Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Threaded Case Study, Acacia Elmar Schlenker A. Brickwedde Mittwoch, 28. Mai 20141 Threaded Case Study Alexander Brickwedde Elmar Schlenker Fachhochschule.

Ähnliche Präsentationen


Präsentation zum Thema: "Threaded Case Study, Acacia Elmar Schlenker A. Brickwedde Mittwoch, 28. Mai 20141 Threaded Case Study Alexander Brickwedde Elmar Schlenker Fachhochschule."—  Präsentation transkript:

1 Threaded Case Study, Acacia Elmar Schlenker A. Brickwedde Mittwoch, 28. Mai Threaded Case Study Alexander Brickwedde Elmar Schlenker Fachhochschule Osnabrück Fachbereich Elektrotechnik und Informatik

2 Threaded Case Study, Acacia Elmar Schlenker A. Brickwedde Mittwoch, 28. Mai Bedingungen und Vorgaben Zeitrahmen: - für die kommenden 7-10 Jahre geplant Bandbreite: - Host: min.1Mbps - Server : min.100Mbps Layer3-Protokolle: - ausschließlich TCP/IP und Novell IPX LAN-Struktur: - zwei getrennte Netze (Curriculum / Administration )

3 Threaded Case Study, Acacia Elmar Schlenker A. Brickwedde Mittwoch, 28. Mai Bedingungen und Vorgaben Rechnerräume: - 4 x Cat5-Leitungen (3 x Curr., 1 x Admin.) - 24 x Curriculum, 1 x Administration Addressing: - alle Admin.-Rechner erhalten statische Adressen - alle Curr.-Rechner erhalten dynamische Adressen per DHCP Access Control List: - Alle Zugriffe aus dem Internet sind untersagt - Zugriffe aus dem Curr.Netz auf das Admin.Netz sind beschränkt - Zugriff aus dem Admin.Netz auf Hosts im Curr.Netz sind möglich

4 Threaded Case Study, Acacia Elmar Schlenker A. Brickwedde Mittwoch, 28. Mai Räumliche Aufteilung

5 Threaded Case Study, Acacia Elmar Schlenker A. Brickwedde Mittwoch, 28. Mai Auszug aus der Wiring List

6 Threaded Case Study, Acacia Elmar Schlenker A. Brickwedde Mittwoch, 28. Mai Wiring Plan schematische Darstellung Multimode Fiber Category 5 UTP IDF: 9 Räume: 27 Ports (Curr.) 9 Ports (Admin.) MDF: 31 Räume: 93 Ports (Curr.) 31 Ports (Admin.)

7 Threaded Case Study, Acacia Elmar Schlenker A. Brickwedde Mittwoch, 28. Mai WAN 80 Port48 Port VCC IDF 48 Port MDF VCC 100Mbps Multimode Fiber 100Mbps Category 5 UTP 12 1 Class- room 1xAdminnetz3x8 Curriculumnetz HCC LAN - Topologie weiterführende Cat5 Leitung

8 Threaded Case Study, Acacia Elmar Schlenker A. Brickwedde Mittwoch, 28. Mai IP-Adressierung Für die Server und den Gateway zum Internet: IP-Adressen aus dem IP-Bereich des Providers, möglichst 8 IP-Adressen, z.B /29 Für die internen Hosts / Router: IP-Adressen aus dem privaten IP-Bereich – sind frei vorgebbar - kostengünstig - über NAT Nutzung im Internet möglich Trennung des Administrativ- und der Curriculum-Netze über verschiedene IP-Netze: /17 für Curriculum /17 für Administration

9 Threaded Case Study, Acacia Elmar Schlenker A. Brickwedde Mittwoch, 28. Mai IP-Adressierung, Server und Gateway Das öffentlich nutzbare Netz: Demilitarisierte Zone - öffentlich verfügbare Services - intern verfügbare Services - von außen kein Zugriff auf interne Hosts

10 Threaded Case Study, Acacia Elmar Schlenker A. Brickwedde Mittwoch, 28. Mai IP-Adressierung, Server und Gateway Die T1-Verbindung zum Internet wird vom Internetprovider zur Verfügung gestellt, dieser kann IP-Adressen aus seinem Adressraum für den Kunden zur Verfügung stellen. Als Domainname nehmen wir schools.net an. 8 IP-Adressen, z.B /29 - Gateway zum Internetgate.schools.net Nameserverns.schools.net Webserverwww.schools.net Mailservermail.schools.net Gateway ins interne Netzrouter.data.schools.net

11 Threaded Case Study, Acacia Elmar Schlenker A. Brickwedde Mittwoch, 28. Mai IP-Adressierung, 3 Stützpunkte Die drei Backbone-Router werden über jeweils 4xT1- Leitungen zu den beiden anderen Verbunden. Hier ist externes Equipment notwendig, da die Cisco- Router nicht 4xT1 handeln kann und gleichzeitig 11 T1 Verbindungen zu den Schulen. T1 X.21 Konverter

12 Threaded Case Study, Acacia Elmar Schlenker A. Brickwedde Mittwoch, 28. Mai IP-Adressierung, 3 Stützpunkte Die Stützpunkte zur Anbindung der Schulen sind jeweils für ein Subnetz aus dem Administrations- und ein Subnetz aus dem Curriculumnetz zuständig Curriculum, /17 - Data-Center /20 - Service-Center /20 - Shaw Butte /20 - die restlichen IP-Adressen aus dem Bereich bleiben frei Administration, /17 - Data-Center /20 - Service-Center /20 - Shaw Butte /20 - die restlichen IP-Adressen aus dem Bereich bleiben frei

13 Threaded Case Study, Acacia Elmar Schlenker A. Brickwedde Mittwoch, 28. Mai IP-Adressierung, 3 Stützpunkte Das Zusammenfassen der zwei verschiedenen Netze in jeweils einem großen IP-Subnetz verursacht zwar Mehraufwand, hilft aber später bei der Aufstellung der ACLs.

14 Threaded Case Study, Acacia Elmar Schlenker A. Brickwedde Mittwoch, 28. Mai IP-Adressierung, am Stützpunkt In den Stützpunkten wird jeweils ein Ethernet eingerichtet, welches Services (DNS, Mail, WWW) für die angeschlossenen Schulen bereitstellt. Für dieses Netz wird jeweils das erste /24 Subnetz aus dem Admin.-Netz dieses Stützpunktes verwendet. Beim Service-Center: /24

15 Threaded Case Study, Acacia Elmar Schlenker A. Brickwedde Mittwoch, 28. Mai IP-Adressierung, am Stützpunkt 11 von den restlichen 15 /24- Subnetzen aus dem Admin.- Netz als auch die /24-Netze aus dem Curriculum-Netz werden statisch über die T1-Verbindungen zu den Schulen geroutet. Beim Service-Center: Sunset / /24 Acacia / /24 MountainSky / /

16 Threaded Case Study, Acacia Elmar Schlenker A. Brickwedde Mittwoch, 28. Mai IP-Adressierung, an der Schule Die Router an den Schulen sind per T1-Leitung an ihren Stützpunkt verbunden und Routen den Verkehr auf zwei verschiedene Ethernet- Interfaces. Eines ist Admin.- Netz, das andere das Curriculum-Netz. Die lokalen Server haben IP- Adressen aus dem Admin.- Netz. Hier in Acacia: - DNS Mail WWW

17 Threaded Case Study, Acacia Elmar Schlenker A. Brickwedde Mittwoch, 28. Mai IPX-Adressierung IPX-Netzadressen bestehen bei uns immer aus dem 3.Byte der Netzwerkadresse. Die WAN-Verbindungen erhalten IPX-Adressen bestehend aus 0x100 + IPX-Adresse des Admin.-Netzes, das verbunden ist. Data-Center Service-Center Service-Center S.-C. Sunset Sunset S.-C. Acacia Acacia S.-C. Mount.S MountainSky

18 Threaded Case Study, Acacia Elmar Schlenker A. Brickwedde Mittwoch, 28. Mai IGRP-Routing Die Verbindungen zwischen den 3 Backbone-Routern sorgen für Redundanz. Sobald eine der Verbindungen unterbrochen wird sind immer noch alle Hosts erreichbar. Es muss ein Routing-Protokoll verwendet werden. Wie z.B. IGRP

19 Threaded Case Study, Acacia Elmar Schlenker A. Brickwedde Mittwoch, 28. Mai IGRP-Routing IGRP wird auf allen Routern des Netzes aktiviert, AS-Number soll 100 sein. Z.B. in Acacia: router igrp 100 network network Auf dem router.service: router igrp 100 network

20 Threaded Case Study, Acacia Elmar Schlenker A. Brickwedde Mittwoch, 28. Mai ACLs, an den Schulen Der Zugriff aus dem Curriculum-Netz auf jedes der vorhandenen Administrations-Netze ist verboten, bis auf den Zugriff auf die lokalen Server. Zugriff auf das Curriculum-Netz aus einem anderen Curr.-Netz ist verboten. Zugriff aus dem Internet auf eines der Netze ist nicht möglich, da NAT (Network Address Translation) verwendet wird und ACLs Zugriffe verhindern. Interface Ethernet0 out (Admin): permit ip deny ip any permit ip any Interface Ethernet1 out (Curr): deny ip any permit ip any

21 Threaded Case Study, Acacia Elmar Schlenker A. Brickwedde Mittwoch, 28. Mai ACLs, an den Stützpunkten Das Netz am Stützpunkt wird von den Servern der angeschlossenen Schulen genutzt und beinhaltet selber Arbeitsplätze. Zugriff aus jeglichem Curriculum-Netz ist untersagt. Interface Ethernet0 out: deny ip any permit ip any

22 Threaded Case Study, Acacia Elmar Schlenker A. Brickwedde Mittwoch, 28. Mai ACLs, am Data-Center Das öffentliche Netz im Data-Center steht allen internen Nutzern als auch dem Internet zur Verfügung. Zugriff auf den Router ( ), bzw. IP-Verkehr der durch den Router maskiert wird (NAT) ist erlaubt. Interface Ethernet0 (Public) in: permit ipanyhost deny ip any Zusätzlich wird NAT für alle internen Adressen /16 aktiviert.

23 Threaded Case Study, Acacia Elmar Schlenker A. Brickwedde Mittwoch, 28. Mai ACLs, am Internet-Gateway Das öffentliche Netz im Data-Center ist von außen frei erreichbar und sollte deshalb besonders restriktiv gesichert werden, d.h. alle Dienste müssen explizit freigegeben werden. Interface Ethernet0 (Public) out: permit tcpanyhost eq 53 permit udpanyhost eq 53 permit tcpanyhost eq 80 permit tcpanyhost eq 25 permit ipanyhost deny ip any

24 Threaded Case Study, Acacia Elmar Schlenker A. Brickwedde Mittwoch, 28. Mai Sicherheit Allgemein Prinzipiell sollte man sich nicht nur auf ACLs verlassen sondern auf sichere Arbeitsplätze achten. Trojaner können die besten ACLs, Proxies und Firewalls überwinden und so Hintertüren öffnen. Ebenso eigenmächtig installierte Modeme und Fernzugänge. Zusätzliche Kontrolle über suspekte Vorgänge im Netz bieten netzwerk-basierte Intrusion-Detection-Systeme, welche Trojaner-Traffic, Viren, aktive Angriffe u.v.m. erkennen und melden können. Sogenannte Sensoren, in allen Netzen verteilt, sammeln Daten und übermitteln diese an einen zentralen Server.

25 Threaded Case Study, Acacia Elmar Schlenker A. Brickwedde Mittwoch, 28. Mai Benötigte Hardware Acacia-LAN: EV-Preise im DM Switches: 2*Catalyst 2948G 48*10/100 2*1000 je *Catalyst 2980G 80*10/100 2* *1000BaseSX-Modul je Hubs: 120FastHub *10/100 je Router: 1*Cisco 1605-R *1-Port Serial WAN (NM-1T) 1009

26 Threaded Case Study, Acacia Elmar Schlenker A. Brickwedde Mittwoch, 28. Mai Backbone-WAN: EV-Preise im DM Router: 3*Cisco NM 2*10/100 je *4-Port Serial WAN (NM-4T) je * X.21-G703-Konverter je (inkl. DCE an Schulen) Benötigte Hardware

27 Threaded Case Study, Acacia Elmar Schlenker A. Brickwedde Mittwoch, 28. Mai Public-Netzwerk: EV-Preise im DM Router: 1*Cisco 1605-R *IOS IP/FW *1-Port Serial WAN (NM-1T) 1009 Switch: 1*Catalyst *10/ Benötigte Hardware


Herunterladen ppt "Threaded Case Study, Acacia Elmar Schlenker A. Brickwedde Mittwoch, 28. Mai 20141 Threaded Case Study Alexander Brickwedde Elmar Schlenker Fachhochschule."

Ähnliche Präsentationen


Google-Anzeigen