Hochverfügbarkeit für die innere Sicherheit beim Bundesministerium für Inneres

Von der Alpinpolizei bis zum Zivilschutz fallen insgesamt 40 Aufgabenbereiche in die Zuständigkeit des österreichischen Bundesministerium für Inneres – kurz auch Innenministerium oder BM.I genannt. Um die Kommunikationsinfrastruktur der Behörde kümmert sich das Referat IV/8/b unter der Leitung von Reinhard Schwab, dem dort auch die Netzwerke und Leitzentralentechnik unterstehen.

Mit der Zusammenlegung der beiden Wachkörper Bundessicherheitswache und Bundesgendarmerie, im Jahr 2004 (TEAM04) galt es für das BM.I einerseits, diese Einheiten organisatorisch zu integrieren, andererseits mussten auch bislang separat geplante Netzwerke, Rechenzentren und Serverinfrastrukturen zusammengeführt werden. "Heute haben wir die verschiedenen Netzwerke zwar schon lange zusammen geschlossen, doch zwischenzeitlich sind sowohl im Netzwerk als auch in den Rechenzentren zahlreiche Komponenten in die Jahre gekommen", erläutert der Referatsleiter Reinhard Schwab. "Daher haben wir 2008 damit begonnen, über eine komplette Neuorganisation unserer zentralen IT-Landschaft für die rund 31.000 Personen der Sicherheitsverwaltung und Exekutive nachzudenken."

Mit Virtualisierung und iSCSI in die Zukunft

Ziel der Planungen war es zunächst, für die Rechenzentren der Polizei und der Sicherheitsverwaltung in acht Bundesländern sowie für zwei Standorte in Wien eine einheitliche Server- und Netzwerkarchitektur zu finden. Dazu plante das BM.I einen Großteil der Server mit Microsoft Hyper-V Server 2008 R2 zu virtualisieren, um so die Zahl der physikalischen Maschinen nochmals zu reduzieren. Zudem sollten neue NAS-Systeme an jedem Standort zentrale Speicherressourcen zur Verfügung stellen und über iSCSI kostengünstig mit den physikalischen und virtuellen Servern verbunden werden.

"Die moderne Betriebssystem- und Serverlandschaft sowie die Umstellung von Direct Attached Storage auf iSCSI hat natürlich auch Auswirkungen auf unser Netzwerk", erklärt der IT-Verantwortliche Schwab. "Daher mussten wir im Rahmen dieses Projekts auch unsere LAN-Infrastruktur überdenken, damit sie den neuen Anforderungen an Verfügbarkeit, Durchsatz, Stabilität und einfacher Administration weiterhin gerecht wird." Das Re-Design der Rechenzentrumsnetze bot dem BM.I zudem die Möglichkeit, die restlichen Altlasten aus der TEAM04 Zusammenlegung zu beseitigen sowie Komponenten, die am Ende ihres Lebenszyklus standen, durch moderne Geräte zu ersetzen.

Zuverlässiger Lieferant gesucht

Auf der Suche nach einem passenden Lieferanten für die neuen Netzwerkkomponenten definierte das BM.I zusammen mit dem langjährigen Systempartner NextiraOne zunächst die wichtigsten Auswahlkriterien. "Zu den entscheidenden Auswahlkriterien für Netzwerkkomponenten gehören für mich hohe Verfügbarkeit und Stabilität, Performance, Energieeffizienz sowie eine einfach Wartung und eine nutzerfreundliche Bedienung für das technische Personal", erklärt Reinhard Schwab. "Zudem wollten wir einen Lieferanten als Partner haben, der uns eine Perspektive für seine Produkte bietet. Dazu zählt vor allem, dass die Lebenszyklen der Produkte lang genug sind."

Nach der Evaluation unterschiedlicher Lösungen verschiedener Hersteller entschied sich das BM.I schließlich für die Netzwerkkomponenten von Extreme Networks. Neben den Vorzügen der Produkte kam dem Innenministerium auch zu Gute, dass für den Hersteller bereits ein Lieferantenvertrag bei der Bundesbeschaffung GmbH bestand, auf den das BM.I zugreifen konnte.

"Extreme Networks hat uns und das BM.I in vergangenen Projekten immer sehr flexibel mit seiner Sales- und Presales-Mannschaft unterstützt", ergänzt Martin Bitzinger, Key Account Manager bei NextiraOne in Wien. "Mit den Extreme-Produkten bekommt das BM.I ein einheitliches und stabiles Betriebssystem für alle Netzwerkkomponenten und kann zudem bereits vorhandenes Wissen der Techniker ohne Reibungsverluste mit den neuen Komponenten nutzen."

Moderne Architektur für die Rechenzentren

Die Basis jedes Landesrechenzentrums sind drei Serverschränke, von denen zwei jeweils zum Teil geclusterte und virtualisierte Anwendungsserver aufnehmen, während das dritte Rack den dazu passenden NAS-Servern Platz bietet. In den beiden Server-Racks befindet sich je ein Switch vom Typ Summit X450a-48T bzw. X480-48T, der 40 Gigabit-Ethernet-Ports für den Anschluss der Server bereitstellt. Der Uplink des Top-of-the-Rack-Switches erfolgt via mehrfacher Gigabit-Ethernet-Verbindung an einen zentralen BlackDiamond 8810, der das lokale Core eines Landesrechenzentrums bildet. Dieser Uplink lässt sich später bei Bedarf problemlos auf 10-Gigabit-Ethernet aufrüsten. Für größtmögliche Sicherheit und Verfügbarkeit sind alle Server zudem mit dem Top-of-Rack-Switch des Nachbarschranks verbunden. Beide Summit X450/X480 sowie der Black Diamond 8810 sind weiterhin über einen EAPS-Ring miteinander gekoppelt. Dies garantiert dem BM.I Umschaltzeiten von unter 50 Millisekunden im Fehlerfall.

Die Anbindung der Server an die NAS-Systeme erfolgt per iSCSI über 10-Gigabit-Ethernet. Dazu steht in jedem Server-Rack ein Summit X650a-24x-Switch mit redundanten Netzteilen bereit. Zusätzlich sind die Summit X650 über den BlackDiamond-8810-Core-Switch erreichbar, an den auch die Aggregation-Switches des jeweils am Rechenzentrum gelegenen Polizeistandorts angeschlossen sind. Dritter Switch im Server-Rack ist schließlich ein Summit X150, der mit den Management-Ports der Server verbunden ist und somit den Aufbau eines separaten Managementnetzes ermöglicht. "Durch redundante Verbindungen und den EAPS-Ring erreichen wir eine maximale Ausfallsicherheit bei den Netzwerkkomponenten", erklärt Referatsleiter Schwab stolz. "Dasselbe gilt für die iSCSI-Switches, denn auch hier wäre ein ungeplanter Verbindungsabbruch nicht zu verantworten."

Um komplett auf Nummer sicher zu gehen, ließ das BM.I noch ein abschließendes Audit der Netzwerkarchitektur durch die Extreme Networks Professional Services durchführen. Die Netzwerkprofis prüften dabei das neue Design auf Herz und Nieren, bevor sie dessen Praxistauglichkeit bestätigten.

Pilotprojekt in Wien

Bevor die neue Netzwerkarchitektur in allen Landesrechenzentren zum Einsatz kommt, wurde sie zunächst an einem zentralen Standort in Wien ausgiebig getestet. Im Unterschied zu den acht Landesrechenzentren kommen dort sogar mehrere BlackDiamond-8810 Core-Switches zum Einsatz. "Normalerweise hakt und klemmt es bei Projekten dieser Größenordnung immer irgendwo", resümiert Reinhard Schwab. "Aber in unserem Pilotprojekt hat die neue Architektur mit den Komponenten von Extreme Networks auf Anhieb alle unsere Erwartungen erfüllt und läuft absolut einwandfrei. Wir sind sehr zufrieden und sehen der Inbetriebnahme der neuen Landesrechenzentren jetzt sehr entspannt entgegen." Im Anschluss an das erfolgreiche Pilotprojekt begann das BM.I mit dem Aufbau der neuen Infrastruktur in den Rechenzentren der Bundesländer. Diese werden seit April 2010 sukzessive in Betrieb genommen.

Homogenes Netzwerk vereinfacht Administration

Die neuen Rechenzentrumsnetze mit den Komponenten von Extreme Networks erleichtern, durch die Homogenisierung der Switches, auch den Administratoren die täglichen Arbeiten und das Monitoring. Beispielsweise lassen sich durchgängige Policies für Quality-of-Service bei der IP-Telefonie einfach per Mausklick über die grafische Benutzeroberfläche von EPICenter umsetzen. So kommen auch von Technikern des BM.I durch die Bank lobende Worte, was die Benutzeroberfläche des Managementwerkzeugs EPICenter sowie die Kommandozeile von ExtremeXOS betrifft.

Insgesamt ist Reinhard Schwab mit seiner Entscheidung für Extreme Networks sehr zufrieden. Bei der Berechnung eines Return of Investment für dieses Großprojekt tut er sich jedoch etwas schwer: "Wir produzieren keine Produkte, sondern Sicherheit für die Bürger Österreichs. Da lässt sich ein ROI naturgemäß schwer beziffern. Für mich zählt vor allem, dass wir uns auf unser Netzwerk und unsere Partner jederzeit voll verlassen können. Denn nur so können wir unseren Auftrag auf dem hohen Niveau erfüllen, das unsere Bürger zu Recht von uns erwarten."