Difference between revisions of "CCDP-Campus Viborg/Opgave 2/GruppeSkrammel"

From Teknologisk videncenter
Jump to: navigation, search
Line 2: Line 2:
  
 
HSRP, UDLD
 
HSRP, UDLD
 +
 +
Access List
  
 
IDS/IPS
 
IDS/IPS
 +
Intrusion Detection and Prevention System
 +
 +
Wireless Controller (min 2 enheder for redundans)
  
 +
NAC (min 2 enheder for redundans)
 +
Network Admission Control - Cisco's svar på Network Access Control
  
  
Line 11: Line 18:
 
STP – kun Portfast med BPDU guard
 
STP – kun Portfast med BPDU guard
  
PoE (IP-telefoner og AP)
+
PoE (IP-telefoner og AP'er)
  
  
Line 28: Line 35:
 
For at kunne vedligeholde netværket proaktivt frem for reaktivt, så er det nødvendigt med en netværksovervågningsløsning. SNMPv2 eksisterer på det meste udstyr som standard. Version 1 og 2 har den svaghed, at community strings sendes i klar tekst, men da kun read-only mode konfigureres, så vil en eventuel spoofer kun kunne se konfigurationer, men ikke ændre dem.
 
For at kunne vedligeholde netværket proaktivt frem for reaktivt, så er det nødvendigt med en netværksovervågningsløsning. SNMPv2 eksisterer på det meste udstyr som standard. Version 1 og 2 har den svaghed, at community strings sendes i klar tekst, men da kun read-only mode konfigureres, så vil en eventuel spoofer kun kunne se konfigurationer, men ikke ændre dem.
  
*Triangulær redundans hvor muligt på alle lag, bortset fra egress ISP
+
*Triangulær redundans hvor det er muligt på alle lag, bortset fra egress ISP
  
 
*QoS  
 
*QoS  
Line 34: Line 41:
  
 
*Firewall inkl. NAT/PAT
 
*Firewall inkl. NAT/PAT
 +
En fysisk stateful firewall sikrer netværket imod uvedkommende adgang til netværket. På en firewall placeret mod WAN/ISP vil kun netværksforbindelser indefra godkendes, med mindre andet er konfigureret. NAT og PAT
  
 
*Proxy server - Web Security Gateway Software (Port 80 lukkes!)
 
*Proxy server - Web Security Gateway Software (Port 80 lukkes!)

Revision as of 17:07, 7 September 2010

Distribution:

HSRP, UDLD

Access List

IDS/IPS Intrusion Detection and Prevention System

Wireless Controller (min 2 enheder for redundans)

NAC (min 2 enheder for redundans) Network Admission Control - Cisco's svar på Network Access Control


Access:

STP – kun Portfast med BPDU guard

PoE (IP-telefoner og AP'er)


Elementer i netværket

  • IEEE 802.1Q (Trunks)

I dette netværk er der valgt 802.1Q som encapsulation for at højne sikkerheden på uplinks.

  • IS-IS er den valgte rutningsprotokol

Vi har gjort os overvejelser omkring hvilke routing protokoller der er lettest at vedligeholde kontra protokollens evne til at konvergere samt CIDR og VLSM. Da kunden forventer omfattende brug af IPT, som er følsom på nedetid, så har vi valgt en hurtigt konvergerende routing protokol som IS-IS.

  • Netværksovervågning med SNMPv2 traps for monitorering i read-only mode

For at kunne vedligeholde netværket proaktivt frem for reaktivt, så er det nødvendigt med en netværksovervågningsløsning. SNMPv2 eksisterer på det meste udstyr som standard. Version 1 og 2 har den svaghed, at community strings sendes i klar tekst, men da kun read-only mode konfigureres, så vil en eventuel spoofer kun kunne se konfigurationer, men ikke ændre dem.

  • Triangulær redundans hvor det er muligt på alle lag, bortset fra egress ISP
  • QoS

Kritisk netværkstrafik garanteres.

  • Firewall inkl. NAT/PAT

En fysisk stateful firewall sikrer netværket imod uvedkommende adgang til netværket. På en firewall placeret mod WAN/ISP vil kun netværksforbindelser indefra godkendes, med mindre andet er konfigureret. NAT og PAT

  • Proxy server - Web Security Gateway Software (Port 80 lukkes!)

Vi har valgt en proxy server løsning med WebSense. Denne løsning bidrager med håndtering af policy baseret web trafik. Port 80 lukkes med henblik på at netværkstrafik dirigeres uden om proxy serveren.

  • Network Backup Tool i form af eksempelvis CatTool

En backupløsning vedrørende netværkskonfigurationer er særligt vigtig i tilfælde af utilsigtet konfigurationsændring, således at konfigurationer kan genskabes via en telnet session med CatTools. Desuden kan CatTool benyttes til skemalagte og andre koordinerede netværksændringer.

  • UPS

Et nødstrømsanlæg sikrer mod evt. strømafbrydelse. Størrelsen på UPS'en afhænger af det garanti der stilles i SLA'en.