Referentieontwerpen Netwerkinfrastructuur

Werk in uitvoering


Inleiding

Het programma Digitaal Veilig Onderwijs (DVO) helpt de scholen met de beveiliging van hun werk via IT-voorzieningen. Kwetsbaarheden in de IT-infrastructuur kunnen een target zijn en introduceren beveiligingsrisico’s. Het DVO programmaonderdeel “Veilige school/sector IT-infrastructuur" ondersteunt op termijn met te adviseren maatregelen, gebaseerd op gestandaardiseerde infrastructuur. De FORA is uitgangspunt voor de standaardisatie en is inmiddels gecompleteerd met de ontbrekende beschrijving van de services die de IT-infrastructuur omvat.

Referentieontwerpen

De infrastructuurservices uit de FORA (zie Netwerkinfrastructuurmodel) zijn terug te vinden in de IT-infrastructuren van vrijwel iedere school. De topologie van de infrastructuur in de praktijk verschilt echter. Hier kunnen kleine schoollocaties, grote instellingen, samenwerkingsinitiatieven aan de orde zijn. Daarvoor zijn hiernavolgend een aantal profielen voor een referentieontwerp opgesteld waarin een school zijn eigen situatie kan herkennen. Hierin zijn de infrastructuurservices uit de FORA afgebeeld waarmee duidelijk wordt waar de infrastructuurservice werkzaam is.

Profiel 1: Infrastructuur referentieontwerp op een kleine schoollocatie

[+/-] Uit-/inklappen

Op kleine schoollocaties worden de netwerkinfrastructuurservices vaak gecombineerd in fysieke apparatuur aangeboden en wordt apparatuur meestal centraal in één computerruimte (Main Equipment Room, MER) op de locatie geplaatst. Het betreft met name apparatuur voor netwerkverbindingen. Servers waarop applicaties aangeboden worden, bevinden zich niet op de schoollocatie maar zijn via de internetverbinding bereikbaar.

Onderstaande tekening laat een high-level referentieontwerp zien voor de fysieke infrastructuur op een kleine schoollocatie. In de bijlage is de betekenis van de symbolen aangegeven. Referentieontwerp kleine schoollocatie.png

Aan de basis is aangegeven welke toegestane type apparaten op de locatie gebruik van de infrastructuur kunnen maken. Laptops, desktops, smartphones, tablets, chromebooks, IP-phones, netwerkprinters, IoT-devices verkrijgen toegang (access) via bedrade (wired) of draadloze (wireless, wifi) verbindingen. Deze toegang wordt in de daarvoor benoemde ruimtes op de locatie geboden op fysieke aansluitpunten (wall-outlets) of draadloze opstappunten (wireless access points). Outlets en accespoints worden via de gebouwcomputerbekabeling verbonden met patchpanelen in de computerruimte waarop het mogelijk is elke outlet en access point aan te sluiten op een netwerk-switch.

De netwerk-switch is een eenvoudige configuratie op een kleine schoollocatie. Eén switch volstaat om de switching-services integraal op locatie te verzorgen.

Een gateway verbindt de interne schoolinfrastructuur met het externe internet en biedt integraal infrastructuurdiensten als routing, netwerkadresseringsdiensten en beveiligingsdiensten voor de locatie. De internetverbinding op de locatie is een beheerde dienst van de provider en biedt connectiviteit met de buitenwereld. De provider levert deze op een provider-randapparaat (Customer Premises Equipment, CPE), dat is voorzien van de instellingen die de provider nodig heeft om de infrastructuur te koppelen. Afhankelijk van de provider/CPE is het mogelijk dat de school hierop ook bepaalde gateway-infrastructuurdiensten kan configureren.

NB1: Standaard wordt de internetverbinding rechtstreeks afgenomen bij een provider. In een aantal regio’s kan de internetverbinding ook worden geleverd via een regionale gezamenlijke sectorale (glasvezel)infrastructuur. De internetverbindingscapaciteit is daarop gedeeld, is centraal aangesloten en wordt via de gezamenlijke infrastructuur verdeeld naar de schoollocaties. Voor de individuele schoollocatie spreken we ook voor dit leveringsmodel over een internetverbinding. De impact op het ontwerp wordt in het volgende referentieontwerp (grote locatie) behandeld.

NB2: Wanneer op een kleine locatie essentiële bedrijfskritische processen plaatsvinden die hogere internetbeschikbaarheid vereisen dan het Service Level van de provider, kan de school besluiten een tweede internetverbinding, gebaseerd op een gescheiden aansluiting, installeren.

In onderstaand overzichtsschema is aangegeven waar de netwerkinfrastructuurservices in het referentieontwerp van een kleine locatie, zijn toegepast. Referentieontwerp kleine schoollocatie (met services).png

Profiel 2: Infrastructuur referentieontwerp op een grote schoollocatie

[+/-] Uit-/inklappen

Op grote schoollocaties worden de netwerkinfrastructuurservices vaak toegepast in omvangrijkere infrastructuur met meer fysieke apparatuur aangeboden. Apparatuur wordt centraal in een computerruimte (Main Equipment Room, MER) én in satellietruimtes (Satellite Equipment Room, SER) op de locatie worden geplaatst. Het betreft met name apparatuur voor netwerkverbindingen. Hoewel grotere MER’s de mogelijkheid bieden, bevinden servers waarop applicaties aangeboden worden zich niet meer op de schoollocatie maar deze zijn via de internetverbinding elders bereikbaar.

Onderstaande tekening laat een high-level referentieontwerp zien voor de fysieke infrastructuur op een grote schoollocatie. In de bijlage is de betekenis van de symbolen aangegeven. Referentieontwerp grote schoollocatie.png

Aan de basis wordt aangegeven welke toegestane type apparaten op de locatie gebruik van de infrastructuur kunnen maken. Laptops, desktops, smartphones, tablets, chromebooks, IP-phones, netwerkprinters, IoT-devices verkrijgen toegang (access) tot de infrastructuur via bedrade (wired) of draadloze (wireless, wifi) verbindingen. Deze toegang wordt in de daarvoor benoemde ruimtes op de locatie geboden op fysieke aansluitpunten (wall-outlets) of draadloze opstappunten (wireless access points). Outlets en accespoints worden via de gebouw-computer-bekabeling -eventueel via satelliet ruimtes- verbonden met patchpanelen in de computerruimte, waarop het mogelijk is elke outlet en access point aan te sluiten op een access-switch.

Omdat het netwerk op de grote locatie omvangrijker is, wordt omwille van performance een gelaagde, specialistische switch-functionaliteit geboden en worden meerdere switches op locatie opgebouwd:

  • Access switches om de device-aansluitingen te koppelen
  • Distribution switches om een transport en distributie van verkeer tussen devices op locatie en naar de buitenwereld te verdelen.
  • Core switches, puur gericht op hoge snelheidstransport van grote verkeerstromen en de centrale toegang van en naar internet.


Een gateway verbindt de interne schoolinfrastructuur met het externe internet en is de apparatuur waar netwerkadresseringsdiensten worden geboden. In tegenstelling tot de kleine locaties zijn infrastructuurdiensten als routing, netwerkadresseringsdiensten en beveiligingsdiensten in gescheiden specialistische apparatuur als routers, een gateway en een firewall geïmplementeerd.

De internetverbinding op de locatie is een beheerde dienst van de provider en biedt connectiviteit met de buitenwereld. De provider levert deze op een provider-randapparaat (Customer Premises Equipment, CPE), dat is voorzien van de instellingen die de provider nodig heeft om de infrastructuur te koppelen. Afhankelijk van de provider/CPE is het mogelijk dat de school hierop ook bepaalde gateway-infrastructuurdiensten kan configureren.

NB1: Standaard wordt de internetverbinding rechtstreeks afgenomen bij een provider. In een aantal regio’s kan de internetverbinding ook worden geleverd via een regionale gezamenlijke sectorale (glasvezel)infrastructuur. De internetverbindingscapaciteit is daarop gedeeld, is centraal aangesloten en wordt via de gezamenlijke infrastructuur verdeeld naar de schoollocaties. Voor de individuele schoollocatie spreken we ook voor dit leveringsmodel over een internetverbinding. Het referentieontwerp krijgt daarmee onderstaande vorm. Referentieontwerp gezamenlijke (glasvezel)infrastructuur.png

NB2: Wanneer op een grote locatie essentiële bedrijfskritische processen plaatsvinden die hogere internetbeschikbaarheid vereisen dan het Service Level van de provider, kan de school een tweede internetverbinding, gebaseerd op een gescheiden aansluiting, installeren.

In onderstaand overzichtsschema is aangegeven waar de netwerkinfrastructuurservices in het referentieontwerp van een grote locatie zijn toegepast. Referentieontwerp grote schoollocatie (met services).png

Profiel 3: Infrastructuur referentieontwerp voor een datacenter voor de school

[+/-] Uit-/inklappen

In het datacenter waar de school haar centrale dienstverlening afneemt worden dezelfde netwerkinfrastructuurservices gebruikt. In het datacenter krijgen echter geen eind-apparaten (Laptops, desktops, smartphones, tablets, chromebooks, IP-phones, netwerkprinters, IoT-devices) toegang tot de infrastructuur maar worden servers, opslagsystemen en backupsystemen aangesloten.

Onderstaande tekening laat een high-level referentieontwerp zien voor de fysieke infrastructuur op het datacenter. In de bijlage is de betekenis van de symbolen aangegeven. Referentieontwerp datacenter.png

In het datacenter wordt alleen gebruik gemaakt van bekabeling (geen wireless) om servers, opslagsystemen en/of backup-systemen aan te sluiten.
Servers kunnen losse fysieke servers zijn of via een virtualisatiesysteem in het datacenter worden aangeboden. Op de servers draaien de benodigde te installeren schoolapplicaties. NB: Het heeft de voorkeur deze applicaties waar mogelijk als Software as a Service uit de cloud af te nemen met gevolg dat servers hiervoor uit beheer zouden kunnen worden genomen. Op de servers kunnen daarnaast infrastructuur-ondersteunende diensten (dns, nat, dhcp voor schoollocaties) draaien. Door hiervoor ook alternatieve oplossingen te ontwerpen (in de cloud, bij de provider, op de gateway op de schoollocatie) zouden ook deze servers kunnen worden ontmanteld.
Centrale opslag (persoonlijke data, instellingsdata en applicatiedata) is steeds vaker in verschillende oplossingstypes in de cloud opgeslagen. Ook deze systemen zouden daarmee kunnen worden ontmanteld in het datacenter. Tenslotte geldt hetzelfde voor back-up oplossingen die in de cloud voorhanden zijn.
Het is de verwachting dat het datacenter uiteindelijk migreert naar de cloud. Ieder schoolbestuur heeft daarvoor zijn eigen strategie, financiële planning, expertise/rol-transitieplan en tijdslijn.
Zolang er in de tussenfase nog eigen servers nodig zijn is het ook mogelijk deze als een infrastructuurcomponent (IaaS, Infrastructure as a Service) uit de cloud af te nemen. Daarmee kan het datacenter ook voor de resterende servers ontmanteld worden. Met een IaaS oplossing verandert er aan het referentieontwerp van het datacenter voor de school weinig. De hardware draait alleen niet meer in het eigen datacenter maar in de cloud. Zie onderstaande referentieontwerp voor de situatie met IaaS. De uitgegrijsde infacomponenten geven aan dat de fysieke voorzieningen uit het vorige ontwerp zijn vervangen door gevirtualiseerde componenten met dezelfde netwerkinfrastructuurservices. Referentieontwerp datacenter (IaaS).png

Servers, virtualisatieplatform, opslagsysteem en/of back-up-systeem verkrijgen toegang (access) tot de infrastructuur via bedrade verbindingen in het datacenter. Deze toegang wordt in de serverkast van de school in het datacenter geboden op het patchpanel, waarop het mogelijk is elke outlet aan te sluiten op een access-switch voor apparatuur in de top van de serverkast.

Omdat het datacenter een centraal verkeerknoppunt is, gebruikt de datacenter-eigenaar omwille van performance een gelaagde, specialistische switch-functionaliteit achter de access switch:

  • Access switches om de apparatuur in de serverkast te koppelen
  • Distribution switches om een transport en distributie van verkeer tussen serverkast op locatie en naar het core-netwerk in het datacenter te verdelen.
  • Core switches, puur gericht op hoge snelheidstransport van grote verkeerstromen en de centrale toegang van en naar internet.


Een gateway verbindt de servers met het externe internet en is de apparatuur waar netwerkadresseringsdiensten worden geboden. De router verzorgt de routering naar de juiste IP-adressen. De firewall beveiligt de servers in het datacenter met toepassing van de juiste beveiligingsmaatregelen

De internetverbinding hoort bij de datacenterdienstverlening en is vrijwel altijd dubbel uitgevoerd. Het biedt de servers (evt opslag) in het datacenter en biedt connectiviteit met de buitenwereld. De datacenterdienstverlener levert deze op het patchpanel op de serverkast.

In onderstaand overzichtsschema is aangegeven waar de netwerkinfrastructuurservices in het referentieontwerp van een fysiek datacenter zijn toegepast. Referentieontwerp datacenter (met services).png

Bijlage: Legenda

[+/-] Uit-/inklappen

Referentieontwerpen Legenda.png