Threaded Case Study, Acacia Elmar Schlenker A. Brickwedde Mittwoch, 28. Mai 20141 Threaded Case Study Alexander Brickwedde Elmar Schlenker Fachhochschule

Elmar SchlenkerA. Brickwedde

Tuesday, April 11, 2023 1

Threaded Case Study, Acacia

Threaded Case Study

Alexander Brickwedde

Elmar Schlenker

Fachhochschule Osnabrück

Fachbereich Elektrotechnik und Informatik




Bedingungen und Vorgaben

Zeitrahmen:- für die kommenden 7-10 Jahre geplant

Bandbreite:- Host: min.1Mbps- Server : min.100Mbps

Layer3-Protokolle:- ausschließlich TCP/IP und Novell IPX

LAN-Struktur:- zwei getrennte Netze (Curriculum / Administration )




Bedingungen und Vorgaben

Rechnerräume:- 4 x Cat5-Leitungen (3 x Curr., 1 x Admin.)- 24 x Curriculum, 1 x Administration

Addressing:- alle Admin.-Rechner erhalten statische Adressen- alle Curr.-Rechner erhalten dynamische Adressen per DHCP

Access Control List:- Alle Zugriffe aus dem Internet sind untersagt - Zugriffe aus dem Curr.Netz auf das Admin.Netz sind beschränkt - Zugriff aus dem Admin.Netz auf Hosts im Curr.Netz sind möglich




Räumliche

Aufteilung

1.. 2.. 3.. 4..

5..

6..




MDF to Rm 101 MDF - 101 / 1 HCC 1 / Port 1 Category 5 UTP 40 m usedMDF to Rm 101 MDF - 101 / 2 HCC 2 / Port 1 Category 5 UTP 40 m usedMDF to Rm 101 MDF - 101 / 3 HCC 3 / Port 1 Category 5 UTP 40 m usedMDF to Rm 101 MDF - 101 / 4 HCC 4 / Port 1 Category 5 UTP 40 m usedMDF to Rm 104 MDF - 104 / 1 HCC 1 / Port 2 Category 5 UTP 50 m usedMDF to Rm 104 MDF - 104 / 2 HCC 2 / Port 2 Category 5 UTP 50 m usedMDF to Rm 104 MDF - 104 / 3 HCC 3 / Port 2 Category 5 UTP 50 m usedMDF to Rm 104 MDF - 104 / 4 HCC 4 / Port 2 Category 5 UTP 50 m usedMDF to Rm 105 MDF - 105 / 1 HCC 1 / Port 3 Category 5 UTP 62 m usedMDF to Rm 105 MDF - 105 / 2 HCC 2 / Port 3 Category 5 UTP 62 m usedMDF to Rm 105 MDF - 105 / 3 HCC 3 / Port 3 Category 5 UTP 62 m usedMDF to Rm 105 MDF - 105 / 4 HCC 4 / Port 3 Category 5 UTP 62 m usedMDF to Rm 106 MDF - 106 / 1 HCC 1 / Port 4 Category 5 UTP 64 m usedMDF to Rm 106 MDF - 106 / 2 HCC 2 / Port 4 Category 5 UTP 64 m usedMDF to Rm 106 MDF - 106 / 3 HCC 3 / Port 4 Category 5 UTP 64 m usedMDF to Rm 106 MDF - 106 / 4 HCC 4 / Port 4 Category 5 UTP 64 m used

Auszug aus der Wiring List




Wiring Planschematische Darstellung

Multimode Fiber

Category 5 UTP

IDF: 9 Räume:

27 Ports (Curr.)

9 Ports (Admin.)

MDF:31 Räume:

93 Ports (Curr.)

31 Ports (Admin.)




WAN

80 Port 48 PortVCC

IDF

48 Port

MDF

VCC

100Mbps Multimode Fiber

100Mbps Category 5 UTP

1 2 1

Class-

room

1xAdminnetz 3x8 Curriculumnetz

HCC

HCCHCC

LAN - Topologie

weiterführende Cat5 Leitung




IP-Adressierung

Für die Server und den Gateway zum Internet:IP-Adressen aus dem IP-Bereich des Providers, möglichst 8 IP-Adressen, z.B. 195.243.0.0/29

Für die internen Hosts / Router:IP-Adressen aus dem privaten IP-Bereich192.168.0.0 – 192.168.255.255- sind frei vorgebbar - kostengünstig- über NAT Nutzung im Internet möglich

Trennung des Administrativ- und der Curriculum-Netze über verschiedene IP-Netze:192.168.0.0/17 für Curriculum192.168.128.0/17 für Administration




IP-Adressierung, Server und Gateway

Das öffentlich nutzbare Netz:

Demilitarisierte Zone

- öffentlich verfügbare Services

- intern verfügbare Services

- von außen kein Zugriff auf interne Hosts




IP-Adressierung, Server und Gateway

Die T1-Verbindung zum Internet wirdvom Internetprovider zur Verfügunggestellt, dieser kann IP-Adressen ausseinem Adressraum für den Kundenzur Verfügung stellen. Als Domainnamenehmen wir „schools.net“ an.

8 IP-Adressen, z.B. 195.243.0.0/29

- Gateway zum Internet gate.schools.net 195.243.0.1- Nameserver ns.schools.net 195.243.0.2- Webserver www.schools.net 195.243.0.3

+ www.nameofschool.schools.net- Mailserver mail.schools.net 195.243.0.4- Gateway ins interne Netz router.data.schools.net 195.243.0.5




IP-Adressierung, 3 Stützpunkte

Die drei Backbone-Router werden über jeweils 4xT1-Leitungen zu den beiden anderen Verbunden.

Hier ist externes Equipment notwendig, da die Cisco-Router nicht 4xT1 handeln kann und gleichzeitig 11 T1 Verbindungen zu den Schulen.T1 <-> X.21 Konverter





Die Stützpunkte zur Anbindung der Schulen sind jeweils für ein Subnetz aus dem Administrations- und ein Subnetz aus dem Curriculumnetz zuständig

Curriculum, 192.168.0.0/17 - Data-Center 192.168.0.0/20- Service-Center 192.168.16.0/20- Shaw Butte 192.168.32.0/20- die restlichen IP-Adressen aus dem Bereich bleiben frei

Administration, 192.168.128.0/17 - Data-Center 192.168.128.0/20- Service-Center 192.168.144.0/20- Shaw Butte 192.168.160.0/20- die restlichen IP-Adressen aus dem Bereich bleiben frei





Das Zusammenfassen der zwei verschiedenen Netze in jeweils einem großen IP-Subnetz verursacht zwar Mehraufwand, hilft aber später bei der Aufstellung der ACL‘s.




IP-Adressierung, am Stützpunkt

In den Stützpunkten wird jeweils ein Ethernet eingerichtet, welches Services (DNS, Mail, WWW) für die angeschlossenen Schulen bereitstellt. Für dieses Netz wird jeweils das erste /24 Subnetz aus dem Admin.-Netz dieses Stützpunktes verwendet.

Beim Service-Center: 192.168.144.0/24




IP-Adressierung, am Stützpunkt

11 von den restlichen 15 /24- Subnetzen aus dem Admin.-Netz als auch die /24-Netze aus dem Curriculum-Netz werden statisch über die T1-Verbindungen zu den Schulen geroutet.

Beim Service-Center:Sunset 192.168.145.0/24

192.168.17.0/24Acacia 192.168.146.0/24

192.168.18.0/24MountainSky 192.168.147.0/24

192.168.19.0/24... ...




IP-Adressierung, an der SchuleDie Router an den Schulen sind

per T1-Leitung an ihren Stützpunkt verbunden und Routen den Verkehr auf zwei verschiedene Ethernet-Interfaces. Eines ist Admin.-Netz, das andere das Curriculum-Netz.

Die lokalen Server haben IP-Adressen aus dem Admin.-Netz.

Hier in Acacia:- DNS 168.192.146.1- Mail 168.192.146.2- WWW 168.192.146.3




IPX-Adressierung

IPX-Netzadressen bestehen bei uns immer aus dem 3.Byte der Netzwerkadresse.

Die WAN-Verbindungen erhalten IPX-Adressen bestehend aus 0x100 + IPX-Adresse des Admin.-Netzes, das verbunden ist.

Data-Center<->Service-Center0000 0190

Service-Center 0000 0090S.-C. <-> Sunset 0000 0191Sunset 0000 0091

0000 0011 S.-C. <-> Acacia 0000 0192Acacia 0000 0092

0000 0012 S.-C. <-> Mount.S. 0000 0193MountainSky 0000 0093

0000 0013... ...




IGRP-Routing

Die Verbindungen zwischen den 3 Backbone-Routern sorgen für Redundanz. Sobald eine der Verbindungen unterbrochen wird sind immer noch alle Hosts erreichbar. Es muss ein Routing-Protokoll verwendet werden. Wie z.B. IGRP




IGRP-Routing

IGRP wird auf allen Routern des Netzes aktiviert, AS-Number soll 100 sein.Z.B. in Acacia:

router igrp 100network 192.168.18.0network 192.168.146.0

Auf dem router.service:

router igrp 100network 192.168.144.0




ACLs, an den SchulenDer Zugriff aus dem Curriculum-Netz auf jedes

der vorhandenen Administrations-Netze ist verboten, bis auf den Zugriff auf die lokalen Server. Zugriff auf das Curriculum-Netz aus einem anderen Curr.-Netz ist verboten.Zugriff aus dem Internet auf eines der Netze ist nicht möglich, da NAT (Network Address Translation) verwendet wird und ACLs Zugriffe verhindern.

Interface Ethernet0 out (Admin):permit ip 168.192.18.0 0.0.0.255 168.192.146.0 0.0.0.3deny ip 168.192.0.0 0.0.127.255 anypermit ip any

Interface Ethernet1 out (Curr):deny ip 168.192.0.0 0.0.127.255 anypermit ip any




ACLs, an den Stützpunkten

Das Netz am Stützpunkt wird von den Servern der angeschlossenen Schulen genutzt und beinhaltet selber Arbeitsplätze. Zugriff aus jeglichem Curriculum-Netz ist untersagt.

Interface Ethernet0 out:deny ip 168.192.0.0 0.0.127.255

anypermit ip any




ACLs, am Data-Center

Das öffentliche Netz im Data-Center steht allen internen Nutzern als auch dem Internet zur Verfügung. Zugriff auf den Router (195.243.0.5), bzw. IP-Verkehr der durch den Router maskiert wird (NAT) ist erlaubt.

Interface Ethernet0 (Public) in:permit ip any host 195.243.0.5 deny ip any

Zusätzlich wird NAT für alle internen Adressen 192.168.0.0/16 aktiviert.




ACLs, am Internet-Gateway

Das öffentliche Netz im Data-Center ist von außen frei erreichbar und sollte deshalb besonders restriktiv gesichert werden, d.h. alle Dienste müssen explizit freigegeben werden.

Interface Ethernet0 (Public) out:permit tcp any host 195.243.0.2 eq 53 permit udp any host 195.243.0.2 eq 53 permit tcp any host 195.243.0.3 eq 80 permit tcp any host 195.243.0.4 eq 25 permit ip any host 195.243.0.5deny ip any




Sicherheit Allgemein

Prinzipiell sollte man sich nicht nur auf ACL‘s verlassen sondern auf sichere Arbeitsplätze achten. Trojaner können die besten ACL‘s, Proxie‘s und Firewall‘s überwinden und so Hintertüren öffnen. Ebenso eigenmächtig installierte Modeme und Fernzugänge.

Zusätzliche Kontrolle über suspekte Vorgänge im Netz bieten netzwerk-basierte Intrusion-Detection-Systeme, welche Trojaner-Traffic, Viren, aktive Angriffe u.v.m. erkennen und melden können. Sogenannte Sensoren, in allen Netzen verteilt, sammeln Daten und übermitteln diese an einen zentralen Server.




Benötigte HardwareAcacia-LAN:

EV-Preise im DMSwitches:

2* Catalyst 2948G 48*10/100 2*1000je 14655 29310

1* Catalyst 2980G 80*10/100 2*100021989

4* 1000BaseSX-Modulje 1262 5048

Hubs:120 FastHub 412 12*10/100

je 2189 262680Router:

1* Cisco 1605-R 3771

1* 1-Port Serial WAN (NM-1T)1009




Backbone-WAN: EV-Preise im DM

Router:3* Cisco 3662 6NM 2*10/100

je 29509 8852715* 4-Port Serial WAN (NM-4T)

je 7566 11349090* X.21-G703-Konverter

je 3190287100

(inkl. DCE an Schulen)

Benötigte Hardware




Public-Netzwerk: EV-Preise im DM

Router:

1* Cisco 1605-R 3771

1* IOS IP/FW1765

1* 1-Port Serial WAN (NM-1T)1009

Switch:1* Catalyst 2950-12 12*10/100

3656

Benötigte Hardware

Documents

Threaded Case Study, Acacia Elmar Schlenker A. Brickwedde Mittwoch, 28. Mai 20141 Threaded Case Study Alexander Brickwedde Elmar Schlenker Fachhochschule