2012
Whitepaper Netwerken
De laatste ontwikkelingen op het gebied
van netwerken!
Stand van Zaken: Organisaties worden steeds meer afhankelijk van hun ICT voorzieningen. Het komt helaas steeds vaker voor dat een ziekenhuis haar patiënten naar huis moet sturen omdat het ICT netwerk is uitgevallen. “Dit is het gevolg van het feit dat er steeds meer toepassingen gebruik maken van het netwerk, waardoor deze steeds complexer van aard worden en beheerorganisaties vaak niet in staat zijn de ontwikkelingen te volgen,” zegt Peter Verstegen, Principal Consultant van Innervate. Om een voorbeeld te noemen: Innervate heeft onlangs voor één van haar klanten een certificaatomgeving ingericht om gebruikers veilig tot haar draadloos netwerk toe te laten. Dit project is inmiddels succesvol opgeleverd en gedocumenteerd. Beheerinstructies zijn overgedragen aan de beheerorganisatie. “Toch kan ik me heel goed voorstellen dat gezien de werkdruk binnen beheerorganisaties en de toenemende complexiteit deze instructies in de la verdwijnen met als mogelijk gevolg dat er op een zeker moment niemand meer op het netwerk kan aanmelden omdat de geldigheidsduur van certificaten is verstreken,” aldus Peter. Datacenters (computerruimtes) zullen de komende jaren steeds meer een belangrijke rol in bedrijfsnetwerken spelen. Trof men een aantal jaren geleden nog cliënt server architecturen aan, welke gebruik maken van een Fat cliënt, tegenwoordig verhuist de intelligentie naar het datacenter. Het datacenter kan extern zijn ondergebracht of op de eigen locatie. Op de werkplek treffen we straks enkel nog een dunne cliënt aan. Dit kan een terminal zijn maar net zo goed een laptop of tablet, verstrekt door de organisatie of door de medewerker zelf aangeschaft. In het laatste geval spreken we van Bring Your Own Device. Omdat het datacenter 24 uur per dag, 365 dagen per jaar beschikbaar dient te zijn, zullen steeds meer organisaties gebruik maken van twee datacenters al dan niet gehost op meerdere (uitwijk)locaties. In dit zogenaamd twin-datacenter concept dient het extern datacenter bij calamiteiten de functie van de primaire locatie naadloos over te nemen. De informatie in het datacenter zal op elk moment vanuit elke willekeurige locatie toegankelijk moeten zijn. Deze communicatie vindt plaats op basis van het Internet Protocol (IP) en hiervoor zal meer en meer gebruik gemaakt worden van IP versie 6. Of de communicatie (beveiligd) over het internet verloopt of over het eigen bedrijfsnetwerk, hangt er van af. Maakt men gebruik van een eigen datacenter dan zal de communicatie over het bedrijfsnetwerk verlopen. Maar is het wel veilig om privé apparatuur op het zelfde bedrijfsnetwerk aan te sluiten dat ook voor talloze andere toepassingen wordt gebruikt, waaronder business applicaties? Nadat professionals van Innervate haar klanten hebben geholpen bij het maken van RFP’s voor o.a. netwerk en telefonie oplossingen en het uivoeren van leverancierselecties, vormen de mensen van Innervate steeds vaker het cement tussen de bouwstenen in de realisatiefase door nadrukkelijk de kennis GAP op te vullen tussen de ICT organisatie van de klant en leveranciers van toepassingen als telefonieplatform, verpleegoproep systeem, patiëntenterminal etc. In deze whitepaper beschrijven we een Integrale oplossing voor elke gebruikers behoefte die voldoet aan alle huidige eisen en wensen. Deze oplossing wordt door Innervate ‘Fundament’ genoemd.
4
Toepassingen Daar waar vroeger aparte netwerken bestonden voor verschillende toepassingen, zien we sinds enkele jaren een ontwikkeling waarin al deze netwerken worden samengevoegd op één fysiek netwerk. Kenmerkend voor dit netwerk is dat het op ethernet technologie is gebaseerd, waarbij gebruik wordt gemaakt van traditionele 10/100/1000Mbps verbindingen en het gebruik van hogere snelheden als 10/40/100Gbps groeiend is. Communicatie over het netwerk vindt enkel nog plaats op basis van het Internet Protocol (IP). De toepassingen (lees netwerken) die we tegenwoordig in vrijwel elke organisatie tegen komen zijn:
De volgende ontwikkelingen zien we steeds vaker bij onze klanten:
• Steeds meer toepassingen maken gebruik van één IP netwerk
• Kantoorautomatisering
• Het ontstaan van steeds meer draadloze toepassingen
• IP telefonie
• Het benaderen van toepassingen vanuit elk willekeurig device
• Gebouw Beheer Systeem
• Het toenemend belang van centrale datacenters
• Toegangscontrole
• Integraal beheer van wired en wireless omgeving
• Open Internet Toegang
• Toepassing van security en netwerk virtualisatie technieken
Kantoorautomatisering is de voornaamste toepassing die al in lengte van jaren gebruik maakt van een netwerk waarin computers, servers en printers met elkaar zijn verbonden. In steeds meer organisaties maakt daarnaast IP telefonie gebruik van het netwerk. Hierbij wordt het traditioneel gebruik van audio steeds meer aangevuld met video. Ook een Gebouw Beheer Systeem komt in moderne kantoorgebouwen steeds meer voor als toepassing die draait op een IP netwerk. Denk ook aan toepassingen voor alarmering, brandbeveiliging en camera beveiliging. Een nieuwe toepassing die de komende jaren in steeds meer organisaties haar intrede zal doen is Open Internet Toegang. Steeds meer organisaties gaan er toe over om haar klanten en bezoekers, maar ook hun eigen medewerkers de mogelijkheid te bieden om in hun kantoren een soort hotspot netwerk aan te bieden voor (draadloze) internet toegang. Het open karakter van deze toepassing maakt het mogelijk om net als thuis met een willekeurig apparaat zonder beperkingen zoals proxy settings op het internet te geraken. Het datacenter kan in dat geval worden bereikt zoals men dat als telewerker gewend is. Datacenter technieken als VDI (Virtual Desktop Infrastructure) zorgen voor een vergelijkbare ervaring op een tablet PC als men in het verleden gewend was met een door de eigen organisatie beheerde Fat cliënt. Door de organisatie aan medewerkers verstrekte en beheerde apparatuur zal traditioneel via het interne kantoornetwerk plaats vinden.
5
TRENDS IN NETWORKING
• Netwerken dienen continu beschikbaar te zijn.
Specifieke toepassingen in de zorg
Specifiek in moderne ziekenhuizen zien we toepassingen als Medische Beeldvorming, waarbij onder andere röntgenfoto’s ontsloten worden over het netwerk, Patiënten Terminal, die patiënten de mogelijkheid biedt om radio te luisteren en TV te kijken, Educatie te volgen, toegang tot het Internet te verkrijgen, te telefoneren, hun omgeving te controleren (temperatuur, licht, gordijnen etc.), een verpleegoproep te plaatsen en voeding te bestellen. De zelfde Patiënten Terminal stelt verpleegkundigen in staat contact te leggen met de patiënt en een Elektronisch Patiënten Dossier aan het bed te raadplegen. Ook steeds meer bedrijfskritische toepassingen als Patiënt Monitoring en Verpleeg Oproep Systeem komen op het zelfde netwerk voor naast allerhande Facilitaire voorzieningen als Kleding Inname en Kleding Uitgifte Apparatuur, kassa’s en snoepautomaten. Om al deze toepassingen gelijktijdig te draaien over één fysiek netwerk brengt een aantal uitdagingen, zoals: • Hoe zorgen we er voor dat de toepassingen elkaar niet beïnvloeden? Met andere woorden: Hoe zorgen we er voor dat een probleem in de ene toepassing niet tot problemen leidt in de overige toepassingen? • Hoe houden we de toepassingen die in het verleden gescheiden over separate netwerken aanwezig waren en nu van het zelfde netwerk gebruik maken, nu van elkaar gescheiden? • Hoe kunnen we tegemoet komen aan de specifieke eisen die elke toepassing stelt?
Achtereenvolgens beschrijven we het Fundament, dat het mogelijk maakt om al deze toepassingen met elk hun specifieke eisen, veilig te kunnen draaien op één en het zelfde IP netwerk. Het Fundament vormt de juiste basis voor een bedrijfsomvattend netwerk dat als drager dient voor de verschillende toepassingen in willekeurige bedrijven en instellingen. Deze basis begint bij het transportmedium, al dan niet bedraad of draadloos, in de praktijk meestal een combinatie van beiden. Belangrijk hierbij is het om zich te committeren aan actuele standaarden. Een IP netwerk heeft van oorsprong een open karakter, met het doel ‘any-to-any communicatie’ mogelijk te maken. Dit open karakter vormt echter meteen ook een gevaar voor de integriteit van informatie. Het is nu immers stukken eenvoudiger geworden om bijvoorbeeld een telefoongesprek af te luisteren, waar vroeger fysieke toegang tot de telefoniebekabeling voor nodig was. Enkele kenmerkende eigenschappen van het Fundament zijn: • Hoge beschikbaarheid door redundantie • Ondersteuning van VLAN en VPN • Stabiel en Veilig • Beheersbaar tegen lagere kosten • Ondersteuning van Quality of Service (QoS).
6
Patiënten terminal
Bijgevoegd concept is in veel organisaties toepasbaar en succesvol geïntroduceerd onder andere in ziekenhuizen, scholen en overheidsinstellingen. De beschreven toepassingen die in het verleden een separaat fysiek aanwezig netwerk vereisten, draaien hier elk in een logisch netwerk, VPN genoemd. In de schets zijn in elke SER (Satellite Equipment Room) en in beide MER’s (Main Equipment Room), alle VPN’s aanwezig. Deze worden ontsloten in de vorm van geïsoleerde VLAN’s. Omdat vrijwel elke organisatie een VPN voor kantoor automatisering kent (groen VLAN 28 in de schets) en een VPN voor IP telefonie (roze VLAN 5 in de schets), zijn deze hier uitgelicht. In elke SER en in de MER is de nummering van VLAN’s identiek, wat een enorm beheervoordeel met zich meebrengt. Er kan immers met één unieke poortconfiguratie worden gewerkt in het gehele netwerk, ongeacht op welke SER het apparaat is aangesloten.
Fundament voor een bedrijfsomvattend netwerk
7
High Availability Het Fundament biedt een 24x7 beschikbaarheid (99.999%) door het toepassen van redundantie van relevante netwerkcomponenten en verbindingen. Belangrijk daarbij is de keuze van de juiste routing protocollen en het toepassen van Equal Cost Multiple Path techniek (ECMP). Bij uitval van onderdelen zal het netwerk immers moeten convergeren naar een stabiele status. Tijdens deze convergentie is er in de regel geen netwerkverkeer mogelijk, iets wat zeker in een telefonie omgeving ongewenst is. Het is dus zaak de convergentietijd kort te houden. Door het toepassen van ECMP kan deze zodanig worden verkort dat de gebruiker niets merkt van de verstoring.
Security en Netwerk Virtualisatie Innervate heeft netwerkbeveiliging en netwerkvirtualisatie hoog in haar vaandel staan. Meer dan tien jaar werken de consultants van Innervate al met virtualisatie technieken als Multi Protocol Label Switching, Virtual Route Forwarding (VRF-lite) en Virtual LAN’s. Met deze technieken is het mogelijk logisch gescheiden netwerken te bouwen op één fysiek gedeeld netwerk, waarbij enkel communicatie mogelijk is binnen het Virtual Private Network (VPN). Twee in bijna elke organisatie voorkomende toepassingen welke een apart VLAN/VPN vereisen zijn kantoorautomatisering (data) en IP telefonie (spraak). Omdat in een IP telefonie oplossing de traditionele PBX wordt vervangen door servers en samen met telefoontoestellen en contactcenter oplossingen wordt aangesloten op het netwerk, is ook deze toepassing in hoge mate afhankelijk van het onderliggende netwerk. Men dient zich te realiseren dat het netwerk ongeveer 60% van de totale telefonie oplossing omvat.
Het scheiden van spraak en data in een eigen VLAN biedt de volgende voordelen: • Voorkom het ongewenst afluisteren van telefoongesprekken • Max. 250 telefoons in subnet is vaak een eis • Beperkt broadcast en fout domein • Common access policy (afschermen) • Beheer overzicht / troubleshooten
Zoals eerder vermeld heeft een IP netwerk van oorsprong een open karakter, met het doel any-to-any communicatie mogelijk te maken. Het standaard gedrag zal dan ook zijn dat op het punt waar beide VLAN’s samen komen, met andere woorden, daar waar de default gateway van beide subnetten draait, beide netwerken automatisch aan elkaar gekoppeld worden. In het Fundament, waar we meerdere logische netwerken draaien over één fysiek netwerk, is dit niet acceptabel. Om die reden wordt een VLAN in een VPN gekoppeld, zoals weergegeven in de schets.
8
VPN domeinen met centraal Firewall beheer (SPOM)
De figuur toont de toepassingen (VPN’s) die we tegenwoordig in vrijwel elke branche / organisatie onderscheiden. Hierin is: • KA: Kantoorautomatisering met zijn eigen (gecontroleerde) internet toegang • IPT: IP telefonie waarin de gehele telefonie omgeving is ondergebracht • GBS: Gebouw Beheer Systeem met daarin systemen voor klimaatbeheersing, alarmering, etc. • Toegang: Toegangscontrole van ruimtes en camera beveiliging • Open internet: Open Internet Toegang voor gasten en medewerkers (BYOD)
9
De VPN’s zijn logisch van elkaar gescheiden en omdat het totaal verschillende toepassingen zijn, in principe niet voor elkaar toegankelijk. Daar waar er toch de behoefte bestaat aan inter-VPN communicatie, worden centrale firewall services ingezet. In organisaties met een contactcenter bijvoorbeeld, waar agenten beschikken over een Call Center Agent applicatie welke op hun werkstation in de kantoorautomatisering omgeving (KA) draait, is het gebruikelijk dat deze applicatie toegang heeft tot (delen van) de IP telefonie (IPT) omgeving. Door dit specifieke verkeer toe te staan in de centrale firewall behoudt men controle over de verkeerstromen met de zelfde functionaliteit als zou alles in één netwerk zijn ondergebracht. Ook centrale firewall services kunnen gevirtualiseerd worden, waardoor het beheer relatief eenvoudig wordt door het gebruik van één eenvoudige grafische gebruikersinterface.
Beveiligde toegang Zodra we ons netwerk hebben opgedeeld in virtuele netwerken, is het zaak te controleren dat een apparaat of gebruiker veilig toegang krijgt tot de omgeving waartoe het/hij behoort. Een IP telefoon zal enkel worden toegelaten tot de telefonie omgeving, een kantoormedewerker tot het netwerk voor de kantoorautomatisering, etc. De fysieke toegang tot het netwerk, het zij bedraad of draadloos, kan relatief eenvoudig worden gecontroleerd door toepassing van IEEE 802.1x netwerk authenticatie. Hiermee kan elk apparaat op een netwerk toegang worden geboden tot een specifiek virtueel netwerk, mits aan bepaalde criteria is voldaan. Een telefoon zal automatisch worden toegelaten tot de IP telefonie omgeving, een PC werkplek zal worden toegelaten tot de KA omgeving, mits de authenticatie succesvol is. De meest veilige vorm van authenticatie, waarbij gebruik wordt gemaakt van certificaten, is EAP-TLS. Innervate heeft hier veel ervaring mee en heeft voor een aantal klanten reeds succesvol een Public Key Infrastructure (PKI) omgeving ingericht. Dit is een omgeving waarmee het uitgeven en het beheer van digitale certificaten wordt gerealiseerd. Naast de hiervoor beschreven voorzieningen biedt het Fundament zelf ook een aantal relatief eenvoudige voorzieningen welke de netwerkbeveiliging sterk verbeteren en vaak standaard aanwezig zijn in switches, zoals: • Port security tegen CAM attacks en DHCP starvation attacks • DHCP snooping tegen DHCP server attacks • Dynamic ARP inspection tegen ARP attacks • IP Source Guard tegen IP/MAC spoofing.
IP Source Guard Dynamic ARP Inspections DHCP Snooping Port Security Standaard voorzieningen voor netwerkbeveiliging
10
Port security laat een maximum aantal mac adressen toe op een netwerkpoort, waardoor gebruikers geen “hubjes” kunnen aansluiten op het netwerk. De overige beschreven voorzieningen zorgen er voor dat kwaadwillende gebruikers geen schade kunnen aanrichten. Bij één van onze klanten zou deze voorziening hebben voorkomen dat een gebruiker zijn eigen DHCP server ging draaien waardoor het volledige netwerk onderuit ging. Met uitzondering van port security, worden deze voorzieningen bij voorkeur in combinatie met 802.1x gebruikt. Laatstgenoemde is technisch en beheersmatig een veel betere vorm van toegangsbeveiliging dan port security.
Draadloos Een van de snelst groeiende ontwikkelingen in Networking is “wireless”. Dit is een rechtstreeks gevolg van de vraag van medewerkers en gasten naar Open Internet Toegang. Veel organisaties starten met het bieden van gastinternet, desgewenst uit te breiden naar draadloze dekking voor business applicaties. Draadloze netwerktoegang is mogelijk door gebruik te maken van centrale WLAN controllers. Een WLAN controller bevat alle intelligentie die in het verleden in een draadloos access point (AP) zat. Tegenwoordig wordt gebruik gemaakt van Lightweight Access Points die enkel de radio functionaliteit bieden en middels het CAPWAP protocol (opvolger van het Lightweight Access Point Protocol (LWAPP)) in verbinding staan met de centrale WLAN controllers. Elk WLAN is voorzien van een unieke SSID naam. Wireless clients zetten via de SSID naam een verbinding op met een WLAN. De toegang tot elk WLAN wordt afgeschermd door middel van een bepaalde vorm van beveiliging (encryptie en een authenticatie methode). Elk WLAN kan onderdeel uitmaken van een VPN. Draadloze telefonie als voorbeeld, kan op deze manier naadloos geïntegreerd worden met vaste telefonie door een SSID (bijv. WLANPHONE) al naar gelang het aantal toestellen, te koppelen aan één of meer VLAN’s welke worden ontsloten in het IPT VPN. In tegenstelling tot een bedraad netwerk is een draadloos netwerk, lees access point, een “shared medium”, vergelijkbaar met de hub die we vroeger gebruikten in netwerken. Dit medium kenmerkt zich door het feit dat er maar één apparaat gelijktijdig data kan verzenden of ontvangen. De performance is in dat kader dus afhankelijk van het aantal clients dat gelijktijdig gebruik maakt van het access point, maar ook het aantal SSID’s dat ontsloten wordt. De middelen om onderscheid te maken tussen verschillende verkeerstypen en prioriteit toe te kennen aan verschillende applicaties zijn beperkt. Ook is het vaak (nog) niet mogelijk om technieken als Call Admission Control (CAC) toe te passen waarmee het mogelijk wordt om per AP bijvoorbeeld slechts een beperkt aantal gelijktijdige telefoongesprekken toe te staan. De volgende richtlijnen worden doorgaans door Innervate gehanteerd: • Beperk het aantal SSID’s tot 4 per band (a/n en b/g/n) • Beperk de bandbreedte van privé apparatuur in het kader van Bring Your Own Device • Wijs de juiste QoS profielen toe aan de verschillende SSID’s • Breng bedrijfskritische toepassingen onder in de a band (5 GHz) • Breng niet bedrijfskritische toepassingen onder in de b/g band (2,4 GHz) • Maak indien mogelijk gebruik van zelfherstellende Access Points voorzien van geïntegreerde spectrum analyse chip.
11
Een voorbeeld van draadloze applicaties in een ziekenhuis met hun bijbehorend QoS profiel en frequentie band zou er als volgt uit kunnen zien:
Applicaties die gebruik maken van draadloos internet:
Omschrijving
Classificatie
IP Telefonie en verpleegoproep Computer on wheels Patiënt Monitoring Gastinternet (BYOD)
QoS profiel
bedrijfskritisch niet kritisch bedrijfskritisch niet kritisch
Platinum Zilver Platinum Brons
Radio/band a b/g a b/g
Tabel 1: toewijzing van applicaties aan radio/band met bijbehorend QoS profiel
IP nummerplan Een goed doordacht IP nummerplan biedt enorm veel beheervoordelen. De meeste flexibiliteit en overzichtelijkheid wordt in dat kader geboden door het toepassen van de 10.0.0.0/8 IPv4 private space adresreeks, die in vrijwel elke organisatie voldoende ruimte en flexibiliteit biedt. Een voorbeeld van een IP nummerplan zoals dat door Innervate is opgezet en geïmplementeerd is in een aantal ziekenhuizen, ziet er als in de volgende tabel uit:
Subnet
VPN
10.1.0.0/16 10.2.0.0/16 10.3.0.0/16 10.4.0.0/16 10.5.0.0/16 10.6.0.0/16 10.7.0.0/16 10.8.0.0/16 10.9.0.0/16 10.10.0.0/16 10.11.0.0/16 10.12.0.0/16 10.13.0.0/16
Gereserveerd Global Routing Toegangscontrole Medische beeldvorming Patiënten terminal IP telefonie Patiënt Monitoring Automated Guided Vehicles Kantoorautomatisering Verpleeg Oproep Systeem Gebouw Beheer Systeem laboratorium Open Internet Toegang Facilitair
Tabel 2: voorbeeld IP nummerplan van een modern ziekenhuis
12
VPN
VLAN
nummer
nummer
2 3 4 5 6 7 8 9 10 11 12 13
2 3 4 5 6 7 8 9 10 11 12 13
VLAN/VPN naam toegang pacs bedside ipt patmon agv ka vos gbs lab oixs facility
Uit het IP nummerplan valt af te leiden dat het tweede octet het VPN en het VLAN weergeeft. Het derde octet is uniek in een SER. In elke SER is voor elk VPN in principe een /24 IP netwerk aanwezig. In dat geval is het SER nummer dus gelijk aan het derde octet. In de MER kan worden gekozen voor één of meer /24 adresblokken binnen elk VPN, bijvoorbeeld vanaf 10.x.224.0. Zoals eerder aangegeven biedt het feit dat in elke SER en in de MER de nummering van VLAN’s identiek is, een enorm beheervoordeel met zich mee. Er kan immers met één unieke poortconfiguratie worden gewerkt in het gehele netwerk, ongeacht op welke SER het apparaat is aangesloten.
IP versie 6 Hoewel IPv6 al sinds eind jaren ’90 bestaat zien we het nog weinig gebruikt worden in organisaties. In veel organisaties wordt nog van apparatuur gebruik gemaakt welke niet geschikt is voor IPv6. Toch zullen ook die organisaties vroeg of laat over moeten stappen op IPv6. Het grote aantal bits in een IPv6-adres kan IPv6 subnetting zoals hierboven voor IPv4 beschreven, intimiderend maken. Subnetting met IPv6 is echter niet drastisch anders dan met IPv4 subnetting. Innervate kan hiermee helpen. Een gedegen assessment op applicatieniveau is voorafgaand aan een IPv6 implementatie noodzakelijk. Voor alle vendors dient onderzocht te worden of features in eerdere software releases ook aanwezig zijn in de software die IPv6 gereed is. Indien een organisatie gereed is om over te stappen naar IPv6, is het aan te raden om op elk eindpunt IPv6 te draaien. Dit wordt de zogenaamde Global-Only mode genoemd.
13
Quality of Service (QoS) Een belangrijk punt van aandacht in het Fundament is dat alle applicaties welke aanwezig zijn op het netwerk gelijktijdig aanspraak zullen maken op de beschikbare bandbreedte. Anders dan de traditionele data-applicaties zijn real-time applicaties als IP telefonie, multimedia streaming en video conferentie (Unified Communication toepassingen) gevoelig voor Delay, Jitter (variatie in delay) en Packet-loss. Om de invloed van deze variabelen in te perken moet het netwerk in staat worden gesteld een kwaliteitsgarantie oftewel Quality of Service (QoS) te kunnen bieden. Het berust op een misverstand te denken dat het beschikken over grote bandbreedtes zoals aanwezig in de huidige LAN’s de toepassing van QoS overbodig maakt. Hoewel congestie niet snel op een access poort waarop een eindstation is aangesloten zal optreden, zal dit in de uplink naar andere switches wel goed mogelijk zijn vanwege overboeking en verschillen in snelheid. De enige manier om service garanties te kunnen bieden op een netwerk is door queuing technieken toe te passen op elke node waar congestie op kan treden. Door applicaties te markeren kan er op basis van die markering een queue worden toegewezen die met een bepaalde prioriteit afgehandeld wordt. Innervate heeft veel ervaring met het ontwerp en de implementatie van Quality of Service in complexe netwerkomgevingen.
Inrichting datacenter Zoals in het begin van dit artikel vermeld, zullen Datacenters de komende jaren een steeds belangrijkere rol in bedrijfsnetwerken gaan spelen. In het datacenter treft men alle intelligentie en data aan die 24 uur per dag, 7 dagen in de week vanuit elke willekeurige locatie voor medewerkers op willekeurig welk device toegankelijk dient te zijn. De hoge beschikbaarheideis van een datacenter noodzaakt ertoe om ook de server omgeving redundant uit te voeren en te verdelen over twee verschillende datacenters. Door naast het toepassen van server virtualisatie ook gebruik te maken van switch virtualisatie, waarbij switches in beide datacentra worden samengevoegd tot één logisch geheel, kunnen convergentie tijden verder naar beneden worden gebracht en ontstaat er een aantal voordelen dat het beheer van dit soort omgevingen vereenvoudigt. Naast de aanwezigheid van koeling, redundante spanningsvoorzieningen en UPS is het van belang een juiste inschatting te maken hoeveel kasten er in een datacenter nodig zijn en het doel van de kasten te bepalen. In vrijwel elke kast dient een redundant “Top of Rack” netwerkaansluiting aanwezig te zijn, in sommige gevallen ook een SAN aansluiting. Het is verstandig om uit oogpunt van fysieke security gelijksoortige apparatuur in één of meer afsluitbare racks onder te brengen, bijvoorbeeld apparatuur voor Storage, GBS, IP telefonie, netwerkcomponenten etc.
14
Voorbeeld van een Rack plan met interrack bekabeling
15
Wat naast het maken van een vloerplan en rack plan vaak vergeten wordt bij datacenter vernieuwingstrajecten is de interne bekabeling tussen kasten. Het type bekabeling is van veel factoren afhankelijk. Wat in elk geval voorkomen moet worden is het aanleggen van glasvezel of UTP patchkabels tussen (over en onder) meerdere kasten. Door tussen de kasten vooraf de juiste inter-rack bekabeling aan te leggen en aan beide zijden af te werken op patchpanelen kan dit worden voorkomen.
Beheer Met de overgang naar een netwerk gebaseerd op het Fundament, zien we dat tools voor integraal beheer van de wired en wireless omgeving onontbeerlijk zijn en dat klanten netwerkbeheer op een nieuwe wijze wensen in te richten. Kenmerkend hierbij is dat klanten voor eenvoudige wijzigingen, zoals wijzigingen op de centrale firewall en het configureren van access poorten, omwille van snelheid en kennisopbouw, niet volledig afhankelijk wensen te zijn van de (externe) beherende partij. Een netwerkbeheercontract moet worden gezien als een aanvulling op een service- en onderhoudsovereenkomst. In een service- en onderhoudsovereenkomst verzekeren we ons van hulp bij storingen en vervanging van defecte componenten. Een belangrijke taak van netwerkbeheer is het monitoren van de status van het netwerk. Omdat dit een 24 uurs taak is wordt dit vaak bij externe beheerorganisaties belegd. Remote monitoring bestaat uit het monitoren van objecten (routers en switches), alsmede van netwerkpoorten waarop belangrijke systemen zijn aangesloten. Snmp-traps en syslog-meldingen dienen daarbij zowel te worden verzameld op een beheerstation van de klant, als ook op een beheerstation van de beheerpartij. De beheerpartij dient de ontvangen meldingen dagelijks te analyseren. Bij afwijkend gedrag dient contact opgenomen te worden met de beheerorganisatie van de klant. Van de beheerpartij wordt verwacht dat zij bij een incident (object langer dan 30 seconden niet bereikbaar), binnen 15 minuten telefonisch contact opneemt met de beheerorganisatie van de klant. Indien na overleg blijkt dat er aanspraak dient te worden gemaakt op service en onderhoud, dan zorgt de beheerpartij voor de melding van de storing en de bemiddeling gedurende de afhandeling van het incident. De beheerpartij is verantwoordelijk voor het actueel houden van de Configuratie Management Database (CMDB) en voor het dagelijks opslaan van de configuratie van elk object, evenals voor het versiebeheer. Van de beheerpartij wordt één maal per kwartaal een rapportage verwacht, waaruit de performance en de beschikbaarheid van de gemonitorde objecten blijkt. Het aanbesteden van netwerkbeheer heeft bij diverse klanten van Innervate tot een aanzienlijke verlaging van de exploitatielasten geleid.
Aanpak De aanpak van Innervate is er op gericht om op pragmatische wijze een klantwens te vertalen in een redundant ontwerp dat gebaseerd is op bewezen technieken. Een eventueel RFP traject wordt pas gestart nadat er een detail ontwerp is waarop de aanbesteding gebaseerd wordt. Het voordeel hiervan is dat er vergelijkbare aanbiedingen van potentiële leveranciers worden ontvangen die naadloos aansluiten op de klantbehoefte. Na leverancierselectie en gunning van de opdracht is Innervate als geen ander in staat om, na het uitvoeren van Factory Acceptance Tests en Site Acceptance Tests, de implementatie volgens een vooraf beschreven migratiescenario te begeleiden, erop toeziend dat datgene wat bedacht is ook daadwerkelijk naar tevredenheid van de klant wordt opgeleverd. Dat is wat Innervate zo uniek maakt. Ervaring leert dat de kosten van inhuur meervoudig worden terugverdiend in de uiteindelijke beheercontracten met de leveranciers!
16
Waarom Innervate? Innervate is een eredivisiespeler in het vakgebied van informatietechnologie en ICT infrastructuur. Onze diensten zijn gericht op ICT Beleid & Organisatie advies, ICT Consultancy & Projectmanagement en Software-ontwikkeling. De professionals van Innervate zijn allemaal spelers’ met hun eigen specifieke expertise en praktijkervaring. Innervate kan de werkprocessen in uw organisatie geheel overzien en exact de puntjes op de ‘i’ zetten. Dit levert voor de klant een slimme oplossing op en 100% kans op een succesvol project, met name op het gebied van IP Solutions & Unified Communications.
Innervate
Innervate Midden Nederland Aziëlaan 14 De Corridor 21 A 6199 AG Maastricht-Airport 3621 ZA Breukelen
17
T
+31 (0) 43 358 1880
E W
[email protected] www.innervate.nl
Volg ons op Linkedin:
http://nl.linkedin.com/innervate
Volg ons op
Twitter: #InnervateNL
Volg ons op Facebook:
18
Innervate NL
Deze Whitepaper is opgesteld door Peter Verstegen, Prinicpal Consultant bij Innervate, op basis van zijn project- en onderzoekservaring op het gebied van IP Solutions & Unified Communications.
Maastricht, 2012
19
