Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Threaded Case Study Alexander Brickwedde Elmar Schlenker

Veröffentlicht von:Rickert Natter Geändert vor über 10 Jahren

Ähnliche Präsentationen

Präsentation zum Thema: "Threaded Case Study Alexander Brickwedde Elmar Schlenker"—  Präsentation transkript:

1 Threaded Case Study Alexander Brickwedde Elmar Schlenker
Fachhochschule Osnabrück Fachbereich Elektrotechnik und Informatik Elmar Schlenker A. Brickwedde Freitag, 31. März 2017

2 Bedingungen und Vorgaben
Zeitrahmen: - für die kommenden 7-10 Jahre geplant Bandbreite: - Host: min.1Mbps - Server : min.100Mbps Layer3-Protokolle: - ausschließlich TCP/IP und Novell IPX LAN-Struktur: - zwei getrennte Netze (Curriculum / Administration ) Elmar Schlenker A. Brickwedde Freitag, 31. März 2017

3 Bedingungen und Vorgaben
Rechnerräume: - 4 x Cat5-Leitungen (3 x Curr., 1 x Admin.) - 24 x Curriculum, 1 x Administration Addressing: - alle Admin.-Rechner erhalten statische Adressen - alle Curr.-Rechner erhalten dynamische Adressen per DHCP Access Control List: - Alle Zugriffe aus dem Internet sind untersagt - Zugriffe aus dem Curr.Netz auf das Admin.Netz sind beschränkt - Zugriff aus dem Admin.Netz auf Hosts im Curr.Netz sind möglich Elmar Schlenker A. Brickwedde Freitag, 31. März 2017

4 Räumliche Aufteilung 1.. 2.. 3.. 4.. 5.. 6.. Elmar Schlenker
A. Brickwedde Freitag, 31. März 2017

5 Auszug aus der Wiring List
Elmar Schlenker A. Brickwedde Freitag, 31. März 2017

6 schematische Darstellung
Wiring Plan schematische Darstellung MDF: 31 Räume: 93 Ports (Curr.) 31 Ports (Admin.) IDF: 9 Räume: 27 Ports (Curr.) 9 Ports (Admin.) Multimode Fiber Category 5 UTP Elmar Schlenker A. Brickwedde Freitag, 31. März 2017

7 LAN - Topologie WAN MDF IDF Class- room 100Mbps Multimode Fiber
2 VCC VCC 80 Port 48 Port 48 Port HCC HCC MDF IDF Class- room 100Mbps Multimode Fiber HCC 100Mbps Category 5 UTP weiterführende Cat5 Leitung 1xAdminnetz 3x8 Curriculumnetz Elmar Schlenker A. Brickwedde Freitag, 31. März 2017

8 IP-Adressierung Für die Server und den Gateway zum Internet: IP-Adressen aus dem IP-Bereich des Providers, möglichst 8 IP-Adressen, z.B /29 Für die internen Hosts / Router: IP-Adressen aus dem privaten IP-Bereich – sind frei vorgebbar - kostengünstig - über NAT Nutzung im Internet möglich Trennung des Administrativ- und der Curriculum-Netze über verschiedene IP-Netze: /17 für Curriculum /17 für Administration Elmar Schlenker A. Brickwedde Freitag, 31. März 2017

9 IP-Adressierung, Server und Gateway
Das öffentlich nutzbare Netz: Demilitarisierte Zone - öffentlich verfügbare Services - intern verfügbare Services - von außen kein Zugriff auf interne Hosts Elmar Schlenker A. Brickwedde Freitag, 31. März 2017

10 IP-Adressierung, Server und Gateway
Die T1-Verbindung zum Internet wird vom Internetprovider zur Verfügung gestellt, dieser kann IP-Adressen aus seinem Adressraum für den Kunden zur Verfügung stellen. Als Domainname nehmen wir „schools.net“ an. 8 IP-Adressen, z.B /29 - Gateway zum Internet gate.schools.net Nameserver ns.schools.net Webserver Mailserver mail.schools.net Gateway ins interne Netz router.data.schools.net Elmar Schlenker A. Brickwedde Freitag, 31. März 2017

11 IP-Adressierung, 3 Stützpunkte
Die drei Backbone-Router werden über jeweils 4xT1-Leitungen zu den beiden anderen Verbunden. Hier ist externes Equipment notwendig, da die Cisco-Router nicht 4xT1 handeln kann und gleichzeitig 11 T1 Verbindungen zu den Schulen. T1 <-> X.21 Konverter Elmar Schlenker A. Brickwedde Freitag, 31. März 2017

12 IP-Adressierung, 3 Stützpunkte
Die Stützpunkte zur Anbindung der Schulen sind jeweils für ein Subnetz aus dem Administrations- und ein Subnetz aus dem Curriculumnetz zuständig Curriculum, /17 - Data-Center /20 - Service-Center /20 - Shaw Butte /20 - die restlichen IP-Adressen aus dem Bereich bleiben frei Administration, /17 - Data-Center /20 - Service-Center /20 - Shaw Butte /20 - die restlichen IP-Adressen aus dem Bereich bleiben frei Elmar Schlenker A. Brickwedde Freitag, 31. März 2017

13 IP-Adressierung, 3 Stützpunkte
Das Zusammenfassen der zwei verschiedenen Netze in jeweils einem großen IP-Subnetz verursacht zwar Mehraufwand, hilft aber später bei der Aufstellung der ACL‘s. Elmar Schlenker A. Brickwedde Freitag, 31. März 2017

14 IP-Adressierung, am Stützpunkt
In den Stützpunkten wird jeweils ein Ethernet eingerichtet, welches Services (DNS, Mail, WWW) für die angeschlossenen Schulen bereitstellt. Für dieses Netz wird jeweils das erste /24 Subnetz aus dem Admin.-Netz dieses Stützpunktes verwendet. Beim Service-Center: /24 Elmar Schlenker A. Brickwedde Freitag, 31. März 2017

15 IP-Adressierung, am Stützpunkt
11 von den restlichen 15 /24- Subnetzen aus dem Admin.-Netz als auch die /24-Netze aus dem Curriculum-Netz werden statisch über die T1-Verbindungen zu den Schulen geroutet. Beim Service-Center: Sunset / /24 Acacia / /24 MountainSky / / Elmar Schlenker A. Brickwedde Freitag, 31. März 2017

16 IP-Adressierung, an der Schule
Die Router an den Schulen sind per T1-Leitung an ihren Stützpunkt verbunden und Routen den Verkehr auf zwei verschiedene Ethernet-Interfaces. Eines ist Admin.-Netz, das andere das Curriculum-Netz. Die lokalen Server haben IP-Adressen aus dem Admin.-Netz. Hier in Acacia: - DNS Mail WWW Elmar Schlenker A. Brickwedde Freitag, 31. März 2017

17 IPX-Adressierung IPX-Netzadressen bestehen bei uns immer aus dem 3.Byte der Netzwerkadresse. Die WAN-Verbindungen erhalten IPX-Adressen bestehend aus 0x100 + IPX-Adresse des Admin.-Netzes, das verbunden ist. Data-Center<->Service-Center Service-Center S.-C. <-> Sunset Sunset S.-C. <-> Acacia Acacia S.-C. <-> Mount.S MountainSky Elmar Schlenker A. Brickwedde Freitag, 31. März 2017

18 IGRP-Routing Die Verbindungen zwischen den 3 Backbone-Routern sorgen für Redundanz. Sobald eine der Verbindungen unterbrochen wird sind immer noch alle Hosts erreichbar. Es muss ein Routing-Protokoll verwendet werden. Wie z.B. IGRP Elmar Schlenker A. Brickwedde Freitag, 31. März 2017

19 IGRP-Routing IGRP wird auf allen Routern des Netzes aktiviert, AS-Number soll 100 sein. Z.B. in Acacia: router igrp 100 network network Auf dem router.service: router igrp 100 network Elmar Schlenker A. Brickwedde Freitag, 31. März 2017

20 ACLs, an den Schulen Der Zugriff aus dem Curriculum-Netz auf jedes der vorhandenen Administrations-Netze ist verboten, bis auf den Zugriff auf die lokalen Server. Zugriff auf das Curriculum-Netz aus einem anderen Curr.-Netz ist verboten. Zugriff aus dem Internet auf eines der Netze ist nicht möglich, da NAT (Network Address Translation) verwendet wird und ACLs Zugriffe verhindern. Interface Ethernet0 out (Admin): permit ip deny ip any permit ip any Interface Ethernet1 out (Curr): deny ip any permit ip any Elmar Schlenker A. Brickwedde Freitag, 31. März 2017

21 ACLs, an den Stützpunkten
Das Netz am Stützpunkt wird von den Servern der angeschlossenen Schulen genutzt und beinhaltet selber Arbeitsplätze. Zugriff aus jeglichem Curriculum-Netz ist untersagt. Interface Ethernet0 out: deny ip any permit ip any Elmar Schlenker A. Brickwedde Freitag, 31. März 2017

22 ACLs, am Data-Center Das öffentliche Netz im Data-Center steht allen internen Nutzern als auch dem Internet zur Verfügung. Zugriff auf den Router ( ), bzw. IP-Verkehr der durch den Router maskiert wird (NAT) ist erlaubt. Interface Ethernet0 (Public) in: permit ip any host deny ip any Zusätzlich wird NAT für alle internen Adressen /16 aktiviert. Elmar Schlenker A. Brickwedde Freitag, 31. März 2017

23 ACLs, am Internet-Gateway
Das öffentliche Netz im Data-Center ist von außen frei erreichbar und sollte deshalb besonders restriktiv gesichert werden, d.h. alle Dienste müssen explizit freigegeben werden. Interface Ethernet0 (Public) out: permit tcp any host eq 53 permit udp any host eq 53 permit tcp any host eq 80 permit tcp any host eq 25 permit ip any host deny ip any Elmar Schlenker A. Brickwedde Freitag, 31. März 2017

24 Sicherheit Allgemein Prinzipiell sollte man sich nicht nur auf ACL‘s verlassen sondern auf sichere Arbeitsplätze achten. Trojaner können die besten ACL‘s, Proxie‘s und Firewall‘s überwinden und so Hintertüren öffnen. Ebenso eigenmächtig installierte Modeme und Fernzugänge. Zusätzliche Kontrolle über suspekte Vorgänge im Netz bieten netzwerk-basierte Intrusion-Detection-Systeme, welche Trojaner-Traffic, Viren, aktive Angriffe u.v.m. erkennen und melden können. Sogenannte Sensoren, in allen Netzen verteilt, sammeln Daten und übermitteln diese an einen zentralen Server. Elmar Schlenker A. Brickwedde Freitag, 31. März 2017

25 Benötigte Hardware Acacia-LAN: EV-Preise im DM
Switches: 2* Catalyst 2948G 48*10/100 2* je * Catalyst 2980G 80*10/100 2* * 1000BaseSX-Modul je Hubs: 120 FastHub *10/100 je Router: 1* Cisco 1605-R * 1-Port Serial WAN (NM-1T) Elmar Schlenker A. Brickwedde Freitag, 31. März 2017

26 Benötigte Hardware Backbone-WAN: EV-Preise im DM
Router: 3* Cisco NM 2*10/100 je * 4-Port Serial WAN (NM-4T) je * X.21-G703-Konverter je (inkl. DCE an Schulen) Elmar Schlenker A. Brickwedde Freitag, 31. März 2017

27 Benötigte Hardware Public-Netzwerk: EV-Preise im DM Router:
1* Cisco 1605-R * IOS IP/FW * 1-Port Serial WAN (NM-1T) Switch: 1* Catalyst *10/ Elmar Schlenker A. Brickwedde Freitag, 31. März 2017

Herunterladen ppt "Threaded Case Study Alexander Brickwedde Elmar Schlenker"

Ähnliche Präsentationen

Aufbau eines Netzwerkes

Aufbau eines Netzwerkes
Von Hubs zu VLANs.

Von Hubs zu VLANs.
Powerpoint-Präsentation

Powerpoint-Präsentation
Sichere Anbindung kleiner Netze ans Internet

Sichere Anbindung kleiner Netze ans Internet
für das Schulnetz der BS Roth

für das Schulnetz der BS Roth
Präsentation von Daniel Hörl

Präsentation von Daniel Hörl
Die Firewall in der Musterlösung

Die Firewall in der Musterlösung
Wie kann ich die Bundespolitik und damit die Bundesgesetze beeinflussen? Wahl zum Bundestag 27.03.2017.

Wie kann ich die Bundespolitik und damit die Bundesgesetze beeinflussen? Wahl zum Bundestag
Projekt Netzwerk von Tobias Dickel, Moritz Gesing, Daniel Jochem, Matthias Meister, Marc Nue und Moritz Raasch.

Projekt Netzwerk von Tobias Dickel, Moritz Gesing, Daniel Jochem, Matthias Meister, Marc Nue und Moritz Raasch.
Kirsten Kropmanns Allgemeine Technologien II 21. April 2009

Kirsten Kropmanns Allgemeine Technologien II 21. April 2009
C.M. Presents D.A.R. und Ein Bisschen dies und das!

C.M. Presents D.A.R. und Ein Bisschen dies und das!
Dr. Hergen Scheck, BBS Lüchow, 2003

Dr. Hergen Scheck, BBS Lüchow, 2003
Technische Informatik II Vorlesung 12bis: Mehr über Security Sommersemester 2001 Prof. Peter B. Ladkin PhD Universität Bielefeld.

Technische Informatik II Vorlesung 12bis: Mehr über Security Sommersemester 2001 Prof. Peter B. Ladkin PhD Universität Bielefeld.
Universitätsrechenzentrum Heidelberg Hartmuth Heldt HD-Net Backbone 1 HD-Net Backbone Stand: 1/2003.

Universitätsrechenzentrum Heidelberg Hartmuth Heldt HD-Net Backbone 1 HD-Net Backbone Stand: 1/2003.
Universität Heidelberg Rechenzentrum Hartmuth Heldt Sicherheitskonzept - Netzwerk 1.

Universität Heidelberg Rechenzentrum Hartmuth Heldt Sicherheitskonzept - Netzwerk 1.
Fli4l Der Ein-Disketten-Router von Sebastian Röhl von Sebastian Röhl.

Fli4l Der Ein-Disketten-Router von Sebastian Röhl von Sebastian Röhl.
Der IPCOP-Router Bastian Neubarth 28.03.2008.

Der IPCOP-Router Bastian Neubarth
Einführung in die Technik des Internets

Einführung in die Technik des Internets
Strukturierte Verkabelung

Strukturierte Verkabelung
CCNA2 – Module 11 Access Control Lists

CCNA2 – Module 11 Access Control Lists

Ähnliche Präsentationen

Google-Anzeigen