Da Sahva er i gang med at omlægge al IT til centraliseret drift, er det afgørende, at netværket er hurtigt og pålideligt. Hvis nettet er nede, kan medarbejderne rundt om i hjælpemiddelproducentens 55 afdelinger ikke bruge nogen applikationer, da de alle kører på en central Citrix MetaFrame-server.
- Vi havde først tænkt os at bruge Frame Relay. Det har vi i forvejen, og vi har gode erfaringer med det. Men det ville blive dyrt. Derefter overvejede vi at opbygge et VPN (virtuelt privat net, red.) over Internet ved hjælp af firewalls, fortæller IT-chef Hans Ewertsen.
Computerworld Teknik & Net følger løbende firmaet Sahvas overgang til centraliseret og udliciteret IT-drift. Det nye system drives af Nord Data i Hillerød. Det bygger på Citrix MetaFrame-servere, som brugerne rundt om i landet skal kommunikere med via et MPLS-baseret IP-netværk med ADSL-opkoblinger. Den centrale server-installation kører Office 97 og Navision XAL 2.63 på servere med Windows NT 4.0 (oprindelig Windows 2000). XAL kommunikerer med Unix-servere, der kører Oracle 7.3. Oven på Windows-serverne kører Citrix MetaFrame 1.8 med Service Pack 2. Klienterne er Windows 98-pc'er med en browser som adgang til MetaFrame-applikationerne via browser-udvidelsen NFuse. |
Flere indgange
Forbindelsen ind til MPLS-nettet kan gå via faste linier eller ADSL. Siden følger også ISDN og GSM som opkoblingsmetoder. Det gør systemet billigere end Frame Relay, der kræver en fast linie som opkobling ind til Frame Relay-nettet.
MPLS er en metode til at opbygge et lukket, virtuelt netværk over et IP-net. Traditionel VPN-teknologi bygger på krypterede tunneller: Data sendes mellem routere på normal IP-vis, men de er krypteret, så en hacker ikke får noget ud af at opsnappe dem.
MPLS bygger ikke på kryptering. I stedet opbygger man et switchet netværk af virtuelle forbindelser. Switchingen sker ved hjælp af særlige etiketter (labels), som hver IP-pakke udstyres med. Kommunikationen mellem en afdeling i Sahva og driftcenteret hos Nord Data kommer så til at forløbe således:
En pc i afdelingen sender en IP-pakke til Nord Datas IP-adresse. Da der er tale om et lukket net, bruges adresser, der ikke må anvendes på det åbne Internet. Pakken går fra afdelingens router ind til Tele Danmarks kant-router. Den genkender Nord Datas IP-adresse og udstyrer pakken med en etiket, der svarer til den virtuelle forbindelse, der går op til Nord Data. Herefter switches pakken ud fra etiketten frem til den kant-router, der er koblet til Nord Datas router. Etiketten fjernes, og pakken sendes som en normal IP-pakke det sidste stykke vej op til Nord Data.
Logisk adskilt trafik
- Fordelen ved løsningen er, at Sahvas trafik er logisk adskilt fra den øvrige trafik på vores IP-net. Andre brugere kan ikke se pakkerne, der hører til Sahvas MPLS-trafik, siger datakonsulent Søren Ketelsen, TDC Tele Danmark.
Derfor er der heller ikke indført kryptering i nettet. Det kan dog lægges på senere, hvis Sahva ønsker det, men det vil kræve investering i nyt udstyr.
Central Internet-adgang
Sahvas hovedkvarter på Østerbro i København er koblet op til IP-nettet med en fast 2 Mbit/s-linie. Nord Data har en fast 5 Mbit/s fiberbaseret forbindelse. De øvrige afdelinger kommer til at køre ADSL eller ISDN.
Skønt de enkelte afdelinger således kobles til et IP-net, får de ikke direkte adgang ud til Internet. De skal gå via Sahvas centrale Internet-server. På den måde kan man nemlig nøjes med at installere Èn central firewall.
- Vi har planer om at tilbyde flere tjenester i tilknytning til MPLS. Når vi får mulighed for trafikprioritering i nettet, kan vi for eksempel indføre IP-telefoni. Og vi overvejer også at tilbyde firmaer at drive en firewall med adgang ud til Internet, siger Søren Ketelsen.
Trafikprioritering betyder, at nettet kan give for eksempel telefoni-pakker fortrinsret i forhold til datapakker. Det er en forudsætning for at køre IP-telefoni.
Ansvaret for driften af nettet ligger hos Tele Danmark, som løbende overvåger linierne. Teleselskabet ejer også routerne, så hvis Sahva senere skulle ønske at opgradere dem til IP-telefoni, kan det ske uden større udgifter til udskiftning af udstyr.
Hjemmearbejdspladser
- En fordel ved løsningen er, at den gør det let for os at tilbyde hjemmearbejdspladser. Og når opkobling via GSM kommer, kan brugerne af bærbare pc'er koble sig på nettet, når de er ude hos kunderne, siger Hans Ewertsen.
Bortset fra nogle problemer med leverance af ADSL-linier har Tele Danmark hidtil kunnet levere linier i henhold til tidsplanen. Foreløbig er ti afdelinger samt hovedkontoret og Nord Data koblet op. Resten kører på det eksisterende net, der er en blanding af ISDN og Frame Relay.
- Det afgørende for os har været, at vi med denne løsning får faste linier med en høj båndbredde og til en pris, der er uafhængig af forbruget, siger Hans Ewertsen.
Sahva indfører alligevel DHCP
Ulemperne ved faste IP-adresser blev så store, at Sahva har ændret beslutningen om ikke at bruge DHCP.
I en tidligere artikel fortalte IT-chef Hans Ewertsen, at Sahva havde valgt ikke at bruge DHCP (Dynamic Host Control Protocol) til at styre uddelingen af IP-adresser. I stedet ville man manuelt tildele IP-adresser til pc'erne.
Konsulenterne fra leverandøren Aston mente, at DHCP var et bedre valg. Og nu får de deres vilje:
- Vi har ændret beslutningen. Det skyldes især to ting: Faste IP-adresser ville give problemer på de mange bærbare pc'er i organisationen. Og vores script-baserede installation ville blive vanskeligere, siger Hans Ewertsen.
Når Sahva oprindelig ikke ville bruge DHCP, skyldtes det dårlige erfaringer med systemet. Men dem har Hans Ewertsen nu også fået en forklaring på.
- Nogle af problemerne skyldtes, at Windows 95 i visse tilfælde ikke var så god til at frigøre en adresse. Andet skyldtes opsætningen, blandt andet havde vi for lange levetider på adresserne og for få at dele ud af, siger han.
Oprindelig bragt i Computerworld Teknik & Net nr. 26, den 3. april 2001.