Anleitungen und Informationen

Das Netzkonzept der TU Berlin sieht vor, alle TU-Gebäude an 11+1 Netzwerkknoten zu bündeln. Diese Knoten routen den Netzverkehr untereinander, können über MPLS kommunizieren und sind mit mehr als einem Nachbarn verbunden (s.u.)

Eckpfeiler sind:

• redundanter Betrieb des Rechenzentrums (und damit der angebotenen Dienste) - bereits umgesetzt
• Verlagerung des zweiten Internet-Anschlusses ins Stammgelände zur Erhöhung der Redundanz - bereits umgesetzt
• Ertüchtigung aller Wiring-Center für die erhöhten Anforderungen - begonnen
• Aufbau von MPLS-Knoten mit Vermaschung untereinander - soweit machbar umgesetzt
• Anbindung der Switche mit redundanten 10 GBit-Leitungen an ihre MPLS-Knoten - soweit verfügbar umgesetzt
• Versorgung aller vorhandenen Netzwerkdosen mit GBit - umgesetzt
• flächendeckendes VoIP - im Rollout

Subnetze werden zwischen den MPLS-Zonen geroutet, innerhalb des Knotens per VLAN an die jeweiligen Dosen verteilt. Knoten-übergreifende Layer2-Versorgung (Durchschalten von VLANs) ist nicht vorgesehen. Durch die Vermaschung der Knoten ist die übrige Versorgung selbst bei Ausfall eines MPLS-Knotens gewährleistet.

Die Außenstellen AB, GG, KL, RKF, VZ sind über das Berliner Wissenschaftsnetz BRAIN an die TU angeschlossen (und damit teilweise abhängig vom Funktionieren dieser Infrastruktur)

Dadurch, dass nicht alle Arbeiten parallel ausgeführt werden können, weicht die aktuelle Netzwerk-Vermaschung von der angestrebten ab (z. B. weil Außenstellen vorübergehend anders angebunden werden müssen als geplant oder weil erforderliche Glasfaserkabel zur Redundanzbildung noch nicht gebaut sind).

Bitte wenden Sie sich an den Netzbetreuer Ihrer Einheit und nennen Sie ihm:

• Aufstellungsort (Gebäude und Raumnummer)
• gewünschter Rechnername (wird so in den DNS eingetragen, max. 20 Zeichen)
• Bezeichnung der Netzwerk-Dose, an die Sie das Gerät anschließen wollen

Sie kennen Ihren Netzbetreuer nicht? Lesen Sie bitte hier.

Bitte informieren Sie Ihren Netzbetreuer über:

• Daten Ihres Rechners: IP-Adresse, Rechnername
• alter Standort: Gebäude, Raumnummer
• neuer Standort:
  • Gebäude, Raumnummer
  • Netzwerkdose, an der das Gerät betrieben werden soll

Den für Sie zuständigen Netzbetreuer finden Sie in Ihrem TU Portal unter IT-Dienste > Liste der Rollenverwalter und IT-Betreuer Ihrer Kostenstelle.

Weitere Informationen zur Liste der Rollenverwalter und IT-Betreuer

Für die seltenen Fälle, bei denen der/die Netzbetreuer nicht erreichbar sind (Krankheit, Urlaub) und Ihr Anliegen nicht über das Portal eingereicht werden kann, schreiben Sie bitte Ihre EMail mit Ihrem Anliegen an NOC mit CC: (Kopie) an die EMail-Adresse des Admins, für den Sie tätig sind.
Zum einen kann der Admin intervenieren, wenn der gestellte Antrag von ihm nicht gewollt ist, zum anderen können wir nur so sehen, ob Sie berechtigt sind.

Bitte schreiben Sie die EMail mit Ihrem Anliegen an Ihren Netzbetreuer oder an NOC. Wenn Sie direkt an NOC schreiben: wir benötigen

1. Gebäude- und Raumnummer
2. genaue Dosenbezeichnung
   Oft wird uns bei einer Doppeldose die Bezeichnung für beide Dosen zusammen genannt. Da wir nicht wissen können, welche Dose Sie meinen, interpretieren wir dies als "1 Dose von dieser Doppeldose, egal welche."
3. Wenn Ihnen die Dose innerhalb der Doppeldose oder innerhalb des Raums egal ist, sagen Sie dies bitte explizit.
4. Zu schaltenes Subnetz
   Wenn Sie das Subnetz nicht kennen, wenden Sie sich an Ihren Netzbetreuer oder nennen Sie uns die IP-Adresse, die an der neuen Dose betrieben werden soll.

Verwenden Sie das im TU-Portal die Anwendung "IP-Adresse".
Sollte sich der konkrete DNS-Eintrag nicht über die Anwendung "IP-Adresse" verwalten lassen (fremde Domains, IP aus Hausnetzen, Aliase auf zentral verwaltete Server o. ä.), schreiben Sie bitte eine frei formulierte EMail mit dem von Ihnen gewünschten Eintrag. Diese EMail muss außerdem folgende Angaben enthalten:

• Ihren vollständigen Namen
• den vollständigen Namen des Netzverwalters Ihrer Einrichtung, falls Sie das nicht selbst sind
• die Kostenstelle Ihrer Einrichtung

Verwenden Sie bitte ausschließlich die Anwendung "IP-Adresse" im TU Portal.
Bei "Erstbefüllung" eines neuen Subnetzes oder bei anderweitig notwendigen mehr als 4 Neu- oder Änderungs-Anträgen auf IP-Adressen kann auch eine Datei gemailt werden.
Diese MUSS 100%ig den folgenden Kriterien genügen:

• entweder Tabellenkalkulation oder Textdatei
• Tabellenkalkulations-Formate: OpenOffice-Calc (.sxw bzw. .ods) oder
  Microsoft Excel 97/2003 (.xls)
• Textdatei-Formate: ASCII (.txt) oder "Comma Separated List"
  (.csv) -Datei
• kein Word (kein .doc kein .rtf)
  
• keine Macros, Formeln, Plugins, spezielle Fonts, usw.
• Aufteilung: am Anfang oder Ende der Datei darf ein Textblock mit
  Erklärungen, Leerzeilen, Überschriften etc. stehen.

Für den eigentlichen Block mit den IP-Anträgen gilt:

• pro Zeile 1 Rechner
• reiner 7-Bit-ASCII-Text, keine Umlaute
  
• keine für Rechner nicht erlaubten Zeichen wie Unterstrich
  (_), Klammeraffe (@) u. dgl.
  
• keine Leerzeilen
• keine Kommentare
• Nirgendwo ein Doppelpunkt (:)

Prinzipiell sollten Sie die Hinweise zum Ausfüllen gelesen haben.

Neu-Anträge: Format der Rechner-Zeile

Was Sie an Feldern nicht ausfüllen können, lassen Sie leer.
Bei einer ASCII-Datei ist der Trenner der Doppelpunkt ( cell1:cell2:cell3 ).
Bei einer .csv-Datei ist der Trenner der Doppelpunkt. Die Werte dürfen von Anführungszeichen eingeschlossen sein ( "cell1":"cell2":"cell3" ).

Für 3 Rechner könnte eine .txt-Datei also beispielsweise so aussehen:
pc2006-uni:math.TU-Berlin.DE:studi-pc,uebung4:a0-b1-c2-dd-ee-ff:mail.math.TU-Berlin.DE.:PC:Windows XP:KWT-N:45678900:Meyer-Distel
obelknix:zuv.TU-Berlin.DE::::PC:MacOS:H:6107A:45678900:Meyer-Distel:
laptop15:zuv.TU-Berlin.DE:proflaptop:::Laptop:Linux:SG1::45671000:Meyer-Distel:

Änderungs-Anträge: Format der Rechner-Zeile

Also genau wie die Neu-Anträge, nur dass Sie ja schon IP-Adressen haben, die in der 1. Spalte angegeben werden. Der Rest der Zeile muss jedoch komplett ausgefüllt sein, es reicht nicht, nur die geänderte Spalte anzugeben!
Es wird die Zeile verändert, die zu der IP-Adresse passt. Sie können also alle Daten ändern lassen mit AUSNAHME der IP-Adresse selbst, denn die benutzen wir ja als Index, um die zu ändernde Zeile überhaupt zu finden!

Verwenden Sie die Anwendung "IP-Adresse" im TU Portal. Bei besonderen DNS-Einträgen, die sich nicht über das Web bearbeiten lassen, schreiben Sie bitte eine frei formulierte EMail mit den zu löschenden Rechnern/IP-Adressen an uns.

Als Netzbetreuer benötigen Sie die Rolle dns_verwalter. Diese erhalten Sie vom Rollenverwalter Ihrer Einheit.

Um Ihre Kollegen betreuen zu können, lassen Sie sich bitte von Ihrem Vorgänger alle Informationen zu dem/den Subnetz(en) Ihrer Einheit geben.

Sie können das/die zu Ihrer Kostenstelle existierende(n) Subnetz(e) in Ihrem persönlichen Portal einsehen und bei Notwendigkeit ein neues beantragen.

Bitte informieren Sie NOC möglichst frühzeitig über:

• den vorgesehenen Termin des Umzugs
• Gebäude und Raumnummern Ihres neuen Standorts
• Alle Dosennummern in den neuen Räumen. Dies ist dann besonders wichtig, wenn der Verdacht besteht, dass die mitgeteilten Raumnummern nicht mit dem ursprünglichen Bauzustand übereinstimmen (etwa, weil Räume durch Renovierung geteilt wurden o. ä.)
• Sollten Ihre IPs ganz oder teilweise NICHT in der Anwendung "IP-Adresse" im TU Portal geführt sein, benötigen wir alle IP-Adressen unter Ihrer Verwaltung.

Wenn Ihre IP-Adressen bisher noch aus einem Hausnetz (oder aus einem Netz mit privaten IP-Adressen) stammen, bekommen Sie außerdem ein neues, eigenes Subnetz und müssen Ihre Rechner umnummerieren, siehe "Auszug aus dem Hausnetz".

Technische Voraussetzung für die Nutzung der zentralen Firewall / Paketfilter (->was ist das?) ist eine Nutzergruppe - d. h. ein eigenes Subnetz, keine Hausnetz-IPs - und geeignete Netzwerktechnik bis zu Ihnen (d. h. strukturierte Verkabelung, VLAN-fähige Switche).
Wir bieten Ihnen dann einen Paketfilter-Dienst mit folgenden Eigenschaften:

• alle Datenpakete aus/zu Ihrem Subnetz werden nach festen Regelsätzen durchgelassen bzw. blockiert
• Daten INNERHALB Ihres Subnetzes können nicht gefiltert werden
• Es werden IP-Adressen gefiltert, keine DNS-Namen. Es ist kein application-level firewalling.
• Wenn Sie uns nichts anderes angeben, lautet der initiale Regelsatz: aus Ihrem Subnetz heraus alles erlaubt, in Ihr Subnetz hinein alles blockiert
• Wir passen die Regeln nach Ihren Wünschen an, jedoch nicht tagesaktuell
• Gewisse immer nötige Regeln brauchen Sie uns nicht anzugeben. wir schalten sie automatisch für Sie (z. B. ACK-Pakete, DNS-Pakete vom Nameserver, etc.)

Die filterbaren Eigenschaften anhand von 2 Beispielen:

Das erste Beispiel erlaubt weltweit den Zugriff auf den Rechner 130.149.254.9 per SSH (Port 22). Das zweite Beispiel verbietet von allen Rechner des Netzes 130.149.4.x den Bittorrent-Zugriff auf die IP-Adressen 130.149.5.8 bis 130.149.5.15 (auf Port 6881).
Hinweis: Firewalling ist eine komplizierte Sache. Wenn Ihr Anliegen einfach ist, reicht eine umgangssprachliche Formulierung (z. B. "alles abschotten, nur WWW zu unserem Institutsserver mit IP-Adresse XY soll gehen."). Ansonsten, insbesondere bei komplizierten Anwendungen, benötigen wir von Ihnen jedoch eine vollständige Liste aller Regeln, da wir die Software i.d.R. nicht kennen und eine Nachforschung unsererseits zu aufwändig ist.
Änderungswünsche am Regelsatz nehmen wir - wie alle Netzwerk-Änderungsanträge für ein Subnetz - nur vom Netzbetreuer (bzw. nachweisbar mit dessen Wissen) entgegen.

Normalerweise sollten eigene Subnetze groß genug für alle anzuschließenden Rechner sein und klein genug, um keine IP-Adressen zu verschwenden (mehr als 60% aller möglichen IPs ungenutzt).
Sind diese Eigenschaften nicht erfüllt, müssen Sie bei nächster Gelegenheit in ein neues, passendes Subnetz umziehen.

Dazu gehen wir folgendermaßen vor:

1. Wir stimmen mit Ihnen ab, wie groß das neue Subnetz sein wird.
2. Wir gehen davon aus, dass die bei uns vorhandenen Angaben über die Räume, in denen sich die Rechner befinden, absolut korrekt sind. Falls nicht, müssen Sie uns unbedingt darüber informieren!
3. Sie sagen uns, ob die Rechner a) ihre bisherigen Namen behalten sollen oder b) neue Namen bekommen.
   Im Fall a) tragen wir die Namen, erweitert um das Suffix "-neu", mit den neuen IPs in den DNS ein.
   Im Fall b) tragen wir die neuen Namen sofort ein, sofern konfliktfrei möglich.
4. Wir schicken Ihnen die Liste mit den neuen IP-Adressen.
5. Wir vereinbaren mit Ihnen eine Umschalt-Zeit. Zu dieser programmieren wir die Netz-Infrastruktur (Router, Switche, Netzwerkdosen) neu und Sie ändern die IP-Adressen - und in Fall b) die Namen - Ihrer Rechner.
6. Bis zu diesem Zeitpunkt funktionieren nur die alten IPs, ab dem Zeitpunkt nur die neuen.

Wenn Ihre Einheit

• bisher IP-Adressen aus dem Netz Ihres Gebaeudes (Hausnetz)  oder
• private IP-Adressen

verwendet, wird es Zeit, in ein eigenes Subnetz (mit selbst bestimmbaren Firewallregeln) umzuziehen.
Dazu müssen folgende Voraussetzungen erfüllt sein:

1. dienstneutrale Verkabelung zu jedem Raum Ihrer Einheit (kein BNC, sondern strukturierte Verkabelung = twisted pair) - nahezu flächendeckend vorhanden
2. durch NOC betriebene Switche auf ausreichendem technischen Mindest-Standard - nahezu flächendeckend vorhanden
3. ein nutzbarer Org- oder Internet-Name. Dazu gibt es folgende Möglichkeiten:
   1. Ihre Einheit hat einen eigenen, genehmigten Orgnamen -> fertig
   2. Ihre Einheit braucht keinen eigenen Orgnamen, sondern möchte den Namen der übergeordneten Einheit nutzen. NOC richtet das für Sie ein, sofern die übergeordnete Einheit keine Einwände hat. (EMail an NOC)

Sind diese Voraussetzungen erfüllt, kann wie folgt vorgegangen werden:

1. Beantragung eines eigenen angemessen dimensionierten Subnetzes durch Sie über das Portal (Bedarf an IP-Adressen für alle bisherigen Rechner und das geplante Wachstum der nächten 1,5 Jahre)
2. Einrichtung dieses Subnetzes durch NOC
3. Absprache eines Umschalt-Zeitpunkts. Bis zu diesem gelten die alten IP-Adressen, ab dann nur die neuen. Desweiteren benötigt NOC:
   • Auflistung aller bisherigen IP-Adressen inkl. Rechnernamen und vor allem MAC-Adressen
   • Auflistung aller Dosen- und Raumnummern der von Ihnen genutzten Räume
   • Liste aller Firewall-Freischaltungen (sofern Besonderheiten gewünscht)

4. Umstellung aller Rechner Ihrer Einheiten auf DHCP zum Umschaltzeitpunkt durch Sie

Das neue Netz kann durch Sie selbst im Portal verwaltet werden.

Die physikalische Verbindung zum Netz geschieht in den Arbeitsräumen über Netzwerk-Dosen. Nur bei modernisierten Gebäuden ist jede Dose beschaltet, ansonsten können Sie über das Portal eine bisher nicht genutzte Dose be-/freischalten. Die Anbindung kann auch drahtlos über das TUB-WLAN [1] erfolgen, dabei ist aber die Geschwindigkeit geringer und wegen der erhöhten Sicherheitsanforderungen sind ein TUB-Accountund eine Verschlüsselungssoftware notwendig - siehe WLAN [2].