===== Informationen zur Netz-Modernisierung 2018 ===== Die teilweise über 15 Jahre alten Router und Switches in den zentralen Bereichen des Datennetzes bedürfen dringend einer Modernisierung. Wir stehen vor der Problematik, dass unser zentraler Netzknoten, an welchem sämtliche Glasfaserverbindungen des Campus zusammen laufen, vom Gebäude NAFOF nach IB umziehen muss. Inklusive angemieteter Leitungen bei diversen Providern. Dies muss relativ schnell nach der Inbetriebnahme des neuen Gebäudes geschehen und soll möglichst reibungsarm ablaufen. Um die Wahrscheinlichkeit zu minimieren, dass es beim Umzug sämtlicher zentraler Komponenten zu Kollateralschäden kommt, planen wir das Vorhaben schon seit einiger Zeit und sind laufend damit beschäftigt, Ordnung in die gewachsenen Strukturen zu bringen und alles so zu dokumentieren, dass wir den Umzug mit möglichst ruhigem Gewissen durchführen können. Teil der Planung dieses komplexen Vorhabens ist die Erneuerung unserer zentralen Komponenten VOR dem Umzug. Wir möchten weder mit den alten Komponenten umziehen noch eine komplette Hardware-Erneuerung während des Umzugs durchführen, da die alte Hardware nicht 1:1 durch neue Komponenten ersetzbar ist und dies damit auch logische Veränderungen mit sich ziehen würde, die den Aufwand und die Komplexität des Vorhabens unnötig erhöhen würden. Deshalb ziehen wir die Hardware-Erneuerung vor. ==== Änderungen in der Netz-Topologie ==== Bisher war das Campus-Netz eine klassische Stern-Topologie. Das bedeutet, dass sämtliche Router (jeweils einer pro Gebäude) direkt mit einem Switch in der "Mitte" (NAFOF) verbunden sind und durch diesen miteinander und mit dem Rest der Welt (Internet) kommunizieren. Diese Topologie hat unter anderem folgende Nachteile: * Es gibt nur EINEN zentralen Switch. Dieser kann redundant, also doppelt ausgelegt werden (so ist das bei uns), jedoch bilden die beiden Geräte dann logisch eine Einheit mit genau einer gebündelten Ethernet-Verbindung zu jedem Router (LACP Ether-Channel) * Bei Ausfall oder Neustart des zentralen Switches (z.B. bei Software-Updates) liegt die gebäudeübergreifende sowie die Internet-Kommunikation brach * Neben gebridgten Ethernet-Verbindungen (über mehrere Gebäude durchgeschaltete Vlans) muss der zentrale Switch auf den selben Verbindungen auch sämtliche geroutete Kommunikation transportieren Man hat dieses Prinzip in der Vergangenheit gerne verfolgt, weil die Implementierung sehr einfach und die Fehleranfälligkeit gering ist. Wir hatten in über 15 Jahren nicht einen zentralen Komplett-Ausfall, der nicht taggleich mit vorhandener Ersatz-Hardware zu reparieren gewesen wäre. Mittlerweile haben wir jedoch einen Stand der Technik erreicht, in dem IP-Kommunikation wichtiger denn je ist. Als Beispiel sei hier die Telefonie (Voice-over-IP) genannt. Vor diesem Hintergrund ist die redundante Auslegung nicht nur aller Router sondern auch aller Verbindungen praktisch nicht mehr weg zu diskutieren. Die neue Netztopologie wird daher die zentralen Router in einem Ring miteinander verbinden, so dass die gebäudeübergreifende IP-Kommunikation sowie die Verbindungen ins Internet über redundante, geroutete Strecken mit 80 GBit/s transportiert werden. Ein Router wird jeweils eine komplette Gebäudereihe versorgen (G-Reihe, N-Reihe, I-Reihe sowie MA und Zentralachse). Übergangsweise wird es den zentralen Stern-Mittelpunkt noch geben um Spezialfälle so lange abzuwickeln, bis sie umgebaut sind. Teilweise sind das historische Altlasten, wo erst geklärt werden muss, was zu tun ist und wer das tun kann. Perspektivisch soll es den Stern dann aber nicht mehr geben. ==== Relevantes für Netzbetreuer ==== Die Schaltung von Vlans über Gebäudegrenzen hinweg nehmen wir ja schon seit längerer Zeit nur noch ungerne vor. Das hat tatsächlich technische Gründe (die nächsten zwei Absätze können Sie überspringen, wenn Sie das technische nicht so interessiert): Ein Vlan ist ein Ethernet-Segment. In einem Ethernet-Segment darf es immer nur exakt eine Verbindung von A nach B geben. Das allein sollte einem beim Aufbau redundanter Strukturen schon zu Denken geben. Abhilfe schafft hier das Spanning-Tree Protokoll. Es sorgt dafür, dass bei mehreren vorhandenen Verbindungen zwischen A und B immer nur eine Verbindung in Betrieb ist. Spanning-Tree ist absolut notwenig, jedoch stammt es aus den 1980ern, einer Zeit in der man über Redundanz noch nicht wirklich nachgedacht hat. Es ist daher auch eigentlich nur ein Hilfsmittel um versehentliche Schleifen zu verhindern, damit keine Broadcast-Stürme entstehen, durch die das komplette Netzwerk zum Erliegen kommt. Um also redundante Verbindungen mit Umschwenkzeiten im Millisekundenbereich zu ermöglichen, muss man die Redundanz anders erledigen. Das geht nach heutigem Stand der Technik nur mit IP. Wir machen das indem wir geroutete Verbindungen zwischen den Gebäuden schaffen, die zudem um einiges schneller sind als die geswitchte Verbindung über den Stern-Mittelpunkt (80 GBit/s vs. 10 GBit/s). Über geroutete Verbindungen können wir keine Vlans schalten. Das bedeutet, ein Vlan kann maximal an einem Router (d.h. in der Regel in einer Gebäudereihe) existieren. Wenn Sie Netz-Konnektivität in mehreren Gebäudereihen benötigen, bekommen Sie von uns ein weiteres Vlan mit separaten IP-Subnetzen (IPv4 und IPv6). Gleiches gilt für die Unterstellung von Servern in Standorten des Datacenters: Sie bekommen für Ihre Server dort ein separates Vlan mit entsprechenden IPv4- und IPv6-Adressen. Die Kommunikation der Geräte zwischen den Vlans regeln Sie wie schon seit Jahren gewohnt per ACL in unserem Netzbetreuer-Tool Alice. Wir unterstützen Sie da gerne. Sollten Sie momentan Vlans im Einsatz haben, die sich über mehrere Gebäudereihen erstrecken, setzen Sie sich bitte bei Gelegenheit mit uns in Verbindung, damit wir diese entsprechend aufteilen können. Wenn Sie das nicht tun, werden wir uns irgendwann bei Ihnen melden. ==== Details zur Umsetzung der Netz-Modernisierung ==== Die Modernisierung unserer Netzinfrastruktur haben wir in drei Phasen gegliedert: In **Phase 1** tauschen wir sämtliche 10-Gigabit-Verteiler auf dem Campus gegen neue Geräte. Auf diese Verteiler sind direkt die Zuleitungen der Etagenverteiler gesteckt. Diese sind in der Regel nur einfach vorhanden, d.h. nicht redundant, was bedeutet, dass beim Umstecken ein kurzer Ausfall entsteht. Normalerweise merken Sie das an Ihren Endgeräten nicht, weil der Ethernet-Link nur zwischen Gebäudeverteiler und Etagenverteiler kurz aussetzt, nicht zwischen Etagenverteiler und Endgerät. VoIP-Telefonate brechen allerdings ab, da der Aussetzer zu lange dauert (ca. 15-30 Sekunden, wenn alles gut geht). In **Phase 2** werden wir dann sämtliche Router auf dem Campus durch redundant ausgelegte, neue Router ersetzen. Hierbei wird es zumindest in der N-Reihe wieder einen Ausfall geben, der dann jedoch spürbar, weil länger, wird. Wir müssen in einigen Fällen aus Platzgründen zuerst das alte System aus unseren Schränken ausbauen und anschließend das neue System einbauen. Dies dauert einige Minuten und wird in den Morgenstunden, möglichst vor 8 Uhr passieren und jeweils gesondert angekündigt werden. In **Phase 3** werden wir sämtliche Hauptverteiler in den angemieteten Aussenstellen der Ruhr-Universität tauschen. Hier wird es jeweils einen kurzen Ausfall geben, den wir mit den jeweiligen Netzbetreuern separat absprechen werden. Phase 1 - Austausch der 10-Gigabit-Verteiler - ist mittlerweile (Stand: 25.04.2018) schon fast abgeschlossen. Es sind nur noch wenige Geräte zu tauschen, wir werden das in den nächsten Tagen durchführen. Phase 2 beginnt in Kürze, Phase 3 werden wir starten, wenn Phase 2 abgeschlossen ist.