Elmar Schlenker - PowerPoint PPT Presentation

About This Presentation
Title:

Elmar Schlenker

Description:

Title: IP-Adressierung Author: Zuhause Last modified by: Zuhause Created Date: 11/20/2001 9:29:40 AM Document presentation format: Bildschirmpr sentation – PowerPoint PPT presentation

Number of Views:37
Avg rating:3.0/5.0
Slides: 28
Provided by: Zuh2
Category:

less

Transcript and Presenter's Notes

Title: Elmar Schlenker


1
Threaded Case Study
Alexander Brickwedde Elmar Schlenker
Fachhochschule Osnabrück Fachbereich
Elektrotechnik und Informatik
2
Bedingungen und Vorgaben
Zeitrahmen - für die kommenden 7-10 Jahre
geplant Bandbreite - Host min.1Mbps - Server
min.100Mbps Layer3-Protokolle -
ausschließlich TCP/IP und Novell
IPX LAN-Struktur - zwei getrennte Netze
(Curriculum / Administration )
3
Bedingungen und Vorgaben
Rechnerräume - 4 x Cat5-Leitungen (3 x Curr., 1
x Admin.) - 24 x Curriculum, 1 x
Administration Addressing - alle
Admin.-Rechner erhalten statische Adressen -
alle Curr.-Rechner erhalten dynamische Adressen
per DHCP Access Control List - Alle Zugriffe
aus dem Internet sind untersagt - Zugriffe aus
dem Curr.Netz auf das Admin.Netz sind beschränkt
- Zugriff aus dem Admin.Netz auf Hosts im
Curr.Netz sind möglich
4
1..
2..
3..
4..
Räumliche Aufteilung
5..
6..
5
Auszug aus der Wiring List
6
Wiring Plan schematische Darstellung
MDF 31 Räume 93 Ports (Curr.) 31 Ports (Admin.)
IDF 9 Räume 27 Ports (Curr.) 9 Ports (Admin.)
Multimode Fiber
Category 5 UTP
7
LAN - Topologie
WAN
1
VCC
VCC
1
2
80 Port
48 Port
48 Port
HCC
HCC
IDF
MDF
Class- room
100Mbps Multimode Fiber
HCC
100Mbps Category 5 UTP
weiterführende Cat5 Leitung
1xAdminnetz
3x8 Curriculumnetz
8
IP-Adressierung
  • Für die Server und den Gateway zum
    InternetIP-Adressen aus dem IP-Bereich des
    Providers, möglichst 8 IP-Adressen, z.B.
    195.243.0.0/29
  • Für die internen Hosts / RouterIP-Adressen aus
    dem privaten IP-Bereich192.168.0.0
    192.168.255.255- sind frei vorgebbar -
    kostengünstig- über NAT Nutzung im Internet
    möglich
  • Trennung des Administrativ- und der
    Curriculum-Netze über verschiedene
    IP-Netze192.168.0.0/17 für Curriculum192.168.12
    8.0/17 für Administration

9
IP-Adressierung, Server und Gateway
  • Das öffentlich nutzbare NetzDemilitarisierte
    Zone- öffentlich verfügbare Services
  • - intern verfügbare Services- von außen kein
    Zugriff auf interne Hosts

10
IP-Adressierung, Server und Gateway
  • Die T1-Verbindung zum Internet wirdvom
    Internetprovider zur Verfügunggestellt, dieser
    kann IP-Adressen ausseinem Adressraum für den
    Kundenzur Verfügung stellen. Als
    Domainnamenehmen wir schools.net an.
  • 8 IP-Adressen, z.B. 195.243.0.0/29
  • - Gateway zum Internet gate.schools.net 195.243.
    0.1- Nameserver ns.schools.net 195.243.0.2-
    Webserver www.schools.net 195.243.0.3
    www.nameofschool.schools.net- Mailserver mail.s
    chools.net 195.243.0.4- Gateway ins interne
    Netz router.data.schools.net 195.243.0.5

11
IP-Adressierung, 3 Stützpunkte
  • Die drei Backbone-Router werden über jeweils
    4xT1-Leitungen zu den beiden anderen Verbunden.
  • Hier ist externes Equipment notwendig, da die
    Cisco-Router nicht 4xT1 handeln kann und
    gleichzeitig 11 T1 Verbindungen zu den
    Schulen.T1 lt-gt X.21 Konverter

12
IP-Adressierung, 3 Stützpunkte
  • Die Stützpunkte zur Anbindung der Schulen sind
    jeweils für ein Subnetz aus dem Administrations-
    und ein Subnetz aus dem Curriculumnetz zuständig
  • Curriculum, 192.168.0.0/17 - Data-Center
    192.168.0.0/20- Service-Center 192.168.16.0/20-
    Shaw Butte 192.168.32.0/20- die restlichen
    IP-Adressen aus dem Bereich bleiben frei
  • Administration, 192.168.128.0/17 - Data-Center
    192.168.128.0/20- Service-Center 192.168.144.0/2
    0- Shaw Butte 192.168.160.0/20- die restlichen
    IP-Adressen aus dem Bereich bleiben frei

13
IP-Adressierung, 3 Stützpunkte
  • Das Zusammenfassen der zwei verschiedenen Netze
    in jeweils einem großen IP-Subnetz verursacht
    zwar Mehraufwand, hilft aber später bei der
    Aufstellung der ACLs.

14
IP-Adressierung, am Stützpunkt
  • In den Stützpunkten wird jeweils ein Ethernet
    eingerichtet, welches Services (DNS, Mail, WWW)
    für die angeschlossenen Schulen bereitstellt. Für
    dieses Netz wird jeweils das erste /24 Subnetz
    aus dem Admin.-Netz dieses Stützpunktes
    verwendet.
  • Beim Service-Center 192.168.144.0/24

15
IP-Adressierung, am Stützpunkt
  • 11 von den restlichen 15 /24- Subnetzen aus dem
    Admin.-Netz als auch die /24-Netze aus dem
    Curriculum-Netz werden statisch über die
    T1-Verbindungen zu den Schulen geroutet.

Beim Service-CenterSunset 192.168.145.0/24 19
2.168.17.0/24Acacia 192.168.146.0/24 192.168.1
8.0/24MountainSky 192.168.147.0/24 192.168.19.0
/24... ...
16
IP-Adressierung, an der Schule
  • Die Router an den Schulen sind per T1-Leitung an
    ihren Stützpunkt verbunden und Routen den Verkehr
    auf zwei verschiedene Ethernet-Interfaces. Eines
    ist Admin.-Netz, das andere das Curriculum-Netz.
  • Die lokalen Server haben IP-Adressen aus dem
    Admin.-Netz.
  • Hier in Acacia- DNS 168.192.146.1-
    Mail 168.192.146.2- WWW 168.192.146.3

17
IPX-Adressierung
  • IPX-Netzadressen bestehen bei uns immer aus dem
    3.Byte der Netzwerkadresse.
  • Die WAN-Verbindungen erhalten IPX-Adressen
    bestehend aus 0x100 IPX-Adresse des
    Admin.-Netzes, das verbunden ist.

Data-Centerlt-gtService-Center 0000
0190Service-Center 0000 0090S.-C. lt-gt
Sunset 0000 0191Sunset 0000 0091 0000 0011
S.-C. lt-gt Acacia 0000 0192Acacia 0000 0092
0000 0012 S.-C. lt-gt Mount.S. 0000
0193MountainSky 0000 0093 0000
0013... ...
18
IGRP-Routing
  • Die Verbindungen zwischen den 3 Backbone-Routern
    sorgen für Redundanz. Sobald eine der
    Verbindungen unterbrochen wird sind immer noch
    alle Hosts erreichbar. Es muss ein
    Routing-Protokoll verwendet werden. Wie z.B. IGRP

19
IGRP-Routing
  • IGRP wird auf allen Routern des Netzes aktiviert,
    AS-Number soll 100 sein.Z.B. in Acaciarouter
    igrp 100network 192.168.18.0network
    192.168.146.0Auf dem router.servicerouter
    igrp 100network 192.168.144.0

20
ACLs, an den Schulen
  • Der Zugriff aus dem Curriculum-Netz auf jedes
    der vorhandenen Administrations-Netze ist
    verboten, bis auf den Zugriff auf die lokalen
    Server. Zugriff auf das Curriculum-Netz aus
    einem anderen Curr.-Netz ist verboten.Zugriff
    aus dem Internet auf eines der Netze ist nicht
    möglich, da NAT (Network Address Translation)
    verwendet wird und ACLs Zugriffe verhindern.
  • Interface Ethernet0 out (Admin)permit
    ip 168.192.18.0 0.0.0.255 168.192.146.0
    0.0.0.3deny ip 168.192.0.0 0.0.127.255 anypermit
    ip any
  • Interface Ethernet1 out (Curr)deny ip
    168.192.0.0 0.0.127.255 anypermit ip any

21
ACLs, an den Stützpunkten
  • Das Netz am Stützpunkt wird von den Servern der
    angeschlossenen Schulen genutzt und beinhaltet
    selber Arbeitsplätze. Zugriff aus jeglichem
    Curriculum-Netz ist untersagt.
  • Interface Ethernet0 outdeny ip 168.192.0.0
    0.0.127.255 anypermit ip any

22
ACLs, am Data-Center
  • Das öffentliche Netz im Data-Center steht allen
    internen Nutzern als auch dem Internet zur
    Verfügung. Zugriff auf den Router (195.243.0.5),
    bzw. IP-Verkehr der durch den Router maskiert
    wird (NAT) ist erlaubt.
  • Interface Ethernet0 (Public) inpermit
    ip any host 195.243.0.5 deny ip any
  • Zusätzlich wird NAT für alle internen Adressen
    192.168.0.0/16 aktiviert.

23
ACLs, am Internet-Gateway
  • Das öffentliche Netz im Data-Center ist von außen
    frei erreichbar und sollte deshalb besonders
    restriktiv gesichert werden, d.h. alle Dienste
    müssen explizit freigegeben werden.
  • Interface Ethernet0 (Public) outpermit
    tcp any host 195.243.0.2 eq 53 permit
    udp any host 195.243.0.2 eq 53 permit
    tcp any host 195.243.0.3 eq 80 permit
    tcp any host 195.243.0.4 eq 25 permit
    ip any host 195.243.0.5deny ip any

24
Sicherheit Allgemein
  • Prinzipiell sollte man sich nicht nur auf ACLs
    verlassen sondern auf sichere Arbeitsplätze
    achten. Trojaner können die besten ACLs,
    Proxies und Firewalls überwinden und so
    Hintertüren öffnen. Ebenso eigenmächtig
    installierte Modeme und Fernzugänge.
  • Zusätzliche Kontrolle über suspekte Vorgänge im
    Netz bieten netzwerk-basierte Intrusion-Detection-
    Systeme, welche Trojaner-Traffic, Viren, aktive
    Angriffe u.v.m. erkennen und melden können.
    Sogenannte Sensoren, in allen Netzen verteilt,
    sammeln Daten und übermitteln diese an einen
    zentralen Server.

25
Benötigte Hardware
  • Acacia-LAN
  • EV-Preise im DM
  • Switches2 Catalyst 2948G 4810/100 21000 je
    14655 29310 1 Catalyst 2980G 8010/100
    21000 219894 1000BaseSX-Modul je
    1262 5048
  • Hubs120 FastHub 412 1210/100 je
    2189 262680
  • Router1 Cisco 1605-R 37711 1-Port
    Serial WAN (NM-1T) 1009

26
Benötigte Hardware
  • Backbone-WAN EV-Preise im DM
  • Router3 Cisco 3662 6NM 210/100 je 29509
    8852715 4-Port Serial WAN (NM-4T) je 7566
    11349090 X.21-G703-Konverter je
    3190 287100 (inkl. DCE an Schulen)

27
Benötigte Hardware
Public-Netzwerk EV-Preise im
DM Router 1 Cisco 1605-R 3771 1 IOS
IP/FW 1765 1 1-Port Serial WAN
(NM-1T) 1009 Switch 1 Catalyst 2950-12
1210/100 3656
Write a Comment
User Comments (0)
About PowerShow.com
Home About Us Terms and Conditions Privacy Policy Presentation Removal Request Contact Us
Copyright 2024 CrystalGraphics, Inc. — All rights Reserved. PowerShow.com is a trademark of CrystalGraphics, Inc.
The PowerPoint PPT presentation: "Elmar Schlenker" is the property of its rightful owner.
Do you have PowerPoint slides to share? If so, share your PPT presentation slides online with PowerShow.com. It's FREE!