beskrivelse af netværket på NOVI
Beskrivelse af netværket på NOVI - NOVInet Indledning Som lejer/beboer på NOVI har man mulighed for at få virksomhedens computere tilsluttet det fælles netværk i NOVI Park i daglig tale kaldet NOVInet. Denne beskrivelse giver nuværende og kommende lejere et overblik over, hvilke mulig heder det giver virksomheden at være tilsluttet forskerparkens net værk. Hvis virksomheden vælger at benytte NOVInet, får man den basale infrastruktur, der er nødvendig for at sammenkoble virksomhedens egne computere i et lokalt netværk, hvor man kan dele filer, printere, mm. Man får også internetadgang fra alle computere via en firewall. Man har adgang til fælles ressourcer som fx mail-, www- og proxy-server. Desuden er der mulighed for nogle ekstra services som fx VPN-adgang til egne servere. Denne beskrivelse dækker den normale standardopsætning for en Firmaprint01.novi.dk 10.10.99.103 VLAN 599 virksomhed i NOVI. Nogle virksomheder har specielle ønsker eller krav, som skal være opfyldt for, at de kan benytte NOVInet. Hvis der er ønsker eller krav, som ikke er dækket i denne beskrivelse, er man naturligvis meget velkommen til at kontakte os for en drøftelse af den konkrete sag. Et VLAN til hver lejer/ virksomhed Der er oprettet et VLAN (Virtual LAN) til hver lejer/virksomhed. I praksis betyder det, at hver lejer/virksomhed i NOVI får sit eget»private«netværk, men med forbindelse til centrale ressourcer (mail, www, proxy, m.fl.) samt forbindelse til internettet. Men det er ikke muligt at tilgå andre lejeres LAN; derfor er der en god intern sikkerhed lejerne imellem. Selvom den enkelte lejers netværk bliver en del af et stort net, vil det for den enkelte lejer se forholdsvist simpelt og overskueligt ud, hvilket er illustreret på denne tegning.»skyen«til venstre er»firma X s«eget private LAN i NOVIs netværk. Fra dette net er der adgang til de fælles ressourcer i bunden af tegningen, samt internetadgang via en firewall. Forskningsnet/Internet 2 Firewall DHCP PROXY DNS SMTP TUXEN
MAC-baseret VLAN Når man tilslutter en enhed (PC, printer eller andet) til et stik på nettet, vil netværksudstyret automatisk sørge for, at enheden bliver tilsluttet det rigtige»private«netværk (VLAN). Dette kræver, at enhedens netværksadresse (MAC-adresse) er registreret i en central database. Enheder, der ikke er registreret i den centrale database, vil ikke virke (få netforbindelse), hvis de tilsluttes NOVInet. Stik, der er forbundet til NOVInet, er normalt mærket med en grøn label/prik, så det er muligt at flytte PCer rundt mellem alle NOVIs lokaler og alligevel få forbindelse til ens virksomheds eget private net. Dette gælder også i møderum. Dette giver en god sikkerhed for, at det kun er virksomhedens egne maskiner, der bliver tilsluttet det private LAN. Dette kræver naturligvis, at der gives besked, hvis man anskaffer sig nye maskiner eller skiller sig af med gammelt udstyr. VLAN-teknologien er illustreret på denne tegning. Selvom de to switche»kun«er koblet sammen via én forbindelse, sørger VLAN teknologien for, at maskinerne på hhv. det røde og blå net kun har forbindelse til andre maskiner på det samme net. Der er ingen forbindelse mellem blå og røde maskiner, selvom de er tilsluttet samme fysiske switch. VMPS-serveren rummer databasen med alle maskinernes MAC-adresser og sørger for, at de bliver tilsluttet det rigtige VLAN. Routeren er nødvendig for at få forbindelse til fælles ressourcer samt internettet. VLAN TRUNK VLAN TRUNK Router Switch Switch vlan 1 vlan 2 vlan 3 vlan 2 vlan 3 VMPS-Server FirmaXsrv01 FirmaYpc01 FirmaXpc01 FirmaYserv01 3
Internetadgang via NAT-firewall Adgangen til internettet sker via en NAT-firewall. Denne firewall har to funktioner. Dens NAT- (Network Address Translation) funktionalitet giver mulighed for at benytte mange private IP-adresser internt på lokalnettet og kun få offentlige IP-adresser på ydersiden ud mod internettet, hvilket er nødvendigt i dag, da det ikke er muligt at få tildelt nok offentlige IP-adresser. Denne adresseoversættelse sker transparent for klienter og servere. De fleste tjenester, der benyttes på internettet, virker via NAT. Dog kan der stadig være enkelte undtagelser. Firewall-funktionaliteten gør, at de enkelte maskiner på indersiden er godt beskyttet mod trusler fra internettet. Som udgangspunkt er al trafik initieret indefra og ud tilladt, mens al trafik initieret udefra mod maskiner på indersiden bliver afvist. Det er naturligvis muligt at åbne de nødvendige porte, hvis virksomheden vælger at installere egen web- eller mailserver eller andet, der kræver adgang fra internettet. Hvis en virksomhed ønsker at begrænse adgangen til internettet, er dette også muligt. Denne illustration viser, at der er private IP-adresser på indersiden (IPadresser der begynder med 10., må alene benytte til lokale formål, men de må ikke routes på internettet) og offentlige IP-adresser på ydersiden. Hver virksomhed har mindst én unik offentlig IP-adresse, som kun benyttes af den virksomhed. Firmaprint01.novi.dk 10.10.99.103 10.10.99.1 Private IP/adresser NAT 10.10.99.1 Offentlige IP/adresser Internet Proxy-server Der er adgang til en kraftig proxyserver (HTTP og FTP), som er udstyret med en stor cache. Selvom man også har adgang til internettet uden brug af proxy, vil det i mange tilfælde være en fordel at benytte proxy-serveren. 4
VPN (Virtual Private Network) VPN er en teknologi, der kan benyttes til at skabe en sikker forbindelse mellem to eller flere punkter via tunneller i et usikkert netværk som fx internettet. På NOVInet er der installeret en kraftig VPN-Concentrator, der benytter 168bit 3DES kryptering, hvilket er en meget stærk krypteringsalgoritme. Det er muligt at oprette sikre forbindelser til ens virksomheds private netværk på NOVI via denne Concentrator samt klientsoftware på PCen. Det virker fra hele verden; det eneste krav er adgang til internettet samt korrekt installeret klientsoftware. VPN er derfor meget velegnet til hjemmearbejdspladser og medarbejdere, der rejser meget. Denne illustration viser, hvordan en bærbar PC tilsluttet internettet, det kunne fx være på et hotel i USA, via VPN får adgang til virksomhedens private net på NOVI. Den krypterede tunnel er illustreret ved den røde linie mellem PCen og VPN-Concentratoren. VPN-Concentratoren dekrypterer trafikken og sender den videre til det korrekte VLAN. VPN-tunnelen er transparent for normale applikationer, derfor vil de fungere som hvis maskinen var fysisk tilsluttet på NOVI. VPN Consentrator vpn3000.novi.dk Internet Firewall 5
Telia Stofa netforbindelse NOVI har indgået en aftale med Telia Stofa om etablering af et VLAN i Telia Stofas kabelnetværk. Der er desuden etableret en fiberforbindelse direkte mellem NOVI og Telia Stofa. NOVI kan derfor tilbyde forbindelser til etablering af hjemmearbejdspladser på privatadresser. Kravet er, at husstanden i forvejen er tilsluttet en antenneforening, der benytter Telia Stofa som leverandør af internet via kabelnettet. I Aalborg-området gælder det AN-TV samt NTA. På www.stofa.dk findes en komplet liste med StofaNets dækningsområde. I forhold til en almindelig privat StofaNet-forbindelse er der nogle markan te forskelle, som gør det specielt at traktivt til hjemmearbejdspladser for medarbejdere i virksomheder på NOVI: 1. Der er direkte forbindelse mellem NOVInet og Stofas net; trafikken skal derfor ikke ud over internettet. 2. NOVI har sit eget VLAN i Stofas net; man sidder derfor ikke på VPN Consentrator vpn3000.novi.dk 1.VPN samme net som privatbrugerne og skal heller ikke dele internetforbindelse med dem. Desuden er maskinerne beskyttet af NOVIs firewall. 3. Der er ingen sign-on -procedure; man er tilsluttet nettet konstant, hvis man ønsker det. Og man må tilslutte flere maskiner direkte til kabelmodemet. 4. Der er ingen trafikafregning til Stofa, men en fast kvartalsafgift, som opkræves af NOVI. Der er direkte adgang til de fælles ressourcer på NOVI samt internetadgang via NOVIs firewall for alle maskiner. Hvis man ønsker at få adgang til virksomhedens eget VLAN, skal man benytte VPN. Denne løsning er valgt for at bibeholde en høj sikkerhed for de enkelte virksomheders LAN. Denne illustration viser, hvordan opsætningen ser ud for en virksomhed på NOVI, der benytter både VPN og StofaNet. 2.StofaNet Firmaprint01.novi.dk 10.10.99.103 StofaNet VLAN 599 Forskningsnet/Internet Firewall 6 DHCP PROXY DNS SMTP TUXEN
Access-router til modem og ISDN dial-in Der er mulighed for dial-in adgang via modem til en central access-router, der er tilsluttet det offentlige telefonnet. Hvis man ringer ind til denne router, får man adgang til de fælles ressourcer på NOVI samt adgang til ens virksomheds private LAN. Den understøtter analoge modems op til 56Kbps (v.90), samt ISDN, mobiltelefoner og cardphones - også high-speed (v.110). Denne illustration viser hvordan nettet ser ud for en enkelt virksomhed, der benytter både VPN og dial-in. 1.VPN 2.StofaNet 3.StofaNet VPN Consentrator vpn3000.novi.dk Telefon PSTN/ISDN Firmaprint01.novi.dk 10.10.99.103 Dialin Router VLAN 599 Forskningsnet/Internet Firewall DHCP PROXY DNS SMTP TUXEN 7
Gæstenet i mødelokaler I alle mødelokaler er der, ud over almindelige netforbindelser for maskiner, der er registreret på NOVInet, også etableret nogle forbindelser til et særligt gæstenet. Fra gæstenettet er der ikke adgang til virksomhedernes private net, men kun adgang til internettet via NOVIs firewall. Eneste krav til gæstens maskine er, at den er konfigureret til automatisk konfiguration af IP-adresse (DHCP). Stik i møderum, der er forbundet til gæstenettet, kan kendes på orange kabler og/eller orange markeringer på stikket. Ligesom i kontorlokalerne betyder en grøn markering, at stikket er forbundet til det almindelige net med automatisk tilslutning til den rigtige virksomheds lokalnet, når en registreret maskine tilsluttes. Kort om forskningsnettet NOVI er som forskerpark tilsluttet internettet via en redundant 100Mbps forbindelse til Forskningsnettet. Forskningsnettet har meget høj kapacitet på dets backbone samt udenlandsforbindelser, som går via NORDUnet. Dette betyder, at man som regel vil opleve en meget hurtig og stabil internetforbindelse. Som lejer i NOVI har man også ret til at benytte Forskningsnettet, men da Forskningsnettet er statsstøttet, må man ikke benytte det i kommercielt øjemed. Man må fx ikke udbyde og sælge internetbaserede services/ tjenester, drive web-hotel eller lignende på Forskningsnettet. Drift Den daglige drift af NOVInet varetages af Netic A/S for NOVIs Ejendomsfond, som ejer netværket. Kontakt Henvendelser vedr. NOVInet kan sendes pr. email til support@netic.dk eller rettes til Netic på tlf. 96 35 44 45 Niels Jernes Vej 10 DK-9220 Aalborg Ø tlf: 9635 4500 fax: 9635 4599 mail: novi@novi.dk