Referentieontwerpen Netwerkinfrastructuur

Op kleine schoollocaties worden de netwerkinfrastructuurservices vaak gecombineerd in een of meer apparaten en geplaatst in een centrale computerruimte (Main Equipment Room, MER). Dit gaat vooral om apparatuur voor netwerkverbindingen. Servers waarop applicaties draaien, staan niet op de schoollocatie maar zijn via het internet toegankelijk.

De onderstaande tekening laat een high-level referentieontwerp zien voor de fysieke infrastructuur op een kleine schoollocatie. In de bijlage staat een uitleg van de gebruikte symbolen.

Aan de onderkant van de tekening is aangegeven welke soorten apparaten op de schoollocatie gebruik kunnen maken van de infrastructuur, zoals laptops, desktops, smartphones, tablets, chromebooks, IP-phones, netwerkprinters en IoT-devices. Deze krijgen toegang (access) via bedrade (wired) of draadloze (wireless, wifi) verbindingen. Op de apparaten kan zich gevoelige informatie bevinden. Er is daarom een leerling-, medewerkers- of gast-account nodig om op de apparatuur of het netwerk te kunnen inloggen.

Aansluiten:
De toegang wordt aangeboden op fysieke aansluitpunten (wall-outlets) of draadloze toegangspunten (wireless access points). De aansluit- en toegangspunten zijn via de bekabeling verbonden met patchpanelen in de computerruimte. Daar kunnen ze worden aangesloten op een netwerk-switch.

Lokaal netwerk:
Op een kleine schoollocatie is één netwerk-switch meestal voldoende om alle switching-services te verzorgen.

Gateway, netwerkconnectiviteit en firewall:
Een gateway verbindt het schoolnetwerk met het internet en biedt infrastructuurdiensten zoals voor routing, netwerkadressering en netwerkbeveiliging

Publiek internet:
De internetverbinding op de school is een beheerde dienst van de provider en biedt connectiviteit met de buitenwereld. De provider levert hiervoor een apparaat op de locatie (Customer Premises Equipment, CPE). Dit apparaat is door de provider geconfigureerd voor de verbinding. Afhankelijk van de provider/CPE kan de school mogelijk ook bepaalde gatewaydiensten op dit apparaat instellen.

NB1: Normaal gesproken wordt de internetverbinding direct afgenomen bij een provider. In sommige regio’s kan de internetverbinding ook worden geleverd via een regionale gezamenlijke sectorale (glasvezel)infrastructuur. De capaciteit van deze verbinding wordt gedeeld en verdeeld naar de schoollocaties. Voor de individuele schoollocatie spreken we ook voor dit leveringsmodel over een internetverbinding. De impact hiervan op het ontwerp wordt besproken in het volgende referentieontwerp voor grote locaties.

NB2: Wanneer op een kleine locatie essentiële bedrijfskritische processen plaatsvinden die hogere internetbeschikbaarheid vereisen dan de provider standaard aanbiedt, kan de school besluiten om een tweede internetverbinding te installeren via een aparte aansluiting.

In onderstaand overzichtsschema is aangegeven waar de netwerkinfrastructuurservices in het referentieontwerp van een kleine locatie, zijn toegepast.

Op grote schoollocaties worden de netwerkinfrastructuurservices vaak toegepast in omvangrijkere infrastructuur met meer netwerkapparatuur. Apparatuur, en met name apparatuur voor netwerkverbindingen, wordt zowel centraal in een centrale computerruimte (Main Equipment Room, MER) als in satellietruimtes (Satellite Equipment Room, SER) geplaatst. Servers voor applicaties staan (hoewel grotere MER’s de mogelijkheid bieden) meestal niet meer op de schoollocatie zelf maar zijn via een internetverbinding bereikbaar.

Onderstaande tekening laat een high-level referentieontwerp zien voor de fysieke infrastructuur op een grote schoollocatie. In de bijlage staat een uitleg van de gebruikte symbolen.

Aan de onderkant van de tekening is aangegeven welke soorten apparaten op de schoollocatie gebruik kunnen maken van de infrastructuur, zoals laptops, desktops, smartphones, tablets, chromebooks, IP-phones, netwerkprinters en IoT-devices. Deze krijgen toegang (access) tot de infrastructuur via bedrade (wired) of draadloze (wireless, wifi) verbindingen. Op de apparaten kan zich gevoelige informatie bevinden. Er is daarom een leerling-, medewerkers- of gast-account nodig om op de apparatuur of het netwerk te kunnen inloggen.

Aansluiten:
Deze toegang wordt in de daarvoor benoemde ruimtes op de schoollocatie geboden op fysieke aansluitpunten (wall-outlets) of draadloze toegangspunten (wireless access points). De aansluit- en toegangspunten worden via bekabeling (eventueel via satellietruimtes verbonden met patchpanelen in de computerruimte. Daar kunnen ze worden aangesloten op een access-switch.

Lokaal netwerk:
Omdat het netwerk op een grote schoollocatie complexer is, worden verschillende soorten switches gebruikt om de prestaties te optimaliseren:

• Access switches om apparaten met het netwerk te koppelen.
• Distribution switches om het netwerkverkeer tussen apparaten op de schoollocatie en naar de buitenwereld te verdelen.
• Core switches die gericht zijn op snel transport van grote hoeveelheden gegevens en de centrale toegang van en naar internet.

Gateway, netwerkconnectiviteit en firewall:
Een gateway verbindt het interne netwerk van de school met het internet en biedt diensten voor netwerkadressering. In tegenstelling tot kleine schoollocaties worden op grote schoollocaties infrastructuurdiensten als routing, adressering en beveiliging apart uitgevoerd door specialistische apparatuur zoals routers, gateways en firewalls.

Publiek internet:
De internetverbinding op de schoollocatie is een dienst van de provider die zorgt voor verbinding met het internet. De provider levert deze verbinding via een apparaat (Customer Premises Equipment, CPE), dat is ingesteld om goed te werken met de rest van het netwerk. Afhankelijk van de provider en het CPE-apparaat kan de school mogelijk ook enkele netwerkdiensten zelf configureren.

Op een grote locatie vinden meer essentiële bedrijfskritische onderwijs (ondersteunende) processen plaats die hogere internetbeschikbaarheid vereisen dan de provider standaard aanbiedt. Hierom kan de school besluiten om een tweede internetverbinding via een aparte aansluiting als back-up installeren.

NB: Normaal gesproken wordt de internetverbinding rechtstreeks afgenomen bij een provider. In sommige regio’s kan deze verbinding ook worden geleverd via een regionale gezamenlijke (glasvezel)infrastructuur. Hierbij wordt de capaciteit van de internetverbinding gedeeld, centraal aangesloten en via deze gezamenlijke infrastructuur verdeeld naar de schoollocaties. Voor de individuele schoollocatie spreken we ook voor dit leveringsmodel over een internetverbinding. Hieronder wordt het referentieontwerp voor deze situatie weergegeven.

In onderstaande tekening is aangegeven waar de netwerkinfrastructuurservices in het referentieontwerp van een grote schoollocatie zijn toegepast.

In onderstaande tekening is aangegeven waar de netwerkinfrastructuurservices zijn toegepast in het referentieontwerp van een grote schoollocatie waarbij de internetverbinding wordt geleverd via een regionale gezamenlijke (glasvezel)infrastructuur.

In het datacenter waar de school haar centrale dienstverlening afneemt worden dezelfde netwerkinfrastructuurservices gebruikt. Echter, in het datacenter krijgen geen eindgebruikersapparaten (zoals laptops, desktops, smartphones, tablets, chromebooks, IP-phones, netwerkprinters, IoT-devices) toegang tot de infrastructuur. In plaats daarvan worden er servers, opslagsystemen en backupsystemen aangesloten. Deze apparaten in het datacenter bevatten veel belangrijke en gevoelige informatie die goed beschermd moet worden, ongeacht of het om een fysiek of cloud-datacenter gaat.

Onderstaande tekening laat een high-level referentieontwerp zien voor de fysieke infrastructuur op het datacenter. In de bijlage staat een uitleg van de gebruikte symbolen.

In het datacenter wordt alleen gebruik gemaakt van bekabeling (geen wireless) om servers, opslagsystemen en/of backup-systemen aan te sluiten.
In het datacenter worden alleen bekabelde (en geen draadloze) verbindingen gebruikt om servers, opslagsystemen en/of backup-systemen aan te sluiten. Servers kunnen losse fysieke servers in het datacenter zijn of via virtualisatie in het datacenter worden aangeboden. Op de servers draaien de benodigde schoolapplicaties. NB: Het is echter aan te raden om waar mogelijk deze applicaties als Software as a Service (SaaS) uit de cloud af te nemen, zodat fysieke servers hiervoor niet meer nodig zijn. Het is ook belangrijk om gemigreerde, gevoelige informatie goed bij de SaaS-provider te beschermen.

Daarnaast kunnen op servers in het datacenter infrastructuurondersteunende diensten, zoals DNS,NAT en DHCP voor schoollocaties draaien. Door hiervoor ook alternatieve oplossingen te ontwerpen (zoals in de cloud, bij de provider, op de gateway op de schoollocatie) kunnen ook deze servers worden afgebouwd. Centrale opslag van persoonlijke data, instellingsdata en applicatiedata gebeurt steeds vaker in de cloud. Hierdoor kunnen deze systemen in het datacenter worden ontmanteld. Dit geldt ook voor back-up-oplossingen in de cloud. Het is de verwachting dat het datacenter uiteindelijk naar de cloud migreert. Ieder schoolbestuur heeft daarvoor zijn eigen strategie, financiële planning, expertise/rol-transitieplan en tijdslijn.

In de overgangsfase kunnen eigen servers, opslag en backup als een infrastructuurcomponent (IaaS: Infrastructure as a Service) uit de cloud worden afgenomen. Zo kan het datacenter ontmanteld worden terwijl de servers nog steeds functioneren, maar dan in de cloud. Het referentieontwerp van het datacenter blijft grotendeels hetzelfde, alleen draait de hardware nu in de cloud. In het onderstaand referentieontwerp met IaaS geven de grijze wolken rondom de infrastructuurcomponenten aan dat de fysieke componenten zijn vervangen door gevirtualiseerde componenten met dezelfde netwerkinfrastructuurservices.

Aansluiten:
Servers, virtualisatieplatform, opslagsysteem en/of back-up-systeem krijgen toegang tot de infrastructuur via bedrade verbindingen in het datacenter. Deze toegang wordt geboden op het patchpanel in de serverkast in het datacenter van de school. Op het patchpanel is het mogelijk elk aansluitpunt aan te sluiten op een access-switch voor apparatuur bovenin de serverkast.

Lokaal netwerk:
Het datacenter is een centraal verkeerknoppunt en gebruikt daarom een gelaagde switch-opzet achter de access switch voor betere prestaties:

• Access switches om de apparatuur in de serverkast te koppelen.
• Distribution switches om het netwerkverkeer tussen de serverkast en het core-netwerk in het datacenter te verdelen.
• Core switches die gericht zijn op snel transport van grote hoeveelheden gegevens en de centrale toegang van en naar internet.

Gateway, netwerkconnectiviteit en firewall:
Een gateway verbindt de servers met het externe internet en zorgt voor netwerkadresseringsdiensten. De router stuurt het netwerkverkeer naar de juiste IP-adressen. De firewall beveiligt de servers in het datacenter met passende beveiligingsmaatregelen.

Publiek internet:
De internetverbinding is onderdeel van de de datacenterdienstverlening en is bijna altijd dubbel uitgevoerd voor extra betrouwbaarheid. Deze verbinding biedt de servers (en eventueel opslag) in het datacenter toegang tot de buitenwereld en wordt geleverd door de datacenterdienstverlener via het patchpanel in de serverkast.

In onderstaand overzichtsschema is aangegeven waar de netwerkinfrastructuurservices in het referentieontwerp van een fysiek datacenter zijn toegepast.

In onderstaand overzichtsschema is aangegeven waar de netwerkinfrastructuurservices zijn toegepast in een referentieontwerp waarbij eigen servers, opslag en backup als een infrastructuurcomponent (IaaS) uit de cloud worden afgenomen.

Beheerdersaccounts geven hogere toegangsrechten om wijzigingen en rechten in de schoolsystemen aan te brengen. Deze privileges moeten extra worden beschermd. Dit kan onder andere door op de schoolsystemen in te loggen via aparte beheersystemen, waar alleen beheerders via eigen, aparte beheer-accounts op mogen werken, en die ook exact de juiste rechten hebben op een zogenaamde "stepping-stone" werkplek in een afgescheiden netwerk dat de juiste beheertools geïnstalleerd heeft. Op deze stepping-stone worden de minimaal benodigde applicaties en connectiviteit naar de beheerdoelen geboden. Ook is deze “gehardened”, d.w.z. onnodige en ongewenste functies in de werkplek kunnen daarbij worden uitgezet en beveiligingsmaatregelen, zoals schermvergrendeling, automatisch uitloggen en laatste veilige softwareversies, kunnen worden ingesteld. De stepping-stone is alleen via VPN-verbinding (Virtual Private Network) te benaderen, zowel van buiten als binnen de school. Beheerdersverkeer zonder VPN-verbinding wordt dan niet vertrouwd.