Anschlussvorschriften NUZ

Allgemeines

IT-Systeme, welche an das Netzwerk der Universität Zürich (NUZ) angeschlossen werden, müssen bestimmte Anforderungen erfüllen. Als IT-System gilt jedes System mit einer Netzwerk-Schnittstelle (drahtgebunden und drahtlos), wie z.B. Personal Computer, Notebooks, Server, Tablets, Smartphones, IP-Telefone, WLAN-Sender, Webcams, Grossgeräte, Steuer- und Leitrechner, Sensoren, Aktoren, Controller, Zutrittssysteme usw.

Verkabelung

Bei neuen Installationen müssen Patchkabel der Kategorie 6A eingesetzt werden. Die Kabel müssen qualitativ gut verarbeitet sein. Die Kabel dürfen weder geknickt noch sonstwie beschädigt sein. Die Stecker müssen unbeschädigt sein.
In der Regel wird das IP-Telefon an die UKV-Steckdose an der Wand und der Computer an der freien Buchse des Telefons angeschlossen. Weitere Computer und Drucker werden direkt an der UKV-Steckdose an der Wand angeschlossen.

Die Gruppe Netzwerk der Zentralen Informatik empfiehlt den Einsatz von Mini-Switches nicht mehr, denn diese stehen einer allfälligen Einführung einer Authentisierung für den Netzwerk-Zugang (Network Access Control - NAC) unter Umständen im Weg.

Wo vorhanden, sollen freie UKV-Anschlüsse und Ethernet-Anschlüssen an den IP-Telefonapparaten benutzt werden. In den anderen Fällen sind beim Bedarfsmanagement Infrastruktur zusätzliche UKV-Anschlüsse zu beantragen.

Ethernet & Wireless LAN

Das NUZ ist ein Netzwerk, das auf Ethernet (IEEE 802.3) basiert. Die anzuschliessenden Geräte müssen also standardisiertes Ethernet verwenden. Es gibt dabei viele Substandards, welche in Einzelfällen eine Rolle spielen. Der typische Ethernet-Anschluss des NUZ unterstützt die Varianten 1000BASE-T, 100Base-T und 10Base-T. Die Auswahl erfolgt im Autosensing-Verfahren, das das anzuschliessende System beherrschen muss.
Auch die drahtlose Verbindung (WLAN - Wireless LAN) funktioniert mit Ethernet. Hier gelangen hingegen andere Substandards zum Einsatz. Die heutige Minimalvariante ist 802.11g. Aktuell ist der Standrad 802.11n. Der kommende Standard heisst 802.11ac. Im NUZ werden je nach Standort mindestens 802.11g, meistens 802.11n und bei bestimmten neuen Installationen 802.11ac angeboten. Beim Kauf von Systemen mit einer Lebensdauer von mehreren Jahren empfiehlt es sich, darauf zu achten, dass sie zukunftsorientiert 802.11ac unterstützen.

Power over Ethernet (PoE)

Bei bestimmten Gerätetypen hat sich die Energieversorgung direkt über die Netzwerkverbindung statt über ein unhandliches und weniger energieeffizientes Steckernetzteil durchgesetzt. Dazu gehören IP-Telefone, WLAN-Sender, Webcams und Spezialgeräte aus der Gebäudetechnik.
Im NUZ ist die PoE-Speisung grundsätzlich Geräten vorbehalten, welche durch die ZI oder im Rahmen der Gebäudetechnik betrieben werden. Falsch funktionierende PoE-Geräte können zu Betriebsstörungen führen. In besonderen Fällen können für geeignete Geräte Ausnahmen bewilligt werden.
Es dürfen in jedem Fall nur PoE-Geräte angeschlossen werden, welche das Protokoll LLDP-MED so gut unterstützen, dass der Typ und Energieverbrauch des Geräts auf dem Ethernet-Switch des NUZ angezeigt werden, und dass das Power-Management zwischen Gerät und Switch reibungslos funktioniert.
Vgl. auch zusätzliche Informationen zu PoE an der UZH.

IP

Das NUZ wird mit Internet-Technologie betrieben. Deshalb ist das grundlegende Netzwerkprotokoll im NUZ IP (Internet Protocol). Darüber laufen die Protokolle TCP oder UDP.
Ein System muss diese Protokollfamilie korrekt unterstützen. Die Vorschriften sind in unzähligen RFCs (Request for Comments), die über das WWW frei zugänglich sind, definiert. Selbstverständlich müssen nicht alle diese RFCs unterstützt werden. Pro Gebiet gibt es immer einige massgebende.
Das System muss die manuelle und die automatische Adressierung für IPv4 (aktuelle IP-Protokollversion) unterstützen. Die automatische Adressierung funktioniert mit dem Protokoll DHCP (Dynamic Host Configuration Protocol). Bei der manuellen Adressierung müssen folgende Werte gesetzt werden können: Adresse, Netzmaske, Adresse des Default-Routers, Adresse von min. zwei Nameservern, Default-Domain und optional Adresse eines oder mehrerer Zeitserver (NTP).
Die UZH unterstützt zur Zeit die neue IP-Protokollversion IPv6 noch nicht. Längerfristig wird aber ein Wechsel zu dieser Version stattfinden, weshalb bei der Beschaffung langfristig einzusetzender Systeme darauf zu achten ist, dass sie künftig mit IPv6 betrieben werden können.

Sicherheit

Alle ans NUZ angeschlossenen Systeme unterliegen den Sicherheitsvorschriften der UZH.
Die Verbindungsaufnahme zum Ethernet kann ebenfalls abgesichert sein. Am drahtgebundenen Netz ist dies an der UZH zur Zeit nicht der Fall. Am drahtlosen Netz (WLAN) hingegen ist dies erforderlich. Der WLAN-CLient muss den Authentifizierungs-Mechanismus WPA2-Enterprise (manchmal auch als WPA2-1x, WPA2-802.1x oder IEEE 802.1x bezeichnet) unterstützen, der die Verwendung individueller Benutzernamen und Passwörter ermöglicht. Die dabei zu verwendenden Authentifizierungsprotokolle sind EAPoL (EAP over LAN), PEAP oder MSCHAPv2.
Anschlüsse von nicht regelkonformen Systemen, die Netzprobleme verursachen, können jederzeit ohne Ankündigung deaktiviert werden.

Remote Access

Der zentrale Remote Access-Gateway arbeitet mit mehreren VPN-Protokollen (Virtual Private Network). Unterstützt wird u.a. das Protokoll IPsec mit dem Schlüsselmanagement-Protokoll IKEv1. Die meisten in die Betriebssysteme der zu verbindenden Systeme integrierten VPN-Clients unterstützen IPsec/IKEv1. Zusätzlich wird noch der herstellereigene Client «Cisco AnyConnect» angeboten, der direkt vom Remote Access-Gateway heruntergeladen und installiert wird. Dieser Client nutzt eine Verbindung über das Protokoll SSL.