Reference Migrace na L3 na UHK

Pro Univerzitu Hradec Králové (UHK) jsme v roce 2009 dokončili dlouhodobý projekt – optimalizace síťové infrastruktury.

Metropolitní datová síť UHK byla historicky budována jako plochá L2 síť. Více než 100 serverů, více než 1 200 stanic a mnoho dalších IP zařízení bylo seskupeno v jednom IP adresním rozsahu v několika budovách spojených optickým vláknem. Částečně byly budovy propojeny přes lokálního poskytovatele na úrovni VLAN. Při jakémkoliv problému na síťové vrstvě mohlo dojít k nechtěnému ovlivnění všech IP zařízení v daném segmentu. 

Mimo logické oddělení datových sítí dle způsobu využití požadoval zákazník dále zabezpečení (omezení) datové komunikace pomocí přesně definovaných pravidel, podporu protokolu 802.1x, podporu pro IP telefonii, videokonference apod. 

Nejprve proběhla analýza stávajícího stavu, na základě které jsme navrhli jednotlivé kroky vedoucí k vybudování moderní komunikační infrastruktury.

Úvodní částí projektu byla optimalizace fyzické topologie sítě, kdy došlo k vytvoření datového centra v nové budově Fakulty informatiky a managementu (FIM). Do tohoto centra jsou hvězdicově připojeny ostatní lokality UHK. Současně byl připomínkován a dopracován návrh IP adresace, jmenné konvence a rozdělení do VLAN sítí na základě požadavku zákazníka. Bylo vytvořeno přibližně 30 VLAN, provedena konfigurace směrování na L3 přepínačích, kompletní readresace serverů a ostatních zařízení s pevnou IP adresou a rekonfigurace DHCP serveru. V tomto kroku byla také nastavena redundance směrování, čímž byl položen základní kámen pro budování datové sítě s vysokou dostupností.

Výše popsaná úprava si vyžádala kompletní rekonfiguraci stávajícího FireWallu v redundantním zapojení. Rekonfigurace proběhla včetně optimalizace původních bezpečnostních pravidel. K takto připravenému FireWallu byly na samostatná rozhraní připojeny datové sítě vysokoškolských kolejí a bezdrátové sítě Eduroam, které je nezbytné důsledně řídit. 

Posledním krokem bylo základní zabezpečení jednotlivých VLAN pomocí pravidel (ACL) definovaných na centrálních L3 přepínačích. Přístup ke konfiguraci přepínačů je řízen a monitorován pomocí Cisco Secure Access Control serveru.

Takto nakonfigurovaná datová síť je dostatečně robustní a je připravena pro další rozšiřování (vznik dalších fakult, výstavba nové budovy). Již dnes je v síti provozována IP telefonie a videokonference s požadovanou kvalitou služby (QoS). Dalším krokem ke zvýšení úrovně zabezpečení bude implementace protokolu 802.1.x, nebo některé z jeho nadstaveb.

Copyright © 2014 AG COM

OP LZZ Projekt Mapa stránek Informace o webu Twitter LinkedIn Vyrobil a spravuje FG Forrest, a.s.