Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Vorschläge für die richtige Routerkonfiguration

Frage Netzwerke Router & Routing

Mitglied: Flohsch

Flohsch (Level 1) - Jetzt verbinden

08.10.2007, aktualisiert 09.10.2007, 9331 Aufrufe, 5 Kommentare

Cisco 1812 mit zweifach WAN Interface

Nachdem ich nun schon ein paar einzelne Frage hervorragend beantwortet bekommen habe setze ich nun unseren kompletten Netzaufbau wie er dann nun aussehen soll hier rein. Da ich aber weit weg von Experte bin wäre ich über alle Vorschläge dankbar wie man diesen Aufbau am effizientesten und sicheresten konfirugrieren kann.

ea9eb4e52cc7a5a93d0b698c9f8ef35d-network-plan - Klicke auf das Bild, um es zu vergrößern

Es wird ein DHCP Server in Christchurch stehen welcher zwei mit einer Netzwerkkarte mit 2 IP-Adressen im Netz steht. Der erste Pool verteilt in Christchurch der zweite Pool geht nach Auckland. Alle Server in Christchurch sollen von Außen auf ihren dafür vorgesehenen Ports erreichbar sein, wie haben ein x.x.x.x/29 Subnetz von Außen und bekommen alles auf IPs in diesem Subnetz geroutet.
Der Router wir ein 1812 von Cisco, welcher zwei WAN Interfaces besitzt. WAN interface 1 ist für unser Internet, WAN Interface 2 wird quasi direkt mit einem Switch in Auckland verbunden. (Ein paar Router vom Provider sind dazwischen)

Der Router macht DHCP Helper für das 192.168.1.0 Subnetz welches nach Auckland geht, stellt gleichzeitig aber auch das Gateway für die Internetverbindung von Auckland dar.

Da mir das nun zur Aufgabe gemacht wurde habe ich mir diesen Aufbau überlegt, bin aber Offen für Vorschläge die den Aufbau verändern.

Grüße
Mitglied: gnarff
09.10.2007 um 01:24 Uhr
Hallo Florian,

192.168.0.233 ist am falschen Platz und gehört in den Perimeterbereich, Auckland möchte seinen eigenen Router haben. Da der Cisco ja nur Zugangsrouterfunktionen bereitstellt, sollte das Intranet vor dem Perimeterbereich mit einer extra-Firewall geschützt sein; schon deswegen, weil ja offensichtlich Massenspeicher- oder Backuplösung [192.168.0.232] und ein Fileserver [192.168.0.233] gegeben sind.

Nur mit einem Router [egal mit oder ohne SPI] ein Netzwerk von 110 Clients, dazu noch internetfaced, betreiben zu wollen, ohne eine Perimeterarchitektur einzuführen halte ich für völlig unzulänglich - wenn nicht absurd.
Da reicht ja bei einem Angriff ein einziger Hop und du kannst Dich vom gesamten Netzwerk verabschieden...
Die Kommunikation nach Auckland kann getunnelt werden.

Was liegt da neben 192.168.0.231, ist das die Bibel?
Konnte es nicht erkennen...

saludos
gnarff
Bitte warten ..
Mitglied: spacyfreak
09.10.2007 um 06:22 Uhr
Was liegt da neben 192.168.0.231, ist das
die Bibel?
Konnte es nicht erkennen...


Nein, das ist das Cisco Router-Handbuch (erkennt man an der Dicke des Buches!).
Ist aber für einige Leute fast das gleiche wie die Bibel.
Bitte warten ..
Mitglied: Flohsch
09.10.2007 um 07:41 Uhr
Ok ich muss noch ein paar Informationen hinzufügen. Wir haben keine 110 Clients, maximal 50. Die Pools sind ein wenig zu groß doch die hatte ich jetzt mal einfach so angesetzt.

Das Buch ist das Symbol für einen Verzeichnisdienst in Visio. Aber wir können es auch als Bibel, Cisco Router Handbuch oder Playboy betrachten da ich ich diesen Server relativ wahllos ausgesucht hatte

Ich dachte,wenn ich die Server einfach so hinter den Router hänge, kann ich sehr einfach die öffentlichen IPs auf die Server routen. Ich könnte ja auch jeden öffentlich zugänglichen in ein eigenes VLAN setzen?

Da wir von unserem Provider quasi eine (auch wenn physikalisch nicht möglich) Glasfaserleitung zwichen den beiden Städten haben brauchen wir in Auckland keinen Router da die unsere mega 6 MB/s Standleitung (ihr wollt nicht wissen was sowas in Neuseeland kostet) nutzen sollen. Eigentlich war es geplant zwei Router in Christchurch, einer für das Internet und der Andere nach Auckland doch diesen zweiten wollte ich mir sparen und dafür das zweite WAN Interface des Cisco verwenden.
Wenn ich tunneln will braucht Auckland doch wieder einen eigenen Internetzugang um Site-to-Site machen.

Grüße aus dem sommerlich werdenden NZ

Florian
Bitte warten ..
Mitglied: Rafiki
09.10.2007 um 08:26 Uhr
WAN Interface 2 wird quasi direkt mit einem Switch in Auckland verbunden. (Ein paar Router vom Provider sind dazwischen)

Wenn ich deinen Beitrag richtig interpretiere vertraut ihr dem Internet Provider in zwei kritischen Dingen. Da in Ackl kein DHCP Server steht würden die Rechner dort ohne eine Verbindung zum DHCP Server im Netzwerk nicht mehr richtig funktionieren. Windows Computer würden dann eigne IP Adressen (169...) auswählen. Das macht die Fhelersuche, wenn der Benutzer anruft nicht leichter. Zum zweiten Punkt, und der stört mich an deinem Design am meisten, zählt das Bedingungslose Vertrauen in den ISP was deren Konfiguration angeht. Wenn einer der Router vom ISP schlecht konfiguriert ist könnten andere Kunden oder sogar "Hacker" aus dem Internet Zugriff auf euer Netzwerk bekommen. Das passiert nicht unbedingt am ersten Tag aber Menschen machen Fehler und es ist nur eine Frage der Zeit bis auch bei diesem ISP Mitarbeiter kommen und gehen.

Deshalb schlage ich vor selber eine VPN Verbindung zwischen den Standorten aufzubauen. Damit bist du nicht mehr an den ISP gebunden und deren Fehler gefährden nicht die Sicherheit von eurem Netzwerk.
Der cisco 1812 eignet sich mit den zwei WAN Ports für eine Redundante (doppelte) Internetanbindung. Häufig wird mittel Multilink-PPP eine Bündelung von zwei DSL Leitungen gewählt um mehr Bandbreite und eine gewisse Ausfallsicherheit zu erlangen.

Siehe auch c't Heft 18/2007.
Ein Artikel zur Einleitung in das Thema http://www.heise.de/ct/07/18/120/default.shtml
Die anderen beiden artikel möchte der Heise Verlag gerne verkaufen.

Gruß Rafiki
Bitte warten ..
Mitglied: gnarff
09.10.2007 um 08:52 Uhr

Das Buch ist das Symbol für einen
Verzeichnisdienst in Visio.
...


Ich dachte,wenn ich die Server einfach so
hinter den Router hänge, kann ich sehr
einfach die öffentlichen IPs auf die
Server routen.
Das macht man so nicht.
Auch fuer Dich der Hinweis wie man Netzwerke mit einer Perimeter Architektur ausfuehrt.
Dein Konzept ist unsicher...
Ich könnte ja auch jeden
öffentlich zugänglichen in ein
eigenes VLAN setzen?

Das halte ich fuer viel zu aufwending, das Absichern inbegriffen gegen:
MAC Flooding Attacks, 802.1Q and ISL Tagging Attacks, Nested VLAN Attack, ARP Attacks, Private VLAN Attacks, Multicast Brute Force Attacks, Spanning-Tree Attacks, Random Frame Stress Attacks...
Da wir von unserem Provider quasi eine (auch
wenn physikalisch nicht möglich)
Glasfaserleitung zwichen den beiden
Städten haben brauchen wir in Auckland
keinen Router da die unsere mega 6 MB/s
Standleitung (ihr wollt nicht wissen was
sowas in Neuseeland kostet) nutzen sollen.
Du möchtest mir doch jetzt nicht erzählen, dass Ihr über eine eigenes, physikalisch vorhandenes, 800 km langes Glasfaserkabel als Standleitung verfügt?!

Ansonsten [ fuer Auckland] schließe ich mich meinem synchronpostenden Nachredner Rafiki an, aber mit zwei Routern...

saludos aus dem stets sommerlichen Costa Rica
gnarff
Bitte warten ..
Ähnliche Inhalte
Netzwerke
Vorschlag Hotelverkabelung (14)

Frage von FA-jka zum Thema Netzwerke ...

KiXtart
Aufgemotztes Logon Skript Vorschläge (2)

Frage von Avaatar zum Thema KiXtart ...

Humor (lol)
Bester Vorschlag eines Supporttechnikers ever: APC (25)

Erfahrungsbericht von DerWoWusste zum Thema Humor (lol) ...

Windows Server
Optimale Hardware vorschläge für WinServer2012r2 + Exchange (7)

Frage von tomeknfr zum Thema Windows Server ...

Neue Wissensbeiträge
Vmware

Heise Newsticker: Betrifft die Desktopprodukte von VMware

Information von Penny.Cilin zum Thema Vmware ...

Multimedia

Raspberry Pi als Digital-Signage-Computer

(1)

Information von BassFishFox zum Thema Multimedia ...

Heiß diskutierte Inhalte
Router & Routing
gelöst Freigabe aus anderem Netz nicht erreichbar (44)

Frage von McLion zum Thema Router & Routing ...

Visual Studio
Vb.net-Tool zum Erzeugen einer Outlook-E-Mail (24)

Frage von ahstax zum Thema Visual Studio ...

Windows Netzwerk
Netzwerk Neustrukturierung (15)

Frage von IT-Dreamer zum Thema Windows Netzwerk ...

Windows 10
Windows 10 dunkler Bildschirm nach Umfallen (14)

Frage von Akcent zum Thema Windows 10 ...