Die Fachhochschule HTW Chur bildet Fach- und Führungskräfte aus. Sie ist regional verankert und mit rund 1700 Studierenden ein Anziehungspunkt über die Kantons- und Landesgrenzen hinaus. Die HTW Chur bietet Bachelor- und Masterstudiengänge sowie Weiterbildungen an. Sie trägt mit angewandter Forschung zu Innovationen und Lösungen für die Gesellschaft bei. Ab 1. Januar 2020 wird die HTW Chur die 8. öffentlich-rechtliche Fachhochschule der Schweiz sein.

Die HTW Chur hat die Econis AG & Cisco ACI mit der Konzeption und dem Parallelaufbau des neuen Netzwerks und der anschliessenden Migration beauftragt.

Interview mit Martin Meier, Senior Infrastructure Engineer | HTW Chur

Sie haben ein Redesign Ihrer Core-Infrastruktur vorgenommen. Wie ist es dazu gekommen?

Die HTW Chur befindet sich im Wachstum und es gilt auch künftig die Informatik effizient und sicher zu betreiben. Teile unserer Core-Infrastruktur aus den Jahren 2007/08 gelangten ans Ende ihres Life Cycles. Zudem war unser Securitykonzept mit 38 Firewalls über die Jahre höchst unübersichtlich geworden. Deshalb sollte das gesamte Policy Set bereinigt und nur noch über einige wenige Firewalls geregelt werden.

Sie haben Econis zum Migrationspartner gewählt. Warum?

Mit Econis verbindet uns seit über zehn Jahren eine eingespielte Zusammenarbeit. Sie kennen unsere Infrastruktur und unsere Bedürfnisse. Das gab uns bei diesem – für uns nicht alltäglichen Projekt – die Gewissheit, mit Econis den richtigen Ansprech- und Umsetzungspartner zu haben. In unserer Einschätzung wurden wir im Gesamtprojekt rundum bestätigt. Econis hat das Projekt mit vollem Einsatz zum Erfolg gebracht und das Budget sogar unterschritten.

Worin liegt der grosse Unterschied der heutigen Lösung zur alten Infrastruktur?

Das neue ACI zentriert sämtliche Anwendungen in einem Software Defined Network (SDN). Dabei werden alle Switches von einem zentralen Controller gesteuert. Sämtliche Regeln können über ein Web GUI bequem festgelegt und gesteuert werden. Früher mussten wir für 38 Zonen alle Regeln dezentral und auf mehreren Firewalls konfigurieren. Im Projekt haben wir die Struktur auf eine Handvoll Zonen heruntergebrochen. Dank der Microsegmentations-Möglichkeiten von Cisco ACI können wir bei Bedarf trotz der starken Vereinfachung erheblich granularer segmentieren als zuvor.

Wie haben Sie das Projekt in Angriff genommen und umgesetzt?

Wir haben das Projekt während zweier Jahre in den schulfreien Phasen realisiert. 2017 starteten wir mit Konzeptarbeiten und Workshops, haben dann mit dem Parallelaufbau von Cisco ACI begonnen und im Sommer die Data Center Switches durch Cisco ACI abgelöst. 2018 haben wir das Core-Redesign und den Firewallersatz in Angriff genommen, die Logik umgebaut und die Mikrosegmentierung eingeführt. Unsere Informatikfachleute haben eng mit den Econis Network Engineers zusammengearbeitet. Diese  haben uns abschliessend so geschult, dass wir das System möglichst selbstständig betreiben und Fehler beheben können. Der Support ist durch SLAs mit Econis gesichert. Für uns, intern, geht das Projekt noch weiter: Wir nehmen die neuen WLAN Controller in Betrieb und ersetzen danach den fast leergeräumten Campus Core durch eine schlankere Lösung. Ideal ist, dass wir nicht alle Funktionalitäten auf einmal umstellen müssen. Ein durchdachtes Migrationskonzept erlaubt es uns, alte Systeme vorerst zu  integrieren und sie nach und nach abzulösen.

Mit welchen besonderen Herausforderungen wurden Sie im Projekt konfrontiert?

Das komplette Firewall-Regelset neu zu definieren war eine gewaltige Herausforderung. Mit internen Ressourcen haben wir in Zusammenarbeit mit Econis ein Script programmiert, welches die Regeln von rund 40 Firewalls unterschiedlicher Hersteller eingelesen, bereinigt und angepasst auf die neue Architektur ausgegeben hat. So konnten wir am Tag X auf Knopfdruck die konsistenten und bereinigten Regeln auf den neuen Firewalls importieren. Die effektive Migration (Routing, Firewalls,  Microsegmentation) erbrachten wir mit Hilfe von Econis an einem Wochenende innert 44 Stunden; dank der sorgfältigen Vorbereitung und dem Sondereinsatz aller Beteiligten unterbruchsfrei und erfolgreich! Als herausfordernde Spezialfälle haben sich das Multicast Routing für die campusweite Alarmierung via IP Telefonie erwiesen sowie das vorhandene mDNS (Bonjour Gateway) für Applikationen wie Everyone Print usw. Doch auch das haben wir schliesslich gemeistert. Martin Meier HTW Chur, Senior  Infrastructure Engineer «Der bevorstehende End of Life-Status der Netzwerk-Infrastruktur im Data Center gab den Anstoss für das komplette Redesign. Für die Fachhochschule ist die gewählte neue Lösung ein Zukunftsschritt zu einem einfacheren,  effizienteren und sichereren IT-Betrieb.» Die HTW Chur hat die Econis AG mit der Konzeption und dem Parallelaufbau des neuen Netzwerks und der anschliessenden Migration beauftragt.

Worin liegt der objektive Nutzen des Redesigns für die HTW Chur?

Die Bereinigung der Logik, das Software Defined Networking und die Auftrennung der verschiedenen Building Blocks vereinfachen die gesamte Architektur. Und einfacher heisst auch sicherer: sowohl bei der Konfiguration als auch bei der Reduktion der Failure Domain Grösse. Eingriffe erfolgen an wenigen Stellen, wo es früher bis zu 40 waren. So müssen wir dank Hypervisor-Integration neue Netze nur noch an einer einzigen Stelle erfassen. Zum Vergleich: früher mussten wir ein neues Netz manuell auf allen Switches, der Firewall, dem Blade-System und im vCenter konfigurieren und waren dafür besorgt, dass die Änderungen umgebungsweit konsistent implementiert wurden. Das Gleiche gilt auch für das Troubleshooting, welches sich nun auf ein paar Firewalls mit zentralem Logging beschränkt, statt auf 38 Firewalls mit individuellen Logs wie zuvor. Snapshot & Restore Tools innerhalb des Netzwerks, wie man das zum Beispiel von VMware kennt, führen zu einer erheblichen Risikominimierung bei Anpassungen und falls nötig zu einem einfachen Rollback auf Knopfdruck. Der Backupverkehr (eastwest) wird direkt in der Fabric geroutet und kontrolliert und entlastet die Firewall erheblich. Zudem konnten wir auch unsere neue Virtual Desktop  Infrastructure (VDI) sinnvoll und gesichert ins Netzwerk einbinden. Insgesamt haben wir mit dieser State of the Art-Lösung die Grundlagen geschaffen, unseren IT-Betrieb langfristig sicherzustellen. Wir sind bereit für automatisierte Konfigurationen. Wir sind ready für Multi Cloud-Umgebungen. Und wir sind gerüstet für einen allfälligen weiteren Ausbau.