Hoi allemaal, Leuke vergadering in de kamer van het metselaarsgilde, een paar weken terug! Inmiddels nadert de einddatum van een van onze projecten bij ETH Zurich, en worden wij geacht om de projectresultaten te evalueren op het productienetwerk. Hierdoor wordt de noodzaak van een productieaansluiting op SCIERA steeds groter. Zullen we een datum prikken waarop we de L2 verbinding in het WCW gebouw realiseren? Dat kan dan één dag zijn, waarop we zowel lijntjes naar CWI als naar Interxion trekken (waar de servers van NLnet draaien). Misschien handig als Rogier of Marijke een datum voorstelt? Lukt dat misschien nog ergens deze of volgende week? Of gaat dat waarschijnlijk langer duren? In eerste instantie is het óók prima als er nog geen SURF SCION node tussen staat, die deze twee netwerken (CWI en NLnet/Interxion) upstreamt, dat kunnen we later ook nog maken. Voor nu is een directe L2 naar GÉANT Plus (Parijs of Frankfurt) al voldoende, zodat we verder de technologie kunnen gaan testen. Hartelijke groeten, Hans-Dieter
Hallo Hans-Dieter,
Inmiddels nadert de einddatum van een van onze projecten bij ETH Zurich, en worden wij geacht om de projectresultaten te evalueren op het productienetwerk. Hierdoor wordt de noodzaak van een productieaansluiting op SCIERA steeds groter.
Dan moeten we aan het werk :-)
Zullen we een datum prikken waarop we de L2 verbinding in het WCW gebouw realiseren? Dat kan dan één dag zijn, waarop we zowel lijntjes naar CWI als naar Interxion trekken (waar de servers van NLnet draaien).
Ligt er een beetje aan wat je precies wil bouwen en hoe. Betekent "lijntjes trekken" fysiek fibers leggen of alleen L2? De Vlans van SCIERA (Geneve en Parijs) komen bij ons binnen op de NetherLight box, van daaruit zijn het een multipoint EVPNs met connecties naar SIDNlabs en een box van SURF bij Nikhef, daar kan nog een pootje bij naar de CWI koppeling op SURF (extra vlans erbij op de service poort). Dat is redelijk makkelijk te doen (je kunt het zelfs zelf doen als het goed is via het netwerkdashboard! Zonder extra kosten). Anders schiet ik het in via changes@surf.nl hier en wordt het door het NOC geprovisioned. Of moet het echt helemaal apart? Dan moet er waarschijnlijk een extra (fysieke) poort worden geprovisioned, dat duurt meestal langer en is niet zonder kosten (wie of wat dat gaat betalen moeten we dan ook nog verzinnen). Vanaf die poort op onze apparatuur moet er dan een fysieke koppeling gemaakt worden naar ... iets. Dus waar moet die poort dan komen (op de SURF device bij Nikhef (de "gewone" CWI koppeling zit daar ook op een van de devices (een andere dan de VLANs van SCIERA), maar dat kan makkelijk doorgetrokken worden).
Misschien handig als Rogier of Marijke een datum voorstelt? Lukt dat misschien nog ergens deze of volgende week? Of gaat dat waarschijnlijk langer duren?
Zie boven, ligt er aan wat nu het handigst/snelst is om te doen, hoeveel haast heeft het? Sommige dingen kunnen snel, andere duren langer omdat dat gepland moet worden (als de optics al in de box zitten is het sneller misschien, maar dat weet ik nu niet direct).
In eerste instantie is het óók prima als er nog geen SURF SCION node tussen staat, die deze twee netwerken (CWI en NLnet/Interxion) upstreamt, dat kunnen we later ook nog maken. Voor nu is een directe L2 naar GÉANT Plus (Parijs of Frankfurt) al voldoende, zodat we verder de technologie kunnen gaan testen.
Die SURF SCION node gaat waarschijnlijk nog wel even duren. En verder hebben we geen SCIERA koppeling met Frankfurt, alleen Parijs en Geneve, is Frankfurt speciaal nodig? Groetjes, -- Marijke
Hallo Marijke, (cc: Emil) dankjewel voor het snelle en uitgebreide antwoord!! Verbinden met NetherLight klinkt goed.
De VLANs van SCIERA (Geneve en Parijs) komen bij ons binnen op de NetherLight box, van daaruit zijn het een multipoint EVPNs met connecties naar SIDNlabs en een box van SURF bij Nikhef...
Lopen die multipoint EVPNs over een IP/UDP verbinding (VXLAN) naar de box van SURF bij Nikhef? Of gaat dit via bijvoorbeeld MPLS? Of iets anders?
box van SURF bij Nikhef, daar kan nog een poortje bij naar de CWI koppeling op SURF (extra VLANs erbij op de service poort).
Dat is redelijk makkelijk te doen (je kunt het zelfs zelf doen als het goed is via het netwerkdashboard! Zonder extra kosten). Anders schiet ik het in via changes@surf.nl hier en wordt het door het NOC geprovisioned.
Dat klinkt op zich goed, maar Emil heeft het daar voor het zeggen. @Emil: is een extra VLAN erbij op de service poort goed te doen? Dat zouden wij intern naar de SCION box in de DMZ kunnen verbinden, lijkt me. Is dat geïsoleerd genoeg dat dat elders voor geen problemen zorgt?
Of moet het echt helemaal apart? Dan moet er waarschijnlijk een extra (fysieke) poort worden geprovisioned, dat duurt meestal langer en is niet zonder kosten (wie of wat dat gaat betalen moeten we dan ook nog verzinnen).
Het liefst zien we SCION als netwerk geheel apart van het bestaande IP netwerk. Een "galvanische scheiding" tussen de twee, als het ware. We willen niet dat de IP en SCION netwerken elkaar (negatief) kunnen beïnvloeden. Daardoor kunnen we het gaan waarderen als "gefedereerd en redundant netwerk", dat je kan gebruiken als er problemen zijn met IP, zoals DDoS aanvallen. Dat voordeur/achterdeur verhaal, waarbij je de voordeur dicht kan doen als er teveel vervelende mensen langskomen die een troep maken, zonder dat je hoeft uit te hongeren want de boodschappen komen via de achterdeur toch binnen ;-)
Vanaf die poort op onze apparatuur moet er dan een fysieke koppeling gemaakt worden naar ... iets. Dus waar moet die poort dan komen (op de SURF device bij Nikhef (de "gewone" CWI koppeling zit daar ook op een van de devices (een andere dan de VLANs van SCIERA), maar dat kan makkelijk doorgetrokken worden).
Dat "iets" zou er pas komen, als de technologie goed blijkt te werken. Dank denk ik aan het begin van een Nederlands SCION knooppunt ofzo, en waar de Nederlandse "isolation domain core" komt.
En verder hebben we geen SCIERA koppeling met Frankfurt, alleen Parijs en Geneve, is Frankfurt speciaal nodig?
Nope, niet op dit moment! Maar goed om te weten ;-) Hartelijke groeten, Hans-Dieter
Hoi beiden,
De VLANs van SCIERA (Geneve en Parijs) komen bij ons binnen op de NetherLight box, van daaruit zijn het een multipoint EVPNs met connecties naar SIDNlabs en een box van SURF bij Nikhef...
Lopen die multipoint EVPNs over een IP/UDP verbinding (VXLAN) naar de box van SURF bij Nikhef? Of gaat dit via bijvoorbeeld MPLS? Of iets anders?
Via MPLS/Segment Routing (voor meer info zie: https://servicedesk.surf.nl/wiki/spaces/WIKI/pages/111706429/c.+EVPN+-+Aanvr...)
box van SURF bij Nikhef, daar kan nog een poortje bij naar de CWI koppeling op SURF (extra VLANs erbij op de service poort).
Dat is redelijk makkelijk te doen (je kunt het zelfs zelf doen als het goed is via het netwerkdashboard! Zonder extra kosten). Anders schiet ik het in via changes@surf.nl hier en wordt het door het NOC geprovisioned.
Dat klinkt op zich goed, maar Emil heeft het daar voor het zeggen.
Ok. Denk er even over na zou ik zeggen.
@Emil: is een extra VLAN erbij op de service poort goed te doen? Dat zouden wij intern naar de SCION box in de DMZ kunnen verbinden, lijkt me. Is dat geïsoleerd genoeg dat dat elders voor geen problemen zorgt?
Of moet het echt helemaal apart? Dan moet er waarschijnlijk een extra (fysieke) poort worden geprovisioned, dat duurt meestal langer en is niet zonder kosten (wie of wat dat gaat betalen moeten we dan ook nog verzinnen).
Het liefst zien we SCION als netwerk geheel apart van het bestaande IP netwerk. Een "galvanische scheiding" tussen de twee, als het ware. We willen niet dat de IP en SCION netwerken elkaar (negatief) kunnen beïnvloeden. Daardoor kunnen we het gaan waarderen als "gefedereerd en redundant netwerk", dat je kan gebruiken als er problemen zijn met IP, zoals DDoS aanvallen. Dat voordeur/achterdeur verhaal, waarbij je de voordeur dicht kan doen als er teveel vervelende mensen langskomen die een troep maken, zonder dat je hoeft uit te hongeren want de boodschappen komen via de achterdeur toch binnen ;-)
Dan zou je het via een aparte connectie op een aparte poort moeten laten lopen (let op (zie ook hieronder): aan onze kant is het dan nog steeds wel op een SURF netwerk device, hetzelfde device waarschijnlijk, een heel apart netwerk neerleggen is misschien iets voor de toekomst..... :-)
Vanaf die poort op onze apparatuur moet er dan een fysieke koppeling gemaakt worden naar ... iets. Dus waar moet die poort dan komen (op de SURF device bij Nikhef (de "gewone" CWI koppeling zit daar ook op een van de devices (een andere dan de VLANs van SCIERA), maar dat kan makkelijk doorgetrokken worden).
Dat "iets" zou er pas komen, als de technologie goed blijkt te werken. Dank denk ik aan het begin van een Nederlands SCION knooppunt ofzo, en waar de Nederlandse "isolation domain core" komt.
Inderdaad, er zou bijv op de AMS-IX een "SCION peering lan" gemaakt kunnen worden. Er zijn wel ideeen die kant op, maar het ligt een beetje stil geloof ik.
En verder hebben we geen SCIERA koppeling met Frankfurt, alleen Parijs en Geneve, is Frankfurt speciaal nodig?
Nope, niet op dit moment! Maar goed om te weten ;-)
Ok, kunnen we altijd ook nog bijklussen als nodig. Groetjes, -- Marijke
Hoi Marijke, Hans-Dieter en Emil hierzo, we zijn bezig geweest met het installeren van een box en bedenken nu wat de goede manier is om deze te verbinden.
Of moet het echt helemaal apart? Dan moet er waarschijnlijk een extra (fysieke) poort worden geprovisioned, dat duurt meestal langer en is niet zonder kosten (wie of wat dat gaat betalen moeten we dan ook nog verzinnen).
Dit moeten we denk ik wel gaan doen: iets aparts gaan aanleggen. De service poort kunnen we bij het CWI niet gebruiken (dat willen ze hier niet, vanuit het idee van "galvanische scheiding": het bestaande IP netwerk mag *helemaal niet* worden aangeraakt of beïnvloed). Hoor het graag wat het grapje mag gaan kosten ;-)
Vanaf die poort op onze apparatuur moet er dan een fysieke koppeling gemaakt worden naar ... iets. Dus waar moet die poort dan komen (op de SURF device bij Nikhef (de "gewone" CWI koppeling zit daar ook op een van de devices (een andere dan de VLANs van SCIERA), maar dat kan makkelijk doorgetrokken worden).
Er is de kamer, H140, de "datavloer", kast 8. In het Nikhef gebouw, op dezelfde vloer als waar SURF ook zit. Kast 8 komt dan aan in de MER van CWI (zie foto). En is nog één poort vrij, en die is single mode. (Oja, als jullie trouwens een tooltje hebben om fiberpoorten schoon te maken---want hier in de MER is het niet duidelijk omdat het afdek dopje ontbreekt. Zou waarschijnlijk aan de Nikhef-kant ook zo zijn.) Hoor graag wat jullie ervan denken! Hartelijke groeten, Hans-Dieter On 16-04-2025 16:38, Marijke Kaat wrote:
Of moet het echt helemaal apart? Dan moet er waarschijnlijk een extra (fysieke) poort worden geprovisioned, dat duurt meestal langer en is niet zonder kosten (wie of wat dat gaat betalen moeten we dan ook nog verzinnen). Vanaf die poort op onze apparatuur moet er dan een fysieke koppeling gemaakt worden naar ... iets. Dus waar moet die poort dan komen (op de SURF device bij Nikhef (de "gewone" CWI koppeling zit daar ook op een van de devices (een andere dan de VLANs van SCIERA), maar dat kan makkelijk doorgetrokken worden).
Hoi Hans-Dieter,
Hans-Dieter en Emil hierzo, we zijn bezig geweest met het installeren van een box en bedenken nu wat de goede manier is om deze te verbinden.
Of moet het echt helemaal apart? Dan moet er waarschijnlijk een extra (fysieke) poort worden geprovisioned, dat duurt meestal langer en is niet zonder kosten (wie of wat dat gaat betalen moeten we dan ook nog verzinnen).
Dit moeten we denk ik wel gaan doen: iets aparts gaan aanleggen. De service poort kunnen we bij het CWI niet gebruiken (dat willen ze hier niet, vanuit het idee van "galvanische scheiding": het bestaande IP netwerk mag *helemaal niet* worden aangeraakt of beïnvloed).
Hoor het graag wat het grapje mag gaan kosten ;-)
Het kan zijn dat dit tegenwoordig onder het "all-in netwerktarief" valt, dus dat jullie een extra zogenaamde service poort gewoon kunnen aanvragen. Dat heb ik even nagevraagd, maar nog geen antwoord :-) Dan moet er wel capaciteit zijn op onze apparatuur, maar die is er vast wel (hangt af van port-speed misschien, is 1Gig genoeg of moet het 10G worden?).
Vanaf die poort op onze apparatuur moet er dan een fysieke koppeling gemaakt worden naar ... iets. Dus waar moet die poort dan komen (op de SURF device bij Nikhef (de "gewone" CWI koppeling zit daar ook op een van de devices (een andere dan de VLANs van SCIERA), maar dat kan makkelijk doorgetrokken worden).
Er is de kamer, H140, de "datavloer", kast 8. In het Nikhef gebouw, op dezelfde vloer als waar SURF ook zit.
Onze routers staan in rack 309, ik kan niet vinden of dat kamer H140 is, maar dat zou zomaar kunnen.
Kast 8 komt dan aan in de MER van CWI (zie foto). En is nog één poort vrij, en die is single mode.
Dan kun je die mooi gebruiken! Dat zou dus moeten kunnen klinkt het. Ik wacht even op antwoord over die extra poort, en dan kunnen we het aanvragen denk ik.
(Oja, als jullie trouwens een tooltje hebben om fiberpoorten schoon te maken---want hier in de MER is het niet duidelijk omdat het afdek dopje ontbreekt. Zou waarschijnlijk aan de Nikhef-kant ook zo zijn.)
Ons NOC (Quanza) heeft al die tools, de engineers hebben dit als het goed is altijd bij zich ;-) Maar ik weet niet of ze die uitlenen, mogelijk dat ze bij NIKHEF die dingen hebben (vast wel) en dat je die even mag lenen? Groetjes, -- Marijke
Hoi Marijke, dank voor je snelle antwoord! Super :-)
(hangt af van port-speed misschien, is 1Gig genoeg of moet het 10G worden?)
Voor dit experiment is alles prima, er is nog geen reden voor 10G. Maar als er 10G toevallig nog beschikbaar is---waarom ook niet.
Ik wacht even op antwoord over die extra poort, en dan kunnen we het aanvragen denk ik.
OK! Er is wel een beetje haast, waarvoor mijn excuses: deze beslissing, dat er een extra fibertje nodig was, die had ik al veel eerder moeten/kunnen maken. Maar hopelijk lukt het nog binnen één week of twee!
mogelijk dat ze bij NIKHEF die dingen hebben (vast wel) en dat je die even mag lenen?
We kunnen even rondvragen, dank voor de tip ;-) Hartelijke groeten, Hans-Dieter
participants (2)
-
Hans-Dieter Hiep
-
Marijke Kaat