Præsentation er lastning. Vent venligst

Præsentation er lastning. Vent venligst

Grundforløbsprojekt Strøm, Styring & IT.

Offentliggjort afArnold Asmussen Redigeret for ca. et år siden

Lignende præsentationer

Præsentationer af emnet: "Grundforløbsprojekt Strøm, Styring & IT."— Præsentationens transcript:

1 Grundforløbsprojekt Strøm, Styring & IT

2 Opgave Udkast til netværk med tilhørende servere og klienter til virksomheden MoNet ApS Kravsspecifikation Filserver med adgang via Common Internet File System (CIFS) Webserver VPN-server Roaming profiles/terminal server Backup Hvis muligt et telefonisystem Udgangspunkt i konsulentopgave Kravsspecifikation VoIP-system – produkt

3 Netværk Internet Router 1 Switch DMZ Honeypot Firewall Router 2 Primær Server Klient 1 Klient 2 Backup server Hele netværket er opbygget af cat6e-kabler og gigabit-udstyr hvilket sikrer en fornuftig hastighed i netværket. Netværket er opbygget med øje på muligheder for skalering, opgradering og udvidelse, men også med sikkerhed i tankerne. DMZ – mulighed for multi-DMZ uden de store ændringer grundet DHCP-setup

4 Internettet Verdensomspændende netværk baseret på TCP/IP-modellen
Applikationslaget (Lag 7 i OSI-modellen) Netværkslaget (Lag 3 i OSI-modellen DHCP IP DNS ICMP HTTP Linklaget (Lag 2 i OSI-modellen) Transportlaget (Lag 4 i OSI-modellen) MAC TCP Ethernet UDP OSI modellen Lag 7: Applikation Telnet, FTP, SMTP, HTTP Lag 6: Præsentation Omdatter data til en af programmet kendt grænseflade – eksempelvis XML Lag 5: Session Håndterer forbindelser mellem lokal- og fjernapplikationer. Fuld-, halv- og enkelduplex defineres blandt andet her. Terminated gracefully hvor den transmitterer pakkerne før den lukker forbindelsen selvom forbindelsen er bedt lukket af applikationen Lag 4: Transport TCP/UDP TCP tjekker om alle pakker er transmitteret og modtaget og gensender de der ikke er UDP tjekker ikke om alle pakker er transmitteret og modtaget og gensender derfor ikke Lag 3: Netværkslaget Holder styr på blandt andet QoS. ”Routerens lag” (Layer 3-protokol som IP). Enkelte switche arbejder også i dette lag. Igen, det lag hvor IP-adresser ligger. (IPv4 + IPv6) RIP, EIGRP, OSPF, ICMP (ping og traceroute eller beskeder mellem enheder på et netværk) Lag 2: Data Link Muligt at overføre data mellem netværksmoduler Fysisk addressering via MAC (hardcoded ind i netkortet) Ikke hierakisk Ethernet-protokol Kan være opdelt i MAC og LLC-laget (logical link control) LLC øverst (tættest på lag 3), MAC nederst (tættest på lag 1) Switching-laget Uni- og broadcast (unicast er fra host til host) (broadcast er fra en host til alle andre enheder på netværket Lag 1: Fysisk lag Kabel-lag Hub, repeater, netkort Oprette og afslutte elektriske forbindelser Ethernet indeholder både lag 1 og 2. Det samme med token, fiber (FDDI) og WIFI

5 Router 1 DHCP på WAN DHCP på LAN: 1 IP til DMZ 1 IP til intranet
Subnet ID Subnet mask DHCP Pool size /30 2 DHCP/Statisk IP på WAN – afhænger af ISP DHCP på LAN /30-subnet med 2 IP’er er subnet ID og er broadcast IP. MAC-filtrering så det ikke kan lade sig gøre at tilslutte ikke-godkendt udstyr til denne router Port 1 til DMZ Port 2 til intranet / firewall

6 DMZ Alt trafik forwarded OpenBSD-server Honeypot
På sigt mail-, web- og VoIP-server Sårbar zone Demilitarized zone Honeypot-server Sårbar zone OpenBSD-server der afviser al trafik og logger forsøgene i en logfil. DMZ kan bruges til hosting af servere hvor der skal være adgang udefra – såsom mail-, web- eller VoIP-servere Fuldt tilgængelig grundet forward af alt ikke-prædestineret trafik

7 Firewall/VPN Giritech G/on løsning som kombinerer VPN med firewall-funktionalitet USB-tokens LDAP-funktionalitet til synkronisering mod AD DHCP på WAN – følgende på LAN: Giritech G/ON-løsning der kombinerer VPN og firewall Token-baseret VPN-adgang der kræver en USB-token for adgang Synkronisering med LDAP for nem brugeradministration DHCP på WAN – DHCP på LAN med /30-range med 2 IP’er på LAN Igen, .0 til subnet ID og .3 til broadcast Mac-filtrering Subnet ID Subnet mask DHCP Pool size /30 2

8 Router 2 Statisk IP fra firewall på et 255.255.255.252/30 subnet
MAC-filtrering på firewall så kun router 2 kan forbinde. Forhindrer til dels man-in-the-middle hardware angreb DHCP deaktiveret på LAN IP fra firewall DHCP deaktiveret på LAN grundet DHCP-server på serverne hvilket betyder at den reelt kører i switching-mode

9 Teknologier

10 Routing-protokoller Distance-vector routing protocol
Baserer sig udelukkende på afstand link-state routing protocol Baserer sig både på afstand og netværkshastighed Distance vector baserer sig udelukkende på afstand Link state baserer både på afstand og hastighed i netværket I netværk med samme hastighed er distance vector at foretrække Link state til større netværk med forskellige typer links Distance vector er bygget på principperne fra Dijkstra’s algoritme (udviklet i ’56) Dijkstra’s er i dag erstattet af A star der er en videreudvikling Link state bygger på et koncept udviklet i ‘79 af John McQuillan I dag arbejdes der på at få Link state til at arbejde i lag 2 med frame forwarding i routing bridges. Standardisering er under udarbejdelse (802.1aq)

11 NAT Bruges f.eks. til translation mellem offentlige og private subnet.
Én offentlig IP til 254 private IP’er NAT-label på pakkeniveau med afsender og destination Mulige problemer ved aktiv FTP, VoIP eller netværksspil Private IP-ranges ( /8, /16 eller /24) til offentlige adresser. NAT-label på pakkeniveau med afsender/destination Virker dårligt med aktiv FTP, VoIP og netværksspil Løses ved at mappe portene 1:1 i routeren

12 RIP Ældre dynamisk routing protokol
Baseret på distance-vector routing protokollen Maksimalt 15 hop Ikke særligt anvendt længere Stort performancespild grundet broadcast Single subnet mask RIPv2 Ældre dynamisk routing-protokol der baserer sig på distance vector Begrænset af 15 hop til destinationen – ellers timer den ud Jo færre hop – jo større sandsynlighed for at pakken ryger dén vej I nyere netværk kan dette være en flaskehals hvis den vælger en vej via langsomme links Broadcaster hvert 30 sekund alle oplysninger om alle de netværk den har omkring sig – båndbredde Kan ikke håndtere flere subnet på samme netværk Delvist løst i RIPv2 men bedre at bruge EIGRP og OSPF RIP deaktiveret i flere routere i dag som standard (Alvarion)

13 EIGRP Videreudvikling af Ciscos IGRP Link-state routing protokol
Ikke afhængig af samme subnet Broadcaster kun ”hello” til relevante enheder Opdaterer kun når der er opdateringer Videreudvikling af IGRP Link-state routing protokol der anvender VLSM (Variabel Subnet Maske Længde) til mere effektiv tildeling af IPv4-adresser Opgradering i algoritmen til at finde den mest effektive vej Lavere båndbreddekrav da den kun broadcaster ”hello” til relevante enheder og ikke til alle enheder Opdaterer kun når der er ændringer modsat RIP der opdaterer hvert 30. sekund

14 OSPF Link-state protokol
Sender kun relevante opdateringer når der er opdateringer og altså ikke hele tiden Klasseløst – så flere subnet i samme netværk Hierakisk Flere sikkerhedsmekanismer Relativt svært forståelig ved mere avanceret anvendelse Link-state protokol Sender kun opdatering om ændringer i routing-tabellen når der er nogen – ligesom EIGRP Klasseløs – håndterer flere subnet i samme netværk Hierakisk så den kan opdele netværket i zoner der er uafhængige af andre zoner (alle zoner dør ikke fordi én zone dør) Oplagt til store netværk af den grund Svær at konfigurere hvis du skal ændre noget i opsætningen i forhold til standardopsætning Mange konfigurationsmuligheder

15 Kabler Kategori 6e kabler Gigabit netværksudstyr Skærmede kabler
Fiberinstallation er for dyr hvorfor der er valgt cat6e-installation Skærmede kabler for at beskytte mod elektronisk støj Overhead hvilket ikke kan elimineres (populært siger man at 8/10 pakker er data og 2/10 er overhead)

16 Primær server DHCP DNS-server Active Directory med ét domæne
Filserver med CIFS-adgang Subnet ID Subnet mask DHCP Pool size /28 14 DHCP-server med et /28-range (14 IP’er) Starter på .0, hvor backup-serverens DHCP starter på .16 DNS-server Active Directory til nem administration af brugere og enheder Mulighed for kerberos-baseret autorisation – bruges primært i meget store netværk Kontakter en nøgleserver og autoriserer sig med password. Modtager ticket som afleveres til serveren ved kontakt. Server requester identitet på ticket fra nøgleserveren og tillader eller afviser derefter adgang baseret på svaret fra nøgleserveren. Kerberos-ticket kan bruteforces, men tager tid. Har altid flere nøgleservere da den er meget, meget vigtig. AD opbygget i træstruktur i: Forest Tree Domains (underdomæner er childs i AD’et) OU’s PC, Server, Printer, Brugere Single-domain løsning med ejet domæne da virksomhed muligvis skal opkøbes Logon/off-scripts til alle brugere Filserver med CIFS-adgang Kvota på mapperne Automatisk montering af mapper på filserveren i logon/off-script

17 Backup-server Synkroniseret pga. child i AD Lokal backup klokken 22:00
Remote backup klokken 01:00 30 dages arkiv 8 harddiske med raid 6+1 Dobbelt distribueret paritet Spejling 6 ud af 8 diske kan fejle uden datatab DHCP Andet IP-range til DHCP DNS-opsætning Synkroniseret grundet konfiguration som child i AD’et Lokal backup til harddiskene klokken 22:00 af både lagermapper, installation og AD. Desuden et komplet image af serveren. Remote backup af imagefilen plus lagermapper, installation og AD pakket ned i arkivfil. 30 dages historik 9 harddiske. 1 SSD til system og 8 harddiske med raid 6+1 til lager Dobbelt distribueret paritet og spejling 8 diske kan fejle uden datatab DHCP med andet range end primær server. Deler ud på subnet .16/28 fremfor .0/28 så IP-konflikter undgås og fejlsøgning lettes. DNS-opsætning hvor begge serveres lokale DNS’er og en ekstern DNS er konfigureret

18 Klienter Roaming profiles vs. Terminal server Roaming profiles
Serverfejl Vira Performance Roaming profiles Logon-script til mount af mapper fra filserver Mandatory profile Profile caching af performance-hensyn Antivirus MSE grundet integration med Windows-miljøet Terminal-server Terminalserver skal reinstalleres ved serverfejl eller vira hvorved der unægtelig sker datatab. Bliver med sikkerhed inficeret hvis blot én af brugerne eksekverer en virus. Performanceproblemer da serveren laver alle regneopgaver og blot streamer resultatet til klienten. Roaming profiles Med roaming profiles kan du højst sandsynligt undgå en spredning af viraen i hele netværket hvis du arbejder lidt hurtigt og har konfigureret sikkerhedssystemerne på computerne rigtigt. Ingen performance-problemer da al regnekraft kommer fra PC’en Computerne kan til nød køre videre ved serverfejl indtil backup-server overtager Mandatory profil til de ting hvor brugerne ikke skal kunne lave varige ændringer Profile caching af performance-hensyn. Muligt sikkerhedsissue grundet lokal kopi af profilen, men det er en afvejning. MSE installeres grundet den geniale integration med Windows-miljøet

19 Hjemmesiden HTML PHP CSS Hjemmesiden opbygges af HTML, PHP og CSS.
HTML er et browser-eksekveret sprog hvor serveren blot sender koden. Er grundstenen i det der kendes som WWW. PHP er et server-side scripting sprog der afvikles på serveren hvorefter resultatet sendes til browseren – ofte som HTML. Kan også bruges til udvikling af skrivebordsapplikationer om end det er en del mere omfattende end andre programmeringssprog. Kan blandt andet bruges til at inkludere statisk kode såsom headeren og dele af din body, hvor der er tale om statisk indhold. Bruges desuden til blandt andet login-formularer med $GET og $POST. Bruges ofte i samspil med MySQL CSS til layout der sikrer ens layout over hele hjemmesiden. CSS-fil loades fra mappe på serveren eller CSS-kode implementeres på hver enkelt side.

20 VoIP-server VoIP-server er en telefoniserver Forskellige teknologier
Forskellige tilslutningsmuligheder Forskellige typer software til Linux og Windows Linux: Asterisk Windows: 3CX VoIP-server kan være baseret på forskellige teknologier. Eksempler er Asterisk til Linux eller 3CX til Windows (som denne server er baseret på). Asterisk står for 18% af alle verdens VoIP-servere. Placeres ofte i DMZ da folk skal registrere op på den og andre SIP-servere skal kunne sende SIP-kald til den. Behøver ikke nødvendigvis være i samme netværk – kan i princippet tilgåes fra alle internetforbindelser Kan også konfigureres til at kunne tilgåes via VPN Kan ekskluderes fra netværkets ACL (Access Control List) Kan både konfigureres op med ISDN, ISDN Flex (fra 8 linjer og op) eller ISDN30 (30-ports ISDN) For udgående kald bruges der ISDN-linjer eller en tilkøbt SIP-service som der connectes til. Ved ISDN-linjer forbindes de via et eller flere PCI-kort – der er mange forskellige mærker og modeller alt efter ønsket funktionalitet og budget. Porte skal forwardes hvis ikke serveren står i DMZ

21 3CX Server 2003 SP2 med .NET framework 4.0
Bundled webserver til administration Installation Konfiguration Opkald både ind og ud via SIP-service Installationsfil på 60 mbyte indeholdende WEB-server Installation kræver genstart halvvejs Installation kræver SP2 og .NET framework 3.5 hvilket automatisk opgraderes til 4.0 under installationen. Opsætning via web-interface Mulighed for autokonfiguration af klienter og telefoner Problemer med at foretage opkald men ingen problemer med at modtage Glemte en outbound-rule – så kaldet strandede i serveren Statisk route fra lokalnummer til VoIP-provider nummer Mange opsætningsmuligheder Automatisk opsætning af softphone

Download ppt "Grundforløbsprojekt Strøm, Styring & IT."

Lignende præsentationer

Access Point Y + router/gateway

Access Point Y + router/gateway
Videregående pc-vejledning Modul Sik: Sikkerhed Lidt om antivirusprogrammer mm. 60+Bornholm.

Videregående pc-vejledning Modul Sik: Sikkerhed Lidt om antivirusprogrammer mm. 60+Bornholm.
Next Generation Operations Management AutoNOC 2. AutoNOC 2 Business fordele.

Next Generation Operations Management AutoNOC 2. AutoNOC 2 Business fordele.
Informationer om trådløs netværk På trådløs netværk bruges CSMA/CA sammen med ”Request to Send (RTS)” og “Clear to Send (CTS)” for at undgå kollisioner.

Informationer om trådløs netværk På trådløs netværk bruges CSMA/CA sammen med ”Request to Send (RTS)” og “Clear to Send (CTS)” for at undgå kollisioner.
IT-Skolen 2005 Thomas Jørgensen Dan Pagel Laursen Kasper Hauge Nielsen

IT-Skolen 2005 Thomas Jørgensen Dan Pagel Laursen Kasper Hauge Nielsen
Videregående pc-vejledning

Videregående pc-vejledning
Software Underviser Jan Christiansen.

Software Underviser Jan Christiansen.
Danmarks største stål- og teknikgrossist

Danmarks største stål- og teknikgrossist
Introduktion til programmering

Introduktion til programmering
Firewalls & netsikkerhed Henrik Størner,

Firewalls & netsikkerhed Henrik Størner,
TCP/IP netværk Henrik Størner SSLUG.

TCP/IP netværk Henrik Størner SSLUG.
Aalborg Universitet Esbjerg

Aalborg Universitet Esbjerg
TEST 3 modul 1 20 spørgsmål. Du skal klikke med musen på det rigtige svar, så kommer du automatisk til næste spørgsmål Klik for start.

TEST 3 modul 1 20 spørgsmål. Du skal klikke med musen på det rigtige svar, så kommer du automatisk til næste spørgsmål Klik for start.
2004-01-19 SummIT05 Udfordringer i Arkitektur for Pervasive Computing Klaus Marius Hansen Aarhus Universitet.

SummIT05 Udfordringer i Arkitektur for Pervasive Computing Klaus Marius Hansen Aarhus Universitet.
V/ Heine M. Jensen –

V/ Heine M. Jensen –
Computer netværk og TCP/IP protokoller Kort resume – uge 6

Computer netværk og TCP/IP protokoller Kort resume – uge 6
Velkommen til kurset ”IP Grundkursus”

Velkommen til kurset ”IP Grundkursus”
IT og økonomi Lektion: N: Netværk.

IT og økonomi Lektion: N: Netværk.
KA2000 Projektet Konsolidering og kontorautomation i et projekt Per Schou Christensen - IT-arkitekt Post Danmark

KA2000 Projektet Konsolidering og kontorautomation i et projekt Per Schou Christensen - IT-arkitekt Post Danmark
Konceptet. KirPACS Maj 2012 Konceptet.

Konceptet. KirPACS Maj 2012 Konceptet.

Lignende præsentationer

Annoncer fra Google