Komunikační infrastruktura – síť CESNET2 Václav Novák, Petr Adamec a Josef Verich oddělení síťové infrastruktury CESNET, z. s. p. o.
Služby e-infrastruktury CESNET
18.10.2013
CESNET2 – základní optická topologie
18.10.2013
Služby e-infrastruktury CESNET
IP/MPLS vrstva sítě CESNET2
18.10.2013
Služby e-infrastruktury CESNET
Dohled sítě CESNET2
18.10.2013
Služby e-infrastruktury CESNET
Dohled sítě CESNET2
18.10.2013
Služby e-infrastruktury CESNET
Komunikace s klientem Správci sítě znají možnosti technologie, kterou používají. Klient ví, čeho chce dosáhnout. Pouze při společné diskuzi a společném hledání je možné najít optimální řešení.
18.10.2013
Služby e-infrastruktury CESNET
Tři příklady za všechny Projekt „Národní digitální knihovna“ Projekt „Housing systému SAP pro více univerzit“ Připojení FZÚ AV ČR k síti LHCONE
18.10.2013
Služby e-infrastruktury CESNET
Projekt „Národní digitální knihovna“
18.10.2013
Služby e-infrastruktury CESNET
Spolupracující organizace Národní knihovna České republiky Moravská zemská knihovna v Brně Ústav výpočetní techniky Masarykovy univerzity v Brně
CESNET, z. s. p. o.
18.10.2013
Služby e-infrastruktury CESNET
Co bylo na počátku Pracovníci Národní knihovny a Moravské zemské knihovny hledali • •
nejvhodnější možnost přenosu dat digitalizovaných knih z Brna na datová úložiště v Praze řešení odolné proti výpadku linky nebo zařízení Síť Národní knihovny byla připojena jednou linkou o kapacitě 1Gb/s z Klementina do sítě CESNET2. Centrální depozitář v Hostivaři byl ve výstavbě a nebyl nezávisle připojen.
Síť Moravské zemské knihovny v Brně byla do sítě CESNET2 připojena prostřednictvím sítě MUNI linkou o kapacitě 1Gb/s.
18.10.2013
Služby e-infrastruktury CESNET
Připojení zařízení s různou bezpečnostní politikou v NK PC pro post-processing R92 R92 - VRF NK-NDK
NK Klementinum
Te3/2.4029
VRF NK-NDK
PC pro post-processing
VRF NK-NDK-SCAN
Scannery
R92 - VRF NK-NDK-SCAN
Servery NDK
Te3/2.4030
Scannery
18.10.2013
Služby e-infrastruktury CESNET
Připojení zařízení s různou bezpečnostní politikou v MZK ICS-SRV ICS-SRV - global
ICS-SRV - VRF CESNET-Zakaznici
ICS-SRV - VRF CESNET-NDK
VRF CESNET-Zakaznici
.253 Gi2/24.xxx(native)
.253 ICS-SRV - VRF Gi2/24.xxx CESNET-NDK-SCAN
HSRP priority 110
VLAN DMZ
.253 Gi2/24.xxx
HSRP priority 200 HSRP priority 110
VRF CESNET-NDK
VLAN NDK CPS-SRV C-CPS - global
Te6/2.xxx(native) CPS-SRV - VRF CESNET-Zakaznici .254
VRF CESNET-NDK-SCAN
CPS-SRV - VRF CESNET-NDK
HSRP priority 200
HSRP priority 110
VLAN NDK-SCAN
Te6/2.xxx .254 HSRP priority 200
CPS-SRV - VRF CESNET-NDK-SCAN Te6/2.xxx .254
MUNI 18.10.2013
MZK Služby e-infrastruktury CESNET
Propojení mezi sítěmi CESNET2 a MUNI R98
C-ICS C-ICS - global
R98 - global
Global
.1 .249
Te2/4 Te2/4.3911
.9
Te2/4.3916
R98 - VRF NK-NDK
195.178.87.0/30 2001:718:800:1::/64 195.178.86.248/30
Te2/4
Global
.2
C-ICS - VRF CESNET-Zakaznici Te2/4.3911 .250 C-ICS - VRF CESNET-NDK Te2/4.3916 .10
R98 - VRF NK-NDK-SCAN .137
C-ICS - VRF CESNET-NDK-SCAN Te2/4.3917 .138
Te2/4.3917
VRF CESNET-Zakaznici
VRF NK-NDK
C-CPS
R121
C-CPS - global
R121 - global
VRF NK-NDK-SCAN
Te0/7/3/0
.5 .253
Te0/7/3/0.4021
.13
Te0/7/3/0.4026
195.178.87.4/30 2001:718:800:2::/64 195.178.86.252/30
R121 - VRF NK-NDK
R121 - VRF NK-NDK-SCAN .141
Te0/7/3/0.4027
CESNET 18.10.2013
Te3/2
VRF CESNET-NDK
.6
C-CPS - VRF CESNET-Zakaznici Te3/2.4021 .254 C-CPS - VRF CESNET-NDK Te3/2.4026 .14 C-CPS - VRF CESNET-NDK-SCAN
VRF CESNET-NDK-SCAN
Te3/2.4027 .142
MUNI Služby e-infrastruktury CESNET
Propojení pro projekt „Národní digitální knihovna“
NK Klementinum
802.1Q Te3/2
R92
R98
VRF NK-NDK
R84 Te
802.1Q
Te2/4 802.1Q
MPLS MUNI VRF CESNET-NDK
VRF NK-NDK-SCAN
R121
C-CPS Te0/7/3/0 Te3/2 802.1Q
802.1Q
18.10.2013
ICS-SRV Gi2/24
MPLS CESNET
NK Hostivař
C-ICS Te2/4
Služby e-infrastruktury CESNET
MZK
VRF CESNET-NDK-SCAN
CPS-SRV Te6/2
802.1Q
Vytvoření zálohy pro L2 sítě rozložené přes obě lokality NK VLAN A VLAN B VLAN C VLAN D
NK Hostivař
802.1Q
802.1Q
Te
R84
R92Te3/2 Nx L2VPN MPLS CESNET
18.10.2013
NK Klementinum
Služby e-infrastruktury CESNET
Projekt „Housing systému SAP pro více univerzit“
18.10.2013
Služby e-infrastruktury CESNET
Spolupracující organizace Univerzita Palackého v Olomouci Vysoké učení technické v Brně Vysoká škola báňská – Technická univerzita Ostrava Univerzita Tomáše Bati ve Zlíně Mendelova univerzita v Brně
Janáčkova akademie múzických umění v Brně CESNET, z. s. p. o.
18.10.2013
Služby e-infrastruktury CESNET
Co bylo na počátku Domluva šesti univerzit o umístění serverů pro systém SAP na výpočetních centrech Univerzity Palackého v Olomouci a Vysokého učení technického v Brně. Ne zcela jednotný názor na způsob propojení.
Různá pravidla pro přístup uživatelů k dosavadním serverům systému SAP v různých organizacích. Možnost použití VPN pro vzdálený přístup uživatelů do své mateřské sítě ve všech organizacích.
18.10.2013
Služby e-infrastruktury CESNET
Logické propojení sítí pomocí L3 VPN Globální provoz
Vše kromě směru na SAP Servery
SAP_VPN
Vše, včetně směru na univerzity A až ...
Univerzita A
Pouze směr SAP Servery
Globální provoz
VUT
Globální provoz SAP_VPN
SAP Servery (Kounicova)
Univerzita B SAP_VPN
CESNET Globální provoz
propoj mezi datacentry
Globální provoz
Univerzita C
Globální provoz
VRF SAP
SAP_VPN
UPOL
UPOL Servery Univ_D Univ_A
SAP_VPN
Univerzita D SAP Servery
Pouze směr na univerzity A až ...
Globální provoz
SAP_VPN
Univerzita ...
18.10.2013
Služby e-infrastruktury CESNET
Požadovaná komunikace Servery
Klienti
2852:1101
2852:1101
UPOL
UPOL
Servery VŠB-TUO
Klienti
2852:1102
2852:1102
2852:1105
2852:1105
Servery
Klienti
UTB
UTB
Servery
Klienti
2852:1103
2852:1130
MENDELU
MENDELU Brno
Servery JAMU
Klienti
2852:1131
2852:1104
MENDELU Lednice
2852:1103
Společná síť
Klienti
2852:1104
2852:1104
JAMU
2852:1105 2852:1102 2852:1101
18.10.2013
VŠB-TUO
Služby e-infrastruktury CESNET
Připojení sítě se servery Servery
Globální provoz
UPOL
Servery
UPOL
VŠB-TUO
Export/Import 2852:1101 Gi0/5/2/1.2951
Servery
UPOL/SAP sítě seEBGP Připojení servery
UTB EBGP
VŠB-TUO Export/Import 2852:1102
Gi0/5/2/1.2952
EBGP
Servery
Export/Import 2852:1105
Gi0/5/2/1.2955
MENDELU
UTB
EBGP EBGP
Servery
Gi0/5/2/1.2953
Export/Import 2852:1103 MENDELU Import 2852:1130, 2852:1131
JAMU
Gi0/5/2/1.2954 Export/Import 2852:1104 Společná síť
18.10.2013
JAMU
Služby e-infrastruktury CESNET
Výhody použití L3 VPN Omezení možných útoků na minimum. Útok může být proveden pouze ze sítě připojené do L3 VPN. To umožňuje relativně jednoduché řešení incidentů. Drtivou většinu nežádoucího provozu zahazuje směrovač na základě záznamů ve směrovací tabulce díky směrování neznámého provozu na NULL rozhraní a použití příkazu „verify unicast source“ na IP rozhraních.
Vynucení pravidel pro přístup do sítě. Není nutné pořizovat další síťové prvky. 18.10.2013
Služby e-infrastruktury CESNET
Připojení FZÚ AV ČR k síti LHCONE
18.10.2013
Služby e-infrastruktury CESNET
Spolupracující organizace Fyzikální ústav Akademie věd ČR GÉANT CESNET, z. s. p. o.
18.10.2013
Služby e-infrastruktury CESNET
Co bylo na počátku Celosvětová síť LHC Open Network Environment (LHCONE), která propojuje významná počítačová centra gridu Worldwide LHC Computing Grid (WLCG). Požadavek FZÚ AV ČR na připojení výpočetního centra do sítě LHCONE.
Linka mezi sítěmi CESNET2 a FZÚ AV ČR osazená pasivním DWDM.
18.10.2013
Služby e-infrastruktury CESNET
Schéma směrování provozu mezi sítěmi LHCONE a FZÚ AV ČR LHCONE routes
Tier2 routes
LHCONE routes
FZU routes
Globální provoz
GÉANT3 Praha
EBGP
EBGP LHCONE
FZU
10GE
10GE Po100.111
Te7/2
DWDM 1550.12
GÉANT3
CESNET
FZU
AS20965
AS2852
AS65001 Tier2
VPN LHCONE
18.10.2013
VPN LHCONE
Služby e-infrastruktury CESNET
Schéma fyzického projení mezi sítěmi LHCONE a FZÚ AV ČR PoP Praha_1 GÉANT3 Praha
FZÚ
CESNET VPN LHCONE
FZU
10Gbase-LR Po100.111 Te7/2 10GE
10GE
DWDM 1550.12
DWDM 1550.12
G.652, 26 km, 13 dB
18.10.2013
Služby e-infrastruktury CESNET
Statistika provozu na lince do sítě LHCONE
18.10.2013
Služby e-infrastruktury CESNET
???
18.10.2013
Služby e-infrastruktury CESNET
Děkuji za pozornost
Služby e-infrastruktury CESNET
18.10.2013