Lokalnett for studentboliger

Sikt driver det lokale fastnettet. Eksisterende rutere og svitsjer som er i drift før avtaleinngåelse, vil ved behov bli skiftet ut.

Nettadministrasjonssystemet NAV inngår i leveransen. I tillegg inngår DHCP-tjener og ved behov NAT-ruter. Dersom virksomheten har en egen brannmur, kan fastnettet integreres med denne.  

Fastnettet innebærer: 

• Redundant design 
• 10 Gbit/s forskningsnett (mer ved behov) 
• 10 Gbit/s kjerne 
• 1 Gbit/s til klient 

• DHCP server 
• IEEE 802.1X-støtte 
• NAV nettovervåkning 
• 24/7 monitorering 
• Reservedelslager 

Design av fastnett:

1. Design av nytt nettverk skalert til 1 Gbit/s på alle aksessporter og aggregert til 10-100 Gbit/s i kjerne/distribusjon basert på faktisk behov. Distribusjon og kjerne er adskilte lag i arkitekturen for større installasjoner og sammensmeltet til ett lag for mindre.  

2. Dersom virksomheten ønsker det, kan IEEE 802.1X implementeres i fastnettet. Dette stiller krav til klientene, da de må autentisere seg ved tilkobling til nettverket. Løsning som håndterer klienter som ikke kan autentisere seg inkluderes i løsningen.  

3. Det leveres PoE+ på alle aksessporter som har behov for dette.   

4. En rekke sikkerhetsfunksjonaliteter implementeres i fastnettet.

Sikt driver det lokale trådløse nettverket, mens virksomheten selv driver fastnettet. Merk at fastnettet må fungere optimalt for at det trådløse nettverket skal oppleves som godt nok for brukeren.

Trådløst nettverk innebærer:

• WiFi 6
• Site survey/radioplan
• Deknings- og kapasitets-krav etter ønske
• Radius for eduroam
• Anbefalte tilleggstjenester:
• eduroam
• Trådløst gjestenett
• Design trådløst nettverk
• Site survey og radioplanlegging for det trådløse nettverk.

Virksomhetens dekningskrav og kapasitetskrav vil legge premisser for utplassering/tetthet av trådløse aksesspunkter. Vår generelle anbefaling vil være at trådløse klienter får en dekning med signalstyrke på minimum -67 dBm fra primært aksesspunkt og -72 dbm fra sekundært aksesspunkt.

Sikt driver virksomhetens lokale rutere/brannmurer. Eksisterende rutere/brannmurer lokalt erstattes med nye levert av Sikt.

Ruterdrift/brannmur innebærer:

• Redundant oppsett
• IPv4/IPv6 og NAT
• Netflow-støtte
• Soneinndeling
• Tilstandsfull filtrering
• Applikasjonsfiltrering (valgbar)
• IPS (Intrusion Prevention)(valgbar)

Anbefalte tilleggstjenester:

• eduVPN
• Abonnement fra Cybersikkerhetssenter for forskning og utdanning

Design av ruter/brannmur

1. Design av nytt rutingoppsett. Anbefalt oppsett er to rutere/brannmurer pr lokasjon/campus for god redundans. Dersom virksomheten ikke ønsker redundans leveres en ruter/brannmur pr. lokasjon. Kapasitet på ruter-/brannmurportene er gitt av kapasitet virksomheten har bestilt for tjenesten Nettilknytning – dvs virksomhetens tilknytningskapasitet til forskningsnettet. Det blir levert et dual-stack IPv4/IPv6 rutingoppsett.
2. Allokering og partisjonering av tilstrekkelig IPv4 og IPv6 adresserom. Det tas utgangpunkt i virksomhetens eksisterende IPv4 og IPv6 adresserom. Sikt kan supplere med ytterligere IPv6 adresserom og om avtalt, i begrenset grad, IPv4 adresserom. Dersom dette ikke er tilstrekkelig, vil private IPv4-adresser (RFC1918) og NAT44 bli benyttet.
3. Avtalt nivå av brannmurregler med ditto regelsett planlegges. Nivåene er:

• a. Aksesslister
• b. Tilstandsfull filtrering
• c. Applikasjonsfiltrering

4. Dersom Virksomheten er spredt på flere lokasjoner designes en helhetlig sikkerhetsarkitektur der de ulike lokasjonene er hensiktsmessig knyttet sammen.
5. Tildeling av IPv4-adresser i lokalnettet baseres på DHCP. Unntaksvis kan det være behov for statiske IP-adresser hos Virksomheten. Dette kan løses av Virksomheten ved å innføre statisk IP-mac binding i DHCP. IPv6-adresser deles ut dynamisk ved bruk av SLAAC.

Dataromnett kobler servere til internett. Vi drifter nettverksutstyret (f.eks. ruter og svitsj) for å få datarommet på nett.

Datarom innebærer:

• Redundant design
• Soneinndeling
• 10 Gbit/s kjerne
• 1 og 10 Gbit/s serveraksess
• Miljøovervåkning
• Spine-leaf arkitektur

Design dataromnett

• Design av dataromnett med tilhørende rutere og svitsjer («top of rack» og distribusjon).

Etableringsfasen og anskaffelse av nettverksutstyr

1. Installasjon av nettadministrasjonsverktøy inklusive NAV. Virksomhetens relevante driftspersonell gis tilgang til NAV.
2. Installasjon av alle nettverkskomponentene der disse registreres i NAV.
3. Oppsett av DHCP-tjener som håndterer dynamisk IPv4-adresser for alt endeutstyr i nettverket. IPv6-adresser deles ut dynamisk ved bruk av SLAAC.
4. Konfigurasjon og dokumentasjon av nytt nettverk.
5. Driftssetting av nytt nettverk.

Driftsfasen

• Daglig drift basert på proaktiv monitorering av nettverksutstyr. Herunder nødvendig feilsøking og feilretting.
• Behovs- og/eller sikkerhetsvurderte programvareoppgraderinger av nettverksutstyr.
• Endringer i brannmurregler basert på bestilling fra virksomheten.
• Oppsett av nye vlan/IP-adresserom basert på nye behov hos virksomheten. Tilsvarende utfasing/endring av vlan/IP-adresserom når relevant.
• Sikt gjør vurderinger basert på trafikkbelastning og sørger for og bekoster utskifting av nettverksutstyr når det er nødvendig. Utvidelse av lokalnettet til nye arealer/nybygg og/eller oppgradert nettilknytning til forskningsnettet dekkes av virksomheten.

«CNaaS lokalnett» forutsetter tilknytning til Forskningsnettet.

«CNaaS lokalnett» er en tjeneste der Sikt tar ansvar for drift og videreutvikling av Kundens lokalnett/campusnett og nettverkstilbud til studentboliger.

Leveransen skreddersys hver enkelt kundes behov. Dette omfatter rutere, svitsjer og trådløst nettverk. Det vil i utgangspunktet bli installert trådløse aksesspunkter i alle hybler.

I tillegg blir det supplert med trådløse aksesspunkt for å dekke fellesareal. eduroam settes opp i hele det trådløse nettverket.

På hyblene settes det i tillegg opp et privat trådløsnett med personlig passord til studenten. Tiltenkt bruk er personlig utstyr som Chromecast, Apple TV og lignende.

Studenten får også tilgang til 1 Gbit/s fastnett/TP på hybelen. En eller flere av følgende valgbare moduler inngår i en leveranse (særskilt omtale av hver modul er gitt i forbindelse med designfasen under):

• Ruter med avtalt nivå av brannmurfunksjonalitet
• Fastnett (kjerne, distribusjon og kant)
• Trådløst nett
• Dataromnett

Kundens eksisterende nettverksutstyr vil, med mindre annet er avtalt, bli skiftet ut i etableringsfasen som beskrevet under.

DHCP-tjener, NAT44-ruter og radiustjener (for å håndtere autentisering i trådløst nett/eduroam og evt i fastnettet) inngår i leveransen (hvis behov).

Nettadministrasjonssystemet NAV inngår også i leveransen. Kunden velger enten ruter eller brannmur med i leveransen.

Naturlige supplerende Sikt-tjenester (med egne tjenestebilag) vil være Nettilknytning, eduVPN, eduroam, trådløst gjestenett, Feide og Cybersikkerhetssenter.

Tjenesteleveransen består av designfase, etableringsfase og driftsfase.

Fysisk infrastruktur

Det er Kundens ansvar å ha en fysisk infrastruktur av tilfredsstillende kvalitet. Sikt kan ikke stå til ansvar for kvaliteten i nettleveransen dersom dette ikke blir overholdt;

1. Alle kommunikasjonsrom må holde stabil temperatur, være innenfor 5-30 grader i front av utstyret.
2. Spredenettet må være minst av kategori 5E. Ny kabling må være minst kategori 6A. Terminering skal være RJ45.
3. Som hovedregel skal fiberkabling være single mode. Multimode er akseptabelt for 1 Gbit/s, men ikke for 10 Gbit/s.
4. Rack i kommunikasjonsrom skal være 80 cm bredde (for ryddig kabling). Tilgjengelig dybde for svitsj skal være minimum 60 cm.
5. Alle kommunikasjonsrom skal kun ha tilgang for autorisert personell.
6. Det må være CO2 apparat i umiddelbar nærhet av alle kommunikasjonsrom.
7. I hovedkommunikasjonsrom skal det være bystrøm og reservekraft matet via PDU. Reservekraft må ha en levetid på minst 30 minutt, optimalt 2 timer. Det forutsettes at det regelmessig verifiseres at levetiden på reservekraft er reell.
8. I kommunikasjonsrom må det være tilstrekkelig strøm for å levere PoE+ til alle svitsjeporter som trenger det. Det må kunne allokeres 30W pr PoE+-port.

Design- og etableringsfasen

1. Skaffe til veie dokumentasjon inklusive bilder av fiberinfrastruktur (antall og type fiber mellom kommunikasjonsrom, samt lengde og terminering), spredenett (type kabling og terminering), forhold i kommunikasjonsrommene (omfang rack med dybde, strømforhold, kjøling), samt dagens nettdesign (figur).
2. Skaff til veie plantegninger og angi lokasjon av kommunikasjonsrom.
3. Plantegninger blir også brukt som underlag for trådløs radioplanlegging. Her trengs Kundens bistand i forhold til oppmåling av takhøyde, vurdering av monterings-høyde for aksesspunkter, informasjon om tykkelse/demping i etasjeskiller og angivelse av type innervegger.
4. Ved mottak av utstyr fra leverandør, registrer alt utstyr med mottaksdato, serienummer og typebetegnelse i mottaksark forberedt av Sikt.
5. Ved montering av kjerne/distribusjonsnett, bistå Sikt med nødvendig tilgang til kommunikasjonsrom.
6. Dersom ikke annet er avtalt; gjennomfør installasjon og patching av aksessvitsjer i henhold til foreskreven mal fra Sikt, samt installasjon av trådløse aksesspunkter basert på Sikts radioplan.
7. Kunden definerer et entydig, internt kontaktpunkt for førstelinje drift.

Driftsfasen

1. Endringer på portnivå i aksessnettet gjøres av Kunden selv. Dette gjøres ved å bruke nettadministrasjonsverktøyet NAV (mindre relevant dersom IEEE 802.1X er implementert).
2. Kunden bistår Sikt med all feilsøking som vil kreve lokal tilstedeværelse. Herunder:
   a. Dersom aksessvitsj dør/må byttes ut, gjennomfører Kunden bytte av svitsj. Svitsjen vil bli automatisk provisjonert basert på Sikts administrasjonsopplegg.
   b. På tilsvarende vis bytter Kunden døde trådløse aksesspunkter.
   c. Kunden skal også bistå Sikt med fysisk oppkobling av kjerne- eller distribusjonsutstyr som må byttes.
3. Ved planlagt utfall av strøm eller andre endringer som påvirker nettverket må Sikt servicesenter orienteres en uke i forveien.
4. Kunden må selv håndtere abuse-saker. Med «abuse» menes saker der IP-adresser hos Kunden er påklaget fra omverden med bakgrunn i brudd på regelverk eller etikette. Sikt kan gi råd i tilfeller der Kunden er i tvil.

Tjenesten har Servicenivå 1 A.

Servicenivå beskriver

• kontaktpunkter og responstider ved behov for support og for å melde feil.
• varsling ved feil og planlagt arbeid

Sikt skal gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet, tilgjengelighet og robusthet ved behandling av personopplysninger.

Det skal inngås en databehandleravtale før tjenesten tas i bruk. Informasjon om håndtering av sikkerhet og personvern i tjenesten finnes nærmere beskrevet i databehandleravtalen.

Databehandleravtalen har forrang ved eventuell motstrid med Avtalens bestemmelser knyttet til behandling av personopplysninger.

Kunden har et selvstendig ansvar for å sørge for tilfredsstillende informasjonssikkerhet ved egen bruk av tjenesten. Dette følger blant annet av bestemmelsene i eForvaltningsforskriften og personopplysningsloven.

Det innebærer at kunden skal vurdere risikoen for brudd på sikkerheten og iverksette nødvendige sikringstiltak for å beskytte informasjonens konfidensialitet, integritet og tilgjengelighet.

Vurdering og iverksetting av nødvendige sikringstiltak skal skje innenfor rammen av Kundens ledelsessystem for informasjonssikkerhet.

Det skal inngås en databehandleravtale før tjenesten tas i bruk. Informasjon om håndtering av sikkerhet og personvern i tjenesten finnes nærmere beskrevet i databehandleravtalen.

Det bør gjennomføres en risiko- og sårbarhetsvurdering (ROS) for tjenesten hos Kunden. Sikt kan bistå med maler og eventuelt rådgivning i forbindelse med dette.

Prisen for tjenesten beregnes ut fra:

• Etableringskostnad:
  • Tid for å etablere tjenesten.
  • Direktekostnader, inkludert utstyrsinnkjøp, lisenser, service og support, for å etablere tjenesten.
• Driftskostnad:
  • Tid for å drifte, vedlikeholde og videreutvikle tjenesten.

Kunden kan velge mellom to ulike valg for tjenesteavgift:

• Én fast, årlig tjenesteavgift, som dekker både etablering og løpende drift.
  • Priset «per hybel per måned».
• En etableringsavgift og en løpende driftsavgift.
  • Løpende driftsavgift prises «per hybel per måned».

Første fakturering vil ta hensyn til når på året Kunden inngår avtale om å benytte tjenesten.

Alt utstyr som er omfattet av denne tjenesteleveransen vil bli anskaffet av Sikt og satt i drift hos Kunden.

Det er Sikt som vil eie utstyret og da håndtere alle kostnader forbundet med dette, herunder investeringskostnad og løpende vedlikeholdskostnad.

Pris for tjenesten spesifiseres i kostnadsvarsel som omtalt i Sikts Generelle avtalevilkår. I forbindelse med kostnadsberegning for kommende år vil prisen kunne indeksreguleres.

Tjenesten forvaltes og videreutvikles av Sikt i tråd med sektorens samstyringsmodell.

Avtalen har en varighet på fem år og kan forlenges. Gjensidig oppsigelsestid er 12 måneder.

Hvis Kunden har valgt at etablering skal betales gjennom én fast, årlig tjenesteavgift, gjelder at ved endt, eller oppsagt, avtale vil utstyrets restverdi beregnes og bli fakturert Kunden.

Hvis Kunden har valgt å betale etablering gjennom etableringsavgift, gjelder at ved endt avtale tilfaller utstyr finansiert gjennom etablerings- og investeringsavgift Kunden.

Utover dette er de Generelle avtalevilkårene er gjeldende for tjenesten.

Der det eksisterer avtaler eller betingelser for enkelttjenester som dekker områdene i de generelle avtalevilkårene, går avtalen for enkelttjenesten foran de Generelle avtalevilkårene.