Anahtarlar, VLAN ve Ağlar


1

Yapmaya çalıştığım şey bu. Bence profesör bizden daha çok şey bildiğimizi düşünüyor

Diplomatik Memurlar Müdürlüğü yakın zamanda Roma, Cambridge ve Şikago'daki 3 uluslararası ofisini bağlamak için yeni bir ağ altyapısı üzerinde anlaşmaya vardı.
Göreviniz, tasarımı tamamlamak ve uygulamanın işe yarayacağını kanıtlamak için çalışan bir prototip yapılandırma üretmek. .

Cambridge, Chicago ve Roma'daki ofisler esnek T1 ağ ağı ile birbirine bağlanacak. Saat ücretleri Cambridge ve Roma tarafından verilmektedir.

Chicago ofisinde yaklaşık 2300 ev sahibi için ve Roma ve Cambridge ofisinde potansiyel 1093 ev sahibi için ihtiyaç olduğu tahmin edilmektedir.
Önümüzdeki 2 yıl içinde her biri en az 550 ev sahibi olmak üzere 12 ofis daha olacak.

Cambridge ofisi, tahsis edilmiş bir adres olan 209.123.234.5/30 adresli bir Yönetilen Ethernet Bağlantısı (Hızlı Ethernet) aracılığıyla İnternet bağlantısına ev sahipliği yapmak için kullanılır.

Kurum daha önce İnternete bağlı olmadığı için, atanmış İnternet bağlantısı dışında kullanmak için bir adres bloğu tahsis edilmemiştir.
Yeni ağ tasarımı, bu adres eksikliğini yansıtacak bir konfigürasyon kullanmalı ve RFC1918 adreslerini kullanarak uygun adreslemeyi kullanmalıdır.

Kuruluşun, uygun bir yönlendirici üzerinde bir güvenlik politikası izlemesi gerekir.

• Sadece ana 3 ofisinden gelen kullanıcıların 199.199.199.199 numaralı kurumsal veri merkezine bağlanabildiğinden emin olun.
• Yalnızca Yönetim VLAN'ındaki Chicago kullanıcıları 200.200.200.200 adresindeki bir ASP adresinde barındırılan Finans Sunucusuna TCP kullanarak Port 1234 üzerindeki bir uygulamayı kullanarak erişebilir. • Yalnızca Roma ve Cambridge kullanıcıları, 194.123.88.99 adresinde http, https ve ftp (ftp'nin iki bağlantı noktası kullandığını hatırlayın) kullanarak bir AB Araştırma veritabanına erişebilirler. SMTP, 180.145.22.33 no'lu adreste uygun yönlerde. • Gönüllü çalışanların ağları kullanarak telif hakkı olan materyalleri indirdikleri IRC kullanan bir dizi dosya paylaşım ağına erişimi engelleyin. • İnternete sadece dahili olarak başlatılmış bağlantılara izin verilir.

Tüm güvenlik ihlalleri uygun bir syslog sunucusunda kaydedilmelidir.

Adresleme şeması ile birlikte topolojiyi kurdum. Karşılaştığım sorun vlans'ı ağların geri kalanıyla konuşmaya çalışıyor.

EG: 10.0.16.254 ağ geçidi olarak bende. Düğmeyi kullanarak VLAN'lardaki sunucuları kurdum. 194.123.88.99 IP ile araştırma db olarak VLAN 10 diyorum. Ağ geçidi farklı bir ağda olduğundan, diğer ofislerden herhangi birine ulaşmak için bulamıyorum.

Bunların nasıl birleştiğini merak ediyordum, böylece bütünleşiyordu.

Şimdiden teşekkürler


Daha spesifik olmalısın (ağ maskeleri, hedef, topoloji (mevcut donanım), ...). Aksi halde, tek doğru cevap "bağlıdır". @william dedi ki: doğru ağ maskeleri ile hepsi aynı alt ağdalar. Aksi takdirde bir yönlendiriciye ihtiyacınız vardır . Yani bir yönlendirici ihtiyacınız varsa biliyorsunuz :)
scherand

Ardıç: Ağla İlgili Temel Bilgiler , ağ iletişimi hakkında bilgi edinmek için iyi bir kaynaktır
scherand ve 31.03

Vay ... Sanırım erişim kontrolü için VLAN kullanmak zorunda değilsin (bu sonuçta VLAN'ların fikri değil) ama sadece Roma ve Cambridge'e izin veren "senin" yönlendiricin için bir ACL yaz (Roma: Cambridge, ancak örneğin Chicago değil) ağınızın dışında barındırılan araştırma DB'sine (194.123.88.99) bağlanmak için (yani kullanıcıların ulaşmak için İnternet bağlantısını kullanması gerekir).
scherand ve

VLAN'la ilgili şey muhtemelen Chicaco'ya atadığınız aralığı ikiye ayırmanız gerektiğini (en azından) göstermelidir: bir yönetim ve bir "normal" aralık. Daha sonra neden bunu yapmak istediğinizi anlamadığım halde yönetim ağını yerleştirmek için yönlendiricinizde VLAN kullanabilirsiniz (yani bunun için bir VLAN'a ihtiyacınız olduğunu sanmıyorum). Ödev benim için çok açık değil ...
scherand 31:13

Yanıtlar:


1

Gerçekten ne elde etmeye çalıştığınıza bağlı ... Doğru alt ağ maskesi sayesinde, bu makinelerin tümü aynı yerel anahtardaysa, doğrudan iletişim kurabilirsiniz.

Zaten üst üste binmeyen farklı alt ağlara sahiplerse, izole edilmiş kadar iyi olurlar ve VLAN güvenlik için bir adım daha ileri götürür ...

... ancak, gerçekten çok garip bir kurulum olduğu için ne elde etmeye çalıştığınızı bilmeden uygun olup olmadığını gerçekten söyleyemem.


Merhaba William, bu gerçekten garip bir kurulum. Aldığım bir sınıf için. ACL'leri buna göre uygulamaya ihtiyacım var. Acaba onları VLAN'lara mı koymalıyım yoksa erişimi temsil etmek için geridöngü adresleri kullanmalı mıyım? Muhtemelen yeterince net olamıyorum ve bunun için özür dilerim. Sadece VLAN'ların geridönüşümden daha uygun olup olmadığını merak ediyorum
Chris

Başka bir şeye erişmelerine veya herhangi bir ağ geçidi bulunmalarına gerek duymuyorsanız, neden ağ kartını hep birlikte devre dışı bırakmıyorsunuz? Bağlanmaktan daha güvenli olamıyorum! ... Fakat yine de, elde etmeye çalıştığınız şey hakkında gerçekten daha fazla bilgiye ihtiyacım var
William Hilsum

Bu başarılmaya çalışıyor. Profesörün denememiz için bize verdiği bir laboratuar için Diplomatik Memurlar Müdürlüğü yakın zamanda Roma, Cambridge ve Şikago'daki 3 uluslararası ofisini bağlamak için yeni bir ağ altyapısı üzerinde anlaştı. Cambridge, Chicago ve Roma'daki ofisler esnek T1 ağ ağı ile birbirine bağlanacak. Saat ücretleri Cambridge ve Roma tarafından verilmektedir. yaklaşık 2300 Chicago'ya ev sahipliği yapıyor, 1093 Roma ve Cambridge ofisine ev sahipliği yapıyor. Önümüzdeki 2 yıl içinde her biri en az 550 ev sahibi olmak üzere 12 ofis daha olacak.
Chris

Cambridge ofisi, tahsis edilmiş bir adres olan 209.123.234.5/30 adresli bir Yönetilen Ethernet Bağlantısı (Hızlı Ethernet) aracılığıyla İnternet bağlantısına ev sahipliği yapmak için kullanılır. Kurum daha önce İnternete bağlı olmadığı için, atanmış İnternet bağlantısı dışında kullanmak için bir adres bloğu tahsis edilmemiştir. RFC1918 örgütü uygun bir yönlendirici üzerinde bir güvenlik politikası uygulaması gerekmektedir adreslerinin yeni ağ tasarımı adreslerinin bu eksikliğini yansıtmak ve kullanımı yoluyla ele uygun yararlanmak için bir yapılandırma kullanmalıdır
Chris

199.199.199.199 numaralı telefondan yalnızca 3 ana ofisteki kullanıcıların kurumsal veri merkezine bağlanabildiğinden emin olun. • Yalnızca Yönetim VLAN'ındaki Chicago kullanıcıları 200.200.200.200 adresindeki bir ASP adresinde barındırılan Finans Sunucusuna TCP kullanarak Port 1234 üzerindeki bir uygulamayı kullanarak erişebilir. • Yalnızca Roma ve Cambridge kullanıcıları, 194.123.88.99 adresinde http, https ve ftp (ftp'nin iki bağlantı noktası kullandığını unutmayın) kullanarak bir AB Araştırma veritabanına erişebilirler. SMTP, 180.145.22.33 no'lu adreste uygun yönlerde.
Chris
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.