Informationen zum Netzkonzept
Konfiguration des UHH-Backbones
Das Backbone des Kommunikationsnetzes wurde in den vergangenen Jahren schrittweise sowohl im Hinblick auf Leistungsfähigkeit wie auch Ausfallsicherheit ausgebaut. Zum Aufbau eines leistungsfähigen Gigabit-Backbones wurden an den vorhandenen Versorgungsaufpunkten des Backbones
- Schlüterstr. 70 (RRZ),
- Von-Melle-Park 5 (VMP),
- Edmund-Siemers-Allee 1 (ESA),
- Jungiusstr. 9 (Jungiusstr.),
- Bundesstr. 55 (Geomatikum) und
- Grindelallee 117 (Grindel)
Router/Switch-Systeme installiert, die über Singlemode-LWL und 10 Gigabit Ethernet (10GE) in einem Ring miteinander verbunden sind. Diese Aufpunkte ("Core") dienen der Versorgung großer Gebäude bzw. Gebäudekomplexe. Durch das "Spanning Tree"-Verfahren auf Ebene 2 und das Routing-Protokoll EIGRP (Enhanced Interior Gateway Routing Protocol) auf Ebene 3 können so bei Ausfall eines Systems im Ring die übrigen Bereiche durch automatische Umschaltung auf neue Routen weiter versorgt werden. Zur weiteren Absicherung des Betriebes wurde ferner eine zusätzliche LWL-Verbindung über eine getrennte Streckenführung aus dem RRZ heraus zu dem Backbone-Standort ESA 1 geschaffen.
Vernetzung im Gebäudebereich
Ausgehend von den sechs Backbone-Standorten (Level1) und den über Stichleitungen angeschlossenen Campus-Standorten (Level2) wie Stellingen, Klein-Flottbek und Physik (Bergedorf) erfolgt die Netzanbindung der umliegenden Gebäude bzw. Bereiche mittels Fast- bzw. Gigabit-Ethernetschnittstellen und den daran angeschlossenen Etagen-Switches. Hieran sind in den neuen bzw. bereits sanierten Gebäuden über eine LWL- oder kupferbasierte TP-Verkabelung die Endgeräte angeschlossen.
Netzkomponenten
An allen Backbone-Standorten kommen modulare und leistungsfähige Netzkomponenten gleichartigen Typs (Cisco Catalyst 6509) zum Einsatz, um einen möglichst effizienten und reibungslosen Betrieb zu erzielen. Die vorhandenen Systeme sind in allen Fällen mit mindestens einer Supervisor Engine vom Typ SUP2T oder SUP720, redundanter Stromversorgung, mit 10GE- oder GE-Karten ausgestattet. Zur weiteren Absicherung des Betriebes wird an den Standorten zur Überbrückung bei Stromausfällen eine unterbrechungsfreie Stromversorgung (USV) betrieben. An den 10GE- und GE-Schnittstellen sind zur Versorgung der Tertiärbereiche über LWL-Verbindungen (Primär oder Sekundärverkabelung) Gebäude- oder Etagenswitches angeschlossen.
IP-Adressen
Das Netz der UHH basiert auf IPv4. Es handelt sich um das "Class B"-Netz 134.100.0.0./16, das zurzeit in ca. 430 Subnetze unterteilt ist, zwischen denen mittels IP-Routing vermittelt wird. Die IP-Adressen werden den Systemen statisch zugeordnet und mittels DHCP zugewiesen (s.u.). Es werden prinzipiell keine privaten IP-Adressen und somit auch kein Network Address Translation (NAT) verwendet. Ein Grund hierfür ist u.a., dass im "Störfall" durch das Sperrlisten-Management der Internetzugang für alle Systeme, die sich "hinter" dem NAT-System befinden, gesperrt wird. Daher wird vom Betrieb solcher NAT-Konfigurationen innerhalb des UHH-Netzes abgeraten.
IP-Routing und Switching
In der Regel sind die Subnetze eindeutig Einrichtungen (z.B. Fachbereichen) zugeordnet und werden auf dem nächstgelegenen Core-Router vermittelt. Aufgrund der räumlichen Diversifizierung der Fachbereiche (An- und Abmietung und Neubau von Gebäuden, Auslagern von Drittmittelprojekten, interdisziplinäre Arbeitsgruppen etc.) aber auch durch die Schaffung von universitätsübergreifenden Spezialnetzen (Verwaltungsnetz, Öffentliches Netz, etc.) kommt es immer häufiger vor, dass diese Subnetze nicht mehr lokal konzentriert, sondern zunehmend über weite Teile des UHH-Netzes verteilt, vom RRZ angeboten werden müssen. Dies wird auf die übliche Art des VLAN-Switchings implementiert. Ein oder mehrere Subnetze werden auf den Core-Routern als "Switched Virtual Interfaces" konzentriert (zurzeit ca. 120) und vermittelt. Auf der Netzwerkschicht sind die Dateneinheiten dieser Subnetze als "Virtuelle LANs" (VLANs) implementiert und können so über das gesamte Netz der UHH verteilt werden. Dies setzt eine moderne Netzinfrastruktur voraus, die nicht nur sehr leistungsfähig bezüglich Paket- und Datendurchsatz sein muss, sondern auch bis in den Anschlussbereich (Tertiär-Bereich) administrierbare Switches erfordert.
Netzbasisdienste
Für den Betrieb des IP-Netzes der UHH sind die Dienste "Domain Name System" (DNS), "Dynamic Host Configuration Protocol" (DHCP) und der "Remote Authentication Dial In User Service" (RADIUS) essentiell.
DNS-Dienst
Die Zuordnung der IP-Adressen zu symbolischen Namen über DNS ist von so grundlegender Bedeutung, dass dieser Dienst auf einer hochverfügbaren Rechnerarchitektur (Primary/Backup-Modell) implementiert ist. Das Backup-System überwacht die Verfügbarkeit des Primary-DNS-Servers und übernimmt vollautomatisch bei Dienstausfall oder bei Wartungsarbeiten, so dass eine für die Benutzer transparente Pflege der Rechner und der darauf betriebenen DNS-Dienste möglich ist. Diese Transparenz wird durch Verwendung einer gemeinsamen virtuellen IP-Adresse auf Primary- und Backup-System erreicht. Dadurch ist es nicht erforderlich, dass die anfragenden Rechner Kenntnis von mehreren alternativen IP-Adressen haben.
DHCP-Dienst
Durch den häufigen Wechsel von Geräten durch Umzug oder Austausch wird für die Endgerätekonfiguration ein DHCP-Dienst betrieben. Dadurch wird erreicht, dass nicht die vollständigen IP-Netzkonfigurationen von den lokalen Systemadministratoren auf allen Endgeräten von Hand konfiguriert werden müssen, sondern die Endgeräte beim Einschalten automatisch die in ihrem Subnetz gültigen Informationen zugeteilt bekommen.In der Regel werden statische Bindungen von IP-Adressen zu fest installierten Endgeräten eingetragen. Dazu werden die Eingabe von MAC-Adressen zu freien IP-Adressen und auch die Namenswahl für die zu verwendende IP-Adresse an die Administratoren der einzelnen Bereiche delegiert. Aus den eingetragenen Informationen werden dann vollautomatisch die DHCP- und DNS-Konfigurationsdateien erstellt und nach einer Validierung automatisch auf den Servern aktualisiert. Dieses Verfahren ist deutlich fehlerärmer als die manuelle Adresskonfiguration und hat sich seit vielen Jahren an der UHH bewährt.Auch der DHCP-Dienst ist redundant ausgelegt. Im Unterschied zum Primary/Backup-Betriebsmodell der DNS-Server wird der DHCP-Dienst im "Automatenmodell" betrieben. Das bedeutet, dass die DHCP-Instanzen füreinander als aktive Redundanz fungieren und im fehlerfreien Zustand gleichzeitig den Dienst erbringen. Bei Ausfall eines DHCP-Servers übernimmt der andere ebenfalls für die Benutzer transparent die Diensterbringung. Erreicht wird dies durch die ständige Synchronisation der DHCP-Datenbanken der beiden Server.
RADIUS
Der dritte wichtige Dienst (RADIUS) wird verwendet, um die Benutzer bei der Modem/ISDN- und VPN-Einwahl und auch bei Zugriffen aus dem "Öffentlichen Netz" der UHH zu authentifizieren. Die dafür erforderlichen Benutzerdatenbanken werden vollautomatisch aus den Daten der Benutzerverwaltung erstellt. Der RADIUS ist genau wie der DNS-Dienst nach dem Primary-/Backup-Modell installiert und somit hochverfügbar ausgelegt.
Netzmanagement
Das Netzmanagement für das UHH-Netz wird mit Hilfe mehrerer spezialisierter Werkzeuge durchgeführt. Diese Entscheidung für eine Sammlung mehrerer Werkzeuge ergab sich aus der wiederholten Unzufriedenheit mit den Evaluierungsergebnissen integrierter Netzmanagementlösungen. Die bisher getesteten "All-in-One"-Werkzeuge konnten aufgrund ihrer Komplexität, funktionaler Mängel und nicht zuletzt aufgrund von Sicherheitsproblemen nicht überzeugen. Für das Netzmanagement werden daher in den Bereichen Konfigurations-, Leistungs- und Fehlermanagement spezialisierte Werkzeuge eingesetz