Połączenia w uczelnianej sieci były realizowane za pomocą przełączników różnych producentów, przy czym znaczna część tych urządzeń nie była zarządzana i nie obsługiwała w pełni IPv6. Nawet jeśli przełącznik mógł obsługiwać ruch IPv6, wspierał go do warstwy drugiej włącznie, co przy trybie dual stack powodowało opóźnienia lub uniemożliwiało pracę z nowym protokołem. Częściowa modernizacja nie miała sensu ze względu na koszty utrzymania (pozostałyby zaledwie dwa switche, już nieprodukowane), zatem zdecydowano się na kompleksową modernizację sieci. Po wdrożeniu nowych przełączników i routerów (wybrano urządzenia firmy Cisco), wszystkie urządzenia wspierają IPv6, przy czym wybrano opcję dual stack, dzięki czemu możliwe jest połączenie do sieci użytkowników korzystających z obu protokołów.

Podwójny pierścień szkieletu sieci

Sieć szkieletowa uczelni jest zrealizowana w topologii podwójnego pierścienia, łącząc trzy główne lokalizacje. Trasy między węzłami są zdublowane, prowadzone innymi drogami, zapewniając wysoką dostępność łączy. Dla podwyższenia niezawodności główne przełączniki również są zdublowane, podobnie łącza do sieci zewnętrznych. "Na styku sieci szkieletowej zanotowaliśmy maksymalny ruch na poziomie 8,9 Gbit/s, przy czym wewnątrz szkieletu sieci zazwyczaj dochodzi do 1,5 Gbit/s. W segmentach, w których przetwarza się dane GIS, ruch jest znacznie większy, przekraczając niekiedy 6Gbit/s. Gdy prace związane z GIS są wykonywane na zewnętrznych serwerach, np. we Francji, większość tego ruchu przechodzi przez sieć szkieletową i wychodzi do sieci zewnętrznych (do PIONIERA i NASK-u)" - mówi dr inż. Tomasz Marciniak z Wydziału Telekomunikacji i Elektrotechniki, Uniwersytet Technologiczno-Przyrodniczy w Bydgoszczy, koordynator projektu.

W sieci wykorzystuje się powszechnie tunele VPN pomiędzy lokalizacjami, począwszy od transmisji danych, a skończywszy na przesyłaniu strumieni wideo na potrzeby konferencji. Dla pracowników przewidziano także dostęp zdalny za pomocą IPSec VPN.

Lepsza ochrona

Modernizacja sieci umożliwiła wprowadzenie nowych założeń polityki bezpieczeństwa, między innymi wdrożono ochronę przed obcymi urządzeniami za pomocą NAC. Jeśli użytkownik jest pracownikiem lub studentem uczelni, to jego komputer może być szybko uwierzytelniony do pracy w sieci, przy czym sprawdza się wszystkie wymagane składniki, takie jak stan aktualności systemu czy oprogramowanie antywirusowe. Jeśli użytkownik jest gościem, to wyświetlana jest mu strona, z której może wysłać wiadomość do administratora. Administrator podejmuje decyzję o ewentualnym uwierzytelnieniu urządzenia. W ten sposób można także uwierzytelnić systemy inne niż Windows.

Ochrona sieci zakłada także kontrolę poczty elektronicznej za pomocą rozwiązania Cisco IronPort - obsługiwane jest filtrowanie antyspamowe i antywirusowe oraz szyfrowanie wiadomości. Narzędzie to współpracuje z serwerem poczty działającym w systemie typu UNIX.

Tomasz Marciniak wyjaśnia: "Dobre zabezpieczenie sieci jest niezbędne, gdyż na uczelni przeprowadza się prace badawcze dla podmiotów zewnętrznych, wymagające ochrony własności intelektualnej. Podpisujemy umowy o zachowaniu poufności, z wysokimi karami finansowymi włącznie. Ponieważ dane są przetwarzane i wysyłane drogą elektroniczną, musieliśmy zadbać o ich bezpieczeństwo. Aby to osiągnąć, zastosowaliśmy sprawdzone rozwiązania klasy enterprise".

Nowe, wydajne serwery

Oprócz sieci zmodernizowano także serwery. Zamiast zestawu różnych maszyn obecnie pracują serwery kasetowe HP, obsadzono 13 kaset, z których każda ma po 4 sześciordzeniowe procesory. Środowisko jest wirtualizowane za pomocą oprogramowania VMware. Rezerwa mocy obliczeniowej jest znaczna, ale do środowiska blade przeniesiono wszystkie serwery usługowe, ponadto moc ta jest wykorzystywana do symulatorów dla aplikacji GIS. Większość maszyn serwerowych (poczta, WWW, inne serwisy sieciowe) to systemy operacyjne open source, ale jest także kilka serwerów Windows, między innymi przeznaczonych do dostępu do MSDN. Wszystkie systemy serwerowe są skonfigurowane w opcji dual stack, obsługując zarówno IPv4, jak i IPv6.