Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Vorschläge für die richtige Routerkonfiguration

Frage Netzwerke Router & Routing

Mitglied: Flohsch

Flohsch (Level 1) - Jetzt verbinden

08.10.2007, aktualisiert 09.10.2007, 9255 Aufrufe, 5 Kommentare

Cisco 1812 mit zweifach WAN Interface

Nachdem ich nun schon ein paar einzelne Frage hervorragend beantwortet bekommen habe setze ich nun unseren kompletten Netzaufbau wie er dann nun aussehen soll hier rein. Da ich aber weit weg von Experte bin wäre ich über alle Vorschläge dankbar wie man diesen Aufbau am effizientesten und sicheresten konfirugrieren kann.

ea9eb4e52cc7a5a93d0b698c9f8ef35d-network-plan - Klicke auf das Bild, um es zu vergrößern

Es wird ein DHCP Server in Christchurch stehen welcher zwei mit einer Netzwerkkarte mit 2 IP-Adressen im Netz steht. Der erste Pool verteilt in Christchurch der zweite Pool geht nach Auckland. Alle Server in Christchurch sollen von Außen auf ihren dafür vorgesehenen Ports erreichbar sein, wie haben ein x.x.x.x/29 Subnetz von Außen und bekommen alles auf IPs in diesem Subnetz geroutet.
Der Router wir ein 1812 von Cisco, welcher zwei WAN Interfaces besitzt. WAN interface 1 ist für unser Internet, WAN Interface 2 wird quasi direkt mit einem Switch in Auckland verbunden. (Ein paar Router vom Provider sind dazwischen)

Der Router macht DHCP Helper für das 192.168.1.0 Subnetz welches nach Auckland geht, stellt gleichzeitig aber auch das Gateway für die Internetverbindung von Auckland dar.

Da mir das nun zur Aufgabe gemacht wurde habe ich mir diesen Aufbau überlegt, bin aber Offen für Vorschläge die den Aufbau verändern.

Grüße
Mitglied: gnarff
09.10.2007 um 01:24 Uhr
Hallo Florian,

192.168.0.233 ist am falschen Platz und gehört in den Perimeterbereich, Auckland möchte seinen eigenen Router haben. Da der Cisco ja nur Zugangsrouterfunktionen bereitstellt, sollte das Intranet vor dem Perimeterbereich mit einer extra-Firewall geschützt sein; schon deswegen, weil ja offensichtlich Massenspeicher- oder Backuplösung [192.168.0.232] und ein Fileserver [192.168.0.233] gegeben sind.

Nur mit einem Router [egal mit oder ohne SPI] ein Netzwerk von 110 Clients, dazu noch internetfaced, betreiben zu wollen, ohne eine Perimeterarchitektur einzuführen halte ich für völlig unzulänglich - wenn nicht absurd.
Da reicht ja bei einem Angriff ein einziger Hop und du kannst Dich vom gesamten Netzwerk verabschieden...
Die Kommunikation nach Auckland kann getunnelt werden.

Was liegt da neben 192.168.0.231, ist das die Bibel?
Konnte es nicht erkennen...

saludos
gnarff
Bitte warten ..
Mitglied: spacyfreak
09.10.2007 um 06:22 Uhr
Was liegt da neben 192.168.0.231, ist das
die Bibel?
Konnte es nicht erkennen...


Nein, das ist das Cisco Router-Handbuch (erkennt man an der Dicke des Buches!).
Ist aber für einige Leute fast das gleiche wie die Bibel.
Bitte warten ..
Mitglied: Flohsch
09.10.2007 um 07:41 Uhr
Ok ich muss noch ein paar Informationen hinzufügen. Wir haben keine 110 Clients, maximal 50. Die Pools sind ein wenig zu groß doch die hatte ich jetzt mal einfach so angesetzt.

Das Buch ist das Symbol für einen Verzeichnisdienst in Visio. Aber wir können es auch als Bibel, Cisco Router Handbuch oder Playboy betrachten da ich ich diesen Server relativ wahllos ausgesucht hatte

Ich dachte,wenn ich die Server einfach so hinter den Router hänge, kann ich sehr einfach die öffentlichen IPs auf die Server routen. Ich könnte ja auch jeden öffentlich zugänglichen in ein eigenes VLAN setzen?

Da wir von unserem Provider quasi eine (auch wenn physikalisch nicht möglich) Glasfaserleitung zwichen den beiden Städten haben brauchen wir in Auckland keinen Router da die unsere mega 6 MB/s Standleitung (ihr wollt nicht wissen was sowas in Neuseeland kostet) nutzen sollen. Eigentlich war es geplant zwei Router in Christchurch, einer für das Internet und der Andere nach Auckland doch diesen zweiten wollte ich mir sparen und dafür das zweite WAN Interface des Cisco verwenden.
Wenn ich tunneln will braucht Auckland doch wieder einen eigenen Internetzugang um Site-to-Site machen.

Grüße aus dem sommerlich werdenden NZ

Florian
Bitte warten ..
Mitglied: Rafiki
09.10.2007 um 08:26 Uhr
WAN Interface 2 wird quasi direkt mit einem Switch in Auckland verbunden. (Ein paar Router vom Provider sind dazwischen)

Wenn ich deinen Beitrag richtig interpretiere vertraut ihr dem Internet Provider in zwei kritischen Dingen. Da in Ackl kein DHCP Server steht würden die Rechner dort ohne eine Verbindung zum DHCP Server im Netzwerk nicht mehr richtig funktionieren. Windows Computer würden dann eigne IP Adressen (169...) auswählen. Das macht die Fhelersuche, wenn der Benutzer anruft nicht leichter. Zum zweiten Punkt, und der stört mich an deinem Design am meisten, zählt das Bedingungslose Vertrauen in den ISP was deren Konfiguration angeht. Wenn einer der Router vom ISP schlecht konfiguriert ist könnten andere Kunden oder sogar "Hacker" aus dem Internet Zugriff auf euer Netzwerk bekommen. Das passiert nicht unbedingt am ersten Tag aber Menschen machen Fehler und es ist nur eine Frage der Zeit bis auch bei diesem ISP Mitarbeiter kommen und gehen.

Deshalb schlage ich vor selber eine VPN Verbindung zwischen den Standorten aufzubauen. Damit bist du nicht mehr an den ISP gebunden und deren Fehler gefährden nicht die Sicherheit von eurem Netzwerk.
Der cisco 1812 eignet sich mit den zwei WAN Ports für eine Redundante (doppelte) Internetanbindung. Häufig wird mittel Multilink-PPP eine Bündelung von zwei DSL Leitungen gewählt um mehr Bandbreite und eine gewisse Ausfallsicherheit zu erlangen.

Siehe auch c't Heft 18/2007.
Ein Artikel zur Einleitung in das Thema http://www.heise.de/ct/07/18/120/default.shtml
Die anderen beiden artikel möchte der Heise Verlag gerne verkaufen.

Gruß Rafiki
Bitte warten ..
Mitglied: gnarff
09.10.2007 um 08:52 Uhr

Das Buch ist das Symbol für einen
Verzeichnisdienst in Visio.
...


Ich dachte,wenn ich die Server einfach so
hinter den Router hänge, kann ich sehr
einfach die öffentlichen IPs auf die
Server routen.
Das macht man so nicht.
Auch fuer Dich der Hinweis wie man Netzwerke mit einer Perimeter Architektur ausfuehrt.
Dein Konzept ist unsicher...
Ich könnte ja auch jeden
öffentlich zugänglichen in ein
eigenes VLAN setzen?

Das halte ich fuer viel zu aufwending, das Absichern inbegriffen gegen:
MAC Flooding Attacks, 802.1Q and ISL Tagging Attacks, Nested VLAN Attack, ARP Attacks, Private VLAN Attacks, Multicast Brute Force Attacks, Spanning-Tree Attacks, Random Frame Stress Attacks...
Da wir von unserem Provider quasi eine (auch
wenn physikalisch nicht möglich)
Glasfaserleitung zwichen den beiden
Städten haben brauchen wir in Auckland
keinen Router da die unsere mega 6 MB/s
Standleitung (ihr wollt nicht wissen was
sowas in Neuseeland kostet) nutzen sollen.
Du möchtest mir doch jetzt nicht erzählen, dass Ihr über eine eigenes, physikalisch vorhandenes, 800 km langes Glasfaserkabel als Standleitung verfügt?!

Ansonsten [ fuer Auckland] schließe ich mich meinem synchronpostenden Nachredner Rafiki an, aber mit zwei Routern...

saludos aus dem stets sommerlichen Costa Rica
gnarff
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Virtualisierung
gelöst VMDK Datei vergrößern auf der Console welche Datei ist die richtige? (3)

Frage von fireskyer zum Thema Virtualisierung ...

Windows Server
Erste Richtige It für Firma und Mich :) (16)

Frage von FirstZero zum Thema Windows Server ...

Multimedia & Zubehör
Suche das richtige Tablet für mich (10)

Frage von schrodti zum Thema Multimedia & Zubehör ...

Heiß diskutierte Inhalte
Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

Grafikkarten & Monitore
Tonprobleme bei Fernseher mit angeschlossenem Laptop über HDMI (11)

Frage von Y3shix zum Thema Grafikkarten & Monitore ...

Microsoft Office
Keine Updates für Office 2016 (11)

Frage von Motte990 zum Thema Microsoft Office ...