SURFwired voor campusnetwerken door Edwin Verheul, Netwerk Engineer

1. SURFWIRED
Netwerkdag 20 juni 2023
Edwin Verheul

2. Onderwerpen
SURFwired
Beheermodel – gedeelde verantwoordelijkheid
Concept – SUNET CNAAS product, kant en klaar SW pakket
Referentie architectuur
Universal underlay
Voorbeelden overlay netwerken en varianten
Integratie SURFwireless en SURFfirewall
Stappenplan integratie
2

3. Schaalbaar SURFwired?
3
Vermijd repeterende
& tijdintensieve taken Standaardisatie
Kosteffectieve HW/SW Beheerlast niet lineair
Lokale kennis/remote
$
?

4. Operational model
(SURF)
SOURCE: SUNET
4
Lokale kennis/remote

5. NMS SUNET CNAAS
Samenwerking met SUNET (Zweedse SURF)
Jaren ervaring met verschillende universiteiten
CNaaS SW applicatie
Automation Engine
Firmware upgrade
Zero touch provisioning
Multivendor support
Open source
5
Vermijd repeterende
& tijdintensieve taken
Kosteffectieve HW/SW
$

6. Hoe werkt de applicatie?
Volledig geautomatiseerd
• Standaard config templates
• Instellingsspecifieke settings
“Golden” device template files
SURF gebruikt templates voor Juniper
SUNET gebruikt templates voor Arista
Vaste set parameters, flexibel in te
vullen
SURFwired deployment specifiek
(VLANs, VRFs, DHCP, NTP, subnets, etc)
API om te bevragen en naar te
schrijven
nodes, links, poorten configureren
en aanmaken

7. SURFwired management
SURFwired management instances in Azure
L3VPN Azure ExpressRoute onstluiting
Separate instance per Customer/location
SURFfirewall for management access to CNAAS
CNAAS instances deployed on K8 (Helmcharts)
Private IPv4 address space for network management
Beheerlast niet lineair

8. Architectuur
Universal underlay network
Highly standardized
Software for tenant functions defined in
EVPN/ERB/VRF
Core and distribution can be merged into 1 layer
Access
802.1x authenticatie
MAC authenticatie
RADIUS
Static toewijzing
8
Standaardisatie

9. Externe ontsluiting
Standaardisatie
Variant 1 basic internet vlan’s
Alleen Internet
SURFfirewall is voorzien
Variant 2 stretched VLAN’s naar thuis
instelling
Multiple VLAN’s stretched naar thuis
instelling
Variant 3 Multi-VLAN Single VRF
1 VRF voor een instelling
Meerdere VLAN mogelijk
Variant 4 Multi “functional VRFs”
Meerdere VRF’s voor
beveiligingsdoeleinden

10. Stappenplan implementatie SURFwired
Informatie uitwisselen
Fysiek (Locatie SER/plattegronden)
VRF’s, VLAN en IP plan
Ondersteunende infra
DDI
NAC
Integratie SURFfirewall – en/of wireless?
Verkenningsfase
Inschatting benodigde hardware
Indicatieve offerte
10
Uitwerking
Stappenplan migratietraject
Voorbereiding ondersteunende infra
Inplannen onderhouds window
Gebouw bekabeling
Definitief
PoC
Definitieve offerte
Hardware bestelling
Realisatie
Gebouwinstallatie
Installatie netwerk/AP
Operationeel

11. Vragen?
?

12. Externe ontsluiting
Variant 1 basic internet vlan’s
Alleen Internet
SURFfirewall is voorzien
Variant 2 stretched VLAN’s naar thuis
instelling
Multiple VLAN’s stretched naar thuis
instelling
Variant 3 Multi-VLAN Single VRF
1 VRF voor een instelling
Meerdere VLAN mogelijk
Variant 4 Multi “functional VRFs”
Meerdere VRF’s voor
beveiligingsdoeleinden
16
CORE &
DISTRIBUTION
ACCESS

13. Ontwikkelingen
Huidige access switches in beheer te nemen
Access poort configuratie via GUI in CNaaS
ZTP van distributie switches

14. Network based on Juniper HW
SURFnet8
core network
Campus
network

16. How to build a predictable, scalable campus
network with minimal effort?
• Use opensource software:
• CNaaS-NMS
• Zabbix
• Netbox
• Terraform
• Python
• Docker
• Kubernetes
• ELK
• Cert-manager
• SURF Orchestrator
• Reuse existing SURF (network)services:
• L2VPN
• L3VPN
• MSP
• SURFfirewall
• SURFwireless
• iotroam
• SURFconext
• eduroam
• Use public clouds:
• Managed Kubernetes
• Azure Functions
• Azure DNS
• Redundantie storage en databases
• Use campus network best practices:
• EVPN-VXLAN
• 802.1x en Mac Radius
• Clos architecture – access - dist - core
• Zero Touch Provisioning
• LACP

17. Applications stack automated: Terraform
• Terraform is een tool waarmee je voorspelbaar infrastructuren kunt
deployen
• Ansible on steroids, very much tailored for clouds en kubernetes
• Declaritive
• Integrates with Gitlab and CI/CD
pipelines

18. SURF’s Automation and Orchestration Architecture
Orchestrator Workflow Engine
Orchestrator
core
GraphQL Aggregator API
Network Dashboard API
API
CoreDB
JIRA
CRM
IMS
IPAM
CIM
Service
Domain
NSO
NFV Domain
AWX
Campus
Domain
CNaaS NMS
Technology
Domain
New NMS
Optical
Domain
Muse
SURFconext
Authentication &
Authorisation
Orchestrator-Core
client
SURF Network Dashboard
Opensource
New elements
Legend
SuPA (NSI
uPA)

19. Executing a change on the network
The are five basic steps to commiting a change to the network:
Update git repository and commit/push
Ask CNaaS to pull latest git repo change (refresh)
Do a dry_run to get a diff for all affected devices
Look through and verify diff outputs
If everything looks good, commit configuration to devices
Client facing interfaces on access switches can be changed in a web interface without
the need for using Git to make it easier for helpdesk/servicedesk/NOC etc to make
smaller changes.
23

20. Short Demo

21. Lessons learned (so far) …..
• Lastig alle partijen op een lijn te krijgen
• As-a-Service schept hoge verwachtingen
• Instellingen moeten zelf ook nog blijven nadenken ;)
• De techniek is niet super lastig, vooral veel integratie werk
• Het project zelf is een stuk lastiger aangezien veel partijen moeten
samenwerken en afspraken helder dienen te zijn
• Het heeft lang geduurd voordat SURF daar een werkbare en betekenisvolle
rol heeft kunnen spelen
• Steile learning curve met EVPN-VXLAN

22. … en hoe nu verder?
• Livegang Mindlabs 6 februari
• Vista college Maart en April 2023
• SURF kantoor (Utrecht)
• Business case (verder) opstellen
• Onderzoek doen naar hardware geschikt voor grotere topologien
• Ter voorbereiding op Vista 2.0
• Inholland
• Wanneer het een volledige dienst wordt, integraties uitbouwen naar
de Orchestrator en het SURF netwerk