Gebruiker:Harambibi/Kladblok
Behoefte Analyse
Situatieschets en probleemstelling
bewerkenInsign.it heeft de opdracht gekregen om voor de Stichting Studentenhuisvesting Helderoog een netwerk in een te renoveren flat aan te leggen. Het flatgebouw heeft vier verdiepingen en wordt geheel gestript en weer opnieuw ingericht. In de nieuwe situatie krijgt elke verdieping tien studentenwoningen die voor bewoning door twee studenten geschikt zijn. Er is per verdieping één gezamenlijke woonkamer. In de centrale ruimten op de begane grond wordt een ruimte gereserveerd voor netwerkapparatuur. Elke verdieping krijgt drie netwerkaansluitingen in de gezamenlijke woonkamer. Deze drie aansluitingen worden alleen op aanvraag geactiveerd. Op elke verdieping is er in het trappenhuis een ruimte voor de nutsvoorzieningen, waar ook voor eventuele netwerkapparatuur voldoende ruimte is.
De woningen worden verhuurd aan studenten van de Universiteit van Helderoog. Het netwerk van de studentenflat wordt met het datacenter van de universiteit verbonden. De woningen worden aan studenten van de verschillende faculteiten verhuurd, maar in één woning wonen wel studenten van dezelfde faculteit.
Omdat de stichting niet voldoende kennis op het gebied van ICT heeft en omdat het netwerk aan het netwerk van de universiteit wordt gekoppeld, voert de IT-afdeling van de universiteit de regie over de aanleg. Je hebt hierbij te maken met de projectleider René Verweij. De projectleider heeft beslissingsbevoegdheid met betrekking tot het budget en de technische uitvoering.
Via het datacenter van de universiteit krijgen de studenten toegang tot de studentserver SF1.
In de centrale hal op de begane grond van de studentenflat is een kopieerruimte waar onder andere een multifunctional staat die eveneens op het netwerk is aangesloten. De studenten kunnen via een pasjessysteem van deze multifunctional gebruikmaken. De pasjes werken met een betaalchip. Het opladen van de pasjes kan in een automaat in de kopieerruimte. Vanuit hun woning kunnen de studenten de multifunctional als printer gebruiken.
Eisen en wensen voor het te ontwikkelen systeem
bewerkenInfrastructuur
bewerkenInrichtingseisen die worden gesteld aan het datacenter
bewerken· Een eenvoudige rackopstelling zonder extra beveiliging zal voldoende zijn.
· In het rack worden de server en de verbindingsapparatuur opgesteld.
· Voor de WAN-verbinding is een publiek adres nodig.
· De internetverbinding moet geschikt zijn voor het netwerkverkeer van de studentenflat.
· De nieuwe server krijgt een serverlicentie voor Microsoft Server 2012 en moet worden ingericht.
· De serverspecificaties moeten voldoen aan de eisen van het serverbesturingssysteem.
· Het fysieke geheugen van de server moet ten minste tweemaal de minimaal vereiste omvang hebben en de toegang tot de schijven moet worden geoptimaliseerd.
· Er zijn geen eigen back-upfaciliteiten nodig.
Inrichtingseisen die worden gesteld aan de studentenflat
bewerken· Er moet worden gekozen voor een bedraad netwerk, voorzien van netwerkverbindingsapparatuur.
· De switches worden per verdieping geplaatst en hebben voldoende capaciteit voor het geplande aantal aansluitingen van de desbetreffende verdieping.
· De router en de switch moeten in afsluitbare ruimten in het centrale trappenhuis worden geplaatst.
· De router en de switches moeten geconfigureerd worden opgeleverd.
Beheer
bewerken· De back-up moet dagelijks door de IT-afdeling van de UvH worden uitgevoerd, voorlopig op een beveiligd deel van hun eigen back-upsysteem.
· Onderhoud en beheer van de server, routers en switches moeten worden uitgevoerd door de IT‑afdeling van de UvH.
· De IT-afdeling van de UvH zal zorg dragen voor een zo veel mogelijk onderhoudsvrij beheer en zal één maal per jaar een inspectie en klein onderhoud aan de apparatuur uitvoeren.
· De IT-afdeling van de UvH stelt op basis van functie/afdeling de applicaties via het intranet beschikbaar.
· De IT-afdeling van de UvH zal het beheer zo veel mogelijk remote uitvoeren.
· Het beheer van gebruikers en groepen (faculteiten) moet door een medewerker van de IT‑afdeling van de UvH op een eenvoudige manier worden uitgevoerd.
Beveiliging
bewerken· Gebruikers krijgen alleen op basis van authenticatie en autorisatie toegang tot het internet/intranet, de juiste programma’s, de mappen en het profiel.
· Documenten moeten op het eigen systeem of op de server van de UvH in de daarvoor bestemde mappen worden bewaard.
· De servers en werkplekken op de locaties van de UvH zijn niet vanaf het openbare internet te benaderen.
· De verbinding tussen de studentenflat en het datacenter moet voor verkeer naar server SF1 worden beveiligd.
· Er moet één malware/virusscanpakket komen dat centraal op de server kan worden beheerd en voor updates kan zorgen.
Software
bewerken· De studenten hebben alleen toegang tot de software die voor hun faculteit op het intranet beschikbaar is gesteld.
· De IT-afdeling van de UvH heeft geen verantwoordelijkheid voor het beheer van de eigen systemen van de studenten.
Randvoorwaarden
bewerken· De studentenflat is volledig afhankelijk van de WAN-verbinding op het datacenter voor de verbinding met het internet/intranet.
· Stabiele en goed beveiligde dataverbindingen zijn dus cruciaal.
· Hiervoor gelden aansprakelijkheidsafspraken met de carrierprovider en de IT-afdeling van de UvH.
· Insign.it is niet verantwoordelijk voor de WAN-verbinding.
· De bekabeling in de studentenflat wordt door een externe partij op de juiste wijze, vrij van storingen aangelegd.
· Er zal een gebruikersinstructie gegeven moeten worden voor de toegang tot de systemen van de IT-voorzieningen van de UvH en de eventueel nieuw te gebruiken features in de software.
· De kosten voor de investering moeten in redelijkheid aansluiten bij de eisen en wensen.
· De kosten voor het beheer worden door de IT-afdeling op basis van een SLA bij Stichting Studentenhuisvesting Helderoog gedeclareerd, die op haar beurt deze kosten in de huur van een studentenflat zal opnemen.
Conclusies en aanbevelingen
bewerken· De IT-afdeling van de UvH draagt zorg voor een zo optimaal mogelijk functionerende netwerkverbinding met het internet/intranet.
· Na het opleveren van de netwerkinstallatie zal de IT-afdeling van de UvH de werking van het netwerk testen en van Insign.it overnemen.
Functioneel ontwerp
Inhoud
1 Globale planning..................................................................................................................... 3
2 Huidige situatie....................................................................................................................... 3
3 Gewenste situatie................................................................................................................... 4
3.1 Studentenflat.................................................................................................................. 4
3.2 Datacenter....................................................................................................................... 5
3.3 Security............................................................................................................................. 5
3.4 Beschikbaarheid............................................................................................................... 6
3.5 Beheer............................................................................................................................... 6
3.6 Gebruikers........................................................................................................................ 6
1 Globale planning
bewerkenFase | Tijdsplanning | Opmerkingen | Budget |
Ontwerp (FO) maken op basis van eisen en wensen | 1 week | Wordt niet vrijgegeven. | |
Technisch ontwerp maken | 2 weken | ||
Opdracht verstrekken, aanschaf hard- en software | 1 maand | Er wordt bij een drietal leveranciers een offerte opgevraagd. | |
Test omgeving opbouwen en testen | 2 weken | ||
Implementatieplan opstellen | 1 week | ||
Uitrol en documentatie afronden | 1 weekend | ||
M.b.v. gebruikers nagaan of het systeem werkt volgens de afspraken die in het functioneel ontwerp gemaakt zijn. | 1 week | Er dient nagegaan en vastgelegd te worden wat uiteindelijk door welke medewerkers getest dient te worden. | |
Noodzakelijke aanpassingen verrichten | weekend | ||
Opleveren opdracht | Specifieke datum afgesproken met opdrachtgever (wordt ingevuld door de kandidaat) |
2 Huidige situatie
bewerkenDe studentenflat wordt gerealiseerd in een bestaand gebouw dat geheel wordt gerenoveerd.
Het gebouw bestaat uit vier verdiepingen boven op de begane grond. Op de begane grond bevinden zich de technische ruimten, bergingen en een kopieerruimte. Boven op de begane grond bevinden zich vier woonlagen die als studentenflats worden ingericht. Er is per verdieping één gezamenlijke woonkamer. De flats zullen bewoond gaan worden door twee studenten van eenzelfde faculteit.
3 Gewenste situatie
bewerken- Na de renovatie bestaat elke verdieping uit tien studentenwoningen voor twee personen. In elke woning zijn twee data-aansluitingen aangebracht. Deze worden verbonden met een access-switch.
- Iedere verdieping heeft een gemeenschappelijke woonkamer met drie extra aansluitingen. Deze aansluitingen worden voorlopig gereserveerd op de access-switch.
- Via een distributie-switch en een router zijn de aansluitingen met het datacenter van de UvH verbonden.
- In het datacenter van de IT-afdeling van de universiteit worden een server en een router geplaatst, die voor de benodigde services en verbindingen zorgen.
- De verbinding tussen de studentenflat en het datacenter wordt beveiligd voor verkeer naar server FS1 beveiligd.
3.1 Studentenflat
bewerken· Een studentenwoning heeft twee data-aansluitingen.
· Er is per verdieping een access-switch, die alle data-aansluitingen op deze verdieping verbindt. Voor de gemeenschappelijke woonkamer worden drie aansluitingen gereserveerd en voor latere uitbreiding worden up-link poorten vrijgehouden.
· Elke verdiepingsswitch is verbonden met de distributieswitch op de begane grond.
· De switches worden in een technische ruimte in het trappenhuis op de verdieping geplaatst, samen met andere apparatuur.
· Alle switches en de router hebben een statisch IP-adres.
· Op de switches worden VLAN’s per faculteit aangemaakt.
· Er is ten behoeve van remote beheer een apart management-VLAN.
· Ongebruikte switchpoorten worden op een ‘black-hole’-VLAN aangesloten en zijn uitgeschakeld.
· Op trunks zijn alleen de noodzakelijke VLAN’s toegelaten.
· Op de begane grond worden de router en de distributieswitch in een technische ruimte geplaatst.
· De router in de studentenflat zal voor routering tussen de VLAN’s zorgen. Tevens zorgt de router voor de verbinding met het datacenter en, via het datacenter met het internet.
· De router verzorgt de DHCP-services voor de aansluitingen in de studentenflat.
· De verbinding tussen de studentenflat en het datacenter moet voor verkeer naar server SF1 worden beveiligd.
· In de kopieerruimte staat een multifunctional, die op het netwerk is aangesloten. Deze is via een betaalkaartsysteem toegankelijk.
· Deze multifunctional is onderdeel van het printer-VLAN en heeft een statisch IP-adres.
· De verbinding met het datacenter komt in de technische ruimte het gebouw binnen.
3.2 Datacenter
bewerken· De apparatuur wordt in het datacenter in een afsluitbare standaard 19 inch-rack geplaatst. De apparatuur moet aan de specificaties van het rack voldoen.
· In het datacenter van de IT-afdeling van de universiteit worden een server en een router geplaatst, die voor de benodigde services en verbindingen zorgen. Hiermee wordt verbinding met de studentserver gemaakt.
· De apparatuur zal van standaard bekabeling gebruikmaken.
· De verbindingsapparatuur zal tussen de studentenflat, het internet en de studentserver routeren.
· De router zorgt op transparante wijze voor een site-to-site VPN.
· De router verzorgt NAT/PAT voor het dataverkeer naar het internet.
· De server is zowel DC-server als fileserver.
· Fysiek wordt de mappenstructuur op de server aangemaakt, evenals de groepen en gebruikersprofielen. Logisch wordt de directorystructuur als één geheel met de structuur van het intranet gezien.
3.3 Security
bewerken· De verbinding tussen het datacenter en de studentenflat is een beveiligde verbinding voor verkeer naar de studentserver FS1.
· Dataverkeer wordt waar nodig gescheiden.
· Op de server draait een virusscanner. Deze wordt automatisch up-to-date gehouden.
· Er wordt gebruikgemaakt van een client/serveromgeving.
· Per gebruikersrol c.q. per faculteit wordt bepaald tot welke data men toegang heeft.
· Er dient een wachtwoordbeleid te worden opgesteld.
· De IT-afdeling zorgt voor installatie en updates van de op het intranet geïnstalleerde software.
· Er wordt geen gebruikgemaakt van Wi-Fi.
· De servers en de verbindingsapparatuur in het datacenter worden geplaatst in een met een cijfercode beveiligd rack.
3.4 Beschikbaarheid
bewerken· Alle apparatuur is via het netwerk met elkaar verbonden.
· Er dient een ’snelle’ internetverbinding te zijn.
· De server moet blijven draaien ondanks stroomuitval. Het datacenter heeft hier voorzieningen voor.
· Bij uitval van de server dienen de services binnen een halve dag weer beschikbaar te zijn.
3.5 Beheer
bewerken· Het gebruikers- en printbeheer wordt door de helpdesk van de IP-afdeling van de UvH uitgevoerd.
· Niet direct op te lossen storingen worden door de helpdesk naar de technici van de IT-afdeling geëscaleerd.
· Het beheer wordt door de IT-afdeling zo veel mogelijk remote uitgevoerd.
3.6 Gebruikers
bewerken· Gebruikers kunnen gebruikmaken van de antivirussoftware van de universiteit.
· De IT-afdeling zorgt voor de mail- en agendafunctionaliteit.
· Er wordt op de server een mappenstructuur ontwikkeld t.b.v. centrale opslag van documenten.
· Bij het inrichten van de centrale server wordt rekening gehouden met het zo efficiënt en veilig mogelijk gebruik van de resources.
Technisch ontwerp
Inhoud
1. Inleiding. 3
2. Inrichten. 3
2.1 Topologie. 3
2.2 Bekabeling, patchkasten en serverruimte. 5
2.2.1 Bekabeling. 6
2.2.2 Switches. 6
2.2.3 Routers. 6
2.2.4 Servers. 6
2.2.6 Access Points. 6
2.2.7 Patchkasten. 7
2.2.8 Overzicht en kosten. 7
2.3 IP Plan. 8
2.3.1 Gereserveerde IP Adressen. 9
2.3.2 DHCP Pools. 10
2.3.3 VLAN’s. 11
2.3.4 Wachtwoorden. 12
2.3.5 Router Configuratie. 12
2.3.6 Access Switch Configuratie. 14
2.3.7 Access points Configuratie. 15
2.3.8 Routing. 16
2.4 Beleid. 17
1. Inleiding
bewerkenDit document beschrijft de technische inrichting van het nieuwe aan te leggen netwerk voor STATS LLC. Door de opdrachtgever is gesteld dat er niet uitgegaan hoeft te worden van een bestaande omgeving. Er moet een totaal nieuw concept worden uitgewerkt, waarbij vooral ook aan toekomstige uitbreidingen gedacht moet worden. Dit netwerk wordt aangelegd op drie locaties van STATS LLC. STATS LLC is een bedrijf gespecialiseerd in het vastleggen, leveren en beheren van live data van voetbalwedstrijden.
2. Inrichten
bewerkenOmdat de drie locaties nog volop in ontwikkeling zijn wordt er een tijdelijke infrastructuur aangelegd gebaseerd op vijf centrale laag 2 switches en één laag 3 switch en losse bekabeling per locatie. In een later stadium zal er bekabeling in kabelgoten worden aangelegd.
2.1 Topologie
bewerkenOnderstaande illustraties zijn een overzicht van de nieuwe infrastructuur voor de drie locaties van STATS LLC.
Netwerk in geheel:
STATS Chicago (Hoofdgebouw):
STATS Limerick:
STATS London:
2.2 Bekabeling, patchkasten en serverruimte
bewerkenDe switches en de server zijn gesitueerd in de systeemruimte in de kelder van elke locatie. De Wall outlets zijn met een CAT5e UTP kabel verbonden aan het patch panel. Een patchkabel verbindt de aansluiting met de switch. Het netwerk zal uiteindelijk uit meerdere netwerken samengesteld worden. Elke afdeling zal zijn eigen sub netwerk krijgen.
2.2.1 Bekabeling
bewerkenOp elke locatie ligt door heel het gebouw UTP CAT5e bekabeling.
2.2.2 Switches
bewerkenIedere locatie zal gebruik maken van vijf Cisco Catalyst 2960-24TT-L switches en één Cisco Catalyst 3650-24PS Switch. De Switches zijn middels een trunk met elkaar verbonden, ook zijn de switches lid van hetzelfde VTP-domain zodat ze centraal beheerd kunnen worden. Er zijn ook ACL’s gebruikt om toegang tot switches te blokkeren behalve voor het VLAN50 ICT.
Elke switch is geconfigureerd met een hostname en met wachtwoorden op de Privileged mode en de SSH-verbinding.
2.2.3 Routers
bewerkenElke locatie krijgt één Cisco 1941 router met een HWIC-2T module erop toegepast.
De Routers zullen een centrale rol gaan spelen, ze zullen de verschillende netwerken met elkaar verbinden. Op de routers zal een dynamisch routeringsprotocol gebruiken worden zoals OSPF. Ook weer zijn er ACL’s geplaatst zodat de router op afstand beheerd kan worden door alleen VLAN50 ICT.
Elke router is geconfigureerd met een hostname en wachtwoorden op de User mode, Privileged mode, aux line en de SSH-verbinding.
2.2.4 Servers
bewerkenAlleen de hoofdlocatie zal worden voorzien van een server, wij hebben voor de Cisco UCS C220 M5 Rack Server gekozen.
De enigste dienst die de server zal uitgeven zal DNS zijn, ook heeft de server een gereserveerd IP-adres. De server vindt plaats in VLAN30 Shared.
2.2.6 Access Points
bewerkenOp elke locatie moet er ook de mogelijkheid zijn dat er draadloos een verbinding tot het netwerk kan worden gemaakt, hiervoor maken wij gebruik van Access Points. Op de Hoofdlocatie komen er twee Access Points en op de andere locaties ieder één Access Point. Wij gaan gebruik maken van de Cisco Business 140AC Access Point.
2.2.7 Patchkasten
bewerkenIedere locatie krijgt één 12U Patchkast - Wandkast 19'' met glazen voordeur, we hebben specifiek voor deze patchkast gekozen zodat er ruimte in de toekomst is om het netwerk eventueel uit te breiden.
2.2.8 Overzicht en kosten
bewerkenSTATS Chicago:
- 15x UTP Cat5e 30m
- 5x Cisco Catalyst 2960-24TT-L
- 1x Cisco Catalyst 3650-24PS-S
- 1x Cisco 1941 Router
- 1x Cisco UCS C220 M5 Rack Server
- 2x Cisco Business 140AC Access Point
- 1x 12U Patchkast
STATS Limerick:
- 14x UTP Cat5e 30m
- 5x Cisco Catalyst 2960-24TT-L
- 1x Cisco Catalyst 3650-24PS-S
- 1x Cisco 1941 Router
- 1x Cisco Business 140AC Access Point
- 1x 12U Patchkast
STATS London:
- 14x UTP Cat5e 30m
- 5x Cisco Catalyst 2960-24TT-L
- 1x Cisco Catalyst 3650-24PS-S
- 1x Cisco 1941 Router
- 1x Cisco Business 140AC Access Point
- 1x 12U Patchkast
Totale kosten:
Aantal | Type | Prijs per stuk | Prijs totaal |
43 | UTP Cat5e 30m | €14,00 | €602,00 |
15 | Cisco Catalyst 2960-24TT-L | €1119,25 | € 16788,75 |
3 | Cisco Catalyst 3650-24PS-S | €1390,91 | €4172,73 |
3 | Cisco 1941 Router | €719,09 | €2157,27 |
4 | Cisco Business 140AC Access Point | €145,30 | €581,20 |
3 | 12U Patchkast | €309,99 | €929,97 |
1 | Cisco UCS C220 M5 Rack Server | € 1681,50 | €1681,50 |
€26913,42 |
2.3 IP Plan
bewerkenLocatie | Naam Netwerk | Class | Public/Private | Masker | Network Adress | First IP | Last IP | Broadcast | Interface | Vlan |
Chicago | ||||||||||
WAN A | A | Public | /30 | 5.5.5.0 | 5.5.5.1 | 5.5.5.2 | 5.5.5.3 | S0/0/0 | ||
WAN B | A | Public | /30 | 6.6.6.0 | 6.6.6.1 | 6.6.6.2 | 6.6.6.3 | S0/0/1 | ||
VLAN10: Personeel | B | Private | /19 | 172.20.0.0 | 172.20.0.1 | 172.20.31.254 | 172.20.31.255 | Gi0/1.10 | 10 | |
VLAN20: Deelnemers | B | Private | /19 | 172.21.0.0 | 172.21.0.1 | 172.21.31.254 | 172.21.31.255 | Gi0/1.20 | 20 | |
VLAN30: Shared | B | Private | /19 | 172.22.0.0 | 172.22.0.1 | 172.22.31.254 | 172.22.31.255 | Gi0/1.30 | 30 | |
VLAN40: WIFI | B | Private | /19 | 172.23.0.0 | 172.23.0.1 | 172.23.31.254 | 172.23.31.255 | Gi0/1.40 | 40 | |
VLAN50: ICT | B | Private | /21 | 172.24.0.0 | 172.24.0.1 | 172.24.7.254 | 172.24.7.255 | Gi0/1.50 | 50 | |
VLAN60: Toetsen | B | Private | /19 | 172.25.0.0 | 172.25.0.1 | 172.25.31.255 | 172.25.31.255 | Gi0/1.60 | 60 | |
Limerick | ||||||||||
WAN A | A | Public | /30 | 5.5.5.0 | 5.5.5.1 | 5.5.5.2 | 5.5.5.3 | S0/0/0 | ||
WAN C | A | Public | /30 | 7.7.7.0 | 7.7.7.1 | 7.7.7.2 | 7.7.7.3 | S0/0/1 | ||
VLAN10: Personeel | A | Private | /18 | 10.20.0.0 | 10.20.0.1 | 10.20.63.254 | 10.20.63.255 | Gi0/1.10 | 10 | |
VLAN20: Deelnemers | A | Private | /18 | 10.21.0.0 | 10.21.0.1 | 10.21.63.254 | 10.21.63.255 | Gi0/1.20 | 20 | |
VLAN30: Shared | A | Private | /18 | 10.22.0.0 | 10.22.0.1 | 10.22.63.254 | 10.22.63.255
|
Gi0/1.30 | 30 | |
VLAN40: WIFI | A | Private | /18 | 10.23.0.0 | 10.23.0.1 | 10.23.63.254 | 10.23.63.255 | Gi0/1.40 | 40 | |
VLAN50: ICT | A | Private | /18 | 10.24.0.0 | 10.24.0.1 | 10.24.63.254 | 10.24.63.255 | Gi0/1.50 | 50 | |
VLAN60: Toetsen | A | Private | /18 | 10.25.0.0 | 10.25.0.1 | 10.25.63.254 | 10.25.63.255 | Gi0/1.60 | 60 | |
London | ||||||||||
WAN B | A | Public | /30 | 6.6.6.0 | 6.6.6.1 | 6.6.6.2 | 6.6.6.3 | S0/0/0 | ||
WAN C | A | Public | /30 | 7.7.7.0 | 7.7.7.1 | 7.7.7.2 | 7.7.7.3 | S0/0/1 | ||
VLAN10: Personeel | A | Private | /20 | 10.50.0.0 | 10.50.0.1 | 10.50.15.254 | 10.50.15.255 | Gi0/1.10 | 10 | |
VLAN20: Deelnemers | A | Private | /20 | 10.51.0.0 | 10.51.0.1 | 10.51.15.254 | 10.51.15.255 | Gi0/1.20 | 20 | |
VLAN30: Shared | A | Private | /20 | 10.52.0.0 | 10.52.0.1 | 10.52.15.254 | 10.52.15.255 | Gi0/1.30 | 30 | |
VLAN40: WIFI | A | Private | /20 | 10.53.0.0 | 10.53.0.1 | 10.53.15.254 | 10.53.15.255 | Gi0/1.40 | 40 | |
VLAN50: ICT | A | Private | /20 | 10.54.0.0 | 10.54.0.1 | 10.54.15.254 | 10.54.15.255 | Gi0/1.50 | 50 | |
VLAN60: Toetsen | A | Private | /20 | 10.55.0.0 | 10.55.0.1 | 10.55.15.254 | 10.54.15.255 | Gi0/1.60 | 60 |
2.3.1 Gereserveerde IP Adressen
bewerkenSTATS Chicago:
Switches:
- 172.24.7.1 /21
- 172.24.7.2 /21
- 172.24.7.3 /21
- 172.24.7.4 /21
- 172.24.7.5 /21
- 172.24.7.6 /21
Servers:
DNS - 172.22.31.1 /19
Printers:
- 172.22.31.2 /19
STATS Limerick:
Switches:
- 10.24.63.1 /18
- 10.24.63.2 /18
- 10.24.63.3 /18
- 10.24.63.4 /18
- 10.24.63.5 /18
- 10.24.63.6 /18
Printers:
- 10.22.63.1 /18
STATS London:
Switches:
- 10.54.15.1 /20
- 10.54.15.2 /20
- 10.54.15.3 /20
- 10.54.15.4 /20
- 10.54.15.5 /20
- 10.54.15.6 /20
Printers:
- 10.52.15.1 /20
- 10.52.15.2 /20
2.3.2 DHCP Pools
bewerkenNaam | Start IP | Eind IP | Gateway | DNS | Masker | DHCP options | Aantal host |
STATS-CHI-VLAN10-Personeel | 172.20.0.0 | 172.20.31.255 | 172.20.31.254 | 172.22.31.1 | 255.255.224.0 | 8190 | |
STATS-CHI-VLAN20-Deelnemers | 172.21.0.0 | 172.21.31.255 | 172.21.31.254 | 172.22.31.1 | 255.255.224.0 | 8190 | |
STATS-CHI-VLAN30-Shared | 172.22.0.0 | 172.22.31.255 | 172.22.31.254 | 172.22.31.1 | 255.255.224.0 | 8190 | |
STATS-CHI-VLAN40-WIFI | 172.23.0.0 | 172.23.31.255 | 172.23.31.254 | 172.22.31.1 | 255.255.224.0 | 8190 | |
STATS-CHI-VLAN50-ICT | 172.24.0.0 | 172.24.7.255 | 172.24.7.254 | 172.22.31.1 | 255.255.248.0 | 2046 | |
STATS-CHI-VLAN60-Toetsen | 172.25.0.0 | 172.25.31.255 | 172.25.31.254 | 172.22.31.1 | 255.255.224.0 | 8190 | |
STATS-LIM-VLAN10-Personeel | 10.20.0.0 | 10.20.63.255 | 10.20.63.254 | 172.22.31.1 | 255.255.192.0 | 16382 | |
STATS-LIM-VLAN20-Deelnemers | 10.21.0.0 | 10.21.63.255 | 10.21.63.254 | 172.22.31.1 | 255.255.192.0 | 16382 | |
STATS-LIM-VLAN30-Shared | 10.22.0.0 | 10.22.63.255 | 10.22.63.254 | 172.22.31.1 | 255.255.192.0 | 16382 | |
STATS-LIM-VLAN40-WIFI | 10.23.0.0 | 10.23.63.255 | 10.23.63.254 | 172.22.31.1 | 255.255.192.0 | 16382 | |
STATS-LIM-VLAN50-ICT | 10.24.0.0 | 10.24.63.255 | 10.24.63.254 | 172.22.31.1 | 255.255.192.0 | 16382 | |
STATS-LIM-VLAN60-Toetsen | 10.25.0.0 | 10.25.63.255 | 10.25.63.254 | 172.22.31.1 | 255.255.192.0 | 16382 | |
STATS-LON-VLAN10-Personeel | 10.50.0.0 | 10.50.15.255 | 10.50.15.254 | 172.22.31.1 | 255.255.240.0 | 4094 | |
STATS-LON-VLAN20-Deelnemers | 10.51.0.0 | 10.51.15.255 | 10.51.15.254 | 172.22.31.1 | 255.255.240.0 | 4094 | |
STATS-LON-VLAN30-Shared | 10.52.0.0 | 10.52.15.255 | 10.52.15.254 | 172.22.31.1 | 255.255.240.0 | 4094 | |
STATS-LON-VLAN40-WIFI | 10.53.0.0 | 10.53.15.255 | 10.53.15.254 | 172.22.31.1 | 255.255.240.0 | 4094 | |
STATS-LON-VLAN50-ICT | 10.54.0.0 | 10.54.15.255 | 10.54.15.254 | 172.22.31.1 | 255.255.240.0 | 4094 | |
STATS-LON-VLAN60-Toetsen | 10.55.0.0 | 10.55.15.255 | 10.55.15.254 | 172.22.31.1 | 255.255.240.0 | 4094 |
2.3.3 VLAN’s
bewerkenElke locatie heeft 6 VLAN’s, VLAN50 ICT en VLAN60 Toetsen zijn afgeschermd door middel van ACL’s, VLAN60 kan alleen verkeer ontvangen vanuit VLAN50. VLAN50 is het enigste VLAN met toegang tot de SSH-lijn. Hier onder een klein overzicht van de VLAN’s.
STATS Chicago:
VLAN10 : STATS-CHI-VLAN10-Personeel : dot1Q 10
VLAN20 : STATS-CHI-VLAN20-Deelnemers : dot1Q 20
VLAN30 : STATS-CHI-VLAN30-Shared : dot1Q 30
VLAN40 : STATS-CHI-VLAN40-WIFI : dot1Q 40
VLAN50 : STATS-CHI-VLAN50-ICT : dot1Q 50
VLAN60 : STATS-CHI-VLAN60-Toetsen : dot1Q 60
STATS Limerick:
VLAN10 : STATS-LIM-VLAN10-Personeel : dot1Q 10
VLAN20 : STATS-LIM-VLAN20-Deelnemers : dot1Q 20
VLAN30 : STATS-LIM-VLAN30-Shared : dot1Q 30
VLAN40 : STATS-LIM-VLAN40-WIFI : dot1Q 40
VLAN50 : STATS-LIM-VLAN50-ICT : dot1Q 50
VLAN60 : STATS-LIM-VLAN60-Toetsen : dot1Q 60
STATS London:
VLAN10 : STATS-LON-VLAN10-Personeel : dot1Q 10
VLAN20 : STATS-LON-VLAN20-Deelnemers : dot1Q 20
VLAN30 : STATS-LON-VLAN30-Shared : dot1Q 30
VLAN40 : STATS-LON-VLAN40-WIFI : dot1Q 40
VLAN50 : STATS-LON-VLAN50-ICT : dot1Q 50
VLAN60 : STATS-LON-VLAN60-Toetsen : dot1Q 60
2.3.4 Wachtwoorden
bewerkenOm te voorkomen dat onbevoegde toegang krijgen tot de routers en switches zijn er wachtwoorden in plaats zodat dit niet gebeurd.
Aux: USER: Password: aux
SSH: USER: admin Password: ssh
Console: USER: Password: console
Priveliged mode: USER: Password: priv
2.3.5 Router Configuratie
bewerkenSTATS Chicago:
Merk: Cisco
Type: CISCO1941/K9
Serienummer: FTX1524MEVG-
O.S. Versie: Cisco IOS Software, C1900 Software (C1900-UNIVERSALK9-M), Version 15.1 (4)M4
Hostname: STATS-CHI-R1
Interfaces: - Se0/0/0: 5.5.5.1 /30 - Se0/0/1: 6.6.6.1 /30
- Gi0/1.10: 172.20.31.254 /19 - Gi0/1.20: 172.21.31.254 /19
- Gi0/1.30: 172.22.31.254 /19 - Gi0/1.40: 172.23.31.254 /19
- Gi0/1.50: 172.24.7.254 /21 - Gi0/1.60: 172.25.31.254 /19
Routing: OSPF 10 area 0, OSPF 10 area 10 router-id: 10.10.10.10
IP Domain-name: STATS.com
Wachtwoorden: line con: console line aux: aux line vty 0 4: ssh enable password: priv
NTP: ntp master 1
ACL: line vty 0 4: access-list 10 in Gi0/1.60: ip access-group 100 in
access-list 10 permit 172.24.0.0 0.0.7.255
access-list 10 permit 10.24.0.0 0.0.63.255 access-list 10 permit 10.54.0.0 0.0.15.255 access-list 10 deny any
access-list 100 permit ip 172.25.0.0 0.0.31.255 172.24.0.0 0.0.7.255
access-list 100 permit ip 172.25.0.0 0.0.31.255 10.24.0.0 0.0.63.255
access-list 100 permit ip 172.25.0.0 0.0.31.255 10.54.0.0 0.0.15.255
permit udp any any eq 67
permit udp any any eq 68
access-list 100 deny ip any any
STATS Limerick:
Merk: Cisco
Type: CISCO1941/K9
Serienummer: FTX152453WM-
O.S. Versie: Cisco IOS Software, C1900 Software (C1900-UNIVERSALK9-M), Version 15.1 (4)M4
Hostname: STATS-LIM-R1
Interfaces: - Se0/0/0: 5.5.5.2 /30 - Se0/0/1: 7.7.7.1 /30
- Gi0/1.10: 10.20.63.254 /18 - Gi0/1.20: 10.21.63.254 /18
- Gi0/1.30: 10.22.63.254 /18 - Gi0/1.40: 10.23.63.254 /18
- Gi0/1.50: 10.24.63.254 /18 - Gi0/1.60: 10.25.63.254 /18
IP Helper-address: 5.5.5.1
Routing: OSPF 20 area 0, OSPF 20 area 20 router-id: 20.20.20.20
IP Domain-name: STATS.com
Wachtwoorden: line con: console line aux: aux line vty 0 4: ssh enable password: priv
NTP: ntp server 5.5.5.1
ACL: line vty 0 4: access-list 10 in Gi0/1.60: ip access-group 100 in
access-list 10 permit 172.24.0.0 0.0.7.255
access-list 10 permit 10.24.0.0 0.0.63.255 access-list 10 permit 10.54.0.0 0.0.15.255 access-list 10 deny any
access-list 100 permit ip 10.25.0.0 0.0.63.255 172.24.0.0 0.0.7.255
access-list 100 permit ip 10.25.0.0 0.0.63.255 10.24.0.0 0.0.63.255
access-list 100 permit ip 10.25.0.0 0.0.63.255 10.54.0.0 0.0.15.255
permit udp any any eq 67
permit udp any any eq 68
access-list 100 deny ip any any
STATS London:
Merk: Cisco
Type: CISCO1941/K9
Serienummer: FTX152459Y9-
O.S. Versie: Cisco IOS Software, C1900 Software (C1900-UNIVERSALK9-M), Version 15.1 (4)M4
Hostname: STATS-LON-R1
Interfaces: - Se0/0/0: 6.6.6.2 /30 - Se0/0/1: 7.7.7.2 /30
- Gi0/1.10: 10.50.15.254 /20 - Gi0/1.20: 10.51.15.254 /20
- Gi0/1.30: 10.52.15.254 /20 - Gi0/1.40: 10.53.15.254 /20
- Gi0/1.50: 10.54.15.254 /20 - Gi0/1.60: 10.55.15.254 /20
IP Helper-address: 6.6.6.1
Routing: OSPF 30 area 0, OSPF 30 area 30 router-id: 30.30.30.30
IP Domain-name: STATS.com
Wachtwoorden: line con: console line aux: aux line vty 0 4: ssh enable password: priv
NTP: ntp server 6.6.6.1
ACL: line vty 0 4: access-list 10 in Gi0/1.60: ip access-group 100 in
access-list 10 permit 172.24.0.0 0.0.7.255
access-list 10 permit 10.24.0.0 0.0.63.255 access-list 10 permit 10.54.0.0 0.0.15.255 access-list 10 deny any
access-list 100 permit ip 10.55.0.0 0.0.15.255 172.24.0.0 0.0.7.255
access-list 100 permit ip 10.55.0.0 0.0.15.255 10.24.0.0 0.0.63.255
access-list 100 permit ip 10.55.0.0 0.0.15.255 10.54.0.0 0.0.15.255
permit udp any any eq 67
permit udp any any eq 68
access-list 100 deny ip any any
2.3.6 Access Switch Configuratie
bewerkenSTATS Chicago:
Merk: Cisco
Type: WS-C3650-24PS
Serienummer: FD02031Q0TD
O.S. Versie: 16.3.2
Hostname: STATS-CHI-L3-S1
VTP: Domain: STATS Mode: Server Password: STATS
Interfaces: Gi1/0/1, Gi1/0/2, Gi1/0/3, Gi1/0/4, Gi1/0/5, Gi1/0/6, Vlan50
IP Domain-name: STATS.com
VLAN’s: 10:Personeel, 20:Deelnemers, 30:Shared, 40:WIFI, 50:ICT, 60:Toetsen
Management IP: 172.24.7.1 255.255.248.0
Wachtwoorden: enable password: priv line vty 0 4: ssh
STATS Limerick:
Merk: Cisco
Type: WS-C3650-24PS
Serienummer: FD02031Q0TD
O.S. Versie: 16.3.2
Hostname: STATS-LIM-L3-S1
VTP: Domain: STATS Mode: Server Password: STATS
Interfaces: Gi1/0/1, Gi1/0/2, Gi1/0/3, Gi1/0/4, Gi1/0/5, Gi1/0/6, Vlan50
IP Domain-name: STATS.com
VLAN’s: 10:Personeel, 20:Deelnemers, 30:Shared, 40:WIFI, 50:ICT, 60:Toetsen
Management IP: 10.24.63.1 255.255.192.0
Wachtwoorden: enable password: priv line vty 0 4: ssh
STATS London:
Merk: Cisco
Type: WS-C3650-24PS
Serienummer: FD02031Q0TD
O.S. Versie: 16.3.2
Hostname: STATS-LON-L3-S1
VTP: Domain: STATS Mode: Server Password: STATS
Interfaces: Gi1/0/1, Gi1/0/2, Gi1/0/3, Gi1/0/4, Gi1/0/5, Gi1/0/6, Vlan50
IP Domain-name: STATS.com
VLAN’s: 10:Personeel, 20:Deelnemers, 30:Shared, 40:WIFI, 50:ICT, 60:Toetsen
Management IP: 172.54.15.1 255.255.240.0
Wachtwoorden: enable password: priv line vty 0 4: ssh
2.3.7 Access points Configuratie
bewerkenGasten en medewerkers van STATS met draadloze apparaten kunnen verbinding maken met het WIFI maken door middel van de Access Points. Om verbinding te maken met het netwerk moeten gebruikers hun draadloze apparaat configureren met het juist netwerk SSID en het juist wachtwoord dat hieraan gekoppeld is. De Acces Points maken gebruik van Power over Ethernet en maakt gebruik van 802.11ac Wave 2 standard. Hieronder een overzicht hoe de Access Points zijn geconfigureerd op iedere locatie.
STATS Chicago:
Access Point0:
- SSID: STATS-CHI-WIFI-1
- WPA2PSK: Welkom123
- 2.4GHz Channel: 6
- Encryption: AES
Access Point1:
- SSID: STATS-CHI-WIFI-2
- WPA2PSK: Welkom123
- 2.4GHz Channel: 6
- Encryption: AES
STATS Limerick:
Access Point2:
- SSID: STATS-LIM-WIFI-1
- WPA2PSK: Welkom123
- 2.4GHz Channel: 6
- Encryption: AES
STATS London:
Access Point3:
- SSID: STATS-LON-WIFI-1
- WPA2PSK: Welkom123
- 2.4GHz Channel: 6
- Encryption: AES
2.3.8 Routing
bewerkenWij gebruiken Multi Area OSPF als routing protocol. De Serial Interfaces die de routers met elkaar verbinden zullen de backbone (AREA 0) van ons netwerk vormen, de Gigabit Interfaces die naar de switches verbonden zijn krijgen op alle drie de locaties hun eigen area. Hieronder een klein overzicht hoe de interfaces van de routers en de router zelf zijn geconfigureerd zodat OSPF werkt als bedoeld.
STATS Chicago:
Interface Se0/0/0 – 0/0/1: ospf 10 area 0
Interface Gi0/1.10 – 0/1.60: ospf 10 area 10
router ospf 10
router-id 10.10.10.10
STATS Limerick:
Interface Se0/0/0 – 0/0/1: ospf 20 area 0
Interface Gi0/1.10 – 0/1.60: ospf 20 area 20
router ospf 20
router-id 20.20.20.20
STATS London:
Interface Se0/0/0 – 0/0/1: ospf 30 area 0
Interface Gi0/1.10 – 0/1.60: ospf 30 area 30
router ospf 30
router-id 30.30.30.30
2.4 Beleid
bewerkenOm te voorkomen dat onbevoegde bij het VLAN50 ICT en VLAN60 Toetsen kunnen komen zijn er maatregelen in plaats gezet zodat dit niet kan gebeuren. Het is de bedoeling dat VLAN60 Toetsen alleen verkeer kan ontvangen vanuit de afdeling ICT, hiervoor hebben wij besloten om een ACL op de Gigabit interface van VLAN60 te zetten zodat verkeer vanuit alle andere afdelingen geblokkeerd wordt, de UDP-poorten 67 en 68 moeten wel open blijven staan zodat DHCP diensten nog steeds geleverd kunnen worden. VLAN50 ICT is ook de enigste afdeling die de switches mag beheren, daarom zijn er ook ACL’s geplaats op de VTY-lijn zodat alleen het verkeer vanuit de afdeling ICT is toegestaan via de SSH-verbinding. Als andere afdelingen verbinding proberen te maken via de SSH-verbinding worden ze geblokkeerd.
Notities
L3 switch (trunk en vtp)
int ra gi1/0/1 – 6
Switchport trunk encapsulation dot1q
Switchport mode trunk
Switchport trunk allowed vlan all
vtp domain
vtp password
L2 switch (trunk en vtp)
switchport mode trunk
Switchport trunk allowed vlan all
vtp domain
vtp password
vtp mode client
L3 switch (vlans)
vlan #
name #
int gi0/1
no sh
Router (ntp)
clock set [hh;mm;ss datum]
ntp master [1-15]
ntp server [master ip]
ntp update-calendar
Router (gi int opsplitsten)
int gi0/#.#
encapsulation dot1q vlan#
ip addres gateway#
L2 switch (end devices aan vlan)
int fa0/#
switchport access vlan #
Router (dhcp)
ip dhcp pool #
network net# mask#
default-router gateway#
dns-server dns#
Router (iphelper)
int gi0/1.#
Ip helper #
Router (ospf)
router ospf #
router id #
log adjacency
int s0/#
ip ospf # area #
int gi0/1.#
ip ospf # area #
Router (SSH)
ip domain-name #
crypto key generate rsa (2048)
line vty 0 4
transport input ssh
login
password #
PC (inloggen ssh)
ssh -l admin gateway#
Router (ACL)
ip access-list standard #
permit # #
deny any
line vty # #
access-class # in/out
do sho ip acc
Switch (SSH)
ip domain-name #
crypto key generate rsa #20480
line vty # #
transport input ssh
password #
login
exit
enable password #
Switch (Management ip)
int vlan #
ip address #
exit
ip default-gateway
MultiLayer Switch (subinterfaces)
(config) ip routing
int gi1/0/1
no switchport
ip add #
Multilayer Switch (inter vlan)
vlan #
name #
int vlan #
ip add #
Server (DHCP)
Static IP
Multilayers switch (iphelper)
int vlan #
ip helper #
Router/multilayer switch (iproute)
ip route (vanuit ip + mask) (via lijn)
Router (NAT)
int gi0/#
ip nat inside
int gi0/#
ip nat outside
ip nat pool (poolnaam) (startip) (eindip) netmask (submask)
ip nat inside source list (acl nummer) pool (poolnaam) overload
ip access-list standaar #
permit #
deny any
int gi0/#
ip access-group # in
Router (ACL + DHCP)
permit udp any any eq bootpc
permit udp any any eq bootps
SWITCH (Port Security)
int #
switchport mode access
switchport port-security
switchport port-security maximum #
switchport port-security violation shutdown
switchport port-security mac-address (sticky/macaddress)
Router(voip)
ip dhcp pool ()
network ()
default-router ()
option 150 ip ()
telephone-service
max-dn ()
max-ephones ()
ip source-address (gateway) port 2000
auto assign 4 to 6
auto assign 1 to 5
ephone-dn #
number ()
dial-peer voice () voip
destination-pattern (#...)
session target ipv4:(gateway overkant)
L3 switch (lacp etherchannel)
int ra gi # #
channel-protocol lacp
channel-group # mode (passive/active)
show etherchannel ?
L3 switch (pagp etherchannel)
int ra gi # #
channel-protocol pagp
channel-group # mode (auto/desirable)
(int ra gi # #
switchport trunk encapsulation dot1q
switchport mode trunk
switchport trunk allowed vlan all
channel-group 1 mode desirable)
L3 switch (span tree root bridge)
spanning-tree vlan # root (primary/secondary)
Router (HSRP)
int gi#
standby (groupnummer) ip #
standby (groupnummer) preempt
standby (groupnummer) priority (default 100)
GRE TUNNEL
int tunnel #
ip add #
tunnel source # #
tunnel destination #
IPSEC
crypto isakmp policy #
enc 3des
hash md5
authentication pre-share
group 2
crypto isakmp key # address (peer)
crypto ipsec transform-set TS esp-3des esp-md5-hmac
crypto map CMAP 100 ipsec-isakmp
set peer #
set transform-set TS
match address (ACL)
ip access-list extended #
permit ip (network)