De (technisch) productmanagers van SURF praten je bij over de nieuwste ontwikkelingen in het portfolio van onze netwerkdiensten. Van internet en ethernet naar SURFfirewall op de border en L3VPN-oplossingen voor multicloud. Sander Klemann, Elleke Arnold en Max Mudde, Netwerkexperts bij SURF

1. Portfolio nu en in de toekomst.
26 June, 2023
SURF Netwerkdiensten:
Elleke Arnold – Product Manager Netwerkdiensten
Max Mudde – Technisch Product Manager Netwerkdiensten
Sander Klemann – Product Manager Netwerkdiensten

2. Agenda – Netwerkdag
Korte Intro
01
Netwerkdiensten
Portfolio. Wijzigingen
2024
02 03
Technische
mogelijkheden
SURF-netwerk
05
Dialoog & Input
04
SURFfirewall en NFV

3. Introduction
Productmanager Netwerkdiensten
Gestart in 2022
Ook productmanager van SURFtime&frequency pilot
Sander.Klemann@surf.nl
Sander Klemann

4. Overzicht
netwerkdiensten

5. SURFlichtpad Toen, Nu & Toekomst
Toen
• Point-to-point verbinding
• Gegarandeerde bandbreedte
• Afgeschermd van internet
• Voor research. Zodat kleine en grote instellingen elkaar niet in de weg zitten.
Nu
• Vaker gebruikt door instellingen voor verbinden dislocaties.
• Connectie met Cloud aanbieders
• Connectie met Telco’s (T-mobile, Vodafone) tbv telefonie
Toekomst
• Automation & Orchestration maakt self-service mogelijk
• Combinatie diensten met cloud aanbieders en rekendiensten
• Dynamiek is nodig. Dus ook ander tarief model.

6. Overzicht Portfolio Netwerkconnectiviteit
1. SURFinternet
2. SURFlichtpaden
3. Multi Service Port
4. L2VPN
5. L3VPN
6. Uitbreiding SURFinternet
7. Derden Aansluiten SURF-netwerk
8. Netherlight Internationale Infrastructuur & Diensten
9. Aansluiten Dislocaties
10. SURFfirewall
11. SURFwireless
12. SURFdomeinen
13. eduroam
14. eduroam Visitor Access
15. SURFopzichter (wordt uit gefaseerd)
16. SURFtime&frequency (in ontwikkeling) ‘Hoe laat is het SURF?’
17. SURFiotroam (in ontwikkeling) Check out the Demo!
18. SURFcnaas / SURFwired (in ontwikkeling) Check out the Demo!
Aanpassingen 2024 Ongewijzigd

7. Overzicht Portfolio Netwerkconnectiviteit
1. SURFinternet
2. SURFlichtpaden
3. Multi Service Port
4. L2VPN
5. L3VPN
6. Uitbreiding SURFinternet
7. Derden Aansluiten op SURF-netwerk
8. NetherLight Internationale Infrastructuur & Diensten
Aanpassingen 2024
SURFnetwerkinfra (werknaam)
Samenvoegen tot
één dienst:
Internationale Infrastructuur
NetherLight

8. Samenvoegen losse netwerkdiensten tot
één dienst: SURFnetwerkinfra (werknaam)
De losse diensten:
• SURFlichtpaden
• SURFinternet
• Multi Service Poort
• L2VPN
• L3VPN
• Derden aansluiten SURF-netwerk
Worden samen:
SURFnetwerkinfra
De losse diensten krijgen nieuwe namen en worden features van de hoofd
dienst met één tariefmodel gebaseerd op een bundel tarief (in ontwikkeling).

9. Nieuwe namen Netwerk Diensten & Features
Dienstnaam: SURFnetwerkinfra (werknaam)
Features
Huidige naam Nieuwe naam
SURFlichtpad EVPN - Point-to-point
SURFlichtpad - Redundant EVPN - Point-to-point Redundant
L2VPN EVPN - Multipoint
L3VPN L3VPN
SURFinternet Internet
MSP Service Port

10. Features SURFnetwerkinfra Visueel (1)
EVPN - Point-to-point
Service Port
EVPN - Multipoint
EVPN - Point-to-point Redundant
Port
Service

11. Features SURFnetwerkinfra Visueel (2)
L3VPN
Private Cloud Connect (In
ontwikkeling)
Internet
Port
Service

12. Nu: Wild groei aan tarieven voor
netwerkdiensten

13. Toekomst: Nieuw Simpel Bundel
Tariefmodel (Work in Progress)
1. Complexiteit beperkt gebruik.
2. Offerte traject is kostbaar en barrière tot uitbreiding.
3. Gebruikt stimuleren en samen groeien: Coöperatie gedachte.
4. SURF-netwerk is backbone van onderwijs en onderzoek.
5. SURF-netwerk kan de capaciteit makkelijk aan.

14. Introduction
Technisch Productmanager Netwerkdiensten
1999 – 2016 Hogeschool Utrecht (netwerk architect)
2016 – 2021 SURF Engineer Team Expert Netwerken
2021– heden Technisch Product Manager Netwerkdiensten
Max.Mudde@Surf.nl
Max Mudde

15. Nieuwe mogelijkheden SURFnet8
SURFnet7
Next Generation Carrier Ethernet
Static Control plane
1:1 Bandwidth provisioning
PBB-TE
Point to Point based ethernet
services
Provisioning via NMS/CLI
SURFnet8
MPLS
Dynamic Control Plane
Capacity Based planning
Segment Routing with TI-LFA
EVPN-VPWS based point2point
services
EVPN based multipoint services
L3VPN based IP services (VRF)
Volledig geautomatiseerd (Geen CLI)

16. SURFnet7
SURFinternet
SURFinternetpinnen
(deprecated)
Lichtpaden (EVPN point2point)
Redundante Lichtpaden
Lichtpaden zijn altijd
point to point
16
SSP SSP
INSTELLING A INSTELLING B
SSP SSP
Router Router
MSP MSP
INSTELLING A INSTELLING B
MSP
Router Router
INSTELLING C
Router
VLAN X
VLAN Y
VLAN Z
VLAN X

17. Nieuwe features op SURFnet8
Ethernet VPN Multipoint
Multipoint Ethernet dienst op basis van EVPN
Loop preventie met ESI
MAC-learning (MAC-addresses/service 1024)
VLAN-retagging
VLAN-bundels
Alleen op MSP’s (tagged Service Ports)
Wordt nu veel ingezet voor eduVPN en
SURFfirewall
Stretchen VLAN’s tussen locaties/datacenters
17

18. Nieuwe features op SURFnet8
L3VPN
Virtual Routing and Forwarding (VRF)
eBGP als routing protocol
BFD
Max-prefixen per poort: 1000
(Nog) Geen prefix filtering
IPv4 en IPv6
Alleen op MSP’s (tagged Service Ports)
18

19. INSTELLING
Netwerk als platform
Netwerk service vaak geen dienst op zich
Slechts een enabler voor een hoger doel
Zal steeds vaker onderdeel zijn van een ‘grotere’ dienst
Voorbeelden:
SURFfirewall
EduVPN
(Private) cloud connect
INTE
RNET
INTERNET
SURFfirewall
L3VPN
EVPN
EVPN

20. Toekomst
Door orchestration meer integratie met andere SURF
diensten
Research diensten SURF Amsterdam
Private Cloud Connect
Direct Cloud Connect
DTN (Data Transfer Node) as a Service
EVPN functies (MultiChassis LACP)
EVPN functies (Q-in-Q)
20

21. Elleke Arnold
Productmanager Netwerkdiensten
14 feb 2022 gestart bij SURF
Voorheen werkzaam bij Elsevier.
elleke.arnold@surf.nl
Elleke Arnold

22. SURFfirewall
toen, nu &
toekomst

23. Toen en Nu
• Pre-Corona, SURFfirewall uitgeroepen tot dienst die ontwikkeld zou moeten worden….
• Zo geschiede -> SURFfirewall Basic bestaat 2 jaar.
• Zomer van 2021 eerste Mbo Instelling aangesloten.
• Zomer 2023; 6 instellingen aangesloten; 4 instellingen bezig met een onboarding traject.
Huidig aanbod: SURFfirewall Basic (& Campus-Light)
• ‘’Met de SURFfirewall-Basic & Campus-light dienst biedt SURF deelnemende instellingen de
mogelijkheid om de SURFinternet verbinding te beveiligen met een moderne next-generation
Firewall. De dienst kan fungeren als een externe (perimeter) firewall maar ook als een
“Campus-light Variant’’ waarbij we meer netwerksegmenten aan de SURFfirewall koppelen.’’

24. Roadmap -> Managed Variant + Campus variant.
• Korte termijn: ontwikkelingstraject Managed variant is gestart.
• Middellange termijn: ambitie om een officiële campus variant te gaan aanbieden.
• Waarop gestoeld? -> Data uitvraag.

25. 25
Variant Domein Aanbod Inkoop Hardware
en licenties
Inkoop
Beheer
Inrichting/
configuratie
Firewall
Firewall beleid Migratie Aantal
VLANs
Basic Perimeter Huidig SURF SURF Instelling Instelling Instelling 5
Basic & Campus Light Perimeter (+ max 5
netwerksegmenten)
Huidig SURF SURF Instelling Instelling Instelling 5
Managed Basic (&
Campus Light)
Perimeter (+ max 5
netwerksegmenten )
In
ontwikkeling
SURF SURF SURF Instelling/SURF SURF 5
Campus Firewall Perimeter + domeinscheiding
binnen netwerkfacetten van
campus
In
ontwikkeling
SURF SURF instelling Instelling Instelling Onbeperkt
Managed Campus
Firewall
Perimeter + domeinscheiding
binnen netwerkfacetten van
campus
In
ontwikkeling
SURF SURF SURF Instelling/SURF SURF Onbeperkt
Nu en toekomst

26. Voordelen SURFfirewall
Voordelen Basic Variant Managed Variant
Geen aanbestedingslast voor
hardware/software/licenties
V V
Geen beheerlast voor hardware/software V V
Flexibel opschalen en afschalen in capaciteit V V
Flexibel opschalen in functionaliteit ( bv
Intrusion Detection en Intrusion Prevention
System)
V V
Kostenvoordeel (betere match tussen
gekochte en gebruikte functionaliteit en
capaciteit door centrale inkoop
V V
Geen configuratie last X V
Dagelijks beheer uit handen X V
Minder kennis nodig in house X V

27. NFV
Nu &
ambities voor
de toekomst

28. Network function virtualization (NFV)
• Wat is NFV?
• Gevirtualiseerde software toeppassingen op generieke hardware (bv een virtuele firewall)
• Wat zijn de voordelen van NFV?
• Je kan meerdere toepassingen op dezelfde generieke hardware draaien, zonder hiervoor kapitale investeringen te doen
voor specifieke infrastructuur;
• Het is meer schaalbaar dan hardware (geen harde limieten);
• Pay per use is mogelijk;
• Centrale beheer ingang is niet meer fysiek maar virtueel;
- Hierdoor robuuster.

29. NFV nu & toekomstige ambities
SURF heeft de NFV Technologie in de vingers!
• Achter de schermen op de afdeling hard aan gewerkt. (Eyle Brinkhuis, NFV
lead).
• Eerste use case; Firewall dienst ( Q2) -> SURFfirewall Hybryde dienst-> eind
2026 alle instellingen op NFV
Ambities
• om verspreid door het land deze technologie in te gaan zetten om zo dichter
bij de instellingen diensten te kunnen aanbieden. -> (Netwerkpakket
intensieve infrastructuur (routers, switches etc).
• Concrete use cases die worden onderzocht:
• Internationale connectiviteit;
• Campus firewall.

30. Toekomstgerichte dialoog – Managed Firewall Variant
Ontzorging?
- Waar zouden jullie behoefte aan hebben bij een ‘’Managed Firewall’’?
- Welke rol zou SURF hier kunnen spelen?
- Welk probleem kunnen wij met ‘’SURFfirewall Managed’’ variant voor jullie
oplossen?
- Op welke wenselijke manier kan SURF assisteren bij het veiligheidsbeleid, daar
de instelling altijd eindverantwoordelijk is, maar toch hierbij ontzorgd wil
worden?
- Voor instellingen die elders een ‘’managed Firewall’’ afnemen, of instellingen
die een managed firewall willen afnemen, waar zit nou het stuk ontzorging
waar behoefte aan was/is?
?

31. • Waar hebben jullie als instellingen behoefte aan?
• Doorontwikkelings wens van features?
• Is er behoefte aan een Netwerkdienst die SURF nog niet aanbiedt?
• ?
• ?
Vragen rondom het Netwerkdiensten Portfolio?

32. Sander.Klemann@surf.nl
Thank you for
your attention!
elleke.arnold@surf.nl
Max.Mudde@surf.nl