Informationen

• Aufgaben des RZ
• Mitarbeiter/innen
• Benutzungsordnung
• Net Policy
• Sicherheitskonzept
• Datennetz
• Lehre
• Notebook-Verleih
• Videokonferenzen
• Zertifikate (UHH CA RA)
• interne Formulare (PDF)

Betrieb

• Störungen
• Aktuelles
• Öffnungszeiten
• Netzdienste
• Benutzerkennungen
• Rechner

Software

• Unix-Software
• Linux-Software
• Mac-Software
• Windows-Software
• Multimedia + Scanner
• Microsoft DreamSpark
• Volumen-Lizenzen am FB

• => nur intern zugreifbar

Anforderungen an ein modernes Fachbereichsnetz

Hinweis: Die Ausführungen haben z.T. historischen Charakter und sind durch aktuelle Entwicklungen in Teilen obsolet. So ist im Bereich der Anbindung zur Universität/dem DFN und im Informatik-Backbone inzw. bis zu 10 GBit/s verfügbar, die Netzwerk-Switches sind fast flächendeckend durch andere Modellen ersetzt worden. Die Überarbeitung dieser Informationen ist geplant.

 

Im Laufe der letzten Jahre hat sich im Bereich der Computervernetzung eine rasante Entwicklung ergeben. Der Massenmarkt der Endgeräte besitzt heutzutage einen 100MBit/s- wenn nicht gar einen 1000MBit/s-Ethernet Netzwerkanschluß – und bei bekannten (Lebensmittel-)Discountern ist eine 54MBit/s-Wireless Ausstattung inzwischen auch bereits als Standardausstattung enthalten. Somit ist inzwischen die Netzwerk-Technologie auch in den Heimbereich vorgedrungen. Installation und Betrieb von Wireless-LAN und DSL-Routing sind damit vielen interessierten Computernutzer bekannt bzw. auch in der Nutzung vertraut.

Möglich war dies hauptsächlich durch den stark angewachsenen Markt an Ethernet-Komponenten. Die Ethernet-Technik hat sich, nach einigen technischen Verbesserungen (z.B. 802.1p-Priorisierung) klar gegen ursprünglich zukunftsweisend scheinende Technologien wie ATM, FDDI oder DQDB durchgesetzt und diese im LAN-(und praktisch auch im MAN-)Bereich verdrängen können. Auch in der Universität Hamburg ist diese Entwicklung nachzuvollziehen, so hat das Regionale Rechenzentrum der Universität 2005 sein (eigentlich noch recht junges) ATM-Backbone aufgegeben und durch ein Gigabit-Ethernet-Backbone ersetzt. Damit konnte auch der Campus in Stellingen über eine 1000MBit/s-Full-Duplex-Verbindung (vorher bei ATM 155MBit/s) an das Universitätsnetz und weiterführend an das G-WIN des DFN-Vereins angebunden werden.

Hier erfolgt nun ein nahtloser Übergang in das Gigabit-Ethernet-Backbone (die Informatik hatte bereits seit 2001 frühzeitig auf die absehbar kostengünstigere Gigabit-Ethernet-Technologie als Produktionsbackbone gesetzt).

Das Ethernet-Backbone der Informatik

Aber auch das Backbone der Informatik wurde 2004 grundlegend erneuert. Durch neue Backbone-Switches wurde sowohl für steigenden Bandbreiten-Bedarf, welcher sich durch die ständige Leistungssteigerung der Endgeräte sowohl bei den Arbeitsplätzen als auch bei den Servern ergibt, Vorsorge getroffen. Hier wurde ein bis auf Etagen-Switch-Ebene durchgängiges Gigabit-Ethernet realisiert.

Weiterhin wird an einer flächendeckenden Wireless-LAN-Versorgung für das Stellinger Gelände gearbeitet, wobei inzwischen bereits ca. 80-90% der Gebäudebereiche abgedeckt werden. Somit kann die Anforderung nach einer Einbindung von mobilen Geräten, hier sowohl z.B. die in der Lehre eingesetzten Notebooks, aber auch die Unterstützung studentischer Notebooks erfüllt werden.

Schwerpunkt Netzwerk-Sicherheit

Insbesondere die Integration dieser mobilen Geräte ergibt aber einen weiteren Gesichtspunkt, der bei der Aktualisierung des Informatik-Datennetzes neben der Bandbreite einen sehr hohen Stellenwert einnehmen muss, nämlich der Bereich der Netzwerk-Sicherheit.

Wie auch das weltweite Internet, so ist auch das Datennetz der Universität in der jüngsten Vergangenheit nicht von strafrechtlich relevanten Vorfällen verschont geblieben, so dass sich die Universität Hamburg veranlasst sah, eine entsprechende Net-Policy festzuschreiben, die eine universitätsweite Gültigkeit besitzt und damit auch in der Informatik zu realisieren ist.

Umzusetzen ist hier primär die Anforderung eine Benutzerauthentisierung vor der Nutzung des Datennetzes, d.h. die Möglichkeit des Nachweises, wer zu welchem Zeitpunkt eine IP-Adresse des Fachbereichs genutzt hat. Weiterhin ist insbesondere das Rechenzentrum der Informatik durch Delegation des Regionalen Rechenzentrums verpflichtet, einen störungsfreien und den Benutzungsregeln entsprechenden Betrieb des Netzes sicherzustellen.

Struktur des Fachbereichs-Datennetzes

Technisch ist insbesondere der Sicherheitsaspekt in einem heterogenen und primär auf Forschung und Lehre ausgerichteten Datennetz nicht einfach umzusetzen. Erforderlich sind hierfür mehrere Komponenten, die aufeinander abgestimmt eingesetzt werden müssen.

An der Schnittstelle zwischen dem Campus-Netz Stellingen der Informatik und dem Backbone der Universität ist die Entscheidung zu treffen, wer Zugang von Außen auf das Fachbereich-Datennetz erhält.

Hier arbeitet einmal eine dynamische Firewall (Cisco PIX), welche neben den von der Informatik ausgehenden Kommunikationsbeziehungen nur eine genau definierte Gruppe von Diensten innerhalb der Informatik für externe Nutzer zugänglich macht.

Weiterhin ist hier ein VPN-Zugangsdienst eingerichtet, der nach expliziter, personenbezogener Authentisierung eine Zugangsmöglichkeit zu den speziellen Diensten des Rechenzentrums und der Fachbereich-Einrichtungen (z.B. File-/Printdienste) ermöglicht. Im Gegensatz zu üblichen VPN-Diensten erfolgt hier eine Unterscheidung nach Gruppenprofilen, so dass eine differenzierte Freigabe der Dienste möglich ist (z.B. für Studenten als Basisdienst Zugriff auf File-/Printdienste des Rechenzentrums, für Mitarbeiter und Studenten bestimmter Projekte auch Zugang auf Arbeitsbereichs-Dienste).

Sowohl die dynamische Firewall, wie auch der VPN-Dienst sind hierbei auf die hohe Bandbreite von 1000MBit/s des Universitätszugangs ausgelegt.

Innerhalb des Fachbereichs-Datennetzes ist noch einmal zu unterscheiden zwischen dem öffentlichen Netz (Public LAN) einerseits, welches sowohl die Zugangs-Knoten des Funk-Netzes, als auch entsprechend ausgestattete Räume mit Festnetz-Anschlüssen beinhaltet. Dieses ist strikt getrennt vom allgemeinen Informatik-Datennetz, welches die verwalteten Arbeitsplätze und Server der Informatik enthält.

Ein Übergang vom öffentlichen Netz zu den Diensten des Informatik-Netzes ist wiederum nur über den oben genannten VPN- oder alternativ über den SSH-Zugangsdienst des Public-LANs möglich (hier eingeschränkt auf die Dienste HTTP/HTTPS, SSH-Zugang, SFTP, Mail-Empfang mit POP3s/IMAP, Mail senden mit SMTP nur über rzdspc1 und Druckzugang auf einige ausgewählte Drucker des Informatik-Rechenzentrums).

Im allgemeinen Informatik-Datennetzes muss das Hauptaugenmerk auf dem Punkt Performanz liegen, was ein leistungsfähiges, geswitchtes Gigabit-Backbone erfordert. Dies wird durch einen zentralen, sehr performanten Multiprotokoll-Switch (FastIron400) realisiert, der alle Routing-Entscheidungen in Wirespeed treffen kann und über (teilweise parallel geschaltete) Gigabit-Strecken die Aufpunkte in den Gebäuden versorgt. Hier finden sich inzwischen durchgehend modernste, modular aufgebaute Gigabit-Switches (HP 5300XL-Serie) welche je nach gegebener Gebäudestruktur als Distribution-Layer-Geräte arbeiten und somit die zusätzlichen Workgroup-Switches in den Gebäuden versorgen (hier auch durchgängig mit Gigabit-Ethernet), oder bereits Access-Layer-Dienste bieten und damit sowohl Workstations als auch Server der Arbeitsbereiche an das Datennetz anbinden.

Die für die Netzwerk-Sicherheit genutzten Techniken umfassen im allgemeinen Informatik-Datennetz zum einen die Zugangskontrolle auf Hardware-Adressebene, welche derzeit auf dem Gelände verbreitet genutzt wird. In einem nächsten Schritt soll diese durch eine aktive Authentisierung der Rechner selbst mit Hilfe des 802.1x-Protokolls erweitert bzw. abgelöst werden. Weiterhin wird die aktuell in den HP 5300XL verfügbare Virus-Throtteling Technik evaluiert (die Switches überwachen selbstständig die IP-Verbindungs-Charakteristik der angeschlossenen Rechner).

Datennetz-Übersicht des Fachbereichs Informatik

Die folgenden Abbildungen sind nur innerhalb der Informatik lesbar!

• Übersicht über das Gigabit-Backbone des Fachbereichsnetzes