocol is niet geoptimaliseerd voor storage netwerken Meer overhead CPU meer belast
Fig. 2.9 iSCSI
2.7.3 Virtualisatie Met virtualisatie wordt het virtualiseren van resources bedoeld. Dit kan gaan van geheugen tot netwerkinterfaces tot gehele systemen die gevirtualiseerd worden. Het virtualiseren van resources kan onderverdeeld worden in verschillende soorten.
2.7.3.1 Soorten Emulatie Bij emulatie wordt software, binnen in een OS, geladen in de vorm van een programma. Dit programma bootst een complete machine na waardoor het mogelijk is om een niet aangepast gast-OS te starten. Het gast-OS zal virtueel draaien op een ander hardware platform. Met behulp van allerlei technieken kunnen instructies van de virtuele hardware vertaald worden naar de werkelijke hardware van het onderliggende systeem. Een gekend voorbeeld hiervan is GNS3, deze kan Cisco routers emuleren wanneer het IOS voorhanden is. Native Virtualization Net zoals bij emulatie wordt een stuk software geladen om een complete machine na te bootsen of te emuleren, echter dit complete systeem zal precies hetzelfde soort hardware gebruiken als het onderliggende systeem. Er zal voor het gast-OS dus virtueel precies dezelfde hardware beschikbaar zijn als die van het onderliggende systeem. Voorbeelden hiervan zijn VMWare, Virtual Box en Microsoft virtual PC. Full Virtualization Bij full virtualization worden meerdere virtuele machines (guests) naast elkaar geplaatst op een set hardware. De aanvragen van de virtuele machines naar de hardware toe worden opgevangen op een software laag die tussen de hardware en de gast operating systemen zit. Bij deze vorm van virtualisatie kunnen hardware resources veel efficiënter benut worden dan bij gewone emulatie. Een van de bekendste manieren van deze virtualisatie is VMWare ESX server.
39
Operating system-level Virtualization Dit lijkt op full virtualization maar wijkt af door het feit dat bij full virtualization de guests een afwijkend OS kunnen hebben van de host en bij operating system-level virtualization de guest hetzelfde OS moet hebben als de host. Hardware enabled Virtualization In dit geval wordt de software die de hardware resources van het systeem verdeeld tussen de verschillende virtuele machines in de hardware zelf geïmplementeerd. Hierdoor is de virtualisatie nog dieper in het systeem zelf geïntegreerd en zal het beheren van hardware resources veel minder systeemcapaciteit kosten waardoor de efficiëntie dus hoger komt te liggen. Partial Virtualization Hier worden niet alle hardware componenten gevirtualiseerd. Hierdoor kunnen bepaalde hardware componenten gedeeld worden door de verschillende operating systemen. Dit wordt echter niet altijd aanzien als virtualisatie. Paravirtualization Bij paravirtualization wordt de hardware aangeboden aan de virtuele machines door middel van speciale application interfaces, die alleen kunnen worden gebruikt door deze aan te passen aan het gast-OS. Er kan dus een keuze worden gemaakt welke hardware door de VM’s wordt gedeeld en welke specifiek voor een VM aanwezig zijn. Deze technologie wordt onder andere toegepast bij Xen. Cross-platform Virtualization Bij deze vorm van virtualisatie wordt een applicatie gecompileerd voor een bepaald OS maar draait deze applicatie op een ander OS. Dit gebeurt zonder emulatie van het andere OS op het onderliggende systeem. Windows programma’s worden bijvoorbeeld op een MacBook pro gebruikt zonder emulatie van een Windows OS. Voorbeelden hiervan zijn Apple Rosetta en Transitive QuickTransit. Application Virtualization De applicaties draaien lokaal op een desktop zonder data deze geïnstalleerd zijn op het lokale systeem. Toch maken ze gebruik van de systeem resources. Dit valt te vergelijken met terminal gebaseerde toepassingen alleen draaien bij terminal services de applicaties op de server. De applicaties bij application virtualization draaien lokaal op de desktop. Het grote voordeel hiervan is dat applicaties met conflicterende eisen toch op een desktop samen kunnen werken. Voorbeelden zijn Microsoft Application Virtualization, Altiris SVS en Sun Java VM.
2.7.3.2 Redundancy Het voordeel van virtualisatie, zeker in het datacenter, is dat er veel minder hardware nodig is om meerdere verschillende servers te hebben met diverse toepassingen. Een fysieke virtualisatie server kan tientallen virtuele servers draaien die elk op hun beurt zullen werken alsof ze hun eigen fysieke hardware apparatuur hebben. Deze fysieke virtualisatie servers zijn hele krachtige apparaten waarvan de hardware resources gedeeld worden met de verschillende guest operating systemen die erop draaien. 40
Wanneer nu meerdere virtualisatie servers aangekocht worden en worden aangesloten op een storage netwerk, kunnen de virtuele machine files gedeeld worden tussen de fysieke apparaten. Geclusterde virtualisatie servers hebben elk een stuk software draaien waarmee ze bewust zijn van elkaar. Wanneer alles goed werkt kunnen de verschillende VM’s verdeeld worden over alle machines. Als nu echter een fysiek apparaat sneuvelt, zullen de anderen dit opmerken en kunnen ze de VM’s die mee gecrashed zijn met het uitvallen van het fysieke systeem overgenomen worden door de andere apparaten. De downtime zal dus zeer gering zijn. Men bespaart dus op ruimte en energieverbruik doordat er minder fysieke apparatuur nodig is, maar men krijgt ook een veel hogere redundancy en uptime van de bedrijfsservers.
2.8 Internet Edge De internet edge omvat de connectie tussen de LAN en de buitenwereld, hiermee wordt het internet en de WAN bedoeld. Beveiliging is hier een cruciale factor aangezien hier een verbinding wordt gelegd tussen het "veilige" intern netwerk, en het onveilige internet. Ook moet dit deel van het netwerk de mogelijkheid bieden tot verschillende diensten die vanaf internet toegankelijk moeten zijn zoals websites en email. Verder moet er ook een mogelijkheid zijn om vanaf een andere locatie toegang te krijgen tot het bedrijfsnetwerk via een VPN verbinding.
2.8.1 DMZ DMZ (demilitarized zone) is een zone waar alle vanaf internet toegankelijke servers (reverse proxy’s) inkomen en alle servers die een service leveren die vanuit het internet bereikbaar is (DNS, email, webserver,...). Door gebruik te maken van een DMZ kun je gebruikers van op internet toegang geven tot bepaalde diensten zonder ze rechtstreeks toe te laten op het intern netwerk. Er is geen enkele rechtstreeks verbinding tussen het extern (Internet) en het intern (LAN) netwerk toegelaten, al het verkeer moet via de DMZ verlopen. Een belangrijke regel is dat je geen waardevolle data op een vanaf internet toegankelijke server in de DMZ mag zetten, maar dat je gebruik moet maken van reverse proxy servers. Componenten in een DMZ:
Proxy server om interne gebruikers toegang te geven tot het internet Enkele Reverse proxy servers om vanaf het internet toegang te geven tot interne diensten zoals email, ftp, web, ... Telefoon centrale VoIP
2.8.1.1 Security Het belangrijkste voordeel is wel dat de servers in het interne, veilige netwerk geplaatst kunnen worden. Hierdoor kan er direct vanuit de servers gecommuniceerd worden met achterliggende databases of bedrijfssystemen, zonder allerlei gaten in firewalls te maken. Omdat een reverse proxy volledig ingesteld is op het afslaan van hackers, en alleen correcte aanvragen behandeld, is het voor een hacker niet meer mogelijk om de webserver rechtstreeks te hacken. De hacker kan dus hooguit de reverse proxy aanvallen.
41
2.8.1.2 Load balancing & High Availability Daarnaast wordt het nu mogelijk om servers dubbel uit te voeren. Het redundant uitvoeren van servers wordt geen ingewikkelde zaak meer. Geef aan de reverse proxy gewoon de verschillende servers op, en de reverse proxy zoekt wel uit welke webserver werkt, en welke niet. Omdat meerdere reverse proxy’s vaak ook de mogelijkheid bieden aanvragen voor elkaar op te vangen, is een volledig redundante webdienst te bouwen. Load Balancing en High Availability kunnen op deze manier bereikt worden
2.8.1.3 Caching Nog een voordeel is het cachen gegevens zijn. Als er duizend keer per dag een zelfde aanvraag wordt uitgevoerd door verschillende gebruikers is het bij sommige toepassingen onzinnig om al deze aanvragen door te sturen naar de server. De reverse proxy kent het antwoord toch al. Daarom bieden de meeste reverse proxy’s ook goede cachings-mogelijkheden. Hierdoor worden de webservers ontlast, en kunnen resources gebruikt worden voor belangrijkere zaken.
2.8.1.4 DMZ mogelijkheden 1 firewall Voordelen:
goedkoper minder onderhoud
Nadelen:
firewall meer belast zowel met het verkeer tussen het internet en de DMZ als verkeer tussen de DMZ en de LAN verloopt via dezelfde firewall. Single point of failure wanneer ingebroken wordt in de firewall.
Fig. 2.10 DMZ with 1 firewall
2 firewalls Voordelen:
Veiliger Firewalls worden minder belast Geen single point of failure wanneer ingebroken wordt in de firewall. mogelijkheid om verschillende types firewalls te kiezen (en ook twee verschillende leveranciers, maakt het moeilijker om beide te breken), bv.: een packet-filtering firewall met een hoge network throughput zou kunnen gebruikt worden als de "interne" firewall; een Fig. 2.11 DMZ with 2 firewalls Application Gateway (proxying) firewall, veiliger maar iets trager, zou dan kunnen gebruikt worden als de “externe” firewall.
Nadelen:
duurder Meer onderhoud
42
2.8.2 Firewall 2.8.2.1 Soorten
2.8.2.1.1 Type van filteren Packet filtering o Controleert de netwerk laag aan de hand van een aantal regels dat de Administrator ingeeft worden pakketten doorgelaten of gedumpt op basis van IP-adres en poort nummer. kijkt niet naar protocol, het is bijvoorbeeld mogelijk om te telnetten op een ander poort terwijl poort 23 geblokkeerd wordt. Application filtering o Controleert de applicatie laag o Voor elk ondersteund protocol bepaalt de software of pakketjes worden tegengehouden of doorgelaten o Deze software is meer dan een aantal simpele regels o Beschermt beter o Complexer 2.8.2.1.2 State Statefull o Behandelt elk pakket apart o slaat geen informatie op tussen verschillende pakketten Stateless o Slaat wel informatie op tussen verschillende pakketten is in staat een “gesprek” te volgen om zo beter te kunnen filteren kan bijvoorbeeld bij ftp tijdelijk een poort openen om het data kanaal door te laten wanneer een connectie gemaakt is.
2.8.3 VPN Aan de hand van een VPN (Virtual Private Network) verbinding kan er vanaf een extern netwerk of vanaf internet toegang verkregen worden tot een bepaalde LAN. Er zijn twee soorten VPN verbindingen: Remote access VPN en Site to Site VPN. Remote access VPN wordt gebruikt door een enkele gebruiker om van op afstand verbinding te maken tot een bepaald netwerk. Site to Site VPN verbindingen worden gebruikt om bijvoorbeeld een bijkantoor met het LAN van het hoofdkantoor te verbinden. Een groot voordeel van VPN verbindingen is dat je enkel maar een internet connectie nodig hebt om verbinding te kunnen maken met het bedrijfsnetwerk. Er is dus geen WAN connectie nodig wat de kosten reduceert. Om een VPN verbinding te kunnen maken moet contact gemaakt worden met een VPN server. Deze server kan parallel over de firewall staan of kan op de firewall zelf staan. Wanneer deze software op de firewall draait is er minder apparatuur nodig, maar wordt de firewall wel meer belast.
43
2.9 Management Het is niet voldoende om het netwerk operationeel te krijgen, eens het in gebruik is moet het netwerk ook onderhouden worden. Dit houdt onder andere in het upgraden van firmware, aanpassen van configuraties, monitoren van trafiek tot het nemen van backup’s.
2.9.1 Monitoring Een netwerk groeit steeds verder uit, hierdoor kan het soms gebeuren dat diverse apparatuur niet meer voldoet aan de eisen die men stelt. Dit kunnen bepaalde connecties zijn die niet meer voldoende bandbreedte hebben of servers zijn die te zwaar belast worden. Al deze factoren kunnen overzichtelijk worden bijgehouden met behulp van diverse software pakketten. Het enige dat deze pakketten nodig hebben is een desktop of server die toegang heeft tot alle andere apparatuur om de benodigde data te verzamelen gaande van huidige load op een lijn tot processor load of memory use. Alle gegevens worden verzameld en kan gevisualiseerd worden in flowcharts of grafieken. Door deze data regelmatig te bekijken en te analyseren kan een systeembeheerder tijdig ingrijpen. Wanneer men merkt dat een connectie dreigt overbelast te geraken kan men kijken om de bandbreedte te vergroten bijvoorbeeld. Het monitoren van netwerk resources heeft ook voordelen op vlak van beveiliging. Men kan ook waarschuwingen inzetten als bepaalde waarden een grens overschrijden. Als een server onder normale omstandigheden altijd rond een bepaalde bandbreedte data verstuurd kan men hierop een limiet instellen, wanneer er dan opeens een veel grotere hoeveelheid aan bandbreedte wordt opgesoupeerd kan dit duiden op een storing of zelf duiden op een aanval op deze server. Door een limiet in te stellen wordt de beheerder onmiddellijk gewaarschuwd en kan hij indien nodig tijdig ingrijpen. Een server die regelmatig zichzelf reboot doordat hij vast loopt kan ook duiden op een configuratiefout. Deze reboots kunnen snel herkend worden in de grafieken. Zonder monitoring kan het soms zijn dat de systeembeheerder dit niet merkt. Kortom een goede monitoring op een netwerk is nefast voor het goed functioneren en het draaiende houden van een netwerk.
2.9.2 Back-up Wanneer er iets misloopt met een server of database moet men nog steeds aan de data kunnen, wanneer de harde schijven net degene zijn waar het bij misgelopen is kan de data verloren zijn. Het is dus een echte noodzaak om alle data op regelmatige tijdstippen te back-uppen op een andere locatie. Dit kan een andere fysieke server zijn of een tape disk. Deze tape disks zijn als het ware uitvergrote en verbeterde floppy disks waarop de data kan worden opgeslagen en vervolgens in een kluis kan worden bewaard. Wanneer er dan iets onherroepelijks gebeurt met de data is het verlies maar zo groot als de tijd tussen de laatste back-up en het gebeuren. Regelmatig back-up's nemen is dus hoogst noodzakelijk. Deze back-upserver die op zich verbonden is met de tapewriter moeten verbonden zijn met alle te back-uppen servers en storage eenheden. Dit kan meerdere problemen geven. Het back-uppen van tientallen Gigabytes (of Terabytes / Petabytes) zal tot gevolg hebben dat de netwerkconnecties zeer zwaar belast zullen worden. Wanneer je deze back-up dus over het productie netwerk zal laten gebeuren zal dit een performance issue 44
kunnen veroorzaken. Dit kan verholpen worden op 2 manieren. Er kan enkel 's nachts geback-upt worden of er kan een apart netwerk worden voorzien. Wanneer je tijdens de nacht back-upt over het productienetwerk zullen de users er geen last van ondervinden zolang de back-up klaar is alvorens de volgende werkdag aanbreekt. Ook zullen eventuele problemen tijdens de back-up pas de volgende dag verholpen worden. Als dan net die dag ook iets misloopt zal er niet 1 dag maar 2 dagen aan data verloren gaan. Als men nu een apart back-up netwerk voorziet kan men back-up's nemen overdag, op verschillende en meerdere tijdstippen en zal het productienetwerk hier geen last van hebben. Eventuele problemen ook kunnen tijdens de werkuren door de beheerders direct worden opgelost. In een normaal productienetwerk is de MTU, Maximum Transmission Unit, de pakket grootte van netwerkpakketten, ongeveer 1492bytes groot. Wanneer je echter een apart back-up netwerk hebt waar data snel van het ene punt naar het andere gaat kun je deze MTU verhogen, de data zal dan in minder, maar grotere, pakketten worden verdeeld waardoor de load op de switches minder is en de overdracht sneller zal verlopen. Er moet immers voor elk pakket wat overhead toegevoegd worden als routering informatie. Wanneer er minder pakketjes zullen worden verstuurd zal het percentage overhead ook lager zijn. Een ander voordeel van een apart back-up netwerk is eenvoudigere beveiliging ervan. Men kan de verbinding tussen het productienetwerk en het back-up netwerk limiteren tot een verbinding naar de back-up server, alle trafiek kan met behulp van ACL’s worden geblokkeerd. Productie-trafiek en Back-up trafiek kan zo gescheiden blijven.
2.9.3 Apparatuur onderhoud In een netwerk is heel wat apparatuur aanwezig. Veel apparatuur betekent op zich weer veel onderhoud. Om al die apparatuur te onderhouden moeten de beheerders vanop afstand verbinding kunnen maken met de apparatuur. Dit kan op verschillende manieren gebeuren bijvoorbeeld Telnet, SSH of een web interface die TCP als transport protocol gebruiken of SNMP die van UDP gebruik maakt. Bij het instellen van ACL’s en firewall regels op de verschillende apparatuur moet hier dus rekening mee gehouden worden.
45
2.10 Detailed Design 2.10.1 De ideale LAN
Fig. 2.12 Ideale LAN concept
2.10.2 Core Doordat er geen grote locaties met elkaar verbonden moeten worden en alles relatief dicht bij elkaar ligt hebben we besloten om een collapsed core te gebruiken en hierop rechtstreeks access-switches te plaatsen. Voor de core raden we aan om 2 zwaardere layer 3-modellen te gebruiken, met een hoge throughput om al het netwerkverkeer snel en efficiënt te kunnen verwerken. Beide switches worden vervolgens met elkaar verbonden om 1 virtueel geheel te vormen. De implementatie van deze technologie is fabrikant afhankelijk. Bij Cisco heet dit bijvoorbeeld VSS terwijl HP dit IRF noemt. Hier worden de poorten van beide switches met elkaar verbonden door een super snelle backplane verbinding. Dit levert een zeer hoge redundancy. De twee switches hebben beiden een redudante voeding. Als een van beiden het begeeft neemt de andere over. Dit gebeurt ook bij de switches. Als een volledige switch unit uitvalt, zal de andere onmiddellijk overnemen. Een redundante verbinding naar beide switches zal dus zorgen voor een bijna 100% up-time van de verbinding naar de core.
46
De 2 standalone units kunnen nu worden gezien als 1 geheel. Wanneer nu link aggregation, zoals Etherchannel, wordt toegepast op de verbindingen naar andere apparatuur en poorten vanop beide units worden gebruikt, zal bij het uitvallen van 1 unit nog steeds de helft van de poorten beschikbaar zijn voor de verbinding. De bandbreedte daalt maar de verbinding blijft bestaan. De core bevat alleen 10Gb-poorten zodat het geen een bottleneck van het netwerk wordt
2.10.3 Access Layer De access layer zorgt voor de verbinding naar de desktop pc’s en andere randapparatuur. De up-link verbinding naar de core worden redundant voorzien. Elke access-switch krijgt dus minstens 1 verbinding naar elke fysieke core-switch unit. Deze verbindingen worden gebundeld met behulp van een Etherchannel configuratie. Hierdoor stijgt de redundancy en de bandbreedte. De minimale bandbreedte van een up-link zal dus 20Gb zijn. Als een access-layer nu 48 1Gb-poorten bevat wil dit zeggen dat alle poorten ongeveer 400Mb/s aan bandbreedte zullen moeten gebruiken alvorens de up-link verzadigd zal zijn. Dit is echt zo hoog dat andere factoren al sneller de bottleneck zullen zijn zoals de internet connectie of de throughput van een bepaalde server.
2.10.4 IPv6 Om de omschakeling van IPv4 naar IPv6 internet aan te kunnen en om volledige connectiviteit te blijven voorzien, besloten we om het interne netwerk volledig IPv6-only te configureren. Enkel op de router naar internet toe zorgen we voor zowel IPv4- als IPv6-connectiviteit.
2.10.4.1 NAT64 & DNS64 Doordat het internet momenteel nog maar in het begin van de overgangsfase naar IPv6 zit, zijn veel servers nog niet bereikbaar op een IPv6-adres. De servers van http://www.google.be hebben bijvoorbeeld nog geen IPv6-adres. Wanneer een IPv6-only cliënt een DNS request voor http://www.google.be stuurt zal hij een ‘Cannot find destination’ error krijgen. Een IPv4-adres zal echter wel beschikbaar zijn. Wanneer we nu op de DNS server een DNS64/NAT64 applicatie installeren zal deze bij een DNS-request altijd eerst opzoek gaan naar een AAAA-record (IPv6-adres die overeenkomt met een bepaalde domeinnaam), wanneer deze niet voorhanden is zal hij een A-record opvragen (met het IPv4-adres dat overeenkomt met http://www.google.be). De DNS64/NAT64 applicatie zal dan dit publiek IPv4-adres tijdelijk verbinding aan een IPv6-adres van het netwerk uit een range die hiervoor speciaal is voorzien. Vervolgens zal hij een AAAA-record maken naar dit IP-adres en deze doorsturen naar de cliënt. Wanneer de cliënt dan een verbinding wil maken met dat IP-adres zal die verbinding gebeuren naar de DNS-server, waar de NAT64 applicatie dan de translatie doet naar een IPv4-adres en de connectie verder over IPv4 verloopt. De NAT64-applicatie zal dus als een soort IPv4/IPv6 proxy werken.
47
Fig. 2.13 NAT64 / DNS64 werking
2.10.4.2 IPv6 tunnel Doordat in België nog maar zeer weinig providers een IPv6 verbinding kunnen aanbieden gingen we opzoek naar een oplossing. Freenet6 (http://www.gogo6.com) bied een gratis tunnel aan over je IPv4 connectie naar het IPv6 internet. Wanneer je gratis registreert krijg je een IPv6 subnet met een /64 netmask. Genoeg om thuis alle pc’s via autoconfiguratie van een IP te voorzien. Als je als bedrijf een grotere range wilt zodat je subnets kan verdelen kun je bij Freenet6 een /56 aanvragen, dan heb je 8 bits ter beschikking om subnets te maken. Dit geeft je of 256 mogelijke /64 subnetten. Tevens krijg je dan een vast IPv6-adres zodat je DNS records niet telkens aangepast moeten worden, dit is handig wanneer je bepaalde services levert aan externe klanten of je netwerk vanaf internet bereikbaar moet zijn.
2.10.5 Routing Doordat we enkel gebruik maken van layer 3 functionaliteit in de core switches, dewelke als 1 logisch geheel opereren, hebben we enkel statische default routes nodig naar de firewall / internet. Routingprotocollen zijn enkel nodig wanneer je meerdere routerende apparaten met elkaar verbind. In onze ideale oplossing moeten er dus geen routeprotocol worden geconfigureerd. De routetabel van de core-switches zullen enkel de subnetten bevatten van hun geconfigureerde vlans. Het zal volstaan om op de core enkel statische routes te voorzien richting de firewall voor alle destinations buiten de geconfigureerde vlans. Deze pakketjes zullen in principe enkel bestemd zijn voor de servers in de DMZ of het internet. Wanneer er later wordt uitgebreid en het niet meer volstaat om statische routering toe te passen zal men het best gebruik maken van OSPF. Dit is het meest performante, platform onafhankelijk routeringsprotocol. Wanneer je echter 100% zeker bent dat al het routerend materiaal Cisco apparatuur zal zijn en blijven in de toekomst is EIGRP nog iets beter qua performantie.
48
2.10.6 Vlans Doordat enkel de core bestaat uit layer 3 switches kunnen we over het gehele netwerk vlans gebruiken. Op de core worden dan vlan-interfaces aangemaakt met elk hun eigen IP-adres. Dit IP-adres zal dienen als gateway voor de pc’s die tot dat vlan behoren. Doordat we gebruik maken van vlans moeten de up-links naar de cores geconfigureerd worden als trunks. Welke vlans op deze trunk toegelaten zijn is afhankelijk van de gebruikers die verbinding zullen maken via de access-switch. Wanneer je Vlans gebruikt moet je ook het beschikbare IP-range verdelen in verschillende subnetten. Voor apparaten die je via de autoconfiguratie ingebouwd in het IPv6 protocol een IPadres wil uitdelen moet dit een /64 zijn, wanneer je echter statische IP-adressen gaat gebruiken of via DHCP wil werken ben je hier niet aan verbonden. Als we uitgaan dat het bedrijf een /56-range (neem: 2001:5c0:1518:b3xx::/56) wordt uitgedeeld kunnen we 256 /64-subnetten creeëren. (van b300 tot b3ff => F x F = 16 x 16 mogelijkheden = 256). We rekenen 32 subnetten voor autoconfiguratie (client vlans). Deze plaatsen we in het einde van het bereik. 2001:5c0:1518:b3e0::/64 tot 2001:5c0:1518:b3ff::/64. Dit komt overeen met 32 mogelijkheden. Van e0 tot ef (16 mogelijkheden) en dan van f0 tot ff (16 mogelijkheden). Dit houdt nog 224 verschillende /64 subnetten over voor de overige vlans. Doordat servers veelal een statisch IP-adres zullen krijgen kun je deze echter nog verder opdelen. Voor Point-to-Point verbindingen kun je zelf een /127 gaan gebruiken. Dit subnet bevat maar 2 ip-adressen en dit zijn dan ook tevens de adressen van de end-points van de p2p. Bij IPv4 had je hier een verlies van 4 adressen doordat het netwerkadres en broadcast adres hier ook moesten worden bijgeteld. IPv6 maakt hier echter geen gebruik van en is dus economischer met hun bereik. Ook moet er een /64 subnet of groter aan de kant gezet worden voor de NAT64/DNS64 werking. Voor deze toepassingen nemen we de laatste range net voor de client subnet ranges. De eerste client subnet range is 2001:5c0:1518:b3e0::/64 dus de range voor NAT64/DNS64 zal dus 2001:5c0:1518:b3df::/64 zijn. Hierdoor houd je nog 223 mogelijke /64 subnetten over voor IP-telefonie, servers en andere apparatuur. Voor servers heb je echter geen /64 subnet nodig daar deze een statisch adres krijgen, hierdoor kun je gemakkelijk nog 4 bytes bijnemen en de adressen verdelen in /80 subnetten zodat je nog 6 bytes ter beschikken hebt. Dit is handig om wat logica te kunnen steken tussen de vlan en het IP-adres. 2001:5c0:1518:b300:0000::/80 2001:5c0:1518:b3de:ffff::/80 Dit geeft dus 13 762 560 mogelijke /80 subnetten indien gewenst. Om het geheel eenvoudig te houden raden we echter aan om zoveel mogelijk /64 subnetten te gebruiken.
49
Tabel 2.2 Verdeling IPv6 subnets
Range 2001:5c0:1518:b300:: … 2001:5c0:1518:b3de:: 2001:5c0:1518:b3df:: 2001:5c0:1518:b3e0:: … 2001:5c0:1518:b3ff::
Netmask 64 64 64 64 64
Servers/VoIP/… (begin) … Servers/VoIP/… (eind) NAT64 & DNS64 Autoconfig clients (begin) … Autoconfig clients (eind)
2.10.7 VoIP Wanneer een bedrijfsgebouw vanaf de grond op wordt gebouwd zal men moeten kiezen voor traditionele telefonie via een telefoonlijn of VoIP. Uit een case van ADMB blijkt dat de ROI van een VoIP t.o.v. een klassieke installatie positief is vanaf 20 gebruikers. Wanneer je dus meer dan 20 verschillende telefoons zal plaatsen kun je het best rekening houden hiermee en VoIP voorzien. Wanneer VoIP wordt voorzien moet hiermee ook rekening worden gehouden met het configureren van alle netwerk apparatuur. Zo moet QoS kunnen worden toegepast en moet PoE voorzien worden op de access layer. De PBX, de lokale telefooncentrale als het ware, wordt het best aangesloten op de coreswitches indien het volledige netwerk van VoIP wordt voorzien. Indien dit niet zo is wordt deze zo dicht mogelijk bij de VoIP-groep geplaatst (Distribution layer switches).
2.10.8 Firewall & VPN In het deel internet edge hadden we de keuze tussen single of dual firewall(s), al dan niet redundant uitgevoerd. Wij hebben gekozen voor single redundant uitgevoerde firewalls. Dit omdat de voordelen van dual firewalls niet opwegen tegen het onderhoud en de nog grotere aankoopprijs ervan. We hebben dus 2 redundante firewalls waar zowel de internet connectie, de DMZ en het intern bedrijfsnetwerk mee verbonden is. Deze redundante firewalls zijn dan in staat om te load-balancen zodat de throughput verhoogd wordt. We hebben er dan voor gekozen om op deze redundante firewalls een VPN server te plaatsen zodat een VPN verbinding vanaf het internet kan gelegd worden.
2.10.9 Datacenter 2.10.9.1 Storage & Virtualisatie Wanneer er server virtualisatie wordt gebruikt in het datacenter wordt aangeraden om geen gebruik te maken van lokale opslag van data. Wanneer er gebruik wordt gemaakt van een apart Storage Area Netwerk (SAN) kun je verschillende virtualisatie-servers toegang verschaffen tot dezelfde bronnen. Hierdoor kun je eenvoudig virtuele machines van server verplaatsen. Dit kan bijvoorbeeld gebruikt worden wanneer een bepaalde fysieke server geüpdatet moet worden. Ook kunnen geclusterde fysieke servers zorgen dat de virtuele machines die momenteel up-en-running zijn verdeeld zitten over de verschillende fysieke apparaten en zo de belasting kunnen verdelen. Wanneer een bepaalde geclusterde server nu uitvalt, zullen de overige dit snel detecteren en de virtuele machines die lokaal draaiden op die fysieke server overnemen. Hierdoor wordt downtime enorm verkleind en is het datacenter enorm flexibel en eenvoudig up-to-date te houden. 50
2.10.9.2 Demilitarized Zone Servers waarop hoofdzakelijk trafiek vanaf het internet op toekomt worden uit beveiligingsoverwegingen in een apart beveiligde zone geplaatst. Deze zone is de Demilitarized Zone (DMZ). Dit is een virtuele zone met verschillende vlans. Deze vlans zijn enkel bereikbaar via de firewall. Al het verkeer moet dus via de firewall passeren en zal dus worden gecontroleerd. Servers in de DMZ zijn bijvoorbeeld een externe DNSservers en proxy servers.
2.10.9.3 Interne Servers Er zijn ook servers die enkel dienen voor het interne netwerk zoals DHCP, radius-server, intranet-webserver, database,… Deze kunnen rechtstreeks op de core aangesloten worden voor een hoge bereikbaarheid. De beveiliging naar deze servers toe kan worden gerealiseerd door het plaatsen van strenge ACL’s richting deze servers. Er kan gekozen worden dat al het verkeer via proxy’s in de DMZ moet gaan. Dan zal de ACL enkel verkeer van en naar deze proxy-server toelaten. Er kan ook gekozen worden om interne users rechtstreeks toegang te verschaffen tot deze servers. Dan moet echter voor de veiligheid gefilterd worden op destination poort. Deze is applicatie afhankelijk en enkel poortnummers verbonden aan de service die de server aanbied moet worden toegestaan.
2.10.10
Management
Om het netwerk gezond te kunnen houden moeten eenvoudig back-up’s genomen kunnen worden zonder het productienetwerk hiermee te beïnvloeden. Ook moet men één of meerdere monitoringservers hebben die het netwerkverkeer in de gaten kunnen houden alsook alle apparatuur die verbonden is met het netwerk. Dit betekent dat deze monitoringserver toegang moet hebben tot alle apparatuur. Wanneer 1 enkel apparaat toegang heeft tot alle apparatuur is dit een grote security risk en moet deze dus extra goed beveiligd zijn. Omwille van deze 2 grote redenen kozen we voor een apart management netwerk. Dit management netwerk bestaat uit 2 met elkaar verbonden switches. Aan deze 2 switches worden de monitoringservers, back-upserver en tape-writer verbonden. Ook is er een connectie voorzien naar alle SAN-netwerken en de netwerken die voorzien zijn om virtualisatie servers met elkaar te verbinden. Hierdoor kunnen over het management netwerk deze netwerken gemonitord worden en back-up’s van de SAN netwerken gemaakt worden. Om de servers, switches, routers, firewalls en alle andere randapparatuur van het productienetwerk te kunnen monitoren moet het management netwerk ook van een verbinding naar dat productienetwerk voorzien zijn. Het grote voordeel van deze verbinding is dat dit de enige connectie tussen het SAN- en management netwerk is en het productienetwerk. Met behulp van ACL’s kan al het netwerkverkeer dat van het productienetwerk naar het managementnetwerk gaat of visa versa gelimiteerd worden tot de monitoringservers. De monitoringservers zijn de enige van het management netwerk die ook connectie moeten kunnen maken met apparaten op het productienetwerk. Wanneer met nu een back-up wil starten, terughalen of controleren kan men dit doen via de monitoringserver. Een netwerkbeheerder kan dan deze server overnemen vanop zijn bureau en dan een back-up starten.
51
2.10.11
Back-up
Om een back-up te nemen van het SAN’s is er een connectie nodig tussen de backupserver en het SAN zelf. Deze connectie kan tijdens een back-up zwaar belast worden. Daarom hebben we er voor gekozen om deze grote data-overdracht niet over het productienetwerk te laten gaan, maar wel over het management netwerk. Op deze manier kan er altijd een back-up gemaakt worden, zonder dat de gebruikers op het productienetwerk ervan hinder ondervinden. Het management netwerk in de ideale LAN is full gigabit, dit maakt het mogelijk om tegen een redelijk hoge snelheid een back-up te maken. Er moet wel opgelet worden dat de bandbreedte in dit gigabit netwerk niet volledig opgebruikt wordt door het back-up verkeer, anders kan dit negatieve gevolgen hebben voor het overige management verkeer. Dit kan bijvoorbeeld van de monitoringserver komen. Als er pakketten verloren gaan omwille van een back-up die wordt genomen zal de monitoringserver denken dat een server of switch down is gegaan en een alarm laten afgaan. Als dit telkens gebeurt wanneer een back-up wordt genomen zal dit een verkeerd beeld geven in de maandelijkse grafieken van het netwerkverkeer en de netwerkload. Om dit op te lossen kunnen we gebruik maken van verschillende vlans voor back-up- en management verkeer. Op deze vlans kunnen we dan Quality of Service instellen zodat nog altijd een bepaalde minimum bandbreedte voor het management verkeer beschikbaar blijft.
2.10.12
Proof of concept
Om de werking van dit concept te bewijzen hebben we naast simulatie en emulatie ook testen op fysieke apparatuur gedaan. Hierbij hebben we een netwerk opgebouwd uit 2 HP a5800 layer 3 switches en 2 Cisco 2960 layer 2 switches. Tijdens de testen waren vooral de HP layer 3 switches van belang. Hiermee kunnen we technologieën simuleren die we niet of moeilijk kunnen simuleren in een virtuele omgeving. Naast de netwerk apparatuur en bekabeling hebben we enkele servers en virtuele machines gebruikt als eind toestellen. Tijdens de testen lieten we alle apparatuur volledig op IPv6 werken. Hierdoor konden we ook kijken of onze NAT64, DNS64 en IPv6 tunnel wel zouden werken in de praktijk. Er moest communicatie zijn tussen alle onderlinge apparaten maar ook met over het internet met zowel IPv4 als IPv6 servers.
2.10.12.1
Simulatie & Emulatie
Om de verschillende mogelijke oplossingen uit te kunnen proberen, maakten we gebruik van een simulatie en een emulatie programma. Cisco Packet Tracer is een simulatieprogramma ontwikkeld door Cisco om simpele basisnetwerken te ontwerpen en verschillende features te kunnen uittesten. PT laat ook toe om pakketten vertraagd te volgen en zo stap voor stap te kunnen zien wat er gebeurd. Dit is vooral handig wanneer een bepaalde oplossing niet direct lijkt te werken, we konden zeer eenvoudig zien wat het probleem was en hierop verder bouwen. Doordat Cisco apparaten zeer moeilijk te emuleren, vooral de Cisco switches, is het met GNS3 enkel mogelijk om routers te emuleren. Je kunt echter op deze routers ook een 16poorten switch-interface inbouwen en de router gebruiken als layer 3-switch. Hiermee konden we iets complexere infrastructuren en complexe routing oplossingen testen. Een ander groot voordeel van GNS3 is de mogelijkheid om een verbinding te maken met een virtuele machine van Oracle Virtual Box. We konden dus als het ware een volledig netwerk emuleren en zo zeer dicht naderen aan een werkelijke oplossing. Helaas waren
52
enkele cruciale features niet simuleerbaar zoals Etherchannel en het combineren van meerdere switches tot 1 virtuele switch. Het was wel een zeer handige tool om een kleiner bedrijfsnetwerk te simuleren en te kijken hoe bepaalde dingen ingesteld moesten worden en hoe iets beveiligd kan worden zonder andere protocollen hiermee te blokkeren.
2.10.12.2
Virtual Switching
Een van de belangrijkste concepten die we getest hebben is Virtual Switching, het laten samenwerken van meerdere switches als 1 virtuele switch. Dit brengt heel wat voordelen met zich mee zoals het vereenvoudigen van link aggregation tussen de verschillende access switches en het vereenvoudigd beheer van 1 virtuele switch tegenover meerdere fysieke switches. Verder is het ook niet meer nodig om te grijpen naar technologieën zoals VRRP of GLBP doordat we op een virtuele switch 1 vlan gateway kunnen plaatsen. Elke fysieke switch binnen een virtuele switch kan communiceren met elkaar en kent dus die vlan gateway. We hebben gebruik gemaakt van de twee HP switches om deze te bundelen tot een virtuele switch. Bijna elke fabrikant ondersteund een bepaalde eigen technologie waarmee een virtuele switch kan worden gemaakt. Bij HP is dit niet anders, de technologie die zij gebruiken is IRF. De HP a5800 switches beschikken over 48 10/100/1000 ethernet poorten en 6 1000/10000 SPF+ poorten waarvan 4 vaste en 2 poorten in een extended module. Om een virtuele switch te maken moeten we een of meerdere switches met elkaar verbinden via de SPF+ poorten. Wanneer we voor meerdere SPF+ verbindingen tussen 2 switches kiezen kan link aggregation toegepast worden op deze poorten. Het is ook mogelijk om op meer dan 2 switches IRF toe te passen. Deze switches moeten dan in een lus structuur met elkaar verbonden worden. Binnen een IRF groep wordt 1 switch als master gekozen. Deze switch is dan verantwoordelijk voor het beheer en het onderhoud de volledige virtuele IRF switch. We hebben dus als eerste IRF ingesteld. In bijlage I zijn alle configuratie bestanden van de HP switches terug te vinden.
Fig. 2.14 HP IRF
Na het instellen van IRF hebben we enkele basis instellingen op de virtuele switch ingesteld. Als eerste hadden we de nodige vlans elk met hun IPv6 gateway adres ingesteld. Op deze manier was het mogelijk om zowel te switches binnen eenzelfde vlan als ook routeren tussen verschillende vlans. Daarna hadden we de mogelijkheid om enkele poorten op de virtuele switch in access mode te zetten en in een bepaalde vlan te steken. Op deze manier konden we zowel de werking van dit geheel testen. Fig. 2.15 HP IRF met servers
53
Na het instellen en testen van de vlans hebben we access switches aan de virtuele collapsed coreand distribution switch gekoppeld via een trunk verbinding. Op dat moment maakten we nog geen gebruik van link aggregation, elke access switch was via 1 trunk aan de virtuele switch gekoppeld. Na het instellen van de trunkpoorten op de core switch en de nodige vlans, access- en trunkpoorten op de access switches konden we het geheel testen. We hebben zowel de communicatie binnen en vlan als tussen vlans getest. Daarnaast hebben we de testen wanneer beide trunks op dezelfde fysieke HP switch zaten en wanneer de trunks op de verschillende HP switches zaten. Fig. 2.16 Test opstelling
Nadat de vorige opstelling correct werkte konden we verder gaan en een van de grootste voordelen van virtuele switches testen: Link aggregation. Hiermee kunnen we access switches, servers en eventueel ook clients met de core verbinden door middel van meerdere uplinks. Dit is zonder virtuele switches ook mogelijk, maar het grote voordeel is dat we de uplinks aan verschillende fysieke switches kunnen koppelen en die switches laten functioneren als een grote virtuele switch. Dit heeft een grote verbetering van de redundantie tot gevolg. Wanneer je dit wilt doen met 2 redundante switches die niet samenwerken als een virtuele switch loop je tegen heel wat obstakels zoals het instellen van een gateway en het verspreiden van een vlan over een volledige netwerk. Om een link aggregation toe te passen tussen HP- en Fig. 2.17 Test opstelling Cisco Switches hebben we gebruik gemaakt van het fabrikant onafhankelijk LACP protocol. Dit is een fabrikantonafhankelijk protocol die door HP en door Cisco ondersteund wordt. Na het correct instellen van link aggregation op de HP core switches en op de Cisco 2960 access switches, konden we beginnen met het testen ervan. Tijdens de testen hebben we gebruik gemaakt van de opstelling zoals bovenstaande figuur. We hebben beide server een IPv6-adres gegeven in dezelfde netwerk range: Server1 eth0: 2001:db8:1:100::5 /64 Server2 eth0: 2001:db8:1:100::6 /64
54
Daarna hebben de twee servers op de verschillende Cisco switches in hetzelfde VLAN gestoken. Door te pingen en data te versturen tussen de servers konden we zeker zijn dat de trunk channels werkten. Wanneer het basis netwerk correct werkte konden we verder gaan met het creëren van enkele “real life situations”. Als eerste hebben we een link laten down gaan. In de praktijk kan dit bijvoorbeeld een kapotte kabel of interface zijn. We hebben deze link laten down gaan terwijl we tussen de servers pingden om zo de impact in kaart te brengen. In de resultaten van de ping testen was het echter niet merkbaar dat we een kabel uitgetrokken hadden. Na dat we de kabel terug verbonden hadden hebben we verder gegaan met een volgende test. Tijdens deze test hebben we een volledige fysieke switch down laten gaan, dit zou normaal opgevangen moeten worden door de tweede fysieke switch van de virtuele switch. Dit kan in de praktijk bijvoorbeeld de voeding zijn die wegvalt of een volledige switch die kapot gaat. Om deze situatie te creëren hebben we de voeding van de switch laten wegvallen terwijl de servers naar elkaar aan het pingen waren. We hebben de test 2 keer gedaan: een keer de master switch die down ging en een keer de slave switch die down ging. Beide resultaten waren goed en dus niet merkbaar aan de ping resultaten. Een laatste test was onafhankelijk van de Virtuele HP switches. We hebben getest hoe snel een interface op een access switch opkwam wanneer we een eind toestel ontkoppelden en direct terug aansloten op een andere poort op dezelfde switch. Als eerste hebben we de poorten gewoon op access mode ingesteld en een volgende test was wanneer we gebruik maakten van portfast. Wanneer we geen gebruik maakten van portfast kwamen de interfaces pas na ongeveer 30 seconden op. Dit komt door het STP protocol die standaard op alle poorten aan staat. Het resultaat met gebruik van portfast was veel beter, dit was ongeveer 3 seconden. De resultaten van alle testen zijn terug te vinden in de bijlage II.
2.10.12.3
IPv6-tunnel, DNS64 en NAT64
Om in onze LAN verbinding te kunnen voorzien naar IPv4 en IPv6 destinations maken we gebruik van een IPv6 tunnel, NAT64 en DNS64. De werking hiervan toonden we aan d.m.v. volgende opstelling.
Fig. 2.18 IPv6 test opstelling
55
Voor het interne IPv6 netwerk besloten we een Windows 2008 r2 server te plaatsen die diende als DC (Domain Controller) en een Windows 7 client. De Windows 7 client behoort tot het domein van de DC. De DC wordt ingesteld met een statisch IPv6-adres en wordt voorzien van de server-rollen AD, DNS en DHCP. Als gateway gebruikten we in de opstelling een versie van Ubuntu, namelijk 12.04. De basis instellingen van de interfaces zijn als volgt. Tabel 2.3 Instellingen interfaces
DC (Windows 2k8 r2) Lan Connectie
Client (Windows 7 Prof.) Lan Connectie
Gateway (Ubuntu 12.04) eth0 eth1 nat64 tun0 (VPN tunnel)
2001:5c0:1518:b300:f::1/64 GW: 2001:5c0:1518:b300::1 DNS: 2001:db8:1:ffff::1
Static Static Static
2001:5c0:1518:b300::/64 eui-64 GW: 2001:5c0:1518:b300::1 DNS: 2001:5c0:1518:b300:f::1 DNS: 2001:db8:1:ffff::1
Autoconfig Autoconfig Autoconfig Autoconfig
10.0.2.x /16 2001:5c0:1518:b300::1/64 2001:db8:1:ffff::1/64 2001:5c0:1400:b::d531/128
DHCP (Extern) Static (Intern) Static Static
2.10.12.3.1 Ubuntu Gateway Als DNS server maken we gebruik van het programma Bind9, deze installeren we samen met de nat64-applicatie genaamd Tayga. Beide zijn te installeren via het Advanced Packaging Tool (APT). Deze doorzoekt de Ubuntu/Debian respository en installeert het gekozen package en de benodigde dependencies. Eerst installeren we Tayga & Bind9 apt-get install tayga bind9 Vervolgens zorgen we dat Tayga mag starten gedit /etc/default/tayga Hier verander je volgende regel #RUN=”no” => RUN="yes" Configureren van Tayga gedit /etc/tayga.conf tun-device nat64 ipv4-addr 192.168.255.1 prefix 2001:db8:1234:ffff::/96 dynamic-pool 192.168.255.0/24
56
We configureren de DNS service Bind9 om te luisteren naar de vertaalde IPv6-adressen gedit /etc/bind/named.conf.options dns64 2001:db8:1:ffff::/96 { clients { any; }; }; Om te zorgen dat na een herstart de DNS64 en NAT64 instellingen in orde zijn en het geheel correct opstart maken we een opstartbestand aan in /etc/init.d genaamd “Start64.sh”. #Enable ipv4 and ipv6 forwarding echo 1 > /proc/sys/net/ipv4/conf/all/forwarding echo 1 > /proc/sys/net/ipv6/conf/all/forwarding #Create tunnel nat64 tayga –mktun #startup nat64 interface ip link set nat64 up #add ipv4 and ipv6 address to nat64 interface #Note: IPv4 = only for nat64 interface #Note 2: IPv6 = for internal clients, this is the ip for their DNS settings ip addr add 192.168.255.1 dev nat64 ip addr add 2001:db8:1::1 dev nat64 #Add routes for correct routing ip route add 192.168.255.0/24 dev nat64 ip route add 2001:db8:1:ffff::/96 dev nat64 #allow the routing & nat translation via iptables iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE iptables -A FORWARD -i eth0 -o nat64 -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -A FORWARD -i nat64 -o eth0 -j ACCEPT #start up both services /etc/init.d/tayga start /etc/init.d/bind9 start Wanneer het account gecreëerd is op de website van freenet6 heb je genoeg aan het installeren en configureren van het program gogoc. Bij dit programma wordt automatisch radvd bij geïnstalleerd. Dit is een router-daemon waarmee autoconfiguratie mogelijk zal zijn voor de IPv6 clients. apt-get install gogoc Nu moeten we nog gogoc en radvd instellen. gedit /etc/gogoc/gogoc.conf
57
Om radvd te installeren moeten we eerst zelf nog handmatig het radvd.conf bestandje aanmaken. Deze moet in /etc komen te staan. gedit /etc/radvd.conf Deze geven we volgende inhoud. ##### rtadvd.conf made by Thomas Calcoen & Thomas Quartier #### interface eth1 { AdvSendAdvert on; AdvLinkMTU 1280; prefix 2001:05c0:1518:b300::/64 { AdvOnLink on; AdvAutonomous on; }; RDNSS 2001:db8:1:ffff::1 { # I have 2 DNS servers }; }; Na een reboot zou je zowel IPv4 als IPv6 websites kunnen pingen.
Fig. 2.19 IPv4 / IPv6 connectiviteit
We kunnen dus zowel http://www.google.be als http://ipv6.google.com pingen. Er is dus connectie mogelijk met een IPv4-only host als met een IPv6-only host.
58
2.10.12.3.2 Windows 2k8 r2 Om het netwerk meer te doen lijken op een bedrijfsnetwerk maken we van deze Windows 2008 R2 server een Domain Controller (DC). Deze DC zal als aanmeldingsserver, DNS-server en DHCP server dienen voor het testnetwerk. Het testdomein heten we ‘thomas.test’. De interface van deze DC worden ingesteld zodat deze enkel via het IPv6 protocol kan communiceren en wordt ingesteld met een vast IPv6 adres. Het gateway adres en DNS adres werd ingesteld zoals in de tabel hierboven staat aangeduid. 2.10.12.3.3 Windows 7 client De Windows 7 client vereist weinig instelwerk. Na de installatie wordt deze in het testdomein ‘thomas.test’ geplaatst en worden de interface instellingen aangepast zodat deze enkel via IPv6 kan communiceren. De IPv6 configuratiegegevens worden geplaatst op DHCP. Verdere configuratie is niet nodig. 2.10.12.3.4
Snelheidstest
De vertaling van IPv4 naar IPv6 De NAT mapping van een publiek IPv4 naar een intern IPv6-adres zal uiteraard enige vertraging opleveren. Deze mag echter niet te groot zijn natuurlijk. We testen deze vertraging door de ping-snelheid naar een IPv4 server te testen vanop een IPv6-only client en vanop de gateway, dewelke een IPv4 verbinding heeft en dus de vertaling niet nodig heeft.
Fig. 2.20 Google.be ping
We zien hier dat de ping snelheid naar google.be gemiddeld ongeveer 44,1ms duurt. Als we nu dezelfde website pingen maar vanop een IPv6-only client zullen we de vertraging door de NAT64 & DNS64 translatie eenvoudig kunnen afleiden.
Fig. 2.21 Google.be ping from IPv6-only host
Hier zien we dat de gemiddelde ping snelheid 48ms is. Dit is dus ruw geschat 4ms.
59
Snelheid IPv6 tunnel Het gebruik van een tunnel is natuurlijk een eenvoudige oplossing, maar deze moet ook bruikbaar zijn. Dit kan natuurlijk niet eenvoudig getest worden. We besloten om een speedtest uit te voeren voor zowel IPv4 als IPv6. Deze test werd voor beide protocollen gedaan door een zelfde aanbieder van speedtest applicaties namelijk thinkbroadband.com. Beide testen gebeuren van op het dualstack Ubuntu systeem zodat we achter dezelfde private IPv4 nat-box zitten en de verbinding dezelfde is. Er zijn natuurlijk nog diverse andere externe factoren die invloed hebben op deze test zoals andere gebruikers die plots een download starten,… De host-pc waarop de test wordt uitgevoerd is verbonden met het internet via een netwerk die achter een NAT staat. Deze zal ook natuurlijk invloed hebben op de verbinding en de snelheid van de VPN tunnel mogelijks beïnvloeden.
Fig. 2.22 IPv4 speedtest
Fig. 2.23 IPv6 speedtest
60
IPv6 connectiviteit Het testen van de connectiviteit deden we aan de had van de website http://testipv6.com. Deze test zowel je IPv4 als je IPv6 connectiviteit met behulp van verschillende tests en geeft je een uitgebreid verslag. Voor onze opstelling kregen we het onderstaande resultaat.
Fig. 2.24 IPv4 / IPv6 connectiviteit test
We merken dat we voor het IPv6 gedeelte 1 punt op 10 verliezen. Om te zien waar we dit punt verliezen kijken we naar de verschillende testen die uitgevoerd werden.
Fig. 2.25 Gedane testen
Het falen van de ISP’s DNS server is te wijten aan het feit dat Belgacom nog geen IPv6 ondersteuning aanbied. Aan de duur van de verschillende testen is duidelijk te zien dat er weinig verschil is tussen de IPv4 en de IPv6 verbinding op vlak van DNS resolving. Als je nu ook kijkt naar de snelheid waarop deze testen werden uitgevoerd kun je merken dat de IPv6 verbinding via de tunnel niet veel trager verloopt dan via de IPv4 verbinding. Het verschil ligt telkens onder de 100ms of 0,1s.
61
2.11 Financieel De implementatie van de ideale LAN brengt natuurlijk heel wat kosten met zich mee. Deze kosten zijn vanuit het oogpunt van een bedrijf een investering. Bij investeringen is het belangrijk dat de investering na een bepaalde periode terug opbrengt voor het bedrijf, anders is het geen goede investering. Vooraleer een bedrijf er aan denkt om een investering te doen moet een degelijk financieel plan opgesteld worden. In zo’n financieel plan worden zowel de kosten als de opbrengsten van de investering in kaart gebracht en wordt daar uiteindelijk de Return Of Investment (ROI) uit berekend. In onderstaande tabel staan enkele algemene factoren waar we rekening mee moeten houden tijdens het opstellen van het financieel plan.
Huidige downtime / maand (min) Huidige downtime / jaar (u) aantal werknemers Kostprijs werknemer / uur Gemiddeld aantal werkdagen / werknemer / jaar Gemiddeld aantal werkuren / werknemer / jaar Som alle werknemers uur / jaar Kostprijs alle werknemers / jaar
5 1 500 € 50 313 2441,4 1220700 € 61.035.000
2.11.1 Kosten Als eerste punt worden de kosten in kaart gebracht van deze ideale LAN. Bij het ontwerp van de ideale LAN hebben we voor een collapsed core and distribution structuur gekozen. Daarnaast gaan gebruiken we verbindingen van 10Gb tussen de core en access switches en 1G tussen de access switches en eind toestellen. Enkele Servers zullen ook op 10G aan de core aangesloten worden. Bij de kosten kan eventueel rekening gehouden worden met Power over Ethernet. Wanneer dit gewenst is moet de prijs van de access switches aangepast worden, voor ons valt dit echter buiten onze opdracht. In de volgende tabel zijn de kosten van deze investering terug te vinden.
Eenmalige kosten Apparatuur Racks (18 Units / rack) Cisco 6500 reeks (48x10Gb) Access Switch (48x 1Gb + 4x10 Gb) Management switch (12+ x 1Gb) Server-link switch (8 x 1GB)
Aantal 2 2 15 2 4
Prijs € 350 € 50.000 € 4.000 € 3.000 € 600
Totaal € 700 € 100.000 € 60.000 € 6.000 € 2.400
Manuren & training Planning, training & Installatie
Aantal 175
Prijs/h € 50
Totaal € 8.750
Bekabeling Cat 6a kabels 10G fiber
Aantal 500 40
Prijs € 20 € 100 Totaal:
Totaal € 10.000 € 4.000 € 191.850
Jaarlijkse Kosten Onderhoud Onderhoudskosten apparatuur (10% van aankoop)
€ 16.840
62
2.11.2 Opbrengst Naast de kosten hebben we de opbrengsten van een investering. Bij de investering in een ideale LAN kunnen we verschillende soorten opbrengsten hebben. De opbrengsten bij onze investering zijn een verhoging van de up time een verlaging van de personeelskosten om de apparatuur te onderhouden. In de volgende tabel zijn deze kosten weergeven.
Jaarlijkse opbrengsten Uptime Uptime huidige Uptime ideale Lan Verschil Personeel Huidige Operationele Kost (FTE) Ideale Operationele Kost (FTE) Verschil Totale opbrengst per jaar
% 99,9507% 99,9900% 0,0393%
Kost € 30.096,15 € 6.103,50 € 23.992,65
1 0,8 20,00%
€ 122.070,00 € 97.656,00 € 24.414,00 € 48.406,65
63
2.11.3 ROI Nu de kosten en de opbrengsten gekend zijn kunnen we de vergelijking maken en uiteindelijk kijken naar de ROI. Wanneer een bedrijf een investering doet maken ze vaak gebruik van een lening. In dit financieel plan kiezen we voor een lening van het volledige kostenbedrag die in 5 jaar afbetaald wordt. Op deze lening betalen we jaarlijks 5% interest. Naast de afbetaling van de lening moeten we ook jaarlijks de onderhoudskosten van de apparatuur betalen. Om de ROI te berekenen moeten we gebruik maken van de cumulatieve kosten en opbrengsten, dit is de som van alle kosten of opbrengsten die we op een bepaald tijdstip al hebben gehad. Door deze cumulatieve kosten en opbrengsten in grafiekvorm weer te geven kunnen we op een grafische manier afleiden als de investering al dan niet zal opbrengen. In het geval de investering opbrengt kunnen we dan afleiden vanaf wanneer de investering zal opbrengen. Dat tijdstip is dan de ROI van deze investering. Voor deze investering zullen we de kosten en opbrengsten gedurende 5 jaar bekijken. Het heeft geen nut om deze later te bekijken omdat een de gemiddelde levensduur van netwerk apparatuur niet langer dan 5 jaar is. In de tabel op de volgende pagina kun je zowel de kosten als opbrengsten vinden. Daaronder is de grafiek met de vergelijking tussen de opbrengsten en kosten te vinden.
Lening: jaarlijkse interest Periode: (jaar) jaarlijkse afbetaling
Jaar Openstaand saldo lening 1 € 191.850 2 € 153.480 3 € 115.110 4 € 76.740 5 € 38.370
Jaar 1 2 3 4 5
€ 191.200 5,00% 5 € 38.240 Kosten Afbetaling lening Onderhoudskosten € 47.963 € 16.840 € 46.44 € 16.840 € 44.126 € 16.840 € 42.207 € 16.840 € 40.289 € 16.840
Tot. Kosten/jaar € 64.803 € 62.884 € 60.966 € 59.047 € 57.129
Cum. Kosten € 64.803 € 127.687 € 188.652 € 247.699 € 304.828
Opbrengsten Uitsparingen/jaar Cum. Opbrengsten € 48.406,65 € 48.406,65 € 48.406,65 € 96.813,31 € 48.406,65 € 145.219,96 € 48.406,65 € 193.626,62 € 48.406,65 € 242.033,27
64
ROI Ideaal LAN 350000 300000
bedrag
250000 200000 Cum. Kosten
150000
Cum. Opbrengsten 100000 50000 0 0
1
2
3
4
5
6
jaar
2.11.4 Besluit Uit het financieel plan blijkt dat deze investering nooit zal opbrengen. De kosten zijn vanaf het eerste jaar al hoger dan de opbrengsten en gedurende 5 jaar wordt het verschil alleen maar groter. Dit blijkt dus geen goede investering te zijn. We zullen nu verder moeten kijken in het deel van de praktische LAN om de kosten te drukken zonder de opbrengsten veel te verlagen.
65
3 Praktische LAN- infrastructuur In dit deel, de praktische LAN, zoeken we naar een ideaal LAN die in de praktijk haalbaar is, hierbij moeten we vooral rekening houden met de financiële kant. Om de praktische LAN te ontwerpen zijn we gestart met te onderzoeken hoe het huidig netwerk in elkaar zit, welke bekabeling ligt er, welke apparatuur word nu gebruikt. Op die manier kunnen we sommige delen opnieuw gebruiken en zo de kosten beperken. In het huidig netwerk zijn er twee datacenters en twee gebouwen waar een distributie rek staat. Tussen de twee datacenters liggen 24 fibers met een snelheid van 1Gb/s en 100 ethernet kabels van 100Mb/s. Tussen het tweede datacenter en de twee distributie rekken liggen telkens twee glasvezel verbindingen van elke 1Gb/s.
Fig. 3.1 Huidige situatie
In het huidige netwerk worden vooral Cisco 3750 en 2960 switches en nog enkele HP switches gebruikt. Deze switches zijn allemaal geconfigureerd zodat het volledige netwerk op laag 2 werkt, dit is dus 1 groot plat netwerk.
66
3.1 Algemeen In de praktische LAN hebben we ervoor gekozen om optimaal gebruik te maken van de verbindingen tussen de gebouwen en gaan we ook heel wat netwerk apparatuur opnieuw gebruiken.
Fig. 3.2 Praktisch concept
Bovenstaande afbeelding geeft de structuur van ons ontwerp van de praktische LAN weer. Je kunt de 4 bestaande gebouwen herkennen zoals op de vorige figuur. Op vlak van infrastructuur wordt er opnieuw gebruik gemaakt van 2 core switches, die samenwerken als 1 grote virtuele switch. Ze zijn via 1Gb/s fiber verbindingen zowel met elkaar als met beide distributie rekken verbonden. Op die manier kunnen we de bestaande verbindingen optimaal benutten. In beide distributie rekken komen gestackte Cisco 3750 switches te staan. Hierdoor kunnen we eenvoudig link aggregation toepassen op de verbindingen tussen de 2 core switches en de gestackte distribution switch. Verder maken we gebruik van 1Gb/s verbindingen tot aan de access switches en vanaf daar 100Mb/s verbindingen naar de pc’s. Servers die een hoge bandbreedte nodig hebben kunnen we via 1 of meer verbindingen rechtstreeks aan de core koppelen. Zo kunnen we verbindingen maken met 1Gb/s of een veelvoud daarvan afhankelijk van het aantal verbindingen. Als we de bandbreedte van de uplinks van de twee distributie rekken optellen komen we aan 4Gb/s wat ruim voldoende is.
67
3.2 Datacenter 1 In het eerste datacenter komt een van de 2 core switches te staan. Op de figuur hieronder kun je duidelijk zien wat er precies op deze core switch is aangesloten. Er zijn 2 fiber-verbindingen voorzien naar de 2de core switch en 1 fiber verbinding naar elk distributierack. Tevens wordt deze switch verbonden met een van beide firewalls, deze staan echter in datacenter 2 waardoor deze verbinding via de kabelgoot zal lopen.
Fig. 3.3 Datacenter 1
De switches voor het management netwerk plaatsen we in dit datacenter. Er lopen genoeg ethernetkabels van datacenter 1 naar datacenter 2 om alles uit datacenter 2 ook hiermee te kunnen verbinden.
68
3.3 Datacenter 2 In datacenter 2 staat de 2de core switch. Op de figuur kun je zien dat de 2 fiber verbindingen ende 2 ethernetconnecties vanuit datacenter 1 hierop toekomen. De ene ethernetverbinding wordt op de firewall aangesloten terwijl de andere op de core switch wordt verbonden zodat deze ook rechtstreeks met het managementnetwerk verbonden is.
Fig. 3.4 Datacenter 2
Opnieuw worden van deze switch ook telkens 1 fiberverbinding voorzien naar de distribution racks. Hierdoor is de kruisverbinding naar beide racks tot stand gebracht en zal het uitvallen van een van beide core switches niet leiden tot het afsluiten van de gebruikers van de rest van het netwerk.
69
3.4 Distribution racks We hebben twee gebouwen waar een distributie rek staat, beiden zijn gelijk opgebouwd. We maken gebruik van een distributie- en een access laag. Hierdoor hebben we heel wat minder bekabeling tussen de core en de distributie rekken nodig. In de distributie laag maken we gebruik van 2 Cisco 3750 switches die gestackt worden. Deze switches worden elk verbonden met een core switch. Op die manier verkrijgen we een hoge redundantie, er mag een connectie, een core switch of een distributie switch down gaan, alles blijft verder werken. Dit gebeurt dan echter wel op een lagere bandbreedte. Naast de fiber verbindingen naar de core worden de twee distributie switches ook nog eens verbonden met alle access switches. Op die manier heeft elke access switch 2 uplinks, dit verhoogt opnieuw de bandbreedte en redundantie. De access switches bieden verder nog een hoog aantal poorten om alle eind toestellen op het netwerk aan te sluiten.
Fig. 3.5 Distributionracks
70
3.5 Financieel Nu de praktische implementatie van de ideale LAN toegelicht is, moet opnieuw een financieel plan opgesteld worden om te kijken als deze oplossing nu wel haalbaar is. Eerst worden de kosten en opbrengsten opnieuw berekend en daarna vergeleken om de ROI te weten te komen.
3.5.1 Kosten In de volgende tabel zijn de kosten weergegeven, deze kosten liggen veel lager dan bij de ideale LAN. Dit komt omdat we hier gebruik maken van goedkopere apparatuur en ook minder bekabeling moeten aankopen. Een gevolg van deze lagere vaste kosten is dat ook de jaarlijkse onderhoudskosten dalen, want dit is 10% van de aankoopprijs van de apparatuur.
Eenmalige kosten Apparatuur Racks (18 Units / rack) Cisco 4500 reeks (72x1Gb) Distribution Switch Cisco 3750 (24x 1Gb) Stack Server-link switch (8 x 1Gb) Access Cisco 3750 (2 x 1G + 48 x 10/100)
Aantal Prijs Totaal 2 € 350 € 700 2 € 23.400 € 46.800 4 € 5.000 € 20.000 4 € 600 € 2.400 2 € 4.000 € 8.000
Manuren & training Planning, training & Installatie
Aantal 150
Prijs/h € 50
Totaal € 7.500
Totaal: € 85.400 Jaarlijkse kosten Onderhoud Onderhoudscontract (10% aankoopprijs)
€ 7.790
71
3.5.2 Opbrengst Het is logische dat ook de opbrengsten niet gelijk blijven wanneer we te maken hebben met andere (goedkopere) apparatuur. Dit kun je zien aan de opbrengst van de uptime. Deze is niet zo groot als bij de ideale LAN. De opbrengst door lagere personeelskosten is wel gelijk gebleven. De opbrengsten in de praktische LAN zijn ongeveer 10.000 euro gedaald tegenover de ideale LAN. In volgende tabel kun je deze opbrengsten terug vinden.
Jaarlijkse Opbrengsten Uptime Uptime huidige Uptime verbeterde Lan Verschil Personeel Huidige Operationele Kost (FTE) Verbeterde Operationele Kost (FTE) Verschil
% 99,9507% 99,9750% 0,0243%
Kost € 30.096,15 € 15.258,75 € 14.837,40
1 0,8 20,00%
€ 122.070,00 € 97.656,00 € 24.414,00
Totale opbrengst per jaar
€ 39.251,40
3.5.3 ROI De kosten en opbrengsten kunnen opnieuw vergleken worden en deze kun zijn hier weergeven onder de vorm van een grafiek.
ROI Praktische LAN 250000
bedrag
200000 150000 Cum. Kosten
100000
Cum. Opbrengsten 50000 0 0
1
2
3
4
5
6
jaar
3.5.4 Besluit We kunnen hier afleiden dat dit een goede investering is die al vanaf het eerste jaar zal opbrengen. We hebben de kosten kunnen verminderen zonder de opbrengsten veel te verlagen. Op die manier hebben we dus een haalbare investering uitgewerkt.
72
4 Migratie De overgang maken van de huidige LAN naar de ideale LAN infrastructuur gebeurt niet zomaar. Er moet een degelijk plan opgesteld worden zodat deze migratie op een goede manier kan gebeuren. Hierbij is het belangrijk om er rekening mee te houden dat we in een bedrijf kritisch netwerk zitten. Het is niet gewenst dat dit netwerk bijvoorbeeld een week niet toegankelijk is. Het netwerk moet vanaf internet toegankelijk zijn, maar ook voor de interne gebruikers, de werknemers van ADMB. Zonder dit netwerk kunnen zei niet op een goede manier hun job uitoefenen. Het is dus logisch dat de grote aanpassingen niet gelijk wanneer kunnen gedaan worden. Aanpassingen waarbij het netwerk down gaat voor een bepaald tijd moeten dus buiten de werkuren van ADMB gebeuren. Wanneer er dus iets veranderd moet worden die invloed heeft op het productie netwerk moet dit zoveel mogelijk tijdens het weekend gebeuren zodat er wat ruimte is voor vertraging en eventuele problemen zonder dat deze down-time invloed heeft op het productieproces.
4.1 Algemeen De overgang van het huidige naar het ideale netwerk kan niet in 1 stap gebeuren. Er moet teveel gebeuren om alles in 1 stuk te veranderen. Verder is het risico op problemen te groot. Het is beter om in meerdere kleine stappen de overgang te maken en elke aanpassing grondig te testen vooraleer verder te gaan. Een eerste stap is het installeren van de 2 core switches in beide datacenters. Hiervoor moet het netwerk niet down gaan. De 2 core switches moeten worden geplaatst, verbonden met elkaar en ingesteld. Pas wanneer dit goed werkt en grondig getest is kan overgegaan worden naar de volgende stap. De volgende stap is het doorverbinden van de fiber verbinding naar datacenter 1. Deze ingreep kan gebeuren tijdens de week doordat het netwerk nog steeds bruikbaar blijft. Enkel de bandbreedte zal tijdelijk halveren. Dit is echter geen probleem wanneer we kijken naar de huidige pieken in trafiek. Doordat het management netwerk die we voorzien hebben een volledig gescheiden netwerk is kan dit volledig gebouwd en ingesteld worden zonder dat het bedrijfsnetwerk hier last van ondervind. Deze kan ook rechtstreeks op de core switches worden aangesloten. Nadat dit netwerk geconfigureerd en getest is, kan ook de PRTG server ingesteld, getest en aangesloten worden op het management netwerk. Indien er Cisco 3750 switches beschikbaar zijn, kunnen we nog stap uitvoeren die tijdens de werkuren kan voltooid worden. Deze switches kunnen worden geconfigureerd in de distribution racks. Deze kunnen tijdelijk in het datacenter verbonden worden met een fiberverbinding zoals deze verbonden zal zijn in de distribution racks om de connectiviteit en werking tussen de core & distribution layer in te stellen en te testen. In principe zou heb je nu naast het bestaande netwerk een opstelling van de 2 core switches die enkele virtueel geheel vormen en waarmee de distribution switches (Cisco 3750) verbonden zijn. De switches van het management netwerk zijn reeds ook met de core verbonden. Nu volgt het gedeelte dat niet kan worden uitgevoerd tijdens de werkuren. Het aanpassen van de instellingen van de servers, het instellen & verbinden van de access switches en hosts.
73
De overgang van IPv4 naar IPv6 is iets wat het best niet direct gebeurt en we raden dus aan om zowel IPv4 toegang zoals deze nu bestaat in te stellen en hiernaast ook IPv6 toegang in te stellen. Alle servers moeten dus een vast IPv6 adres krijgen en moet in AD de group policy’s worden aangepast zodat alle desktops en apparatuur ook het IPv6-protocol wordt aangevinkt op de interfaces en communicatie over IPv6 mogelijk is. De vrijdagavond voor de grote verandering kunnen alle desktops en laptops worden afgesloten zodat, wanneer de werknemers de maandagmorgen terug komen werken, deze opnieuw moeten worden opgestart. Bijgevolg zullen deze computers allemaal, na aanmelden op het domein, eventuele veranderingen en nieuwe of aangepaste Group Policy's toepassen.
74
4.2 Besluit Wanneer we alles wat moet gebeuren heel ruw samenvatten kunnen we dit onderverdelen in 2 grote stukken. Een gedeelte dat kan gebeuren tijdens de werkuren en die geen invloed heeft op het productienetwerk en een gedeelte dat daarop wel invloed zal hebben en dus moet gebeuren buiten de werkuren.
Gedeelte dat tijdens werkuren kan gebeuren
Core switches installeren en instellen o Voor zowel nieuwe IPv6 implementatie als communicatie over IPv4 zoals het huidige netwerk Switches van het management netwerk instellen en aansluiten Nieuwe PRTG server installeren, instellen & aansluiten op management netwerk 2 fiber verbindingen vanaf distribution racks doorverbinden van datacenter 2 naar datacenter 1 via kabelgoot tussen 2 datacenters Distributionswitches instellen o Deze kunnen eerst aangesloten worden in de datacenters om de werking te testen
Gedeelte dat buiten werkuren moet gebeuren
Alle desktops & laptops afsluiten Alle servers instellen met IPv6 adres op de interfaces Alle servers die moeten worden aangepast voor de IPv6-deployment juist herconfigureren Nieuwe configuraties op de access switches plaatsen en deze verder instellen met de juiste extra configuraties Distribution switches plaatsen en verbinden met de core switches via de fiberverbindingen Access switches plaatsen en verbinden met de distribution switches Alle servers, firewalls, internet verbinding,... aansluiten op de core switches in de datacenters Alle apparatuur opstarten en connectiviteit testen Meerdere Pc’s op verschillende locaties opstarten en kijken of deze kunnen aanmelden op het domein, of ze de juiste group policy’s toepassen en de IPv6 configuraties correct worden ingeladen.
Afhankelijk van het netwerk moet aan de hand van deze lijst een checklist worden opgesteld van alle zaken die moeten gebeuren.
75
Lijst van afkortingen ACL AD APT ARP AVG BPDU CPU DC DHCP DMZ DNS DSCP EAP EIGRP FQDN FTP Gb GLBP HSRP HTTP HTTPS IANA IEEE IETF IMAP IP IPv4 IPv6 IRF ISATAP iSCSI ISL ISP LAG LAN LDAP LSDB MAC Mb MC-LAG MSN MTU NAS NAT NNTP
: : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : :
Access Control List Active Directory Advanced Packaging Tool Address Resolution Protocol Active virtual gateway Bridge protocol data unit Central Processing Unit Domain Controller Dynamic Host Configuration Protocol Demilitarized Zone Domain Name Service Differentiated Services code point Extensible Authentication Protocol Enhanced Interior Gateway Routing Protocol Fully Qualified Domain Name Foiled twisted Pair / File Transfer Protocol Gigabit Gateway Load Balacing Protocol Hot Standby Router Protocol Hypertext Transfer Protocol Secure Hypertext Transfer Protocol Internet Assigned Numbers Authority Institute of Electrical and Electronics Engineers Internet Engineering Task Force Internet Message Access Protocol Internet Protocol Internet Protocol versie 4 Internet Protocol versie 6 Intelligent Resilient Framework Intra-Site automatic tunnel addressing protocol Internet Small Computer System Interface Inter Switch Link Internet Service Provider Link Aggregation Group Local Area Network Lightweight Directory Access Protocol Link state database Media Access Control (hardware adres van een apparaat) Megabit Multi Chassis Link Aggregation Group Multiple Subscriber Number Maximum Transmission Unit Network Attached Storage Network Address Translation Network News Transfer protocol 76
OS OSI-model OSPF PC PEAP PGP PoE POP3 PSK PTR-record QoS RDP RIP RIPv2 ROI SAN SAS SMTP SNMP SSH SSL STP STP-kabel Tb TCP TCP/IP TFTP TKIP TLS TTL UCP UDP UPS UTP-kabel VLAN VM VMPS VNC VoIP VPN VRRP VSS WAN WEP WPAv1 / WPAv2
: : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : :
Operating System ISO Reference Model for Open Systems Interconnection Open Shortest Path First Personal Computer Protected Extensible Authentication Protocol Pretty Good Privacy Power over Ethernet Post Office Protocol PreShared Key Pointer-record Quality of Service Remote Desktop Protocol Routing Information Protocol Routing information Protocol versie 2 Return on Investment Storage Attached Network Serial Attached SCSI Simple Mail Transfer Protocol Simple Network Management Protocol Secure Shell Secure Socket Layer Spanning tree protocol Shielded twisted pair Terabit Transmission Control Protocol Transmission Control Protocol over Internet Protocol Trivial File Transfer Protocol Temporal Key Integrity Protocol Transport Layer Security Time To Live Unified Communications Platform User Datagram Protocol Uninterruptible Power Supply Unshielded Twisted Pair Virtual LAN Virtual Machine Vlan Membership Policy Server Virtual Network Computing Voice over IP Virtual Private Network Virtual Router Redundancy Protocol Virtual Switching System Wide Area Network Wired Equivalent Privacy Wi-Fi Proteced Access Protocol (versie 1 / versie 2)
77
Bibliografie Bauer, M. (2012, 04). Designing and Using DMZ Networks to Protect Internet Servers. Opgehaald van Linux journal: http://www.linuxjournal.com/article/4415 Category 5 vable. (2012, 04). Opgehaald van Wikipedia: http://en.wikipedia.org/wiki/Category_5_cable Cisco Catalyst 3750-X Series Switches. (2012, 04). Opgehaald van Cisco: http://www.cisco.com/en/US/products/ps10745/index.html Deploying High Availability in Campus. (2012, 03). Opgehaald van Cisco: http://www.cisco.com/en/US/docs/solutions/Enterprise/Campus/Borderless_Camp us_Network_1.0/BN_Campus_HA.html Dye, M. A., McDonald, R., & Rufi, A. W. (2008). Network Fundamentals. Indianapolis: Cisco Press. Enterprise Campus 3.0 Architecture: Overview and Framework. (2012, 03). Opgehaald van Cisco: http://www.cisco.com/en/US/docs/solutions/Enterprise/Campus/campover.html Enterprise Network Design. (2012, 03). Opgehaald van Enterprise Network Systems: http://enterprisenetworksystem.com/enterprise-network-design/ Ferro, G. (2012, 05 05). Blessay: Designing Enterprise DMZ and Multilayer Firewall Clusters. Opgehaald van Ethereal Mind: http://etherealmind.com/designenterprise-dmz-firewall-clusters/ Getwist paar. (2012, 03). Opgehaald van Wikipedia: http://nl.wikipedia.org/wiki/Twisted_pair Glasvezel. (2012, 03). Opgehaald van Wikipedia: http://nl.wikipedia.org/wiki/Glasvezelkabel Graziani, R., & Johnson, A. (2008). Routing Protocols and Concepts. Indianapolis: Cisco Press. High Availability met HSRP. (2012, 04). Opgehaald van aazoo: http://www.aazoo.nl/high-availability-met-hsrp HP 10500 Switch Series. (2012, 04). Opgehaald van HP: http://h18004.www1.hp.com/products/quickspecs/14167_div/14167_div.html IPv6 Transition Technologies. (2012, 04). Opgehaald van ipv6: http://ipv6.com/articles/gateways/IPv6-Tunnelling.htm Layer 3 Switching. (2012, 03). Opgehaald van pulsewan: http://www.pulsewan.com/data101/layer3_switching_basics.htm Lewis, W. (2008). Lan Switching and Wireless. Indianapolis: Cisco Press.
78
Link aggregation. (2012, 04). Opgehaald van Wikipedia: http://nl.wikipedia.org/wiki/Link_aggregation McCreery, T. (2012, 04). How to Ensure a Successful VOIP System Implementation. Opgehaald van Eweek: http://www.eweek.com/c/a/VOIP-and-Telephony/How-toEnsure-a-Successful-VOIP-System-Implementation/ MC-LAG. (2012, 04). Opgehaald van Wikipedia: http://en.wikipedia.org/wiki/MC-LAG Michael J. King, T. Z. (2012, 04). Magic Quadrant for Wireless LAN Infrastructure (Global). Opgehaald van Gartner: http://www.gartner.com/technology/mediaproducts/reprints/meraki/article1/article1.html OSPF and EIGRP Concepts and Configuration. (2012, 03). Opgehaald van ProProfs: http://www.proprofs.com/mwiki/index.php/OSPF_and_EIGRP_Concepts_and_Conf iguration Pepelnjak, I. (2012, 04). Multi-chassis link aggregation (MLAG) basics. Opgehaald van IPSpace: http://blog.ioshints.info/2010/10/multi-chassis-link-aggregationbasics.html Redundant topologies. (2012, 03). Opgehaald van Wikipedia: http://en.wikipedia.org/wiki/Redundant_topologies Remote-Edge AP (REAP) with Lightweight APs and Wireless LAN Controllers (WLCs) Configuration Example. (2012, 04). Opgehaald van Cisco: http://www.cisco.com/en/US/tech/tk722/tk809/technologies_configuration_exam ple09186a008069da69.shtml SAN Backup solutions. (2012, 03). Opgehaald van Unylogix: http://www.unylogix.com/data_storage/backup/SANbackup.html Section 2.2. Types of Firewall and DMZ Architectures. (2012, 03). Opgehaald van Etutorials: http://etutorials.org/Linux+systems/secure+linuxbased+servers/Chapter+2.+Designing+Perimeter+Networks/Section+2.2.+Types +of+Firewall+and+DMZ+Architectures/ Sheperd, M. (2012, 04). Characteristics of switches and routers. Spijker, R. v. (2012, 05 05). Multiple Systems Link Aggregation Control Protocol. Opgehaald van http://www.ieee802.org/1/files/public/docs2011/bq-rick-van-tspijker-mslacp-final-31-05-2010-1104.pdf The 4 Wireless Controller Architectures You Need to Know. (2012, 04). Opgehaald van securityuncorked: http://securityuncorked.com/2011/11/the-4-wirelesscontroller-architectures-you-need-to-know/ The 7 Deadly Traps of IPv6 Deployment - and How To Avoid Them. (2012, 05). The Application Fluent Network. (2012, 04). The Cisco Three-Layered Hierarchical Model. (2012, 03). Opgehaald van mc mcse: http://www.mcmcse.com/cisco/guides/hierarchical_model.shtml
79
Vachon, B., & Graziani, R. (2008). Accessing the WAN. Indianapolis: Cisco Press. Virtualisatie. (2012, 05). Opgehaald van Wikipedia: http://nl.wikipedia.org/wiki/Virtualisatie Winkelman, D. R. (2012, 03). Network cabling. Opgehaald van http://fcit.usf.edu/network/chap4/chap4.htm Wireless LAN Controller (WLC) Design and Features FAQ. (2012, 03). Opgehaald van Cisco: http://www.cisco.com/en/US/products/ps6366/products_qanda_item09186a0080 8b4c61.shtml
80
Bijlagen 1. Bijlage I # version 5.20, Release 1211 # sysname HP1 # irf mac-address persistent timer irf auto-update enable undo irf link-delay irf member 1 priority 10 # domain default enable system # router id 10.10.0.1 # ipv6 # telnet server enable # shutdown-interval 0 # vlan 1 # vlan 10 description client vlan 10 # vlan 20 description client vlan 20 # vlan 99 description management # vlan 100 description gateway # radius scheme system primary authentication 127.0.0.1 1645 primary accounting 127.0.0.1 1646 user-name-format without-domain # domain system access-limit disable state active idle-cut disable self-service-url disable # user-group system # local-user admin password simple admin authorization-attribute level 3 service-type telnet local-user view password simple admin
81
service-type portal # user-profile admin # interface NULL0 # interface Vlan-interface1 # interface Vlan-interface10 ipv6 address 2001:DB8:1:10::1/64 # interface Vlan-interface20 ipv6 address 2001:DB8:1:20::1/64 # interface Vlan-interface99 ip address 10.10.10.1 255.255.255.252 # interface Vlan-interface100 ipv6 address 2001:DB8:1:100::2/64 # interface GigabitEthernet1/0/1 port link-mode bridge port access vlan 10 # interface GigabitEthernet1/0/2 port link-mode bridge port access vlan 10 # interface GigabitEthernet1/0/3 port link-mode bridge # interface GigabitEthernet1/0/4 port link-mode bridge # interface GigabitEthernet1/0/5 port link-mode bridge # interface GigabitEthernet1/0/6 port link-mode bridge # interface GigabitEthernet1/0/7 port link-mode bridge # interface GigabitEthernet1/0/8 port link-mode bridge # interface GigabitEthernet1/0/9 port link-mode bridge # interface GigabitEthernet1/0/10 port link-mode bridge port link-type trunk port trunk permit vlan all # interface GigabitEthernet1/0/11 port link-mode bridge # 82
interface GigabitEthernet1/0/12 port link-mode bridge # interface GigabitEthernet1/0/13 port link-mode bridge # interface GigabitEthernet1/0/14 port link-mode bridge # interface GigabitEthernet1/0/15 port link-mode bridge # interface GigabitEthernet1/0/16 port link-mode bridge # interface GigabitEthernet1/0/17 port link-mode bridge # interface GigabitEthernet1/0/18 port link-mode bridge # interface GigabitEthernet1/0/19 port link-mode bridge # interface GigabitEthernet1/0/20 port link-mode bridge port link-type trunk port trunk permit vlan all # interface GigabitEthernet1/0/21 port link-mode bridge # interface GigabitEthernet1/0/22 port link-mode bridge # interface GigabitEthernet1/0/23 port link-mode bridge # interface GigabitEthernet1/0/24 port link-mode bridge # interface GigabitEthernet1/0/25 port link-mode bridge # interface GigabitEthernet1/0/26 port link-mode bridge # interface GigabitEthernet1/0/27 port link-mode bridge # interface GigabitEthernet1/0/28 port link-mode bridge # interface GigabitEthernet1/0/29 port link-mode bridge # interface GigabitEthernet1/0/30 83
port link-mode bridge # interface GigabitEthernet1/0/31 port link-mode bridge # interface GigabitEthernet1/0/32 port link-mode bridge # interface GigabitEthernet1/0/33 port link-mode bridge # interface GigabitEthernet1/0/34 port link-mode bridge # interface GigabitEthernet1/0/35 port link-mode bridge # interface GigabitEthernet1/0/36 port link-mode bridge # interface GigabitEthernet1/0/37 port link-mode bridge # interface GigabitEthernet1/0/38 port link-mode bridge # interface GigabitEthernet1/0/39 port link-mode bridge # interface GigabitEthernet1/0/40 port link-mode bridge # interface GigabitEthernet1/0/41 port link-mode bridge # interface GigabitEthernet1/0/42 port link-mode bridge # interface GigabitEthernet1/0/43 port link-mode bridge # interface GigabitEthernet1/0/44 port link-mode bridge # interface GigabitEthernet1/0/45 port link-mode bridge # interface GigabitEthernet1/0/46 port link-mode bridge # interface GigabitEthernet1/0/47 port link-mode bridge # interface GigabitEthernet1/0/48 port link-mode bridge port access vlan 99 # 84
interface GigabitEthernet2/0/1 port link-mode bridge port access vlan 100 # interface GigabitEthernet2/0/2 port link-mode bridge port access vlan 100 # interface GigabitEthernet2/0/3 port link-mode bridge # interface GigabitEthernet2/0/4 port link-mode bridge # interface GigabitEthernet2/0/5 port link-mode bridge # interface GigabitEthernet2/0/6 port link-mode bridge # interface GigabitEthernet2/0/7 port link-mode bridge # interface GigabitEthernet2/0/8 port link-mode bridge # interface GigabitEthernet2/0/9 port link-mode bridge # interface GigabitEthernet2/0/10 port link-mode bridge port link-type trunk port trunk permit vlan all # interface GigabitEthernet2/0/11 port link-mode bridge # interface GigabitEthernet2/0/12 port link-mode bridge # interface GigabitEthernet2/0/13 port link-mode bridge # interface GigabitEthernet2/0/14 port link-mode bridge # interface GigabitEthernet2/0/15 port link-mode bridge # interface GigabitEthernet2/0/16 port link-mode bridge # interface GigabitEthernet2/0/17 port link-mode bridge # interface GigabitEthernet2/0/18 port link-mode bridge 85
# interface GigabitEthernet2/0/19 port link-mode bridge # interface GigabitEthernet2/0/20 port link-mode bridge port link-type trunk port trunk permit vlan all # interface GigabitEthernet2/0/21 port link-mode bridge # interface GigabitEthernet2/0/22 port link-mode bridge # interface GigabitEthernet2/0/23 port link-mode bridge # interface GigabitEthernet2/0/24 port link-mode bridge # interface GigabitEthernet2/0/25 port link-mode bridge # interface GigabitEthernet2/0/26 port link-mode bridge # interface GigabitEthernet2/0/27 port link-mode bridge # interface GigabitEthernet2/0/28 port link-mode bridge # interface GigabitEthernet2/0/29 port link-mode bridge # interface GigabitEthernet2/0/30 port link-mode bridge # interface GigabitEthernet2/0/31 port link-mode bridge # interface GigabitEthernet2/0/32 port link-mode bridge # interface GigabitEthernet2/0/33 port link-mode bridge # interface GigabitEthernet2/0/34 port link-mode bridge # interface GigabitEthernet2/0/35 port link-mode bridge # interface GigabitEthernet2/0/36 port link-mode bridge # 86
interface GigabitEthernet2/0/37 port link-mode bridge # interface GigabitEthernet2/0/38 port link-mode bridge # interface GigabitEthernet2/0/39 port link-mode bridge # interface GigabitEthernet2/0/40 port link-mode bridge # interface GigabitEthernet2/0/41 port link-mode bridge # interface GigabitEthernet2/0/42 port link-mode bridge # interface GigabitEthernet2/0/43 port link-mode bridge # interface GigabitEthernet2/0/44 port link-mode bridge # interface GigabitEthernet2/0/45 port link-mode bridge # interface GigabitEthernet2/0/46 port link-mode bridge # interface GigabitEthernet2/0/47 port link-mode bridge port access vlan 100 # interface GigabitEthernet2/0/48 port link-mode bridge port access vlan 10 # interface M-GigabitEthernet0/0/0 # interface Ten-GigabitEthernet1/0/49 port link-mode bridge # interface Ten-GigabitEthernet1/0/50 port link-mode bridge # interface Ten-GigabitEthernet1/0/51 port link-mode bridge # interface Ten-GigabitEthernet1/0/52 port link-mode bridge # interface Ten-GigabitEthernet1/0/53 port link-mode bridge # interface Ten-GigabitEthernet2/0/49 port link-mode bridge 87
# interface Ten-GigabitEthernet2/0/50 port link-mode bridge # interface Ten-GigabitEthernet2/0/51 port link-mode bridge # interface Ten-GigabitEthernet2/0/52 port link-mode bridge # interface Ten-GigabitEthernet2/0/53 port link-mode bridge # interface Ten-GigabitEthernet1/0/54 # interface Ten-GigabitEthernet2/0/54 # ipv6 route-static :: 0 2001:DB8:1:100::1 ipv6 route-static 2001:DB8:1:10:: 64 Vlan-interface10 FE80::22FD:FEFF:FEC8:6A56 # load xml-configuration # load tr069-configuration # user-interface aux 0 1 user-interface vty 0 15 # irf-port 1/2 port group interface Ten-GigabitEthernet1/0/54 mode enhanced # irf-port 2/1 port group interface Ten-GigabitEthernet2/0/54 mode enhanced # return
88
2. Bijlage II Test1: 1 trunks per access switch gebruik makende van LACP root@ubuntu:/home/ubuntu# ping6 2001:db8:1:100::5 PING 2001:db8:1:100::5(2001:db8:1:100::5) 56 data bytes 64 bytes from 2001:db8:1:100::5: icmp_seq=1 ttl=64 time=0.228 ms 64 bytes from 2001:db8:1:100::5: icmp_seq=2 ttl=64 time=0.219 ms 64 bytes from 2001:db8:1:100::5: icmp_seq=3 ttl=64 time=0.219 ms 64 bytes from 2001:db8:1:100::5: icmp_seq=4 ttl=64 time=0.221 ms 64 bytes from 2001:db8:1:100::5: icmp_seq=5 ttl=64 time=0.220 ms 64 bytes from 2001:db8:1:100::5: icmp_seq=6 ttl=64 time=0.215 ms 64 bytes from 2001:db8:1:100::5: icmp_seq=7 ttl=64 time=0.212 ms 64 bytes from 2001:db8:1:100::5: icmp_seq=8 ttl=64 time=0.219 ms 64 bytes from 2001:db8:1:100::5: icmp_seq=9 ttl=64 time=0.220 ms 64 bytes from 2001:db8:1:100::5: icmp_seq=10 ttl=64 time=0.213 ms 64 bytes from 2001:db8:1:100::5: icmp_seq=11 ttl=64 time=0.222 ms 64 bytes from 2001:db8:1:100::5: icmp_seq=12 ttl=64 time=0.220 ms 64 bytes from 2001:db8:1:100::5: icmp_seq=13 ttl=64 time=0.220 ms 64 bytes from 2001:db8:1:100::5: icmp_seq=14 ttl=64 time=0.219 ms 64 bytes from 2001:db8:1:100::5: icmp_seq=15 ttl=64 time=0.220 ms 64 bytes from 2001:db8:1:100::5: icmp_seq=16 ttl=64 time=0.222 ms 64 bytes from 2001:db8:1:100::5: icmp_seq=17 ttl=64 time=0.220 ms ^C --- 2001:db8:1:100::5 ping statistics --17 packets transmitted, 17 received, 0% packet loss, time 15998ms rtt min/avg/max/mdev = 0.212/0.219/0.228/0.012 ms Test2: Failure van 1 link tussen core switches en access switch Test1.2: root@ubuntu:/home/ubuntu# ping6 2001:db8:1:100::5 PING 2001:db8:1:100::5(2001:db8:1:100::5) 56 data bytes 64 bytes from 2001:db8:1:100::5: icmp_seq=1 ttl=64 time=0.227 ms 64 bytes from 2001:db8:1:100::5: icmp_seq=2 ttl=64 time=0.219 ms 64 bytes from 2001:db8:1:100::5: icmp_seq=3 ttl=64 time=0.222 ms 64 bytes from 2001:db8:1:100::5: icmp_seq=4 ttl=64 time=0.233 ms 64 bytes from 2001:db8:1:100::5: icmp_seq=5 ttl=64 time=0.223 ms 64 bytes from 2001:db8:1:100::5: icmp_seq=6 ttl=64 time=0.215 ms 64 bytes from 2001:db8:1:100::5: icmp_seq=7 ttl=64 time=0.233 ms 64 bytes from 2001:db8:1:100::5: icmp_seq=8 ttl=64 time=0.221 ms 64 bytes from 2001:db8:1:100::5: icmp_seq=9 ttl=64 time=0.222 ms 64 bytes from 2001:db8:1:100::5: icmp_seq=10 ttl=64 time=0.232 ms 64 bytes from 2001:db8:1:100::5: icmp_seq=11 ttl=64 time=0.224 ms 64 bytes from 2001:db8:1:100::5: icmp_seq=12 ttl=64 time=0.221 ms 64 bytes from 2001:db8:1:100::5: icmp_seq=13 ttl=64 time=0.225 ms 64 bytes from 2001:db8:1:100::5: icmp_seq=14 ttl=64 time=0.222 ms 64 bytes from 2001:db8:1:100::5: icmp_seq=15 ttl=64 time=0.222 ms 64 bytes from 2001:db8:1:100::5: icmp_seq=16 ttl=64 time=0.219 ms 64 bytes from 2001:db8:1:100::5: icmp_seq=17 ttl=64 time=0.223 ms 64 bytes from 2001:db8:1:100::5: icmp_seq=18 ttl=64 time=0.221 ms 64 bytes from 2001:db8:1:100::5: icmp_seq=19 ttl=64 time=0.220 ms 64 bytes from 2001:db8:1:100::5: icmp_seq=20 ttl=64 time=0.223 ms 64 bytes from 2001:db8:1:100::5: icmp_seq=21 ttl=64 time=0.221 ms 64 bytes from 2001:db8:1:100::5: icmp_seq=22 ttl=64 time=0.219 ms 64 bytes from 2001:db8:1:100::5: icmp_seq=23 ttl=64 time=0.221 ms 64 bytes from 2001:db8:1:100::5: icmp_seq=24 ttl=64 time=0.220 ms 64 bytes from 2001:db8:1:100::5: icmp_seq=25 ttl=64 time=0.222 ms 89
64 bytes from 2001:db8:1:100::5: icmp_seq=26 ttl=64 time=0.221 64 bytes from 2001:db8:1:100::5: icmp_seq=27 ttl=64 time=0.222 64 bytes from 2001:db8:1:100::5: icmp_seq=28 ttl=64 time=0.213 64 bytes from 2001:db8:1:100::5: icmp_seq=29 ttl=64 time=0.221 64 bytes from 2001:db8:1:100::5: icmp_seq=30 ttl=64 time=0.221 64 bytes from 2001:db8:1:100::5: icmp_seq=31 ttl=64 time=0.213 64 bytes from 2001:db8:1:100::5: icmp_seq=32 ttl=64 time=0.220 64 bytes from 2001:db8:1:100::5: icmp_seq=33 ttl=64 time=0.220 64 bytes from 2001:db8:1:100::5: icmp_seq=34 ttl=64 time=0.211 64 bytes from 2001:db8:1:100::5: icmp_seq=35 ttl=64 time=0.221 64 bytes from 2001:db8:1:100::5: icmp_seq=36 ttl=64 time=0.223 64 bytes from 2001:db8:1:100::5: icmp_seq=37 ttl=64 time=0.211 64 bytes from 2001:db8:1:100::5: icmp_seq=38 ttl=64 time=0.229 ^C --- 2001:db8:1:100::5 ping statistics --38 packets transmitted, 38 received, 0% packet loss, time 36998ms rtt min/avg/max/mdev = 0.211/0.221/0.233/0.015 ms
ms ms ms ms ms ms ms ms ms ms ms ms ms
Test3: Failure van 1 fysieke core switch: master valt weg root@ubuntu:/home/ubuntu# ping6 2001:db8:1:100::5 PING 2001:db8:1:100::5(2001:db8:1:100::5) 56 data bytes 64 bytes from 2001:db8:1:100::5: icmp_seq=1 ttl=64 time=0.236 ms 64 bytes from 2001:db8:1:100::5: icmp_seq=2 ttl=64 time=0.223 ms 64 bytes from 2001:db8:1:100::5: icmp_seq=3 ttl=64 time=0.229 ms 64 bytes from 2001:db8:1:100::5: icmp_seq=4 ttl=64 time=0.237 ms 64 bytes from 2001:db8:1:100::5: icmp_seq=5 ttl=64 time=0.231 ms 64 bytes from 2001:db8:1:100::5: icmp_seq=6 ttl=64 time=0.216 ms 64 bytes from 2001:db8:1:100::5: icmp_seq=7 ttl=64 time=0.237 ms 64 bytes from 2001:db8:1:100::5: icmp_seq=8 ttl=64 time=0.231 ms 64 bytes from 2001:db8:1:100::5: icmp_seq=9 ttl=64 time=0.231 ms 64 bytes from 2001:db8:1:100::5: icmp_seq=10 ttl=64 time=0.239 ms 64 bytes from 2001:db8:1:100::5: icmp_seq=11 ttl=64 time=0.232 ms 64 bytes from 2001:db8:1:100::5: icmp_seq=12 ttl=64 time=0.232 ms 64 bytes from 2001:db8:1:100::5: icmp_seq=13 ttl=64 time=0.237 ms 64 bytes from 2001:db8:1:100::5: icmp_seq=14 ttl=64 time=0.231 ms 64 bytes from 2001:db8:1:100::5: icmp_seq=15 ttl=64 time=0.232 ms 64 bytes from 2001:db8:1:100::5: icmp_seq=16 ttl=64 time=0.235 ms 64 bytes from 2001:db8:1:100::5: icmp_seq=17 ttl=64 time=0.232 ms 64 bytes from 2001:db8:1:100::5: icmp_seq=18 ttl=64 time=0.233 ms 64 bytes from 2001:db8:1:100::5: icmp_seq=19 ttl=64 time=0.235 ms 64 bytes from 2001:db8:1:100::5: icmp_seq=20 ttl=64 time=0.230 ms 64 bytes from 2001:db8:1:100::5: icmp_seq=21 ttl=64 time=0.232 ms 64 bytes from 2001:db8:1:100::5: icmp_seq=22 ttl=64 time=0.232 ms 64 bytes from 2001:db8:1:100::5: icmp_seq=23 ttl=64 time=0.232 ms 64 bytes from 2001:db8:1:100::5: icmp_seq=24 ttl=64 time=0.232 ms ^C --- 2001:db8:1:100::5 ping statistics --24 packets transmitted, 24 received, 0% packet loss, time 22999ms rtt min/avg/max/mdev = 0.216/0.231/0.239/0.021 ms Test4: Failure van 1 fysieke core switch: slave valt weg root@ubuntu:/home/ubuntu# ping6 2001:db8:1:100::5 PING 2001:db8:1:100::5(2001:db8:1:100::5) 56 data bytes 64 bytes from 2001:db8:1:100::5: icmp_seq=1 ttl=64 time=0.225 ms 64 bytes from 2001:db8:1:100::5: icmp_seq=2 ttl=64 time=0.220 ms 90
64 bytes from 2001:db8:1:100::5: icmp_seq=3 ttl=64 time=0.220 ms 64 bytes from 2001:db8:1:100::5: icmp_seq=4 ttl=64 time=0.238 ms 64 bytes from 2001:db8:1:100::5: icmp_seq=5 ttl=64 time=0.220 ms 64 bytes from 2001:db8:1:100::5: icmp_seq=6 ttl=64 time=0.221 ms 64 bytes from 2001:db8:1:100::5: icmp_seq=7 ttl=64 time=0.229 ms 64 bytes from 2001:db8:1:100::5: icmp_seq=8 ttl=64 time=0.220 ms 64 bytes from 2001:db8:1:100::5: icmp_seq=9 ttl=64 time=0.219 ms 64 bytes from 2001:db8:1:100::5: icmp_seq=10 ttl=64 time=0.226 ms 64 bytes from 2001:db8:1:100::5: icmp_seq=11 ttl=64 time=0.220 ms 64 bytes from 2001:db8:1:100::5: icmp_seq=12 ttl=64 time=0.221 ms 64 bytes from 2001:db8:1:100::5: icmp_seq=13 ttl=64 time=0.217 ms 64 bytes from 2001:db8:1:100::5: icmp_seq=14 ttl=64 time=0.221 ms 64 bytes from 2001:db8:1:100::5: icmp_seq=15 ttl=64 time=0.222 ms 64 bytes from 2001:db8:1:100::5: icmp_seq=16 ttl=64 time=0.221 ms 64 bytes from 2001:db8:1:100::5: icmp_seq=17 ttl=64 time=0.221 ms 64 bytes from 2001:db8:1:100::5: icmp_seq=18 ttl=64 time=0.221 ms 64 bytes from 2001:db8:1:100::5: icmp_seq=19 ttl=64 time=0.213 ms 64 bytes from 2001:db8:1:100::5: icmp_seq=20 ttl=64 time=0.220 ms 64 bytes from 2001:db8:1:100::5: icmp_seq=21 ttl=64 time=0.221 ms ^C --- 2001:db8:1:100::5 ping statistics --21 packets transmitted, 21 received, 0% packet loss, time 19996ms rtt min/avg/max/mdev = 0.213/0.221/0.238/0.018 ms Test5: eind toestel ontkoppelen en terug aansluiten zonder portfast root@ubuntu:/home/ubuntu# ping6 2001:db8:1:100::5 PING 2001:db8:1:100::5(2001:db8:1:100::5) 56 data bytes 64 bytes from 2001:db8:1:100::5: icmp_seq=1 ttl=64 time=0.239 ms 64 bytes from 2001:db8:1:100::5: icmp_seq=2 ttl=64 time=0.245 ms 64 bytes from 2001:db8:1:100::5: icmp_seq=3 ttl=64 time=0.249 ms 64 bytes from 2001:db8:1:100::5: icmp_seq=4 ttl=64 time=0.251 ms 64 bytes from 2001:db8:1:100::5: icmp_seq=5 ttl=64 time=0.249 ms 64 bytes from 2001:db8:1:100::5: icmp_seq=6 ttl=64 time=0.252 ms 64 bytes from 2001:db8:1:100::5: icmp_seq=9 ttl=64 time=0.245 ms 64 bytes from 2001:db8:1:100::5: icmp_seq=10 ttl=64 time=0.247 ms 64 bytes from 2001:db8:1:100::5: icmp_seq=11 ttl=64 time=0.253 ms 64 bytes from 2001:db8:1:100::5: icmp_seq=12 ttl=64 time=0.255 ms 64 bytes from 2001:db8:1:100::5: icmp_seq=13 ttl=64 time=0.252 ms 64 bytes from 2001:db8:1:100::5: icmp_seq=14 ttl=64 time=0.251 ms 64 bytes from 2001:db8:1:100::5: icmp_seq=15 ttl=64 time=0.257 ms ^C --- 2001:db8:1:100::5 ping statistics --15 packets transmitted, 13 received, 13% packet loss, time 13998ms rtt min/avg/max/mdev = 0.239/0.249/0.257/0.018 ms Test6: eind toestel ontkoppelen en terug aansluiten met portfast root@ubuntu:/home/ubuntu# ping6 2001:db8:1:100::5 PING 2001:db8:1:100::5(2001:db8:1:100::5) 56 data bytes 64 bytes from 2001:db8:1:100::5: icmp_seq=1 ttl=64 time=0.259 ms 64 bytes from 2001:db8:1:100::5: icmp_seq=2 ttl=64 time=0.249 ms 64 bytes from 2001:db8:1:100::5: icmp_seq=3 ttl=64 time=0.242 ms 64 bytes from 2001:db8:1:100::5: icmp_seq=4 ttl=64 time=0.249 ms 64 bytes from 2001:db8:1:100::5: icmp_seq=5 ttl=64 time=0.248 ms 64 bytes from 2001:db8:1:100::5: icmp_seq=38 ttl=255 time=0.260 ms 64 bytes from 2001:db8:1:100::5: icmp_seq=39 ttl=255 time=0.264 ms 91
64 bytes from 2001:db8:1:100::5: icmp_seq=40 ttl=255 time=0.266 64 bytes from 2001:db8:1:100::5: icmp_seq=41 ttl=255 time=0.279 64 bytes from 2001:db8:1:100::5: icmp_seq=42 ttl=255 time=0.267 64 bytes from 2001:db8:1:100::5: icmp_seq=43 ttl=255 time=0.266 64 bytes from 2001:db8:1:100::5: icmp_seq=44 ttl=255 time=0.262 64 bytes from 2001:db8:1:100::5: icmp_seq=45 ttl=255 time=0.266 ^C --- 2001:db8:1:100::5 ping statistics --45 packets transmitted, 13 received, 71% packet loss, time 43999ms rtt min/avg/max/mdev = 0.242/0.259/0.279/0.022 ms
ms ms ms ms ms ms
92
