RAIMU 2 et communauté réseau AMU -...
43
RAIMU 2 et communauté réseau AMU Yves Azamberti Pascal Mouret DOSI Pôle réseau 25 juin 2013
Transcript of RAIMU 2 et communauté réseau AMU -...
RAIMU 2et
communauté réseau AMU
Yves AzambertiPascal Mouret
DOSI Pôle réseau 25 juin 2013
RAIMU 2
DOSI Pôle réseau VVT 25 juin 2013
Réseau Aix Marseille Université
Raimu Historique
1996 Réseau régional: R3T2 puis R2THD, SHERPAA
2000 Premières liaisons inter-campus sur Marseille : Phoce’AN 0
2002 Convention interuniversitaire pour le développement des Réseaux à hauts débits.
2002 Démarrage du réseau inter-campus ManAix 1
2004 Démarrage du réseau métropolitain Marseillais : Phoce’AN (17 sites)
2005 Démarrage du réseau métropolitain Aixois : ManAix 2 (20 sites)
2008 Réalisation de la liaison Aix-Marseille via la SNCF
2008 Constitution de Raimu (par fusion de Phoce’AN et ManAix), et prise en charge par le PRES
2011 Prise en charge des réseaux régionaux par Raimu
2012 Prise en charge par AMU
2013 Raimu 2 : Changement des matériels actifs & changement d’exploitant
Aujourd’hui 60 sites connectés
25/06/20133
Un projet Interuniversitaire
Des membres fondateurs: Les 3 Universités d’Aix-Marseille
Des membres associés : ENSAM Euromed ECMCNRS INSERM IEP
IRSTEA (CEMAGREF)
Des partenaires: Mairie d’Aix en Provence
Mairie de Marseille
Région PACA, FEDER
Conseil Général 13
Un pilote : AMU
25/06/20134
Crous Ecole des Mines de Gardanne
Principes de construction
Utilisation des infrastructures existantes des Villes d’Aix en Provence et de Marseille (+RTM)
Mise en place de fibres optiques noires
Conception sous la responsabilité des ingénieurs réseaux des Universités
Assistance de cabinets conseils lors des pré-études et des rédactions d’appels d’offres
Externalisation du déploiement (réponse aux appels d’offres) et de l’exploitation
25/06/20135
25/06/20136
Aix
Marseille
Sites régionauxLiaisons opérateur RENATER
RaimuLa mise en commun des infrastructures et la Mutualisation des services
L’infrastructure
-
25/06/20137
RENATER
Aix
Région
Marseille
Raimu2
- Finalisation de l’appel d’offres début 2011
- Publication en juillet 2011
- (Beaucoup d’eau qui coule sous les ponts …
- Fusion des universités et reprise de la procédure des marchés
- Attribution du marché fin 2012
- And the winner is …
25/06/20138
et beaucoup de sueur sur les fronts)
Spie Communications
Raimu2- Contrat Raimu1 avec NextiraOne expire au 31 mars 2013
- Spie assure le maintien en fonctionnement de Raimu1 depuis cette date jusqu’à la migration complète vers Raimu2
- Mise en service de Raimu2 prévue fin 2013
- Installation des équipements de cœur en juin-juillet 2013
- Migration des sites à partir d’octobre 2013
- Exploitation future
- Rôle d’AMU renforcé
- Modification du maillage des sites
25/06/20139
Raimu2 – Architecture générale
25/06/201310
3 CommutateursCentraux
1 Commutateurd‘Accès par site
Raimu2 – Dans les sites
25/06/201311
CAparfois nommé PE (Provider Edge)
Gestion par Raimu
Gestion par les ayant-droitsRouteur
ayant-droit
Routeur(s)ayant-droit
1 site (géographique) = 1 CAUn ou plusieurs ayant-droits par CA
Raimu2 – Principes d’architecture
• Passage des liaisons principales à 10G
• Liens au sein du backbone
• Liens vers les sites les plus importants
• Sécurisation des CA
• Double alimentation sur tous les CA
• Double attachement de tous les CA
• Toujours 2voisins (CA ou CC)
• Gestion des boucles avec RRPP
• (Implémentéselon RFC 3619)
25/06/201312
Raimu2 – Principes d’architecture (suite)• MPLS de bout en bout
• VPN niveau 2 (extension d’un réseau local à plusieurs sites)
• VPN niveau 3 (~ VRF)
• Routage dynamique BGP
• Vers Renater
• Vers les ayant-droits, chaque fois que possible. Session montée vers le CA (et non plus le CC)
25/06/201313
Ayant-droit
Ayant-droit
CACA
MPLS
VRF 2
VRF 1
BGP
BGP
BGP
BGP
Raimu2 – Architecture matérielle
- Renouvellement des matériels actifs
-HP, séries issues de H3C
- 12504 (CC)
- 5800 et 5500 HI (CA)
- Mise en place de l’architecture en parallèle à Raimu 1
- Migration site par site
25/06/201314
Gestion de projet
- Comités de pilotage
- Comités de suivi
- Réunions d’exploitation- Les ingénieurs partenaires (Spie Com)
- La cellule Raimu (DOSI)
- Chef de projet Raimu
- Ingénieurs du pôle réseau
25/06/201315
Cellule Raimu
25/06/201316
Projets
- Diminution des coûts des liaisons louées
- rajout de maillage fibres, en fonction des opportunités
(DSP Aix, IRU opérateurs, évolutions sur Marseille)
- Sécurisation de la sortie Renater (via Renater ITER)
25/06/201318
Communauté réseau AMU
• Fusion des réseaux AMU.
• Sites passerelles et firewalls.
• Migration vers Raimu 2 DOSI Pôle réseau 25 juin 2013
Les réseaux de l’Université dans Raimu
21/08/201320
VRF P1
Site A
Site B
Site C
Site D
VRF P2
Site E
Site F Site
G
Site H
VRF P3
Site I
Site J
Site K
Site L
VRF Internet
Firewall P1
Site passerelleSite passerelleSite passerelle
Firewall P2
Firewall P3
Objectifs• Simplifier et rationnaliser nos communications.
• Rendre accessibles nos réseaux privés.
• Homogénéiser les règles de sécurité
• Sécuriser et mieux contrôler les flux vis-à-vis de l’internet.
• Sécuriser et mieux contrôler les flux du Datacenter
• Rendre nos sites compatible à la migration dans Raimu2
21/08/201321
Impératif
Les actions doivent être menées Avant et pendant notre migration dans Raimu2 prévue pour octobre 2013.(éviter la double migration des sites, passage à 10G de certains sites …)
Début de la fusion 1 an avant la fusion
Création du réseau Datacenter
Objectif :
• Créer le réseau du Datacenter raccordé à RAIMU.
• 2 sites actif/actif
• Interconnectés à 10Gb
• Mêmes réseaux sur les 2 sites annoncés en BGP.
• En cas de panne :
• Reprise des annonces BGP
• Reprise des passerelles (vrrp)
• Réseaux privés accessibles par des 3 anciens périmètres
21/08/201322
Le réseau du Datacenter
21/08/201323
BGPBFDVRRP
Raccordement du Datacenter dans Raimu
21/08/201324
VRF P1
Site A
Site B
Site C
Site D
VRF P2
Site E
Site F Site
G
Site H
VRF P3
Site I
Site J
Site K
Site L
Firewall P1
Site passerelleSite passerelleSite passerelle
Firewall P2
Firewall P3
Site Datacenter STJ
Site Datacenter PHR
VRF Internet
Fibre noire
Fusion des réseaux AMU
- Mise en place d’une VRF AMU
- Annonce de nos réseaux dans cette VRF
- Nouveaux sites passerelles sur Raimu2
- Mise en place de firewalls
- Renouvellement de certains routeurs
- Mise en place d’une VRF Infra
- Migration des sites dans la VRF AMU
21/08/201325
La fusion des communautés
21/08/201326
VRF P1
VRF P2
VRF P3
Site K
Site L
Site A
Site B
Site C
Site D
Site E
Site F
Site G
Site H
Site I
Site J
VRF Internet
Site passerelleSite passerelleSite passerelle
VRF AMU
Firewall P1
Firewall P2
Firewall P3
BGP BGP BGP
BGP
BGPBGP
…….
Firewall AMU
Site passerelle
VRF AMU
Les réseaux AMU dans Raimu2
21/08/201327
Site A
Site B
Site C Site
DSite E
Site F
Site G
Site H
Site I
Site J
Site K
Site L
Site passerelle Site passerelle
Firewall Firewall
VRF Internet
Les firewalls
Objectifs:
• Protection des réseaux AMU vis-à-vis de l’internet
• Protection du Datacenter vis-à-vis de l’internet et des réseaux AMU
• Identifier les applications
l’identité de l’application devient le fondement de la stratégie de sécurité
• Identifier les utilisateurs annuaires, …
• Inspecter le flux en temps réel failles de sécurité, logiciels malveillants, virus …
• Débit de 10Gb
Donc Firewall de dernière Génération
21/08/201328
RAIMU 2
Implémentation des firewalls
21/08/201329
infra amuintern
et
Routeur passerelleAMU
infra amuintern
et
infra amuintern
et
Routeur RAIMU
infra amu
Firewall
infra amuintern
et
Routeur RAIMU
infra amu
FirewallHA1HA2HA3
Routeur passerelleAMU
BGB BGB BGB BGBBGB BGB BGB BGB BGBBGB
BGB BGBBGB BGB BGBBGB
Site passerelle 1 Site passerelle 2
21/08/201330
Le Dashboard
21/08/201331
Les règles de filtrage
21/08/201332
Les règles de NAT
21/08/201333
Les Applications
21/08/201334
Les filtres d’applications
21/08/201335
Le trafic
21/08/201336
Les menaces
21/08/201337
Le Data Filtering
21/08/201338
Les URLs
21/08/201339
Quelques graphes en résumé
21/08/201340
Graphes du trafic
21/08/201341
Graphes du trafic
21/08/201342
Carte des menaces
21/08/201343
Les filtres
Fin
21/08/201344
