Difference between revisions of "CCDP-Campus Viborg/Opgave 2/GruppeSkrammel"
Rene harboe (talk | contribs) (New page: RSTP hvis STP UDLD HSRP / VRRP, GLBP QoS EtherChannel: PAgP / LACP Core: HSRP, UDLD Distribution: Access: STP – kun Portfast med BPDU guard IEEE 802.1Q (Trunks) Netværksovervårg...) |
m |
||
(62 intermediate revisions by 3 users not shown) | |||
Line 1: | Line 1: | ||
− | + | '''Distribution:''' | |
− | |||
− | |||
− | |||
− | |||
− | |||
HSRP, UDLD | HSRP, UDLD | ||
+ | Call Manager | ||
− | + | Access List | |
+ | IDS/IPS | ||
+ | Intrusion Detection and Prevention System | ||
+ | |||
+ | Wireless Controller (min 2 enheder for redundans) | ||
+ | |||
+ | NAC (min 2 enheder for redundans) | ||
+ | Network Admission Control - Cisco's svar på Network Access Control | ||
+ | |||
+ | |||
+ | '''Access:''' | ||
− | |||
STP – kun Portfast med BPDU guard | STP – kun Portfast med BPDU guard | ||
+ | PoE (IP-telefoner og AP'er) | ||
+ | |||
+ | |||
+ | '''Elementer i netværket''' | ||
+ | |||
+ | *IEEE 802.1Q (Trunks) | ||
+ | |||
+ | I dette netværk er der valgt 802.1Q som encapsulation for at højne sikkerheden på uplinks. | ||
+ | |||
+ | *BGP er den valgte rutningsprotokol | ||
+ | |||
+ | Vi har gjort os overvejelser omkring hvilke routing protokoller der er lettest at vedligeholde, kontra protokollens evne til at konvergere, samt mulighed for CIDR og VLSM. Da kunden efterspørger et netværk baseret på BGP, vælger vi at benytte os denne protokol, selvom vi hellere ville have brugt IS-IS. | ||
+ | |||
+ | '''Fordele og ulemper ved BGP'''<br> | ||
+ | ''Fordele:''<br> | ||
+ | BGP er egnet til at køre komplekse apllikationer med mange "stier" / ruter igang på samme tid.<br> | ||
+ | Ved manuel konfiguration kan man ved hjælp af protokollens politiker beskytte brugeren for miskonfigurationer og fejl fra udbyderens side.<br> | ||
+ | Med et solidt subnet design, er behovet for at ændre BGP netværksopsætningen på sigt unødvendig. <br> | ||
+ | <br> | ||
+ | ''Ulemper''<br> | ||
+ | BGP er ikke helt enkel at konfigurere, enkelte opsætninger skal koordineres med ISP'en. <br> | ||
+ | Konfiguration af politikker kan tage en væsentlig tid til opsæætning af hver router, og jo flere politikker der er des mere skal der konfigureres.<br> | ||
+ | |||
+ | |||
+ | |||
+ | *Netværksovervågning med SNMPv2 traps for monitorering i read-only mode | ||
+ | |||
+ | For at kunne vedligeholde netværket proaktivt frem for reaktivt, så er det nødvendigt med en netværksovervågningsløsning. SNMPv2 eksisterer på det meste udstyr som standard. Version 1 og 2 har den svaghed, at community strings sendes i klar tekst, men da kun read-only mode konfigureres, så vil en eventuel spoofer kun kunne se konfigurationer, men ikke ændre dem. | ||
+ | |||
+ | *QoS | ||
+ | Kritisk netværkstrafik garanteres. | ||
+ | |||
+ | *Firewall inkl. NAT/PAT | ||
+ | En fysisk stateful firewall sikrer netværket imod uvedkommende adgang til netværket. På en firewall placeret mod WAN/ISP vil kun netværksforbindelser indefra godkendes, med mindre andet er konfigureret. NAT (Network Address Translation) gør det muligt at oversætte private IP-adresser til offentlige. PAT (Port Address Translation) er en udvidelse af NAT og har det formål at oversætte egress porten til en ande ingress port. | ||
+ | |||
+ | *Proxy server - Web Security Gateway Software (Port 80 lukkes!) | ||
+ | Vi har valgt en proxy server løsning med WebSense. Denne løsning bidrager med håndtering af policy baseret web trafik. Port 80 lukkes med henblik på at netværkstrafik dirigeres uden om proxy serveren. Case studies viser, at man skal overveje hvilke emner, termer og ord man bandlyser med omhu, da lødig søgning på internettet indeholdende disse bliver blokeret. Et eksempel kunne være ordet ''sex'', som af nogle brugere søges på uden arbejdsmæssig relevans, mens seksual- eller sygeplejeunderviseren ikke vil kunne finde materiale i en faglig kontekst med dette ord. | ||
+ | |||
+ | *Network Backup Tool i form af eksempelvis CatTool | ||
+ | En backupløsning vedrørende netværkskonfigurationer er særligt vigtig i tilfælde af utilsigtet konfigurationsændring, således at konfigurationer kan genskabes via en telnet session med CatTools. Desuden kan CatTool benyttes til skemalagte og andre koordinerede netværksændringer. | ||
+ | |||
+ | *UPS | ||
+ | Et nødstrømsanlæg sikrer mod evt. strømafbrydelse. Størrelsen på UPS'en afhænger af de garantier der stilles i SLA'en. Et køleanlæg samt nødkøleanlæg tilkobles UPS'en. Nødstrømsanlæg og køling kontrolleres halvårligt, således at dieselolie på nødstrøm skiftes og motorer efterses. Hovedstrøm og køleanlæg tilsluttes egne grupper i hovedstrømsrelæ, således at køleanlægget ikke afbrydes hvis hovedstrømmen afbrydes og vice versa. | ||
− | + | *Triangulær redundans hvor det er muligt på alle lag, bortset fra egress ISP | |
− | |||
− | Triangulær redundans hvor muligt på alle lag, bortset fra egress ISP |
Latest revision as of 11:25, 22 September 2010
Distribution:
HSRP, UDLD Call Manager
Access List
IDS/IPS Intrusion Detection and Prevention System
Wireless Controller (min 2 enheder for redundans)
NAC (min 2 enheder for redundans) Network Admission Control - Cisco's svar på Network Access Control
Access:
STP – kun Portfast med BPDU guard
PoE (IP-telefoner og AP'er)
Elementer i netværket
- IEEE 802.1Q (Trunks)
I dette netværk er der valgt 802.1Q som encapsulation for at højne sikkerheden på uplinks.
- BGP er den valgte rutningsprotokol
Vi har gjort os overvejelser omkring hvilke routing protokoller der er lettest at vedligeholde, kontra protokollens evne til at konvergere, samt mulighed for CIDR og VLSM. Da kunden efterspørger et netværk baseret på BGP, vælger vi at benytte os denne protokol, selvom vi hellere ville have brugt IS-IS.
Fordele og ulemper ved BGP
Fordele:
BGP er egnet til at køre komplekse apllikationer med mange "stier" / ruter igang på samme tid.
Ved manuel konfiguration kan man ved hjælp af protokollens politiker beskytte brugeren for miskonfigurationer og fejl fra udbyderens side.
Med et solidt subnet design, er behovet for at ændre BGP netværksopsætningen på sigt unødvendig.
Ulemper
BGP er ikke helt enkel at konfigurere, enkelte opsætninger skal koordineres med ISP'en.
Konfiguration af politikker kan tage en væsentlig tid til opsæætning af hver router, og jo flere politikker der er des mere skal der konfigureres.
- Netværksovervågning med SNMPv2 traps for monitorering i read-only mode
For at kunne vedligeholde netværket proaktivt frem for reaktivt, så er det nødvendigt med en netværksovervågningsløsning. SNMPv2 eksisterer på det meste udstyr som standard. Version 1 og 2 har den svaghed, at community strings sendes i klar tekst, men da kun read-only mode konfigureres, så vil en eventuel spoofer kun kunne se konfigurationer, men ikke ændre dem.
- QoS
Kritisk netværkstrafik garanteres.
- Firewall inkl. NAT/PAT
En fysisk stateful firewall sikrer netværket imod uvedkommende adgang til netværket. På en firewall placeret mod WAN/ISP vil kun netværksforbindelser indefra godkendes, med mindre andet er konfigureret. NAT (Network Address Translation) gør det muligt at oversætte private IP-adresser til offentlige. PAT (Port Address Translation) er en udvidelse af NAT og har det formål at oversætte egress porten til en ande ingress port.
- Proxy server - Web Security Gateway Software (Port 80 lukkes!)
Vi har valgt en proxy server løsning med WebSense. Denne løsning bidrager med håndtering af policy baseret web trafik. Port 80 lukkes med henblik på at netværkstrafik dirigeres uden om proxy serveren. Case studies viser, at man skal overveje hvilke emner, termer og ord man bandlyser med omhu, da lødig søgning på internettet indeholdende disse bliver blokeret. Et eksempel kunne være ordet sex, som af nogle brugere søges på uden arbejdsmæssig relevans, mens seksual- eller sygeplejeunderviseren ikke vil kunne finde materiale i en faglig kontekst med dette ord.
- Network Backup Tool i form af eksempelvis CatTool
En backupløsning vedrørende netværkskonfigurationer er særligt vigtig i tilfælde af utilsigtet konfigurationsændring, således at konfigurationer kan genskabes via en telnet session med CatTools. Desuden kan CatTool benyttes til skemalagte og andre koordinerede netværksændringer.
- UPS
Et nødstrømsanlæg sikrer mod evt. strømafbrydelse. Størrelsen på UPS'en afhænger af de garantier der stilles i SLA'en. Et køleanlæg samt nødkøleanlæg tilkobles UPS'en. Nødstrømsanlæg og køling kontrolleres halvårligt, således at dieselolie på nødstrøm skiftes og motorer efterses. Hovedstrøm og køleanlæg tilsluttes egne grupper i hovedstrømsrelæ, således at køleanlægget ikke afbrydes hvis hovedstrømmen afbrydes og vice versa.
- Triangulær redundans hvor det er muligt på alle lag, bortset fra egress ISP