Svůj první blogový příspěvek začnu technickým tématem. O tom, jak je realizováno redundantní připojení počítačové sítě VŠB k síti CESNET2 a jaké jsou plány. A krátce také o tom, jak působí na výběr a nasazování technologií i netechnické vlivy.
Když jsme konečně dostali v půlce července rozpočet, tak jsem mohl naplánovat nákupy a k nim vázané práce pro zbytek roku. Oproti jiným létům došlo k přidělení financí o několik měsíců později. Ale koneckonců lepší nějaký rozpočet než žádný. Pravděpodobně bude nutné původní plán práce na celý rok muset modifikovat, protože byl původně tvořen s beznadějí, že žádná nová zařízení pořizována nebudou.
Oblastí, které je potřeba řešit, je více a finance jsou, jako obvykle, omezené :-). Takže finální volba padla na upgrade hraničních směrovačů počítačové sítě. Po zhodnocení požadavků a technických možností byly vybrány směrovače Cisco ASR1000.
Počítačová univerzitní metropolitní síť je postavena tak, že má dva hraniční směrovače. Primární hraniční směrovač je umístněn v hlavním areálu univerzity. Druhý, záložní, je pak v centru města, na Ekonomické fakultě. Zde je asi největší technický problém stávajícího řešení. V pozici záložního hraničního směrovače je velmi staré zařízení Cisco Catalyst 6500 se Sup2 (pořízeno bylo v roce 1998). Technické problémy záložního hraničního směrovače spočívají v tom, že je osazen poměrně malým množstvím paměti, takže nelze ani provést upgrade IOSu, nepodporuje IPv6, je omezeno na gigabitová rozhraní a pořádná podpora FW je v podstatě nulová.
V současné době provoz univerzity ve špičkách přesahuje 1 Gbps a ještě se nestalo, že by přestal provoz s novým semestrem nenarostl :-) Proto primární připojení na síť CESNET2 je realizováno 10Gbps trasou.
Dovolím si odbočku k časovým termínům nasazení. V jiných létech se vědělo, že rozpočet bude a tak se od počátku plánovaly práce a potřebné technické prostředky. Letos to s rozpočtem oddělení CIT vypadalo všelijak. A tak mi po přidělení prostředků bylo jasné, že má-li se stihnout VŘ, zároveň alespoň nějaké práce a k tomu dovolené všech zainteresovaných, tak je třeba výrazně zabrat. VŘ tak bylo připraveno za zhruba týden. Do dvou měsíců by mělo být ukončeno a potom máme zhruba 6-8 týdnů na dodávku zařízení. Tedy v listopadu ta zařízení budou na univerzitě. Následně budou zařízení připravována, testována a ve finále nasazena do pilotního provozu.
Ale opravdu velké změny je možno dělat tak v posledním prosincovém týdnu. Trochu to sice komplikuje fakt, že je nařízena povinná dovolená. Bez výjimek. Poslední prosincový týden obvykle nasazuji nové verze programového vybavení na aktivní prvky. Počet změn v tom kritickém týdnu musí být úměrný jak náročnosti technických změn, tak obvykle i naplánovaným rodinným aktivitám. No, tak asi budeme jako ostatně každý rok, pracovat ve svém volném čase :-) Nicméně ostré nasazení se posune odhadem do zkouškového období, protože v běžném provozu je riziko dopadu na uživatele výrazně větší. Uživatelů máme odhadem přes deset tisíc a vždy se bohužel najde někdo, kdo je změnou postižen.
Ale zpět k technickému řešení. Do pozice hraničního směrovače byl vybrán čistokrevný směrovač Cisco ASR1000. Tedy zařízení, které je na trhu zhruba 2-3 roky a jeho pořízení se jeví perspektivně. Po nějaké době úvah a počítání bylo vybráno řešení postavené na čtyřslotovém šasi, se třemi 10Gbps porty. Dva 10Gbps porty budou zapojeny dovnitř sítě, jeden pak směrem do sítě CESNET2. Základní vlastnosti byly rozšířeny o firewall feature set a podařilo se to zkombinovat s podporou Flexible Packet inspection. Deklarovaná propustnost je 10Gbps, ale je předpoklad, že kombinace FW, FPI, ERSPANu částečně propustnost sníží. Přesto by tato propustnost měla poskytovat dostatečnou rezervu a to i do budoucna.
Finančně to řešení vyšlo nakonec velmi dobře. A nenechte se mást dostupnými GPL cenami :-)
A jaké nové služby toto řešení přinese uživatelům? Konečně bude nasazen plnohodnotný stavový filtr, který bude realizován na obou hraničních směrovačích, bude k dispozici dostatečná zálohovaná konektiva. Budou eliminovány uživatelsky asi nejviditelnější problémy s protokolem FTP. Také budeme mít zcela zálohován nejen IPv4, ale také IPv6 provoz. Víte vůbec na co vše už dnes IPv6 používáte aniž o tom víte? Ale o tom někdy příště.
Až nám směrovače dojdou, tak o nich i o jejich nasazení povím více.
Takže všem přeji dobrou konektivitu :-)
Žádné komentáře:
Okomentovat