UvAnet. Oct UvAnet 1

UvAnet

Oct-31-06

UvAnet

1

UvAnet Kentallen  6000

medewerkers  25000 studenten  100 gebouwen  18000 actieve aansluitingen  525 subnetten  130000 IP nummers  1400 dsl aansluitingen Oct-31-06

UvAnet

2

UvAnet Kentallen  17

routers  275 switches  93 wireless access-points

Oct-31-06

UvAnet

3

Plaatje

Oct-31-06

UvAnet

4

Klaar Of toch niet?

Oct-31-06

UvAnet

5

Techniek  Protocollen 

(OSI laag 3)

IP

 Netwerktechnieken 

Oct-31-06

(OSI laag 2)

Ethernet

UvAnet

6

UvA locaties           

Maagdenhuis / UB / Aula OMHP (+BG, OIH, SPH, BH) RE PCH (Spuistraat 134) Bunge (Spuistraat 210) ACTA (Louwesweg 1) WCW cluster (SARA/FWI/AH) IC (Herengracht 176-182) PHK189 ‘Grut’ (grachtenpandjes) Buitengewesten (Almere, Den Haag, Hoorn)

7

Geschiedenis (1990)  Driehoek

(OMHP-RE-WCW) uit 2Mb  Routers in knooppunten en access-routers  Koppelingen 4 draads telefonie 

64k tot 2M

 Huurlijnen  Enkele

directe Ethernet koppelingen  En ook nog wat TokenRing (FEE) Oct-31-06

UvAnet

8

Toen (1990)

Oct-31-06

UvAnet

9

Overview

Oct-31-06

UvAnet

10

Overgang  Driehoek

uit 2 Mb  Driehoek uit 34Mb ATM  MetroConnect wolk (8 panden)  Dark Fiber GigaMan ?

Oct-31-06

UvAnet

11

Nu (2006) 

KPN Dark fiber 

Onbelichte glasvezel ringen (SM) • Aansluitingen zijn dubbel uitgevoerd 

 



2 kabels via verschillend traject

19 gebouwen + 3 knooppunten Gebruiksrecht 15 jaar

En eigen glasvezel op eigen terrein   

Oct-31-06

Meest MM, nieuwe aanleg meest SM Roeterseiland OudeManHuisPoort en omgeving UvAnet

12

Gigaman  Aanbesteding  

Vraagbundeling verschillende instellingen Grote order, kunnen ze niet omheen

 Structuur 

bepaald door aanbieder

Binnen randvoorwaarden • • • • •

Oct-31-06

via Surfnet

Dubbele driehoek Overige panden in ringen om één knooppunt Niet meer dan 5 panden per ring Verder: zie maar Redundantie in aansluiting UvAnet

13

Plaatje GigaMAN

Oct-31-06

UvAnet

14

Huidige structuur 

3 knooppunten in dubbele ring (1G, 10G)   



WCW RE OMHP

19 gebouwen in 5 ringen     

Oct-31-06

wcw - mbd29 - acta - mk61 - wib2 - wcw re - pmg4 - pml45 - pml64 - re re - bunge - hooft - hg217 - hg182 - sarp104 - re omhp - ub - kg397 - pg747 - phk189 - omhp omhp - virgo - hg286 - omhp UvAnet

15

Eigen glas 

Glasvezelinfractructuur RE (MM) 

Vanuit SER-RE naar • RE-A, B, C, D, E, G, I, J, K, M, N, P • Wib2



Glasvezelinfractructuur OMHP (MM, iets SM) 

Vanuit SER-OM naar • • • • •

Oct-31-06

OMHP-B, E, F, G BG1, BG2, BG3, BG5, BG13, BG14 ND16, ND9, ND5 OTM127, OTM129, OTM139, OTM141-149 SPH, OIH, Bus UvAnet

16

Externe toegang  UvAInbel  

Oct-31-06

Maakt gebruik van de Surfnet infrastructuur Authenticatie via RADIUS

UvAnet

17

UvADSL  Via 

de infrastructuur van Tiscali (BaByXL)

UvA is ISP • Internet koppeling • IP range • DHCP service

Oct-31-06

UvAnet

18

Apparatuur  Routers  Switches  Access-points  (Hubs)

Oct-31-06

UvAnet

19

Management  Alles   

SNMP terminal web

 Even 

Oct-31-06

kijken of een lampje brandt

In Den Haag….

 Even 

met remote management

een kabel eruit trekken

In Almere…. UvAnet

20

Routering  Static 

routes

Naar ADSL en ISDN

 OSPF  

Intern Redistribute statics

 BGP  

Oct-31-06

Extern Surfnet, xs4all, wcw instituten UvAnet

21

Routers  Iedere  

cluster een eigen router

10G koppeling met de andere twee clusters Koppeling naar de locale netten (1G) • Laag 2 structuur binnen cluster 

VLAN trunks

• Over eigen glas 

point-to-point

• Gigaman Dark fiber 

Oct-31-06

Ring

UvAnet

22

Systematiek  Naamgeving 

 IP 

DNS

adressen richting • Vanuit de buitenwereld gezien



Oct-31-06

router altijd 1

UvAnet

23

Buitenwereld  Surfnet

(10G)  WCW instituten (1G)    

CWI SARA Nikhef Amolf

 XS4All

Oct-31-06

(100M) UvAnet

24

Beheerstools (payware)  HP 

 

Openview

X11 applicatie

Ping en discovery machine Algemeen tool voor monitoring • Alleen kijken (rood/groen/geel/blauw) • Geen beheer van specifieke apparatuur • Groen is goed

Oct-31-06

UvAnet

25

Ciscoworks (payware)  Cisco 

specifiek

Web / Java based • (Platform onafhankelijk mits Windows / IE)

 Specifiek 

apparatuurbeheer

Per router/switch kijken • Port enable • Vlan assignment



Algemene taken • User Tracking • Rapporten

Oct-31-06

UvAnet

26

Eigen tools  Specifiek

aan te passen aan eigen situatie  Maar heeft onderhoud nodig…     

Oct-31-06

Shell Perl C Awk …

UvAnet

27

Eigen Tools (Archiving)    

Configuratie file ophalen Lijsten interfaces, switches, etc Web pages DNS routerinterfaces 



ARP cache routers verzamelen 

  

net.uva.nl Basis DNS check (missing entries)

Compleetheid lijsten Bepaalde configuratiefouten DNS

Oct-31-06

UvAnet

28

Eigen Tools (router config)  Configuratiefiles 

co, vi, ci, ofwel rvi

 Maakt  



Oct-31-06

gebruik van M4

Configuratie files met macro’s Makefile

 Nooit 

onder RCS

direct router configureren

Traceerbaarheid Wie deed wat, en waarom UvAnet

29

Filtering  Beperkt  Voornamelijk   

op de interfaces naar buiten

Surfnet Xs4all WCW

 Soms

iets op het lokale interface  Transportnet transparant Oct-31-06

UvAnet

30

Firewalls  Geen

‘corporate firewall’  Wel firewalls op specifieke netten  FWSM blade in core router   

Oct-31-06

Virtual firewalls Transparant ‘bump in the cable’

UvAnet

31

Locale netten  UTP    

bekabeling

Unshielded Twisted Pair Cat 5 / 5E / 6 Soms hybride (cat5 kabel + cat3 connectoren) Soms (heel oud) cat 3 (10Mb)

 Switched 

10/100 Mb

Bijna overal

 Nu:  Oct-31-06

Overgang naar 10/100/1000 PoE UvAnet

32

Primaire netwerkdiensten  DNS  DHCP  Authenticatie   

LDAP RADIUS SecurID

 Mail  News Oct-31-06

UvAnet

33

DNS 3   

Oct-31-06

servers onder IC beheer in knooppunt barlaeus.ic.uva.nl RE ns1.uva.nl OMHP ns2.uva.nl WCW (SARA)

UvAnet

34

DNS  Forward  

naam -> ip barlaeus.ic.uva.nl -> 145.18.68.50

 Reverse  

Oct-31-06

DNS

DNS

ip -> naam 50.68.18.145.in-addr.arpa -> barlaeus.ic.uva.nl

UvAnet

35

DNS beheer  Alleen

forward files  Soms forward uit automaat (router-dns)  Reverse

Oct-31-06

gaat ‘vanzelf’ (automaat)

UvAnet

36

DNS  Reverse   

shell script C programma Alleen reverse files maken die veranderd zijn

 Domain  

automaat

lijst

Input voor reverse automaat Input voor named.conf automaat • voor alle drie IC servers

Oct-31-06

UvAnet

37

DNS

Oct-31-06

UvAnet

38

DNS  Wijzigingen  

domainlijst aanpassen rest gaat vanzelf

 Nieuwe  

Oct-31-06

in DNS config eenvoudig

netten

router DNS gaat vanzelf komende nacht reverse DNS gaat vanzelf

UvAnet

39

Domains  57  138 4 1  Totaal

Oct-31-06

.nl, uva.nl .org .org 116494 A records

UvAnet

40

DHCP  Automatische

configuratie end user hosts  Netwerk parameters 

IP adres, netmask, router

 Andere   

Oct-31-06

parameters

Domain naam Name servers etc

UvAnet

41

Infrastructuur  Redundant  Betrouwbaar 2 

DHCP servers (Linux, ISC-DHCP) evertsen.ic.uva.nl • omhp



vannes.ic.uva.nl • RE

Oct-31-06

UvAnet

42

Vaste MAC - IP koppelingen  Overzichtelijk  Failover

wordt non-issue  Machines toevoegen met WEB interface

Oct-31-06

UvAnet

43

DAT implementatie  Webserver  Cgi

scripts  Perl  Cronjob

Oct-31-06

UvAnet

44

DHCP relay  Routers  

Oct-31-06

verzorgen dhcp relay

unicast requests naar server broadcast antwoorden terug

UvAnet

45

nntp news  Newsfeed

van o.a.Surfnet  Speciale machine met flinke disk  Inn  Accepteert clients uit uva.nl  12 tot 18 Gb per dag

Oct-31-06

UvAnet

46

Mail  Twee-laags

structuur

 Mail-relay   

Oct-31-06

LDAP routing SPAM classificatie Virus check

UvAnet

47

Hoeveelheden

Oct-31-06

UvAnet

48

Studentenmail  SUN   

Oct-31-06

mailserver

SMTP / POP / IMAP Webmail Gebruikers lijst uit LDAP (uit ISIS)

UvAnet

49

Medewerkersmail  Exchange    

cluster

MAPI SMTP / POP / IMAP Webmail Calendar

 Gebruikerslijst

Oct-31-06

uit LDAP (SAP/HR)

UvAnet

50

Client  Webmail  Outlook  Of

Oct-31-06

een standaard POP / IMAP client

UvAnet

51

Authenticatiemogelijkheden  LDAP  Active

Directory  SecurID

Oct-31-06

UvAnet

52

LDAP  Personeelsgegevens

uit SAP/HR  Studentgegevens uit ISIS  Dagelijkse update  Medewerkers zoeken  Systemen

Oct-31-06

authenticeren tegen LDAP

UvAnet

53

LDAP

Oct-31-06

UvAnet

54

Authenticatie  Windowssystemen

tegen AD  Unix etc tegen LDAP  RADIUS tegen LDAP  AD

Oct-31-06

<-> LDAP synchronisatie

UvAnet

55

RADIUS  Authenticatie    

Oct-31-06

dienst voor

Inbel Draadloos VPN Etc

UvAnet

56

RADIUS  Onderdeel 

RADIUS proxy

 Steunt 

Oct-31-06

Surfnet RADIUS infrastructuur

op LDAP

Eindauthenticatie door LDAP bind

UvAnet

57

SecurID  Two 

factor authentication

Iets dat je weet • 4 cijferige PIN



Iets dat je hebt • SecurID kaart



Oct-31-06

Soort creditcard of sleutelhanger

UvAnet

58

SecurID  Tijd 

Clock-Offset

 TokenSeed 

Key

 Encryptie 

Oct-31-06

DES of AES

UvAnet

59

Client - Server  Server   

Wacht op requests Antwoordt PASS / FAIL Geeft aan welke ‘shell’

 Client     Oct-31-06

(‘Agent’)

Alle communicatie met de gebruiker Vraagt Passcode Start ‘shell’ Communication met server encrypted UvAnet

60

Server database  ‘Token 

records’

Specifieke informatie per kaart

 Informatie   

Welke kaart, welke groep, welke client (Unix) welke shell Mag op welke clients

 Informatie 

over clients

Type, encryption seed, welke groepen

 Logt Oct-31-06

over users

alles UvAnet

61

Clients  Unix 

Solaris, Linux, HP-UX, AIX

 Windows 

Local logins, terminal services

 Specials 

API om eigen software mee te linken • onze wu-ftpd, radius, su-user



Communicatie spul • VPN doos

Oct-31-06

UvAnet

62