Det danske sundhedsdatanet - nu med flere slags redundans
SDN temadag 30/9-08
Divisionsdirektør Martin Bech, UNI•C
SONAR - debatoplæg
Kommunikation mellem sundhedssektorens mange dele
LAN
FW
Sundheds- datanettet
LAN FW
FW LAN
Redundans – er det godt?
• Hvad hvis noget holder op med at virke?
• Så kunne det være rart hvis det var beskyttet mod nedbrud…
• F.eks. beskyttet ved at være dubleret
Redundans = Beskyttelse
SONAR - debatoplæg
Redundans i de eksisterende løsninger?
PC
Lokalt
net FW
VPN router
ISP router
SDN VPN router
PC
Lokalt
net FW Carrier
CPE
Carrier CPE
SDN router
Typisk redundans i de eksisterende løsninger
PC
Lokalt
net FW
VPN router
ISP router
SDN VPN router
PC
Lokalt
net FW Carrier
CPE
Carrier CPE
SDN router
= Nej = Måske = Ja
SONAR - debatoplæg
Bedst opnåelige redundans med de eksisterende løsninger
PC
Lokalt
net FW
VPN router
ISP router
SDN VPN router
PC
Lokalt
net FW Carrier
CPE
Carrier CPE
SDN router
= Nej = Måske = Ja
Redundans med VPN+VPN
PC
Lokalt net
FW
VPN router
ISP router
SDN VPN router
FW
VPN router
ISP router
SONAR - debatoplæg
Redundans med Fast forbindelse + VPN
PC
Lokalt
net FW
VPN router
ISP router
SDN VPN router
Carrier CPE
Carrier CPE
SDN router
Router
Redundans med 2 faste forbindelser
PC
Lokalt
net FW Carrier
CPE
Carrier CPE
SDN router
FW Carrier
CPE
Carrier CPE
SDN router 2
SONAR - debatoplæg
Fælles for alle tre typer redundant SDN-opkobling:
• Kræver ekstra udstyr (ellers er der ikke vundet noget…)
• Bruger BGP
• Derfor kræves routere, der understøtter BGP
• Man slipper altså (normalt) ikke af med routerne
• Kræver lidt planlægning og tid
Nu skal vi have mere redundans – hvor skal vi bruge pengene?
• Svaret afhænger af ens organisation, behov, risikoprofil, historie, etc.
• Klassisk risiko- og konsekvensanalyse
• …som I skal lave alligevel af hensyn til DS484
Men den gode nyhed er, at
Sundhedsdatanettet tilbyder jer alle
muligheder!
SONAR - debatoplæg
Sundhedsdatanettet
SONAR - debatoplæg
SONAR - debatoplæg
Ny type forbindelse: ”Fast opkobling”
• Fiber, MPLS, forskningsnettet eller en anden punkt- til-punkt forbindelse
• Afleveres i ethernet snit i det centrale knudepunkt
• Er allerede indbygget i aftalesystemet
• Er forberedt og testet i det centrale knudepunkt
• Er forudsat i driftskontrakten
Nu kan man altså få dedikeret 100Mbit/s eller 1Gbit/s forbindelse til Sundhedsdatanettet
SONAR - debatoplæg
Aftalesystemet
• Alle brugergrupper (klienter) og alle services er oprettet i aftalesystemet af brugerne selv
• Bruger A finder Service B ved simpel søgning evt. ved en serversøgning
• Bruger A opretter en aftale for en forbindelse til service B
• Både bruger A og administrator af Service B accepterer aftalen i aftalesystemet inden den effektueres
• Aftalesystemet generer automatisk ACL-lister for den centrale router
SONAR - debatoplæg
Situationen
Hospital A
Bruger A
Hospital B
FW A FW B
Eksterne net
Firewall rules (A) --- --- User A may access
Service B ---
---
Firewall rules (B) --- --- Service B may be accessed by User A
---
--- Service B
Etablering af en ny forbindelse
Hospital A
Bruger A
Hospital B
FW A FW B
Eksterne net
Firewall rules (A) --- --- User A may access
Service B ---
---
Firewall rules (B) --- --- Service B may be accessed by User A
---
--- Service B
SONAR - debatoplæg
Ophør af en forbindelse
Hospital A
Bruger A
Hospital B
FW A FW B
Eksterne net
Firewall rules (A) --- --- User A may access
Service B ---
---
Firewall rules (B) --- --- Service B may be accessed by User A
---
--- Service B
? ?
Aftalesystemet
• Enhver kan finde den service de ønsker forbindelse til
• Eliminerer behovet for at administrere et stort antal VPN tunneler
• Dokumenterer hvem der bestilte forbindelsen og hvor længe den skal eksistere
• Dokumenterer alle aftaler
• Simplificerer administrationen af sikkerhed
SONAR - debatoplæg
Med brug af aftalesystemet
Hospital A
Bruger A
Hospital B
FW A FW B
Firewall rules (A) --- --- User A may access
Service B ---
---
Firewall rules (B) --- --- Service B may be accessed by User A
---
--- Service B
Aftalesystemet
Centralt knudepunkt
SONAR - debatoplæg
SONAR - debatoplæg
SONAR - debatoplæg
Med brug af aftalesystemet
Hospital A
Bruger A
Hospital B
FW A FW B
Firewall rules (A) --- --- User A may access
Service B ---
---
Firewall rules (B) --- --- Service B may be accessed by User A
---
--- Service B
Aftalesystemet
Centralt knudepunkt
SONAR - debatoplæg
Information om Sundhedsdatanettet
• Information om Sundhedsdatanettet
http://www.medcom.dk se under ”Sundheds-DIX”
• Spørgsmål vedr. tilslutning
e-mail: tilslutning@sdn.uni-c.dk
Tekniske specialiteter
• Egne registrerede adresser 195.80.242.0/22
• Alle (næsten) kører NAT fra egne private adresser, f.eks.
10.0….
• Alle DNS-navne ender på dsdn.dk (og .medcom)
• F.eks. nip.dsdn.dk (og nip.medcom)
SONAR - debatoplæg
En produktionsservice i døgndrift
• Driften sikret så godt som vi kan:
• Redundans med dublerede routere i knudepunket
• Forsvarlig fysisk sikring
• Redundans på netforbindelsen
• Redundans mht. strømforsyning
• Overvågning i døgndrift (dubleret)
• Fejlretning i døgndrift
• Support i arbejdstiden
Servicemål
fra 2. halvår 2006
• Døgndrift
• Overvågning døgnet rundt
• Driftsmål er 99,5% oppetid målt over hver kalendermåned
• Fejlretning døgnet rundt
• 1 time til fejlretning er påbegyndt – døgnet rundt
• Gennemløbstid under 1 sekund i 95% af tilfældene
SONAR - debatoplæg
Support
• 8.00 – 17.00 mandag til torsdag
• 8.00 – 16.00 fredag
• fwsupport@uni-c.dk
• 35878888
• Entusiastiske og opmærksomme medarbejdere, der ved hvad det drejer sig om
• Mailingliste for administratorer (og andre)
• Statusmeddelelser på https://aftale.medcom.dk
Muligheder for fejlsøgning
For hver tunnel har vi nu
• Registrering (grafer) af ping-tider
• Registrering (grafer) af ping-kvalitet
• Trafikmængde (grafer) pr. tunnel
• Trafikmængde pr. service (flowdata)
• Visning af egen IP-adresse
• Ping og traceroute retur
• Mulighed for iperf-måling af båndbredde
SONAR - debatoplæg
SONAR - debatoplæg
SONAR - debatoplæg
SONAR - debatoplæg
SONAR - debatoplæg
SONAR - debatoplæg
SONAR - debatoplæg
SONAR - debatoplæg
iperf
Iperf-serverens navn på SDN er falcon.uni-c.medcom, IP: 195.80.240.112, på port 5001, både tcp og udp.
TCP.
På tcp kan Iperf måle den maksimale båndbredde mellem klient og server. Den maksimalt mulige båndbredde afhænger af tcp window size. Prøv fx med 32k og 64k.
Eksempel:
iperf -c 195.80.240.12 -w 32k
--- Client connecting to 195.80.240.112, TCP port 5001
TCP window size: 33.4 KByte (WARNING: requested 32.0 KByte)
SONAR - debatoplæg
Trafikmængder pr. tunnel
Vejle Amt
SONAR - debatoplæg
SONAR - debatoplæg
Det bliver brugt mere og mere…
0 100.000.000 200.000.000 300.000.000 400.000.000 500.000.000 600.000.000
jan feb mar april maj juni juli aug sep okt nov dec jan feb
2006 2007
Traffic volume per month
KBytes