RAIMU 2 et communauté réseau AMU Yves Azamberti Pascal Mouret DOSI Pôle réseau 25 juin 2013
RAIMU 2 Réseau Aix Marseille Université DOSI Pôle réseau VVT 25 juin 2013
Raimu Historique 1996 Réseau régional: R3T2 puis R2THD, SHERPAA 2000 Premières liaisons inter-campus sur Marseille : Phoce AN 0 2002 Convention interuniversitaire pour le développement des Réseaux à hauts débits. 2002 Démarrage du réseau inter-campus ManAix 1 2004 Démarrage du réseau métropolitain Marseillais : Phoce AN (17 sites) 2005 Démarrage du réseau métropolitain Aixois : ManAix 2 (20 sites) 2008 Réalisation de la liaison Aix-Marseille via la SNCF 2008 Constitution de Raimu (par fusion de Phoce AN et ManAix), et prise en charge par le PRES 2011 Prise en charge des réseaux régionaux par Raimu 2012 Prise en charge par AMU 2013 Raimu 2 : Changement des matériels actifs & changement d exploitant Aujourd hui 60 sites connectés
Un projet Interuniversitaire Des membres fondateurs: Les 3 Universités d Aix-Marseille Des membres associés : ENSAM CNRS INSERM IEP Euromed ECM IRSTEA (CEMAGREF) Crous Des partenaires: Mairie d Aix en Provence Mairie de Marseille Région PACA, FEDER Conseil Général 13 Un pilote : Ecole des Mines de Gardanne AMU
Principes de construction Utilisation des infrastructures existantes des Villes d Aix en Provence et de Marseille (+RTM) Mise en place de fibres optiques noires Conception sous la responsabilité des ingénieurs réseaux des Universités Assistance de cabinets conseils lors des pré-études et des rédactions d appels d offres Externalisation du déploiement (réponse aux appels d offres) et de l exploitation
Raimu La mise en commun des infrastructures et la Mutualisation des services Aix s régionaux Liaisons opérateur Marseille RENATER
L infrastructure RENATE R Région Marsei lle Aix
Raimu2 - Finalisation de l appel d offres début 2011 - Publication en juillet 2011 et beaucoup de sueur sur les fronts) - (Beaucoup d eau qui coule sous les ponts - Fusion des universités et reprise de la procédure des marchés Spie Communications - Attribution du marché fin 2012 - And the winner is
Raimu2 - Contrat Raimu1 avec NextiraOne expire au 31 mars 2013 - Spie assure le maintien en fonctionnement de Raimu1 depuis cette date jusqu à la migration complète vers Raimu2 - Mise en service de Raimu2 prévue fin 2013 - Installation des équipements de cœur en juin-juillet 2013 - Migration des sites à partir d octobre 2013 - Exploitation future - Rôle d AMU renforcé - Modification du maillage des sites
Raimu2 Architecture générale 1 Commutateur 3 Commutateurs d Accès par site Centraux
Raimu2 Dans les sites CA parfois nommé PE (Provider Edge) Routeur(s Routeur )ayant-dro it ayant-dro it 1 site (géographique) = 1 CA Un ou plusieurs ayant-droits par CA Gestion par Raimu Gestion par les ayant-droits
Raimu2 Principes d architecture Passage des liaisons principales à 10G Liens au sein du backbone Liens vers les sites les plus importants Sécurisation des CA Double alimentation sur tous les CA Double attachement de tous les CA Toujours 2 voisins (CA ou CC) Gestion des boucles avec RRPP (Implémenté selon RFC 3619)
Raimu2 Principes d architecture (suite) MPLS de bout en bout VPN niveau 2 (extension d un réseau local à plusieurs sites) VPN niveau 3 (~ VRF) Routage dynamique BGP Vers Renater Vers les ayant-droits, chaque fois que possible. Session montée vers le CA (et non plus le CC) BGP BGP MPLS BGP BGP VRF 1 VRF 2 Ayant-dro it CA CA Ayant-dro it
Raimu2 Architecture matérielle - Renouvellement des matériels actifs - HP, séries issues de H3C - 12504 (CC) - 5800 et 5500 HI (CA) - Mise en place de l architecture en parallèle à Raimu 1 - Migration site par site
Gestion de projet - Comités de pilotage - Comités de suivi - Réunions d exploitation - Les ingénieurs partenaires (Spie Com) - La cellule Raimu (DOSI) - Chef de projet Raimu - Ingénieurs du pôle réseau
Cellule Raimu
Projets - Diminution des coûts des liaisons louées - rajout de maillage fibres, en fonction des opportunités (DSP Aix, IRU opérateurs, évolutions sur Marseille) - Sécurisation de la sortie Renater (via Renater ITER)
Communauté réseau AMU Fusion des réseaux AMU. s passerelles et firewalls. Migration vers Raimu 2 DOSI Pôle réseau 25 juin 2013
Les réseaux de l Université dans Raimu VRF Internet Firewall P1 Firewall P2 Firewall P3 passerelle passerelle VRF P1 passerelle VRF P2 VRF P3 A B E C D F G H I L J K
Objectifs Simplifier et rationnaliser nos communications. Rendre accessibles nos réseaux privés. Homogénéiser les règles de sécurité Sécuriser et mieux contrôler les flux vis-à-vis de l internet. Sécuriser et mieux contrôler les flux du Datacenter Rendre nos sites compatible à la migration dans Raimu2 Impératif Les actions doivent être menées Avant et pendant notre migration dans Raimu2 prévue pour octobre 2013. (éviter la double migration des sites, passage à 10G de certains sites )
Début de la fusion 1 an avant la fusion Création du réseau Datacenter Objectif : Créer le réseau du Datacenter raccordé à RAIMU. 2 sites actif/actif Interconnectés à 10Gb Mêmes réseaux sur les 2 sites annoncés en BGP. En cas de panne : Reprise des annonces BGP Reprise des passerelles (vrrp) Réseaux privés accessibles par des 3 anciens périmètres
Le réseau du Datacenter BGP BFD VRRP
Raccordement du Datacenter dans Raimu Fibre noire VRF Internet Firewall P1 Datacenter STJ Firewall P2 Firewall P3 passerelle passerelle VRF P1 passerelle VRF P2 VRF P3 A B E C D F G Datacenter PHR H I L J K
Fusion des réseaux AMU - Mise en place d une VRF AMU - Annonce de nos réseaux dans cette VRF - Nouveaux sites passerelles sur Raimu2 - Mise en place de firewalls - Renouvellement de certains routeurs - Mise en place d une VRF Infra - Migration des sites dans la VRF AMU
La fusion des communautés Firewall AMU VRF Internet passerelle VRF AMU BGP BGP BGP. BGP Firewall P1 Firewall P2 passerelle BGP passerelle VRF P1 BGP Firewall P3 passerelle VRF P2 VRF P3 A B E C D F G H I L J K
Les réseaux AMU dans Raimu2 VRF Internet Firewall Firewall passerelle passerelle VRF AMU A L B C D E F G H I J K
Les firewalls Objectifs: Protection des réseaux AMU vis-à-vis de l internet Protection du Datacenter vis-à-vis de l internet et des réseaux AMU Identifier les applications l identité de l application devient le fondement de la stratégie de sécurité Identifier les utilisateurs annuaires, Inspecter le flux en temps réel failles de sécurité, logiciels malveillants, virus Débit de 10Gb Donc Firewall de dernière Génération
Implémentation des firewalls passerelle 1 passerelle 2 Firewall Firewall infra BGB amu amu BGB infra amu amu BGB BGB BGB BGB Routeur passerelle AMU intern et infra BGB BGB infra BGB BGB BGB BGB BGB Routeur passerelle AMU infra HA1 HA2 HA3 amu BGB intern et infra intern et BGB BGB amu intern et Routeur RAIMU Routeur RAIMU RAIMU 2
Le Dashboard
Les règles de filtrage
Les règles de NAT
Les Applications
Les filtres d applications
Le trafic
Les menaces
Le Data Filtering
Les URLs
Quelques graphes en résumé
Graphes du trafic
Graphes du trafic
Carte des menaces
Les filtres
Fin