CCDA - Viborg Kommune - Project - Design
Contents
Design
De forskellige bygninger er opbygget i et modulært heraki design. Dette giver fordele i henhold til fejlfinding, begrænsning af skader ved fejl, samt lokalisering af fejl. De enkelte bygninger er bygget op med to distributions switche, og dertil flere Access switche. Access switchene er henholdsvis 48- og 24-ports. Der er 1 Gigabit forbindelse pr. Access switch op til distributions laget, og derfra 10 Gigabit op til Core laget. Der er vedlagt layout af Viborg Rådhus, Teknisk forvaltning, og borgercentrene, som Bilag 1A , Bilag 1B og Bilag 1C. De mindre borgercentre er ikke vedlagt, da deres design kun indeholder en layer 3 switch. Det totale design kan ses som Bilag 1D
Opkobling til det kommunale netværk
Borgercentrene vil alle være opkoblet til det kommunale netværk via MPLS, og derfor beskyttet imod indtrængen fra uvedkommende. Teknisk forvaltning vil være direkte opkoblet til core laget via fiber. Viborg rådhus vil være opkoblet til MPLS netværket for at give borgercentrene adgang til det kommunale netværk og des data. Dette vil sikker at der kun er adgang til det kommunale netværk og dermed den kommunale data via Viborg rådhus og dermed give en ensartet tilgang til det kommunale netværk, dette er nemmere at sikre med firewalls og giver dermed en bedre beskyttelse.
Opkobling til internettet
Viborg rådhus er det eneste sted hvor der er en opkobling til internettet. Dette betyder at alle borgercentrene og den tekniske forvaltning skal igennem Viborg rådhus for at komme på nettet. Dette er valgt for bedre at kunne sikre adgang til og fra internettet. Ved kun at have ét opkoblings punkt, skal der en mindre mængde udstyr til, og dermed færre konfigurationer. Dette giver en mindre sandsynlighed for fejl, og dermed mindre sandsynlighed for sikkerheds huller, som kan give uvedkommende adgang til det interne netværk.
Trådløst netværk
Der vil blive opsat to trådløse netværk, der vil dække henholdsvis rådhuset og den tekniske forvaltning. De to trådløse netværk vil bestå af 2 SSID’er, et tiltænkt interne kommunale medarbejder, og et til eksterne folk og konsulenter. Det trådløse netværk til eksterne folk vil kun have adgang til DMZ netværket, og vil derfor ikke have kontakt til det interne netværk. Det trådløse netværk til interne medarbejder vil have adgang til mail server, samt andre server uden følsom data. Ingen af de trådløse netværk vil som udgangspunkt have adgang til følsomt data. Det trådløse vil være opsat med 802.1x – WPA2 AES kryptering.
IP-adresse Planen
IP-adresse planen er lavet for at kunne give et simpelt overblik over netværket, og gøre det simpelt at lokaliser en fejl. IP-adresse planen er udtænkt med henblik på at lave summarization på core routerne for væsentligt at mindske belastningen på dem.
Redundans
De forskellige routere og layer 3 switche vil blive opsat i par med GLBP. Dette er for at sikre at netværket er redundant. Dette vil give en minimal nedetid. Da GLBP har indbygget Load-Balancing, vil der være en bedre fordeling af trafikken, frem for den manuelle måde i HSRP. Dette er gjort for at sikre at begge routere i parret vil blive belastet ligeligt.
Protokoller
Den grundliggende protokol i netværket vil være EIGRP, da den giver den største hastighed, og er yderst nem at konfigurere. Dette gør det muligt at forme den, så den yder bedst muligt i netværket. Der vil blive brugt GLBP til at sikre redundansen i mellem de enkelte routere, og layer 3 switche. Til overvågning vil der blive brugt SNMP. Derudover vil der blive brugt CDP til at sikre, at de enkelte IP-telefoner kommer på det rigtig VLAN.
IP-Telefoni
IP-Telefonien vil forgå på et separat VLAN, for at give bedre beskyttelse mod aflytning, samt beskyttelse mod indtrængen fra uvedkommende. Der vil blive opsat Quality of Service for at sikre den bedste mulige tale kvalitet. Det anbefales at der ikke bliver brugt trådløse telefoner, da kvaliteten på et trådløst netværk er let at påvirker, hvilket ikke er hensigtsmæssigt med VoIP.
Overvågning
Alt udstyret vil være SNMP enablet for at give mulighed for at overvåge netværket. Dette giver mulighed for at forhindre nedetid, på grund af udstyrets fejl.