Inhalt des Dokuments
Anleitungen und Informationen
- Netzkonzept
- Neuen Rechner anschließen
- Umzug eines Rechners
- Netzbetreuer ermitteln
- Im Namen des Admin
- Neue Dose
- 1 bis 4 Rechner an-/ummelden (Netzbetreuer)
- Mehr als 4 Rechner an-/ummelden (Netzbetreuer)
- Rechner abmelden (Netzbetreuer)
- Neuer Admin (Netzbetreuer)
- Umzug einer Gruppe von Rechnern (Netzbetreuer)
- Zentrale Firewall (Netzbetreuer)
- Ändern der Subnetz-Größe (Netzbetreuer)
- Auszug aus dem Hausnetz (oder priv. IP-Adressen) (Netzbetreuer)
- Netz-Anschluss (Netzbetreuer)
Netzkonzept
Das Netzkonzept der TU Berlin sieht vor, alle
TU-Gebäude an 11+1 Netzwerkknoten zu bündeln. Diese Knoten routen
den Netzverkehr untereinander, können über MPLS kommunizieren und
sind mit mehr als einem Nachbarn verbunden (s.u.)
Eckpfeiler sind:
- redundanter Betrieb des Rechenzentrums (und damit der angebotenen Dienste) - bereits umgesetzt
- Verlagerung des zweiten Internet-Anschlusses ins Stammgelände zur Erhöhung der Redundanz - bereits umgesetzt
- Ertüchtigung aller Wiring-Center für die erhöhten Anforderungen - begonnen
- Aufbau von MPLS-Knoten mit Vermaschung untereinander - soweit machbar umgesetzt
- Anbindung der Switche mit redundanten 10 GBit-Leitungen an ihre MPLS-Knoten - soweit verfügbar umgesetzt
- Versorgung aller vorhandenen Netzwerkdosen mit GBit - umgesetzt
- flächendeckendes VoIP - im Rollout
Subnetze werden zwischen den MPLS-Zonen geroutet,
innerhalb des Knotens per VLAN an die jeweiligen Dosen verteilt.
Knoten-übergreifende Layer2-Versorgung (Durchschalten von VLANs) ist
nicht vorgesehen. Durch die Vermaschung der Knoten ist die übrige
Versorgung selbst bei Ausfall eines MPLS-Knotens gewährleistet.
Knoten | versorgte
Gebäude |
---|---|
A | A, FH, HL,
TEM |
BIB (UB) | BIB, HF,
L |
C | C, K, KF, KWT, M,
PC, SE-RH, TK, V, Z |
EB | AB, BH, EB,
GG, KAI, KL, RKF, VWS, VZ (FU) |
E-N | E, E-N, EMH, HE, MS, TC,
TC-LAB |
EW | AM, B, BA, HBS, ER,
EW |
H | H |
MA | BEL,
MA, W |
(HFT-)TA | CAR-B,
F, HFT-TA, HFT-CC, KT, MAR, PTZ, SG,
TAP |
TEL | TEL |
TIB | ACK, TIB |
El
Gouna | El Gouna
(Ägypten) |
Die Außenstellen AB, GG,
KL, RKF, VZ sind über das Berliner Wissenschaftsnetz BRAIN an die TU
angeschlossen (und damit teilweise abhängig vom Funktionieren dieser
Infrastruktur)
Dadurch, dass nicht alle Arbeiten parallel ausgeführt werden können, weicht die aktuelle Netzwerk-Vermaschung von der angestrebten ab (z. B. weil Außenstellen vorübergehend anders angebunden werden müssen als geplant oder weil erforderliche Glasfaserkabel zur Redundanzbildung noch nicht gebaut sind).
Neuen Rechner anschließen
Bitte wenden Sie sich an den Netzbetreuer Ihrer Einheit und nennen Sie ihm:
- Aufstellungsort (Gebäude und Raumnummer)
- gewünschter Rechnername (wird so in den DNS eingetragen, max. 20 Zeichen)
- Bezeichnung der Netzwerk-Dose, an die Sie das Gerät anschließen wollen
Sie kennen Ihren Netzbetreuer nicht? Lesen Sie bitte hier.
Umzug eines Rechners
Bitte informieren Sie Ihren Netzbetreuer über:
- Daten Ihres Rechners: IP-Adresse, Rechnername
- alter Standort: Gebäude, Raumnummer
- neuer Standort:
- Gebäude, Raumnummer
- Netzwerkdose, an der das Gerät betrieben werden soll
Netzbetreuer ermitteln
Den für Sie zuständigen Netzbetreuer finden Sie in Ihrem TU Portal unter IT-Dienste > Liste der Rollenverwalter und IT-Betreuer Ihrer Kostenstelle.
Weitere Informationen zur Liste der Rollenverwalter und IT-Betreuer
Im Namen des Admin
Für die seltenen Fälle, bei denen
der/die Netzbetreuer nicht erreichbar sind (Krankheit, Urlaub) und Ihr
Anliegen nicht über das Portal eingereicht werden kann, schreiben Sie
bitte Ihre EMail mit Ihrem Anliegen an NOC mit CC: (Kopie) an die
EMail-Adresse des Admins, für den Sie tätig sind.
Zum
einen kann der Admin intervenieren, wenn der gestellte Antrag von ihm
nicht gewollt ist, zum anderen können wir nur so sehen, ob Sie
berechtigt sind.
Neue Dose
Bitte schreiben Sie die EMail mit Ihrem Anliegen an Ihren Netzbetreuer oder an NOC. Wenn Sie direkt an NOC schreiben: wir benötigen
- Gebäude- und Raumnummer
- genaue Dosenbezeichnung
Oft wird uns bei einer Doppeldose die Bezeichnung für beide Dosen zusammen genannt. Da wir nicht wissen können, welche Dose Sie meinen, interpretieren wir dies als "1 Dose von dieser Doppeldose, egal welche." - Wenn Ihnen die Dose innerhalb der Doppeldose oder innerhalb des Raums egal ist, sagen Sie dies bitte explizit.
- Zu schaltenes Subnetz
Wenn Sie das Subnetz nicht kennen, wenden Sie sich an Ihren Netzbetreuer oder nennen Sie uns die IP-Adresse, die an der neuen Dose betrieben werden soll.
1 bis 4 Rechner an-/ummelden (Netzbetreuer)
Verwenden Sie das im TU-Portal die Anwendung
"IP-Adresse".
Sollte sich der konkrete
DNS-Eintrag nicht über die Anwendung
"IP-Adresse" verwalten lassen (fremde
Domains, IP aus Hausnetzen, Aliase auf zentral verwaltete Server o.
ä.), schreiben Sie bitte eine frei formulierte EMail mit dem von
Ihnen gewünschten Eintrag. Diese EMail muss außerdem folgende
Angaben enthalten:
- Ihren vollständigen Namen
- den vollständigen Namen des Netzverwalters Ihrer Einrichtung, falls Sie das nicht selbst sind
- die Kostenstelle Ihrer Einrichtung
Mehr als 4 Rechner an-/ummelden (Netzbetreuer)
Verwenden Sie bitte ausschließlich die Anwendung
"IP-Adresse" im TU Portal.
Bei
"Erstbefüllung" eines neuen Subnetzes oder bei anderweitig
notwendigen mehr als 4 Neu- oder Änderungs-Anträgen auf IP-Adressen
kann auch eine Datei gemailt werden.
Diese MUSS 100%ig den
folgenden Kriterien genügen:
- entweder Tabellenkalkulation oder Textdatei
- Tabellenkalkulations-Formate: OpenOffice-Calc (.sxw
bzw. .ods) oder
Microsoft Excel 97/2003 (.xls) - Textdatei-Formate: ASCII (.txt) oder
"Comma Separated List"
(.csv) -Datei - kein Word
(kein .doc kein .rtf)
- keine Macros, Formeln, Plugins, spezielle Fonts, usw.
- Aufteilung: am Anfang oder Ende der
Datei darf ein Textblock mit
Erklärungen, Leerzeilen, Überschriften etc. stehen.
Für den eigentlichen Block
mit den IP-Anträgen gilt:
- pro Zeile 1 Rechner
- reiner 7-Bit-ASCII-Text, keine Umlaute
- keine für Rechner nicht erlaubten Zeichen wie Unterstrich
(_), Klammeraffe (@) u. dgl.
- keine Leerzeilen
- keine Kommentare
- Nirgendwo ein Doppelpunkt (:)
Prinzipiell sollten Sie die Hinweise zum Ausfüllen
gelesen haben.
Neu-Anträge: Format der
Rechner-Zeile
Rechnername | Domain |
Aliase | MAC-Adr. | MX | Rechnertyp | OS |
Gebäude | Raum |
Kostenstelle | Betreuer |
---|---|---|---|---|---|---|---|---|---|---|
Feld | Erklärung | Beispiel |
---|---|---|
Rechnername | gewünschter Name,
nur Buchstaben, Zahlen oder Minus |
pc2006-uni |
Domain |
subdomain.TU-Berlin.DE |
math.TU-Berlin.DE |
Aliase (optional) | nur wenn nötig
ausfüllen. | studi-pc,uebung4 |
MAC-Adr. | Die Hardware-Adresse des
Rechners (MAC-Adresse). Weglassen der Angabe nur nach Absprache
erlaubt. | a0-b1-c2-dd-ee-ff |
Mail-Exchange (optional) |
mailrechner.subdomain.TU-Berlin.DE. Nur ausfüllen, wenn Sie einen beim postmaster angemeldeten Mailserver betreiben |
mail.math.TU-Berlin.DE. |
Rechnertyp |
PC/Mac/Laptop/Printer/Gerät | PC |
OS (optional) |
Betriebssystem | Windows XP |
Gebäude | TU-Gebäudekürzel |
KWT-N |
Raum (optional) | Raumnummer |
K030/K031 |
Kostenstelle | Genaue Kostenstelle, bei
Instituten 4-stellig, bei Fachgebieten 8-stellig. |
45678900 |
Betreuer | Name des Netz- bzw.
Gerätebetreuers (Antragstellers), NICHT des Nutzers, keine
Umlaute | Meyer-Distel |
Was Sie an Feldern nicht ausfüllen können, lassen Sie leer.
Bei einer ASCII-Datei ist der Trenner der Doppelpunkt (
cell1:cell2:cell3 ).
Bei einer .csv-Datei ist der Trenner der
Doppelpunkt. Die Werte dürfen von Anführungszeichen eingeschlossen
sein ( "cell1":"cell2":"cell3" ).
Für 3 Rechner könnte eine .txt-Datei also beispielsweise so
aussehen:
pc2006-uni:math.TU-Berlin.DE:studi-pc,uebung4:a0-b1-c2-dd-ee-ff:mail.math.TU-Berlin.DE.:PC:Windows
XP:KWT-N:45678900:Meyer-Distel
obelknix:zuv.TU-Berlin.DE::::PC:MacOS:H:6107A:45678900:Meyer-Distel:
laptop15:zuv.TU-Berlin.DE:proflaptop:::Laptop:Linux:SG1::45671000:Meyer-Distel:
Änderungs-Anträge: Format der
Rechner-Zeile
IP-Adr. | Rechnername | Domain | Aliase |
MAC-Adr. | MX |
Rechnertyp | OS |
Gebäude | Raum |
Kostenstelle | Betreuer |
---|---|---|---|---|---|---|---|---|---|---|---|
Also
genau wie die Neu-Anträge, nur dass Sie ja schon IP-Adressen haben,
die in der 1. Spalte angegeben werden. Der Rest der Zeile muss jedoch
komplett ausgefüllt sein, es reicht nicht, nur die geänderte Spalte
anzugeben!
Es wird die Zeile verändert, die zu der IP-Adresse
passt. Sie können also alle Daten ändern lassen mit AUSNAHME der
IP-Adresse selbst, denn die benutzen wir ja als Index, um die zu
ändernde Zeile überhaupt zu finden!
Rechner abmelden (Netzbetreuer)
Verwenden Sie die Anwendung "IP-Adresse" im TU Portal. Bei besonderen DNS-Einträgen, die sich nicht über das Web bearbeiten lassen, schreiben Sie bitte eine frei formulierte EMail mit den zu löschenden Rechnern/IP-Adressen an uns.
Neuer Admin (Netzbetreuer)
Als Netzbetreuer benötigen Sie die Rolle dns_verwalter. Diese erhalten Sie vom Rollenverwalter Ihrer Einheit.
Um Ihre Kollegen betreuen zu können, lassen Sie sich bitte von Ihrem Vorgänger alle Informationen zu dem/den Subnetz(en) Ihrer Einheit geben.
Sie können das/die zu Ihrer Kostenstelle existierende(n) Subnetz(e) in Ihrem persönlichen Portal einsehen und bei Notwendigkeit ein neues beantragen.
Umzug einer Gruppe von Rechnern (Netzbetreuer)
Bitte informieren Sie NOC möglichst frühzeitig über:
- den vorgesehenen Termin des Umzugs
- Gebäude und Raumnummern Ihres neuen Standorts
- Alle Dosennummern in den neuen Räumen. Dies ist dann besonders wichtig, wenn der Verdacht besteht, dass die mitgeteilten Raumnummern nicht mit dem ursprünglichen Bauzustand übereinstimmen (etwa, weil Räume durch Renovierung geteilt wurden o. ä.)
- Sollten Ihre IPs ganz oder teilweise NICHT in der Anwendung "IP-Adresse" im TU Portal geführt sein, benötigen wir alle IP-Adressen unter Ihrer Verwaltung.
Wenn Ihre IP-Adressen bisher noch aus einem Hausnetz (oder aus einem Netz mit privaten IP-Adressen) stammen, bekommen Sie außerdem ein neues, eigenes Subnetz und müssen Ihre Rechner umnummerieren, siehe "Auszug aus dem Hausnetz".
Zentrale Firewall (Netzbetreuer)
Technische
Voraussetzung für die Nutzung der zentralen Firewall / Paketfilter
(->was ist das?) ist eine Nutzergruppe - d. h. ein eigenes
Subnetz, keine Hausnetz-IPs - und geeignete Netzwerktechnik bis zu
Ihnen (d. h. strukturierte Verkabelung, VLAN-fähige Switche).
Wir bieten Ihnen dann einen Paketfilter-Dienst mit folgenden
Eigenschaften:
- alle Datenpakete aus/zu Ihrem Subnetz werden nach festen Regelsätzen durchgelassen bzw. blockiert
- Daten INNERHALB Ihres Subnetzes können nicht gefiltert werden
- Es werden IP-Adressen gefiltert, keine DNS-Namen. Es ist kein application-level firewalling.
- Wenn Sie uns nichts anderes angeben, lautet der initiale Regelsatz: aus Ihrem Subnetz heraus alles erlaubt, in Ihr Subnetz hinein alles blockiert
- Wir passen die Regeln nach Ihren Wünschen an, jedoch nicht tagesaktuell
- Gewisse immer nötige Regeln brauchen Sie uns nicht anzugeben. wir schalten sie automatisch für Sie (z. B. ACK-Pakete, DNS-Pakete vom Nameserver, etc.)
Die filterbaren Eigenschaften anhand von 2 Beispielen:
Action | Prot. | Src-IP | Src-Port | Dst-IP | Dst-Port |
---|---|---|---|---|---|
permit | TCP | any | any | 130.149.254.9 | 22 |
deny | IP | 130.149.4.0/24 | any | 130.149.5.8/29 | 6881 |
Das erste Beispiel erlaubt weltweit den Zugriff auf den Rechner
130.149.254.9 per SSH (Port 22). Das zweite Beispiel verbietet von
allen Rechner des Netzes 130.149.4.x den Bittorrent-Zugriff auf die
IP-Adressen 130.149.5.8 bis 130.149.5.15 (auf Port 6881).
Hinweis: Firewalling ist eine komplizierte Sache. Wenn Ihr Anliegen
einfach ist, reicht eine umgangssprachliche Formulierung (z. B.
"alles abschotten, nur WWW zu unserem Institutsserver mit
IP-Adresse XY soll gehen."). Ansonsten, insbesondere bei
komplizierten Anwendungen, benötigen wir von Ihnen jedoch eine
vollständige Liste aller Regeln, da wir die Software i.d.R. nicht
kennen und eine Nachforschung unsererseits zu aufwändig ist.
Änderungswünsche am Regelsatz nehmen wir - wie alle
Netzwerk-Änderungsanträge für ein Subnetz - nur vom Netzbetreuer
(bzw. nachweisbar mit dessen Wissen)
entgegen.
Ändern der Subnetz-Größe (Netzbetreuer)
Normalerweise sollten eigene Subnetze groß genug
für alle anzuschließenden Rechner sein und klein genug, um keine
IP-Adressen zu verschwenden (mehr als 60% aller möglichen IPs
ungenutzt).
Sind diese Eigenschaften nicht erfüllt, müssen Sie
bei nächster Gelegenheit in ein neues, passendes Subnetz
umziehen.
Dazu gehen wir folgendermaßen vor:
- Wir stimmen mit Ihnen ab, wie groß das neue Subnetz sein wird.
- Wir gehen davon aus, dass die bei uns vorhandenen Angaben über die Räume, in denen sich die Rechner befinden, absolut korrekt sind. Falls nicht, müssen Sie uns unbedingt darüber informieren!
- Sie sagen uns,
ob die Rechner a) ihre bisherigen Namen behalten sollen oder b) neue
Namen bekommen.
Im Fall a) tragen wir die Namen, erweitert um das Suffix "-neu", mit den neuen IPs in den DNS ein.
Im Fall b) tragen wir die neuen Namen sofort ein, sofern konfliktfrei möglich. - Wir schicken Ihnen die Liste mit den neuen IP-Adressen.
- Wir vereinbaren mit Ihnen eine Umschalt-Zeit. Zu dieser programmieren wir die Netz-Infrastruktur (Router, Switche, Netzwerkdosen) neu und Sie ändern die IP-Adressen - und in Fall b) die Namen - Ihrer Rechner.
- Bis zu diesem Zeitpunkt funktionieren nur die alten IPs, ab dem Zeitpunkt nur die neuen.
Auszug aus dem Hausnetz (oder priv. IP-Adressen) (Netzbetreuer)
Wenn Ihre Einheit
- bisher IP-Adressen aus dem Netz Ihres Gebaeudes (Hausnetz) oder
- private IP-Adressen
verwendet, wird es Zeit, in ein eigenes
Subnetz (mit selbst bestimmbaren Firewallregeln) umzuziehen.
Dazu
müssen folgende Voraussetzungen erfüllt sein:
- dienstneutrale Verkabelung zu jedem Raum Ihrer Einheit (kein BNC, sondern strukturierte Verkabelung = twisted pair) - nahezu flächendeckend vorhanden
- durch NOC betriebene Switche auf ausreichendem technischen Mindest-Standard - nahezu flächendeckend vorhanden
- ein nutzbarer Org- oder Internet-Name. Dazu gibt es
folgende Möglichkeiten:
- Ihre Einheit hat einen eigenen, genehmigten Orgnamen -> fertig
- Ihre Einheit braucht keinen eigenen Orgnamen, sondern möchte den Namen der übergeordneten Einheit nutzen. NOC richtet das für Sie ein, sofern die übergeordnete Einheit keine Einwände hat. (EMail an NOC)
Sind diese Voraussetzungen
erfüllt, kann wie folgt vorgegangen werden:
- Beantragung eines eigenen angemessen dimensionierten Subnetzes durch Sie über das Portal (Bedarf an IP-Adressen für alle bisherigen Rechner und das geplante Wachstum der nächten 1,5 Jahre)
- Einrichtung dieses Subnetzes durch NOC
- Absprache eines Umschalt-Zeitpunkts. Bis zu diesem gelten
die alten IP-Adressen, ab dann nur die neuen. Desweiteren benötigt
NOC:
- Auflistung aller bisherigen IP-Adressen inkl. Rechnernamen und vor allem MAC-Adressen
- Auflistung aller Dosen- und Raumnummern der von Ihnen genutzten Räume
- Liste aller Firewall-Freischaltungen (sofern Besonderheiten gewünscht)
- Umstellung aller Rechner Ihrer Einheiten auf DHCP zum Umschaltzeitpunkt durch Sie
Das neue Netz kann durch Sie selbst im Portal verwaltet werden.
Netz-Anschluss (Netzbetreuer)
Die physikalische Verbindung zum Netz geschieht in den Arbeitsräumen über Netzwerk-Dosen. Nur bei modernisierten Gebäuden ist jede Dose beschaltet, ansonsten können Sie über das Portal eine bisher nicht genutzte Dose be-/freischalten. Die Anbindung kann auch drahtlos über das TUB-WLAN [1] erfolgen, dabei ist aber die Geschwindigkeit geringer und wegen der erhöhten Sicherheitsanforderungen sind ein TUB-Accountund eine Verschlüsselungssoftware notwendig - siehe WLAN [2].