Erneue­rung der akti­ven Netzwerkkomponenten

In einem Mit­tel­stän­di­schen Unter­neh­men in Mün­chen (ca. 250 Mit­ar­bei­ter) soll­ten alle akti­ven Netz­werk­kom­po­nen­ten (Swit­ches, Rou­ter, Fire­walls) gegen aktu­el­le Model­le mit ent­spre­chend mehr Leis­tung und teil­wei­se auch mit Power over Ether­net (PoE) aus­ge­tauscht wer­den. Wesent­li­cher Bestand­teil des Auf­tra­ges neben der Beschaf­fung und Instal­la­ti­on war die Pro­jek­tie­rung und Aus­wahl der Kom­po­nen­ten vor­ab sowie der anschlie­ßen­de Betrieb durch uns.

Pro­blem­stel­lung

Auf­grund der star­ken Ver­net­zung mit ande­ren Stand­or­ten welt­weit und den ent­spre­chen­den Pro­ble­men mit unter­schied­li­chen Zeit­zo­nen muss­ten die Arbei­ten exakt abge­stimmt und geplant wer­den, da die Zeit­fens­ter für not­wen­di­ge Unter­bre­chun­gen nur sehr knapp bemes­sen wer­den konn­ten. Des Wei­te­ren war vom Kun­den gefor­dert, dass die Zugrif­fe der Arbeits­plät­ze auf die Ser­ver wesent­lich per­for­man­ter sein müs­sen, teil­wei­se kam es immer wie­der zu extrem lan­gen War­te­zei­ten, z. B. beim Zugriff auf den File­ser­ver, dem Start von Out­look, etc.

Lösung

Um die gefor­der­te Per­for­mance zu errei­chen, wur­den die Swit­ches und Rou­ter in Lay­er 3 Swit­ches zusam­men­ge­fasst, dadurch kann die vol­le Band­brei­te der Back­pla­nes genutzt wer­den und es ent­fal­len die not­wen­di­gen und lang­sa­men Ver­bin­dun­gen zwi­schen den Swit­ches und Rou­tern. Die Wahl fiel des­halb auf den Lay­er-3-fähi­gen Cis­co SG500XG-8F8T als Back­bones­witch – mit der Opti­on, spä­ter über einen zwei­ten iden­ti­schen Switch die Ser­ver red­un­dant anzu­bin­den. Die drei ESXi-Ser­ver wur­den mit einer 10 Gb/​s Netz­werk­kar­te aus­ge­stat­tet und direkt an den Cis­co SG500XG-8F8T, der als Top-of-Rack-Switch (TOR) fun­giert, angeschlossen.

Die Ver­tei­lung auf die Arbeits­plät­ze erfolg­te über Cis­co SG500X-48 bzw. Cis­co SG500X-48P, die über Licht­wel­len­lei­ter (LWL) mit 10 Gb/​s an den Back­bone-Switch ange­bun­den wur­den. Zu den Arbeits­plät­zen wur­den die vor­han­de­nen CAT 6 ver­wen­det, so dass die­se jeweils mit 1 Gb/​s ver­sorgt wer­den konnten.

Als Fire­wall wur­de die Cis­co ASA 5516-FPWR gewählt, da der Kun­de bereits zwei Cis­co ASA 5510 nutz­te und sich mit der Admi­nis­tra­ti­ons­ober­flä­che (ASDM) gut aus­kann­te. Die Funk­tio­nen und Regel­wer­ke der bei­den vor­han­de­nen Cis­co ASA 5510 wur­den kon­so­li­diert und in die neue Fire­wall übertragen.

Pro­jek­t­um­set­zung

Gemein­sam mit dem Kun­den wur­den die Kon­fi­gu­ra­tio­nen der bei­den alten Fire­walls doku­men­tiert und über­flüs­sig gewor­de­ne Tei­le ent­fernt. Eben­so wur­den die Rou­ten doku­men­tiert und konn­ten teil­wei­se auch opti­miert wer­den. Anstel­le der alten dedi­zier­ten Swit­ches wur­den VLANs ein­ge­rich­tet und den ent­spre­chen­den Netz­werk­ports zuge­wie­sen. Alle Kom­po­nen­ten wur­den in die Racks ver­baut, unter­ein­an­der ver­ka­belt, die Firm­ware aktua­li­siert und die Sys­te­me in Betrieb genommen.

Nach­ein­an­der wur­den die ESXi-Ser­ver mit den 10 Gb/​s Netz­werk­kar­ten aus­ge­stat­tet (die vir­tu­el­len Maschi­nen waren wäh­rend­des­sen wei­ter­hin auf den ande­ren bei­den ESXi-Ser­vern online), mit dem Back­bone ver­bun­den und das Rou­ting mit Hil­fe zwei­er Test-VMs und meh­re­rer phy­si­ka­li­schen Test-PCs in den unter­schied­li­chen VLANs geprüft. Nach­dem die alten Swit­ches mit dem neu­en Netz­werk ver­bun­den (kas­ka­diert) waren, konn­ten die VMs bereits über die 10 Gb/​s kom­mu­ni­zie­ren. Hier zeig­te sich bereits eine deut­li­che Ver­bes­se­rung der Per­for­mance zwi­schen den VMs (SAP- und SQL-Ser­ver, File­ser­ver, Exchan­ge, …). Tests mit nor­ma­len Arbeits­platz­rech­nern, die in das neue Netz­werk gepatched wur­den, über­tra­fen die Erwar­tun­gen des Kun­den bei wei­tem. Nach­dem die wäh­rend der Tests auf­ge­tre­te­nen Feh­ler alle besei­tigt waren, konn­ten in der Nacht dann alle Arbeits­plät­ze, Dru­cker und Mul­ti­funk­ti­ons­ge­rä­te, Point-of-Sale-Sys­te­me (PoS), usw. vom alten Netz­werk auf die neu­en Swit­ches umge­zo­gen (umge­patched) werden.

Im zwei­ten Schritt wur­den die Kon­fi­gu­ra­tio­nen der bei­den alten Fire­walls in die neue Cis­co ASA 5516-FPWR über­nom­men und – wo es auf­grund der unter­schied­li­chen Soft­ware­stän­de erfor­der­lich war – an die aktu­el­le Syn­tax ange­passt. Die VPN-Soft­ware für die Außen­dienst­mit­ar­bei­ter (Cis­co Any­Con­nect) wur­de vor­be­rei­tet und in die Fire­wall hoch­ge­la­den. Nach­dem die Mit­ar­bei­ter welt­weit infor­miert wur­den, konn­te die Umstel­lung erfol­gen – durch die bereits erfolg­te Umstel­lung des Lay­er 3 Netz­werks wur­de der Kon­fi­gu­ra­ti­ons­auf­wand im LAN deut­lich reduziert.

End­ergeb­nis

Trotz­dem die güns­ti­gen Busi­ness Class Swit­ches von Cis­co ein­ge­setzt wur­den, konn­te die Per­for­mance auf einen sehr guten Wert geho­ben wer­den, der die For­de­run­gen weit über­traf. Durch die gute Pla­nung konn­ten nahe­zu alle Pro­ble­me im Vor­feld gelöst wer­den und es kam nur zu eini­gen weni­gen Stö­run­gen der Kun­den­mit­ar­bei­ter durch z. B. fal­sche Beschrif­tun­gen oder feh­ler­haf­te Dokumentation.