KULeuvenNet. -- stand van zaken. Herman Moons, Yves Tavernier

KULeuvenNet -- stand van zaken – Herman Moons, Yves Tavernier

We are not like Moses – we cannot call forth water from stone ... not at an economical rate, anyway -- Imperial Ecological Survey of Arrakis, ancient records (researcher uncredited)

1

Mededelingen „ RIP Vines ƒ Vines IP wordt niet meer gerouteerd op onze backbone

„ Wireless LANs ƒ aansluiting enkel toegelaten mits goedkeuring van de beveiligingscommissie. ƒ netwerk login paswoord-van-de-dag mogelijkheid ƒ voor meer info, zie: http://www.kuleuven.net/doc/kulnetdoc/kulnetdoc-2003-1.pdf http://ludit.kuleuven.be/wifi

2

WiFi Netwerk Login kulnet

2 web server

1

web request

2

redirect naar webserver, die login pagina toont

router acl blocks user ip address 1

wifi netwerk

3

4

publieke ruimten „netwerk login „paswoord-van-de-dag Deze faciliteiten kunnen eveneens opgezet worden voor netwerken in publieke ruimten bv. bibliotheek bv. pc-klas bv. auditoria, leslokalen Î voor meer info: [email protected]

5

Backbone News „vernieuwing backbone ƒ bestaande Cisco Catalyst 5500 L3 switches worden vervangen door Cisco Catalyst 4507R switches ƒ periferie switches (cat3500/cat2950) worden vervangen door Cisco Catalyst 2970 gigabit switches.

ideale site setup (streefdoel, niet altijd praktisch haalbaar !!!) • inkoppeling op KULeuvenNet via Fast Ethernet • dubbele koppeling op KULeuvenNet via alternatieve routes 6

physical infrastructure

bestaand gepland

ghb

hal

theo

law

cbib

straf arts hh

flok hol

local sites

psy

alma3 cw

soc mech ludit

mtm

esat 7

topology backbone switches/routers Gigabit Ethernet (Catalyst 4507R)

core

distribution

peripheral switches Gigabit Ethernet (Catalyst 2970) local sites Fast Ethernet (Catalyst 2950)

access 8

topology - core Cisco Catalyst 4507R switch

flok theo

• layer 2 GE switch • layer 3 embedded router • no local sites connected !!

Gigabit Ethernet

soc

ghb

ludit 9

topology - distribution GE

Cisco Catalyst 2970

GE

• layer 2 VLAN switch • Gigabit Ethernet core

distribution GE

GE

distribution layer provides redundant connectivity

GE GE 10

topology - access local sites are connected to the distribution switches (via FE) site distribution

FE

local network equipment is the responsability of the local site administrator

FE

note - redundancy in the access layer where possible

11

Hot-Standby Routing on KULeuvenNet site is assigned red vlan

root bridge prio = 100

master router

red vlan is trunked over peripheral loop

backup root prio = 200

slave router

12

Firewall Setup 2003

Avg 90Mbps/week Nokia IP650 CheckPoint FW1

Internet

Debian Gnu/Linux iptables

VPN 34 Mbps

web cache

Kotnet

41 Mbps

NAT

1 Mbps

Firewall

Cisco Cache Engine

NAT

6 Mbps

web cache

KULnet 13

Firewall 2004 2-3Q 2004

Internet

Debian Gnu/Linux iptables

VPN web cache

Kotnet

NAT

Firewall

DMZ’s public servers

NAT

web cache

KULnet 14

KULeuvenNet -- doc.kuleuven.net – Herman Moons, Yves Tavernier

We must bring new information into the balance and with it modify our behavior. It is a human quality to survive by intelligence – as individuals and as a species. -- Naib Ishmael, A Zensunni Lament

15

doc.kuleuven.net doc.kulnet.kuleuven.ac.be „portal voor lokale netwerkbeheerders „omvat ƒ site documentatie ƒ opzoekingen en tests ƒ configuratie-tools • lokale site-firewalls • dns beheer (in opbouw)

ƒ nuttige links 16

opbouw van de documentatie hosts.cfg (host parameters)

host documentatie

sites.cfg (site parameters)

site documentatie

the live network 17

hosts.cfg

configs worden dagelijks opgehaald automatische aanmaak van mrtg grafieken

host lrswitch-ludit : c4000 { service getconfig; service mrtg( cpu , interface ); opgenomen in system service uptime ; uptime webpagina service documentation; <doc> contract { automatische aanmaak van telindus ( 7/24/4 ) host documentatie pagina }; location { Computerzaal LUDIT de Croylaan 52A 3001 Heverlee }; history { 20030206 : installed and documented }; }; 18

sites.cfg site k-bib-theo { class = public description = "Bibliotheek Theologie" vlan = 206 subnet = 10.0.3.0/24 router = cisco-kotnet-2 ( FastEthernet0/1/0.206 ) dhcp = 134.58.127.1 spantree = laswitch-straf-se (100) spantree = laswitch-esat-se (200) equipment = cisco-kotnet-2 equipment = lswitch-theo, lswitch-law equipment = laswitch-ludit-se, lrswitch-ludit, laswitch-cw-se equipment = laswitch-straf-se, laswitch-hh-se, laswitch-esat-se admin = u0022146 ( "Wim Vandersmissen" ) service = documentation

Miscellaneous

• publiek segment met netwerk login

} 19

sites.cfg ƒ admin ƒ admin-ro ƒ contact

netwerk beheerder (read-write) netwerk beheerder (read-only) email alias (generiek contactadres)

Foutieve/onvolledige informatie op uw site documentatie fiche ??? Î verwittig [email protected]

DEMO 20

Opzoekingen en Tests „ DHCP ƒ dhcp statistieken • welke adressen worden uitgedeeld ? (uit dagelijkse config) • aantal beschikbare adressen (live)

ƒ dhcp opzoeking (leases file) • werd een adres toegekend voor een netwerkkaart ? • windows-naam

ƒ mac ÅÆ ip logs • welke adressen momenteel actief op subnet volgens router • mac-adres ÅÆ ip-adres(sen) mapping

„ DNS ƒ naam/ip opzoeking • opzoeken dns mapping naam/ip-adres/mx/... • vergelijken tussen dns servers binnen/buiten KULeuven

21

Opzoekingen en Tests (cont'd) „ HTTP ƒ test bereikbaarheid webserver • reageert een webserver op requests of niet

ƒ speed test (KULeuvenNet webserver naar pc)

„ ICMP ƒ ping vanop KULeuvenNet naar een machine

„ LDAP ƒ opzoeken gebruiker • publieke gegevens bekijken

„ PPP ƒ dialin debugging • foutmelding aan de kant van de dialinserver opzoeken

22

Opzoekingen en Tests (cont'd) „HOWTO : tekst files ƒ ip-adres te weten komen ƒ paswoord controleren ƒ cisco switch configureren

23

Configuratie – Site Firewalls „ principes ƒ enkel verkeer richting site wordt gefilterd ƒ huidige toestand : niets gefilterd ƒ default site-firewall : alle machines afgeschermd • niet bereikbaar van buitenuit • kunnen wel zelf tcp verbindingen initieren (tcp ack) • verkeer van/naar kulnet management machines steeds mogelijk ( = DNS, DHCP, NTP & DOC-website )

24

Site Firewalls (cont'd) „ aanpassingen via webinterface „ BlackList : DENY ƒ netwerken die niets naar deze site mogen sturen ƒ machines die niets mogen ontvangen (ook geen terugkerend verkeer)

„ Toegelaten Verkeer : PERMIT ƒ machines (servers) die van buiten de site bereikbaar moeten zijn ƒ externe machines die machines op deze site mogen bereiken

Opgelet: eerste matching regel geldt ! 25

DEMO

26

Site Firewalls (cont'd) „ Toegang ƒ 'admin' kan aanpassingen maken ƒ 'admin-ro' kan enkel lijst bekijken

„ Uitrol ƒ aanvragen via [email protected] • aanpassingen mogelijk via DOC website • default access-list wordt geinstalleerd, maar nog niet geactiveerd

ƒ aanpassingen worden 'live' op router doorgevoerd • 'live' = binnen het uur

ƒ site-firewall pas actief wanneer op router geactiveerd • testperiode voor nieuwe gebruikers mogelijk

„ Aandachtspuntjes : ƒ complexe protocols (vb. active/passive FTP) ƒ ICMP (ping) ƒ UDP (vb. Externe DNS) 27

doc.kuleuven.net „geplande uitbreidingen (no ETA !!) ƒ ƒ ƒ ƒ ƒ ƒ ƒ

vpn – overzicht gebruikers / vpn-group view op centrale firewall rules dns aanpassingen ip-blokkeer systeem (met web-redirect) security scanner voor servers netflow data viewer ... 28

any more questions ? please fire away ... 29