Prosjekt - Oppsett av et stort nettverk

[Paxz]

Hei,

Jeg har fått et skoleprosjekt der man skal sette opp ett nettverk for en bedrift i packet tracer.

Oppgaven lyder som følgende:

CompanyX is upgrading their network to a more reliable system and better performance. As Company X expands, they need more robust and higher capacity on their infrastructure. Company X has one head office, and are also opening a branch office in another city. With the new branch office, they want to have a leased line between them. The company has 2000 employees; 5 CEO, 10 HR,  100 IT,  629 Sales and 1256 Consultants.  At branch office, the figures are; 2 HR, 10 IT 200 Sales and 400 Consultants.

 

There should also be a guest network available at both offices. The company wants to be ready for IPv6, so you should implement both IP versions. There should also be a DMZ (no need for a firewall implementation, ACL is good) where one Web-server and one FTP-server is placed. The web-server should only be accessible over HTTPS from the Internet, and the FTP-server only from the local network. The ISP has given you these public IP’s: 230.24.26.23/30 and 2003:d8f:1111::/48.

 

Noen som har litt peiling på dette og kunne gitt meg et par tips? Har et par spørsmål til dette.

Første, hvordan kan man implementere IPv4 og IPv6 i nettverket slik oppgaven spør etter? Skal begge to konfigurerest i ruteren?

Det andre er, hvordan burde jeg dele opp de ulike kontorene(CEO, HR, IT osv..)? Burde jeg ha egne subnets for disse eller holder det med VLAN? 

Er det ACL som avgjør om man får tilgang til FTP server fra Branch Office?  Og hvor burde jeg plassere gjestenettverket?

Legger ved et bilde av oppsettet mitt som jeg har tenkt ut i Packet Tracer, om noe er helt på jordet så rop ut

 

[j--]

 

 

Første, hvordan kan man implementere IPv4 og IPv6 i nettverket slik oppgaven spør etter? Skal begge to konfigurerest i ruteren?

Jepp, begge deler confes på ruteren. Switchene forholder seg kun til OSI lag 2, mens ruterne forholder seg til OSI lag 3.

 

 

 

Det andre er, hvordan burde jeg dele opp de ulike kontorene(CEO, HR, IT osv..)? Burde jeg ha egne subnets for disse eller holder det med VLAN?

VLAN = OSI lag 2, IP (subnets) = OSI lag 3. Lag 3 trenger lag 2 for å fungere. Spørsmålet burde heller vært "Burde jeg ha egne VLAN for disse, eller holder det med subnets". Svaret er at du burde ha egne VLAN per funksjon. Hvert VLAN inneholder da sitt eget subnet.

 

 

 

Er det ACL som avgjør om man får tilgang til FTP server fra Branch Office?  Og hvor burde jeg plassere gjestenettverket?

Jepp, ACL-er brukes på ruteren som DMZ er koblet mot for å avgjøre om noe får tilgang til DMZ eller ei. Gjestenettverk settes opp på samme måte som et hvilket som helst annet VLAN. Tips: Bruk helt ulike RFC1918-adresser på de forskjellige funksjonene for å enklere holde oversikt. F.eks DMZ = 192.168/16, gjestenett 172.16/12 og kontornettfunksjoner forskjellige subnett innenfor 10/8.

 

 

 

Legger ved et bilde av oppsettet mitt som jeg har tenkt ut i Packet Tracer, om noe er helt på jordet så rop ut

Oppsettet ser egentlig greit ut, men ville endret på noen ting for å få det mer likt sånn man gjerne bygger nettverk i virkeligheten.

 

 * De aksesswitchene dine ville jeg gitt generiske navn (f.eks "sw-access-1", "sw-access-2" osv). Så har du åpne trunker mellom ruter og switch. Det lar hver aksesswitch ha muligheten til å kunne sette opp porter som aksess i et gitt VLAN. Så port Gi0/3 på sw-access-1 er "IT", mens port Gi0/4 er "HR".

 * Ville brukt felles DHCP-server for hele nettverket. DHCP har noe vakkert som heter GIADDR, som gjør at man kan skille på hvor klienter kommer inn. Så bruker man DHCP relay på ruterne for å videresende trafikken inn til DHCP-serveren. Det kan være at det er litt utenfor scopet på oppgaven, men det blir litt penere.

 

Du får bare spørre om det er noe mer du lurer på, så skal jeg svare så godt som mulig.

[Gjest Slettet-t8fn5F]

Med 2000 ansatte, må man nok ha inn redudans i nettwerket, så ikke alle sitter på ræva og ikke gjør noe, om den ene routeren går ned.

 

Selv om du har DMZ, så må du ha brannmur for IPS. ACL lister kan ikke drive med packet inspection.

 

Sitter sel å lager enn løsning på et nettverk av samme størrelse.

Du trenger ikke egne subnets, om du bruker VLAN.