CNaaS er kunnskapssektorens egen lokalnettløsning

Sikt driver det lokale fastnettet. Eksisterende rutere og svitsjer som er i drift før avtaleinngåelse, vil ved behov bli skiftet ut.

Nettadministrasjonssystemet NAV inngår i leveransen. I tillegg inngår DHCP-tjener og ved behov NAT-ruter. Dersom virksomheten har en egen brannmur, kan fastnettet integreres med denne.  

Fastnettet innebærer: 

• Redundant design 
• 10 Gbit/s forskningsnett (mer ved behov) 
• 10 Gbit/s kjerne 
• 1 Gbit/s til klient 

• DHCP server 
• IEEE 802.1X-støtte 
• NAV nettovervåkning 
• 24/7 monitorering 
• Reservedelslager 

Design av fastnett:

1. Design av nytt nettverk skalert til 1 Gbit/s på alle aksessporter og aggregert til 10-100 Gbit/s i kjerne/distribusjon basert på faktisk behov. Distribusjon og kjerne er adskilte lag i arkitekturen for større installasjoner og sammensmeltet til ett lag for mindre.  

2. Dersom virksomheten ønsker det, kan IEEE 802.1X implementeres i fastnettet. Dette stiller krav til klientene, da de må autentisere seg ved tilkobling til nettverket. Løsning som håndterer klienter som ikke kan autentisere seg inkluderes i løsningen.  

3. Det leveres PoE+ på alle aksessporter som har behov for dette.   

4. En rekke sikkerhetsfunksjonaliteter implementeres i fastnettet.

Sikt driver det lokale trådløse nettverket, mens virksomheten selv driver fastnettet. Merk at fastnettet må fungere optimalt for at det trådløse nettverket skal oppleves som godt nok for brukeren.

Trådløst nettverk innebærer:

• WiFi 6
• Site survey/radioplan
• Deknings- og kapasitets-krav etter ønske
• Radius for eduroam
• Anbefalte tilleggstjenester:
• eduroam
• Trådløst gjestenett
• Design trådløst nettverk
• Site survey og radioplanlegging for det trådløse nettverk.

Virksomhetens dekningskrav og kapasitetskrav vil legge premisser for utplassering/tetthet av trådløse aksesspunkter. Vår generelle anbefaling vil være at trådløse klienter får en dekning med signalstyrke på minimum -67 dBm fra primært aksesspunkt og -72 dbm fra sekundært aksesspunkt.

Sikt driver virksomhetens lokale rutere/brannmurer. Eksisterende rutere/brannmurer lokalt erstattes med nye levert av Sikt.

Ruterdrift/brannmur innebærer:

• Redundant oppsett
• IPv4/IPv6 og NAT
• Netflow-støtte
• Soneinndeling
• Tilstandsfull filtrering
• Applikasjonsfiltrering (valgbar)
• IPS (Intrusion Prevention)(valgbar)

Anbefalte tilleggstjenester:

• eduVPN
• Abonnement fra Cybersikkerhetssenter for forskning og utdanning

Design av ruter/brannmur

1. Design av nytt rutingoppsett. Anbefalt oppsett er to rutere/brannmurer pr lokasjon/campus for god redundans. Dersom virksomheten ikke ønsker redundans leveres en ruter/brannmur pr. lokasjon. Kapasitet på ruter-/brannmurportene er gitt av kapasitet virksomheten har bestilt for tjenesten Nettilknytning – dvs virksomhetens tilknytningskapasitet til forskningsnettet. Det blir levert et dual-stack IPv4/IPv6 rutingoppsett.
2. Allokering og partisjonering av tilstrekkelig IPv4 og IPv6 adresserom. Det tas utgangpunkt i virksomhetens eksisterende IPv4 og IPv6 adresserom. Sikt kan supplere med ytterligere IPv6 adresserom og om avtalt, i begrenset grad, IPv4 adresserom. Dersom dette ikke er tilstrekkelig, vil private IPv4-adresser (RFC1918) og NAT44 bli benyttet.
3. Avtalt nivå av brannmurregler med ditto regelsett planlegges. Nivåene er:

• a. Aksesslister
• b. Tilstandsfull filtrering
• c. Applikasjonsfiltrering

4. Dersom Virksomheten er spredt på flere lokasjoner designes en helhetlig sikkerhetsarkitektur der de ulike lokasjonene er hensiktsmessig knyttet sammen.
5. Tildeling av IPv4-adresser i lokalnettet baseres på DHCP. Unntaksvis kan det være behov for statiske IP-adresser hos Virksomheten. Dette kan løses av Virksomheten ved å innføre statisk IP-mac binding i DHCP. IPv6-adresser deles ut dynamisk ved bruk av SLAAC.

Dataromnett kobler servere til internett. Vi drifter nettverksutstyret (f.eks. ruter og svitsj) for å få datarommet på nett.

Datarom innebærer:

• Redundant design
• Soneinndeling
• 10 Gbit/s kjerne
• 1 og 10 Gbit/s serveraksess
• Miljøovervåkning
• Spine-leaf arkitektur

Design dataromnett

• Design av dataromnett med tilhørende rutere og svitsjer («top of rack» og distribusjon).

Etableringsfasen og anskaffelse av nettverksutstyr

1. Installasjon av nettadministrasjonsverktøy inklusive NAV. Virksomhetens relevante driftspersonell gis tilgang til NAV.
2. Installasjon av alle nettverkskomponentene der disse registreres i NAV.
3. Oppsett av DHCP-tjener som håndterer dynamisk IPv4-adresser for alt endeutstyr i nettverket. IPv6-adresser deles ut dynamisk ved bruk av SLAAC.
4. Konfigurasjon og dokumentasjon av nytt nettverk.
5. Driftssetting av nytt nettverk.

Driftsfasen

• Daglig drift basert på proaktiv monitorering av nettverksutstyr. Herunder nødvendig feilsøking og feilretting.
• Behovs- og/eller sikkerhetsvurderte programvareoppgraderinger av nettverksutstyr.
• Endringer i brannmurregler basert på bestilling fra virksomheten.
• Oppsett av nye vlan/IP-adresserom basert på nye behov hos virksomheten. Tilsvarende utfasing/endring av vlan/IP-adresserom når relevant.
• Sikt gjør vurderinger basert på trafikkbelastning og sørger for og bekoster utskifting av nettverksutstyr når det er nødvendig. Utvidelse av lokalnettet til nye arealer/nybygg og/eller oppgradert nettilknytning til forskningsnettet dekkes av virksomheten.

Med CNaaS studentbolig driver og videreutvikler Sikt det lokale nettverket på studentbyen. Dette inkluderer et godt WiFi for brukeren, med nettilgang for hver enkelt hybel. ​

Tjenesten består av en etableringsfase og en driftsfase. Følgende aktiviteter fra Sikt inngår:

Etableringsfasen:

• Site survey og radioplanlegging for det trådløse nettverk.
• Design av nettverket med rutere, svitsjer og aksesspunkter basert på et dual stack IPv4/IPv6 rutingoppsett.
• Anskaffelse av nettverksutstyr.
• Allokering og partisjonering av tilstrekkelig IPv4 og IPv6 adresserom. Det tas utgangspunkt i kundens eksisterende IPv4 og IPv6 adresserom. Dersom dette ikke er tilstrekkelig, vil private IPv4-adresser (RFC1918) og NAT44 bli benyttet.
• Installasjon av nettadministrasjonssystemet NAV. Virksomhetens relevante driftspersonell gis tilgang til NAV.
• Installasjon av rutere, inklusive NAT44-ruter hvis relevant. Installasjon av svitsjer, trådløs kontroller og aksesspunkter (arbeidsdeling med virksomheten, se kapittel 2).
• Konfigurasjon og dokumentasjon av nytt rutingoppsett og svitsjet nett med alle lokalnett og vlan inklusive initielt oppsett av pakkefilter på ruter.
• Oppsett av DHCP-tjener som håndterer dynamisk IPv4-adresser for alt endeutstyr i nettverket. I tillegg deles IPv6-adresser ut dynamisk ved bruk av SLAAC.
• Driftssetting av nytt nettverk

Driftsfasen

• Håndtering av abuse-saker for virksomheten. Med «abuse» menes saker der IP-adresser hos virksomheten er påklaget fra omverden med bakgrunn i brudd på regelverk eller etikette. Sikt vil vurdere alvorlighetsgrad, agere og videreformidle relevante saker til virksomheten.
• Daglig drift basert på proaktiv monitorering av nettverksutstyr. Herunder nødvendig feilsøking og feilretting.
• Behovs- og/eller sikkerhetsvurdert programvareoppgraderinger av nettverksutstyr.
• Oppsett av nye vlan basert på nye behov hos Virksomheten. Tilsvarende utfasing/endring av vlan når relevant.
• Tildeling av IPv4-adresser i lokalnettet baseres helt og holdent på DHCP. Virksomheten kan ikke konfigurere klienter statisk. Unntaksvis kan statisk tildeling av IPv4-adresser ved å innføre statisk IP-mac binding i DHCP vurderes (gjelder ikke studentboligene).
• Sikt gjør vurderinger basert på trafikkbelastning og varsler når utskifting av rutere, svitsjer og aksesspunkter er nødvendig. Utskifting, oppgradering og fornyelse av utstyr, serviceavtale og lisenser vil medføre ny investeringsavgift for virksomheten. Utvidelse av studentbynettet til nye arealer/nybygg medfører investeringsavgift og korrigert årlig tjenesteavgift.