cnt
Vernetzte Wasserversorgung
Quelle: E-Quadrat

Vernetzte Wasserversorgung

Der Rapperswiler IT-Dienstleister E-Quadrat betreut die gesamte IT-Infrastruktur der örtlichen Wasserversorgung. Dazu gehört auch ein mit VLANs segmentiertes Netzwerk.

Artikel erschienen in Swiss IT Magazine 2013/06

     

Die Einwohner von ganz Rapperswil-Jona mit genügend Trink-, Brauch- und Löschwasser in bester Qualität zu beliefern», so beschreibt die Wasserversorgung Rapperswil-Jona (WVRJ) ihre Aufgabe. Dazu arbeite man mit kompetenten Partnerfirmen aus Rapperswil-Jona zusammen, auf die man sich verlassen könne, heisst es weiter. Eine dieser Partnerfirmen ist das Rapperswiler Unternehmen E-Quadrat, das für die WVRJ die Informatik-Infrastruktur betreibt, und das bereits seit über zehn Jahren.
Angefangen habe das Projekt ganz klein, mit einzelnen Arbeitsplätzen und einem Server, erzählt Jürg Stocker, Geschäftsleiter und Inhaber von E-Quadrat. Heute allerdings ist der Auftrag um einiges umfassender. Inzwischen werden sogar sämtliche Pump- , Reservoir- und Steuerstationen, die auf dem ganzen Gemeindegebiet und den angrenzenden Gemeinden verteilt zu finden sind, mittels EDV-Systeme überwacht, und seit zwei Jahren sei man gar daran, die einzelnen Pumpstationen mit Glasfasern zu erschliessen. «Inzwischen sind rund 20 Stationen in einem Glasfasernetz verbunden, und auf einige wenige Stationen wird noch via DSL zugegriffen», erklärt Stocker.

Vier Segmente via VLAN


Dieses Netz, das die Wasserversorgungsanlagen verbindet, ist im Wesentlichen in vier Segmente aufgeteilt. Das erste Segment umfasst die gesamte Steuerung, der Wasserversorgung inklusive Online-Trinkwasserqualitätsüberwachung sowie die Alarmierung mit Informationen beispielsweise darüber, ob eine Schleuse geöffnet oder geschlossen ist. Diese Daten fliessen zu einem Server in der Zentrale der WVRJ. Weiter sind die Grundwasserpumpwerke und Reservoirs video­überwacht, und diese Videodaten, welche ebenfalls auf Servern in der Zentrale abgelegt werden, bilden das zweite Segment des Netzwerks. Das dritte Segment umfasst Wetterinformationen, wo Messdaten zur Luftfeuchtigkeit, Temperatur oder zum Wind überliefert werden. Und das vierte Segment schliesslich beinhaltet das Administrationsnetz. «Die Segmentierung in diese vier Bereiche haben wir mittels VLAN – also mittels virtuellem LAN – umgesetzt.»
Ein virtuelles LAN ist im Prinzip eine virtuelle Trennung eines einzelnen Netzwerk-
kabels in mehrere separate Netzwerke. Mittels VLAN schafft man also die Möglichkeit, über ein Kabel logisch mehrere Netzwerke zu verbinden. Die Trennung in die virtuellen Netzwerke passiert auf dem Switch, allerdings müssen sämtliche Komponenten im Netzwerk VLAN-fähig sein.

Gemäss Stocker hatte die Segmentierung des Netzwerkes bei diesem Projekt mehrere Gründe: «Zum einen geht es um Priorisierung. Die Steuerung der Stationen hat in diesem Projekt die höchste Priorität, und gäbe es zum Beispiel ein Bandbreitenproblem, würde die Videoüberwachung zu Gunsten der Steuerung deaktiviert.» Zum anderen gehe es aber auch um Sicherheit beziehungsweise um Zugriffsrechte. «Verschiedene externe Partner benötigen Zugriff auf das Netz. Als Beispiel benötigt die Firma, die für Video-überwachung zuständig ist, Zugriff auf das Videonetz. Dank dem VLAN können wir dieser Firma Zugriff auf ihr System geben, und dabei sicher sein, dass sie nur auf dieses System zugreifen kann.» So könne man den Zugriff sehr genau steuern und Risiken ausschliessen.


Vorteile überwiegen
Die Vorteile einer VLAN-Infrastruktur sind laut Stocker vielfältig. «An erster Stelle stehen natürlich die Kosten. Wollten wir dieselbe Funktionalität mit physischen Netzwerken erreichen, hätten wir anstelle von einem vier getrennte Netzwerke ziehen müssen, was natürlich wesentlich teurer geworden wäre.» So aber kann E-Quadrat mit nur einem physischen Netz vier voneinander völlig unabhängige Netze betreiben. «Fällt eines der Teilnetze beispielsweise wegen einer Fehlkonfiguration aus, sind die anderen Segmente nicht betroffen. Ausserdem haben wir durch die Trennung die Möglichkeit, verschiedene Funktionalitäten auf den einzelnen, virtuellen Netzen umzusetzen und sie individuell zu konfigurieren.»
Auf die Nachteile eines VLAN angesprochen nennt Stocker den höheren Konfigurationsaufwand gegenüber einem einfachen Netz, das nicht virtualisiert ist. «Dieser Mehraufwand ist allerdings überschaubar. Ich würde ihn auf maximal 30 Prozent beziffern.» Ein grösseres Augenmerk müsse man ausserdem auf die Dokumentation des Netzwerks legen. «Bei einem einfachen Netz ist die Sache relativ simpel – hier können Sie Netzwerkkabel einfach an den freien Ports einstöpseln. In einer VLAN-Umgebung muss man aber genau wissen, an welchem Port welche Funktion beziehungsweise welches Netzwerksegment hängt. Hier den Überblick zu behalten, ist eine Herausforderung», weiss der E-Quadrat-Chef. Ein weiterer nachteiliger Faktor seien schliesslich die leicht höheren Anschaffungskosten für die VLAN-fähige Hardware. In einer VLAN-Umgebung müssen alle aktiven Netzwerkkomponenten – also Firewall, Switches, Gateways, Access Points – VLAN-kompatibel sein. Auf die Endgeräte trifft dies derweil nicht zu.

Gegenüber einem segmentierten Netzwerk, das aus mehreren physischen Netzen besteht, liegt der wesentliche Nachteil darin, dass bei einem Hardware-Defekt oder bei einem gekappten Kabel alle virtuellen Netzwerke betroffen sind und entsprechend in die Knie gehen. «Natürlich gäbe es hier Massnahmen. Man könnte die Switches und die Leitungen redundant auslegen», erklärt Stocker. In diesem Projekt habe man auf einen Glasfaserring gesetzt, der diesen Nachteil aber wettmacht. Eine weitere Möglichkeit besteht darin, das Netzwerk redundant aufzubauen. «Redundanz hat aber zur Folge, dass sich die Kosten mehr als verdoppeln. Zusätzlich zur doppelten Ausführung der gesamten Infrastruktur kommen nämlich die Konfiguration und das Testing. Beides ist in einem redundanten Netz nochmals um eine Stufe komplexer.» Würde nun bei der WVRJ das Netz ausfallen, wird Alarm gemeldet, und die Serviceleute der Wasserversorgung haben die Möglichkeit, die Stationen auch lokal von Hand zu regeln. Zudem werden sämtliche Zustandsinformationen der Wasserversorgungsanlagen vor Ort zusätzlich in der Steuerung gesichert.
Für den Fall, dass die zentrale Firewall – das Herzstück des Netzwerks (siehe Kasten) – ausfallen würde, hat E-Quadrat vorgesorgt. «Zum einen ist das Konfigurations-File der Firewall mehrfach gesichert. Zum andere haben wir bei uns ein identisch konfiguriertes Ersatzgerät, das wir innert maximal 30 Minuten auswechseln könnten.»

Vielfältige Einsatzmöglichkeiten


Grundsätzlich überwiegen die Vorteile, die ein VLAN mit sich bringt, ganz klar. Ein Beispiel ist die Erweiterbarkeit. Aktuell arbeite man daran, eine elektronische Schliessanlage zu integrieren, erzählt Jürg Stocker. Dazu werde man ein zusätzliches VLAN konfigurieren, was einfach und rasch geschehe. Und eben erst habe man ein Gästenetzwerk aufsetzen müssen für Besucher der WVRJ, die ins Internet wollen. Auch dies sei mittels eines zusätzlichen VLAN ein Kinderspiel und durch die Trennung von den übrigen Netzen auch kein Sicherheitsrisiko.
Gemäss Stocker macht die Umsetzung einer VLAN-Infrastruktur überall dort Sinn, wo innerhalb eines Netzes unterschiedliche Bedürfnisse an die Netzwerk-Infrastruktur vorhanden sind und wo man Netze losgelöst voneinander betreiben will. «Ein einfaches Beispiel: Wir haben viele Kunden, die über ein Netzwerk ihren Internetzugang und gleichzeitig ihr Intranet realisiert haben. Zusätzlich wollen sie ihren Gästen ebenfalls Zugriff aufs Internet geben, ohne dass diese aber aufs Intranet kommen. So etwas lässt sich ideal mittels VLAN umsetzen.» Als weiteres Beispiel nennt Stocker Umgebungen, wo IP-Telefonie zum Einsatz kommt. «Ein EDV-Netz hat andere Anforderungen als ein VoIP-Netz. Auf einem VoIP-Netz braucht es keine Content-Filter, und ein Telefon surft nicht im Netz. Dafür gibt es andere Anforderungen was die Bandbreite angeht. Trennt man diese Netze nun virtuell, kann man verschiedene Funktionalitäten auf die einzelnen Netze legen.» Natürlich gäbe es andere Möglichkeiten, solche Faktoren zu berücksichtigen – beispielsweise mittels Quality of Service (QoS). «Doch mit einem VLAN ist das einfacher und vor allem viel übersichtlicher umsetzbar», erklärt Jürg Stocker abschliessend. «Das beginnt damit, dass für die Telefonie einfach gewisse Ports eingerichtet sind, wo die Geräte dann eingesteckt werden können, und damit ist die Geschichte erledigt.»

Award-Projekt

E-Quadrat hat mit dem Projekt bei der Wasserversorgung Rapperswil-Jona am Studerus Technology Forums (TEFO) 2011 den Publikumspreis gewonnen. Diesen Preis habe man deshalb erhalten, weil man die Zyxel-Firewall, welche bei der Wasserversorgung das Herz des Netzwerks sei, bis zum letzten ausgereizt habe. «Diese Firewall kann wirklich fast alles», so E-Quadrat-Geschäftsleiter Jürg Stocker. «Und wir brauchen für das Projekt fast jede Funktion, die integriert ist. Die Firewall macht ihren Job wirklich gut, vor allem wenn man bedenkt, was das Gerät kostet.» Natürlich gäbe es Cisco-Geräte, die noch mehr können, aber die würden dann auch drei Mal mehr kosten. Allerdings ist das Zyxel-Gerät bereits seit vier Jahren im Einsatz, und so langsam steht der Wechsel auf ein neues Firewall-Modell an. «Die Plattform ist langsam ausgereizt, vor allem was die CPU-Leistung und den Bandbreitendurchsatz angeht. Deshalb werden wir über kurz oder lang das Nachfolgemodell installieren.» Dem Hersteller bleibe man treu. (mw)


Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Wieviele Zwerge traf Schneewittchen im Wald?
GOLD SPONSOREN
SPONSOREN & PARTNER