Behöver hjälp ang. byggning av ett Cisco nätverk med 4x switcher, 1 x router

Hej!

Jag är inte speciellt insatt i säkerhet för cisco Routrar och Switchar, men du kan använda dig ganska mycket av accesslistor för att begränsa vilka som får komma åt din science-avdelning och vilka tjänster som får tillåtas att komma in dit.

Om en avdelning behöver högre säkerhet skulle inte jag nöja mig med Ciscos ACL (access control list). Jag skulle sätta en brandvägg mellan den switchen och routern. Naturligtvis styr ju kravet på säkerhet vilka medel du måste ta till. Kan hända att ACL är fullt tillräckligt för den avdelninges behov.

Ser ingen koppling till Internet. Hur har du tänkt att det ska se ut?

Är det bara infrastrukturen du ska sätta upp? Vem sköter de övriga nivåerna i OSI-modellen? Säkerheten ska ju även ligga på användarnivå, alltså inloggning och lösenord. Men det kanske inte du ska vara ansvarig för?

Eller så slutar du fuska och gör dina "egna enskilda" inlämningsuppgifter

Satt och tänkte det samma efter jag skrev mitt inlägg. Känns misstänkt likt en vanlig skoluppgift.

svårt o ge bra råd då kravspecen är minst sagt bristfällig. tex, ska alla avdelningar komma åt alla servrar? ska klienter från olika avdelningar komma åt varandra? ska allt ha inrternet access eller kanske bara vissa klienter/servrar. sen om jag förstår skissen så har du 4 vlan, jag skulle nå vilja ha några fler till tex 1 för servrar (om flera avdelningar behöver access till samma server). sen så 1 för management (ip till switchar, ilo m.m).

sen så en annan liten sak är juh hur många klienter har varje avd det är juh rätt viktigt när man bestämer switchar o addressplaner osv, men ja mina frågeställningar kanske hjälper till med arbetet..

Vad har du själv kommit fram till? Beskriv det exakta problemet och hur du tänker. Att säga "Jag vill ha hjälp med säkerheten" och sedan inte ens kunna specifiera vad i säkerheten du vill ha hjälp med..ptja..det känns mer som om du inte har orkat läsa igenom ccna-boken. Att du har confat IP-nummer och skapat vlan räknar inte jag som om du har gjort nånting.
Ladda upp pdf-dokumentet (uppgiften) eller vad du nu har. Svårt för oss att göra din uppgift annars.

Utan att tala om för dig hur du ska lösa uppgiften kan jag ge dig lite tips. Har du tänkt igenom hur du vill att nätet skall bete sig när du är klar? Alltså, på ren svenska, skriv ner hur du vill ha det:
- Avdelning A, B och C skall ha full access till varandra
- Avdelning D skall ha full access till alla
- Avdelning A, B och C skall inte ha access till D
- etc, etc.
(Din bild syns inte längre).

Det blir enklare du att förstå vad det är du faktiskt vill uppnå. Gör en skiss och skriv vad du vill att apparaterna skall göra. Strunta i IP-planer och VLAN och annat just då.

När du sen vet hur du vill att ditt nät skall agera kan du börja med själva nätplaneringen - IP-adresser och VLAN. Efter det börjar du med att sätta begränsningarna du vill ha. De exakta kommandona kan du hitta på Ciscos hemsida. http://www.cisco.com/en/US/products/sw/secursw/ps1018/product... får du som en första hjälp.

Så hade jag gjort, men var och en måste utarbeta sin egen metod. Men jag tror att de flesta skulle hålla med mig att man ska börja med att tänka till hur man vill att nätet skall agera.

Varför har du en 8-bitars mask här? Hur har du tänkt när du gjort den här tilldelningen? Den rätta subnätmasken här skulle vara en 21-bitars-mask.

Samma sak här. Och varför har du valt just detta ip-spann?

Hur menar du när du säger att alla switchar är i trunk-läge?
No shutdown är en förutsättning för att porten överhuvudtaget ska fungera. Alltså borde alla portar som används vara i No shutdown, övriga i Shutdown.

Är lite nyfiken på hur du motiverat ip-tilldelningen på nätet.

Detta bör kanske tas med en nypa salt då uppgiften känns på skapligt nybörjarnivå, men kan va kul ändå.

Istället för att förlita sig på accesslistor för att styra vem som får prata med vad skulle jag göra såhär.
För att göra en väldigt flexibel och säker uppsäkring av Science nätet skulle jag använda mig utan zone-based firewall och definera upp ett zone-pair mellan just det nätet och övriga nät.

Skulle även konfigurera upp Unicast RPF i strict-mode på router-interfacen för att förhindra spoofning.

thadizzy har helt rätt i att uppgiften känns väldigt enkel. Antagligen är läraren ute efter lite acl'er och en subnettad IP-plan. Åter igen, släng upp uppgiften istället så vi vet vad du vill ha hjälp med istället för att göra fina bilder i Packet Tracer med "no shut" (...) på portar.
Språket du använder för att beskriva nätet säger för övrigt, som Wolfclaw är inne på, att du inte är helt med på hur du själv menar ens en gång. Med andra ord, du behöver plugga mer. Designen av nätet säger för övrigt detsamma. Varför har du en platt design till att börja med? Det ser mer ut som nätverk för ett lan-party än nåt annat.

Om du hellre vill få hjälp här istället för att studera, utan att förstå tänket bakom lösningen, så kommer du förstå ännu mindre när du går vidare i studierna sen.

Ok, då kanske du till och med har skrivit i fel forum. Måste säga att jag blir bara mer förvirrad ju mer jag läser om vad du skriver. Flera har nämnt det tidigare men jag kan säga det igen:
Exakt hur är frågeställningen i uppgiften du fått ställd? För du har väl fått en skriftlig uppgift med förutsättning, läge och slutmål? Eller?

Jag är inte säker på vad du egentligen vill ha hjälp med. Du skriver först "hur man i en switch till ett vlan kan utesluta andra att komma igenom men ändå själv kunna ha tillång till dem andra?"
Sedan skriver du "Och ja, det är inte ett nätverksproblem som så utan en användarbehörighet, kryptering etc. som jag behöver hjälp med." Det är första gången du nämnt kryptering. Så, vad är det egentligen du vill göra?

Anledningen att jag ifrågasatte valet av ip-adress 163.x.x.x är att det är ingen privat adress, så jag undrar varför du t ex inte valt en adress i spannet 172.16.0.0 - 172.31.255.255.

Släng upp uppgiften så vi själva kan tolka den, det blir nog aningen lättare för oss alla.

Du sköter inte filtreringen i switcharna så som du tror.
All trafiken som skall korsa VLAN:en måste routas i din router p.g.a. att du har layer 2 switchar.

Även om det är rent tekniskt möjligt att filtrera på layer 3 (IP nivå) i dina layer 2 switchar med VLAN filters, så är det inte vad din lärare är ute efter här då ditt nät blir väldigt oflexibelt.

Alltså lägger du dina accesslistor på router interfacen och sedan kan din switchtopologi se ut precis hur som helst, så länge näten går taggade emellan switcharna.
Dvs t.ex. science nätet blir inte fysiskt knutet till en viss switch utan kan finnas vart som helst i nätverket.

Är du med?

T.ex. på routern ifall Science nätet är VLAN 20 och port e0/0 är kopplat mot dina switchar.

int fa0/0.20
desc "Router interface för VLAN 20, Science nätet..
encapsulation dot 20
ip access-group ACL out
!

! ACL för att permitta trafik från övriga VLAN att prata med Science nätet
ip access-list ext ACL
permit ip blabla