版本vom 24.07.2019
Einleitung Zu Kapitel 1号
Das RRZE hält Das Netzwerk bezüglich Konzeption,Ausbau,Ausgestaltung oder Betrieb im Rahmen gegebener Möglichkeiten auf dem Stand aktueller Anforderungen und Technologien。在Gesichtspunkt sind verbindliche,allgemein gültige Richtlinien unerlässlich之前。
Auf Grund der starken geographischen Verteilung hat das Datenetz der FAU sowohl LAN-(局域网)als auch WAN-(广域网)Charakter。Dennoch folgt es in seiner Gesamtarchitektur einem umfassenden,hierarchisch gegliederten Strukturmodell(核心、分发、访问)。在derzeitiger Ausprägung的Under Umsetzung spilen中,互联网Netzwerkprotokoll(IP)和damit verbundene Technologien eine bestimmende Rolle。Die Infrastruktur des Datenetzes erlaubt den Anschluss einzelner Endgeräteüber definitierte Schnittstellen。
Das Netzwerk besteht aus aktiven Komponenten(局域网交换机、路由器),einer hierarchischen中的dieüber无源元件(z.B.Glasfaserkabel、Kupferkabel和Richtfunkstrecken),baumartien Struktur untereinander verbunden(“vernetzt”)新几内亚。Es is nach geographischen und funktionalen Geschits-punkten grob gegliedert in Core-,Distribution-und Access-Bereiche是一个地理位置和功能都很丰富的城市,位于贝雷切。Der Core fasst regional nale Einheiten zusammen und verknüpft sie miteinander(z.B.“Erlangen-Süd”,“Erlangen-Innenstadt”,“Nürnberg”)。分销-Bereiche gehören jeweils zu einem Core und sind verschiedenen Standard-orden(z.B.“Tennelohe”,“EWF”),Gebäudekomplexen(z.B.Biologie/Physik”,“PhilFak”)Order funktionalen Einheiten(z.B.“数据中心”:Bereich zentraler服务器)zugeordnet。Verknüpftüber den Core verteilen sie ihresseits auf mehrere,zugehörige Access-Bereiche,die das Netzwerk in lokalen Einheite(z.B.Gebäuden,Etagen)verbreiten und schließlich die Zugampunkte für die Endgeräte beritstellen。
Obwohl去世了Architekturkonzept bis auf weiteres die Grundlage der Netzgestaltung darstellt,这是FAU-Netzwerk kein主演的Gebilde,在fortwährendem Anpassungs-und Erweiterungsprozess之前的歌曲。Dazu gehören das Einbeziehen neuer Gebäude oder ganzer Standorte ebenso,wie das Einebringen neuer-Technologien(这里是eu bertragungsgeschwingikeiten)order auch das Ermöglichen neuartiger Anwendungen(Videodieste,Telefonie)。
Neben der flächendecenden,internen Vernetzung der FAU is das Datenetz auch mit der international verbreten Struktur des Internets verbunden bzw.内本·弗拉·陈德克登,FAU内部是一家国际公司。达林积分器。在大学的合作伙伴Möglichkeiten大学的合作伙伴中,Nutzung大学的合作伙伴Dienste或Fernzugrifs大学的合作伙伴(z.B.“von zu Hause”或“auf Forschungsreisen”)Umgekehrt bietet auch die FAU verschiedene Dienste zur allgemeinen Nutzung durch die Internetgemeinschaft an(z.B.Informationsdienste,Datenbanken)。
Die Verknüpfung zwischen FAU-und Internet erfolgtüber einen leistungsstarken,redundant ausgelegten Anschluss and das vom DFN-Verein(Verein zur Förderung eines Deutschen Forschungsnetzes e.V.)betriebene Wissenschaftsnetz,das als Schwerpunkt die deutschen Forschungseinrichtungen untereinander verbindet und seinerseits Austauschpunkte zu Netzen anderer互联网提供商besitt。我们将arbeitet das RRZE eng mit dem DFN-Verein zusammen and hearrbergt wichtige Komponenten des Wissenschaftsnetzes als so genannter Kernnetz-Standort。
Abgesehen von verschiedenen,hauptsächlich unter Sicherheitsaspekten durchgeführten Prüfungen and der Anschlusstelle zum Wissenschaftsnetz,etwa zur Abwehr gewisser Attacken oder der Verinsterrung des Einschleppens von Schadsoftware,ist zwischen FAU und Au welt eine weitgehend-frie Internetkommunikation möglich。
Zu Kapitel 2号,Verantwortungsbereiche
Das RRZE wird in Bezug auf die Richtlinien für die Nutzung des FAU-Datenetzes von seiner Abteilung Kommunikationssysteme vertreten在贝祖格的RRZE工作。
FAU组织seinheiten(alle Einrichtungen der FAU,wie z.B.Lehrstühle,Institute,Fakultäten,zentrale Einrichtungen)können Ihre Verantwortung selbst wahrnehmen oder auch delegieren,indem sie dem RRZE als IT-Betreuleuer z.B.eines der RRZE-Betereuungszentren,mit denen sie einen Betreungsvertrag habenen。
2.1基础设施
在Bezug auf die Infrastruktur des Datenetzes ergibt sich aus der Abgrenzung der Verantwortlichkeiten zwischen RRZE,FAU Organisationseinheiten und Endgerätenutzern,dass nur vom RRZE eingerichtet/angeschlossen/betrieben werden duörfen:
- Gebäudeu¨bergreifende Verkabelung公司
- Gebäude-interne Verkabelung公司
- Rangierungen in den Verteilerschränken des Datenetzes(维泰勒施兰肯)
- Funk(无线局域网)Komponententen(接入点)
- 局域网交换机zur Vervielfachung der Anschlussschnittstelle oder Verlängerung der Netzwerkstruktur
- Routende Netzkomponenten(软件路由器)zwischen Endgerät und FAU-Datenetz
- Externe Anbindung uêber Internetanschluêsse是一家“fremde”提供商(每个DSL的z.B.)
在Hinblick auf die wachsende Migration von ehemals offline betriebenen Geräten In das Datenetz der FAU werden nicht mehr nur Arbeitsplatzgeräte und mobile Geráte mit Netz versorgt,sondern zunehmend auch urspru nglich datennetzfremde Gerä)。Speziell bei der Integration von Geräten stationärer sowie raum-bzw公司。gebäudebezogener Natur(z.B.gebäudeeigene Leit-und Medientechnik,Verkaufsautomaten,Infodisplays order Beamer),位于das Datenetz der FAU gilt dabei:
- 澳大利亚技术和组织机构(Ausrichtung sowie der Finanzierung des FAU WLANs speziell zur mobilen Versorgung von Endgeräten der Studierenden und Beschäftigten ergibt sich),据Nutzung des FAU WLAN zur Versorgung derartiger Geräte unabhängig von Qualityät und Ausbau der WLAN-Infrastruktur vor Ort ausdruícklich nicht怀孕专家介绍
- Derartige Geräte können grundsätzlich nur nach voriger Konzeption durch die Verantwortlichen von RRZE sowie ggf(德拉蒂奇·格伦德斯·德拉蒂·科内恩·格伦德拉里奇·努尔·纳奇·纳奇·沃里格·康泽普)。ZUV Abt.G nach den jeweils geltenden Vorgaben mit einer Festanbindung,位于Datennetz integriert werden。
2.2 Grundlegende netzbezogene Dienste公司
Das Zusammenspiel zwischen Endsystemen und Netzwerk sowie netzinternen Operationen wird durch die vom RRZE betriebenen grundlegenden Netzdienste geregelt,welche im Folgenden aufgeführt werden。
2.2.1 Symbolische压缩(DNS)
Neben den numerischen IP-Adressen werden vor allem von den Endgerätenutzern象征主义者Adressen zur Benennung von Kommunikationspartnern verwandt。互联网定义中的死亡象征着Adressen oder Gerätenames sind nach einem hierarchischen Schema aufgebaut。Die Schreibweise gibt Die Hierarchie von“rechts nach links”wieder und lautet z.B.für den WEB-服务器des RRZE:网址:www.rrze.fau.de(de:“顶级域”)。
Die Verwaltung der Namen und automatische Adressauflösungen von Namen(Angabe der numerischen Adresse nach Anforderung mit symbicacher Adresse)“域名服务”(DNS)和wird von sich untereinder ausauschenden,dedizierten Servern erbrach。
我是Datenetz der FAU müssen die IT-Betreuer für ihren Bereich jedem Internetgerät bzw。jeder IP-Adresse die Zourdnung eines eindeutigen simbicachen Names veranlassen durch Meldung(杰德·IP·阿德雷斯特)。Die Kommunikation von公司Komponenten mit nicht im DNS eingetragenen Adressen ins Internet wird blockiert公司(网址:http://dlp.rrze.fau.de/dns/).
2.2.2动态压缩(DHCP)
Dieser Dienst ermöglicht es Endgeräten,über ein spezielles Protokoll(DHCP:动态主机配置协议)eine Hostadresse zur aktuellen Nutzung dynamicsch anzufragen。Das kann zur Vereinfachung der Konfiguration auf den Endsystemen beitragen,aber auchüber Engpässe zur-Verfügung stehender IP-Adressen hinweghelfen(Adresszuteilung nur an jeweils akative Systeme)。Je nach Handhabung is eine Zourdnung von Absenderadresse und Endsystem dann nicht mehr direkt möglich公司。Das RRZE bietet diesen Dienst unter击败Voraussetzungen an(康塔克:dhcp@fau.de公司).
2.2.3压缩转换(NAT)
Mit Hilfe der Adresstransformation(NAT:网络地址转换)können an der Außenschnittele eines IP网络消除器-oder Zieladressen umgeschrieben werden。Das wird z.B.verwendet先生,嗯,Netzen mit“privaten”,也是weltweiten Internet nicht gerouteten IP-Adressen,durch dynamicsche Zuordnung“öffentlicher“Absender externe Kommunikation zu ermöglichen。Dieser Mechanismus erhöht die Komplexität und macht je nach Handhabung eine Identifizierung des urspruñnglichen Absenders eines Datenpaketes schwer bis unmögleich。NAT wird deshalb ausschließlich vom RRZE betrieben und das nicht innerhalb des FAU-Netzes,sondern nur zwischen FAU-Datentz und”互联网。
2.2.4 Gesicherte Verbindungen(VPN)
虚拟专用网服务(VPN:虚拟专用网)ermöglicht einzelnen Endgerätenutzern kontrollierten,gesicherten Zugang aus dem Internet in das Netz Der FAU,d.h.z.B.Zugriffe von Heimarbeitsplätzen auf sonst nur innerhalb Der Universityät verfu gbare Systeme und Dienste。Benötigt提供了Zugangsoftware(VPN客户端,beziehbar vom RRZE),因此提供了IdM Kennung和FAU的VPN频率。
FAU-Datenetz的Eine andere Variante der VPN-Technik ermöglicht den Aufbau sogenannter隧道.u ber solche Tunnel können etwa auf Rechnerebene IPVerbindungen hergestellt werden,die von dem darunter liegenden Netzwerk unabhängig sind,und so die homogene,hierarchase Struktur durchbrechen,also damit Routing und Kontrollmechanismen des Datenetzes unterlaufen。现场到现场隧道是RRZE vorbehalten(siehehttp://dlp.rrze.fau.de/vpn/).
2.2.5防火墙/ACL
Datenverkehr zwischen einem Subnetz und seiner Umgebung kann durch Pruéfungen auf dem betreffenden(Distribution-)路由器nach individuellen Sicherheitsvorgaben eingeschränkt werden。Dies geschieht uéber sogenannte访问列表(ACL:访问控制列表),位于Absprache mit dem RRZE bedarfsgerecht实现者t werden,etwa um den Zugriff auf institutsinterne Server mit schuñtzenswerten Daten nur Angehörigen der betreffenden FAU-Organisationseinheit zu erlauben。Unabhängig davon引用FAU gewisse Standardregeln,die zum Beispiel das sogenannte Spoofing verimesten,d.h.Datenpakete mit unzulässigen Absenderadrensen verwerfen(Absender nicht zum sendendendenden Netz gehörend oder von außen kommendes Paket mit Absender aus dem Zielnetz)。
曾在德国福伦·斯佩齐耶尔·西舍海桑福德伦根大学(Bissonen Fällen spezielle Sicherheitsanforderungen nicht u¨ber derartige Filterung erfu llt werden können)、德国科门大学(kommen auch dedizierte Firewall-Komponenten zum Einsatz)工作。
Zu Kapitel 3,Anschluss von Endgeräten
国际标准化组织ISO/OSI beschreibt Die Kommunikation zwischen Rechnersystemen u¨ber ein 7-schichtiges Referencemodell。瓦赫兰德第4页。Schichtn(Ende-zu-Ende-Kontroller)die entsprechenden Protokolle fuör Endsysteme definitiert sind und dort abgewicket werden,sind die unteren 3 Schichten innerhalb eines Netzwerkes,d.h.zwischen den Netzkomponenten sowie an den Schnittstellen zu den Endgeräten von Bedetung。Sie sollen daher im Folgenden allgemein erläutert und in Bezug auf das Datenetz der FAU konkret beschrieben werden。
3.1 Bitübertragungsschicht(Schicht 1-物理层)
Allgemeine Beschreibung公司
Die physicalische Schicht beschreibt technische Eigenschaften und Nutzungsart von Medien zum Datentransfer zwischen kommunizierenden Geräten。这是FAU在被动的Netz repräsenitor和Konzept einer universellen Gebäudeverkabelung aufgebaut中的一个例子。Diese strukturierte Verkabelung位于Primär,Sekundär-und Tertiärbereich eingeteilt:
- Primärbereich公司
Der Primärbereich verbindet verschiedene Gebäude order Gebáudegruppen miteinander公司。我在特拉森-弗莱格特-格拉斯法斯卡贝尔的福尔·格什赫特在梅赫雷去世。Dabei können auch einzelne Glasfasern mit Hilfe von Multiplexern(DWDM)fuör mehrere Verbindungen genutzt werden公司。Dort,wo keine Glasfasern zur Verfuõgung stehen or verlegt werden können(Entfernung,Geländehoheit,Kosten)kommen stattdessen dedizierteÜbertragungswege,wie Richtfunkstrecken(RiFu)or geschlossene Pfade in Providernetzen(z.B.u ber DSL)zum Einsatz,是一家总部位于德国的公司。Auch diese,z.B.durch Strombedarf order Verwendung spezifischer Komponenten u-ber rein passive Gestaltung hinausgehenden Verbindungsarten,sind funktitional dem Bereich der primären strukturierten Verkabelung zuzuordenen。
- Sekundärbereich公司
Der Sekundärbereich verbindet Stockwerke eines Gebäudes(verticale Steigbereichsverkabelung)or kleinere Gebáude eines begrenzten Komplexes。Die Verkabelung位于Regel mit Glasfasern ausgelegt,mitunter werden auch Kupferkabel dazu verwendet。
- Tertiärbereich公司
Der Tertiärbereich enthält die horizontalen Verbindungen vom Etagenverteiler in die Räume Der Endgeräte(布洛斯、格鲁彭豪姆、拉博雷、赫萨莱、美国)。Sie理解了Regel aus Kupferkabeln unterschiedlichen类型(“älter”:4-drahtig,uc bertragungen bis 100 mbps/“aktuell”:8-drahti,uc bertragungen-bis 1000 bps bzw.1 gbps)和enden mit entsprechenden Anschlussdosen fu r zu versorgende Endgeräte。
位于Gebäuden und Etagen auf zugehörigen Rangierverteilern(Patchfeldern)的Die Kabelenden,位于bedarfsgerecht geschalten zwischen Netzwerkkomponenten(primär,sekundär)或Netzwerk componenten und Endgeräten(tertiár)的bedarfsgelecht geschatet werden können(Patchung)。
Während还包括Primär-und Sekundärbereich hauptsächlich zum Aufbau einer ortsubergreifenden Netzinfrastruktur,d.h.der Verbindung aktiver Netzkomponenten untereinander,genutzt werden,dient der Tertiärbeeich vornehmlich der Heranfu hrung von Endgeräten an das Datentz。Neben dieser“drahtgebundenen”Anbindung fest installierter Geräte,besteht aber auch die Möglichkeit des Netzzugages fu r mobile Endgeráte(笔记本电脑、平板电脑、智能手机、usw.)u-ber“nicht drahtgefundene”Funktechnik(WLAN)。Dieentsprechenden Zuganspunkte(接入点,AP)德拉赫特根·内兹维克(Netzwerk ein und können funktonal dem Tertiärbereich der strukturierten Verkabelung zugeordnet werden)的格列登公园。Durch ihre weite Verteilung steht diese Nutzungsart fuör Mitarbeiter,Studenten order Gäste unter Zuordnung entsprechender Berechtigungen在fast allenöffentlichen Bereichen der FAU zur Verfuñgung。
3.1.2 Schnittstelle zwischen FAU-Datenetz und Endgerät公司
FAU和Endgerät的日期如下:
- 端口LAN交换机mit定义者Charakteristik(z.B.feste order automatisch eingestelte Geschwindigkeit)
- Verlängerung im Tertiärbereich u¨ber Rangierung/Patchung vom Switchport zur(TP-)Anschlussdose(am Arbeitsplatz)
- Im Falle mobiler Endgeräte Verbindung uêberörtliches无线局域网接入点
- Im Falle hochverfu¨gbarer服务器Im RRZE-Data-Center mit Spezialverkabelung und deutlich höheren Zuganggeschwindigkeiten(z.B.10 gbps)
格兰德萨·兹利希·达夫(Grundsätzlich darf ein Endgerät nur an einem Port angeschlossen sein)。Die Anschluássen von sogenannten多宿主机(Endgeräte,welche u¨ber mehrere Ports angeschlossen sind)sowee Endgeráten,Die ihrerseits mehrere virtuelle Instanzen auf demselben Port anbinden,bedu rfen der Zustimmung des RRZE。
3.2 Sicherungsschicht(Schicht 2–数据链路层)
3.2.1 Allgemeine Beschreibung公司
Aufgabe der Sicherungsschicht is es,eine zuverlässige,das heißt weitgehend fehlerfrreie u bertragung zu gewährleisten und den Zugriff auf das jeweilige u bertrakungsmedium zu regeln。我是FAU-Netz的虚拟以太网LAN(VLAN)实现者,我是strukturiert verknupfte,aktive Komponenten(LAN交换机)定义者和verbreite werden。虚拟局域网sind naturgemäßräumlich begrenzt und nach geographischen und nutzungspezifischen Gesichtspunkten gebildet。Gemäßder Ethernet-Technologie sind sie unabhängig vom jeweiligen ut bertragungsmedium(Schicht 1、z.B.Glasfaserkabel、Kupferkabel和Funk)charakterisiert durch:
- Zugriffsmethode(z.B.CSMA/CD)
- 日期信息格式(以太网帧)
- Einzel-Adressierung(lokale MAC-Adressen,global eindeutige Vergabe durch Hersteller)
- Sammel-Adressierung(广播、多播)
Im Vergleich zum urspru¨nglich auf spezifischen Koaxialkabeln defineerten Einsatz von LAN-switchens weitgehend Zugriffskonflikte(Kollisionen)und ermöglicht das Mischen von Anschlu ssen unterschiedlicher Geschwindigkeiten(10、100、1000、10000 mbps)in einem LAN。Unter den u¨ber die strukturierte Verkabelung verknu¨pften LAN-Switches gibt es solche mit reinen strukturellen Aufgaben(顶点交换机)和solche zur Bereitstellung von Endgeräteanschlu ssen(终端交换机)。Die Ports and den End-交换机sind je eindeutig einem VLAN zugeordnet und definieren so Die LAN-Zugehörigkeit der angeschlossenen Endgeräte。
3.2.2 Schnittstelle zwischen FAU-Datenetz und Endgerät公司
Die Schnittstelle zwischen Datenetz der FAU und Endgerät ist auf der Sicherungsschicht konkret wie folgt characteristiert公司:
- 局域网mit Ethernet-Funkinationalität
- Im betreffenden Access-Bereich als virtuelles LAN(d.h.VLAN)实现器
- 端口VLAN Zuordnung pro Anschluss
- Verteilung eines LANs auf mehrere Orte(Segment)innerhalb des betreffenden Bereiches möglich,nicht aberüber Bereichsgrenzen hinweg公司
3.3 Vermittlungsschicht(Schicht 3–网络层)
3.3.1 Allgemeine Beschreibung公司
Die Vermittlungsschicht ermöglicht den Datenaustausch u¨ber lokale Grenzen hinweg,d.h.zwischen Teilnehmern在verschieden VLAN或内部和外部合作伙伴组织中。Hierzu is ein uébergreifendes,einheitliches Netzwerkprotokoll erforderlich,dessen Rolle sowohl and der FAU als auch im nationalen und internationalen Rahmen vorherschend die Internetprotokolle(IP)der Version 4(IPv4)under Version 6(IPv6)einnehmen。Hauptaufgabe des Netzes is die Vermittlung von(IP-)Datenpaketen zwischen Netzteilnehmern,als die Bestimmung von-u bertragungspfaden,so wie Annahme,Transport und Zustellung,auch als“Routing”bezeichnet。
Charakteristische Merkmale des IP-Protokolls sind u.a.公司:
- Verbindungsslose u bertragung(数据报)ohne Ende-zu-Ende Kontroller
- 日期-und Steuerpakete
- Datenpakete mit Steuerinformation u.a.(Absender-,Zieladresse)和Nutzdaten
- IP-Versionen v4和v6 mit unterschiedlicher Adressierung
IPv4:4字节语言Adressen,dezimale Schreibweise pro Byte
IPv6:8–2er-Blöcken中的16字节语言Adressen,hexadezimale Schreibweise
- Geräteadressen aufgeteilt in Netz-und Host-Anteil,Grenze durch Netzmaske definiert在Netz和主机上的定义
- 国际互联网组织(IANA)
z.B.131.188.0.0(IPv4)
z.B.2001:638:a000::(IPv6)
- Subnetze uöber Längenangabe order verlängerter Subnetzmaske的Institutions spezifische Netzadresszuordnung an Netzgruppen durch Aufteilung
z.B.131.188.31.0/24,比利时。Netzmaske 255.255.255.0(IPv4)
z.B.2001:638:a000:1001::/64(IPv6)
- Zusätzliche,gemäßRFC1918 nur innerhalb einer am Internet teilnehmenden Organisation zu verwendende Adressen,auch als“private”,oder(im Internet)“nicht geroutite”Adressen公司
贝塞奇内特
z.B.10.0.0.0(IPv4)
- Keine Unterscheidung zwischen“privaten”und“öffentlichen”Adressen innerhalb der o.g.Organisation,d.h.Gleichbehandung im organizationsinternen Routing。
3.3.2 Schnittstelle zwischen FAU-Datenetz und Endgerät公司
Die angefuhrten Merkmale sollen nur einen prinzipiellen Eindruck蛭。Die Schnittstelle zwischen Datenetz der FAU und Endgerät ist auf der Vermittlungsschicht konkret wie folgt characterisiert公司:
-
- IP-Adressraum(bezeichnet als Subnetz)
- Adressraumöffentlich(im Internet geroutet)oder privat(nur innerhalb der FAU gu¨ltig)
- Subnetzadrese inkl.Netzmaske(pro Nutzergruppe),eindeutig einem VLAN zugeordnet
- Individuelle Hostadrensen(pro Endsystem)内环网
- 默认路由(路由器地址,下一站)zur Kommunikation mit Partnern außerhalb-des eigen Subnetzes
- Subnetzadresszuteilung durch RRZE an IT-Betreuer der FAU-组织
- Hostadresszuteilung durch IT-Betreuer der FAU Organisationseinheit公司
- Individuelle,dynamsche Adresszuordnung im Falle mobiler Endgeräte公司