Sit uat ieschet s + vereist en Logisch LAN ont werp ( + VLAN’s) Fysieke bekabeling WAN ont werp Beveiliging – Concept – ACL’s
Secundaire school m et 2 vest igingsplaat sen en 3 gebouwen Hoofdvest iging: – Gebouw A: Adm inist rat ie – Gebouw B: Gelij kvloers, 1st e verd . , 2de verd .
Filiaal: – Gebouw C: Adm inist rat ie + Leslokalen
Het adm inist rat ief net werk m oet beveiligd worden t egen t oegang vanaf het educat ief net werk Alle werkst at ions m oet en I nt ernet t oegang hebben ( behalve 1 com put erlabo) Alle servers dienen 100 Mbps bandbreedt e t e hebben naar de backbone De school heeft zij n eigen Mail - & webserver voor gebruik door st udent en, direct ie, adm inist rat ief personeel. Net werkbeheer gebaseerd op Win2K- server ( ADS) WI N2K ADS net werk voor st udent en & personeel ( afzonderlij k dom ein) : aut hent icat ie , best ands- services, beveiliging ( policies)
Lout er swit ched LAN- ont werp m et gebruik van VLAN’s; Gigabit glasvezel - backbone op de hoofdvest iging I nt ernet t oegang via ADSL ( 1 per vest iging) Vest igingen verbonden door 2 Mbps WANverbinding Dedicat ed 256 kbit huurlij n naar I AP voor Mail - & Webserver
Gebouw A: – Adm inist rat ie – Mail - & WEB in DMZ
Gebouw B: – Schoolnet werk Win2K DC ( + GC)
Gebouw C: – Schoolnet werk Win2K DC ( + GC)
MDF 1 Swit ch: 1000Base - SX Rout er A: Rout er B:
Cat alyst 2950SX- 24
24 x 10/ 100 Mbps port s + 2 x
Rout er SDSL:
2611 XM 3640 + 2 x FE- m odule + ADSL WAN I nt erface Card ( WI C- 1ADSL ) + Et hernet - m odule ( 4 port ) 2 x Cisco 828
MDF 2 Swit ch:
Cat alyst 2900 XL + 3 x 1000 base - SX m odules
I DF 1 Swit ch: 1000Base - SX
Cat alyst 2950SX- 24
24 x 10/ 100 Mbps port s + 2 x
I DF 2 Swit ch: 1000Base - SX
Cat alyst 2950SX- 48
48 x 10/ 100 Mbps port s + 2 x
Cat alyst 2950SX- 24
24 x 10/ 100 Mbps port s + 2 x
2621 XM + FE- m odule
+ ADSL WAN I nt erface Card ( WI C-
MDF 3 Swit ch: 1000Base - SX Rout er C: 1ADSL ) Rout er SDSL:
Cisco 828
I P Klasse: B
I P Addres: 172.16.0.0
Maskerbit s: 20
Subnet Masker: 255.255.240.0
Subnet t en: 14
Host s/ Subnet : 4094
Net broadcast : 172.16.255.255 VLAN 1 :
172.16.16.0
( int ernet t oegang )
VLAN 2 :
172.16.32.0
( geen int ernet t oegang )
VLAN 3 :
172.16.48.0
( adm inist rat ie )
VLAN 4 :
172.16.64.0
( int ernet t oegang )
VLAN 5 :
172.16.80.0
( adm inist rat ie )
I nt er - sit e verbinding ( SDSL) : ADSL: Mail / Webserver ( DMZ ) :
172.16.112.0
vast ip ( verleend door I SP) 210.110.8.0
Backbone : 50 µm m ult im ode glasvezel m et capacit eit van 1000Base - SX Et hernet Horizont ale bekabeling: UTP cat 5E, 100 Base - T ( Full - duplex ) Volgens TI A/ EI A 568B st andard Alle rout ers & swit chen in MDF/ I DF ( behalve 2 leslokaalswit chen in com put erlabo’s) Bekabelingsdiagram m en
P
P
P
P
P
P
P
P
P
P
Elke vest iging ADSL verbinding naar I SP m et gebruik van NAT Verbinding t ussen de vest igingen via galvanische huurlij n m et SDSL m odem s ( 2 Mbps) , PPP of PPTP Dedicat ed huurlij n ( 256 kbps) naar I AP voor het DMZ - segm ent ( PPP of Fram e - Relay )
Het adm inist rat ief net werk m oet gescheiden blij ven van het educat ief schoolnet werk. 1 com put erlabo m ag geen t oegang t ot het I nt ernet hebben Het hele net werk m oet bescherm d zij n t egen infilt rat ies vanuit het I nt ernet De verbinding t ussen de vest igingen dient beveiligd I nt ernet - servers m oet en beveiligd zij n
Gebruik van VLAN’s: – Adm inist rat ie – School + I nt ernet – School – I nt ernet
Cent rale rout er op elke vest iging, packet - filt ering op basis van ACL’s
NAT op ADSL- poort en en DMZ - segm ent Verbinding t ussen vest igingen beveiligd dm v encrypt ie & PPTP DMZ voor I nt ernet - servers: – Packet filt ering gebaseerd op doelTCP- poort en – Geen rout ing - prot ocollen t ussen Rout ers A & B
Rout er A: – Enkel t oegang t ot de DMZ via geact iveerde socket s ( I P + poort )
Rout er B: – t oegang t ot VLAN 2 enkel vanuit VLAN 1 – t oegang t ot VLAN 3 enkel voor verbinding t ussen vest igingen & I nt ernet – t oegang t ot DMZ enkel voor geact iveerde socket s
Rout er C: – VLAN 5 enkel t oegankelij k vanaf S0 ( int er vest iging ) & I nt ernet
Geen rout ing prot ocol gespecifieerd in rout er A voor beveiliging ; rout er B en C niet gekend door rout er A. S0 in S0 in S0 in
access- list 100 perm it t cp any host 210.110.8.3 eq 80 access- list 100 perm it t cp any host 210.110.8.4 eq 25 access- list 100 perm it t cp any host 210.110.8.4 eq 110
Rout er - B( config) # rout er igrp 100 Rout er - B( config - rout er) # net work Rout er - B( config - rout er) # net work Rout er - B( config - rout er) # net work Rout er - B( config - rout er) # net work
172.16.16.0 172.16.32.0 172.16.48.0 172.16.112.0
E0 out access- list 101 perm it t cp any host 210.110.8.3 eq 80 E0 out access- list 101 perm it t cp any host 210.110.8.4 eq 25, 110 E3 out E3 out E3 out E3 out
access- list access- list access- list access- list
ADSL
out
1 1 1 1
deny 172.16.16.0 deny 172.16.32.0 deny 172.16.64.0 perm it any
0.0.15.255 0.0.15.255 0.0.15.255
access- list 2 deny 172.16.32.0 0.0.15.255
Rout er - C( config) # rout er igrp 100 Rout er - C( config - rout er) # net work 172.16.64.0 Rout er - C( config - rout er) # net work 172.16.80.0 Rout er - C( config - rout er) # net work 172.16.112.0 E1 E1 E1 E1
out out out out
access- list access- list access- list access- list
ADSL out
3 3 3 3
deny 172.16.16.0 0.0.15.255 deny 172.16.32.0 0.0.15.255 deny 172.16.64.0 0.0.15.255 perm it any
access- list 2 deny 172.16.32.0 0.0.15.255
4094 host s / subnet m ogelij k 14 m ogelij ke subnet t en, w aarvan 6 in gebruik Gbit Et hernet beschikbaar ( + ext ra glasvezels) Swit chen st ackable voor uit breiding 3 vrij e poort en op de cent rale rout er voor bij kom ende vest igingen
This document was created with Win2PDF available at http://www.daneprairie.com. The unregistered version of Win2PDF is for evaluation or non-commercial use only.
