CCDA - Viborg Kommune - Project
Indledning
Da der skulle laves et nyt rådhus i Viborg, blev vi bedt om at lave et tilbud over det samlede netværk i Viborg kommune og dertil hørende skoler og institutioner. Ud fra de oplysninger vi har fået fra Viborg kommune, er der blevet udarbejdet et netværks design, hvilket vi vil gennemgå i dette design dokument.
Design Krav
Kommunalt netværk
Der er stillet krav om et kommunalt netværk, til deling af data mellem de skoler, institutioner og borgercentre, som hører under Viborg kommune, teknisk forvaltning og Viborg rådhus. Dette vil blive lavet via en MPLS opkobling. Vi har valgt dette på baggrund af den større oppetid MPLS har, samt en nemmere administration, frem for en Site-to-Site VPN. Viborg teknisk forvaltning vil blive koblet op til Viborg rådhus via fiber, da det er en engangs investering frem for en månedlig betaling til MPLS, og vil via Viborg rådhus kunne tilgå det kommunale netværk og des data.
Adgang til intern mail
Der er stillet krav om tilgang til intern mail, via Outlook og/eller via webmail. Vi giver mulighed for tilgang til mail via Outlook, såfremt man har tilgang til det interne net. Outlook vil kun kunne bruges hvis man er tilkoblet det interne net, enten ved at være tilsluttet til det, eller opkoblet via VPN. Har man ikke mulighed for at tilgå det interne net, vil det være muligt at tilgå webmail via webVPN.
Trådløst internet
Kravet om trådløst internet på kommunen og teknisk forvaltning, vil blive løst via opsætning af Access points og en WLAN controller. Der vil blive lavet to SSID, et til brug for de ansatte i Viborg kommune, og et til eksterne folk og konsulenter der skal udføre arbejde for kommunen. De to trådløse netværk vil være på hver deres VLAN.
IP-Telefoni
Der er stillet krav om VoIP, dette vil vi løse via opsættelse af et sepperate VLAN til VoIP, for at sikker fortrollig smataler. Der vil også blive opsat QoS for at sikker tale kvaliteten.
Hjemmearbejdspladser med IP-Telefoni
De hjemmearbejdspladser hvor der er ønske om IP-Telefoni via kommunens netværk, vil blive opkoblet på det kommunale netværk, via en separat ADSL linen. Dette vil give dem adgang til det interne net.
Hjemmearbejdspladser uden IP-Telefoni
De hjemmearbejdspladser hvor der ikke er krav om IP-Telefoni, vil få mulighed for at tilgå det via software VPN.
Intranet
Det vil være muligt at tilgå den interne hjemmeside via en web- eller software VPN opkobling.
Offentlig hjemmeside
Der vil blive oprette et DMZ netværk til de servere der skal kunne tilgås af offentligheden. Heriblandt hjemmesiden til kommunen og de forskellige borgercentre. DMZ netværket vil ikke være tilsluttet core laget, men i stedet være sluttet direkte til Edge modulet, og der vil ikke være mulighed for at tilgå core laget.
Nuværene
Da der er snakke om nybyggeri og re-design af netværket, vil der som udgangspunkt ikke blive brugt noget fra det gamle netværk. I tilfælde af at der er udstyr af samme type, som skal bruges i det nye netværk vil det blive genbrugt.
Design
De forskellige bygninger er opbygget i et modulært heraki design. Dette giver fordele i henhold til fejlfinding, begrænsning af skader ved fejl, samt lokalisering af fejl. De enkelte bygninger er bygget op med to distributions switche, og dertil flere Access switche. Access switchene er henholdsvis 48- og 24-ports. Der er 1 Gigabit forbindelse pr. Access switch op til distributions laget, og derfra 10 Gigabit op til Core laget. Der er vedlagt layout af Viborg Rådhus, Teknisk forvaltning, og borgercentrene, som Bilag 1A , Bilag 1B og Bilag 1C. De mindre borgercentre er ikke vedlagt, da deres design kun indeholder en layer 3 switch. Det totale design kan ses som Bilag 1D
Opkobling til det kommunale netværk
Borgercentrene vil alle være opkoblet til det kommunale netværk via MPLS, og derfor beskyttet imod indtrængen fra uvedkommende. Teknisk forvaltning vil være direkte opkoblet til core laget via fiber. Viborg rådhus vil være opkoblet til MPLS netværket for at give borgercentrene adgang til det kommunale netværk og des data. Dette vil sikker at der kun er adgang til det kommunale netværk og dermed den kommunale data via Viborg rådhus og dermed give en ensartet tilgang til det kommunale netværk, dette er nemmere at sikre med firewalls og giver dermed en bedre beskyttelse.
Opkobling til internettet
Viborg rådhus er det eneste sted hvor der er en opkobling til internettet. Dette betyder at alle borgercentrene og den tekniske forvaltning skal igennem Viborg rådhus for at komme på nettet. Dette er valgt for bedre at kunne sikre adgang til og fra internettet. Ved kun at have ét opkoblings punkt, skal der en mindre mængde udstyr til, og dermed færre konfigurationer. Dette giver en mindre sandsynlighed for fejl, og dermed mindre sandsynlighed for sikkerheds huller, som kan give uvedkommende adgang til det interne netværk.
Trådløst netværk
Der vil blive opsat to trådløse netværk, der vil dække henholdsvis rådhuset og den tekniske forvaltning. De to trådløse netværk vil bestå af 2 SSID’er, et tiltænkt interne kommunale medarbejder, og et til eksterne folk og konsulenter. Det trådløse netværk til eksterne folk vil kun have adgang til DMZ netværket, og vil derfor ikke have kontakt til det interne netværk. Det trådløse netværk til interne medarbejder vil have adgang til mail server, samt andre server uden følsom data. Ingen af de trådløse netværk vil som udgangspunkt have adgang til følsomt data. Det trådløse vil være opsat med 802.1x – WPA2 AES kryptering.
IP-adresse Planen
IP-adresse planen er lavet for at kunne give et simpelt overblik over netværket, og gøre det simpelt at lokaliser en fejl. IP-adresse planen er udtænkt med henblik på at lave summarization på core routerne for væsentligt at mindske belastningen på dem.
Redundans
De forskellige routere og layer 3 switche vil blive opsat i par med GLBP. Dette er for at sikre at netværket er redundant. Dette vil give en minimal nedetid. Da GLBP har indbygget Load-Balancing, vil der være en bedre fordeling af trafikken, frem for den manuelle måde i HSRP. Dette er gjort for at sikre at begge routere i parret vil blive belastet ligeligt.
Protokoller
Den grundliggende protokol i netværket vil være EIGRP, da den giver den største hastighed, og er yderst nem at konfigurere. Dette gør det muligt at forme den, så den yder bedst muligt i netværket. Der vil blive brugt GLBP til at sikre redundansen i mellem de enkelte routere, og layer 3 switche. Til overvågning vil der blive brugt SNMP. Derudover vil der blive brugt CDP til at sikre, at de enkelte IP-telefoner kommer på det rigtig VLAN.
IP-Telefoni
IP-Telefonien vil forgå på et separat VLAN, for at give bedre beskyttelse mod aflytning, samt beskyttelse mod indtrængen fra uvedkommende. Der vil blive opsat Quality of Service for at sikre den bedste mulige tale kvalitet. Det anbefales at der ikke bliver brugt trådløse telefoner, da kvaliteten på et trådløst netværk er let at påvirker, hvilket ikke er hensigtsmæssigt med VoIP.
Overvågning
Alt udstyret vil være SNMP enablet for at give mulighed for at overvåge netværket. Dette giver mulighed for at forhindre nedetid, på grund af udstyrets fejl.
Implementations plan
Da Viborg rådhus er et nybyggeri og indeholder selve core’en af netværket, vil dette være det første sted der vil blive sat netværk op. Dette gøres for at sikre at det andet netværks udstyr blot skal opsættes og tilsluttes for at virke. På denne måde genere vi heller ikke de ansattes arbejdsprocessor mere end højst nødvendigt. Den tekniske forvaltning og Viborg borgercenter vil blive opsat i hver sin weekend, hvorimod de resterende borgercentre vil blive sat op i samme weekend. Alt udstyret vil være konfigureret på forhånd, for at mindske tiden der skal bruges på at sætte det op på selve lokationen.