Slim Fabric-to-the-Edge-netwerk zorgt voor meer efficiëntie en minder risico

Sporveien AS is veruit de grootste en bekendste aanbieder van openbaar vervoer in heel Noorwegen, met ongeveer 3.300 medewerkers, 217 miljoen enkele reizen in 2022 en een omzet van 5 miljard Noorse kroon (ongeveer 430 miljoen euro). Het bedrijf is volledig eigendom van de gemeente Oslo, en is verantwoordelijk voor het onderhoud, beheer en de ontwikkeling van de volledige infrastructuur van de metro en trams in de regio Groot-Oslo, maar ook voor een groot deel van het busverkeer in het zuiden en midden van het land. De infrastructuur omvat rails, vijf metrolijnen, stations, tunnels, signaleringssystemen en andere eigendommen, evenals het onderhoud van trams en metro's.

Sporveien AS blijft trouw aan zijn visie en missie, namelijk waarde leveren door zoveel mogelijk tevreden passagiers te vervoeren – snel, veilig en tegen de laagst mogelijke kosten voor de maatschappij en het milieu. Het bedrijf heeft zich voortdurend ontwikkeld en aangepast aan de groeiende behoeften van lokale gemeenschappen. De afgelopen tien jaar heeft Sporveien AS twee strategieperiodes gebruikt om de dienstverlening efficiënter uit te voeren: ‘Best 2015’ en ‘Best 2020’. Dit resulteerde in een kwalitatievere dienstverlening en operationele besparingen van meer dan 100 miljoen euro per jaar, vergeleken met 2011.

Sporveien AS heeft besloten tot het uitvoeren van een uitgebreide, end-to-end modernisering van de netwerkinfrastructuur, die startte in 2021. Het doel: lagere kosten, meer inkomsten en een beter systeem voor openbaar vervoer in het algemeen. De reikwijdte van het project omvatte alles van de netwerkkern met firewall tot de netwerkrand voor alle 43 locaties van het bedrijf. Het hoofddoel? Een flexibele, kostenefficiënte, veerkrachtige en veilige basis die voorziet in de huidige en toekomstige behoeften van het bedrijf.

Vroeger vertrouwde het IT-team van Sporveien op een traditioneel netwerk dat rond VLAN's was gebouwd. Naarmate de tijd verstreek en de IT-omgeving van het bedrijf steeds complexer werd, werden de beperkingen van de bestaande oplossing steeds duidelijker. Die beperkingen waren het resultaat van de rigide en geavanceerde architectuur. Het implementeren van nieuwe services vereiste bijvoorbeeld elke keer liefst 100 netwerkswitches. Dat slokte niet alleen het IT-budget en de IT-middelen op, maar zorgde ook voor een aanzienlijk risico op menselijke fouten, met als gevolg potentiële uitval van het netwerk. Het gebruik van IP-adressering vormde ook een bedreiging op het gebied van security.

Meer veiligheid en veerkracht kan daarentegen een negatieve invloed hebben op de eenvoud en wendbaarheid van het netwerk. En op zijn beurt kan dat de operationele kosten opdrijven. Het IT-team van Sporveien begreep dat ze een compleet nieuwe aanpak nodig hadden om deze vicieuze cirkel te doorbreken. Het werd duidelijk dat een nieuw netwerk gebaseerd op het Shortest Path Bridging (SPB) protocol IEEE 802.1aq perfect zou passen. Vooral gezien de redundantie in een veeleisende fysieke infrastructuur met veel bekabeling, met daarbovenop ook onafhankelijke services (I-SID's).

Tijdens de aanbesteding stelden enkele kandidaten de toonaangevende SPB-technologie Extreme Fabric Connect voor als basis voor de nieuwe oplossing. Aanvankelijk overwoog het bedrijf een vrij traditionele aanpak met Fabric-switches in de kern en EXOS-switches aan de netwerkrand. Uiteindelijk kwam Netsecurity, een van de toonaangevende leveranciers van diensten en oplossingen op het gebied van IT-security en infrastructuur in Noorwegen, met een veel elegantere en alomvattende oplossing.

“Na een zorgvuldige studie van de behoeften en uitdagingen van Sporveien vroegen we ons af: ‘Waarom zouden we de eenvoud van fabric-netwerken niet kunnen uitbreiden naar al die productie- en onderhoudslocaties zoals werkplaatsen of centra voor verkeerscontrole?’ Samen met de klant besloten we de nieuwe oplossing te baseren op Extreme Fabric Connect, voor het gewenste niveau van kostenefficiëntie, redundantie en beveiliging, van de netwerkkern tot aan de access switches en wifi”, zegt Frode Slangsvold, Senior Network Security Engineer bij Netsecurity. Hij heeft meer dan tien jaar ervaring met de fabric-oplossing van Extreme.

“We wilden het niet te ingewikkeld maken. Want als je het ingewikkeld maakt, werkt het na een tijdje niet meer en krijg je uiteindelijk een ingewikkeld netwerk. Het is vrij eenvoudig om het netwerk complexer te maken, maar het elimineren van die complexiteit was voor ons van cruciaal belang voor vrijwel alles: beheren, bedienen, troubleshooting, en implementeren van services”, voegt netwerkmanager Gunnar Gulberg van Sporveien AS toe.

Gezien de aard van de activiteiten van Sporveien en diens sleutelrol in het functioneren van de gemeente en haar burgers, kon de behoefte aan operationele efficiëntie en kostenbesparingen niet duidelijker zijn. Het bedrijf heeft namelijk een groot aantal geografisch verspreide locaties, allemaal verbonden met het productienetwerk, en last but not least een enorme hoeveelheid dagelijks werk rond de transportinfrastructuur. En dat is waar het eerste grote voordeel van het nieuwe SPB-netwerk naar voren komt.

Nu de Extreme Fabric Connect-oplossing is geïmplementeerd, profiteert het IT-team van Sporveien van veel snellere en eenvoudigere onboarding van nieuwe apparatuur, applicaties, services en gebruikers. De basis van deze automatisering ligt in de auto-sense-poorten.

Fabric edge-switches van Extreme ondersteunen een volledige ‘zero-touch’-implementatie. Dat betekent dat bij het implementeren van switches, alle poorten standaard auto-sense enabled zijn; ze zijn dus gewoon actief. Vervolgens creëren de switches een onboarding I-SID, waardoor alles wat verbinding maakt met deze infrastructuur, inclusief andere SPB-nodes of clientapparaten, automatisch kan worden geonboard naar de infrastructuur voor netwerkbeheer. Deze service wordt standaard aangemaakt.

Wat betekent dit in de praktijk? Ten eerste is het niet nodig om voor elke netwerkwijziging een hooggekwalificeerde netwerkingenieur naar de locatie te sturen.

“Voor ons productienetwerk komt het goed van pas, vooral als de medewerkers nachtdiensten draaien. Netwerkingenieurs hoeven er niet te zijn, ze kunnen elektriciens vragen om gewoon een switch aan te sluiten en zodra ze de volgende ochtend op hun werk verschijnen, is deze er al en werkt als een tierelier. Ons netwerkteam bestaat uit slechts twee mensen, dus als er iets zou gebeuren terwijl we niet beschikbaar zijn, kan in principe iedereen op kantoor naar de locatie rijden, het apparaat vervangen en is het binnen enkele minuten weer operationeel”, zegt Gunnar Gulberg.

Wat voor Sporveien ook cruciaal is, is dat de nieuwe netwerkoplossing niet alleen verplaatsingen, toevoegingen en wijzigingen aanzienlijk vereenvoudigt. Hij maakt het ook gemakkelijker om bestaande, traditionele netwerken via fabric te verbinden of het fabric-netwerk uit te breiden naar locaties van derden, via elk type connectiviteit of netwerktopologie.

“Een partner van ons, een busbedrijf met veel locaties verspreid over heel Oslo, had toegang tot internet nodig, maar was nog niet aangesloten op ons netwerk. Eerder hadden we dat niet kunnen regelen, althans niet zonder enorm veel werk. Nu kunnen we dezelfde service leveren als hier op kantoor of waar dan ook in het netwerk, en kan dat vrijwel onmiddellijk in plaats van dat het drie weken duurt”, zegt Gunnar Gulberg.

“In feite, hebben we de native fabric-services uitgebreid naar de locaties van de partner via een privé IP VPN-verbinding met behulp van VXLAN-tunnels, van de edge naar de firewall, met dezelfde voordelen op het gebeid van automatisering en security als op de locaties van Sporveien. Dankzij de onmiddellijke onboarding konden hun apparaten automatisch aan de fabric worden gekoppeld en worden voorzien van nieuwe services. Het allerbelangrijkste is dat dit kan met slechts een paar klikken, omdat het fabric to the edge is, zelfs over Laag 3-verbindingen. Met de bestaande oplossing zou dat allemaal veel werk vergen op het gebied van routering, IPsec enzovoort”, legt Frode Slangsvold uit.

Elk systeem is slechts zo goed als hoe betrouwbaar het is. Deze universele waarheid geldt zowel voor het openbaar vervoer als voor IT-netwerken. In het geval van het moderniseringsproject voor Sporveien was het van cruciaal belang om te zorgen voor meer veerkracht en redundantie van kritieke netwerkinfrastructuur, om zo de downtime te verminderen.

Voorheen was het bedrijf afhankelijk van routeringsprotocollen met spanning tree en switchclustering, waardoor een zekere mate van redundantie kon worden bereikt, zij het slechts in de centrale delen van de stad. Tegenwoordig is er in de gehele infrastructuur aanzienlijk minder risico op netwerkuitval als gevolg van de integratie van apparatuur.

“Met de nieuwe oplossing is het niet meer gevaarlijk om het netwerk van Sporveien te automatiseren, omdat je alleen maar aan de edge werkt. Het automatische proces voor het onboarden van switches zorgt er ook voor dat er geen loops ontstaan, en dat komt door de Fabric Connect-oplossing in de backbone. Hierdoor hoeft het bedrijf zich geen zorgen te maken over loops of menselijke fouten”, zegt Frode Slangsvold.

Aan het verbeteren van netwerkredundantie zit vaak wel een bepaalde prijs – of het nu gaat om werkelijke kosten of een hoger niveau van complexiteit (wat zich weer vertaalt in extra kosten). Traditioneel zouden bedrijven en organisaties zichzelf de vraag moeten stellen: ‘hoe ver zijn we werkelijk bereid te gaan om echt redundant te zijn?’. Zo niet in het geval van Sporveien. Bijkomend voordeel van de introductie van de nieuwe fabric-oplossing was namelijk dat Sporveien hun bestaande glasvezelverbindingen effectiever kon gebruiken voor redundantie, waardoor het rendement op die specifieke investering toenam. Dankzij de plug-and-play functionaliteit is vrijwel alles redundant, zelfs aan de netwerkrand.

“De Shortest Path Bridging-technologie maakt het een stuk eenvoudiger om redundantie op te bouwen in uitdagende fysieke omgevingen zoals die bij Sporveien, zonder het onderhoud en beheer moeilijker te maken. Tegenwoordig geniet de klant van zowel een eenvoudig netwerk als redundantie voor kritieke diensten. Dit is fabric-netwerken op zijn best”, voegt Frode Slangsvold toe.

De bespaarde tijd kan worden gebruikt om te focussen op meer strategische taken en om verdere innovaties op IT-gebied te introduceren. Maar wat misschien nog belangrijker is: het vertaalt zich in tastbare efficiëntieverbeteringen die Sporveien geld, middelen en reputatieverlies besparen.

“Vroeger had je langere downtime. En als sommige van onze kritieke locaties 's ochtends hun werk niet zouden kunnen doen, zoals de locaties die verantwoordelijk zijn voor het beheer van de metro- of tramsystemen, zou dat leiden tot veel vertragingen in het verkeer. Dat zou weer resulteren in boetes die onze organisatie normaal gesproken zou moeten betalen. Dit betekent dus dat er overal besparingen mogelijk zijn”, voegt Gunnar Gulberg toe.

Zoals bij vrijwel elk bedrijf in openbaar vervoer, is netwerksecurity uiteraard topprioriteit voor Gunnar Gulberg en zijn collega's van het IT-team. De geïmplementeerde oplossing voorziet op een interessante manier in deze behoefte. Allereerst: de logische segmentatie in afzonderlijke netwerken voor netwerkbeheer, beheer en technische taken voor transportleiders zoals het toezicht houden op het verkeer, het controleren van alle treinen enzovoort.

“Het is niet mogelijk om vanuit de beheerlaag van deze fabric de servicelagen van het netwerk te bereiken. Je kunt verbinding maken met welke poort je maar wilt, maar vanwege de manier waarop de fabric is opgebouwd, bereik je nooit het management. Dat is op zichzelf al een belangrijke prestatie op het gebied van security”, zegt Frode Slangsvold.

Wat dit specifieke geval nog interessanter maakt, is dat Netsecurity dit fabric-netwerk feitelijk alleen op laag 2 heeft gebouwd. Dit betekent dat er geen VLAN's en geen IP-adressen zijn die potentiële aanvallers kunnen misbruiken om toegang te krijgen tot het netwerk van Sporveien.

Eén van de dingen die de klant ook wilde introduceren, was netwerktoegangscontrole, die nu ongeveer 98% van alle poorten in het netwerk bestrijkt. De geïmplementeerde ExtremeControl-oplossing biedt Sporveien gecentraliseerde, diepgaande controle over alle eindpunten in hun netwerk. De mogelijkheid voor het gericht lokaliseren, authenticeren en toepassen van beleid op gebruikers en apparaten, is van cruciaal belang geweest voor het verder verbeteren van de netwerksecurity van Sporveien.

Het heroverwegen van het draadloze deel van de infrastructuur was één van de topprioriteiten bij de netwerkmodernisering van Sporveien. Zo werd een mobiele en flexibele werkomgeving mogelijk gemaakt. Gunnar Gulberg en zijn collega's wilden niet dat wifi alleen maar zou dienen als primaire toegangsmethode voor medewerkers; het beoogde doel zou veel verder gaan dan dat.

“Op basisniveau wilden we naadloze connectiviteit in elke hoek van elk kantoor, voor alle medewerkers. We wilden het draadloze netwerk ook uitbreiden tot de grote onderhoudsgebieden van de wagons. Bovendien gebruiken we het moment waarop een tram stopt op een van de stations voor het verzamelen van data voor de transportleiders. We hadden dus een goede dekking en capaciteit nodig in een aantal nogal uitdagende omgevingen, zowel binnen als buiten”, zegt Gunnar Gulberg.

Om die visie te ondersteunen, heeft Netsecurity meer dan 600 Wi-Fi 6-access points van Extreme uitgerold. De nieuwe draadloze infrastructuur is opnieuw ontworpen op een manier die de mogelijkheden van de apparaten maximaliseert. Hier is cruciaal dat de eerste softwaregedefinieerde 802.11ax-access points in de sector niet alleen een dubbele 5 GHz-capaciteit ondersteunen, maar ook twee softwareprogrammeerbare modi. Daardoor kan het IT-team van Sporveien radio's optimaal beheren voor het hoogste niveau van clientprestaties. Dat alles kan met de implementatie van de ExtremeCloud IQ-beheerplatformsuite heel eenvoudig worden gedaan, zowel lokaal als in de cloud.

In een IT-omgeving die net zo groot en complex is als die van Sporveien, kan gecentraliseerd en uniform netwerkbeheer het IT-team aanzienlijk helpen met efficiënter werken en voldoen aan de toenemende zakelijke eisen.

Daartoe besloot Sporveien tot het implementeren van ExtremeCloud IQ – Site Engine, een end-to-end netwerkbeheerplatform met taakautomatisering, realtime analyse, servicegarantie en orkestratie – allemaal vanuit een eenvoudig, flexibel en intuïtief dashboard waarmee je het hele netwerk en alle netwerkapparaten kunt bekijken, zonder dat je meerdere applicaties hoeft samen te voegen.

Ten slotte gaf de implementatie van de ExtremeAnalytics-oplossing Sporveien een gecentraliseerd, alomvattend inzicht in alle gebruikersapplicaties die draaien in hun netwerk, en hoe deze presteren in vergelijking met de algehele netwerkprestaties. Dit helpt de netwerkoperatoren precies te bepalen welke applicatie troubleshooting vereist, en of er überhaupt een interventie nodig is.

“We horen mensen soms klagen over een trage netwerkverbinding, terwijl het in werkelijkheid niet zozeer ligt aan netwerk, maar aan de applicatie. Vroeger kostte het ons veel tijd om de onschuld van het netwerk te bewijzen, maar nu kunnen we even een kijkje nemen in ExtremeAnalytics en zien we dat er een applicatie is die traag of helemaal niet reageert. We tasten niet langer in het duister en kunnen problemen op deze manier veel sneller oplossen”, besluit Gunnar Gulberg.

Netsecurity is een Noors bedrijf dat diensten levert vanuit Noorwegen en Zweden. Het bedrijf heeft momenteel ongeveer 150 mensen in dienst, met kantoren in Oslo, Kristiansand, Grimstad, Stavanger, Bergen en Stockholm.

Netsecurity biedt al tientallen jaren expertise, oplossingen en innovatieve diensten op het gebied van IT-security op de Noorse markt. Het bedrijf helpt andere bedrijven met het detecteren en stoppen van aanvallen, en zowel de gevolgen als de kosten te minimaliseren. Tot de experts van Netsecurity behoren strategische adviseurs, beveiligingsconsultants, productspecialisten, penetratietesters en ethische hackers. De expertise en diensten van het bedrijf dragen ertoe bij dat klanten beter voorbereid en beschermd zijn tegen ernstige aanvallen van buitenaf.

Netsecurity betrekt IT-security bij alles wat ze doen, van pure securitydiensten tot het nadenken over security bij andere IT-diensten . Daarmee borgt het bedrijf de security in de gehele waardeketen voor klanten. De IT-experts van Netsecurity zijn 24/7 - 365 dagen per jaar beschikbaar.

In het voorjaar van 2023 fuseerden Netsecurity en Data Equipment tot een van de grootste Noorse bedrijven in IT-security. Data Equipment werd opgericht in 1983 en levert, net als Netsecurity, vanaf het allereerste begin geavanceerde expertise en diensten gedurende het hele digitale klanttraject.