Slipper for firewalls med virtuelt net

Sahvas netværk til opkobling af 55 afdelinger rundt om i landet opbygges med MPLS. Dermed slipper firmaet for at købe firewalls til alle afdelinger.

Da Sahva er i gang med at omlægge al IT til centraliseret drift, er det afgørende, at netværket er hurtigt og pålideligt. Hvis nettet er nede, kan medarbejderne rundt om i hjælpemiddelproducentens 55 afdelinger ikke bruge nogen applikationer, da de alle kører på en central Citrix MetaFrame-server.

- Vi havde først tænkt os at bruge Frame Relay. Det har vi i forvejen, og vi har gode erfaringer med det. Men det ville blive dyrt. Derefter overvejede vi at opbygge et VPN (virtuelt privat net, red.) over Internet ved hjælp af firewalls, fortæller IT-chef Hans Ewertsen.

Computerworld Teknik & Net følger løbende firmaet Sahvas overgang til centraliseret og udliciteret IT-drift. Det nye system drives af Nord Data i Hillerød. Det bygger på Citrix MetaFrame-servere, som brugerne rundt om i landet skal kommunikere med via et MPLS-baseret IP-netværk med ADSL-opkoblinger.
Den centrale server-installation kører Office 97 og Navision XAL 2.63 på servere med Windows NT 4.0 (oprindelig Windows 2000). XAL kommunikerer med Unix-servere, der kører Oracle 7.3. Oven på Windows-serverne kører Citrix MetaFrame 1.8 med Service Pack 2. Klienterne er Windows 98-pc'er med en browser som adgang til MetaFrame-applikationerne via browser-udvidelsen NFuse.
Men så ville prisen komme op omkring 30.000 kroner pr. sted, der skulle kobles til nettet. Derfor blev han meget interesseret, da Tele Danmark foreslog en løsning baseret på MPLS (Multi-Protocol Label Switching). Den indebærer nemlig, at der kun skal placeres en almindelig router i hver afdeling. De forbindes til Tele Danmarks IP-net, der siden september har tilbudt MPLS-baserede tjenester.

Flere indgange

Forbindelsen ind til MPLS-nettet kan gå via faste linier eller ADSL. Siden følger også ISDN og GSM som opkoblingsmetoder. Det gør systemet billigere end Frame Relay, der kræver en fast linie som opkobling ind til Frame Relay-nettet.

MPLS er en metode til at opbygge et lukket, virtuelt netværk over et IP-net. Traditionel VPN-teknologi bygger på krypterede tunneller: Data sendes mellem routere på normal IP-vis, men de er krypteret, så en hacker ikke får noget ud af at opsnappe dem.

MPLS bygger ikke på kryptering. I stedet opbygger man et switchet netværk af virtuelle forbindelser. Switchingen sker ved hjælp af særlige etiketter (labels), som hver IP-pakke udstyres med. Kommunikationen mellem en afdeling i Sahva og driftcenteret hos Nord Data kommer så til at forløbe således:

En pc i afdelingen sender en IP-pakke til Nord Datas IP-adresse. Da der er tale om et lukket net, bruges adresser, der ikke må anvendes på det åbne Internet. Pakken går fra afdelingens router ind til Tele Danmarks kant-router. Den genkender Nord Datas IP-adresse og udstyrer pakken med en etiket, der svarer til den virtuelle forbindelse, der går op til Nord Data. Herefter switches pakken ud fra etiketten frem til den kant-router, der er koblet til Nord Datas router. Etiketten fjernes, og pakken sendes som en normal IP-pakke det sidste stykke vej op til Nord Data.

Logisk adskilt trafik

- Fordelen ved løsningen er, at Sahvas trafik er logisk adskilt fra den øvrige trafik på vores IP-net. Andre brugere kan ikke se pakkerne, der hører til Sahvas MPLS-trafik, siger datakonsulent Søren Ketelsen, TDC Tele Danmark.
Derfor er der heller ikke indført kryptering i nettet. Det kan dog lægges på senere, hvis Sahva ønsker det, men det vil kræve investering i nyt udstyr.

Central Internet-adgang

Sahvas hovedkvarter på Østerbro i København er koblet op til IP-nettet med en fast 2 Mbit/s-linie. Nord Data har en fast 5 Mbit/s fiberbaseret forbindelse. De øvrige afdelinger kommer til at køre ADSL eller ISDN.

Skønt de enkelte afdelinger således kobles til et IP-net, får de ikke direkte adgang ud til Internet. De skal gå via Sahvas centrale Internet-server. På den måde kan man nemlig nøjes med at installere Èn central firewall.

- Vi har planer om at tilbyde flere tjenester i tilknytning til MPLS. Når vi får mulighed for trafikprioritering i nettet, kan vi for eksempel indføre IP-telefoni. Og vi overvejer også at tilbyde firmaer at drive en firewall med adgang ud til Internet, siger Søren Ketelsen.

Trafikprioritering betyder, at nettet kan give for eksempel telefoni-pakker fortrinsret i forhold til datapakker. Det er en forudsætning for at køre IP-telefoni.

Ansvaret for driften af nettet ligger hos Tele Danmark, som løbende overvåger linierne. Teleselskabet ejer også routerne, så hvis Sahva senere skulle ønske at opgradere dem til IP-telefoni, kan det ske uden større udgifter til udskiftning af udstyr.

Hjemmearbejdspladser

- En fordel ved løsningen er, at den gør det let for os at tilbyde hjemmearbejdspladser. Og når opkobling via GSM kommer, kan brugerne af bærbare pc'er koble sig på nettet, når de er ude hos kunderne, siger Hans Ewertsen.

Bortset fra nogle problemer med leverance af ADSL-linier har Tele Danmark hidtil kunnet levere linier i henhold til tidsplanen. Foreløbig er ti afdelinger samt hovedkontoret og Nord Data koblet op. Resten kører på det eksisterende net, der er en blanding af ISDN og Frame Relay.

- Det afgørende for os har været, at vi med denne løsning får faste linier med en høj båndbredde og til en pris, der er uafhængig af forbruget, siger Hans Ewertsen.

Sahva indfører alligevel DHCP

Ulemperne ved faste IP-adresser blev så store, at Sahva har ændret beslutningen om ikke at bruge DHCP.
I en tidligere artikel fortalte IT-chef Hans Ewertsen, at Sahva havde valgt ikke at bruge DHCP (Dynamic Host Control Protocol) til at styre uddelingen af IP-adresser. I stedet ville man manuelt tildele IP-adresser til pc'erne.
Konsulenterne fra leverandøren Aston mente, at DHCP var et bedre valg. Og nu får de deres vilje:

- Vi har ændret beslutningen. Det skyldes især to ting: Faste IP-adresser ville give problemer på de mange bærbare pc'er i organisationen. Og vores script-baserede installation ville blive vanskeligere, siger Hans Ewertsen.
Når Sahva oprindelig ikke ville bruge DHCP, skyldtes det dårlige erfaringer med systemet. Men dem har Hans Ewertsen nu også fået en forklaring på.

- Nogle af problemerne skyldtes, at Windows 95 i visse tilfælde ikke var så god til at frigøre en adresse. Andet skyldtes opsætningen, blandt andet havde vi for lange levetider på adresserne og for få at dele ud af, siger han.

Oprindelig bragt i Computerworld Teknik & Net nr. 26, den 3. april 2001.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Ciklum ApS
Offshore software- og systemudvikling.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Sådan bruger du aktivt AI til at styrke din cybersikkerhedsindsats

Kan AI styrke din cybersikkerhed og forebygge f.eks. ransomwareangreb? Ja – og endda særdeles effektivt! På denne konference kan du blive klogere på, hvordan du i praksis anvender AI til at styrke dit sikkerhedsniveau – og gøre cyberbeskyttelsen mere fleksibel.

27. november 2024 | Læs mere


Styrk din virksomhed med relevant, pålidelig og ansvarlig AI integration med SAP

Kom og få indsigt i, hvordan du bruger AI til at transformere og effektivisere dine arbejdsgange. Vi kigger nærmere på AI-assistenten Joule, der vil revolutionere måden, brugerne interagere med SAP’s forretningssystemer. Og så får du konkret viden om, hvordan du kommer i gang med at bruge AI til at booste din forretningsudvikling.

03. december 2024 | Læs mere


Fyr op under vækst med dataanalyse, AI og innovation

Hvor langt er den datadrevne virksomhed nået i praksis? Det kan du høre om fra virksomheder, som har foretaget transformationen. Du kommer også til at høre, hvordan de anvender AI i processen, hvilke mål de har nået, hvordan de har høstet gevinsterne og hvilke nyskabelser, der er på vej i horisonten.

04. december 2024 | Læs mere