Těžko na cvičišti, lehko na bojišti

Včera byla na jedné z našich lokalit provedena revize elektrických rozvodů. Elektrikáři jsou šikovní. V podstatě vždy tato operace poškodí zdroj nějakého z našich prvků. Obvykle to bývají zdroje APček. Tentokrát byl "vylosován" jiný prvek, zdroje APček se jim zdály asi málo :-) Odnesl to agregační přepínač Cisco Catalyst 3750, respektive jeho zdroj.


Po plánovaném výpadku dopoledne naběhla část sítě, ale ve 12:03 mi volali, že je poškozen zdroj u jednoho agregačního přepínače. Vzdychl jsem, podíval jsem se na hodinky (tedy na čas na IP telefonu), poděkoval jsem osudu, že jsem už po obědě, a jal se konfigurovat nový přepínač. Naštěstí jsem měl stejný typ přepínače na stole. Minulý týden jsem totiž testoval nový IOS 12.2(53) a některé nové IPv6 vlastnosti.

Konfigurace byla hotova během chvilky. Ještě jsem ji trochu upravil, zabalil jsem napájecí a konzolový kabel (to je takový ten bleděmodrý, co nechávám i tak pro jistotu v každém rozvaděči :-). Radek na mě houkl, že ta reakce je celkem rychlá a že bych to měl měřit.

To dodalo jinak zcela běžnému servisnímu zásahu jiný náboj. I když výpadek nepostihoval o prázdninách téměř žádné uživatele, tak jsem vyrazil, nasedl do auta (ano, soukromá jízda) a odjel přes celé město na EkF. Papírově je to 13km, dobře 20 minut cesty autem. Kousek od budovy, kam jsem mířil, sídlí i školka mé dcery. Tak jsem dceru vyzvedl. Poté jsme zamířili do příslušného rozvaděče, následovala demontáž, montáž. Zde se ukázalo, jak prozíravě jsem si přibral pomocníka. To se hodí, když se demontuje ne úplně lehký prvek ve výšce dvou metrů a existuje někdo, kdo podá šroubek nebo šroubovák... Potom už proběhlo přepojení kabelů a v 13:16 byl podle monitoringu provoz obnoven.

Lehce mě ještě překvapily nějaké drobné změny v novém IOSu, to jsem už v klidu nastudoval a doladil doma.

Čas 1:13 mezi přijetím informace o výpadku a zprovozněním je celkem slušný, že? Teď už jen vyřešit RMA...

Celý článek......

Plánujeme nové hraniční směrovače

Svůj první blogový příspěvek začnu technickým tématem. O tom, jak je realizováno redundantní připojení počítačové sítě VŠB k síti CESNET2 a jaké jsou plány. A krátce také o tom, jak působí na výběr a nasazování technologií i netechnické vlivy.


Když jsme konečně dostali v půlce července rozpočet, tak jsem mohl naplánovat nákupy a k nim vázané práce pro zbytek roku. Oproti jiným létům došlo k přidělení financí o několik měsíců později. Ale koneckonců lepší nějaký rozpočet než žádný. Pravděpodobně bude nutné původní plán práce na celý rok muset modifikovat, protože byl původně tvořen s beznadějí, že žádná nová zařízení pořizována nebudou.

Oblastí, které je potřeba řešit, je více a finance jsou, jako obvykle, omezené :-). Takže finální volba padla na upgrade hraničních směrovačů počítačové sítě. Po zhodnocení požadavků a technických možností byly vybrány směrovače Cisco ASR1000.

Počítačová univerzitní metropolitní síť je postavena tak, že má dva hraniční směrovače. Primární hraniční směrovač je umístněn v hlavním areálu univerzity. Druhý, záložní, je pak v centru města, na Ekonomické fakultě. Zde je asi největší technický problém stávajícího řešení. V pozici záložního hraničního směrovače je velmi staré zařízení Cisco Catalyst 6500 se Sup2 (pořízeno bylo v roce 1998). Technické problémy záložního hraničního směrovače spočívají v tom, že je osazen poměrně malým množstvím paměti, takže nelze ani provést upgrade IOSu, nepodporuje IPv6, je omezeno na gigabitová rozhraní a pořádná podpora FW je v podstatě nulová.

V současné době provoz univerzity ve špičkách přesahuje 1 Gbps a ještě se nestalo, že by přestal provoz s novým semestrem nenarostl :-) Proto primární připojení na síť CESNET2 je realizováno 10Gbps trasou.

Dovolím si odbočku k časovým termínům nasazení. V jiných létech se vědělo, že rozpočet bude a tak se od počátku plánovaly práce a potřebné technické prostředky. Letos to s rozpočtem oddělení CIT vypadalo všelijak. A tak mi po přidělení prostředků bylo jasné, že má-li se stihnout VŘ, zároveň alespoň nějaké práce a k tomu dovolené všech zainteresovaných, tak je třeba výrazně zabrat. VŘ tak bylo připraveno za zhruba týden. Do dvou měsíců by mělo být ukončeno a potom máme zhruba 6-8 týdnů na dodávku zařízení. Tedy v listopadu ta zařízení budou na univerzitě. Následně budou zařízení připravována, testována a ve finále nasazena do pilotního provozu.

Ale opravdu velké změny je možno dělat tak v posledním prosincovém týdnu. Trochu to sice komplikuje fakt, že je nařízena povinná dovolená. Bez výjimek. Poslední prosincový týden obvykle nasazuji nové verze programového vybavení na aktivní prvky. Počet změn v tom kritickém týdnu musí být úměrný jak náročnosti technických změn, tak obvykle i naplánovaným rodinným aktivitám. No, tak asi budeme jako ostatně každý rok, pracovat ve svém volném čase :-) Nicméně ostré nasazení se posune odhadem do zkouškového období, protože v běžném provozu je riziko dopadu na uživatele výrazně větší. Uživatelů máme odhadem přes deset tisíc a vždy se bohužel najde někdo, kdo je změnou postižen.

Ale zpět k technickému řešení. Do pozice hraničního směrovače byl vybrán čistokrevný směrovač Cisco ASR1000. Tedy zařízení, které je na trhu zhruba 2-3 roky a jeho pořízení se jeví perspektivně. Po nějaké době úvah a počítání bylo vybráno řešení postavené na čtyřslotovém šasi, se třemi 10Gbps porty. Dva 10Gbps porty budou zapojeny dovnitř sítě, jeden pak směrem do sítě CESNET2. Základní vlastnosti byly rozšířeny o firewall feature set a podařilo se to zkombinovat s podporou Flexible Packet inspection. Deklarovaná propustnost je 10Gbps, ale je předpoklad, že kombinace FW, FPI, ERSPANu částečně propustnost sníží. Přesto by tato propustnost měla poskytovat dostatečnou rezervu a to i do budoucna.

Finančně to řešení vyšlo nakonec velmi dobře. A nenechte se mást dostupnými GPL cenami :-)

A jaké nové služby toto řešení přinese uživatelům? Konečně bude nasazen plnohodnotný stavový filtr, který bude realizován na obou hraničních směrovačích, bude k dispozici dostatečná zálohovaná konektiva. Budou eliminovány uživatelsky asi nejviditelnější problémy s protokolem FTP. Také budeme mít zcela zálohován nejen IPv4, ale také IPv6 provoz. Víte vůbec na co vše už dnes IPv6 používáte aniž o tom víte? Ale o tom někdy příště.

Až nám směrovače dojdou, tak o nich i o jejich nasazení povím více.

Takže všem přeji dobrou konektivitu :-)

Celý článek......