Difference between revisions of "CCDP-Campus Viborg/Opgave 2/Gruppe1337"
(→BPDU Guard:) |
m |
||
(63 intermediate revisions by 4 users not shown) | |||
Line 40: | Line 40: | ||
<br> | <br> | ||
Fordele: | Fordele: | ||
− | -<font color=green> GLBP understøtter ægte Load Balancing. </font> | + | -''<font color=green> GLBP understøtter ægte Load Balancing. </font> |
<br> | <br> | ||
Ulemper: | Ulemper: | ||
− | -<font color=red> GLBP er Cisco proprietær. </font> | + | -''<font color=red> GLBP er Cisco proprietær. </font> |
Line 53: | Line 53: | ||
===SIKKERHED=== | ===SIKKERHED=== | ||
− | ====VRF | + | ====VRF==== |
− | ====VLAN | + | |
− | == | + | - Vi opsætter VRF for at kunne lave seperate layer 3 netværk. Dette vil højne sikkerheden ved at gruppere brugere mm. i logisk adskilte netværk. |
+ | <br> | ||
+ | Fordele: | ||
+ | -''<font color=green> Vi kan nemmere kontrollere brugernes adgang til forskellige netværks ressourcer. </font> | ||
+ | <br> | ||
+ | Ulemper: | ||
+ | -''<font color=red> VRF kræver megen konfiguration, da alle enheder skal konfigureres. </font> | ||
+ | |||
+ | ====VLAN==== | ||
+ | |||
+ | - Vi opsætter VLAN for at kunne separerer layer 2 netværk i logiske endheder. Dette vil mindske broadcast domænerne og mindske den adgang brugerne har til de enkelte netværks resourcer | ||
+ | <br> | ||
+ | Fordele: | ||
+ | - ''<font color=green>Mindskede bordcast domæner.</font> | ||
+ | - ''<font color=green>Mindskede adgang til de enkelte netværks resourcer</font> | ||
+ | <br> | ||
+ | Ulemper: | ||
+ | - ''<font color=red>Skal opsættes på alle switche.</font> | ||
+ | |||
====DHCP Snooping:==== | ====DHCP Snooping:==== | ||
+ | DHCP Snoopin vil vi bruge til og forhindre der er andre der udgiver sig for og være DHCP server end vores egentlige DHCP server og blokere trafik der forsøger | ||
+ | <br> | ||
+ | Fordele: | ||
+ | -''<font color=green>Forhindre at der er andre der udgiver sig for og være dhcp server end den rigtige dhcp server .</font> | ||
+ | |||
====Dynamic ARP Inspection:==== | ====Dynamic ARP Inspection:==== | ||
+ | Vi vil bruge ARP inspection til at minimere risikoen for ARP spoofing og poisoning dette gøre ved hjælp af DHCP snooping tabellen. | ||
+ | <br> | ||
+ | Fordele: | ||
+ | -''<font color=green> Minimere ARP spoofing og poisoning angreb.</font> | ||
+ | |||
====IP Source Guard:==== | ====IP Source Guard:==== | ||
− | ====ACL:==== | + | Forhindre IP spoofing adresser ved hjælp af DHCP snopping tabelen |
+ | <br> | ||
+ | Fordele: | ||
+ | -''<font color=green>Forhindre IP Spoofing.</font> | ||
+ | |||
+ | ====ACL==== | ||
+ | Vi vælger og bruge access control list til og styre adgang mellem de forskellige netværk's ressourcer. | ||
+ | <br> | ||
+ | Fordele: | ||
+ | -''<font color=green>Nem og effektiv måde og ha kontrol over adgange til dit netværk.</font> | ||
+ | ====VPN==== | ||
+ | - Der vil blive opsat vpn adgang til alle elever, gæster og peronale. Disse VPN'ere vil blive brugt til at fordele de enkelte personer på deres retmessig VLAN's og give mulighed for at arbejde hjemmefra. | ||
+ | Fordele: | ||
+ | - <font color=green>Simplere end 802.1x, NAC og NAP</font> | ||
+ | Ulemper: | ||
+ | - <font color=red>Ekstre omkostninger iform af udtyre til styring af VPN forbindelser</font> | ||
+ | |||
<br> | <br> | ||
---- | ---- | ||
+ | |||
+ | ===ACCESS=== | ||
+ | ====Port Fast==== | ||
+ | |||
+ | - Port fast sørger for at portene kommer op med det samme når der bliver tilkoblet noget. Og den sørger for at spanning tree ikke kommer ud på disse porte. | ||
+ | <br> | ||
+ | Fordele: | ||
+ | - ''<font color=green>Hurtig opkobling til access laget.</font> | ||
+ | - ''<font color=green>Ingen unødvendig trafik fra spanning tree.</font> | ||
+ | <br> | ||
+ | Ulemper: | ||
+ | - ''<font color=red>Kan skabe loops.</font> | ||
+ | |||
+ | ====WLAN==== | ||
+ | - Dette er for at optimere adgangen til netværket for de studerende samt lærere. | ||
+ | Fordele: | ||
+ | -''<font color=green> Nemmer adgang til netværket.</font> | ||
+ | -''<font color=green> Mulighed for adgang til netværket for trådløse enheder, så som telefoner.</font> | ||
+ | Ulemper: | ||
+ | -''<font color=red> Der skal laves ekstra sikkerhed for at sikker adgangen til netværket.</font> | ||
+ | -''<font color=red> I tilfælde af mange bruger kan det give problemmer med belastningen af netværket.</font> | ||
+ | -''<font color=red> Der kan ikke beskyttes måde forstyrrelser da det er et åbenet spektrum.</font> | ||
+ | |||
+ | ====Switchport Mode Access==== | ||
+ | |||
+ | - Switchport mode access, bliver brugt på porte hvor du er sikker på at næste device er et endpoint device (med enkelte undtagelser som cisco IP telefoni) | ||
+ | <br> | ||
+ | Fordele: | ||
+ | - ''<font color=green>Sikre at der kun bliver sendt et vlan ud gennem porten.</font> | ||
+ | - ''<font color=green>Giver et godt overblik for administrationen, hvis de telnetter til routeren (Hvis dokumentationen ikke er opdateret.)</font> | ||
+ | <br> | ||
+ | Ulemper: | ||
+ | - ''<font color=red>De 15 sekunder det tager at telnette til routeren og ændre det til en trunk, hvis man på et senere tidpunkt ønsker at få tilkoblet et device der skal have adgang til flere vlans.</font> | ||
− | |||
− | |||
− | |||
<br> | <br> | ||
---- | ---- | ||
+ | ===Performance=== | ||
+ | ====PAgP==== | ||
+ | - Vi opsætter PAgP for at skabe en større båndbred fra Access laget op til Distribution. | ||
+ | Fordele: | ||
+ | -''<font color=green> Dette vil midske belastningen på linket mellem Access og Distribution.</font> | ||
+ | -''<font color=green> Dette vil skabe et eller flere redondante links mellem Access og Distribution.</font> | ||
+ | |||
+ | ====Spanning Tree==== | ||
+ | |||
+ | - Alt efter hvordan designet af netværket udsiller sig, vælger vi enten at kører RPVST+ eller at kører helt uden spanning tree. | ||
+ | <br> | ||
+ | '''RPVST+''' | ||
+ | Fordele: | ||
+ | - ''<font color=green>RPVST+ har den fordel at du kan have spanning tree pr. vlan, som navnet siger. | ||
+ | ''Forestil dig dette senario. | ||
+ | ''Du har 20 switche, alle trunket sammen. Nu begynder en link at flappe, dette vil påvirke alle vlan's hvis du bruger | ||
+ | ''traditionel spanning tree. Med RPVST+ vil det kun påvirke det enkelte vlan.</font> | ||
+ | - ''<font color=green>Få opdelt netværket, for lettere fejlfinding, samt lettere administration, og adgang til de forskellige netværk.</font> | ||
+ | - ''<font color=green>Få stoppet broadcast storme, og genneral unødvendig trafik.</font> | ||
+ | - ''<font color=green>Sørge for at loops ikke kan opstå.</font> | ||
+ | <br> | ||
+ | Ulemper: | ||
+ | - ''<font color=red>CPU forbrug.</font> | ||
+ | - ''<font color=red>Unødvendig trafik hvis netværksdesignet unødvendigøre spanning tree.</font> | ||
+ | <br> | ||
+ | <br> | ||
+ | '''Uden Spanning Tree''' | ||
+ | Fordele: | ||
+ | - ''<font color=green>Lavere CPU forbrug.</font> | ||
+ | - ''<font color=green>Ingen unødvendig trafik med opdaterings pakker mm.</font> | ||
+ | <br> | ||
+ | Ulemper: | ||
+ | - ''<font color=red>Hvis netværks designet ikke tillader at undlade spanning tree, vil netværket kunne lave loops.</font> | ||
− | + | ====BPDU Guard==== | |
− | |||
− | |||
− | ====BPDU Guard | ||
- Vi vil konfigurere BPDU Guard på vores layer 2 switche hvor der i forvejen er konfigureret PortFast, for at forhindre elever mm. at sætte andet netværksudstyr på netværket samt for at afsikre loops på netværket. | - Vi vil konfigurere BPDU Guard på vores layer 2 switche hvor der i forvejen er konfigureret PortFast, for at forhindre elever mm. at sætte andet netværksudstyr på netværket samt for at afsikre loops på netværket. | ||
<br> | <br> | ||
Fordele: | Fordele: | ||
− | -<font color=green> Forhindre loops og andet netværksudstyr ved at lukke porten ned hvis den modtager en BPDU pakke.</font> | + | -''<font color=green> Forhindre loops og andet netværksudstyr ved at lukke porten ned hvis den modtager en BPDU pakke.</font> |
<br> | <br> | ||
− | ====QoS:==== | + | ====QoS==== |
− | ====ULDU:=== | + | - Der vil blive opsat QoS for at sikker at netværks trafik bliver prioteret alt efter vigtigheden. |
− | ====SNMP | + | Fordele: |
+ | -''<font color=green> Vigtig trafik vil få første priotet på netværket vilket vil midske changsen for at midste det</font> | ||
+ | Ulemper: | ||
+ | -''<font color=red> QoS på layer 2 er krævene at opsætte</font> | ||
+ | |||
+ | ====ULDU==== | ||
+ | - Der vil blive opsat ULDU for at sikker at linket mellem Distribution og Core og linknen internet i Core laget lukker i tilfælde af at man mister Transmitter bennet på linket. | ||
+ | Fordele: | ||
+ | -''<font color=green> Dette vil sikker at der ikke blive routet pakker på interfaces hvor der intet link er</font> | ||
+ | Ulempe: | ||
+ | -''<font color=red> Det vil skabe ekstre beslatning på CPU'en</font> | ||
+ | -''<font color=red> Det vil skabe ekstre beslatning på netværks linkene</font> | ||
+ | |||
+ | ====SNMP==== | ||
- Vi vil implementere SNMP i vores setup, så vi har overvågnings på vores netværk og udstyr. | - Vi vil implementere SNMP i vores setup, så vi har overvågnings på vores netværk og udstyr. | ||
<br> | <br> | ||
Fordele: | Fordele: | ||
- <font color=green>''SNMP giver nemmere og mere overskuelig information vedr. netværket og udstyr, på den måde er det nemmere at fejlfinde ved evt. fejl.''</font> | - <font color=green>''SNMP giver nemmere og mere overskuelig information vedr. netværket og udstyr, på den måde er det nemmere at fejlfinde ved evt. fejl.''</font> | ||
+ | ===Misc=== | ||
+ | ====PoE==== | ||
+ | - Der vil blive brugt PoE enabled switch på de switchs der skal suppotere det trådløse setup. | ||
+ | Fordele: | ||
+ | - <font color=green>Intet behøve for at træke strømkabler</font> | ||
+ | Ulemper: | ||
+ | - <font color=red>Pris</font> | ||
+ | |||
+ | == Layer Model == | ||
+ | [[Image:LayersModel.png]] | ||
== Downtime Calculation == | == Downtime Calculation == | ||
Line 114: | Line 241: | ||
Sikkerhed | Sikkerhed | ||
− | - VRF - Jonas | + | - VRF - Jonas <font color=green><done></font> |
− | - VLAN - Jonas | + | - VLAN - Jonas <font color=green><done></font> |
− | + | - DHCP Snooping - Jakob <font color=green><done></font> | |
− | - DHCP Snooping - Jakob | + | - Dynamic ARP Inspection - Jakob <font color=green><done></font> |
− | - Dynamic ARP Inspection - Jakob | + | - IP Source Guard - Jakob <font color=green><done></font> |
− | - IP Source Guard - Jakob | + | - ACL - Jakob <font color=green><done></font> |
− | - ACL - Jakob | ||
<br> | <br> | ||
Access | Access | ||
− | - Port Fast - Jeppe & Daniel | + | - Port Fast - Jeppe & Daniel <font color=green><done></font> |
− | - WLAN - Jonas | + | - WLAN - Jonas <font color=green><done></font> |
+ | - Switchport Mode Access - Jeppe & Daniel <font color=green><done></font> | ||
<br> | <br> | ||
Performance | Performance | ||
− | - PAgP - Jonas | + | - PAgP - Jonas <font color=green><done></font> |
− | - Spanning tree - Jeppe & Daniel | + | - Spanning tree - Jeppe & Daniel <font color=green><done></font> |
− | - BPDU Guard - Jeppe & Daniel | + | - BPDU Guard - Jeppe & Daniel <font color=green><done></font> |
− | - QoS - Jonas | + | - QoS - Jonas <font color=green><done></font> |
− | - ULDU - Jonas | + | - ULDU - Jonas <font color=green><done></font> |
- SNMP - Jeppe & Daniel <font color=green><done></font> | - SNMP - Jeppe & Daniel <font color=green><done></font> | ||
<br> | <br> |
Latest revision as of 11:25, 22 September 2010
Contents
Protocols
Routing Protocols
BGP - Border Gateway Protocol
- Vi vil implementere BGP i vores setup da vi på den måde kan distribuere route tabeller mellem satelit filialerne.
Fordele: - BGP er uafhængig af hops mellem routere på netværket. - BGP har et begrænset båndbredde overhead. - BGP er skalerbar.
Ulemper: - BGP kræver at fungerende layer 3 netværk for at fungere. - BGP kræver megen konfiguration og administration.
EIGRP - Enhanced Interior Gateway Routing Protocol
- Vi vil implementere EIGRP for at være i stand til at route internet i filialerne.
Fordele: - EIGRP er nem at konfigurere. - EIGRP er meget fleksibel, hvilket gør den egnet til næsten alle netværk.
Ulemper: - EIGRP er Cisco proprietær.
First Hop Redundancy Protocols
GLBP - Gateway Load Balancing Protocol
- Vi vil implementere GLBP frem for HSRP og VRRP for at mindske nedetid i tilfælde af nedbrud i distributionslaget.
Fordele: - GLBP understøtter ægte Load Balancing.
Ulemper: - GLBP er Cisco proprietær.
Technology
SIKKERHED
VRF
- Vi opsætter VRF for at kunne lave seperate layer 3 netværk. Dette vil højne sikkerheden ved at gruppere brugere mm. i logisk adskilte netværk.
Fordele: - Vi kan nemmere kontrollere brugernes adgang til forskellige netværks ressourcer.
Ulemper: - VRF kræver megen konfiguration, da alle enheder skal konfigureres.
VLAN
- Vi opsætter VLAN for at kunne separerer layer 2 netværk i logiske endheder. Dette vil mindske broadcast domænerne og mindske den adgang brugerne har til de enkelte netværks resourcer
Fordele: - Mindskede bordcast domæner. - Mindskede adgang til de enkelte netværks resourcer
Ulemper: - Skal opsættes på alle switche.
DHCP Snooping:
DHCP Snoopin vil vi bruge til og forhindre der er andre der udgiver sig for og være DHCP server end vores egentlige DHCP server og blokere trafik der forsøger
Fordele: -Forhindre at der er andre der udgiver sig for og være dhcp server end den rigtige dhcp server .
Dynamic ARP Inspection:
Vi vil bruge ARP inspection til at minimere risikoen for ARP spoofing og poisoning dette gøre ved hjælp af DHCP snooping tabellen.
Fordele: - Minimere ARP spoofing og poisoning angreb.
IP Source Guard:
Forhindre IP spoofing adresser ved hjælp af DHCP snopping tabelen
Fordele: -Forhindre IP Spoofing.
ACL
Vi vælger og bruge access control list til og styre adgang mellem de forskellige netværk's ressourcer.
Fordele: -Nem og effektiv måde og ha kontrol over adgange til dit netværk.
VPN
- Der vil blive opsat vpn adgang til alle elever, gæster og peronale. Disse VPN'ere vil blive brugt til at fordele de enkelte personer på deres retmessig VLAN's og give mulighed for at arbejde hjemmefra. Fordele: - Simplere end 802.1x, NAC og NAP Ulemper: - Ekstre omkostninger iform af udtyre til styring af VPN forbindelser
ACCESS
Port Fast
- Port fast sørger for at portene kommer op med det samme når der bliver tilkoblet noget. Og den sørger for at spanning tree ikke kommer ud på disse porte.
Fordele: - Hurtig opkobling til access laget. - Ingen unødvendig trafik fra spanning tree.
Ulemper: - Kan skabe loops.
WLAN
- Dette er for at optimere adgangen til netværket for de studerende samt lærere. Fordele: - Nemmer adgang til netværket. - Mulighed for adgang til netværket for trådløse enheder, så som telefoner. Ulemper: - Der skal laves ekstra sikkerhed for at sikker adgangen til netværket. - I tilfælde af mange bruger kan det give problemmer med belastningen af netværket. - Der kan ikke beskyttes måde forstyrrelser da det er et åbenet spektrum.
Switchport Mode Access
- Switchport mode access, bliver brugt på porte hvor du er sikker på at næste device er et endpoint device (med enkelte undtagelser som cisco IP telefoni)
Fordele: - Sikre at der kun bliver sendt et vlan ud gennem porten. - Giver et godt overblik for administrationen, hvis de telnetter til routeren (Hvis dokumentationen ikke er opdateret.)
Ulemper: - De 15 sekunder det tager at telnette til routeren og ændre det til en trunk, hvis man på et senere tidpunkt ønsker at få tilkoblet et device der skal have adgang til flere vlans.
Performance
PAgP
- Vi opsætter PAgP for at skabe en større båndbred fra Access laget op til Distribution. Fordele: - Dette vil midske belastningen på linket mellem Access og Distribution. - Dette vil skabe et eller flere redondante links mellem Access og Distribution.
Spanning Tree
- Alt efter hvordan designet af netværket udsiller sig, vælger vi enten at kører RPVST+ eller at kører helt uden spanning tree.
RPVST+ Fordele: - RPVST+ har den fordel at du kan have spanning tree pr. vlan, som navnet siger. Forestil dig dette senario. Du har 20 switche, alle trunket sammen. Nu begynder en link at flappe, dette vil påvirke alle vlan's hvis du bruger traditionel spanning tree. Med RPVST+ vil det kun påvirke det enkelte vlan. - Få opdelt netværket, for lettere fejlfinding, samt lettere administration, og adgang til de forskellige netværk. - Få stoppet broadcast storme, og genneral unødvendig trafik. - Sørge for at loops ikke kan opstå.
Ulemper: - CPU forbrug. - Unødvendig trafik hvis netværksdesignet unødvendigøre spanning tree.
Uden Spanning Tree Fordele: - Lavere CPU forbrug. - Ingen unødvendig trafik med opdaterings pakker mm.
Ulemper: - Hvis netværks designet ikke tillader at undlade spanning tree, vil netværket kunne lave loops.
BPDU Guard
- Vi vil konfigurere BPDU Guard på vores layer 2 switche hvor der i forvejen er konfigureret PortFast, for at forhindre elever mm. at sætte andet netværksudstyr på netværket samt for at afsikre loops på netværket.
Fordele: - Forhindre loops og andet netværksudstyr ved at lukke porten ned hvis den modtager en BPDU pakke.
QoS
- Der vil blive opsat QoS for at sikker at netværks trafik bliver prioteret alt efter vigtigheden. Fordele: - Vigtig trafik vil få første priotet på netværket vilket vil midske changsen for at midste det Ulemper: - QoS på layer 2 er krævene at opsætte
ULDU
- Der vil blive opsat ULDU for at sikker at linket mellem Distribution og Core og linknen internet i Core laget lukker i tilfælde af at man mister Transmitter bennet på linket. Fordele: - Dette vil sikker at der ikke blive routet pakker på interfaces hvor der intet link er Ulempe: - Det vil skabe ekstre beslatning på CPU'en - Det vil skabe ekstre beslatning på netværks linkene
SNMP
- Vi vil implementere SNMP i vores setup, så vi har overvågnings på vores netværk og udstyr.
Fordele: - SNMP giver nemmere og mere overskuelig information vedr. netværket og udstyr, på den måde er det nemmere at fejlfinde ved evt. fejl.
Misc
PoE
- Der vil blive brugt PoE enabled switch på de switchs der skal suppotere det trådløse setup. Fordele: - Intet behøve for at træke strømkabler Ulemper: - Pris
Layer Model
Downtime Calculation
Cisco used to publish this information in the data sheets, in fact you used to be able to find the MTBF and MTTR.
While trying to provide a detailed analysis of availability for a client's data center design we required some MTBF and MTTR numbers for the calculations. When we couldn't find the data in the regular channels (CCO) we hit the Cisco sales team for some info. There was an issue with them finding it and we wound up talking to product managers back in San Jose.
The long and short of it was this; Cisco doesn't publish those numbers anymore because they can be misleading and are very misunderstood by clients. The interrelation between the software and hardware components of the network devices can cause issues that cannot be calculated effectively in MTBF. If the MTBF rates the hardware components (as mentioned above, the MTBF is good for the chassis) but a software bug causes a company's router to go down a week after it was put on line then the customer sees the ~400,000 hr MTFB as a false number and then the customer is dissapointed in the device's performance.
We did finally manage to get the MTBF numbers for the devices we were analyzing. When the calculations were done the supposedly five 9's data center had network hardware that could only provide three 9's, mathamatically speaking. Did this really mean that the data center was going to fail more often with this design and hardware? No, there are other mitigating factors to compensate for this, however when the simple math is done it looks really bad.
The moral of the story is that when it comes to MTBF...your mileage may vary, A LOT!
//Reference "Henrik Kjær, Network Support Engineer, NetDesign A/S"
Lektier
Sikkerhed - VRF - Jonas <done> - VLAN - Jonas <done> - DHCP Snooping - Jakob <done> - Dynamic ARP Inspection - Jakob <done> - IP Source Guard - Jakob <done> - ACL - Jakob <done>
Access - Port Fast - Jeppe & Daniel <done> - WLAN - Jonas <done> - Switchport Mode Access - Jeppe & Daniel <done>
Performance - PAgP - Jonas <done> - Spanning tree - Jeppe & Daniel <done> - BPDU Guard - Jeppe & Daniel <done> - QoS - Jonas <done> - ULDU - Jonas <done> - SNMP - Jeppe & Daniel <done>